Fremsat den 6. februar 2025 af ministeren for samfundssikkerhed og beredskab (Torsten Schack Pedersen)

Fremsat den 6. februar 2025 af ministeren for samfundssikkerhed og beredskab (Torsten Schack Pedersen)
Forslag
til
Lov om sikkerhed og beredskab i telesektoren1)
Kapitel 1
Anvendelsesområde og definitioner
§ 1. Denne lov finder anvendelse for teleudbydere, der
med et kommercielt formål stiller offentlige elektroniske
kommunikationsnet eller offentligt tilgængelige elektroniske
kommunikationstjenester til rådighed i Danmark, jf. dog stk.
2.
Stk. 2. Loven finder ikke anvendelse for kommuner og
regioner, der stiller offentlige elektroniske kommunikations-
net eller offentligt tilgængelige elektroniske kommunikati-
onstjenester til rådighed.
§ 2. I denne lov forstås ved følgende:
1) Beredskabssituationer og andre ekstraordinære situati-
oner: Situationer, hvor der allerede er, eller hvor der
kan opstå større ulykker, katastrofer eller hændelser,
herunder krise eller krig, og hvor der er risiko for
påvirkning af udbuddet af net og tjenester.
2) Cybertrussel: Enhver potentiel omstændighed, begi-
venhed eller handling, som kan skade, forstyrre eller
på anden måde have en negativ indvirkning på net- og
informationssystemer, brugerne af sådanne systemer
og andre personer.
3) Elektronisk kommunikationsnet: Transmissionssy-
stem, uanset om det bygger på en permanent infra-
struktur eller en centraliseret administrati-onskapaci-
tet, og, hvor det er relevant, koblings- og dirigerings-
udstyr og andre ressourcer, herunder netelementer, der
ikke er aktive, som gør det muligt at overføre signa-
ler ved hjælp af trådforbindelse, radiobølger, lysleder-
teknik eller andre elektromagnetiske midler, herunder
satellitnet, jordbaserede fastnet (kredsløbs- og pakke-
koblede, herunder i internettet) og mobilnet, elkabel-
systemer, i det omfang de anvendes til transmission af
signaler, net, som anvendes til radio- og tv-spredning,
og kabel-tv-net, uanset hvilken type information der
overføres.
4) Elektronisk kommunikationstjeneste: En tjeneste, som
normalt ydes mod betaling via elektroniske kommuni-
kationsnet, og som med undtagelse af tjenester, der
består i tilrådighedsstillelse af eller udøvelse af redak-
tionel kontrol over indhold fremført via elektroniske
kommunikationsnet og -tjenester, omfatter følgende
typer tjenester
a) internetadgangstjenester,
b) interpersonelle kommunikationstjenester og
c) tjenester, der udelukkende eller overvejende be-
står i overføring af signaler, som f.eks. transmissi-
onstjenester, der anvendes til levering af maskine-
til-maskine-tjenester og til radio- og tv-spredning.
5) Hændelse: En begivenhed, der bringer tilgængelighe-
den, autenticiteten, integriteten eller fortroligheden af
lagrede, overførte eller behandlede data eller af de
tjenester, der tilbydes af eller er tilgængelige via net-
og informationssystemer, i fare.
6) Håndtering af hændelser: Enhver handling og proce-
dure, der tager sigte på at forebygge, opdage, analyse-
re og inddæmme eller at reagere på og reetablere sig
efter en hændelse.
7) Interpersonel kommunikationstjeneste: En tjeneste,
som normalt ydes mod betaling, og som muliggør di-
rekte interpersonel og interaktiv informationsudveks-
ling via elektroniske kommunikationsnet mellem et
afgrænset antal personer, hvor de personer, der ind-
leder eller deltager i kommunikationen, bestemmer
1) Loven gennemfører dele af Europa-Parlamentets og Rådets direktiv 2018/1972/EU af 11. december 2018 om oprettelse af en europæisk kodeks for
elektronisk kommunikation (omarbejdning), EU-Tidende 2018, nr. L 321, side 36. Loven gennemfører desuden dele af Europa-Parlamentets og Rådets
direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen, om ændring af
forordning (EU) nr. 910/2014 og direktiv (EU) 2018/1972 og om ophævelse af direktiv (EU) 2016/1148 (NIS 2-direktivet), EU-Tidende 2022, nr. L 333,
side 80.
Lovforslag nr. L 142 Folketinget 2024-25
Min. for Samfundssikkerhed og Beredskab, j.nr. 2025-75
DL000003
hvem modtageren eller modtagerne skal være, undta-
get tjenester, der blot muliggør interpersonel og inter-
aktiv kommunikation som en mindre støttefunktion,
der er tæt knyttet til en anden tjeneste.
8) Net- og informationssystem:
a) Et elektronisk kommunikationsnet, jf. nr. 3.
b) Enhver anordning eller gruppe af forbundne eller
beslægtede anordninger, hvoraf en eller flere ved
hjælp af et program udfører automatisk behand-
ling af digitale data.
c) Digitale data, som lagres, behandles, fremfindes
eller overføres af elementer i litra a og b med
henblik på deres drift, brug, beskyttelse og vedli-
geholdelse.
9) Nærvedhændelse: En begivenhed, der kunne have
bragt tilgængeligheden, autenticiteten, integriteten el-
ler fortroligheden af lagrede, overførte eller behandle-
de data eller af de tjenester, der tilbydes af eller er
tilgængelige via net- og informationssystemer, i fare,
men som det lykkedes at forhindre, eller som ikke
indtraf.
10) Offentligt elektronisk kommunikationsnet: Et elektro-
nisk kommunikationsnet, som udelukkende eller over-
vejende bruges til udbud af elektroniske kommunika-
tionstjenester, der er tilgængelige for offentligheden,
og som danner grundlag for overførsel af information
mellem nettermineringspunkter.
11) Offentligt tilgængelige elektroniske kommunikations-
tjenester: En elektronisk kommunikationstjeneste, jf.
nr. 4, der stilles til rådighed for en ikke på forhånd
afgrænset kreds af slutbrugere eller teleudbydere.
12) Radiobaseret lokalnet: Et trådløst adgangssystem med
lav effekt og lille rækkevidde, der har en lav risiko
for at skabe interferens med andre sådanne systemer
etableret i nærheden af andre brugere, og som på et ik-
keeksklusivt grundlag anvender harmoniserede radio-
frekvenser.
13) Sikkerhed i net- og informationssystemer: Net- og in-
formationssystemers, jf. nr. 8, evne til, på et givet sik-
kerhedsniveau, at modstå enhver begivenhed, der kan
være til skade for tilgængeligheden, autenticiteten,
integriteten eller fortroligheden af lagrede, overførte
eller behandlede data eller af de tjenester, der tilbydes
af eller er tilgængelige via disse net- og informations-
systemer.
14) Teleudbyder: Den, der med et kommercielt formål
stiller produkter af offentlige elektroniske kommu-
nikationsnet og offentligt tilgængelige elektroniske
kommunikationstjenester til rådighed for andre.
15) Væsentlig cybertrussel: En cybertrussel, som på
grundlag af sine tekniske karakteristika kan antages at
have potentiale til at få alvorlig indvirkning på en ud-
byders net- og informationssystemer eller på brugerne
af udbyderens tjenester ved at forårsage betydelig fy-
sisk eller ikke fysisk skade
Væsentlige udbydere
§ 3. Teleudbydere, der med et kommercielt formål udby-
der offentlige elektroniske kommunikationsnet eller offent-
ligt tilgængelige elektroniske kommunikationstjenester som
deres hovedydelse, eller som en ikke-accessorisk del af virk-
somheden, anses for at være væsentlige, hvis de opfylder én
af følgende betingelser, jf. dog stk. 2:
1) Udbyderen beskæftiger mere end 50 ansatte.
2) Udbyderen har en årlig omsætning på over 10 mio.
EUR og en årlig balance på over 10 mio. EUR.
Stk. 2. Uanset teleudbyderens størrelse anses følgende
teleudbydere for at være væsentlige teleudbydere:
1) Teleudbyderen er den eneste udbyder i Danmark af et
net eller en tjeneste, der er væsentlig for opretholdelsen
af kritiske samfundsmæssige eller økonomiske aktivite-
ter.
2) En forstyrrelse af det net eller den tjeneste, som teleud-
byderen leverer, vil kunne have væsentlig indvirkning
på den offentlige sikkerhed eller folkesundheden. ¬3)
En forstyrrelse af det net eller den tjeneste, teleudbyde-
ren leverer, vil kunne medføre en væsentlig systemisk
risiko, herunder hvor en sådan forstyrrelse kan have en
grænseoverskridende virkning.
4) Teleudbyderen er kritisk på grund af udbyderens spe-
cifikke betydning på nationalt eller regionalt plan for
sektoren eller typen af net eller tjeneste eller for andre
indbyrdes afhængige sektorer i Danmark.
5) Teleudbyderen er identificeret som en kritisk enhed i
henhold til lov om kritiske enheders modstandsdygtig-
hed.
Stk. 3. Ministeren for samfundssikkerhed og beredskab
kan fastsætte nærmere regler om kriterier for, hvornår enhe-
der er omfattet af stk. 2.
Vigtige udbydere
§ 4. Teleudbydere, der ikke opfylder kriterierne for at
være væsentlige udbydere efter lovens § 3, anses som vig-
tige teleudbydere, såfremt de med et kommercielt formål
udbyder offentlige elektroniske kommunikationsnet eller of-
fentligt tilgængelige elektroniske kommunikationstjenester
som deres hovedydelse, eller som en ikke-accessorisk del af
virksomheden.
Stk. 2. Styrelsen for Samfundssikkerhed kan træffe afgø-
relse om, at en teleudbyder, der er omfattet af § 3, stk. 2, nr.
1-4, skal anses som en vigtig teleudbyder.
Kapitel 2
Foranstaltninger til styring af sikkerhedsrisici m.v.
§ 5. Væsentlige og vigtige teleudbydere skal træffe pas-
sende og forholdsmæssige tekniske, operationelle og organi-
satoriske foranstaltninger for at styre risiciene for sikkerhe-
den i net- og informationssystemer, som disse udbydere an-
vender til deres operationer eller til at levere deres tjenester,
og for at forhindre hændelser eller minimere hændelsers
indvirkning på modtagere af deres tjenester og på andre
tjenester. Foranstaltningerne skal som minimum omfatte føl-
gende:
2
1) Politikker for risikoanalyse og informationssystemsik-
kerhed.
2) Håndtering af hændelser.
3) Driftskontinuitet, herunder backup-styring og reetab-
lering efter en katastrofe, og krisestyring.
4) Forsyningskædesikkerhed, herunder sikkerhedsrelate-
rede aspekter vedrørende forholdene mellem den en-
kelte teleudbyder og udbyderens direkte leverandører
eller tjenesteudbydere.
5) Sikkerhed i forbindelse med erhvervelse, udvikling og
vedligeholdelse af net- og informationssystemer, her-
under håndtering og offentliggørelse af sårbarheder.
6) Politikker og procedurer til vurdering af effektiviteten
af foranstaltninger til styring af sikkerhedsrisici.
7) Grundlæggende cyberhygiejnepraksisser og cybersik-
kerhedsuddannelse.
8) Politikker og procedurer vedrørende brug af krypto-
grafi og, hvor det er relevant, kryptering.
9) Personalesikkerhed, adgangskontrolpolitikker og for-
valtning af aktiver.
10) Brug af løsninger med multifaktorautentificering el-
ler kontinuerlig autentificering, sikret tale-, video- og
tekstkommunikation og sikrede nødkommunikations-
systemer internt hos udbyderen, hvor det er relevant.
Stk. 2. Væsentlige og vigtige teleudbyder, der ikke over-
holder ét eller flere af de krav, der er nævnt i stk. 1, til
foranstaltningerne eller regler om krav til foranstaltninger
fastsat i medfør af stk. 3, skal uden unødigt ophold træffe
alle nødvendige, passende og forholdsmæssige korrigerende
foranstaltninger.
Stk. 3. Ministeren for samfundssikkerhed og beredskab
fastsætter regler om krav til foranstaltninger efter stk. 1, og
om yderligere foranstaltninger og krav hertil for teleudbyde-
re omfattet af denne lov. Ministeren kan i den forbindelse
fastsætte regler om, at væsentlige og vigtige teleudbydere
skal anvende særlige IKT-produkter, -tjenester og -proces-
ser, som er certificeret i henhold til en europæisk cybersik-
kerhedscertificeringsordning for at påvise overensstemmelse
med bestemte krav efter stk. 1, eller regler om krav til foran-
staltninger fastsat i medfør af 1. pkt.
§ 6. De foranstaltninger, som væsentlige og vigtige te-
leudbydere træffer på baggrund § 5, stk. 1 og 2, samt regler
fastsat i medfør af § 5, stk. 3, skal være godkendt af teleud-
byderens ledelsesorgan. Ledelsesorganet fører tilsyn med
foranstaltningernes gennemførelse.
Stk. 2. Medlemmerne af ledelsesorganet i væsentlige og
vigtige teleudbydere skal deltage i relevante kurser om sty-
ring af informationssikkerhedsrisici og tilskynde til, at til-
svarende kurser tilbydes til udbyderens øvrige ansatte.
Kapitel 3
Oplysnings- og underretningspligter mv.
§ 7. Væsentlige og vigtige teleudbydere skal registrere sig
hos Styrelsen for Samfundssikkerhed og i den forbindelse
oplyse følgende:
1) Teleudbyderens navn.
2) Teleudbyderens adresse og ajourførte kontaktoplysnin-
ger, herunder e-mailadresser, IP-intervaller og telefon-
numre.
3) En liste over de øvrige medlemsstater i Den Europæ-
iske Union, hvor teleudbyderen leverer tjenester, der
er omfattet af anvendelsesområdet i artikel 2 i NIS
2-direktivet.
Stk. 2. Væsentlige og vigtige teleudbydere skal indgive
oplysningerne efter stk. 1, senest to uger efter, at teleudby-
deren omfattes af loven.
Stk. 3. I tilfælde af ændring i de oplysninger, der er af-
givet i medfør af stk. 1, skal den væsentlige eller vigtige
teleudbyder give Styrelsen for Samfundssikkerhed underret-
ning herom senest to uger efter datoen for ændringen.
Stk. 4. Ministeren for samfundssikkerhed og beredskab
kan fastsætte regler om, at væsentlige og vigtige teleudbyde-
re skal afgive yderligere oplysninger ved registrering.
Stk. 5. Ministeren for samfundssikkerhed og beredskab
kan fastsætte regler om oplysnings- og underretningspligter
for væsentlige og vigtige teleudbydere, herunder regler om
følgende:
1) Afgivelse af oplysninger om væsentlige dele af teleud-
byderens net eller tjenester eller driften heraf.
2) Krav om underretning af Styrelsen for Samfundssikker-
hed ved påtænkt indgåelse af aftaler om leverancer,
der vedrører væsentlige dele af udbyderens net eller
tjenester eller driften heraf.
3) Krav om, at teleudbyderen skal indsende et endeligt
aftaleudkast til Styrelsen for Samfundssikkerhed umid-
delbart forud for indgåelse af aftalen, og at aftalen først
kan indgås op til 25 arbejdsdage efter styrelsens modta-
gelse af pågældende udkast.
§ 8. Bestemmelsen i § 17 i lov om foranstaltninger til
sikring af et højt cybersikkerhedsniveau (NIS 2-loven) om
Computer Security Incident Response Teams (CSIRT) opga-
ver finder tilsvarende anvendelse for teleudbydere omfattet
denne lov.
Stk. 2. Teleudbydere skal underrette Styrelsen for Sam-
fundssikkerhed og CSIRT’en om enhver væsentlig hændelse
efter proceduren i § 9.
Stk. 3. En hændelse anses for at være væsentlig, hvis den
1) har forårsaget eller er i stand til at forårsage alvorlige
driftsforstyrrelser af net eller tjenester eller økonomiske
tab for den berørte udbyder, eller
2) har påvirket eller er i stand til at påvirke andre fysiske
eller juridiske personer ved at forårsage betydelig fy-
sisk eller ikke-fysisk skade.
Stk. 4. Ministeren for samfundssikkerhed og beredskab
kan fastsætte nærmere regler om, hvornår en hændelse kan
anses for at være væsentlig og hvilke oplysninger, der skal
gives i forbindelse med underretningen.
§ 9. Underretningen efter § 8, stk. 2, skal bestå af følgen-
de og ske på følgende måde:
1) En tidlig varsling, som skal angive, om den væsentlige
hændelse mistænkes at være forårsaget af ulovlige eller
ondsindede handlinger eller kunne have en grænseover-
skridende virkning, sendes uden unødigt ophold og se-
3
nest inden for 24 timer efter, at teleudbyderen har fået
kendskab til den væsentlige hændelse.
2) En hændelsesunderretning, som skal ajourføre oplys-
ningerne fra den tidlige varsling, jf. nr. 1, og give
en indledende vurdering af den væsentlige hændelse,
herunder dens alvor og indvirkning samt kompromit-
teringsindikatorerne, hvor sådanne foreligger, sendes
uden unødigt ophold og senest inden for 72 timer efter,
at teleudbyderen har fået kendskab til den væsentlige
hændelse, jf. dog stk. 2.
3) En foreløbig rapport med relevante statusopdateringer
sendes til enten Styrelsen for Samfundssikkerhed eller
CSIRT’en efter myndighedens anmodning herom.
4) En endelig rapport sendes til Styrelsen for Samfunds-
sikkerhed og CSIRT’en senest en måned efter fremsen-
delsen af den hændelsesunderretning, der er omhandlet
i nr. 2. Den endelige rapport skal indeholde følgende:
a) En detaljeret beskrivelse af hændelsen, herunder
dens alvor og indvirkning.
b) Den type trussel eller grundlæggende årsag, der
sandsynligvis har udløst hændelsen.
c) Anvendte og igangværende afbødende foranstalt-
ninger.
d) De eventuelle grænseoverskridende virkninger af
hændelsen.
5) Pågår hændelsen fortsat på tidspunktet for fremsendel-
sen af den endelige rapport, jf. nr. 4, skal den berørte
teleudbyder indsende en statusrapport på det pågælden-
de tidspunkt og en endelig rapport senest en måned
efter, at hændelsen er håndteret.
Stk. 2. Styrelsen for Samfundssikkerhed og CSIRT’en
sikrer, at den berørte teleudbyder uden unødigt ophold og
senest inden for 24 timer efter modtagelsen af den tidlige
varsling, jf. stk. 1, nr. 1, gives et svar, herunder indledende
tilbagemeldinger om den væsentlige hændelse. Efter anmod-
ning fra teleudbyderen skal CSIRT’en desuden yde vejled-
ning, operativ rådgivning om gennemførelsen af mulige af-
bødende foranstaltninger og supplerende teknisk bistand.
§ 10. Teleudbydere kan underrette Styrelsen for Sam-
fundssikkerhed og CSIRT’en om hændelser, nærvedhændel-
ser og cybertrusler.
Stk. 2. Styrelsen for Samfundssikkerhed og CSIRT’en
behandler underretninger efter stk. 1 på samme måde som
underretninger modtaget i medfør af § 8. CSIRT’en og Sty-
relsen for Samfundssikkerhed kan prioritere håndteringen af
underretninger, der er modtaget i medfør af § 8 frem for
underretninger efter stk. 1.
Stk. 3. Teleudbydere kan, uanset om de er omfattet af
lovens anvendelsesområde, give frivillig underretning til
CSIRT’en efter stk. 1.
§ 11. Er det sandsynligt, at en væsentlig hændelse, jf. § 8,
stk. 3, vil påvirke teleudbyderens levering af deres tjenester
til modtagerne heraf negativt, underretter teleudbyderen i
relevant omfang modtagerne herom uden unødigt ophold.
Stk. 2. Teleudbydere oplyser uden unødigt ophold mod-
tagerne af deres tjenester, som potentielt er berørt af en
væsentlig cybertrussel, om eventuelle foranstaltninger eller
modforholdsregler, som modtagerne kan træffe som reaktion
på den pågældende trussel. Hvor det er relevant, skal udby-
derne også informere de pågældende modtagere om selve
den væsentlige trussel.
§ 12. Styrelsen for Samfundssikkerhed kan efter høring af
en teleudbyder, der er ramt af en væsentlig hændelse, jf. § 8,
stk. 3 informere offentligheden om den væsentlige hændel-
se, hvis offentliggørelsen er nødvendig for at forebygge eller
håndtere hændelsen, eller hvis offentliggørelse af hændelsen
på anden vis er i offentlighedens interesse.
Stk. 2. Styrelsen for Samfundssikkerhed kan i de situati-
oner, der er nævnt i stk. 1, træffe afgørelse om, at den
relevante teleudbyder informerer offentligheden om den væ-
sentlige hændelse og bestemme, hvordan denne information
skal gives.
Stk. 3. CSIRT’en kan efter samme kriterier som i stk. 1
informere offentligheden om væsentlige hændelser, der kan
påvirke mere end én sektor.
Stk. 4. CSIRT’en kan efter samme kriterier som i stk. 1
informere offentligheden om væsentlige hændelser i andre
medlemsstater.
Kapitel 4
Beredskabssituationer og andre ekstraordinære situationer
§ 13. Styrelsen for Samfundssikkerhed koordinerer og
prioriterer beredskabsaktørernes behov for samfundsvigtig
elektronisk kommunikation i beredskabssituationer og i an-
dre ekstraordinære situationer.
Stk. 2. Væsentlige og vigtige teleudbydere skal sikre, at
de foretagne prioriteringer gennemføres i net og tjenester.
Stk. 3. Væsentlige og vigtige teleudbydere skal underrette
Styrelsen for Samfundssikkerhed i tilfælde, hvor udbyderen
aktiverer sit beredskab, eller hvor udbyderen bliver bekendt
med en hændelse, som vurderes at kunne føre til en be-
redskabssituation eller en anden ekstraordinær situation for
teleudbyderen selv eller for en anden udbyder. Ministeren
for samfundssikkerhed og beredskab kan fastsætte nærmere
regler om underretningspligten efter 1. pkt.
Stk. 4. Teleudbydere, som i medfør af lov om elektroni-
ske kommunikationsnet og -tjenester skal udsende offentlige
advarsler om overhængende eller truende alvorlige nødsitua-
tioner og katastrofer, skal træffe alle nødvendige foranstalt-
ninger til at sikre uafbrudt transmission af advarslerne. Mi-
nisteren for samfundssikkerhed og beredskab kan fastsætte
nærmere regler om foranstaltninger efter 1. pkt.
Stk. 5. I beredskabssituationer og i andre ekstraordinæ-
re situationer kan Styrelsen for Samfundssikkerhed påbyde
væsentlige og vigtige teleudbydere uden unødigt ophold at
iværksætte nærmere angivne sikkerhedsforanstaltninger. Mi-
nisteren for samfundssikkerhed og beredskab, kan fastsætte
regler om de sikkerhedsforanstaltninger, der er nævnt i 1.
pkt.
Stk. 6. I beredskabssituationer og i andre ekstraordinære
situationer skal væsentlige teleudbydere efter påbud fra Sty-
relsen for Samfundssikkerhed prioritere retablering af nær-
mere angivne dele af udbyderens beskadigede infrastruktur.
4
Stk. 7. I beredskabssituationer og i andre ekstraordinæ-
re situationer, hvor der opstår kapacitetsproblemer, skal
væsentlige teleudbydere efter påbud fra Styrelsen for Sam-
fundssikkerhed prioritere fremførsel i net af nærmere angiv-
ne forbindelser og tjenester, herunder om nødvendigt afbry-
de andre forbindelser eller tjenester helt eller delvist.
Kapitel 5
Aktindsigt i oplysninger og underretninger
§ 14. Underretninger modtaget i medfør af § 8, stk. 2, og
§ 10 er undtaget fra aktindsigt efter lov om offentlighed i
forvaltningen og partsaktindsigt efter forvaltningsloven.
§ 15. Det kan i regler udstedt i medfør af § 7, stk. 5, fast-
sættes, at underretninger og afgivelse af oplysninger efter
denne bestemmelser er undtaget fra aktindsigt efter lov om
offentlighed i forvaltningen og partsaktindsigt efter forvalt-
ningsloven.
Kapitel 6
Sikkerhedsgodkendelser
§ 16. Medarbejdere hos væsentlige og vigtige teleudby-
dere og repræsentanter for disse udbydere skal sikkerheds-
godkendes af Styrelsen for Samfundssikkerhed, når én af
følgende betingelser er opfyldt:
1) Det er nødvendigt i forhold til den pågældendes adgang
til klassificeret information eller til de funktioner, som
den pågældende skal varetage.
2) Den pågældende varetager kontakten til Styrelsen for
Samfundssikkerhed i relation til beredskabet i henhold
til regler, der er udstedt i medfør af § 13, stk. 3.
Stk. 2. Ministeren for samfundssikkerhed og beredskab
kan efter forhandling med justitsministeren fastsætte regler
om ansøgninger vedrørende sikkerhedsgodkendelser, herun-
der betingelser for indgivelse af sådanne ansøgninger samt
meddelelse og tilbagekaldelse af sikkerhedsgodkendelser.
Kapitel 7
Tilsyn og håndhævelse
§ 17. Styrelsen for Samfundssikkerhed fører tilsyn med
overholdelse af denne lov og regler, der er udstedt i medfør
af loven.
§ 18. Styrelsen for Samfundssikkerhed kan påbyde væ-
sentlige og vigtige teleudbydere at inddrage nærmere angiv-
ne områder af deres virksomhed og nærmere angivne trusler
mod sikkerheden i net- og informationssystemer i deres for-
anstaltninger efter § 5, stk. 1.
Stk. 2. Er det af væsentlig samfundsmæssig betydning,
kan Styrelsen for Samfundssikkerhed påbyde væsentlige og
vigtige teleudbydere at træffe konkrete foranstaltninger med
henblik på at sikre sikkerheden i net- og informationssyste-
mer, herunder påbud om, at udstyr, der skal anvendes i
forbindelse med indgreb i meddelelseshemmeligheden, skal
opsættes i og drives fra Danmark. Ministeren for samfunds-
sikkerhed og beredskab kan fastsætte nærmere regler om
påbud om foranstaltninger efter 1. pkt.
Tilsyns- og kontrolforanstaltninger for væsentlige
teleudbydere
§ 19. Styrelsen for Samfundssikkerhed kan anvende føl-
gende tilsynsforanstaltninger over for en væsentlig teleudby-
der:
1) Uden retskendelse og mod behørig legitimation foreta-
ge kontrol hos teleudbydere samt deres samarbejdspart-
nere, leverandører eller underleverandører i relation til
outsourcet aktivitet og eksternt tilsyn, herunder foreta-
ge stikprøvekontroller.
2) Foretage regelmæssige og målrettede sikkerhedsaudits
eller stille krav om, at teleudbyderen får et kvalifice-
ret uafhængigt organ til at foretage disse audits, og at
resultaterne heraf stilles til rådighed for Styrelsen for
Samfundssikkerhed.
3) Foretage sikkerhedsaudits ad hoc.
4) Foretage sikkerhedsscanninger.
5) Kræve at få udleveret oplysninger, der er nødvendige
for at vurdere de foranstaltninger til styring af sikker-
hedsrisici, som den berørte udbyder har indført.
6) Kræve at få adgang til data, dokumenter og oplysnin-
ger, der er nødvendige for udførelsen af tilsynsopga-
ven, herunder til afgørelse af om et forhold er omfattet
af denne lov eller regler udstedt i medfør af loven.
7) Kræve at få udleveret dokumentation for gennemførel-
sen af sikkerhedspolitikker.
8) Kræve at få skriftlige udtalelser og redegørelser om
faktiske forhold af betydning for Styrelsen for Sam-
fundssikkerheds tilsynsvirksomhed.
Stk. 2. Ved anvendelsen af tiltagene i stk. 1, nr. 5-8, skal
Styrelsen for Samfundssikkerhed angive formålet med tilta-
get og præcisere, hvilke oplysninger der kræves udleveret
og hvordan og i hvilken form oplysningerne og materialet
nævnt i stk. 1, nr. 5-8, skal udleveres.
Håndhævelsesforanstaltninger for væsentlige teleudbydere
§ 20. Styrelsen for Samfundssikkerhed kan anvende føl-
gende håndhævelsesforanstaltninger over for en væsentlig
teleudbyder:
1) Udstede advarsler om teleudbyderens overtrædelse af
kapitel 2-4, og regler udstedt i medfør af bestemmelser
i disse kapitler.
2) Udstede bindende instrukser, herunder vedrørende for-
anstaltninger, der er nødvendige for at forhindre eller
afhjælpe en hændelse, samt frister for gennemførelse af
sådanne foranstaltninger og for rapportering om deres
gennemførelse eller pålægge de pågældende enheder at
afhjælpe de konstaterede mangler eller overtrædelserne
af lovens kapitel 2-4, og regler udstedt i medfør af
bestemmelser i disse kapitler.
3) Påbyde teleudbyderen at træffe foranstaltninger, der er
nødvendige for at forhindre eller afhjælpe en hændelse.
4) Meddele teleudbyderen påbud og forbud for at sikre
overholdelsen af de krav, der er fastsat i loven kapitel
2-4, og regler udstedt i medfør af bestemmelserne i
disse kapitler.
5
5) Påbyde teleudbyderen at underrette de fysiske eller ju-
ridiske personer, som teleudbyderen leverer tjenester til
eller udfører aktiviteter for, og som potentielt kan være
berørt af en væsentlig trussel, om denne trussels ka-
rakter samt om eventuelle beskyttelsesforanstaltninger
eller afhjælpende foranstaltninger, som de fysiske eller
juridiske personer kan træffe som reaktion på denne
trussel.
6) Påbyde teleudbyderen at gennemføre de anbefalinger,
der er fremsat i forbindelse med en gennemført sikker-
hedsaudit.
7) Udpege en person med ansvar for i en nærmere fastsat
periode at føre tilsyn med teleudbyderens overholdelse
af kapitel 2 og 3 samt regler udstedt i medfør heraf.
8) Påbyde udbyderen i ikke-anonymiseret form og på en
nærmere angiven måde at offentliggøre afgørelser om
håndhævelsesforanstaltninger efter nr. 1-5 samt resu-
meer af domme eller bødevedtagelser, hvor der idøm-
mes eller vedtages en bøde.
§ 21. Har én eller flere af de håndhævelsesforanstaltnin-
ger, der er pålagt i medfør af § 20, nr. 1-8, vist sig at
være utilstrækkelige, kan Styrelsen for Samfundssikkerhed
fastsætte en frist, inden for hvilken den væsentlige teleud-
byder skal foretage de nødvendige tiltag for at afhjælpe
manglerne eller opfylde Styrelsen for Samfundssikkerheds
krav. Er manglerne ikke afhjulpet eller Styrelsen for Sam-
fundssikkerheds krav ikke opfyldt inden for den fastsatte
frist, kan Styrelsen for Samfundssikkerhed træffe afgørelse
om følgende:
1) Midlertidigt at suspendere en certificering eller god-
kendelse vedrørende dele af eller alle de relevante tje-
nester, som teleudbyderen leverer, eller aktiviteter, der
udføres af teleudbyderen.
2) Midlertidigt at forbyde enhver fysisk person med ledel-
sesansvar på niveau med administrerende direktør eller
den juridiske repræsentant hos udbyderen at udøve le-
delsesfunktioner hos den pågældende teleudbyder.
Stk. 2. Suspensioner eller forbud, som er pålagt i medfør
af stk. 1, kan kun anvendes, indtil den væsentlige teleudby-
der træffer de nødvendige tiltag for at afhjælpe de mangler
eller opfylde de krav, som gav anledning til, at foranstaltnin-
gerne blev anvendt.
Stk. 3. En afgørelse efter stk. 1 kan af den væsentlige te-
leudbyder eller den fysiske person, som afgørelsen vedrører,
forlanges indbragt for domstolene. Styrelsen for Samfunds-
sikkerhed anlægger i givet fald sag inden for rammerne af
den civile retspleje mod den teleudbyder eller person, som
har forlangt sagen indbragt.
Stk. 4. Ministeren for samfundssikkerhed og beredskab
fastsætter regler om, hvilke certificeringer og godkendelser,
der er omfattet af stk. 1, nr. 1.
Tilsyns- og kontrolforanstaltninger for vigtige teleudbydere
§ 22. Styrelsen for Samfundssikkerhed kan som led i sit
tilsyn, hvis der er indikationer på, at en vigtig teleudbyder
ikke overholder eller ikke har overholdt denne lov eller
regler udstedt i medfør af loven anvende følgende tilsyns-
og kontrolforanstaltninger:
1) Uden retskendelse og mod behørig legitimation foreta-
ge kontrol hos teleudbydere samt deres samarbejdspart-
nere, leverandører eller underleverandører i relation til
outsourcet aktivitet og eksternt tilsyn, herunder foreta-
ge stikprøvekontroller og eksternt efterfølgende tilsyn.
2) Foretage målrettede sikkerhedsaudits eller stille krav
om, at udbyderen får et kvalificeret uafhængigt organ
til at foretage disse audits, og at resultaterne heraf stil-
les til rådighed for Styrelsen for Samfundssikkerhed.
3) Foretage sikkerhedsscanninger.
4) Kræve at få udleveret oplysninger, der er nødvendige
for efterfølgende at vurdere de foranstaltninger til sty-
ring af sikkerhedsrisici, som den berørte udbyder har
indført.
5) Kræve at få adgang til data, dokumenter og oplysnin-
ger, der er nødvendige for udførelsen af tilsynsopga-
ven, herunder til afgørelse af, om et forhold er omfattet
af denne lov eller regler udstedt i medfør af loven.
6) Kræve at få udleveret dokumentation for gennemførel-
sen af sikkerhedspolitikker.
7) Kræve at få skriftlige udtalelser og redegørelser om
faktiske forhold af betydning for Styrelsen for Sam-
fundssikkerheds tilsynsvirksomhed.
Stk. 2. Ved anvendelse af tiltagene i stk. 1, nr. 4-7, skal
Styrelsen for Samfundssikkerhed angive formålet med tilta-
get og præcisere, hvilke oplysninger der kræves udleveret
og hvordan og i hvilken form oplysningerne og materialet
nævnt i stk. 1, nr. 4-7, skal udleveres.
§ 23. Styrelsen for Samfundssikkerhed kan anvende føl-
gende håndhævelsesforanstaltninger over for en vigtig te-
leudbyder:
1) Udstede advarsler om teleudbyderens overtrædelse af
kapitel 2-4, og regler udstedt i medfør heraf.
2) Udstede bindende instrukser, herunder vedrørende for-
anstaltninger, der er nødvendige for at forhindre eller
afhjælpe en hændelse, samt frister for gennemførelse af
sådanne foranstaltninger og for rapportering om deres
gennemførelse eller pålægge de pågældende enheder at
afhjælpe de konstaterede mangler eller overtrædelserne
af lovens kapitel 2-4, og regler udstedt i medfør af
bestemmelser i disse kapitler.
3) Meddele teleudbyderen påbud og forbud for at sikre
overholdelsen af de krav, der er fastsat i loven eller
regler udstedt i medfør af loven.
4) Påbyde teleudbyderen at underrette de fysiske eller ju-
ridiske personer, som udbyderen leverer tjenester til
eller udfører aktiviteter for, og som potentielt kan være
berørt af en væsentlig trussel, om denne trussels ka-
rakter samt om eventuelle beskyttelsesforanstaltninger
eller afhjælpende foranstaltninger, som de fysiske eller
juridiske personer kan træffe som reaktion på denne
trussel.
5) Påbyde teleudbyderen at gennemføre de anbefalinger,
der er fremsat i forbindelse med en gennemført sikker-
hedsaudit.
6
6) Påbyde teleudbyderen i ikke-anonymiseret form og på
en nærmere angiven måde at offentliggøre afgørelser
om håndhævelsesforanstaltninger efter nr. 1-3, samt
resumeer af domme eller bødevedtagelser, hvor der
idømmes eller vedtages en bøde.
Høring af væsentlige og vigtige teleudbydere
§ 24. Inden Styrelsen for Samfundssikkerhed træffer af-
gørelse om at anvende håndhævelsesforanstaltninger efter
§§ 20, 21 og 23 underrettes den væsentlige eller vigtige te-
leudbyder om de påtænkte håndhævelsesforanstaltninger og
begrundelsen herfor. Styrelsen for Samfundssikkerhed skal
give teleudbyderen en rimelig frist til at fremsætte bemærk-
ninger, undtagen i tilfælde, hvor formålet med foranstaltnin-
gen ellers ville forspildes.
Offentliggørelse
§ 25. Styrelsen for Samfundssikkerhed kan i ikke-anony-
miseret form offentliggøre følgende:
1) Afgørelser om påbud meddelt i medfør af § 13, stk. 5
og 7 og 18, stk. 1 og 2, og afgørelser truffet i medfør af
regler, der er udstedt i medfør af § 7, stk. 5, nr. 1-3, §
13, stk. 5, 2. pkt., og § 18, stk. 2, 2. pkt.
2) Resultater af tilsyn efter §§ 19 og 22.
3) Resuméer af domme eller bødevedtagelser, hvor der
idømmes eller vedtages en bøde for overtrædelse af
denne lov eller regler, der er udstedt i medfør af denne
lov.
4) Resuméer af domme i retssager, hvor Styrelsen for
Samfundssikkerhed er part om forhold omfattet af den-
ne lov.
Stk. 2. Offentliggørelse efter stk. 1 må ikke indeholde
følgende:
1) Oplysninger om tekniske indretninger eller fremgangs-
måder eller om drifts- eller forretningsforhold eller
lignende, for så vidt det er af væsentlig økonomisk
betydning for den væsentlige eller vigtige teleudbyder,
som oplysningerne angår.
2) Oplysninger, der er af væsentlig betydning for statens
sikkerhed eller rigets forsvar.
3) Klassificerede informationer.
4) Fortrolige oplysninger, der hidrører fra nationale til-
synsmyndigheder i andre EU-medlemsstater, medmin-
dre de myndigheder, der har afgivet oplysningerne, har
givet deres udtrykkelige tilladelse til offentliggørelse.
5) Oplysninger om enkeltpersoners private forhold.
Stk. 3. Ministeren for samfundssikkerhed og beredskab
kan fastsætte regler om sagsbehandlingen i forbindelse med
offentliggørelse efter stk. 1.
Kapitel 8
Videregivelse af oplysninger, gensidig bistand,
gennemførelsesretsakter, digital kommunikation m.v.
§ 26. De forpligtelser, der er fastsat i denne lov eller i
regler udstedt i medfør af loven, omfatter ikke meddelelse af
oplysninger, hvis videregivelse ville stride mod væsentlige
interesser af hensyn til den nationale sikkerhed, offentlige
sikkerhed eller forsvar.
Stk. 2. Oplysninger, der modtages eller hidrører fra myn-
digheder i andre EU-medlemsstater, behandles som fortroli-
ge, såfremt den afgivende myndighed betragter oplysninger-
ne som fortrolige i henhold til EU-regler eller nationale
regler.
§ 27. Styrelsen for Samfundssikkerhed kan hos væsentli-
ge og vigtige teleudbydere indsamle oplysninger med hen-
blik på at videregive disse til Kommissionen, Den Euro-
pæiske Unions Agentur for Cybersikkerhed eller nationale
tilsynsmyndigheder i andre EU-medlemsstater, i det omfang
det er nødvendigt for, at disse kan opfylde deres opgaver
i forhold til traktatmæssige forpligtelser eller forpligtelser i
henhold til den gældende EU-ret.
Stk. 2. Styrelsen for Samfundssikkerhed orienterer de væ-
sentlige og vigtige teleudbydere som der er indsamlet oplys-
ninger fra efter stk. 1, forud for videregivelse af oplysnin-
gerne til Kommissionen, Den Europæiske Unions Agentur
for Cybersikkerhed eller nationale tilsynsmyndigheder i an-
dre EU-medlemsstater.
§ 28. Hvor en væsentlig eller vigtig teleudbyder leverer
tjenester i mere end én medlemsstat i Den Europæiske
Union, eller hvor udbyderen leverer tjenester i en eller
flere medlemsstater, og udbyderens net- og informationssy-
stemer er beliggende i en eller flere andre medlemsstater,
samarbejder Styrelsen for Samfundssikkerhed med de an-
dre medlemsstaters kompetente myndigheder i relevant om-
fang. Samarbejdet indebærer følgende:
1) Styrelsen for Samfundssikkerhed underretter de kom-
petente myndigheder i relevante medlemsstater om til-
syns- og håndhævelsesforanstaltninger iværksat overfor
teleudbydere i Danmark.
2) Styrelsen for Samfundssikkerhed kan anmode en anden
medlemsstats kompetente myndigheder om at anvende
tilsyns- og håndhævelsesforanstaltninger.
3) Styrelsen for Samfundssikkerhed yder i rimeligt om-
fang bistand til en anden medlemsstats kompetente
myndighed efter modtagelse af en begrundet anmod-
ning om at anvende tilsyns- og håndhævelsesforanstalt-
ninger.
Stk. 2 Styrelsen for Samfundssikkerhed kan efter nærme-
re aftale gennemføre fælles tilsynstiltag med kompetente
myndigheder fra andre medlemsstater i Den Europæiske
Union.
§ 29. Ministeren for samfundssikkerhed og beredskab
kan fastsætte regler, som er nødvendige for at gennemføre
retsakter udstedt af Europa-Kommissionen i medfør af NIS
2-direktivet.
§ 30. Ministeren for samfundssikkerhed og beredskab
kan fastsætte regler om digital kommunikation, herunder
om anvendelsen af bestemte it-systemer og særlige digitale
formater samt digital signatur eller lignende.
7
Kapitel 9
Straf
§ 31. Med bøde straffes den, der
1) overtræder § 5, stk. 1, eller 2, § 7, stk. 1-3, § 8, stk. 2,
jf. stk. 3, § 9, stk. 1 og § 11, stk. 1 og 2,
2) undlader at efterkomme Styrelsen for Samfundssikker-
heds afgørelse efter § 21, stk. 1, nr. eller 2.
3) undlader at efterkomme Styrelsen for Samfundssikker-
heds påbud efter § 13, stk. 5, eller § 18, stk. 1 og 2,
4) undlader at efterkomme Styrelsen for Samfundssikker-
heds krav efter § 19, stk. 1, nr. 5-8, eller § 22, stk. 1, nr.
4-7 eller
5) hindrer Styrelsen for Samfundssikkerhed i at føre tilsyn
efter bestemmelserne i § 19, stk. 1, nr. 1-4, eller § 22,
stk. 1, nr. 1-3.
Stk. 2. Der kan pålægges selskaber mv. (juridiske person-
er) strafansvar efter reglerne i straffelovens 5. kapitel.
Stk. 3. I forskrifter, der udstedes i medfør af loven kan der
fastsættes straf af bøde for overtrædelse af bestemmelserne i
forskrifterne.
Kapitel 10
Ikrafttrædelse, overgangsbestemmelser og ændringer i
anden lovgivning m.v.
§ 32. Loven træder i kraft den 1. juli 2025.
Stk. 2. Lov om sikkerhed i net og tjenester, jf. lovbekendt-
gørelse nr. 153 af 1. februar 2021, ophæves.
Stk. 3. Oplysningerne efter § 7, stk. 1, skal indgives senest
den 1. oktober 2025.
§ 33. Loven gælder ikke for Færøerne og Grønland.
§ 34. I lov nr. 1156 af 8. juni 2021 om leverandørsik-
kerhed i den kritiske teleinfrastruktur foretages følgende æn-
dringer:
1. § 1, nr. 3, affattes således:
»3) Vigtig teleudbyder: En teleudbyder, som er identificeret
som en vigtig teleudbyder i henhold til lov om sikkerhed og
beredskab i telesektoren.«
2. I § 1 indsættes som nr. 4:
»4) Væsentlig teleudbyder: En teleudbyder, som er identifi-
ceret som en væsentlig teleudbyder i henhold til lov om
sikkerhed og beredskab i telesektoren.«
3. I § 2, stk. 1, § 3, stk. 1 og 2, og § 15, ændres »væsentlig
erhvervsmæssig udbyder af offentligt tilgængelige elektroni-
ske kommunikationsnet og -tjenester« til: »væsentlig eller
vigtig teleudbyder«.
8
Bemærkninger til lovforslaget
Almindelige bemærkninger
Indholdsfortegnelse
1. Indledning
2. Baggrund
2.1. Formål
2.1.1. Generelt om EU᾽s telekodeks
2.1.2. Generelt om NIS 2-direktivet
2.1.3. Implementeringen af NIS 2-direktivet for telesektoren
2.2. Sammenhængen med CER-direktivet
3. Lovforslagets hovedpunkter
3.1. Teleudbyderbegrebet
3.1.1. Gældende ret
3.1.2. NIS 2-direktivet
3.1.3. Ministeriet for Samfundssikkerhed og Beredskabs overvejelser
3.1.4. Den foreslåede ordning
3.2. Foranstaltninger til styring af sikkerhedsrisici m.v.
3.2.1. Gældende ret
3.2.2. NIS 2-direktivet
3.2.3. Ministeriet for Samfundssikkerhed og Beredskabs overvejelser
3.2.4. Den foreslåede ordning
3.3. Hændelsesrapportering samt olysnings- og underretningspligter
3.3.1. Gældende ret
3.3.2. NIS 2-direktivet
3.3.3. Ministeriet for Samfundssikkerhed og Beredskabs overvejelser
3.3.4. Den foreslåede ordning
3.4. Beredskabssituationer og andre ekstraordinære situationer
3.4.1. Gældende ret
3.4.2. NIS 2-direktivet
3.4.3. Ministeriet for Samfundssikkerhed og Beredskabs overvejelser
3.4.4. Den foreslåede ordning
3.5. Aktindsigt i oplysninger og underretninger
3.5.1. Gældende ret
3.5.2. NIS 2-direktivet
3.5.3. Ministeriet for Samfundssikkerhed og Beredskabs overvejelser
3.5.4. Den foreslåede ordning
3.6. Sikkerhedsgodkendelser
9
3.6.1. Gældende ret
3.6.2. NIS 2-direktivet
3.6.3. Ministeriet for Samfundssikkerhed og Beredskabs overvejelser
3.6.4. Den foreslåede ordning
3.7. Tilsyn
3.7.1. Gældende ret
3.7.2. NIS 2-direktivet
3.7.3. Ministeriet for Samfundssikkerhed og Beredskabs overvejelser
3.7.4. Den foreslåede ordning
3.8. Håndhævelse
3.8.1. Gældende ret
3.8.2. NIS 2-direktivet
3.8.3. Ministeriet for Samfundssikkerhed og Beredskabs overvejelser
3.8.4. Den foreslåede ordning
3.9. Ansvar og sankioner
3.9.1. Gældende ret
3.9.2. NIS 2-direktivet
3.9.3. Ministeriet for Samfundssikkerhed og Beredskabs overvejelser
3.9.4. Den foreslåede ordning
4. Forholdet til databeskyttelsesforordningen og databeskyttelsesloven
5. Økonomiske konsekvenser og implementeringskonsekvenser for det offentlige
6. Økonomiske og administrative konsekvenser for erhvervslivet mv.
7. Administrative konsekvenser for borgerne
8. Klimamæssige konsekvenser
9. Miljø- og naturmæssige konsekvenser
10. Forholdet til EU-retten
11. Hørte myndigheder og organisationer mv.
12. Sammenfattende skema
1. Indledning
Danmark er blandt de mest digitaliserede samfund i ver-
den. Et stærkt digitaliseret samfund som Danmark er i
stigende grad afhængigt af telenettet, der bl.a. anvendes
som platform for telefoni og datakommunikation. Det sam-
lede telenet er således en af de mest kritiske dele af sam-
fundets informations- og kommunikationsteknologiske in-
frastruktur. Det er en forudsætning for det digitale samfund,
at mennesker og maskiner kan kommunikere digitalt på en
sikker og effektiv måde. Tilgængelighed, fortrolighed og
integritet af teletjenesterne er af kritisk betydning for sam-
fundets funktion og sikkerhed.
Dermed er samfundet også særdeles sårbart, hvis dele af
telenettet i kortere eller længere perioder er ude af drift.
Hertil kommer, at Danmark står over for et mere sammensat
og komplekst trusselsbillede end for blot få år siden. Det
gælder ikke mindst på cybersikkerhedsområdet, hvilket un-
derstreges af Center for Cybersikkerheds trusselsvurdering
fra 2024. Det fremgår bl.a. heraf, at niveauet for cyberkrimi-
nalitet er MEGET HØJT, og at truslen fra cyberaktivisme
er HØJ. Truslen fra destruktive cyberangreb er tidligere på
året blevet hævet fra LAV til MIDDEL. Niveauet blev hævet
på baggrund af en udvikling i Ruslands risikovillighed i for-
hold til at anvende hybride virkemidler, herunder destruktive
cyberangreb, mod europæiske NATO-lande. Hertil kommer
risikoen for sabotage og hærværk mod kritiske dele af te-
leinfrastrukturen. De store datamængder, som sendes via
telenettet, indebærer desuden, at telenettet er et oplagt mål
for aktører, der vil udøve industrispionage mod virksomhe-
der eller spionage mod myndigheder og personer. I dag er
10
truslen fra cyberspionage blandt de mest alvorlige trusler,
som vores samfund står overfor.
Danmarks sårbarhed over for bl.a. cybertruslen vil øges i
takt med den fortsatte digitale udvikling. Den fortsatte digi-
tale udvikling stiller nye og større krav til vores håndtering
af sikkerheden i teleinfrastrukturen. Det gælder ikke kun i
Danmark, men på tværs af EU. Net- og informationssyste-
mer har udviklet sig til et centralt element i hverdagen med
den hurtige digitale omstilling og forbundethed i samfundet,
herunder i forbindelse med grænseoverskridende udvekslin-
ger. Denne udvikling har ført til en udvidelse af antallet og
typen af cybertrusler og skabt nye udfordringer, som kræver
tilpassede, koordinerede og innovative svar i alle medlems-
stater.
Dette er bl.a. baggrunden for, at Europa-Parlamentet og Rå-
det har vedtaget direktiv (EU) 2022/2555 af 14. december
2022 om foranstaltninger til sikring af et højt fælles cyber-
sikkerhedsniveau i hele Unionen, om ændring af forordning
(EU) nr. 910/2014 og direktiv (EU) 2018/1972 og om ophæ-
velse af direktiv (EU) 2016/2259 (NIS 2-direktivet).
NIS 2-direktivet har til formål at skabe et højere og mere
ensartet cybersikkerhedsniveau på tværs af medlemsstater-
ne. Direktivet stiller bl.a. cybersikkerhedskrav til virksom-
heder, myndigheder og organisationer (enheder) inden for
en lang række samfundskritiske sektorer, som bl.a. omfat-
ter energi, transport, bankvirksomhed, sundhed, drikke- og
spildevand, digital infrastruktur og den offentlige forvalt-
ning. Samtidig fastsættes en række oplysnings- og underret-
ningspligter over for myndighederne, herunder underretning
ved væsentlige hændelser samt pligt til at oplyse enhedernes
brugere om bl.a. væsentlige hændelser og eventuelle mod-
forholdsregler, som brugerne kan træffe. Direktivet styrker
desuden myndighedernes tilsynsbeføjelser og håndhævelses-
muligheder.
Formålet med dette lovforslag er at implementere NIS 2-di-
rektivet for telesektoren. Telesektoren spiller en afgørende
rolle i et højt digitaliseret samfund som det danske. Der
eksisterer derfor allerede omfattende regulering af informa-
tionssikkerhed og beredskab i telesektoren, herunder navnlig
lov om sikkerhed i net og tjenester, jf. lovbekendtgørelse nr.
153 af 1. februar 2021, som ændret ved § 18 i lov nr. 1156
af 8. juni 2021. På visse områder, herunder navnlig i forhold
til leverandørsikkerhed, vurderes den nuværende regulering
om sikkerhed og beredskab i telesektoren at sikre et højere
sikkerhedsniveau end det, der følger af NIS 2-direktivet.
Det er derfor Ministeriet for Samfundssikkerhed og Bered-
skabs vurdering, at implementeringen af NIS 2-direktivet for
telesektoren bør ske særskilt, således at implementeringen af
NIS 2-direktivets minimumskrav ikke medfører, at kravene i
den eksisterende regulering for sikkerheden og beredskabet i
telesektoren sænkes.
Forslag til lov om foranstaltninger til sikring af et højt cy-
bersikkerhedsniveau, der implementerer NIS 2-direktivet i
de øvrige omfattede sektorer, fremsættes samtidig med nær-
værende lovforslag.
2. Baggrund
2.1. Formål
Formålet med lovforslaget er at implementere NIS 2-direk-
tivet i telesektoren. Med dette lovforslag foreslås det, at
implementeringen af NIS 2-direktivet i telesektoren sker
gennem en integration med den eksisterende regulering på
området, herunder navnlig lov om sikkerhed i net og tjene-
ster, jf. lovbekendtgørelse nr. 153 af 1. februar 2021, som
ændret ved § 18 i lov nr. 1156 af 8. juni 2021.
Med henblik på at skabe et ensartet og overskueligt regelsæt
på teleområdet foreslås det derfor, at lov om sikkerhed i
net og tjenester ophæves, og at implementeringen af NIS
2-direktivet i telesektoren og den eksisterende regulering på
området samles i én lov.
Lov om sikkerhed i net og tjenester fastsætter en overordnet
ramme for de informationssikkerheds- og beredskabskrav
samt oplysnings- og underretningspligter, der gælder for te-
leudbydere, ligesom loven regulerer tilsyns- og håndhævel-
sesbeføjelser samt sanktionsmuligheder. Lovens bestemmel-
ser om informationssikkerheds- og beredskabskrav samt op-
lysnings- og underretningspligter er primært udformet som
bemyndigelser, der er udmøntet i fire bekendtgørelser.
Lov om sikkerhed i net og tjenester suppleres i øvrigt af lov
nr. 1156 af 8. juni 2021 om leverandørsikkerhed i den kriti-
ske teleinfrastruktur, som bl.a. giver myndighederne mulig-
hed for at forbyde konkrete leverandøraftaler vedrørende
den kritiske teleinfrastruktur, hvis aftalerne vurderes at ud-
gøre en trussel mod statens sikkerhed.
Dele af lov om sikkerhed i net og tjenester og de bekendt-
gørelser, der er udstedt i medfør af loven, bygger på EU-re-
gulering. Lovgivningen implementerer således en række be-
stemmelser i Europa-Parlamentets og Rådets direktiv (EU)
2018/1972 af 11. december 2018 om oprettelse af en euro-
pæisk kodeks for elektronisk kommunikation (EU’s teleko-
deks).
2.1.1. Generelt om EU’s telekodeks
Den 11. december 2018 vedtog Europa-Parlamentet og
Rådet direktiv (EU) 2018/1972 om oprettelse af en euro-
pæisk kodeks for elektronisk kommunikation (EU’s teleko-
deks). EU’s telekodeks samler og reviderer de fire centrale
EU-direktiver på teleområdet, herunder bl.a. rammedirekti-
vet og forsyningspligtsdirektivet.
EU’s telekodeks har til formål at forenkle EU-regulerin-
gens struktur, således at der skabes en mere sammenhæn-
gende regulering af elektroniske kommunikationsnet og -tje-
nester. Samtidig tager EU’s telekodeks højde for den sam-
fundsmæssige udvikling, hvor forbrugere og virksomheder
i stadig stigende grad anvender digitale, internetbaserede tje-
11
nester frem for traditionelle teletjenester. Samtidig har EU’s
telekodeks til formål at sikre, at digitale internetbaserede
tjenester bliver omfattet af bl.a. passende informationssik-
kerhedskrav.
EU’s telekodeks fastlægger en retlig ramme for reguleringen
af elektronisk kommunikation og indeholder bl.a. bestem-
melser om sikkerheden i offentlige elektroniske kommuni-
kationsnet og offentligt tilgængelige elektroniske kommu-
nikationstjenester. EU’s telekodeks fastlægger således bl.a.
overordnede sikkerhedskrav til samt oplysnings- og under-
retningspligter for teleudbydere.
Derudover fastlægger EU’s telekodeks en generel forpligtel-
se for medlemsstaterne til at sikre, at der er kompetente
myndigheder, som fører tilsyn med bl.a. teleudbydernes
overholdelse af sikkerhedskravene- samt oplysnings- og un-
derretningspligterne, ligesom direktivet – med henblik på at
sikre overholdelsen heraf – fastlægger tilsyns- og håndhæ-
velsesbeføjelser. Den centrale bestemmelse i den henseende
er direktivets artikel 41, der ligeledes er implementeret i lov
om sikkerhed i net og tjenester.
Endvidere indeholder EU’s telekodeks mulighed for, at med-
lemsstaterne kan fastsætte sanktioner, herunder bøder, for
overtrædelse af de fastsatte sikkerhedskrav samt oplysnings-
og underretningspligter, som ligeledes er implementeret i
lov om sikkerhed i net og tjenester.
De sikkerhedskrav samt oplysnings- og underretningspligter
mv., der gælder for teleudbydere i dag, har således på EU-
plan hidtil været fastlagt i EU’s telekodeks, som nu supple-
res af kravene i NIS 2-direktivet.
2.1.2. Generelt om NIS 2-direktivet
NIS 2-direktivet ophæver og erstatter Europa-Parlamentets
og Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om foran-
staltninger, der skal sikre et højt fælles sikkerhedsniveau for
net- og informationssystemer i hele Unionen (NIS 1-direkti-
vet).
NIS 1-direktivet fastlægger for det første krav til rammerne
for arbejdet med sikkerhed i net- og informationssystemer
både nationalt og på EU-niveau, herunder krav til samar-
bejdsorganer og myndighedsstruktur. For det andet stiller
direktivet krav om, at der fastsættes sikkerhedskrav og un-
derretningspligter for operatører af væsentlige tjenester og
udbydere af digitale tjenester. Med NIS 1-direktivet er der
således allerede taget skridt hen mod at øge cybersikkerhe-
den på tværs af EU.
Baggrunden for NIS 2-direktivet er, at der fra EU’s side er
konstateret store forskelle i medlemsstaternes gennemførel-
se af NIS 1-direktivet, herunder med hensyn til, hvilke enhe-
der der anses for omfattet af direktivet, da afgrænsningen
heraf i vid udstrækning blev overladt til medlemsstaternes
skøn. NIS 1-direktivet giver også medlemsstaterne meget
vide skønsbeføjelser med hensyn til gennemførelsen af di-
rektivets sikkerheds- og hændelsesrapporteringsforpligtelser
samt bestemmelserne om tilsyn og håndhævelse.
Formålet med NIS 2-direktivet er derfor at skabe et højere
og mere ensartet cybersikkerhedsniveau på tværs af med-
lemsstaterne. NIS 2-direktivet omfatter også telesektoren og
indebærer derfor bl.a., at artikel 40 og 41 i EU’s telekodeks
ophæves. Fremadrettet vil det således primært være NIS 2-
direktivet, der på EU-plan fastlægger krav til og forpligtel-
ser for teleudbydernes sikkerhed, ligesom medlemsstaternes
tilsyns- og håndhævelsesbeføjelser samt sanktionsmulighe-
der over for teleudbyderne vil følge heraf.
Det følger af NIS 2-direktivets præambelbetragtning nr. 92,
at baggrunden for ophævelsen af artikel 40 og 41 i EU’s
telekodeks er et ønske fra EU’s side om at strømline de krav
og forpligtelser til cybersikkerhed, der pålægges teleudbyde-
re, med de krav og forpligtelser, der pålægges enheder i
de øvrige sektorer mv., som omfattes af NIS 2-direktivets
anvendelsesområde. Derudover er der fra EU’s side et ønske
om at gøre det muligt for teleudbyderne og myndighederne
at drage fordel af de retlige rammer, der er fastsat i NIS
2-direktivet i forhold til samarbejdsorganer og myndigheds-
struktur.
NIS 2-direktivet fastsætter på den baggrund nærmere regler
for cybersikkerhedsforanstaltninger (artikel 21) og rapporte-
ringsforpligtelser (artikel 23) og mekanismer for effektivt
samarbejde på nationalt plan og på EU-plan (kapitel II og
III), ligesom direktivet tilvejebringer styrkede tilsyns- og
håndhævelsesbeføjelser (kapitel VII), der skal bidrage til at
sikre en effektiv overholdelse og håndhævelse af forpligtel-
serne i direktivet.
2.1.3. Implementering af NIS 2-direktivet for telesektoren
Henset til, at NIS 2-direktivet omfatter telesektoren og æn-
drer i EU’s telekodeks, er der behov for at tilpasse den
gældende lov om sikkerhed i net og tjenester. Foruden be-
stemmelser, der implementerer EU’s telekodeks, indeholder
lov om sikkerhed i net og tjenester også nationale særregler,
herunder skærpede krav til teleudbydernes informationssik-
kerhed og beredskab. Der er tale om krav, der på visse områ-
der går videre end de krav, der følger af EU-reguleringen på
området.
Baggrunden for indførelsen af de skærpede nationale sær-
regler var navnlig at sikre, at kravene til teleudbydernes
sikkerhed i højere grad tog højde for samfundets afhængig-
hed af telenettet og afspejlede det aktuelle trusselsbillede,
idet Forsvarets Efterretningstjeneste vurderede, at truslen fra
især cyberangreb og avanceret industrispionage var stærkt
stigende, jf. Folketingstidende 2015-16, tillæg A, L 10 som
fremsat, side 5. Center for Cybersikkerhed har i centerets se-
neste trusselsvurdering om cybertruslen mod Danmark 2024
bl.a. vurderet, at truslen fra cyberspionage og cyberkrimina-
litet er MEGET HØJ, at truslen fra cyberaktivisme mod
Danmark er HØJ, og at truslen fra destruktive cyberangreb
er MIDDEL.
12
På baggrund af det skærpede trusselsbillede på cyberområ-
det og telesektorens samfundsmæssige kritikalitet som følge
af danske myndigheders, virksomheders og borgeres afhæn-
gighed af en velfungerende teleinfrastruktur er det Ministe-
riet for Samfundssikkerhed og Beredskabs vurdering, at de
eksisterende nationale særregler bør videreføres med hen-
blik på at sikre en opretholdelse af det nuværende høje
sikkerhedsniveau i telesektoren.
Idet de eksisterende nationale særregler ønskes videreført,
finder Ministeriet for Samfundssikkerhed og Beredskab, at
implementeringen af NIS 2-direktivet bør ske ved et sektor-
specifikt lovforslag. Dermed vil kravene og forpligtelserne,
der følger af NIS 2-direktivet, kunne integreres med den
eksisterende regulering af sikkerheden og beredskab i tele-
sektoren. Henset til, at implementeringen af NIS 2-direktivet
vil berøre et større antal af bestemmelserne i den gælden-
de lov om sikkerhed i net og tjenester, har Ministeriet for
Samfundssikkerhed og Beredskab valgt at fremsætte forslag
til en ny hovedlov frem for en ændring af den gældende
lov. Det vurderes, at en ny hovedlov vil bidrage til at gøre
den nye regulering mere overskuelig for teleudbyderne og
andre aktører på området.
De nye cybersikkerhedskrav samt oplysnings- og under-
retningspligter, som følger af NIS 2-direktivet, vil blive
gennemført ud fra princippet om direktivnær implemente-
ring. Dette lovforslag vil således ikke medføre, at teleudby-
dere i Danmark vil blive pålagt nye krav eller pligter, der
vil gå videre end det, der følger af et NIS 2-direktivets
minimumskrav. Henset til det aktuelle trusselsbillede, vil der
dog ske en videreførelse af nationale regler, med henblik
på at det aktuelle høje sikkerhedsniveau ikke lempes med
implementeringen af NIS 2-direktivet.
Telesektoren er således ikke omfattet af forslag til lov om
foranstaltninger til sikring af et højt cybersikkerhedsniveau,
som fremsættes af Ministeriet for Samfundssikkerhed og
Beredskab samtidig med nærværende lovforslag, og som
skaber en fælles lovgivningsramme på tværs af en række af
de øvrige sektorer, der er omfattet af NIS 2-direktivet.
Det følger således af den foreslåede § 1, stk. 2, 2. pkt., i
det samtidigt fremsatte forslag til lov om foranstaltninger
til sikring af et højt cybersikkerhedsniveau (NIS 2-loven),
at loven ikke finder anvendelse på enheder i det omfang,
de er omfattet af lov om cybersikkerhed i telesektoren. Det
følger af bestemmelsens 3. pkt., at lovens § 17 dog finder
anvendelse for bl.a. telesektoren.
Den foreslåede § 17 i lov om foranstaltninger til sikring af et
højt cybersikkerhedsniveau implementerer NIS 2-direktivets
artikel 10, som forpligter medlemsstaterne til at oprette eller
udpege en eller flere nationale kompetente myndigheder, et
nationalt centralt kontaktpunkt samt en eller flere nationa-
le CSIRT’er (Computer Security Incident Response Teams,
dvs. enheder der håndterer it-sikkerhedshændelser).
Center for Cybersikkerhed blev ved implementeringen af
NIS 1-direktivet udpeget som CSIRT i Danmark, og opga-
ven har hidtil været varetaget som en del af Netsikkerheds-
tjenesten i Center for Cybersikkerhed.
Med den kongelige resolution af 29. august 2024 er Center
for Cybersikkerhed, bortset fra bl.a. Netsikkerhedstjenesten,
blevet overdraget til Ministeriet for Samfundssikkerhed og
Beredskab. Det bemærkes, at Center for Cybersikkerhed den
29. januar 2025 er blevet en del af den nyoprettede Styrelse
for Samfundssikkerhed.
Med nærværende lovforslag lægges der op til, at bl.a. hæn-
delser skal indberettes til både Styrelsen for Samfundssik-
kerhed og CSIRT’en. Det forudsættes på den baggrund, at
der vil være et tæt samarbejde mellem Styrelsen for Sam-
fundssikkerhed og CSIRT’en. En nærmere fastlæggelse af
rammerne for samarbejdet vil kunne ske i en samarbejdsaf-
tale.
Der henvises i øvrigt til kapitel 5 i det samtidigt fremsatte
forslag til lov om foranstaltninger til sikring af et højt cyber-
sikkerhedsniveau (NIS 2-loven) og bemærkningerne hertil.
2.2. Sammenhængen med CER-direktivet
NIS 2-direktivet skal ses i sammenhæng med Europa-Parla-
mentets og Rådets direktiv (EU) 2022/2557 af 14. december
2022 om kritiske enheders modstandsdygtighed og om op-
hævelse af Rådets direktiv 2008/114/EF (CER-direktivet).
Ministeriet for Samfundssikkerhed og Beredskab fremsætter
samtidig med nærværende lovforslag et lovforslag om kri-
tiske enheders modstandsdygtighed, der vil implementere
CER-direktivet på tværs af de omfattede sektorer med und-
tagelse af energisektoren.
CER-direktivet har til formål at styrke kritiske enheders
modstandsdygtighed, således at de er bedre i stand til at
håndtere risiciene for deres drift, som kan føre til forstyrrel-
se i leveringen af væsentlige tjenester. CER-direktivet fast-
lægger derfor bl.a. overordnede sikkerhedskrav og oplys-
nings- og underretningspligter samt tilsyns- og håndhævel-
sesbeføjelser, herunder sanktioner, i forhold til enheder, som
medlemsstaterne identificerer som kritiske enheder inden for
en række sektorer og delsektorer, ligesom direktivet fastsæt-
ter krav til myndighedsopgaver, herunder myndighedsstruk-
tur og samarbejdsorganer.
Det følger imidlertid bl.a. af CER-direktivets artikel 8, at
medlemsstaterne skal sikre, at direktivets sikkerhedskrav
og oplysnings- og underretningspligter (kapitel III) samt
tilsyns- og håndhævelsesbeføjelser, herunder sanktioner (ka-
pitel VI), ikke finder anvendelse for enheder, der er omfattet
af den digitale infrastruktur. Til denne kategori hører bl.a.
teleudbydere.
Det følger af NIS 2-direktivets præambelbetragtning nr. 31,
at baggrunden for denne undtagelse i CER-direktivets arti-
kel 8 er, at teleudbydere i det væsentligste er baseret på
net- og informationssystemer, og derfor bør de krav og for-
13
pligtelser, der pålægges disse i medfør af NIS 2-direktivet,
omhandle sådanne systemers fysiske sikkerhed. Det følger
endvidere af CER-direktivets præambelbetragtning nr. 20,
at trusler mod sikkerheden i net- og informationssystemer
kan have forskellig oprindelse, og NIS 2-direktivet anven-
der derfor en tilgang, der omfatter alle farer, og som omfat-
ter net- og informationssystemers modstandsdygtighed samt
disse systemers fysiske komponenter og fysiske miljø. Efter-
som kravene og forpligtelserne i NIS 2-direktivet mindst
svarer til de tilsvarende krav og forpligtelser i CER-direkti-
vet, bør kravene og forpligtelserne ikke finde anvendelse på
teleudbydere for at undgå dobbeltarbejde og unødvendige
administrative byrder. Da disse spørgsmål således er omfat-
tet af NIS 2-direktivet, finder de nævnte kapitler i CER-di-
rektivet ikke anvendelse for teleudbydere.
Det skal imidlertid bemærkes, at medlemslandene ikke desto
mindre skal identificere, hvilke teleudbydere der skal anses
for kritiske enheder i henhold til CER-direktivets artikel 6.
3. Lovforslagets hovedpunkter
3.1. Teleudbyderbegrebet
3.1.1. Gældende ret
Der er i lov om sikkerhed i net og tjenester bl.a. fastsat reg-
ler om informationssikkerheds- og beredskabskrav til samt
oplysnings- og underretningspligter for de teleudbydere, der
er omfattet af artikel 40 og 41 i EU’s telekodeks omkring
sikkerhed i net og tjenester.
3.1.1.1. Kategorisering af typer af udbydere
I lov om sikkerhed i net og tjenester skelnes mellem ud-
byder, erhvervsmæssige udbydere og udbydere af numme-
ruafhængige interpersonelle kommunikationstjenester (NU-
IK-tjenester).
En udbyder defineres i lov om sikkerhed i net og tjenesters
§ 2, nr. 4, som den, der med et kommercielt formål stiller
produkter, elektroniske kommunikationsnet eller -tjenester
til rådighed for andre. Det fremgår af bemærkningerne til
lovens § 2, nr. 4, jf. Folketingstidende 2015-16, A, L 10 som
fremsat den 7. oktober 2015, at definitionen indholdsmæs-
sigt er identisk med den tilsvarende definition i telelovens
§ 2, nr. 1, og skal fortolkes i overensstemmelse med denne
bestemmelses forarbejder og relevante praksis.
Det fremgår af bemærkningerne til telelovens § 2, nr. 1, jf.
Folketingstidende 2015-16, A, L 10 som fremsat den 7. ok-
tober 2015, at enhver, der markedsfører og sælger produkter
og elektroniske kommunikationsnet eller -tjenester omfattet
af lovforslaget til andre, anses for at være udbydere med
de rettigheder, dette giver bl.a. i relation til netadgang. Det
vil sige, at alle virksomheder, som på kommercielt grundlag
betjener andre slutbrugere eller udbydere af elektroniske
kommunikationsnet eller -tjenester med henblik på at for-
midle dele af disses teletrafik, er omfattet af lovens udbyder-
begreb.
Det er i den forbindelse uden betydning, om de pågældende
har anlagt egen infrastruktur eller baserer deres aktiviteter
fuldt ud på lejet infrastrukturkapacitet. Det er ligeledes uden
betydning, om de pågældende udbyder offentligt tilgængeli-
ge tjenester eller tjenester eksempelvis i form af lukkede net,
herunder virtuelle lukkede net, til andre.
Endelig er det uden betydning, hvilken form for tjenester
der udbydes, herunder om der eventuelt alene tilbydes for-
midling af internettrafik, håndtering af udgående samtaler
via operatørforvalg og fast operatørvalg, gensalg af andre
virksomheders tjenester, et eller flere netadgangs- eller sam-
trafikprodukter til andre udbydere af elektroniske kommuni-
kationsnet eller -tjenester eller lignende.
Det fremgår endvidere af de specielle bemærkninger til tele-
lovens § 2, nr. 1, at boligforeninger, hoteller, cafeer mv.,
som udbyder elektroniske kommunikationsnet eller -tjene-
ster, vil kunne være omfattet af definitionen, hvis udbuddet
sker med et kommercielt formål. Det afgørende ved vurde-
ringen heraf er, om udbuddet af nettet eller tjenesten sker
på markedsmæssige vilkår, herunder som led i markedsfø-
ringen af virksomheden eller foreningen. Således kan også
indirekte kommerciel tilrådighedsstillelse være omfattet af
definitionen, eksempelvis hvis en virksomhed som et direkte
eller indirekte led i markedsføringen stiller for eksempel en
internettjeneste gratis til rådighed for virksomhedens kunder
eller gæster.
Erhvervsmæssige udbydere defineres i lov om sikkerhed
i net og tjenesters § 2, nr. 5, som udbydere, der med et
kommercielt formål udbyder produkter, elektroniske kom-
munikationsnet og -tjenester som sin hovedydelse eller som
en ikke-accessorisk del af virksomheden. Det fremgår af be-
mærkningerne til bestemmelsen, at definitionen er identisk
med den tilsvarende definition i telelovens § 2, nr. 2, og
skal fortolkes i overensstemmelse med denne bestemmelses
forarbejder og relevante praksis. Det fremgår af de specielle
bemærkninger til telelovens § 2, nr. 2, at erhvervsmæssige
udbydere skal anses som en underkategori til udbyderbegre-
bet i nr. 1, som har til formål at nuancere udbyderbegrebet,
således at der tages højde for den teknologiske udvikling og
de niveauer af rettigheder og forpligtelser, som knytter sig
til loven og anden lovgivning. I forlængelse heraf fremgår
det af bemærkningerne, at den teknologiske udvikling bl.a.
indebærer, at det i dag er relativt mange, der er udbydere af
elektroniske kommunikationsnet eller -tjenester. Dette om-
fatter ifølge bemærkningerne bl.a. tilfælde, hvor en virksom-
hed etablerer trådløs infrastruktur med henblik på at levere
internetadgang til deres kunder eller lignende.
Etableringen af underkategorien ’erhvervsmæssige udbyde-
re’ skal således ifølge bemærkningerne ses i lyset af, at
det ikke vurderes hensigtsmæssigt at anvende det brede ud-
byderbegreb i telelovens § 2, nr. 1, uden yderligere afgræns-
ning. Begrebet erhvervsmæssige udbydere omfatter ifølge
bemærkningerne til telelovens § 2, nr. 2, udbydere, der dri-
ver virksomhed omfattet af loven som deres hovedvirksom-
hed eller som en selvstændig del af virksomheden. Udbyde-
14
re, der har mobiltelefoni, fastnettelefoni, bredbånd mv. som
deres hovedvirksomhed, vil således være omfattet af denne
kategori. Ved ’som ikke accessorisk del af virksomheden’
forstås, at udbuddet ikke kun er en accessorisk del af virk-
somheden. Et hotel, der eksempelvis tilbyder sine kunder
adgang til trådløst internet, vil som udgangspunkt ikke være
erhvervsmæssig udbyder, idet udbuddet i den forbindelse må
anses for at være en integreret del af at leje et hotelværel-
se. Det følger dog af bemærkningerne, at der altid vil være
tale om en konkret vurdering.
3.1.1.2. Offentligt tilgængelige elektroniske kommunikati-
onsnet og -tjenester
Lov om sikkerhed i net og tjenester finder kun anvendelse
for udbydere af offentligt tilgængelige elektroniske kommu-
nikationsnet og -tjenester.
I lov om sikkerhed i net og tjenesters § 2, nr. 1, defineres et
elektronisk kommunikationsnet som et transmissionssystem,
uanset om det bygger på en permanent infrastruktur eller
en centraliseret administrationskapacitet, og, hvor det er re-
levant, koblings- og dirigeringsudstyr og andre ressourcer,
herunder netelementer, der ikke er aktive, som gør det mu-
ligt at overføre signaler ved hjælp af trådforbindelse, radio-
bølger, lyslederteknik eller andre elektromagnetiske midler,
herunder satellitnet, jordbaserede fastnet (kredsløbs- og pak-
kekoblede, herunder i internettet) og mobilnet, elkabelsyste-
mer, i det omfang de anvendes til transmission af signaler,
net, som anvendes til radio- og tv-spredning, og kabel-tv-
net, uanset hvilken type information der overføres. Lovens §
2, nr. 1, implementerer artikel 2, nr. 1, i EU’s telekodeks.
En elektronisk kommunikationstjeneste defineres i lovens
§ 2, nr. 2, som en tjeneste, der helt eller delvis består i
elektronisk overførsel af kommunikation i form af lyd, bille-
der, tekst eller kombinationer heraf ved hjælp af radio- eller
telekommunikationsteknik mellem nettermineringspunkter.
Offentligt tilgængelige elektroniske kommunikationsnet og
-tjenester skal anses som en underkategori til elektroniske
kommunikationsnet og -tjenester, og defineres i lovens § 2,
nr. 3, som elektroniske kommunikationsnet og -tjenester, der
stilles til rådighed for en ikke på forhånd afgrænset kreds af
slutbrugere eller udbydere.
Det fremgår af bemærkningerne til bestemmelsen, jf. Folke-
tingstidende 2015-16, A, L 10 som fremsat, at definitionen
skal fortolkes i overensstemmelse med såvel offentlige elek-
troniske kommunikationsnet i telelovens § 2, nr. 5, som
offentlig elektronisk kommunikationstjeneste i telelovens §
2, nr. 8, og at bestemmelsen derfor skal fortolkes i overens-
stemmelse med disse bestemmelsers forarbejder og relevant
praksis.
Det fremgår af bemærkningerne til telelovens § 2, nr. 5,
jf. Folketingstidende 2010-11, A, L 59 som fremsat den
17. november 2010, at for at være et offentligt elektronisk
kommunikationsnet skal udbuddet af nettet ske til en ikke
på forhånd afgrænset kreds af slutbrugere eller udbydere af
elektroniske kommunikationsnet eller -tjenester. Enhver kan
derfor principielt anmode om at købe ydelserne i modsæt-
ninger til net eller tjenester, der alene tilbydes til specifikke,
afgrænsede kundesegmenter, herunder eksempelvis banker,
forsikringsselskaber, skoler eller andre undervisningsinstitu-
tioner. Lukkede net eller tjenester, herunder virtuelle lukke-
de net eller tjenester, er således heller ikke omfattet af defi-
nitionen af offentlige elektroniske kommunikationsnet.
Det fremgår i forlængelse heraf af bemærkningerne til tele-
lovens § 2, nr. 5, at det er uden betydning, om der er tale
om et landsdækkende udbud eller udbud i en mindre del af
landet, eller om der udbydes tjenester, der i praksis alene er
relevante for mindre grupper af brugere. Infrastrukturselska-
ber, der alene udbyder for eksempel infrastrukturkapacitet
til andre udbydere af elektroniske kommunikationsnet eller
-tjenester, vil således også blive betragtet som udbydende
offentlige elektroniske kommunikationsnet, i det omfang der
er tale om udbud af elektroniske kommunikationsydelser til
en ikke på forhånd afgrænset gruppe af brugere.
For så vidt angår telelovens definition af offentlige elektro-
niske kommunikationstjenester, fremgår det af bemærknin-
gerne til telelovens § 2, nr. 9, at for at være en offentlig
elektronisk kommunikationstjeneste skal udbuddet af tjene-
sten ske til en ikke på forhånd afgrænset kreds af slutbrugere
eller udbydere af elektroniske kommunikationsnet eller -tje-
nester. Bemærkningerne henviser herudover til bemærknin-
gerne til lovens § 2, nr. 5, som er anført ovenfor.
3.1.2. NIS 2-direktivet
3.1.2.1. Anvendelsesområde
NIS 2-direktivet finder ifølge direktivets artikel 2, nr. 1,
anvendelse på offentlige eller private enheder af den type,
der er omfattet af direktivets bilag I eller II, som udgør
mellemstore virksomheder i henhold til artikel 2 i bilaget
til henstilling 2003/361/EF, eller overskrider tærsklerne for
mellemstore virksomheder fastsat i direktivets stk. 2, og som
leverer deres tjenester eller udfører deres aktiviteter inden
for Unionen. Det fremgår af direktivets bilag I, at direktivet
bl.a. finder anvendelse for sektoren for digital infrastruktur,
herunder bl.a. udbydere af offentligt tilgængelige elektroni-
ske kommunikationsnet og -tjenester.
Som hovedregel finder direktivet således kun anvendelse
for udbydere af offentligt tilgængelige elektroniske kommu-
nikationsnet og -tjenester, såfremt udbyderen opfylder stør-
relseskravet som defineret i direktivets artikel 2, stk. 1.
Det fremgår af direktivets artikel 2, stk. 2, litra a, nr. i, at
direktivet uanset enhedens størrelse, finder anvendelse på
enheder af den type, der er omhandlet i bilag I eller II, hvor
tjenester leveres af udbydere af offentlige elektroniske kom-
munikationsnet eller af offentligt tilgængelige elektroniske
kommunikationstjenester.
Direktivets artikel 6, nr. 37, definerer en elektronisk kom-
munikationstjeneste som en elektronisk kommunikationstje-
15
neste som defineret i artikel 2, nr. 4, i direktiv (EU)
2018/1972, altså EU’s telekodeks. En elektronisk kommuni-
kationstjeneste defineres i EU’s telekodeks som en tjeneste,
som normalt ydes mod betaling via elektroniske kommuni-
kationsnet, og som med undtagelse af tjenester, der består i
tilrådighedsstillelse af eller udøvelse af redaktionel kontrol
over indhold fremført via elektroniske kommunikationsnet
og -tjenester omfatter a) internetadgangstjenester, b) inter-
personelle kommunikationstjenester og c) tjenester, der ude-
lukkende eller overvejende består i overføring af signaler,
som f.eks. transmissionstjenester, der anvendes til levering
af maskine-til-maskine-tjenester og til radio- og tv-spred-
ning.
EU’s telekodeks’ artikel 2, nr. 5, definerer interpersonelle
kommunikationstjenester som en tjeneste, som normalt ydes
mod betaling, og som muliggør direkte interpersonel og
interaktiv informationsudveksling via elektroniske kommu-
nikationsnet mellem et afgrænset antal personer, hvor de
personer, der indleder eller deltager i kommunikationen, be-
stemmer hvem modtageren eller modtagerne skal være, og
omfatter ikke tjenester, der blot muliggør interpersonel og
interaktiv kommunikation som en mindre støttefunktion, der
er tæt knyttet til en anden tjeneste.
Ifølge EU’s telekodeks omfatter interpersonelle kommuni-
kationstjenester, to typer af tjenester, herunder både num-
merbaserede- og nummeruafhængige kommunikationstjene-
ster.
Det forudsættes, at definitionen af en interpersonel kommu-
nikationstjeneste fortolkes i overensstemmelse med den til-
svarende definition i EU’s telekodeks.
Et offentligt elektronisk kommunikationsnet defineres i di-
rektivets artikel 6, nr. 36, som et offentligt elektronisk kom-
munikationsnet som defineret i artikel 2, nr. 8, i direktiv
(EU) 2018/1972, altså EU’s telekodeks. I EU’s telekodeks
defineres et offentligt elektronisk kommunikationsnet, som
et elektronisk kommunikationsnet, som udelukkende eller
overvejende bruges til udbud af elektroniske kommunikati-
onstjenester, der er tilgængelige for offentligheden, og som
danner grundlag for overførsel af information mellem netter-
mineringspunkter.
Direktivet indeholder ikke en nærmere definition af, hvem
der anses for at være udbydere af offentligt tilgængelige
kommunikationsnet og -tjenester.
3.1.2.2. Opdeling i væsentlige- og vigtige enheder
NIS 2-direktivet sondrer grundlæggende mellem væsentlige
og vigtige enheder. De materielle regler for de to typer
af enheder er som udgangspunkt ens, men sondringen har
navnlig betydning for tilsynet med enhederne og de håndhæ-
velsesforanstaltninger, der kan anvendes over for enhederne.
Væsentlige enheder defineres i NIS 2-direktivets artikel 3,
stk. 1, og omfatter bl.a. udbydere af offentlige elektroniske
kommunikationsnet eller af offentligt tilgængelige elektro-
niske kommunikationstjenester, der udgør mellemstore virk-
somheder i henhold til artikel 2, i bilaget til henstilling
2003/361/EF, eller overskrider tærsklerne for mellemstore
virksomheder i henhold til den nævnte henstilling.
I artikel 2, stk. 1, i bilaget til henstilling 2003/361/EF af
6. maj 2003 om definitionen af mikrovirksomheder, små og
mellemstore virksomheder afgrænses kategorien af mikro-
virksomheder, små og mellemstore virksomheder (SMV’er)
som virksomheder, som beskæftiger under 250 personer, og
har en årlig omsætning på ikke over 50 mio. EUR eller en
årlig samlet balance på ikke over 43 mio. EUR.
I kategorien for SMV’er defineres små virksomheder i hen-
stillingen som virksomheder, som beskæftiger under 50 per-
soner, og som har en årlig omsætning eller en samlet årlig
balance på ikke over 10 mio. EUR. Tilsvarende defineres
mikrovirksomheder i henstillingen som virksomheder, som
beskæftiger under 10 personer og som har en årlig omsæt-
ning eller en samlet årlig balance på ikke over 2 mio. EUR.
Virksomheder falder således inden for definitionen af mel-
lemstore virksomheder, når virksomheden har 50 ansatte
eller derover eller en årlig omsætning på 10 mio. EUR eller
derover og en årlig balance på 10 mio. EUR eller derover.
Det følger af NIS 2-direktivets artikel 3, stk. 2, at enheder
som omhandlet i direktivets bilag I eller II, der ikke opfylder
kriterierne for at være væsentlige enheder, anses for at være
vigtige enheder.
3.1.3. Ministeriet for Samfundssikkerhed og Beredskabs
overvejelser
NIS 2-direktivet finder som hovedregel kun anvendelse for
udbydere af offentlige elektroniske kommunikationsnet eller
af offentligt tilgængelige elektroniske kommunikationstjene-
ster, som overstiger tærsklerne for mellemstore virksomhe-
der og som leverer deres tjenester eller udfører deres aktivi-
teter inden for Unionen.
Det fremgår imidlertid af direktivets artikel 2, stk. 2, litra
a), nr. i, at direktivet uanset størrelse bl.a. finder anvendelse
på enheder, hvor tjenester leveres af udbydere af offentlige
elektroniske kommunikationsnet eller af offentligt tilgænge-
lige elektroniske kommunikationstjenester.
Det er Ministeriet for Samfundssikkerhed og Beredskabs
opfattelse, at direktivet skal fortolkes således, at direkti-
vet også finder anvendelse for interpersonelle kommunika-
tionstjenester, herunder både nummerbaserede- og numme-
ruafhængige interpersonelle kommunikationstjenester (NU-
IK-tjenester).
Der lægges med NIS 2-direktivet endvidere op til, at enhe-
der, der er omfattet af direktivet med henblik på overholdel-
se af foranstaltninger til styring af cybersikkerhedsrisici og
rapporteringsforpligtelser, bør inddeles i to kategorier som
henholdsvis væsentlige og vigtige enheder.
16
Det er Ministeriet for Samfundssikkerhed og Beredskabs
opfattelse, at udbydere af offentlige elektroniske kommuni-
kationsnet eller af offentligt tilgængelige elektroniske kom-
munikationstjenester alene skal anses for at være væsentlige
og vigtige teleudbydere, hvis teleudbyderen med et kom-
mercielt formål udbyder offentlige elektroniske kommunika-
tionsnet eller offentligt tilgængelige kommunikationstjene-
ster som sin hovedydelse eller som en ikke-accessorisk del
af virksomheden. Definitionen svarer til definitionen af ’er-
hvervsmæssige udbydere’ i den gældende lov om sikkerhed
i net og tjenester og skal fortolkes i overensstemmelse her-
med.
Formålet med denne præcisering af udbyderbegrebet er at
sikre, at de nye skærpede regler efter NIS 2-direktivet ikke
finder anvendelse for udbydere, der ikke meningsfuldt kan
siges at falde ind under kategorien væsentlige eller vigtige
teleudbydere efter NIS 2-direktivet. Disse typer udbydere
bør derfor i stedet falde ind under kategorien ”teleudbydere”
med en videreførelse af de samme krav, som gælder for
disse udbydere i dag.
Henset til overskueligheden af reguleringen er det Ministeri-
et for Samfundssikkerhed og Beredskabs vurdering, at der
bør foretages konsekvensrettelser af teleudbyderbegrebet i
den gældende regulering for telesektoren på Ministeriet for
Samfundssikkerhed og Beredskabs område, herunder navn-
lig i lov om leverandørsikkerhed i den kritiske teleinfra-
struktur.
3.1.4. Den foreslåede ordning
Det foreslås, at loven finder anvendelse for samtlige ud-
bydere af offentlige elektroniske kommunikationsnet eller
af offentligt tilgængelige elektroniske kommunikationstjene-
ster uanset deres størrelse.
Af hensyn til differentieringen af de forskellige krav til ud-
bydere afhængigt af deres kritikalitet foreslås det, at loven
bør skelne mellem henholdsvis teleudbydere, vigtige teleud-
bydere og væsentlige teleudbydere.
Det foreslås, at den eksisterende definition af en ’erhvervs-
mæssig teleudbyder’ i lov om sikkerhed i net og tjenesters
§ 2, nr. 5, videreføres, dog således, at begrebet ændres til
’teleudbydere’. Ved teleudbyder forstås således en udbyder,
der med et kommercielt formål stiller produkter af offentli-
ge elektroniske kommunikationsnet og offentligt tilgængeli-
ge elektroniske kommunikationstjenester til rådighed for an-
dre. Kategorien vil bl.a. omfatte udbydere af radiobaserede
lokalnet (RLAN).
Det foreslås endvidere, at kredsen af væsentlige teleudbyde-
re afgrænses til at omfatte udbydere af offentlige elektroni-
ske kommunikationsnet eller af offentligt tilgængelige elek-
troniske kommunikationstjenester, som overskrider tærskler-
ne for mellemstore virksomheder, og som med et kommer-
cielt formål udbyder offentlige elektroniske kommunikati-
onsnet eller offentligt tilgængelige elektroniske kommuni-
kationstjenester som deres hovedydelse, eller som en ikke
accessorisk del af virksomheden.
Desuden vil teleudbydere i overensstemmelse med NIS 2-
direktivet i særlige tilfælde uanset størrelse skulle anses som
værende væsentlige teleudbydere, herunder hvis teleudbyde-
ren er den eneste udbyder i en medlemsstat af en tjeneste,
der er væsentlig for opretholdelsen af kritiske samfunds-
mæssige eller økonomiske aktiviteter. Dette gælder dog kun,
hvis teleudbyderen med et kommercielt formål udbyder of-
fentlige elektroniske kommunikationsnet eller offentligt til-
gængelige elektroniske kommunikationstjenester som deres
hovedydelse eller som en ikke-accessorisk del af virksomhe-
den.
Det foreslås endvidere, at teleudbydere, der ikke opfylder
kriterierne for at være væsentlige udbydere, bør anses som
vigtige teleudbydere, såfremt de med et kommercielt formål
udbyder offentlige elektroniske kommunikationsnet eller of-
fentligt tilgængelige elektroniske kommunikationstjenester
som deres hovedydelse, eller som en ikke-accessorisk del af
virksomheden.
Det er derudover Ministeriet for Samfundssikkerhed og Be-
redskabs vurdering, at teleudbydere uanset deres størrelse
bør anses som væsentlige, hvis 1) enheden er den eneste
udbyder i en medlemsstat af en tjeneste, der er væsentlig
for opretholdelsen af kritiske samfundsmæssige eller økono-
miske aktiviteter, 2) en forstyrrelse af den tjeneste, enheden
leverer, vil kunne have væsentlig indvirkning på den offent-
lige sikkerhed eller folkesundheden, 3) en forstyrrelse af
den tjeneste, enheden leverer, vil kunne medføre en væsent-
lig systemisk risiko, navnlig for sektorer, hvor en sådan
forstyrrelse kan have grænseoverskridende virkning eller 4)
enheden er kritisk på grund af sin specifikke betydning på
nationalt eller regionalt plan for den pågældende sektor eller
type af tjeneste eller for andre indbyrdes afhængige sektorer
i medlemsstaten.
Det bemærkes, at udbyderbegrebet i nærværende lov vil
adskille sig fra de gældende definitioner på telesektoren,
herunder bl.a. udbyderbegrebet i lov om elektroniske kom-
munikationsnet og -tjenester, jf. lovbekendtgørelse nr. 955
af 17. juni 2022, som hører under Digitaliseringsministeri-
ers område. Dette skyldes navnlig, at lov om elektroniske
kommunikationsnet og -tjenester – ligesom lovgivningen
om sikkerhed og beredskab i telesektoren i dag – primært
opererer med to udbyderbegreber, navnlig udbydere og er-
hvervsmæssige udbydere.
Der henvises i øvrigt til bemærkningerne til de foreslåede §§
3 og 4.
3.2. Foranstaltninger til styring af sikkerhedsrisici mv.
3.2.1. Gældende ret
Efter § 3, stk. 1, i lov om sikkerhed i net og tjenester fast-
sætter Styrelsen for Samfundssikkerhed (tidligere Center for
Cybersikkerhed) regler om minimumskrav til sikkerhed i net
17
og tjenester for udbydere af offentligt tilgængelige elektroni-
ske kommunikationsnet og -tjenester og udbydere af NUIK-
tjenester. Reglerne kan omfatte krav om passende tekniske,
processuelle og organisatoriske foranstaltninger med henblik
på risikostyring i forhold til sikkerhed i net og tjenester
og opretholdelse af et passende sikkerhedsniveau, herunder
krav om, at sådanne foranstaltninger gennemføres på bag-
grund af dokumenterede og ledelsesforankrede processer.
Bestemmelsen i § 3, stk. 1, implementerer artikel 40, stk. 1,
i EU’s telekodeks.
Bemyndigelsen i § 3, stk. 1, i lov om sikkerhed i net og
tjenester er udmøntet i bekendtgørelse nr. 259 af 22. februar
2021 om sikkerhed og beredskab i net og tjenester.
3.2.2. NIS 2-direktivet
Med artikel 43 i NIS 2-direktivet ophæves bl.a. artikel 40,
stk. 1, i EU’s telekodeks.
NIS 2-direktivets artikel 21 indeholder overordnet en for-
pligtelse til at foretage risikostyring og træffe passende tek-
niske, operationelle og organisatoriske foranstaltninger for
at sikre et passende sikkerhedsniveau hos enhederne.
Direktivet foreskriver således i artikel 21, stk. 2, at foran-
staltningerne skal baseres på en tilgang, der omfatter alle
farer og sigter på at beskytte net- og informationssyste-
mer og disse systemers fysiske miljø mod hændelser, og
mindst omfatter følgende: a) politikker for risikoanalyse og
informationssystemsikkerhed, b) håndtering af hændelser,
c) driftskontinuitet, såsom backup-styring og reetablering
efter en katastrofe, og krisestyring, d) forsyningskædesik-
kerhed, herunder sikkerhedsrelaterede aspekter vedrørende
forholdene mellem den enkelte enhed og dens direkte leve-
randører eller tjenesteudbydere, e) sikkerhed i forbindelse
med erhvervelse, udvikling og vedligeholdelse af net- og
informationssystemer, herunder håndtering og offentliggø-
relse af sårbarheder, f) politikker og procedurer til vurde-
ring af effektiviteten af foranstaltninger til styring af cyber-
sikkerhedsrisici, g) grundlæggende cyberhygiejnepraksisser
og cybersikkerhedsuddannelse, h) politikker og procedurer
vedrørende brug af kryptografi og, hvor det er relevant,
kryptering, i) personalesikkerhed, adgangskontrolpolitikker
og forvaltning af aktiver og j) brug af løsninger med multi-
faktorautentificering eller kontinuerlig autentificering, sikret
tale-, video- og tekstkommunikation og sikrede nødkommu-
nikationssystemer internt i enheden, hvor det er relevant.
Foranstaltningerne skal være proportionale og tilvejebringe
et sikkerhedsniveau i enhedens net- og informationssyste-
mer, der står i forhold til risiciene under hensyntagen til
sådanne foranstaltningers aktuelle teknologiske stade og i
givet fald til relevante europæiske og internationale standar-
der samt gennemførelsesomkostningerne. Det er desuden
forudsat i direktivet, at foranstaltningerne bør stå i et passen-
de forhold til de væsentlige og vigtige enheders risikoeks-
ponering, deres størrelse og til den samfundsmæssige og
økonomiske indvirkning, som en hændelse ville have. For-
anstaltningerne skal desuden tage hensyn til bl.a. leveran-
dørsikkerhed og sårbarheder i den anledning.
Det påhviler i medfør af direktivet en enhed, der finder, at
den ikke overholder direktivets krav til foranstaltninger i
artikel 21, stk. 2, uden unødigt ophold at træffe alle nødven-
dige, passende og forholdsmæssige korrigerende foranstalt-
ninger.
Direktivets artikel 20 stiller desuden krav til enhedernes
ledelsesorganer, herunder bl.a. om ledelsesgodkendelse af
foranstaltningerne til styring af cybersikkerhedsrisici, ledel-
sens tilsyn med foranstaltningernes gennemførelse, samt le-
delsens deltagelse i kurser. Enhederne tilskyndes desuden til
at tilbyde kurser til deres ansatte.
Det følger herudover af NIS 2-direktivets artikel 24, at med-
lemsstaterne kan kræve, at væsentlige og vigtige enheder –
for at påvise overensstemmelse med bestemte krav i direk-
tivets artikel 21 – bruger særlige informations- og kommu-
nikationsprodukter, -tjenester og -processer (IKT-produkter,
-tjenester og -processer), der er udviklet af den væsentlige
eller vigtige enhed eller indkøbt fra tredjeparter, og som er
certificeret i henhold til den europæiske cybersikkerhedscer-
tificeringsordning, der er vedtaget i henhold til Europa-Par-
lamentets og Rådets forordning 2019/881 af 17. april 2019
om ENISA (Den Europæiske Unions Agentur for Cybersik-
kerhed), om cybersikkerhedscertificering af informations-
og kommunikationsteknologi og om ophævelse af forord-
ning (EU) nr. 526/2013 (forordningen om cybersikkerhed).
Europa-Kommissionen er i medfør af NIS 2-direktivets ar-
tikel 24, stk. 2, tillagt beføjelser til at vedtage delegerede
retsakter, der præciserer hvilke kategorier af væsentlige og
vigtige enheder, der skal anvende visse certificerede IKT-
produkter, -tjenester og -processer eller indhente en attest i
henhold til forordningen om cybersikkerhed. Det er forudsat
i direktivet, at der først vedtages delegerede retsakter, hvis
der konstateres utilstrækkelige cybersikkerhedsniveauer.
3.2.3. Ministeriet for Samfundssikkerhed og Beredskabs
overvejelser
NIS 2-direktivets bestemmelse om foranstaltninger fastsæt-
ter et minimumsniveau for foranstaltninger.
I overensstemmelse med NIS 2-direktivets præambelbe-
tragtning nr. 82 forudsættes det således, at der ved fastlæg-
gelsen af foranstaltninger til styring af cybersikkerhedsrisici,
der er tilpasset væsentlige og vigtige enheder, bør der tages
behørigt hensyn til væsentlige og vigtige enheders forskelli-
ge risikoeksponering, herunder enhedens kritiske betydning,
de risici, herunder samfundsmæssige risici, som den er eks-
poneret for, enhedens størrelse og sandsynligheden for hæn-
delser og deres alvor, herunder deres samfundsmæssige og
økonomiske indvirkning. Der vil således i overensstemmel-
se med NIS 2-direktivets forudsætninger kunne differentie-
res i kravene til teleudbyderne henset til forskelle i teleudby-
dernes risikoeksponering, deres størrelse og den potentielle
18
samfundsmæssige og økonomiske betydning af eventuelle
hændelser.
Henset til, at der ved implementeringen af NIS 2-direktivet
i telesektoren skal ske en integration af den eksisterende
regulering på teleområdet, er det Ministeriet for Samfunds-
sikkerhed og Beredskabs opfattelse, at foranstaltningerne –
som det også er tilfældet i dag – tillige bør omfatte gene-
relle sikkerhedsrisici som led i teleudbydernes beredskab
og ikke alene cybersikkerhedsrisici. Det skyldes bl.a., at
der foruden foranstaltninger på cybersikkerhedsområdet er
behov for andre sikkerhedsforanstaltninger, som f.eks. kan
beskytte de kritiske dele af teleinfrastrukturen mod sabotage
og hærværk.
Det er endvidere Ministeriet for Samfundssikkerhed og Be-
redskabs opfattelse, at en nærmere konkretisering bør ske i
bekendtgørelsesform med henblik på at sikre, at der løbende
og smidigt kan ske en tilpasning af kravene i takt med den
teknologiske udvikling og udviklingen i trusselsbilledet. Det
samme gør sig gældende for så vidt angår anvendelse af
særlige IKT-produkter, -tjenester og -processer med henblik
på at sikre, at kravene løbende og smidigt kan tilpasses
og målrettes, og således at det kan sikres, at kravene er i
overensstemmelse med eventuelle delegerede retsakter, som
Europa-Kommissionen måtte vedtage.
3.2.4. Den foreslåede ordning
Det foreslås, at der fastsættes en pligt for væsentlige og vig-
tige teleudbydere til at træffe passende og forholdsmæssige
tekniske, operationelle og organisatoriske foranstaltninger
for at styre risiciene for sikkerheden i net- og informations-
systemer, som disse teleudbydere anvender til deres operati-
oner eller til at levere deres tjenester, og for at forhindre
hændelser eller minimere deres indvirkning på modtagere af
deres tjenester og på andre tjenester.
Det foreslås endvidere, at foranstaltningerne som minimum
skal omfatte eller tage højde for de elementer, der fremgår af
NIS 2-direktivets artikel 21, stk. 2.
Det foreslås i forlængelse heraf, at ministeren for samfunds-
sikkerhed og beredskab kan fastsætte nærmere regler om
krav til foranstaltninger efter NIS 2-direktivet og yderligere
generelle foranstaltninger, som væsentlige og vigtige teleud-
bydere skal træffe til styring af sikkerhedsrisici. Ministeriet
for Samfundssikkerhed og Beredskab vil i den forbindelse
bl.a. kunne fastsætte nærmere regler om sikkerhedsforan-
staltninger for så vidt angår teleudbydernes beredskab, såle-
des at indholdet af de skærpede nationale særregler herom
opretholdes som hidtil. Der er med videreførelsen ikke til-
sigtet materielle ændringer af de nuværende bestemmelsers
indhold eller anvendelsesområde og det forventes således, at
ministeriet i vidt omfang vil videreføre de gældende regler i
bekendtgørelse nr. 259 af 22. februar 2021 om sikkerhed og
beredskab i net og tjenester.
Det foreslås endvidere, at en væsentlig eller vigtig teleud-
byder, der finder, at den ikke overholder krav til foranstalt-
ninger, som følger af loven eller regler udstedt i medfør
af loven, uden unødigt ophold skal træffe alle nødvendi-
ge, passende og forholdsmæssige korrigerende foranstaltnin-
ger. Det foreslås desuden, at de foranstaltninger, der træffes,
skal være godkendte af teleudbyderens ledelsesorgan, at le-
delsesorganet skal føre tilsyn med foranstaltningernes gen-
nemførelse og sikre, at foranstaltningerne har den fornødne
effekt, samt at medlemmer af ledelsesorganet skal deltage i
relevante kurser om styring af cybersikkerhedsrisici.
Derudover foreslås det, at Ministeriet for Samfundssikker-
hed og Beredskab kan fastsætte regler om, at væsentlige
og vigtige teleudbydere skal anvende særlige informations-
og kommunikationsprodukter, -tjenester og -processer (IKT-
produkter, -tjenester og -processer), som er certificeret i
henhold til en europæisk cybersikkerhedscertificeringsord-
ning for at påvise overensstemmelse med bestemte krav i
reglerne om foranstaltninger til styring af cybersikkerhedsri-
sici, herunder de nærmere regler herom, som fastsættes i
bekendtgørelsesform. Produkterne kan udvikles af den væ-
sentlige eller vigtige teleudbyder eller indkøbes fra tredjep-
arter.
3.3. Hændelsesrapportering samt oplysnings- og under-
retningspligter
3.3.1. Gældende ret
Efter § 4 i lov om sikkerhed i net og tjeneste kan Styrel-
sen for Samfundssikkerhed (tidligere Center for Cybersik-
kerhed) bl.a. fastsætte regler om underretningspligter for
udbydere og udbydere af NUIK-tjenester.
Disse regler kan efter lovens § 4, nr. 3, omfatte krav om
udbydere af offentligt tilgængelige elektroniske kommuni-
kationsnet og -tjenesters og udbydere af NUIK-tjenesters
underretning af Styrelsen for Samfundssikkerhed (tidligere
Center for Cybersikkerhed) uden unødigt ophold om sikker-
hedshændelser, der har haft væsentlig indvirkning på driften
af net eller tjenester.
Efter § 4, nr. 4, i lov om sikkerhed i net og tjenester
kan Styrelsen for Samfundssikkerhed (tidligere Center for
Cybersikkerhed) desuden fastsætte regler om udbydere af
offentligt tilgængelige elektroniske kommunikationsnet og
-tjenesters og udbydere af NUIK-tjenesters underretning af
offentligheden ved sikkerhedshændelser, der har haft væ-
sentlig indvirkning på driften af net eller tjenester.
Det bemærkes, at lovens § 4, nr. 3 og 4, implementerer
artikel 40, stk. 2, i EU’s telekodeks.
Efter § 4, nr. 5, i lov om sikkerhed i net og tjenester
kan Styrelsen for Samfundssikkerhed (tidligere Center for
Cybersikkerhed) herudover fastsætte regler om udbydere af
offentligt tilgængelige elektroniske kommunikationsnet og
-tjenesters og udbydere af NUIK-tjenesters informering af
deres potentielt berørte brugere om mulige beskyttelsesfor-
anstaltninger eller afhjælpende foranstaltninger, som bruger-
ne kan træffe i tilfælde af en særlig og betydelig trussel om
19
en sikkerhedshændelse i udbyderens net eller tjenester. Der
kan endvidere stilles krav om, at de pågældende udbydere
skal informere deres brugere om selve truslen. Lovens § 4,
nr. 5, implementerer artikel 40, stk. 3, i EU’s telekodeks.
Bemyndigelserne i § 4, nr. 3, 4 og 5, i lov om sikkerhed
i net og tjenester er udmøntet i bekendtgørelse nr. 1414 af
30. november 2023 om oplysnings- og underretningspligter
vedrørende sikkerhed i net og tjenester. De nærmere regler
følger af bekendtgørelsens §§ 7-13.
Underretninger om hændelser indgives i dag via selvbetje-
ningsløsningen Virk.dk. Når teleudbydere indgiver en hæn-
delsesunderretning på Virk.dk, fordeles denne automatisk
til Styrelsen for Samfundssikkerhed (tidligere Center for
Cybersikkerhed). Styrelsen for Samfundssikkerhed kan an-
vende hændelsesunderretningerne til arbejdet med at styrke
cybersikkerheden samt til at vurdere, om styrelsen som til-
synsmyndighed skal iværksætte opfølgende skridt, herunder
indlede tilsyn.
§ 4, nr. 2, og § 5, stk. 2, i lov om sikkerhed i net og tjenester
indeholder derudover nationale særregler, der ikke er imple-
mentering af EU-regulering, hvorefter der kan fastsættes
yderligere underretningspligter for teleudbyderne.
Efter § 4, nr. 2, i lov om sikkerhed i net og tjenester fast-
sætter Styrelsen for Samfundssikkerhed (tidligere Center for
Cybersikkerhed) regler om erhvervsmæssige udbydere af
offentligt tilgængelige elektroniske kommunikationsnet og
-tjenesters underretning af Styrelsen for Samfundssikkerhed
ved påtænkt indgåelse af aftaler om leverancer, der vedrører
væsentlige dele af udbyderens net eller tjenester eller driften
heraf. Der kan endvidere stilles krav om, at udbyderne skal
indsende et endeligt aftaleudkast til Styrelsen for Samfunds-
sikkerhed umiddelbart forud for indgåelse af aftalen, og at
aftalen først kan indgås op til 25 arbejdsdage efter styrelsens
modtagelse af dette udkast.
Med lov nr. 1156 af 8. juni 2021 om leverandørsikkerhed i
den kritiske teleinfrastruktur (telesikkerhedsloven) blev § 4,
nr. 2, i lov om sikkerhed i net og tjenester suppleret med
et ekstra værktøj. Efter telesikkerhedsloven kan Styrelsen
for Samfundssikkerhed forhindre, at en væsentlig erhvervs-
mæssig udbyder indgår eller opretholder en aftale, såfremt
indgåelsen eller opretholdelsen af aftalen vurderes at udgø-
re en trussel eller en væsentlig trussel mod statens sikker-
hed. Styrelsen for Samfundssikkerhed har således med tele-
sikkerhedsloven fået mulighed for at nedlægge forbud mod
henholdsvis indgåelse og opretholdelse af en aftale. Stands-
till-perioden blev i forbindelse med loven ændret fra 10
arbejdsdage til 25 arbejdsdage.
Bemyndigelsen i § 4, nr. 2, i lov om sikkerhed i net og tje-
nester er udmøntet i bekendtgørelse nr. 1414 af 30. novem-
ber 2022 om oplysnings- og underretningspligter vedrørende
sikkerhed i net og tjenester. De nærmere regler følger af
bekendtgørelsens §§ 3-6 om underretning af Styrelsen for
Samfundssikkerhed om aftaleforhandlinger.
Det fremgår af § 5, stk. 2, i lov om sikkerhed i net og tjene-
ster, at for erhvervsmæssige udbydere af offentligt tilgænge-
lige elektroniske kommunikationsnet og -tjenester kan det i
regler efter § 5, stk. 1, endvidere fastsættes, at udbyderne
med henblik på at sikre elektronisk kommunikation i bered-
skabssituationer og i andre ekstraordinære situationer skal
1) udarbejde beredskabsplaner baseret på en dokumenteret
og ledelsesforankret risikostyringsproces og 2) planlægge og
deltage i øvelsesaktiviteter.
Bemyndigelsen i § 5, stk. 2, i lov om sikkerhed i net og
tjenester er udmøntet i bekendtgørelse nr. 259 af 22. febru-
ar 2022 om sikkerhed og beredskab i net og tjenester. De
nærmere regler følger af bekendtgørelsens kapitel 5 om kri-
sestyring i beredskabssituationer og i andre ekstraordinære
situationer.
3.3.2. NIS 2-direktivet
Med artikel 43 i NIS 2-direktivet ophæves bl.a. artikel 40,
stk. 2 og 3, i EU’s telekodeks.
Det følger af NIS 2-direktivets artikel 3, stk. 4, at væsentlige
og vigtige enheder, skal indgive følgende oplysninger til
de kompetente myndigheder: a) enhedens navn, b) adresse
og ajourførte kontaktoplysninger, herunder e-mailadresser,
IP-intervaller og telefonnumre, c) i givet fald den relevante
sektor eller delsektor i direktivets bilag I eller II, samt d)
i givet fald en liste over de medlemsstater, hvor enheden
leverer tjenester, der er omfattet af dette direktivs anvendel-
sesområde.
NIS 2-direktivets artikel 23, stk. 1, 1. pkt., fastsætter en
pligt for væsentlige og vigtige enheder til uden unødigt op-
hold at underrette deres Computer Incident Response Team
(CSIRT) eller kompetente myndighed om enhver hændelse,
der har væsentlig indvirkning på leveringen af enhedens
tjenester. Direktivet fastsætter i artikel 23, stk. 3, nærmere
kriterier for, hvornår en hændelse anses for at være væsent-
lig, herunder a) hvis den har forårsaget eller er i stand til
at forårsage alvorlige driftsforstyrrelser af tjenesterne eller
økonomiske tab for den berørte enhed, eller b) den har
påvirket eller er i stand til at påvirke andre fysiske eller
juridiske personer ved at forårsage betydelig materiel eller
immateriel skade.
Det følger desuden af NIS 2-direktivets præambelbetragt-
ning nr. 101, at vurderingen bl.a. bør tage de berørte net- og
informationssystemer i betragtning, navnlig deres betydning
for leveringen af enhedens tjenester, alvoren og de tekniske
karakteristika af en cybertrussel, eventuelle underliggende
sårbarheder, der udnyttes, samt enhedens erfaring med til-
svarende hændelser. Indikatorer såsom graden af påvirkning
af tjenestens funktionsdygtighed, varigheden af en hændelse
eller antallet af berørte tjenestemodtagere vil kunne spille en
vigtig rolle med hensyn til at fastslå, om den driftsmæssige
forstyrrelse af tjenesten er alvorlig.
Den grundlæggende tilgang i NIS 2-direktivets artikel 23,
stk. 1, 1. pkt., svarer i det væsentligste til tilgangen i arti-
20
kel 40, stk. 2, i EU’s telekodeks, og der vil således fortsat
skulle ske underretning af Styrelsen for Samfundssikkerhed
ved en hændelse med »væsentlig indvirkning«. NIS 2-direk-
tivet bygger imidlertid videre herpå og tilføjer yderligere
elementer, der skal lægges vægt på ved fastlæggelsen af en
hændelses indvirkning. Der vil som noget nyt eksempelvis
skulle lægges vægt på, om hændelsen har påvirket eller er i
stand til at påvirke andre fysiske eller juridiske personer ved
at forårsage betydelig fysisk eller ikke fysisk skade.
NIS 2-direktivet fastsætter i artikel 23, stk. 4 – som noget
nyt i forhold til EU’s telekodeks – hvad de berørte enhe-
der i forbindelse med en underretning skal fremsende til
CSIRT’en eller den kompetente myndighed. Det drejer sig
om en tidlig varsling, en ajourføring heraf, en foreløbig rap-
port, eventuelt en statusrapport og en endelig rapport. Direk-
tivet fastsætter i den forbindelse ligeledes frister for frem-
sendelserne heraf.
Det påhviler efter NIS 2-direktivets artikel 23, stk. 5 –
i modsætning til EU’s telekodeks – CSIRT’en eller den
kompetente myndighed at give den underrettende enhed en
tilbagemelding, herunder – såfremt det ønskes – operativ
rådgivning og vejledning om mulige foranstaltninger, som
enheden kan træffe for at håndtere den væsentlige hændelse,
og supplerende teknisk bistand.
Efter NIS 2-direktivets artikel 23, stk. 1, 2. pkt., skal væ-
sentlige og vigtige enheder, hvor det er relevant, uden unø-
digt ophold underrette modtagerne af deres tjenester om væ-
sentlige hændelser, der sandsynligvis vil påvirke leveringen
af disse tjenester negativt. NIS 2-direktivet medfører således
– sammenholdt med artikel 40, stk. 2 og 3, i EU’s teleko-
deks – en yderligere underretningspligt for teleudbyderne
over for modtagerne af deres tjenester.
Det følger endvidere af NIS 2-direktivets artikel 23, stk. 2,
at væsentlige og vigtige enheder uden unødigt ophold skal
meddele modtagerne af deres tjenester, som potentielt er be-
rørt af en væsentlig cybertrussel, eventuelle foranstaltninger
og modforholdsregler, som disse kan træffe som reaktion på
den pågældende trussel. Hvor det er relevant, skal enhederne
også informere de pågældende modtagere om selve den væ-
sentlige trussel.
NIS 2-direktivet ændrer således ikke ved, at teleudbyder-
nes modtagere af deres tjenester skal have meddelelse om
bl.a. eventuelle foranstaltninger, som disse kan træffe, men
NIS 2-direktivet anvender begrebet »væsentlig cybertrussel«
som kriterium for meddelelsen i modsætning til det hidti-
dige begreb i EU’s telekodeks »særlig og betydelig trus-
sel«. Samtidig tilføjes der – som noget nyt – et krav om,
at meddelelsen skal ske uden unødigt ophold. NIS 2-direkti-
vet viderefører i øvrigt forpligtelsen fra artikel 40, stk. 3,
i EU’s telekodeks om informering af modtagerne – hvor
det er relevant – om selve truslen, dog med det ændrede
trusselsbegreb, som er beskrevet ovenfor.
Herudover foreskriver NIS 2-direktivets artikel 23, stk. 7,
at CSIRT’en eller den kompetente myndighed efter høring
af den berørte enhed kan informere offentligheden om en
væsentlig hændelse eller kræve, at enheden gør det, såfremt
dette er nødvendigt eller i øvrigt i offentlighedens interes-
se. Dette svarer – med den justering, at der desuden kan ske
offentliggørelse, såfremt »det er nødvendigt« – således til
forpligtelsen i artikel 40, stk. 2, i EU’s telekodeks. Det vil
– som hidtil – skulle sikres, at offentligheden informeres på
en ansvarlig måde, som ikke kompromitterer kommercielt
fortrolige oplysninger.
3.3.3. Ministeriet for Samfundssikkerhed og Beredskabs
overvejelser
NIS 2-direktivet indeholder forskellige oplysnings- og un-
derretningspligter for væsentlige og vigtige udbydere.
Samtidig indeholder den gældende lov om sikkerhed i net
og tjenester regler om underretningsforpligtelser for udbyde-
re, der er omfattet af loven.
Det er Ministeriet for Samfundssikkerhed og Beredskabs
opfattelse, at NIS 2-direktivets krav om underretningspligter
vedrørende væsentlige hændelser bør implementeres direk-
tivnært, således at direktivets krav om hændelsesindberet-
ninger samt oplysnings- og underretningspligter overføres
direkte til loven. Henset til kriteriernes kvalitative og skøn-
sprægede karakter vurderes det endvidere, at der i bekendt-
gørelsesform skal fastsættes nærmere regler om, hvornår en
hændelse anses for at være væsentlig inden for telesektoren,
herunder ved fastsættelse af kvantitative kriterier vedrørende
eksempelvis hændelsens varighed eller skadens omfang.
Det er samtidig Ministeriet for Samfundssikkerhed og Be-
redskabs opfattelse, at direktivets krav bør bygge ovenpå de
krav, der i forvejen gælder for hændelsesindberetning mv.
på teleområdet. Det indebærer bl.a., at begrebet ”væsentlig
cybertrussel” vil skulle anvendes som kriterium for medde-
lelsen, der vil skulle ske til Styrelsen for Samfundssikkerhed
uden unødigt ophold.
Det er på denne baggrund Ministeriet for Samfundssikker-
hed og Beredskabsopfattelse opfattelse, at de gældende op-
lysnings- og underretningspligter, herunder vedrørende be-
redskabssituationer og andre ekstraordinære situationer i lov
om sikkerhed i net og tjenester, bør videreføres. Der forud-
sættes ikke en ændring af den eksisterende praksis.
3.3.4. Den foreslåede ordning
Det foreslås, at væsentlige og vigtige teleudbydere skal regi-
strere sig hos Styrelsen for Samfundssikkerhed og i den for-
bindelse oplyse a) enhedens navn, b) adresse og ajourførte
kontaktoplysninger, herunder e-mailadresser, IP-intervaller
og telefonnumre, c) i givet fald den relevante sektor eller
delsektor i direktivets bilag I eller II, samt d) i givet fald en
liste over de medlemsstater, hvor enheden leverer tjenester,
der er omfattet af dette direktivs anvendelsesområde. Det
foreslås, at de nævnte oplysninger skal indgives til Styrel-
sen for Samfundssikkerhed senest den 1. oktober 2025. En
21
væsentlig eller vigtig teleudbyder, der omfattes af lovens
anvendelsesområde efter denne dato, vil skulle indgive op-
lysningerne senest to uger efter, at teleudbyderen omfattes af
loven, jf. den foreslåede 7, stk. 2.
Det foreslås, at alle teleudbydere uden unødigt ophold skal
underrette Styrelsen for Samfundssikkerhed og CSIRT’en
om enhver væsentlig hændelse, og at kravene til fremgangs-
måden og fristerne for underretningerne indholdsmæssigt
svarer til NIS 2-direktivets.
Det foreslås endvidere, at Ministeriet for Samfundssikker-
hed og Beredskab kan fastsætte nærmere regler om, hvornår
en hændelse anses for at være væsentlig. Henset til kriteri-
ernes generelle udformning finder Ministeriet for Samfunds-
sikkerhed og Beredskab det således hensigtsmæssigt, at der
gives mulighed for, at Styrelsen for Samfundssikkerhed vil
kunne fastsætte nærmere regler om væsentlige hændelser,
herunder f.eks. af hensyn til særligt kritiske systemer.
Det foreslås desuden, at ministeren for samfundssikkerhed
og beredskab bemyndiges til at fastsætte nærmere regler om
oplysnings- og underretningspligter for væsentlige og vigti-
ge teleudbydere, herunder krav om 1) afgivelse af oplysnin-
ger om væsentlige dele teleudbyderens net eller tjenester
eller driften heraf, 2) krav om underretning ved påtænkt
indgåelse af aftaler om leverancer, der vedrører væsentlige
dele af udbyderens net eller tjenester eller driften heraf, samt
3) regler om, at teleudbyderen skal indsende et endeligt af-
taleudkast til Styrelsen for Samfundssikkerhed umiddelbart
forud for indgåelse af aftalen, og at aftalen først kan indgås
op til 25 arbejdsdage efter centerets modtagelse af dette
udkast.
Det foreslås herudover, at væsentlige og vigtige teleudbyde-
re uden unødigt ophold skal underrette modtagerne af deres
tjenester om væsentlige hændelser, der sandsynligvis vil på-
virke leveringen af deres tjenester negativt. Teleudbyderne
skal endvidere uden unødigt ophold oplyse modtagerne af
deres tjenester, som potentielt er berørt af en væsentlig cy-
bertrussel, om eventuelle foranstaltninger eller modforholds-
regler, som modtagerne kan træffe som reaktion på den
pågældende trussel, og eventuelt også informere om selve
truslen.
Endvidere foreslås det, at Styrelsen for Samfundssikkerhed
under visse betingelser kan informere offentligheden om den
væsentlige hændelse eller kræve, at teleudbyderen gør det.
I overensstemmelse med principperne i betænkning nr. 1516
om offentlige myndigheders offentliggørelse af kontrolresul-
tater, afgørelser mv. forudsættes det, at Styrelsen for Sam-
fundssikkerhed ved beslutningen om, hvilke oplysninger
en udbyder pålægges at offentliggøre, i fornødent omfang
bl.a. iagttager de hensyn til fortrolighed, der fremgår af
forvaltningslovens § 27 om offentlig ansattes tavshedspligt,
herunder bl.a. hensynene til enkeltpersoners private forhold,
forretningshemmeligheder samt forebyggelse, efterforskning
og forfølgning af lovovertrædelser. Det bemærkes, at offent-
liggørelsesordningen efter Ministeriet for Samfundssikker-
hed og Beredskabs opfattelse må begrundes i hensynet til
offentlighedens interesse, herunder således, at andre udby-
dere og privatpersoner, der potentielt er påvirket af hændel-
sen, har mulighed for at varetage deres interesser.
I tilfælde, hvor hændelsen berører flere samfundsvigtige
sektorer, herunder eventuelt også sektorer uden for lovens
anvendelsesområde, eller hvor der er tale om en hændelse
i en anden EU-medlemsstat, vil det dog være CSIRT’en,
som vil kunne informere offentligheden om den væsentlige
hændelse.
Forud for orientering af offentligheden foreslås det, at Sty-
relsen for Samfundssikkerhed hører den væsentlige eller
vigtige teleudbyder, der har underrettet om hændelsen, her-
under med henblik på vurdering af, hvilke oplysninger, der
må betragtes som fortrolige. Det forudsættes, at offentliggø-
relse vil skulle ske inden for rammerne af forvaltningslovens
§ 27.
Dette omfatter bl.a. hensynet til enkeltpersoners private for-
hold, forretningshemmeligheder samt hensynet til forebyg-
gelse, efterforskning og forfølgning af lovovertrædelser.
Som nærmere beskrevet under pkt. 3.3.1 indeholder lov om
sikkerhed i net og tjenester i § 4, nr. 2, og § 5, stk. 2,
yderligere underretningspligter for teleudbyderne, der går
videre end NIS 2-direktivet. Med henblik på at sikre en
opretholdelse af det nuværende høje sikkerhedsniveau for
telesektoren finder Ministeriet for Samfundssikkerhed og
Beredskab, at indholdet af § 4, nr. 2, og § 5, stk. 2, i lov
om sikkerhed i net og tjenester bør videreføres. Ministeriet
for Samfundssikkerhed og Beredskab vurderer, at dette er
væsentligt henset til det generelt høje trusselsbillede på cy-
berområdet og telesektorens samfundsmæssige kritikalitet.
3.4. Beredskabs situationer og andre ekstraordinære si-
tuationer
3.4.1. Gældende ret
Efter § 5, stk. 1, i lov om sikkerhed i net og tjenester
fastsætter Styrelsen for Samfundssikkerhed (tidligere Center
for Cybersikkerhed) regler om, at udbydere skal foretage
nødvendig planlægning og træffe nødvendige foranstaltnin-
ger for i videst muligt omfang at sikre elektronisk kommu-
nikation i beredskabssituationer og i andre ekstraordinære
situationer.
Det fremgår af § 5, stk. 2, i lov om sikkerhed i net og tje-
nester, at for erhvervsmæssige udbydere af offentligt tilgæn-
gelige elektroniske kommunikationsnet og -tjenester kan
det i regler efter stk. 1, endvidere fastsættes, at udbyderne
med henblik på at sikre elektronisk kommunikation i bered-
skabssituationer og i andre ekstraordinære situationer skal
1) udarbejde beredskabsplaner baseret på en dokumenteret
og ledelsesforankret risikostyringsproces og 2) planlægge og
deltage i øvelsesaktiviteter.
22
Bemyndigelserne i § 5, stk. 1 og 2, i lov om sikkerhed i net
og tjenester er udmøntet i bekendtgørelse nr. 259 af 22. fe-
bruar 2021 om sikkerhed og beredskab i net og tjenester. De
nærmere regler følger af bekendtgørelsens kapitel 5 om kri-
sestyring i beredskabssituationer og i andre ekstraordinære
situationer.
Det følger af § 5, stk. 3, i lov om sikkerhed i net og tjene-
ster, at Styrelsen for Samfundssikkerhed (tidligere Center
for Cybersikkerhed) koordinerer og prioriterer beredskabs-
aktørernes behov for samfundsvigtig elektronisk kommuni-
kation i beredskabssituationer og i andre ekstraordinære si-
tuationer. Styrelsen for Samfundssikkerhed kan endvidere
fastsætte regler om, at erhvervsmæssige udbydere skal sikre,
at de foretagne prioriteringer gennemføres i net og tjenester.
Bemyndigelsen er udmøntet i bekendtgørelse nr. 261 om
beredskabsaktørers adgang til elektronisk kommunikation i
beredskabssituationer mv af 22. februar 2021.
Det følger endvidere af § 5 a i lov om sikkerhed i net og
tjenester, at Styrelsen for Samfundssikkerhed kan fastsætte
regler om, at udbydere, som i medfør af lov om elektroni-
ske kommunikationsnet og -tjenester skal udsende offentlige
advarsler om overhængende eller truende alvorlige nødsitua-
tioner og katastrofer, skal træffe alle nødvendige foranstalt-
ninger til at sikre uafbrudt transmission af advarslerne. Be-
myndigelsen er ikke udnyttet.
3.4.2. Ministeriet for Samfundssikkerhed og Beredskabs
overvejelser
Det er Ministeriet for Samfundssikkerhed og Beredskabs
vurdering, at bestemmelserne i kapitel 3 om elektronisk
kommunikation i beredskabssituationer og i andre ekstraor-
dinære situationer i lov om sikkerhed i net og tjenester bør
videreføres med nærværende lov.
Videreførelsen skal navnlig ses i lyset af, at elektronisk
kommunikation i stigende grad er en forudsætning for op-
retholdelse af samfundets funktioner, hvilket stiller krav til
en robust teleinfrastruktur. I beredskabssituationer og i an-
dre ekstraordinære situationer, hvor samfundet rammes af
naturskabte eller menneskeskabte ulykker eller katastrofer,
vil den elektroniske kommunikation og dermed en fungeren-
de teleinfrastruktur være nødvendig for, at samfundsvigtige
funktioner kan opretholdes.
Ikke mindst de forskellige aktører, der indgår i samfundets
beredskab, kan i beredskabssituationer og i andre ekstraordi-
nære situationer have behov for elektronisk kommunikation
for at udføre en række af deres opgaver, ligesom elektronisk
kommunikation er en forudsætning for, at de kan koordinere
deres indsats.
Det er derfor nødvendigt med et beredskab på teleområdet,
som sikrer, at den elektroniske kommunikation i videst mu-
ligt omfang opretholdes i beredskabssituationer og i andre
ekstraordinære situationer, og som tilgodeser beredskabsak-
tørernes behov for elektronisk kommunikation.
3.4.3. Den foreslåede ordning
Det foreslås, at ministeren for samfundssikkerhed og bered-
skab kan fastsætte regler om, at væsentlige og vigtige te-
leudbydere skal sikre, at de foretagne prioriteringer gennem-
føres i net og tjenester. Det foreslås endvidere, at ministeren
for samfundssikkerhed og beredskab kan fastsætte regler
om, at væsentlige- og vigtige teleudbydere skal underrette
Styrelsen for Samfundssikkerhed i tilfælde, hvor udbyderen
aktiverer sit beredskab, eller hvor udbyderen bliver bekendt
med en hændelse, som vurderes at kunne føre til en bered-
skabssituation eller en anden ekstraordinær situation for te-
leudbyderen selv eller for en anden udbyder, herunder regler
om, hvordan underretningen skal foretages.
Det foreslås desuden, at ministeren for samfundssikkerhed
og beredskab kan fastsætte regler om, at udbydere, som i
medfør af lov om elektroniske kommunikationsnet og -tje-
nester skal udsende offentlige advarsler om overhængende
eller truende alvorlige nødsituationer og katastrofer, skal
træffe alle nødvendige foranstaltninger til at sikre uafbrudt
transmission af advarslerne.
Den foreslåede ordning vil ikke medføre en ændring af gæl-
dende ret, idet bestemmelserne i kapitel 3 i lov om sikker-
hed i net og tjenester bør videreføres.
3.5. Aktindsigt i oplysninger og underretninger
3.5.1. Gældende ret
Lov om sikkerhed i net og tjenester fastsætter i lovens kapi-
tel 5 regler om aktindsigt i underretninger mv.
Det følger således af lovens § 7, at det i regler udstedt i
medfør af lovens § 4 kan fastsættes, at underretninger og
afgivelse af oplysninger efter lovens § 4, nr. 1-3, er undtaget
fra aktindsigt efter lov om offentlighed i forvaltningen og
partsaktindsigt efter forvaltningsloven.
Dette indebærer, at underretninger til Styrelsen for Sam-
fundssikkerhed om 1) væsentlige dele af teleudbyderens net
eller tjenester eller driften heraf, 2) indgåelse af aftaler om
leverancer, der vedrører væsentlige dele af udbyderens net
eller tjenester eller driften heraf og sikkerhedshændelser, der
har haft væsentlig indvirkning på driften af net eller tjene-
ster, kan undtages fra aktindsigt efter lov om offentlighed i
forvaltningen og partsaktindsigt efter forvaltningsloven.
Bemyndigelsen til at fastsætte regler om aktindsigt er i dag
udmøntet i bekendtgørelse nr. 258 af 22. februar 2021 om
oplysnings- og underretningspligter vedrørende sikkerhed i
net og tjenester. De nærmere regler følger af bekendtgørel-
sens § 14.
Det følger endvidere af den nævnte lovs § 8, stk. 2, at
underretninger fra myndigheder og virksomheder vedrøren-
de hændelser, der negativt påvirker eller vurderes at ville
kunne påvirke tilgængelighed, integritet eller fortrolighed
af data, informationssystemer, digitale netværk eller digitale
23
servicer, er undtaget fra aktindsigt efter lov om offentlighed
i forvaltningen og partsaktindsigt efter forvaltningsloven.
3.5.2. Ministeriet for Samfundssikkerhed og Beredskabs
overvejelser
Det er Ministeriet for Samfundssikkerhed og Beredskabs
vurdering, at de eksisterende regler om aktindsigt i underret-
ninger mv. bør videreføres.
De oplysninger, som Styrelsen for Samfundssikkerhed som
led i indberetningsordningen modtager fra væsentlige og
vigtige teleudbydere vedrørende væsentlige dele af udbyde-
rens net og tjenester eller varetagelsen af driften heraf, vil
ofte indeholde oplysninger om fejl eller sårbarheder i net
eller tjenester, som kan misbruges af potentielle angribere,
hvis de kommer til uvedkommendes kendskab. Det vurde-
res derfor, at oplysningerne i deres helhed bør undtages fra
aktindsigt, herunder partsaktindsigt efter forvaltningsloven,
således at aktindsigtsanmodninger ikke – som det ellers
ville være tilfældet – behandles efter principperne i offent-
lighedsloven. Undtagelsen kan omfatte underretningssagen
som helhed.
Underretning af Styrelsen for Samfundssikkerhed skaber de
bedst mulige forudsætninger for, at styrelsen kan udnytte
erfaringer med cybertrusler og sikkerhedsrisici på tværs af
samfundet – og dermed skabe et samlet overblik over den
aktuelle sikkerhedstilstand på den danske del af internet-
tet. Underretningerne sætter således Styrelsen for Samfunds-
sikkerhed i stand til at varsle hurtigere om trusler og styrke
grundlaget for styrelsens rådgivning om risici og passende
sikkerhedstiltag.
Oplysninger om, at der f.eks. er gennemført et vellykket
hackerangreb, hvor en virksomhed har mistet data, kan
imidlertid i høj grad skade virksomhedens omdømme, og
risikoen for, at oplysningerne via aktindsigt bliver offentligt
tilgængelige, kan i praksis afholde mange virksomheder fra
at underrette Styrelsen for Samfundssikkerhed om et sådant
hackerangreb. Derfor bør også disse særlige underretninger
være undtaget fra aktindsigt.
Undtagelsen fra aktindsigt bør efter ministeriets opfattelse
også gælde i de tilfælde, hvor oplysningerne videregives til
Kommissionen, Det Europæiske Agentur for Net- og Infor-
mationssikkerhed eller nationale tilsynsmyndigheder i andre
EU-medlemsstater.
Efter Ministeriet for Samfundssikkerhed og Beredskabs op-
fattelse bør der endvidere ikke være adgang til aktindsigt i
de udkast til aftaler, som væsentlige og vigtige teleudbyde-
re indsender til Styrelsen for Samfundssikkerhed i medfør
af regler fastsat efter denne lov. Aftalerne vil således ofte
indeholde en lang række oplysninger om udbydernes net
og tjenester samt aftaleforhold, som dels er kommercielt
fortrolige, dels kan misbruges af potentielle angribere.
Undtagelsen fra aktindsigt omfatter ikke teleudbydernes ad-
gang til at gøre sig bekendt med oplysninger, der vedrører
deres egne forhold.
3.5.3. Den foreslåede ordning
Det foreslås, at teleudbyderes underretninger til Styrelsen
for Samfundssikkerhed og CSIRT’en vedrørende væsentlige
hændelser efter den foreslåede § 8, stk. 2, jf. stk. 3, og hæn-
delser, nærvedhændelser og cybertrusler efter den foreslåede
§ 10 er undtaget fra reglerne om aktindsigt.
Det foreslås derudover, at det i regler udstedt i medfør af
bemyndigelsesbestemmelserne i lovens § 7, stk. 5, kan fast-
sættes, at underretninger og afgivelse af oplysninger efter
denne bestemmelse er undtaget fra aktindsigt efter lov om
offentlighed i forvaltningen og partsaktindsigt efter forvalt-
ningsloven
Den foreslåede ordning har til formål at videreføre de eksi-
sterende regler om aktindsigt i lov om sikkerhed i net og
tjenester.
Videreførelsen skal navnlig ses i lyset af, at en velfungeren-
de underretningsordning forudsætter, at der ikke er risiko
for, at de ofte særligt kommercielt følsomme oplysninger,
som vil blive modtaget fra teleudbyderne, kan tilgå teleud-
bydernes konkurrenter eller potentielle angribere.
Der henvises i øvrigt til bemærkninger til de foreslåede §§
14 og 15 samt bemærkningerne hertil.
3.6. Sikkerhedsgodkendelser
3.6.1. Gældende ret
3.6.1.1. Sikkerhedsgodkendelser efter lov om sikkerhed i net
og tjenester
Lov om sikkerhed i net og tjenester indeholder i lovens ka-
pitel 4 regler om sikkerhedsgodkendelser. Det følger således
af lovens § 6, stk. 1, at en udbyder skal indstille medarbejde-
re og repræsentanter for udbyderen til sikkerhedsgodkendel-
se hos sikkerhedsmyndigheden, når de pågældende som led
i deres konkrete opgaveløsning for udbyderen skal behandle
klassificerede informationer eller andre informationer, der er
særligt beskyttelsesværdige i relation til sikkerhed i net og
tjenester eller beredskab.
Det fremgår derudover at bestemmelsens stk. 2, at erhvervs-
mæssige udbydere af offentligt tilgængelige elektroniske
kommunikationsnet skal sikre, at medarbejdere eller repræ-
sentanter for udbyderen, der varetager kontakten til Styrel-
sen for Samfundssikkerhed i relation til beredskabet i hen-
hold til regler, der er udstedt i medfør af lovens § 5, stk. 2, i
fornødent omfang sikkerhedsgodkendes efter stk. 1.
Det følger af bestemmelsens stk. 3, at udbydere, hvis medar-
bejdere eller repræsentanter sikkerhedsgodkendes efter stk.
1, skal sikre overholdelse af sikkerhedsmyndighedens anvis-
ninger om behandling af klassificerede informationer.
24
Det fremgår derudover af bestemmelsens stk. 4, at udby-
dere, hvis medarbejdere eller repræsentanter sikkerhedsgod-
kendes efter stk. 1, uden ugrundet ophold skal underrette
sikkerhedsmyndigheden, når sikkerhedsgodkendte personer
ikke længere varetager de opgaver for udbyderen, som lå til
grund for sikkerhedsgodkendelsen.
Det fremgår endvidere af bestemmelsens stk. 5, at sikker-
hedsmyndigheden kan tilbagekalde en sikkerhedsgodkendel-
se, når betingelserne for sikkerhedsgodkendelse ikke længe-
re er til stede.
Endelig giver bestemmelsens stk. 6 ministeren for sam-
fundssikkerhed og beredskab hjemmel til at fastsætte regler
om sikkerhedsgodkendelse af udbyderes medarbejdere eller
repræsentanter for udbydere, der har adgang til udstyr eller
systemer, som benyttes i forbindelse med indgreb i medde-
lelseshemmeligheden.
3.6.1.2. Sikkerhedsgodkendelser efter sikkerhedscirkulæret
Cirkulære nr. 10338 af 17. december 2014 om sikkerheds-
beskyttelse af informationer af fælles interesse for landene
i NATO eller EU, andre klassificerede informationer samt
informationer af sikkerhedsmæssig beskyttelsesinteresse i
øvrigt (sikkerhedscirkulæret) indeholder de almindelige reg-
ler for bl.a. sikkerhedsundersøgelser og sikkerhedsgodken-
delser af ansatte i offentlige myndigheder og ansatte i priva-
te firmaer, der arbejder for en offentlig myndighed. Sikker-
hedsgodkendelsen har kun gyldighed for den sikkerhedsgod-
kendte persons arbejde for den pågældende myndighed. Det
fremgår af stk. 3, at Politiets Efterretningstjeneste foretager
en sikkerhedsundersøgelse til brug for den offentlige myn-
digheds afgørelse om sikkerhedsgodkendelse af ansatte.
Afgørelse om sikkerhedsgodkendelse træffes i medfør af
sikkerhedscirkulærets § 14 på grundlag af en konkret vurde-
ring af alle de oplysninger, der foreligger om personen. Der
lægges herved navnlig vægt på, om den pågældende har
udvist ubestridt loyalitet, og om den pågældende har en
sådan adfærd og karakter, herunder vaner, forbindelser og
diskretion, at der ikke kan være tvivl om den pågældendes
pålidelighed i forbindelse med håndtering af klassificerede
informationer.
3.6.2. Ministeriet for Samfundssikkerhed og Beredskabs
overvejelser
Det er Ministeriet for Samfundssikkerhed og Beredskabs
vurdering, at de gældende regler for sikkerhedsgodkendelser
i § 6 i lov om sikkerhed i net og tjenester i et vist omfang
bør videreføres, dog således, at loven alene fastsætter de
overordnede rammer for den personkreds, der skal være om-
fattet af kravet om sikkerhedsgodkendelse, mens de nærme-
re regler herom vil blive fastsat i en bekendtgørelse. Dette
vil skabe fleksibilitet i regelsættet i forhold til nye udvik-
linger, trusselsvurderinger mv., der kan have betydning for
vurderingen af, hvilken personkreds der bør sikkerhedsgod-
kendes.
Videreførelsen skal ses i lyset af det aktuelle trusselsbille-
de, herunder navnlig behovet for at vurdere medarbejdere
i væsentlige og vigtige enheders pålidelighed og imødegå
risikoen for bl.a. spionage og sabotage.
3.6.3. Den foreslåede ordning
Det foreslås, at medarbejdere eller repræsentanter for en
væsentlig eller vigtig teleudbyder skal sikkerhedsgodkendes,
når 1) det er nødvendigt i forhold til den pågældendes
adgang til klassificeret information eller til de funktioner,
som den pågældende skal varetage, eller 2) den pågældende
varetager kontakten til Styrelsen for Samfundssikkerhed i
relation til beredskabet i henhold til regler, der er udstedt i
medfør af § 13, stk. 3.
Endvidere foreslås det, at ministeren for samfundssikkerhed
og beredskab kan fastsætte nærmere regler for sikkerheds-
godkendelser, herunder regler om ansøgninger vedrørende
sikkerhedsgodkendelser, herunder betingelser for indgivelse
af sådanne ansøgning samt meddelelse og tilbagekaldelse af
sikkerhedsgodkendelser. Det foreslås, at reglerne skal fast-
sættes efter forhandling med justitsministeren.
3.7. Tilsyn
3.7.1. Gældende ret
Styrelsen for Samfundssikkerhed varetager Ministeriet for
Samfundssikkerhed og Beredskabs myndighedsopgaver i re-
lation til informationssikkerhed og beredskab for telesekto-
ren. Der er på den baggrund i § 9, stk. 1, i lov om sikkerhed
i net og tjenester fastsat en forpligtelse for Styrelsen for
Samfundssikkerhed (tidligere Center for Cybersikkerhed) til
at føre tilsyn med overholdelsen af loven og regler, der er
udstedt af medfør i loven.
Efter § 9, stk. 2, i lov om sikkerhed i net og tjenester
kan Styrelsen for Samfundssikkerhed (tidligere Center for
Cybersikkerhed) som led i sit tilsyn kræve, at udbydere og
udbydere af NUIK-tjenester fremlægger alle de oplysninger
og det materiale om sikkerhed i net og tjenester, beredskab
og sikkerhedsgodkendelse, der er nødvendige for styrelsens
tilsynsvirksomhed, herunder til afgørelse af, om et forhold
falder ind under denne lov eller regler, der er udstedt i med-
før af loven.
Bestemmelsen suppleres af lovens § 4, hvorefter Styrelsen
for Samfundssikkerhed (tidligere Center for Cybersikker-
hed) mere generelt med henblik på at sikre informations-
sikkerheden i net og tjenester kan fastsætte regler om op-
lysnings- og underretningspligter for udbydere af offentligt
tilgængelige net og tjenester.
Efter § 9, stk. 3, i lov om sikkerhed i net og tjenester
kan Styrelsen for Samfundssikkerhed (tidligere Center for
Cybersikkerhed) stille krav om, hvordan og i hvilken form
oplysninger og materiale efter § 9, stk. 2, skal afgives.
Lovens § 9, stk. 2 og 3, i lov om sikkerhed i net og tjenester
25
er delvis implementering af artikel 20, stk. 1, i EU’s teleko-
deks.
I forbindelse med tilsynet med udbydernes overholdelse
af reglerne kan Styrelsen for Samfundssikkerhed (tidligere
Center for Cybersikkerhed) efter § 9, stk. 5, i lov om sikker-
hed i net og tjenester desuden stille krav om, at udbydere og
udbydere af NUIK-tjenester skal foranstalte en uafhængig
sikkerhedsrevision og stille resultaterne heraf til rådighed
for styrelsen.
Lovens § 9, stk. 5, i lov om sikkerhed i net og tjenester er
delvis implementering af artikel 41, stk. 2, litra b, i EU’s
telekodeks.
Lov om sikkerhed i net og tjenester indeholder derudover i §
9, stk. 4, 6 og 7 nationale særregler, der ikke implementerer
EU-regulering, hvorefter Styrelsen for Samfundssikkerhed
(tidligere Center for Cybersikkerhed) er tillagt yderligere
tilsynsbeføjelser overfor teleudbyderne.
Efter § 9, stk. 4, i lov om sikkerhed i net og tjenester
kan Styrelsen for Samfundssikkerhed (tidligere Center for
Cybersikkerhed) afkræve udbydere skriftlige udtalelser og
redegørelser om faktiske forhold af betydning for styrelsens
tilsynsvirksomhed.
Efter § 9, stk. 6, i lov om sikkerhed i net og tjenester
har Styrelsen for Samfundssikkerhed (tidligere Center for
Cybersikkerhed), såfremt det er nødvendigt af hensyn til
sikkerheden i net og tjenester, efter et skriftligt varsel på
mindst 7 arbejdsdage uden retskendelse mod behørig legiti-
mation adgang til udbyderes forretningslokaler med henblik
på at påse overholdelsen af loven og regler, der er udstedt i
medfør af loven. Styrelsen for Samfundssikkerhed (tidligere
Center for Cybersikkerhed) kan ikke i forbindelse med ad-
gang til forretningslokaler tilgå kommunikation til, fra eller
mellem udbyderens kunder.
Efter § 9, stk. 7, i lov om sikkerhed i net og tjenester,
har Styrelsen for Samfundssikkerhed (tidligere Center for
Cybersikkerhed) endvidere, såfremt det er nødvendigt af
hensyn til sikkerheden i net og tjenester, efter et skriftligt
varsel på mindst 7 arbejdsdage uden retskendelse mod be-
hørig legitimation adgang til forretningslokaler hos udbyde-
res samarbejdspartnere, leverandører eller underleverandø-
rer med henblik på at påse overholdelsen af loven og regler,
der er udstedt i medfør af loven, i relation til outsourcet
aktivitet. Styrelsen for Samfundssikkerhed (tidligere Center
for Cybersikkerhed) kan ikke i forbindelse med adgang til
forretningslokaler tilgå kommunikation til, fra eller mellem
udbyderens kunder.
Ved tilsynsbesøg hos samarbejdspartnere, leverandører eller
underleverandører gælder de samme betingelser som efter
lovens § 9, stk. 6.
3.7.2. NIS 2-direktivet
Med artikel 43 i NIS 2-direktivet ophæves bl.a. artikel 41,
stk. 2, litra b, i EU’s telekodeks.
NIS 2-direktivets artikel 31, stk. 1, fastsætter herefter en
pligt for medlemsstaterne til at sikre, at deres kompetente
myndigheder effektivt overvåger og træffer de nødvendige
foranstaltninger til at sikre, at direktivet overholdes. I med-
før af direktivets artikel 31, stk. 2, kan medlemsstaterne
dog tillade, at de kompetente myndigheder prioriterer deres
tilsynsopgaver baseret på en risikobaseret tilgang. Efter di-
rektivets artikel 32, stk. 1, og 33, stk. 1, skal bl.a. tilsyns-
foranstaltningerne være effektive, stå i et rimeligt forhold
til overtrædelsen og have en afskrækkende virkning under
hensyntagen til omstændighederne i hver enkelt sag.
Efter NIS 2-direktivets præambelbetragtning nr. 95 kan
medlemsstaterne tildele de kompetente myndigheder efter
EU’s telekodeks samme rolle efter NIS 2-direktivet med
henblik på at sikre videreførelsen af den nuværende praksis
og for at bygge videre på den viden og erfaring, der er opnå-
et som et resultat af gennemførelsen af EU’s telekodeks.
Sondringen mellem væsentlige og vigtige enheder i NIS 2-
direktivet ses bl.a. at være relevant i relation til tilsyn. Det er
i NIS 2-direktivet således forudsat, at tilsynet med henholds-
vis væsentlige og vigtige enheder kan differentieres med
henblik på at sikre en rimelig balance mellem forpligtelser
for disse enheder og for de kompetente myndigheder. Direk-
tivet forudsætter, at væsentlige enheder underlægges et om-
fattende forudgående og efterfølgende tilsyn, mens vigtige
enheder derimod underlægges et lettere og rent reaktivt til-
syn, hvor de ikke er forpligtet til systematisk at dokumentere
overholdelsen af foranstaltninger til styring af cybersikker-
hedsrisici, og hvor de kompetente myndigheder ikke har en
generel forpligtelse til at føre løbende tilsyn med disse enhe-
der. Det reaktive tilsyn med vigtige enheder vil eksempelvis
kunne aktiveres, hvis der modtages oplysninger fra andre
myndigheder, enheder, borgere eller medier, eller hvis myn-
digheden i forbindelse med udførelsen af dennes opgaver
i øvrigt kommer i besiddelse af oplysninger, der peger på
mulige overtrædelser af reguleringen, jf. NIS 2-direktivets
præambelbetragtning nr. 122.
NIS 2-direktivet oplister i artikel 32, stk. 2 og 3, og 33,
stk. 2 og 3, en række tilsynsbeføjelser, som de kompetente
myndigheder som minimum skal kunne anvende ved deres
tilsyn med henholdsvis væsentlige og vigtige enheder. Der
er navnlig tale om, at de kompetente myndigheder skal kun-
ne føre kontrol på stedet hos enhederne, foretage målrettede
sikkerhedsaudits og sikkerhedsscanninger samt kræve at få
udleveret oplysninger og dokumentation, der er nødvendige
for udførelsen af myndighedernes tilsynsopgaver.
Oplistningerne af tilsynsbeføjelser for henholdsvis væsentli-
ge og vigtige enheder er i vidt omfang identiske, idet NIS
2-direktivets forudsætning om en differentieret tilgang til
tilsynet med væsentlige og vigtige enheder dog afspejler
sig i visse forskelle i de beføjelser, der som minimum
skal kunne anvendes. Direktivet foreskriver eksempelvis, at
26
myndighederne skal kunne foretage stikprøvekontrol med
væsentlige enheder, hvilket ikke gør sig gældende for vigti-
ge enheder. De målrettede sikkerhedsaudits, som skal kun-
ne pålægges både væsentlige og vigtige enheder, skal efter
direktivet kun for de væsentlige enheder kunne være regel-
mæssige. Herudover foreskriver direktivet, at væsentlige
enheder under visse omstændigheder skal kunne pålægges
sikkerhedsaudits ad hoc, hvilket ikke er tilfældet for vigtige
enheder.
3.7.3. Ministeriet for Samfundssikkerhed og Beredskabs
overvejelser
Den grundlæggende tilgang i NIS 2-direktivet og EU’s tele-
kodeks i forhold til tilsyn svarer i det væsentligste til hinan-
den. Som beskrevet ovenfor giver EU’s telekodeks i artikel
20 og artikel 41, stk. 2, litra b, medlemsstaterne beføjelse
til – som led i deres tilsyn – at kræve, at der fremlægges op-
lysninger og materiale, ligesom der kan kræves en uafhæn-
gig sikkerhedsrevision. NIS 2-direktivet bygger imidlertid
videre herpå og indeholder en minimumsliste over tilsynsbe-
føjelser, der foruden de beføjelser, der følger af EU’s teleko-
deks, navnlig som noget nyt omfatter kontrol på stedet –
og stikprøvekontrol for de væsentlige teleudbydere – samt
sikkerhedsscanninger.
Hertil kommer, at § 9, stk. 4, 6 og 7, i lov om sikkerhed
i net og tjenester indeholder yderligere tilsynsbeføjelser for
Styrelsen for Samfundssikkerhed, der går videre end de til-
synsbeføjelser, der følger af direktivet.
Med henblik på at sikre et effektivt tilsyn med teleudby-
dernes efterlevelse af loven og de regler, der er udstedt i
medfør af loven, finder Ministeriet for Samfundssikkerhed
og Beredskab, at indholdet af lovens § 9, stk. 4, 6 og 7, bør
videreføres.
I det omfang der er tale om videreførelse af gældende ret,
tilsigtes der ikke en ændring af gældende ret.
Videreførelsen skal navnlig ses i lyset af det generelt høje
trusselsbillede på cyberområdet og telesektorens samfunds-
mæssige kritikalitet.
3.7.4. Den foreslåede ordning
Det foreslås, at Styrelsen for Samfundssikkerhed – som hid-
til – inden for telesektoren fører tilsyn med teleudbyderes
efterlevelse af loven og de regler, der udstedes i medfør af
loven.
Det foreslås i forlængelse heraf, at Styrelsen for Samfunds-
sikkerhed tillægges tilsynsbeføjelser, der indholdsmæssigt
svarer til det, som NIS 2-direktivet foreskriver, herunder
med de forudsatte forskelle i tilgangen til væsentlige og
vigtige teleudbydere. I overensstemmelse med forudsætnin-
gerne i direktivet foreslås det derfor, at Styrelsen for Sam-
fundssikkerhed ved tilrettelæggelsen af sit tilsyn anlægger
en risikobaseret tilgang, hvor der kan anvendes forskellige
tilgange til tilsyn med henholdsvis væsentlige og vigtige
teleudbydere.
Tilsynsbesøgene vil alene blive gennemført, hvis det er nød-
vendigt af hensyn til informationssikkerheden. Styrelsen for
Samfundssikkerheds adgang til at foretage tilsynsbesøg –
der kun forudsættes anvendt, såfremt et tilsvarende resultat
ikke kan opnås ved anvendelse af andre og mindre indgri-
bende tilsynsmuligheder – kan derfor kun anvendes i forbin-
delse med styrelsens tilsynsvirksomhed.
For effektivt at kunne konstatere, om væsentlige teleudby-
dere i praksis har gennemført de nødvendige foranstaltnin-
ger til at sikre deres net- og informationssystemer, er det
nødvendigt, at Styrelsen for Samfundssikkerhed som led i
et tilsyn har adgang til forretningslokaler hos væsentlige
teleudbydere. Det foreslås derfor, at der skal være adgang
til kontrol på stedet uden retskendelse og mod behørig legi-
timation.
Styrelsen for Samfundssikkerheds tilsynsbesøg vil skulle
varsles skriftligt, herunder via e-mail, mindst syv arbejdsda-
ge forud for besøget, og styrelsen kan således ikke med
hjemmel i bestemmelsen foretage uanmeldte tilsynsbesøg.
Det forudsættes endvidere, at Styrelsen for Samfundssik-
kerheds i forbindelse med tilsynsbesøgene i videst muligt
omfang tager hensyn til den væsentlige eller den vigtige
udbyderes virksomhed og tilrettelægger besøgene således,
at styrelsen alene skaffer sig kendskab til forhold, der er af
betydning for gennemførelsen af styrelsens tilsynsvirksom-
hed. Tilsynsbesøgene vil typisk tage udgangspunkt i oplys-
ninger og materiale fra udbyderne, herunder oplysninger
om de iværksatte tekniske, operationelle og organisatoriske
foranstaltninger.
Endelig foreslås det, at indholdet af de skærpede nationale
særregler omkring Styrelsen for Samfundssikkerheds befø-
jelser til at kræve skriftlige udtalelser og redegørelser samt
adgang til teleudbyderes samt deres samarbejdspartneres, le-
verandørers eller underleverandørers forretningslokaler op-
retholdes som hidtil. Der er med videreførelsen således ikke
tilsigtet materielle ændringer af de nuværende bestemmels-
ers indhold.
Det er Ministeriet for Samfundssikkerhed og Beredskabs
vurdering, at de foreslåede tilsynsforanstaltninger vil være
omfattet af lov om retssikkerhed ved forvaltningens anven-
delse af tvangsindgreb og oplysningspligter. Dette indebæ-
rer, at retten til ikke at inkriminere sig selv, jf. kapitel 4 i
nævnte lov, skal overholdes. Det bemærkes dog, at det af
bemærkningerne til § 10 i lov om retssikkerhed ved forvalt-
ningens anvendelse af tvangsindgreb og oplysningspligter
fremgår, at bestemmelsen om forbud mod selvinkriminerin-
ger ikke til hinder for, at den mistænkte kan pålægges at
give (faktuelle) oplysninger, som er uden betydning for be-
dømmelsen af, hvorvidt den pågældende har begået en lov-
overtrædelse, der kan medføre straf. Bestemmelsen vil såle-
des ikke være til hinder for at anvende en oplysningspligt
27
til at kræve oplysninger om navn, adresse mv., jf. herved
også retsplejelovens § 750, hvorefter enhver på forlangende
er forpligtet til over for politiet at opgive navn, adresse
og fødselsdato. Der henvises til Folketingstidende 2003-04,
tillæg A, side 3097.
3.8. Håndhævelse
3.8.1. Gældende ret
Center for Cybersikkerhed (nu Styrelsen for Samfundssik-
kerhed) kan som led i varetagelsen af myndighedsopgaver
i relation til informationssikkerhed og beredskab for telesek-
toren iværksætte tiltag med henblik på at sikre sikkerheden
i net og tjenester, som kan vise sig nødvendige på baggrund
af eksempelvis tilsyn.
Efter § 3, stk. 3, i lov om sikkerhed i net og tjenester
kan Styrelsen for Samfundssikkerhed påbyde udbydere af
offentligt tilgængelige elektroniske kommunikationsnet og
-tjenester og udbydere af NUIK-tjenester at træffe konkrete
foranstaltninger, der er nødvendige for at afhjælpe en sikker-
hedshændelse eller hindre en sådan i at forekomme, når en
betydelig trussel er identificeret. Styrelsen fastsætter nærme-
re regler herom.
Bemyndigelsen i § 3, stk. 3, i lov om sikkerhed i net og
tjenester er udmøntet i bekendtgørelse nr. 259 af 22. februar
2021 om sikkerhed og beredskab i net og tjenester. De nær-
mere regler følger af bekendtgørelsens kapitel 4 vedrørende
påbud om konkrete informationssikkerhedsforanstaltninger.
Bestemmelsen – og de dele af bekendtgørelsen, der er ud-
stedt i medfør heraf – implementerer artikel 41, stk. 1, i
EU’s telekodeks.
Lov om sikkerhed i net og tjenester indeholder derudover i §
3, stk. 2 og 4, samt § 5, stk. 4 nationale særregler, der ikke
er implementering af EU-regulering, hvorefter Styrelsen for
Samfundssikkerhed kan udstede yderligere påbud til teleud-
byderne.
Efter § 3, stk. 2, i lov om sikkerhed i net og tjenester
kan Styrelsen for Samfundssikkerhed (tidligere Center for
Cybersikkerhed) påbyde udbydere af offentligt tilgængelige
elektroniske kommunikationsnet og -tjenester at inddrage
nærmere angivne områder af deres virksomhed og nærmere
angivne trusler mod sikkerheden i net og tjenester i deres
risikostyringsprocesser efter lovens § 3, stk. 1.
Efter § 3, stk. 4, i lov om sikkerhed i net og tjenester kan
Styrelsen for Samfundssikkerhed (tidligere Center for Cy-
bersikkerhed), såfremt det er af væsentlig samfundsmæssig
betydning, påbyde udbydere af offentligt tilgængelige elek-
troniske kommunikationsnet og -tjenester at træffe konkrete
foranstaltninger med henblik på at sikre sikkerheden i net og
tjenester. Styrelsen fastsætter nærmere regler herom.
Bemyndigelsen i § 3, stk. 4, i lov om sikkerhed i net og
tjenester er udmøntet i bekendtgørelse nr. 259 af 22. februar
2021 om sikkerhed og beredskab i net og tjenester. De nær-
mere regler følger af bekendtgørelsens kapitel 4 vedrørende
påbud om konkrete informationssikkerhedsforanstaltninger.
Efter § 5, stk. 4, i lov om sikkerhed i net og tjenester
kan Styrelsen for Samfundssikkerhed (tidligere Center for
Cybersikkerhed) i beredskabssituationer og i andre ekstraor-
dinære situationer påbyde erhvervsmæssige udbydere uden
unødigt ophold at iværksætte nærmere angivne sikkerheds-
foranstaltninger i tilfælde af en hændelse eller trussel, der i
betydeligt omfang påvirker eller kan påvirke udbuddet af net
eller tjenester negativt.
3.8.2. NIS 2-direktivet
Med artikel 43 i NIS 2-direktivet ophæves bl.a. artikel 41,
stk. 1, i EU’s telekodeks.
Der er i NIS 2-direktivets artikel 31-33 fastsat bestemmelser
om tilsyn og håndhævelse. Medlemsstaterne forpligtes i dis-
se bestemmelser til at sikre, at deres kompetente myndighe-
der effektivt overvåger og træffer de nødvendige foranstalt-
ninger til at sikre, at direktivet overholdes.
Foranstaltningerne skal være effektive, stå i et rimeligt for-
hold til overtrædelsen og have en afskrækkende virkning
under hensyntagen til omstændighederne i hver enkelt sag.
NIS 2-direktivets sondring mellem væsentlige og vigtige
enheder er navnlig relevant i relation til tilsyn og håndhæ-
velse. Direktivet oplister i henholdsvis artikel 32, stk. 4,
og artikel 33, stk. 4, de håndhævelsesforanstaltninger, der
som minimum skal kunne anvendes over for henholdsvis
væsentlige og vigtige enheder, herunder for så vidt angår
vigtige teleudbydere a) udstede advarsler om de pågældende
enheders overtrædelser af direktivet, b) udstede bindende
instrukser eller pålægge de pågældende enheder at afhjælpe
de konstaterede mangler eller overtrædelserne af direktivet,
c) pålægge de pågældende enheder at ophøre med at ud-
vise adfærd, der overtræder dette direktiv, og afstå fra at
gentage denne adfærd, d) pålægge de pågældende enheder,
på en nærmere angivet måde og inden for en nærmere an-
givet frist at sikre, at deres foranstaltninger til styring af
cybersikkerhedsrisici overholder artikel 21, eller at efterle-
ve underretningsforpligtelserne i artikel 23, e) pålægge de
pågældende enheder at underrette de fysiske eller juridiske
personer med hensyn til hvilke de leverer tjenester eller
udfører aktiviteter, som potentielt er berørt af en væsentlig
cybertrussel, om denne trussels karakter samt om eventuelle
beskyttelsesforanstaltninger eller afhjælpende foranstaltnin-
ger, som disse fysiske eller juridiske personer kan træffe
som reaktion på denne trussel, f) pålægge de pågældende
enheder at gennemføre de anbefalinger, der er fremsat som
følge af en sikkerhedsaudit, inden for en rimelig frist og g)
pålægge de pågældende enheder at offentliggøre aspekter af
overtrædelser af dette direktiv på en nærmere angivet måde,
og h) pålægge eller anmode de relevante organer eller dom-
stole om i overensstemmelse med national ret at pålægge en
28
administrativ bøde i henhold til artikel 34 ud over enhver af
de foranstaltninger, der er omhandlet i artikel 33, stk. 4, litra
a)-g).
Overfor væsentlige enheder kan kompetente myndighed dog
efter direktivets artikel 32, stk. 4, litra g, som noget særligt
udpege en monitoreringsansvarlig med veldefinerede opga-
ver til i en nærmere fastsat periode at føre tilsyn med de
pågældende enheders overholdelse af kravene til foranstalt-
ninger til styring af cybersikkerhedsrisici og underretnings-
forpligtelser.
Den grundlæggende tilgang i NIS 2-direktivet og EU’s tele-
kodeks om, at teleudbyderne skal kunne pålægges håndhæ-
velsesforanstaltninger svarer i vidt omfang til hinanden. Ar-
tikel 41, stk. 1, i EU’s telekodeks giver imidlertid alene
medlemsstaterne beføjelse til at pålægge teleudbydere at
træffe foranstaltninger med henblik på at afhjælpe en sikker-
hedshændelse eller hindre en sådan i at forekomme. Med
den minimumsliste, som NIS 2-direktivet indeholder, tillæg-
ges medlemsstaterne dermed en række nye håndhævelses-
foranstaltninger. Derudover er det med NIS 2-direktivet
imidlertid alene væsentlige enheder, der kan pålægges at
træffe foranstaltninger, der er nødvendige for at forhindre
eller afhjælpe en hændelse.
NIS 2-direktivet foreskriver nærmere, hvilke hensyn der
skal indgå i en afgørelse om at iværksætte håndhævelses-
foranstaltninger. I direktivets artikel 32, stk. 7, er følgende
hensyn oplistet: 1) Overtrædelsens grovhed og vigtigheden
af de overtrådte bestemmelser, idet bl.a. følgende under alle
omstændigheder skal betragtes som alvorlige overtrædelser:
a) Gentagne overtrædelser, b) manglende underretning om
eller afhjælpning af væsentlige hændelser, c) manglende
afhjælpning af mangler efter bindende instrukser fra kom-
petente myndigheder, d) hindringer for audits eller overvåg-
ningsaktiviteter beordret af den kompetente myndighed efter
konstatering af en overtrædelse og e) afgivelse af urigtige
eller klart unøjagtige oplysninger vedrørende cybersikker-
hedsrisikostyringsforanstaltninger eller rapporteringsforplig-
telser, der er fastsat i artiklerne 21 og 23, 2) overtrædel-
sens varighed, 3) den pågældende enheds relevante tidligere
overtrædelser, 4) enhver materiel eller immateriel skade, der
er forårsaget, herunder ethvert finansielt eller økonomisk
tab, virkninger for andre tjenester og antallet af brugere,
der er berørt, 5) hvorvidt der ved overtrædelsen er handlet
forsætligt eller uagtsomt, 6) enhver foranstaltning truffet af
enheden for at forebygge eller afbøde den materielle eller
immaterielle skade, 7) hvorvidt godkendte adfærdskodekser
eller godkendte certificeringsmekanismer er overholdt, og
8) i hvilken udstrækning de fysiske eller juridiske personer,
der holdes ansvarlige for overtrædelsen, samarbejder med de
kompetente myndigheder.
3.8.2.1. Særligt om midlertidige suspensioner
For så vidt angår væsentlige enheder indeholder direktivet i
artikel 32, stk. 5, et særligt virkemiddel i tilfælde, hvor en
række mindre indgribende midler har vist sig ikke at være
tilstrækkelige. I så fald skal de kompetente myndigheder –
efter udløbet af en fastsat frist for at afhjælpe manglerne
eller opfylde myndighedens krav – kunne a) midlertidigt su-
spendere eller anmode et certificerings- eller godkendelses-
organ eller en domstol om i overensstemmelse med national
ret midlertidigt at suspendere en certificering eller godken-
delse vedrørende dele af eller alle de relevante tjenester, der
leveres, eller aktiviteter, der udføres af en væsentlig enhed,
og b) anmode de relevante organer eller domstole om i over-
ensstemmelse med national ret midlertidigt at forbyde en-
hver fysisk person med ledelsesansvar på direktionsniveau
eller som juridisk repræsentant i den pågældende væsentlige
enhed at udøve ledelsesfunktioner i den pågældende enhed.
Det følger endvidere af direktivets artikel 32, stk. 5, 2. led,
at de midlertidige suspensioner eller forbud alene må anven-
des, indtil den pågældende enhed træffer de nødvendige
tiltag til at afhjælpe manglerne eller opfylde den kompetente
myndigheds krav, som gav anledning til, at suspensionen
eller forbuddet blev anvendt.
Efter direktivets artikel 32, stk. 5, 3. led, kan sådanne mid-
lertidige suspensioner eller midlertidige forbud mod, at fy-
siske personer må udøve ledelsesfunktioner, ikke anvendes
på offentlige forvaltningsenheder, der er omfattet af NIS
2-direktivet.
3.8.3. Ministeriet for Samfundssikkerhed og Beredskabs
overvejelser
NIS 2-direktivet sonderer mellem håndhævelsesforanstalt-
ninger for henholdsvis væsentlige og vigtige teleudbydere.
Derudover indeholder § 3, stk. 2 og 4, samt § 5, stk. 4,
i lov om sikkerhed i net og tjenester yderligere håndhævel-
sesbeføjelser for Styrelsen for Samfundssikkerhed (tidligere
Center for Cybersikkerhed), der går videre end de håndhæ-
velsesbeføjelser, som følger af direktivet. Det drejer sig
f.eks. om, at Styrelsen for Samfundssikkerhed har mulighed
for at påbyde, at udbyderen skal inddrage nærmere angivne
områder af dens virksomhed og nærmere angivne trusler
mod sikkerheden i net og tjenester i deres risikostyringspro-
cesser eller muligheden for, såfremt det er af væsentlig sam-
fundsmæssig betydning, at påbyde udbydere af offentligt
tilgængelige elektroniske kommunikationsnet og -tjenester
at træffe konkrete foranstaltninger med henblik på at sikre
sikkerheden i net og tjenester. Ministeriet vurderer, at Styrel-
sen for Samfundssikkerhed fortsat har brug for disse yder-
ligere håndhævelsesforanstaltninger som supplement til de
håndhævelsesforanstaltninger, der fremgår af NIS 2-direkti-
vet.
Med henblik på at sikre en opretholdelse af det nuværende
høje sikkerhedsniveau for telesektoren finder Ministeriet for
Samfundssikkerhed og Beredskab, at indholdet af lovens §
3, stk. 2 og 4, samt § 5, stk. 4, bør videreføres. Ministeriet
for Samfundssikkerhed og Beredskabs vurderer, at dette er
29
væsentligt henset til det generelt høje trusselsbillede på cy-
berområdet og telesektorens samfundsmæssige kritikalitet.
Det er Ministeriet for Samfundssikkerhed og Beredskabs
opfattelse, at det er mest hensigtsmæssigt, at en afgørelse
om midlertidigt at suspendere en certificering eller godken-
delse eller midlertidigt at forbyde en fysisk person med
ledelsesansvar på niveau med administrerende direktør eller
den juridiske repræsentant hos enheden at udøve ledelses-
funktioner i den væsentlige enhed vil blive truffet af Styrel-
sen for Samfundssikkerhed, der vil kunne belyse og begrun-
de, hvorfor indgrebet vurderes påkrævet.
3.8.4. Den foreslåede ordning
Det foreslås, at Styrelsen for Samfundssikkerhed tillægges
håndhævelsesforanstaltninger, der indholdsmæssigt svarer
til det, som NIS 2-direktivet foreskriver, herunder med de
forudsatte forskelle i tilgangen til væsentlige og vigtige te-
leudbydere, dog således, at indholdet af de skærpede nati-
onale særregler omkring Styrelsen for Samfundssikkerhed
beføjelser til at påbyde teleudbydere at inddrage, træffe og
iværksætte nærmere foranstaltninger opretholdes som hid-
til. Der er med videreførelsen således ikke tilsigtet materiel-
le ændringer af de nuværende bestemmelsers indhold.
Det foreslås i forlængelse heraf i forhold til den særlige
suspensions- og forbudsordning, som NIS 2-direktivet fore-
skriver i forhold til væsentlige teleudbydere, at såfremt Sty-
relsen for Samfundssikkerhed vurderer, at allerede pålagte
håndhævelsesforanstaltninger har vist sig at være utilstræk-
kelige, kan styrelsen fastsætte en frist, inden for hvilken den
væsentlige teleudbyder skal foretage de nødvendige tiltag
for at afhjælpe manglerne eller opfylde styrelsens krav. Er
tiltagene ikke foretaget inden for den fastsatte frist, kan Sty-
relsen for Samfundssikkerhed træffe afgørelse om 1) midler-
tidigt at suspendere en certificering eller godkendelse ved-
rørende dele af eller alle de relevante tjenester, udbyderen
leverer, eller aktiviteter, der udføres af udbydere, og 2) mid-
lertidigt at forbyde enhver fysisk person med ledelsesansvar
på niveau med administrerende direktør eller den juridiske
repræsentant hos udbyderen at udøve ledelsesfunktioner i
den pågældende udbyder.
Det foreslås endvidere, at Styrelsen for Samfundssikkerhed
skal kunne fastsætte nærmere regler for, hvilke certificerin-
ger og godkendelser som skal kunne midlertidigt suspende-
res. Det forudsættes ligeledes, at der ikke vil ske midlerti-
dige suspensioner af certificeringer eller godkendelser, før
Styrelsen for Samfundssikkerhed har anvendt den tillagte
bemyndigelse.
Det vil være en forudsætning for anvendelse af ordningen,
at mindre indgribende midler i form af anvendte håndhævel-
sesforanstaltninger har vist sig utilstrækkelige.
I overensstemmelse med direktivet foreslås det, at sådanne
midlertidige suspensioner eller midlertidige forbud mod, at
fysiske personer må udøve ledelsesfunktioner, kun kan an-
vendes, indtil teleudbyderen træffer de nødvendige tiltag
for at afhjælpe de mangler eller opfylde de krav, som gav
anledning til, at tiltagene blev anvendt.
Det foreslås endvidere, at teleudbyderen eller den fysiske
person, som afgørelsen vedrører, kan forlange, at en afgørel-
se om suspension eller et midlertidigt forbud mod at fysiske
personer må udøve ledelsesfunktioner, indbringes for dom-
stolene.
Styrelsen for Samfundssikkerhed anlægger i givet fald sag
inden for rammerne af den civile retspleje mod den teleud-
byder eller person, som har forlangt sagen indbragt.
3.9. Ansvar og sanktioner
3.9.1. Gældende ret
Efter § 14, stk. 1, i lov om sikkerhed i net og tjenester straf-
fes med bøde, medmindre strengere straf er forskyldt efter
den øvrige lovgivning, den, der 1) undlader at efterkomme
Styrelsen for Samfundssikkerhed (tidligere Center for Cy-
bersikkerhed) påbud efter § 3, stk. 2, 3 eller 4, eller § 5,
stk. 4, 2) overtræder § 6, stk. 1-4, 3) undlader at efterkomme
Styrelsen for Samfundssikkerheds krav efter § 9, stk. 2, 4
eller 5, eller 4) hindrer Styrelsen for Samfundssikkerhed i at
få adgang efter § 9, stk. 6 eller 7.
Efter § 14, stk. 2, i lov om sikkerhed i net og tjenester kan
der i regler, som udfærdiges i medfør af § 3, stk. 1, 3 eller
4, § 4, § 5, stk. 1, 2 eller 3, § 5 a eller § 6, stk. 6, fastsættes
straf i form af bøde for overtrædelse af bestemmelserne i
reglerne.
Bemyndigelsen i § 14, stk. 2, i lov om sikkerhed i net og
tjenester er, for så vidt angår lovens § 3, stk. 1, 3 og 4,
og § 5, stk. 1 og 2, udmøntet i bekendtgørelse nr. 259 af
22. februar 2021 om sikkerhed og beredskab i net og tjene-
ster. De nærmere regler følger af bekendtgørelsens kapitel 6
om straffebestemmelser og ikrafttrædelse.
Derudover er bemyndigelsen, for så vidt angår lovens § 4,
udmøntet i bekendtgørelse nr. 1414 af 11. november 2023
om oplysnings- og underretningspligter vedrørende sikker-
hed i net og tjenester. De nærmere regler følger af bekendt-
gørelsens § 15 om straffebestemmelser.
Bemyndigelsen er endvidere, for så vidt angår lovens 5, stk.
3, udmøntet i bekendtgørelse nr. 261 om beredskabsaktørers
adgang til elektronisk kommunikation i beredskabssituatio-
ner mv. De nærmere regler følger af bekendtgørelsens kapi-
tel 6 om straffebestemmelser og ikrafttrædelse.
Endeligt er bemyndigelsen, for så vidt angår lovens § 6, stk.
6, udmøntet i bekendtgørelse nr. 260 af 22. februar 2021
om sikkerhedsgodkendelse af medarbejdere på området for
sikkerhed i net og tjenester. De nærmere regler følger af
bekendtgørelsens § 2.
Efter § 14, stk. 3, i lov om sikkerhed i net og tjenester kan
der pålægges selskaber mv. (juridiske personer) strafansvar
efter reglerne i straffelovens 5. kapitel.
30
Lov om sikkerhed i net og tjenester indeholder derimod
ikke nærmere bestemmelser om ansvar for bestemte fysiske
personer.
Lovens § 14, stk. 1-3, og de dele af bekendtgørelserne, der
er udstedt i medfør af lovens § 14, stk. 2, er delvis imple-
mentering af artikel 29 i EU’s telekodeks.
Det bemærkes således, at visse af de bestemmelser, der efter
§ 14 i lov om sikkerhed i net og tjenester er strafbelagte,
udgør en del af den nationale særregulering, der ikke er
implementering af EU-regulering, og som er fastsat for at
sikre, at der tages højde for det generelt høje trusselsbillede
på cyberområdet og telesektorens samfundsmæssige kritika-
litet, jf. pkt. 2.1.3 ovenfor.
3.9.2. NIS 2-direktivet
NIS 2-direktivets artikel 36 fastsætter en forpligtelse for
medlemsstaterne til at fastsætte regler om sanktioner, der
skal anvendes i tilfælde af overtrædelse af de nationale for-
anstaltninger, der er vedtaget i medfør af direktivet, ligesom
medlemsstaterne skal træffe alle nødvendige foranstaltnin-
ger for at sikre, at de gennemføres. Sanktionerne skal være
effektive, stå i et rimeligt forhold til overtrædelsen og have
afskrækkende virkning.
NIS 2-direktivets artikel 34 indeholder imidlertid – som
noget nyt i forhold til EU’s telekodeks – regler om gene-
relle betingelser for pålæggelse af administrative bøder til
væsentlige og vigtige enheder.
Det følger af NIS 2-direktivets artikel 34, stk. 2, at (ad-
ministrative) bøder vil kunne blive pålagt i tillæg til en
hvilken som helst af håndhævelsesforanstaltningerne vedrø-
rende væsentlige og vigtige enheder, herunder – for så vidt
angår væsentlige enheder – også den særlige suspensions-
og forbudsordning.
NIS 2-direktivets artikel 34, stk. 3, foreskriver desuden nær-
mere, hvilke hensyn, der skal indgå i beslutningen om, hvor-
vidt der skal pålægges en bøde samt bødens størrelse. Hen-
synene er de samme som de hensyn, der skal indgå i en
afgørelse om at træffe håndhævelsesforanstaltninger efter
artikel 32, stk. 7, jf. pkt. 3.4.2 ovenfor.
Efter NIS 2-direktivets artikel 34, stk. 4, skal væsentlige
enheders overtrædelse af direktivets artikel 21 (foranstalt-
ninger til styring af cybersikkerhedsrisici) eller artikel 23
(rapporteringsforpligtelser) straffes med et maksimum på
mindst 10.000.000 EUR eller et maksimum på mindst 2
pct. af den samlede globale årsomsætning i det foregående
regnskabsår i den virksomhed, som den væsentlige enhed
tilhører, alt efter, hvad der er højest.
Efter NIS 2-direktivets artikel 34, stk. 5, skal vigtige enhe-
ders overtrædelse af direktivets artikel 21 (foranstaltninger
til styring af cybersikkerhedsrisici) eller artikel 23 (rappor-
teringsforpligtelser) straffes med et maksimum på mindst
7.000.000 EUR eller et maksimum på mindst 1,4 pct. af den
samlede globale årsomsætning i det foregående regnskabsår
i den virksomhed, som den vigtige enhed tilhører, alt efter,
hvad der er højest.
Der lægges således i NIS 2-direktivets artikel 34 op til, at
bøder pålægges administrativt – det vil sige af de kompe-
tente myndigheder – medmindre medlemsstaternes nationa-
le retssystem ikke giver mulighed herfor. I givet fald skal
bestemmelserne om administrative bøder efter direktivets
artikel 34, stk. 8, anvendes således, at disse i sidste ende
pålægges af de nationale domstole. Det skal sikres, at virk-
ningen svarer til virkningen af administrative bøder.
3.9.3. Ministeriet for Samfundssikkerhed og Beredskabs
overvejelser
Indførelsen af administrative bøder giver i dansk ret anled-
ning til forfatningsmæssige betænkeligheder. Det er i øvrigt
i dansk retspleje et grundlæggende princip, at bødestraf kun
kan pålægges under domstolenes medvirken og – som klart
udgangspunkt – i strafferetsplejens former, der sikrer den
sigtede en effektiv beskyttelse.
Det er på den baggrund Ministeriet for Samfundssikkerhed
og Beredskabs opfattelse, at NIS 2-direktivets undtagelses-
bestemmelse i artikel 34, stk. 8, i forhold til administrative
bøder finder anvendelse. Direktivets bestemmelser om ad-
ministrative bøder vil således skulle fortolkes og implemen-
teres på en måde, hvor bøder ikke pålægges administrativt,
men af de nationale domstole i det almindelige strafferet-
lige system, idet det samtidig sikres, at virkningen heraf
svarer til virkningen af administrative bøder. Det indebærer,
at Styrelsen for Samfundssikkerhed i givet fald vil skulle
indgive politianmeldelse, såfremt de konstaterer strafbelagte
overtrædelser af denne lov eller regler udstedt i medfør af
denne lov, mens bøder kan pålægges og udmåles af domsto-
lene i det almindelige straffeprocessuelle system.
Efter ministeriets opfattelse forudsættes det i den forbindel-
se, at omstændighederne i hver enkelt sag og sanktionsregi-
mets effektivitet, forholdsmæssighed og afskrækkende virk-
ning indgår i Styrelsen for Samfundssikkerhed beslutning
om politianmeldelse af et forhold samt i politi- og anklage-
myndighedens samt domstolenes vurdering af sagen, herun-
der ved udmålingen af en eventuel bøde.
Derudover gælder der i dansk ret typisk ikke noget lovbe-
stemt maksimum for bødestørrelse. Det er dog Ministeriet
for Samfundssikkerhed og Beredskabs opfattelse, at der bør
fastsættes maksimale bødeniveauer svarende til de niveauer,
der er fastsat i direktivet, idet der så vidt muligt foretages
en direktivnær implementering af direktivet. Dermed vil der
ikke kunne straffes med højere bøder end det minimumsni-
veau, der er forudsat i direktivet.
Der henvises til de bemærkningerne til den foreslåede § 31.
3.9.3.1. Særligt om fysiske personers strafansvar, herunder
valg af ansvarssubjekt
31
NIS 2-direktivets artikel 34 indeholder generelle betingelser
for pålæggelse af bøder rettet mod væsentlige og vigtige
enheder, og dermed de juridiske personer som sådan. De
forudsatte bødeniveauer udmåles bl.a. på baggrund af virk-
somhedens årsomsætning.
Det følger dog af NIS 2-direktivets artikel 32, stk. 6 – som
noget nyt i forhold til EU’s telekodeks – at medlemsstaterne
sikrer, at enhver fysisk person, der er ansvarlig for eller
optræder som juridisk repræsentant for en væsentlig enhed
på grundlag af beføjelsen til at repræsentere den, beføjelsen
til at træffe afgørelser på dennes vegne eller beføjelsen til
at udøve kontrol over den, har beføjelse til at sikre, at den
overholder NIS 2-direktivet. Medlemsstaterne sikrer, at det
er muligt at drage sådanne fysiske personer til ansvar for
tilsidesættelse af deres forpligtelser til at sikre overholdelse
af dette direktiv.
Det er i NIS 2-direktivets præambelbetragtning nr. 130 for-
udsat, at hvor en bøde pålægges en person, der ikke er
en virksomhed, bør den kompetente myndighed ved fast-
sættelsen af en passende bødestørrelse tage hensyn til det
generelle indkomstniveau i den pågældende medlemsstat og
personens økonomiske stilling.
Efter NIS 2-direktivets artikel 20, stk. 1, skal væsentlige og
vigtige enheders ledelsesorganer kunne gøres ansvarlige for
enhedernes overtrædelser af forpligtelserne i artikel 21 (om
foranstaltninger til styring af cybersikkerhedsrisici). Artikel
20, stk. 1, berører dog ikke national ret for så vidt angår
de ansvarsregler, der gælder for offentlige institutioner, samt
ansvaret for embedsmænd og personer valgt eller udnævnt
til offentlige hverv, jf. bestemmelsens 2. led.
Det følger af rigsadvokatmeddelelsen om strafansvar for ju-
ridiske personer, at udgangspunktet ved valg af ansvarssub-
jekt i særlovgivningen er, at tiltalen rejses mod den juridiske
person.
Det er i den forbindelse en forudsætning for at pålægge en
juridisk person ansvar, at der inden for dens virksomhed
er begået en overtrædelse, der kan tilregnes en eller flere
til virksomheden knyttede personer eller virksomheden som
sådan, jf. straffelovens § 27, stk. 1.
Det fremgår dog også af rigsadvokatmeddelelsen, at der i
en række tilfælde kan være anledning til – ud over tiltalen
mod den juridiske person – tillige at rejse tiltale mod en
eller flere fysiske personer, såfremt den eller de pågældende
har handlet forsætligt eller udvist grov uagtsomhed. Der
angives endvidere retningslinjer for anklagemyndighedens
afgørelsen herom.
Det beskrives i den forbindelse, at der på en række områ-
der er fastsat særlige regler, som pålægger enkeltpersoner
et selvstændigt og individuelt strafansvar i kraft af deres
særlige stilling eller funktion, eksempelvis piloter og besæt-
ningsmedlemmer. I så fald er udgangspunktet, at der rejses
tiltale mod den pågældende person samt i almindelighed
tillige mod den juridiske person. I visse tilfælde indeholder
lovgivningen endvidere mulighed for et selvstændigt og in-
dividuelt strafansvar, selv om overtrædelsen ikke kan tilreg-
nes de pågældende som forsætlig eller uagtsom (objektivt
individualansvar).
Ministeriet for Samfundssikkerhed og Beredskab finder ikke
på dette område anledning til at fastsætte særlige regler om
et selvstændigt og individuelt strafansvar for fysiske person-
er, herunder regler, som går videre end strafansvaret for ju-
ridiske personer. Det er således Ministeriet for Samfundssik-
kerhed og Beredskabs opfattelse, at NIS 2-direktivets krav
om, at nærmere bestemte fysiske personer kan drages til an-
svar for tilsidesættelse af deres forpligtelser efter direktivet
ikke synes at stille krav, der går videre end det, der allerede
følger af de gældende regler.
Dermed vil et eventuelt strafansvar for fysiske personer føl-
ge det almindelige udgangspunkt i særlovgivningen, hvor-
efter der i tillæg til den juridiske person efter nærmere ret-
ningslinjer kan rejses tiltale mod en fysisk person, såfremt
denne har handlet forsætligt eller groft uagtsomt. Bøder vil
i givet fald skulle udmåles i overensstemmelse med direkti-
vets forudsætninger om størrelsen heraf.
3.9.3.2. Særligt om brud på persondatasikkerheden
Det følger af NIS 2-direktivets artikel 35, stk. 1, at hvor
de kompetente myndigheder i forbindelse med tilsyn eller
håndhævelse bliver opmærksomme på, at en væsentlig eller
vigtig enheds overtrædelse af forpligtelserne i dette direktivs
artikel 21 og 23 kan medføre et brud på persondatasikker-
heden som defineret i artikel 4, nr. 12), i forordning (EU)
2016/679, som skal anmeldes i henhold til nævnte forord-
nings artikel 33, underretter de uden unødigt ophold tilsyns-
myndigheder som omhandlet i nævnte forordnings artikel 55
eller 56.
Det følger endvidere af direktivets artikel 35, stk. 2, at der
ikke kan straffes med (administrativ) bøde for overtrædelser
af de ovenfor nævnte bestemmelser i medfør af NIS 2-direk-
tivet, såfremt den samme adfærd straffes med (administra-
tiv) bøde efter databeskyttelsesforordningen.
Henset til, at der ikke anvendes administrative bøder i dansk
ret, jf. ovenfor, vil bestemmelserne skulle fortolkes og gen-
nemføres i lyset heraf.
Det bemærkes, at databeskyttelsesloven supplerer og gen-
nemfører databeskyttelsesforordningen i dansk ret, og at
lovens § 41 indeholder bestemmelser om straf for overtræ-
delser af databeskyttelsesforordningen og databeskyttelses-
loven.
Henset til, at et brud på cybersikkerheden efter omstændig-
hederne også kan udgøre et brud på persondatasikkerheden,
er bestemmelsen i NIS 2-direktivets artikel 35, stk. 2, udtryk
for det almindelige forbud mod dobbelt strafforfølgning. Det
anføres således i præambelbetragtning nr. 131, at pålæggelse
af sanktioner for overtrædelse af de nationale regler, der
gennemfører NIS 2-direktivet, ikke bør føre til et brud på
32
princippet om ne bis in idem som fortolket af Den Europæ-
iske Unions Domstol.
Det følger af NIS 2-direktivet, at de kompetente myndighe-
der ikke er afskåret fra at anvende håndhævelsesforanstalt-
ninger i de pågældende situationer.
For at sikre, at myndighederne har mulighed for at undgå, at
den samme adfærd straffes dobbelt, forpligter NIS 2-direk-
tivets artikel 35, stk. 1, de kompetente myndigheder efter
NIS 2-direktivet til uden unødigt ophold at underrette til-
synsmyndighederne efter databeskyttelsesforordningen. Det
følge af databeskyttelseslovens § 27, stk. 1, at Datatilsynet
fører tilsyn med enhver behandling, der er omfattet af denne
lov, databeskyttelsesforordningen og anden lovgivning, som
ligger inden for databeskyttelsesforordningens rammer for
særregler om behandling af personoplysninger. Det fremgår
dog samtidig af databeskyttelseslovens § 1, stk. 3, at regler
om behandling af personoplysninger i anden lovgivning,
som ligger inden for databeskyttelsesforordningens rammer
for særregler om behandling af personoplysninger, går forud
for reglerne i denne lov.
Sådanne særregler er bl.a. fastsat i telelovens § 8, stk. 2,
nr. 2 og bekendtgørelse om persondatasikkerhed i forbindel-
se med udbud af offentlige elektroniske kommunikationstje-
nester og nummeruafhængige interpersonelle kommunikati-
onstjenester. Disse regler forpligter udbydere af offentlige
elektroniske kommunikationstjenester og nummeruafhængi-
ge interpersonelle kommunikationstjenester til at underrette
Digitaliseringsstyrelsen om brud på persondatasikkerheden,
når bruddet opstår i relation til udbuddet af sådanne tjene-
ster.
Der skal således i sådanne tilfælde ske anmeldelse af brud
på persondatasikkerheden til Digitaliseringsstyrelsen og ik-
ke Datatilsynet.
Det omfatter tilfælde, hvor de kompetente myndigheder i
forbindelse med deres tilsyn eller håndhævelse bliver op-
mærksomme på, at en væsentlig eller vigtig enheds over-
trædelse af forpligtelserne i NIS 2-direktivets artikel 21
(foranstaltninger til styring af cybersikkerhedsrisici) eller 23
(rapporteringsforpligtelser) kan medføre et brud på person-
datasikkerheden, som skal anmeldes i henhold til artikel 33 i
databeskyttelsesforordningen.
Ministeriet for Samfundssikkerhed og Beredskab bemærker
i forlængelse heraf, at det af databeskyttelsesforordningens
artikel 4, nr. 12, følger, at »brud på persondatasikkerheden«
er defineret som et brud på sikkerheden, der fører til hæn-
delig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret
videregivelse af eller adgang til personoplysninger, der er
transmitteret, opbevaret eller på anden måde behandlet. Be-
stemmelsen i forordningens artikel 33, stk. 1, indebærer,
at den dataansvarlige skal anmelde et brud på persondata-
sikkerheden til Datatilsynet, »medmindre at det er usand-
synligt, at bruddet på persondatasikkerheden indebærer en
risiko for fysiske personers rettigheder eller frihedsrettighe-
der«. Som beskrevet ovenfor vil anmeldelse i dette tilfælde
skulle ske til Digitaliseringsstyrelsen.
Styrelsen for Samfundssikkerhed vil derfor alene skulle fo-
retage underretning af Digitaliseringsstyrelsen på baggrund
af NIS 2-direktivets artikel 35, stk. 1, om mulige brud på
persondatasikkerheden, hvis det ikke er usandsynligt, at
bruddet på persondatasikkerheden indebærer en risiko for
fysiske personers rettigheder eller frihedsrettigheder. Der må
overlades Styrelsen for Samfundssikkerhed et bredt skøn
ved foretagelsen af denne vurdering.
Det forudsættes, at Styrelsen for Samfundssikkerhed i rele-
vant omfang hører Digitaliseringsstyrelsen om, hvorvidt den
adfærd, der var genstand for overtrædelsen af NIS 2-direk-
tivet, er eller vil blive straffet med bøde for overtrædelse
af databeskyttelsesforordningen eller databeskyttelsesloven
med henblik på, at NIS 2-direktivets hensigt om at undgå
dobbelt strafforfølgning kan indfries i praksis.
3.9.4. Den foreslåede ordning
Det foreslås, at der indsættes sanktionsbestemmelser i loven
med det formål, at overtrædelse af alle materielle og proces-
suelle krav i loven eller regler udstedt i medfør af loven til
væsentlige og vigtige udbydere kan straffes med bøde.
På den baggrund foreslås det først og fremmest, at den, der
overtræder § 5, stk. 1, eller 2, § 7, stk. 1-3, § 8, stk. 2, jf. stk.
3, § 9, stk. 1 og § 11, stk. 1 og 2, undlader at efterkomme en
afgørelse efter § 21, stk. 1, nr. eller 2, undlader at efterkom-
me påbud efter § 13, stk. 5, eller § 18, stk. 1 og 2, undlader
at efterkomme krav efter § 19, stk. 1, nr. 5-8, eller § 22, stk.
1, nr. 4-7, eller hindrer Styrelsen for Samfundssikkerhed i at
føre tilsyn efter bestemmelserne i § 19, stk. 1, nr. 1-4, eller §
22, stk. 1, nr. 1-3, straffes med bøde.
Det foreslås i den forbindelse, at der ikke anvendes admi-
nistrative bøder, men at Styrelsen for Samfundssikkerhed
indstiller til bøde gennem politianmeldelse, og at bøder på-
lægges og udmåles af domstolene i det almindelige straffe-
processuelle system.
Det foreslås desuden, at bøder vil kunne pålægges fysiske
personer og selskaber mv. (juridiske personer), i det omfang
de omfattes af lovens anvendelsesområde.
Det forudsættes i overensstemmelse med NIS 2-direktivets
artikel 34, stk. 4 og 5, at bødens størrelse for så vidt angår
væsentlige teleudbyderes overtrædelse af bestemmelserne i
§ 5, stk. 1 eller 2, §§ 8, 9, stk. 1, § 10, stk. 1 eller 2,
eller § 12, og reglerne udstedt i medfør af § 33, stk. 4,
maksimalt vil kunne udgøre et beløb svarende til 10.000.000
euro eller 2 pct. af udbyderens samlede globale årsomsæt-
ning i det foregående regnskabsår, alt efter, hvad der er
højest. Det forudsættes desuden, at bødens størrelse for så
vidt angår vigtige teleudbyderes overtrædelse af de samme
bestemmelser maksimalt vil kunne udgøre et beløb svarende
til 7.000.000 euro eller 1,4 pct. af udbyderens samlede glo-
33
bale årsomsætning i det foregående regnskabsår, alt efter,
hvad der er højest.
NIS 2-direktivet indeholder ikke særlige forudsætninger for
så vidt angår det maksimale bødeniveau for manglende ef-
terlevelse af forpligtelser i direktivet ud over artikel 21 (for-
anstaltninger til styring af cybersikkerhedsrisici) og artikel
23 (rapporteringsforpligtelser). På den baggrund fastsættes
der ikke maksimale bødeniveauer for overtrædelse af lovens
øvrige bestemmelser.
Bøderne vil kunne pålægges i tillæg til håndhævelsesforan-
staltningerne i de foreslåede §§ 20, 21 og 23.
Det foreslås, at Styrelsen for Samfundssikkerhed påser over-
holdelsen af denne lov og regler udstedt i medfør af loven,
herunder undersøger mulige lovovertrædelser.
Den foreslåede ordning vil indebære, at såfremt Styrelsen
for Samfundssikkerhed i en konkret sag vurderer, at der er
sket en strafbar overtrædelse af loven eller regler udstedt i
medfør af loven, indgiver styrelsen politianmeldelse.
Det vil herefter være politiet og anklagemyndigheden, der
vurderer, hvorvidt man vil rejse tiltale i sagen.
Ved Styrelsen for Samfundssikkerheds afgørelse om at poli-
tianmelde et forhold samt i politi- og anklagemyndighedens
samt domstolenes vurdering af sagen, herunder ved udmå-
lingen af en eventuel bøde, forudsættes det, at der lægges
vægt på de i pkt. 3.9.3 beskrevne hensyn, herunder omstæn-
dighederne i hver enkelt sag og sanktionsregimets effektivi-
tet, forholdsmæssighed og afskrækkende virkning.
Det foreslås endvidere i overensstemmelse med direktivet,
at hvor der er pålagt en bøde for overtrædelse af databeskyt-
telsesforordningen eller databeskyttelsesloven, kan der ikke
pålægges en bøde for overtrædelse af denne lov eller regler
udstedt i medfør af loven, hvis overtrædelsen skyldes den
samme adfærd.
Endeligt foreslås det, at de skærpede nationale særregler,
der foreslås videreført i §§ 18 og 13, stk. 5 og 7, fortsat
skal være strafbelagte som hidtil. Der er med videreførelsen
således ikke tilsigtet materielle ændringer af de nuværende
bestemmelsers indhold. Det indebærer, at for overtrædelse
af de nævnte bestemmelser vil det således fortsat være de
hidtidige bødeniveauer, der vil skulle udmåles efter.
4. Forholdet til databeskyttelsesforordningen og databe-
skyttelsesloven
Med lovforslaget gennemføres NIS 2-direktivet i telesekto-
ren.
Lovforslaget indebærer en række forpligtelser for omfatte-
de teleudbydere samt myndighedsopgaver for Styrelsen for
Samfundssikkerhed, der i et vist omfang vil indebære be-
handling af personoplysninger.
Der kan således indgå almindelige personoplysninger i de
oplysninger, som teleudbyderne som led i overholdelsen af
registreringsforpligtelsen i den foreslåede bestemmelse i §
7, sk. 1, skal indgive til Styrelsen for Samfundssikkerhed,
eksempelvis i form af visse kontaktoplysninger på medar-
bejdere hos teleudbyderen.
Derudover kan der indgå almindelige personoplysninger i en
teleudbyders hændelsesunderretning til Styrelsen for Sam-
fundssikkerhed i medfør af de foreslåede bestemmelser i
§§ 8 og 9. Dette vil eksempelvis kunne være i forbindelse
med en redegørelse for hændelsens faktiske forløb, eller
ved at der vedlægges e-mails, logningsoplysninger eller an-
det materiale, der belyser hændelsens forløb, karakter eller
håndtering.
Der kan endvidere i forbindelse med anvendelsen af tilsyns-
og håndhævelsesforanstaltninger i medfør af de foreslåede
bestemmelser i §§ 19-21 samt §§ 22 og 23 blive behandlet
almindelige personoplysninger. Det er Ministeriet for Sam-
fundssikkerhed og Beredskabs opfattelse, at de oplysninger,
der måtte blive behandlet i denne forbindelse, vil udgøre
oplysninger om teleudbyderens medarbejdere. Disse oplys-
ninger vil primært udgøre kontaktoplysninger på teleudby-
derens kontaktpersoner, ligesom der eksempelvis kan være
tale om oplysninger om, hvilke medarbejdere, der har ad-
gang til teleudbyderens net- og informationssystemer.
Det følger af NIS 2-direktivets artikel 2, stk. 14, 1. led, at
enheder, de kompetente myndigheder, de centrale kontakt-
punkter og CSIRT᾽erne behandler personoplysninger i det
omfang, det er nødvendigt med henblik på dette direktiv
og i overensstemmelse med databeskyttelsesforordningen,
navnlig på grundlag af artikel 6 deri.
Det er Ministeriet for Samfundssikkerhed og Beredskab
opfattelse, at Styrelsen for Samfundssikkerheds behandling
af almindelige personoplysninger i forbindelse med overhol-
delsen af registreringsforpligtelsen i § 7 og underretnings-
forpligtelserne i § 8 og § 9 samt i forbindelse med Styrelsen
for Samfundssikkerheds anvendelse af tilsyns- og håndhæ-
velsesforanstaltninger efter §§ 19-21 samt §§ 22 og 23 for
private virksomheder vil kunne ske i medfør af databeskyt-
telsesforordningens artikel 6, stk. 1, litra c og e. Det følger
af artikel 6, stk. 1, litra c, at behandling er lovlig, hvis den
er nødvendig for at overholde en retlig forpligtelse, som
påhviler den dataansvarlige, ligesom det følger af litra e, at
behandling er lovlig, hvis den er nødvendig af hensyn til
udførelse af en opgave i samfundets interesse.
Ministeriet for Samfundssikkerhed og Beredskab skal afslut-
ningsvis bemærke, at det forudsættes, at de øvrige bestem-
melser i databeskyttelsesforordningen og databeskyttelseslo-
ven, herunder de grundlæggende principper i databeskyttel-
sesforordningens artikel 5, også iagttages, når der behandles
personoplysninger i medfør af de foreslåede bestemmelser.
5. Økonomiske konsekvenser og implementeringskonse-
kvenser for det offentlige
34
Styrelsen for Samfundssikkerhed, som er myndighed for in-
formationssikkerhed og beredskab i telesektoren, vil fortsat
skulle føre tilsyn med teleudbyderes overholdelse af loven,
og regler, der er udstedt i medfør heraf. Styrelsen for Sam-
fundssikkerhed vil imidlertid i medfør af de foreslåede §§
19 og 22, der bl.a. implementerer NIS 2-direktivet, kunne
foretage et mere omfattende og – for så vidt angår de væ-
sentlige teleudbydere – forudgående tilsyn end hidtil. Som
følge heraf kan der være visse administrative meromkost-
ninger forbundet hermed, men disse vil blive afholdt inden
for den eksisterende bevillingsmæssige ramme.
I det omfang staten udbyder offentlige elektroniske kommu-
nikationsnet og offentligt tilgængelige elektroniske kommu-
nikationstjenester, vil de krav, der efter lovforslaget stilles til
udbydere af disse net og tjenester, også omfatte staten. Det
vil kunne medføre økonomiske konsekvenser og implemen-
teringskonsekvenser i samme omfang som for private udby-
dere.
Det bemærkes i den forbindelse, at kommuner og regio-
ner, der udbyder offentlige elektroniske kommunikationsnet
og offentligt tilgængelige elektroniske kommunikationstje-
nester, ikke er omfattet af nærværende lovforslag, men deri-
mod foreslås omfattet af forslag til lov om foranstaltninger
til sikring af et højt cybersikkerhedsniveau.
5.4.1. De syv principper for digitaliseringsklar lovgivning
Det er Ministeriet for Samfundssikkerhed og Beredskabs
vurdering, at lovforslaget er i overensstemmelse med prin-
cipperne for digitaliseringsklar lovgivning.
Princip nr. 1 om enkle og klare regler er efter Ministeriet
for Samfundssikkerhed og Beredskab opfattelse iagttaget,
idet det i lovforslaget – inden for NIS 2-direktivets rammer
– klart fremgår, hvilke forpligtelser der påhviler omfattede
teleudbydere, og hvilke beføjelser Styrelsen for Samfunds-
sikkerhed har i sit tilsyn med teleudbydernes efterlevelse af
deres forpligtelser.
Det er desuden Ministeriet for Samfundssikkerhed og Be-
redskab opfattelse, at lovforslaget er udarbejdet i overens-
stemmelse med princip nr. 2 om digital kommunikation,
idet § 35 indfører hjemmel til at fastsætte regler om digital
kommunikation.
Derudover er det Ministeriet for Samfundssikkerhed og Be-
redskab opfattelse, at lovforslaget er i overensstemmelse
med princip nr. 5 om tryg og sikker datahåndtering henset
til, at lovforslaget indeholder en grundig beskrivelse af for-
holdet til databeskyttelsesretten, ligesom NIS 2-direktivet
fremmer et højere og mere ensartet cybersikkerhedsniveau
på tværs af EU’s medlemslande.
Det bemærkes navnlig i relation til registrerings- og under-
retningspligterne i § 7 og § 10, at der med lovforslaget
forudsættes anvendt digitale selvbetjeningsløsninger såsom
Virk.dk. Dermed anvendes eksisterende offentlig it-infra-
struktur til digital kommunikation mellem teleudbyderne og
Styrelsen for Samfundssikkerhed, hvilket vurderes at være
i overensstemmelse med princip nr. 6 om anvendelse af
offentlig infrastruktur.
Det er Ministeriet for Samfundssikkerhed og Beredskab vur-
dering, at de øvrige principper ikke er relevante for lovfor-
slaget.
6. Økonomiske og administrative konsekvenser for er-
hvervslivet mv.
Lovforslaget medfører administrative omkostninger for er-
hvervslivet på over 4 mio. kr. De administrative omkostnin-
ger består særligt i § 5, hvor der stilles krav til teleudbydere
om passende og forholdsmæssige tekniske, operationelle og
organisatoriske foranstaltninger for at styre risiciene for sik-
kerheden i net- og informationssystemer. Teleudbydere skal
bl.a. udarbejde politikker for risikoanalyse og informations-
systemsikkerhed, jf. den foreslåede bestemmelse § 5, stk.
1, nr. 1, politikker og procedurer til vurdering af effektivite-
ten af foranstaltninger til styring af sikkerhedsrisici, jf. den
foreslåede § 5, stk. 1, nr. 6 samt politikker og procedurer
vedrørende brug af kryptografi og, hvor det er relevant,
kryptering, jf. den foreslåede § 5, stk. 1, nr. 8. Der er en ræk-
ke andre krav i § 5, stk. 1, som også forventes at medføre
administrative omkostninger.
Derudover vil der også være administrative konsekvenser
ved kravet i § 6, stk. 2 om, at ledelsen skal deltage i kurser
om styring af informationssikkerhed, registreringspligten jf.
§ 7, underretningspligten ved væsentlige hændelser jf. §§ 8
og 9, pligt til at underrette modtagere af virksomhedernes
tjenester om væsentlige hændelser jf. § 11, og krav om sik-
kerhedsgodkendelse af visse medarbejdere i virksomhederne
jf. § 16, stk. 1. Desuden vil der blive ført tilsyn med teleud-
bydere jf. §§ 19 og 22, som også vil medføre administrative
konsekvenser for erhvervslivet.
Lovforslaget giver hjemmel til udstedelse af bekendtgø-
relser, som indebærer administrative konsekvenser for er-
hvervslivet, jf. bl.a. lovforslagets § 5, stk. 3, som bemyndi-
geren ministeren til at fastsætte nærmere regler om krav til
foranstaltninger efter § 5, stk. 1, samt krav om yderligere
foranstaltninger for teleudbydere omfattet af loven § 7, stk.
4-5, som bemyndiger ministeren for samfundssikkerhed og
beredskab til at fastsætte nærmere regler om yderligere op-
lysninger, teleudbydere skal afgive ved registrering, samt
oplysnings- og underretningspligter for teleudbydere, § 8,
stk. 3, som bemyndiger ministeren til at fastsætte nærmere
regler om, hvornår en hændelse anses for at være væsentlig
samt hvilke oplysninger, der skal gives i forbindelse med
underretningen, § 13, stk. 4 og 5, som bemyndiger ministe-
ren til at fastsætte nærmere regler i beredskabs- og andre
ekstraordinære situationer og § 16, stk. 2, som bemyndiger
ministeren til, efter forhandling med justitsministeren, at
fastsætte regler om ansøgninger vedr. sikkerhedsgodkendel-
ser af medarbejdere hos teleudbydere. Lovforslagets bemyn-
digelsesbestemmelser vurderes at medføre administrative
konsekvenser over 4 mio. kr. og skal som udgangspunkt
35
kvantificeres forud for den offentlige høring af bekendtgø-
relserne.
Det vurderes, at omkring 175 teleudbydere helt eller delvis
vil blive omfattet af nye krav som følge af lovforslaget.
Det vurderes på baggrund af ovenstående, at de samlede
administrative omkostninger for erhvervslivet er over 4 mio.
kr. Det har dog ikke været muligt at gennemføre en AM-
VAB-måling af konsekvenserne inden udløbet af fristen for
den offentlige høring, og det kan heller ikke nås inden frem-
sættelsen i Folketinget. Denne vil derfor blive foretaget ex
post efter lovforslagets ikrafttræden.
Det har endvidere ikke været muligt at foretage en kvan-
tificering af de erhvervsøkonomiske konsekvenser for er-
hvervslivet inden den offentlige høring. Det vurderes fore-
løbigt, at lovforslaget medfører øvrige efterlevelseskonse-
kvenser for erhvervslivet på mindre end 10 mio. kr. De
økonomiske konsekvenser for erhvervslivet vil blive kvan-
tificeret nærmere af Ministeriet for Samfundssikkerhed og
Beredskab snarest muligt efter lovens ikrafttræden.
7. Administrative konsekvenser for borgerne
Lovforslaget vurderes ikke at have administrative konse-
kvenser for borgerne.
8. Klimamæssige konsekvenser
Lovforslaget vurderes ikke at have klimamæssige konse-
kvenser.
9. Miljø- og naturmæssige konsekvenser
Lovforslaget vurderes ikke at have miljø- og naturmæssige
konsekvenser.
10. Forholdet til EU-retten
Loven og de bekendtgørelser, der vil blive udstedt i medfør
af loven, gennemfører dele af Europa-Parlamentets og Rå-
dets direktiv (EU) 2022/2555 om foranstaltninger til sikring
af et højt fælles cybersikkerhedsniveau i hele Unionen, om
ændring af forordning (EU) nr. 910/2014 og direktiv (EU)
2018/1972 og om ophævelse af direktiv (EU) 2016/1148
(NIS 2-direktivet) i dansk ret. Derudover gennemfører loven
og de bekendtgørelser, der vil udstedt i medfør af loven, dele
af Europa-Parlamentets og Rådets direktiv (EU) 2018/1972
af 11. december 2018 om oprettelse af en europæisk kodeks
for elektronisk kommunikation (omarbejdning).
Det følger af artikel 41, stk. 1, i NIS 2-direktivet, at direk-
tivet skal være implementeret i dansk ret senest den 17.
oktober 2024 og finde anvendelse senest den 18. oktober
2024. Med den foreslåede bestemmelse i § 32 vil loven
dermed træde i kraft 1. juli 2025. Det bemærkes, at de dele
af EU’s telekodeks, der i dag henhører under Ministeriet for
Samfundssikkerhed og Beredskabs ressortansvar, tidligere er
implementeret i dansk ret ved lov nr. 1831 af 8. december
2020 om ændring af lov om net- og informationssikkerhed
(Implementering af direktivet om oprettelse af en europæisk
kodeks for elektronisk kommunikation, for så vidt angår
sikkerhed i net og tjenester).
10.1. Principper for implementering af erhvervsrettet
EU-regulering
For så vidt angår princip nr. 1 om, at den nationale regule-
ring som udgangspunkt ikke bør gå videre end minimums-
kravene i EU-reguleringen, bemærkes det, at lovforslaget
indebærer videreførelse af nationale særregler, der på visse
områder går videre end de krav, der følger af NIS 2-direk-
tivet. Det er Ministeriet for Samfundssikkerhed og Bered-
skabs vurdering, at der er væsentlige hensyn, der taler for,
at der med lovforslaget sker en videreførelse af de eksister-
ende skærpede nationale særregler med henblik på at sikre
en opretholdelse af det nuværende høje sikkerhedsniveau
for telesektoren. Dette skal ses i lyset af det generelt høje
trusselsbillede på cyberområdet og telesektorens samfunds-
mæssige kritikalitet. Ministeriet for Samfundssikkerhed og
Beredskab vurderer således, at lovforslaget fraviger princip
nr. 1, idet ministeriet i forbindelse med implementeringen af
NIS 2-direktivet fastholder de allerede eksisterende skærpe-
de nationale særregler.
For så vidt angår princip 2 om, at danske virksomheder
ikke bør stilles dårligere i den internationale konkurren-
ce, hvorfor implementeringen ikke bør være mere byrde-
fuld end den forventede implementering i sammenlignelige
lande, er det Ministeriet for Samfundssikkerhed og Bered-
skabs vurdering, at implementeringen lever op til dette prin-
cip. Med lovforslaget foretages en minimumsimplemente-
ring af de nye cybersikkerhedskrav samt oplysnings- og un-
derretningspligter, der følger af NIS 2-direktivet. Samtidig
er det Ministeriet for Samfundssikkerhed og Beredskabs
vurdering, at der er særlige hensyn, der taler for, at der
med lovforslaget sker en videreførelse af de eksisterende
skærpede nationale særregler med henblik på at sikre en
opretholdelse af det nuværende høje sikkerhedsniveau for
telesektoren. Dette skal ses i lyset af det generelt høje trus-
selsbillede på cyberområdet og telesektorens samfundsmæs-
sige kritikalitet, jf. pkt. 2.1.3.
For så vidt angår princip 3 om, at fleksibilitet og undtagel-
sesmuligheder i EU-reguleringen bør udnyttes, skal det be-
mærkes, at Ministeriet for Samfundssikkerhed og Beredskab
har afsøgt mulighederne herfor. NIS 2-direktivet indeholder
imidlertid ikke sådanne muligheder i relation til telesekto-
ren.
For så vidt angår princip 4 om, at EU-regulering – i det
omfang det er muligt og hensigtsmæssigt, bør implemente-
res gennem alternativer til regulering, har Ministeriet for
Samfundssikkerhed og Beredskab overvejet, om det er mu-
ligt og hensigtsmæssigt, at NIS 2-direktivet implementeres
gennem alternativer til regulering. Ministeriet for Samfunds-
sikkerhed og Beredskab vurderer imidlertid, at der er tale
om et direktiv, der skal implementeres ved lovgivning.
36
For så vidt angår princip 5 om, at byrdefuld EU-regulering
bør træde i kraft senest muligt og under hensyntagen til
de fælles ikrafttrædelsesdatoer, er det Ministeriet for Sam-
fundssikkerhed og Beredskabs vurdering, at den foreslåede
ikrafttrædelsesdato i § 32 lever op til dette princip.
11. Hørte myndigheder og organisationer mv.
Et udkast til lovforslag har i perioden fra 12. december 2024
til den 9. januar 2025 (28 dage) været sendt i høring hos
følgende myndigheder og organisationer mv.:
Advokatrådet, Amnesty International, Bauer Media, Borch
Teknik, Cibicom A/S, Danmarks Radio, Dansk Beredskabs-
kommunikation A/S, Dansk Energi, Dansk Erhverv, Dansk
Industri (DI), DANSK IT, Dansk Kabel TV, Danske Advo-
kater, Danske Regioner, Datatilsynet, DanPilot, Den Danske
Dommerforening, DI Digital, Domstolsstyrelsen, Fibia A/S,
Forenede Danske Antenneanlæg, GLOBALCONNECT A/S,
Hi3G Denmark ApS, HORESTA, Institut for Menneskeret-
tigheder, IT-Branchen, IT-Politisk Forening, Justitia, KL,
Norlys, Præsidenten for Vestre Landsret, Præsidenten for
Østre Landsret, Retspolitisk Forening, Rigsrevisionen, Rå-
det for Digital Sikkerhed, Samtlige byretspræsidenter, TDC
A/S, TeleDCIS Teleindustrien (TI), Telenor A/S, Telia Com-
pany Danmark A/S, TT-Netværket P/S, TV 2 DTT A/S og
Waoo A/S.
12. Sammenfattende skema
Positive konsekvenser/mindreudgifter
(hvis ja, angiv omfang/hvis nej, anfør »In-
gen«)
Negative konsekvenser/merudgifter (hvis ja,
angiv omfang/hvis nej, anfør »Ingen«)
Økonomiske kon-
sekvenser for stat,
kommuner og re-
gioner
Ingen. De statsfinansielle konsekvenser til øgede akti-
viteter afstedkommet af lovforslaget vurderes at
være beskedne og vil blive afholdt inden for
egen ramme.
Implementerings-
konsekvenser for
stat, kommuner og
regioner
Ingen. Ingen.
Økonomiske kon-
sekvenser for er-
hvervslivet mv.
Ingen. Lovforslaget forventes at medføre negative er-
hvervsøkonomiske konsekvenser for erhvervs-
livet, som ikke er blevet yderligere kvantifice-
ret, inden lovforslagets fremsættelse.
Administrative
konsekvenser for
erhvervslivet mv.
Ingen. Lovforslaget forventes at medføre negative
administrative konsekvenser for erhvervslivet,
som forventes at være mere end 4 mio. kr. Dis-
se er dog ikke blevet kvantificeret, jf. lovforsla-
gets pkt. 6.
Administrative
konsekvenser for
borgerne
Ingen. Ingen.
Klimamæssige
konsekvenser
Ingen. Ingen.
Miljø- og natur-
mæssige konse-
kvenser
Ingen. Ingen.
Forholdet til EU-
retten
Loven og de bekendtgørelser, der vil blive udstedt i medfør af loven, gennemfører dele
af Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om
foranstaltninger til sikring af et højt cybersikkerhedsniveau i hele Unionen, om ændring
af forordning (EU) nr. 910/2014 og direktiv (EU) 2018/1972 og om ophævelse af direktiv
(EU) 2016/1148 (NIS 2-direktivet). Der henvises til EU-tidende 2022, L nr. 333, side 80.
Er i strid med de
fem principper for
implementering af
erhvervsrettet EU-
regulering (der i re-
levant omfang også
gælder ved imple-
mentering af ikke-
Ja
X
Nej
37
erhvervsrettet EU-
regulering) (sæt X)
Bemærkninger til lovforslagets enkelte bestemmelser
Til § 1
Lov om sikkerhed i net og tjenester, jf. lovbekendtgørelse nr.
153 af 1. februar 2021, som ændret ved § 18 i lov nr. 1156
af 8. juni 2021, regulerer i dag informationssikkerhed og
beredskab i telesektoren, og finder anvendelse for udbydere
af elektroniske kommunikationsnet eller -tjenester.
Det følger af NIS 2-direktivets artikel 2, stk. 1, at direktivet
bl.a. finder anvendelse på udbydere af offentlige elektroni-
ske kommunikationsnet og offentligt tilgængelige elektro-
niske kommunikationstjenester, jf. direktivets bilag I, pkt.
8. Det følger af derudover af NIS 2-direktivets artikel 26,
stk. 1, litra a, at udbydere af offentlige elektroniske kom-
munikationsnet eller af offentligt tilgængelige elektroniske
kommunikationstjenester anses for at henhøre under juris-
diktionen i den medlemsstat, hvor de leverer deres net eller
tjenester.
Det følger af det foreslåede stk. 1, at loven finder anven-
delse for teleudbydere, der med et kommercielt formål stil-
ler offentlige elektroniske kommunikationsnet og offentligt
tilgængelige elektroniske kommunikationstjenester til rådig-
hed i Danmark, jf. dog stk. 2.
Den foreslåede bestemmelse gennemfører NIS 2-direktivets
artikel 2, stk.1, og artikel 26.
Det foreslås med stk. 2, at loven ikke finder anvendelse
for kommuner og regioner, der stiller offentlige elektroniske
kommunikationsnet eller offentligt tilgængelige elektroniske
kommunikationstjenester til rådighed.
Baggrunden herfor er, at det følger af bemærkningerne til
den foreslåede § 1, stk. 2, i det samtidig fremsatte forslag
til lov om foranstaltninger til sikring af et højt cybersikker-
hedsniveau, at ’i telesektoren vil enheder i enhedskategori-
erne »udbydere af offentlige elektroniske kommunikations-
net« og »udbydere af offentligt tilgængelige elektroniske
kommunikationstjenester«, i sektoren »Digital infrastruktur«
i bilag I til NIS 2-direktivet, som udgangspunkt blive om-
fattet af lov om sikkerhed og beredskab i telesektoren. I
det omfang kommuner og regioner måtte udbyde offentlige
elektroniske kommunikationsnet eller offentligt tilgængelige
elektroniske kommunikationstjenester, vil de imidlertid være
omfattet af nærværende lov. ’
Til § 2
Lov om net og informationssikkerhed indeholder visse defi-
nitioner, som foreslås videreført i den foreslåede § 2, mens
størstedelen af definitionerne i NIS 2-direktivet ikke findes i
dansk ret.
Den foreslåede bestemmelse i § 2 indeholder definitioner af
lovens centrale begreber.
Definitionerne bygger hovedsageligt på de tilsvarende defi-
nitioner i NIS 2-direktivet. Hertil kommer videreførelse af
centrale definitioner i lov om sikkerhed i net og tjenester,
som ophæves med nærværende lov.
Det foreslås at affatte definitionen i nr. 1, således »Bered-
skabssituationer og andre ekstraordinære situationer« defi-
neres som situationer hvor der allerede er, eller hvor der kan
opstå større ulykker, katastrofer eller hændelser, herunder
krise eller krig og som kan påvirke udbuddet af net og
tjenester.
Definitionen svarer i vidt omfang til den gældende defini-
tion af beredskabssituationer og andre ekstraordinære situa-
tioner i § 1, nr. 2 i bekendtgørelse nr. 259 af 22. februar
2021 om sikkerhed og beredskab i net og tjenester. Be-
kendtgørelsen definerer beredskabssituationer og andre eks-
traordinære situationer som ’Større ulykker, katastrofer eller
hændelser, hvor det kan være nødvendigt at indføre særlige
foranstaltninger vedrørende net og tjenester med henblik på
at kunne opretholde samfundets funktioner. Den nuværende
definition omfatter alene tilfælde, hvor der er indtrådt en
beredskabssituation eller anden ekstraordinær situation og
ikke situationer, hvor der kan være risiko for dette. Det
betyder i praksis, at der ikke kan gøres brug af de eksisteren-
de handlemuligheder i forbindelse med planlagte begivenhe-
der, herunder eksempelvis i forbindelse med opdatering af
SINE-netværket.
Med den foreslåede ændring af definition vil handlemulig-
hederne i beredskabssituationer og andre ekstraordinære si-
tuationer også kunne iværksættes, hvor der er risiko for
påvirkning af udbuddet i net og tjenester.
Det foreslås, at affatte definitionen i nr. 2, således »cyber-
trussel« defineres som enhver potentiel omstændighed, be-
givenhed eller handling, som kan skade, forstyrre eller på
anden måde have en negativ indvirkning på net- og infor-
mationssystemer, brugerne af sådanne systemer og andre
personer.
Efter NIS 2-direktivets artikel 6, nr. 10, skal cybertrussel
forstås på samme måde som definitionen i artikel 2, nr. 8, i
Europa-Parlamentets og Rådets forordning (EU) 2019/881
af 17. april 2019 om ENISA (Den Europæiske Unions
Agentur for Cybersikkerhed), om cybersikkerhedscertifice-
ring af informations- og kommunikationsteknologi og om
ophævelse af forordning (EU) nr. 526/2013 (forordningen
om cybersikkerhed).
Den foreslåede bestemmelse svarer til definitionen i den
nævnte forordning. Det forudsættes, at bestemmelsen fortol-
kes i overensstemmelse med denne definition.
38
Det foreslås, at affatte definitionen i nr. 3 således »elektro-
nisk kommunikationsnet« defineres som et transmissionssy-
stem, uanset om det bygger på en permanent infrastruktur
eller en centraliseret administrationskapacitet, og, hvor det
er relevant, koblings- og dirigeringsudstyr og andre ressour-
cer, herunder netelementer, der ikke er aktive, som gør
det muligt at overføre signaler ved hjælp af trådforbindel-
se, radiobølger, lyslederteknik eller andre elektromagnetiske
midler, herunder satellitnet, jordbaserede fastnet (kredsløbs-
og pakkekoblede, herunder i internettet) og mobilnet, elka-
belsystemer, i det omfang de anvendes til transmission af
signaler, net, som anvendes til radio- og tv-spredning, og
kabel-tv-net, uanset hvilken type information der overføres.
NIS 2-direktivets artikel 6, nr. 1, litra a) definerer et elek-
tronisk kommunikationsnet ved en henvisning til artikel 2,
nr. 1), i direktiv (EU) 2018/1972 (EU’s telekodeks). Den
foreslåede definition i nr. 3, svarer til definitionen af et
elektronisk kommunikationsnet i artikel 2, nr. 1, i EU’s tele-
kodeks, og skal fortolkes i overensstemmelse hermed.
Det foreslås, at affatte definitionen i nr. 3, således »elek-
tronisk kommunikationstjeneste« defineres som en tjeneste,
som normalt ydes mod betaling via elektroniske kommuni-
kationsnet, og som med undtagelse af tjenester, der består i
tilrådighedsstillelse af eller udøvelse af redaktionel kontrol
over indhold fremført via elektroniske kommunikationsnet
og -tjenester omfatter følgende typer tjenester; internetad-
gangstjenester, interpersonelle kommunikationstjenester og
tjenester, der udelukkende eller overvejende består i over-
føring af signaler, som f.eks. transmissionstjenester, der an-
vendes til levering af maskine-til-maskine-tjenester og til
radio- og tv-spredning.
Med NIS 2-direktivets artikel 6, nr. 37, defineres en elektro-
nisk kommunikationstjeneste ved en henvisning til artikel 2,
nr. 4), i EU’s telekodeks. Den foreslåede definition i nr. 3,
svarer til definitionen af en elektronisk kommunikationstje-
neste i artikel 2, nr. 4, i EU’s telekodeks, og skal fortolkes i
overensstemmelse hermed.
Det fremgår af artikel 2, nr. 4, i EU’s telekodeks, at elektro-
niske kommunikationstjenester omfatter tre typer af tjene-
ster, herunder navnlig internetadgangstjenester, interperso-
nelle kommunikationstjenester og tjenester, der udelukkende
eller overvejende består i overføring af signaler, som f.eks.
transmissionstjenester, der anvendes til levering af maskine-
til-maskine-tjenester og til radio- og tv-spredning.
Det foreslås, at affatte definitionen i nr. 5, således »hæn-
delse« defineres som en begivenhed, der bringer tilgænge-
ligheden, autenticiteten, integriteten eller fortroligheden af
lagrede, overførte eller behandlede data eller af de tjenester,
der tilbydes af eller er tilgængelige via net- og informations-
systemer, i fare.
Den foreslåede bestemmelse svarer til definitionen i NIS 2-
direktivets artikel 6, nr. 6. Det forudsættes, at bestemmelsen
fortolkes i overensstemmelse med direktivets definition.
Det foreslås, at affatte definitionen i nr. 6, således »håndte-
ring af hændelser« defineres som enhver handling og pro-
cedure, der tager sigte på at forebygge, opdage, analysere
og inddæmme eller at reagere på og reetablere sig efter en
hændelse.
Den foreslåede bestemmelse svarer til definitionen i NIS 2-
direktivets artikel 6, nr. 8. Det forudsættes, at bestemmelsen
fortolkes i overensstemmelse med direktivets definition.
Det foreslås, at affatte definitionen i nr. 7, således »interper-
sonel kommunikationstjeneste« defineres som en tjeneste,
som normalt ydes mod betaling, og som muliggør direkte
interpersonel og interaktiv informationsudveksling via elek-
troniske kommunikationsnet mellem et afgrænset antal per-
soner, hvor de personer, der indleder eller deltager i kommu-
nikationen, bestemmer hvem modtageren eller modtagerne
skal være, undtaget tjenester, der blot muliggør interpersonel
og interaktiv kommunikation som en mindre støttefunktion,
der er tæt knyttet til en anden tjeneste.
Definitionen svarer med enkelte sproglige justeringer til den
tilsvarende definition i artikel 2, nr. 5, i EU’s telekodeks,
hvorefter der ved »interpersonel kommunikationstjeneste«
forstås en tjeneste, som normalt ydes mod betaling, og som
muliggør direkte interpersonel og interaktiv informationsud-
veksling via elektroniske kommunikationsnet mellem et af-
grænset antal personer, hvor de personer, der indleder eller
deltager i kommunikationen, bestemmer hvem modtageren
eller modtagerne skal være, og omfatter ikke tjenester, der
blot muliggør interpersonel og interaktiv kommunikation
som en mindre støttefunktion, der er tæt knyttet til en anden
tjeneste.
Ifølge EU’s telekodeks omfatter interpersonelle kommuni-
kationstjenester, to typer af tjenester, herunder både num-
merbaserede- og nummeruafhængige kommunikationstjene-
ster.
Det forudsættes, at definitionen af en interpersonel kommu-
nikationstjeneste fortolkes i overensstemmelse med den til-
svarende definition i EU’s telekodeks.
Det foreslås, at affatte definitionen i nr. 8, således »net- og
informationssystem« defineres som a) et elektronisk kom-
munikationsnet, jf. den foreslåede nr. 3, b) enhver anord-
ning eller gruppe af forbundne eller beslægtede anordninger,
hvoraf en eller flere ved hjælp af et program udfører auto-
matisk behandling af digitale data, og c) digitale data, som
lagres, behandles, fremfindes eller overføres af elementer i
litra a og b med henblik på deres drift, brug, beskyttelse og
vedligeholdelse.
Den foreslåede bestemmelse svarer til definitionen i NIS
2-direktivets artikel 6, nr. 1, litra a. Det forudsættes, at
definitionen forstås og fortolkes i overensstemmelse med
definitionen i direktivet. Det bemærkes, at NIS 2-direktivets
artikel 6, nr. 1, litra a, henviser til definitionen i EU’s tele-
kodeks artikel 2, nr. 1. Det forudsættes således desuden, at
39
definitionen forstås og fortolkes i overensstemmelse med
definitionen i EU’s telekodeks.
Det foreslås, at affatte definitionen i nr. 9, således »nærved-
hændelse« defineres som en begivenhed, der kunne have
bragt tilgængeligheden, autenticiteten, integriteten eller for-
troligheden af lagrede, overførte eller behandlede data eller
af de tjenester, der tilbydes af eller er tilgængelige via net-
og informationssystemer, i fare, men som det lykkedes at
forhindre, eller som ikke indtraf.
Den foreslåede bestemmelse svarer til definitionen i NIS 2-
direktivets artikel 6, nr. 5. Det forudsættes, at bestemmelsen
fortolkes i overensstemmelse med direktivets definition.
Det foreslås, at affatte definitionen i nr. 10, således »offent-
ligt elektronisk kommunikationsnet« defineres som et elek-
tronisk kommunikationsnet, som udelukkende eller overve-
jende bruges til udbud af elektroniske kommunikationstjene-
ster, der er tilgængelige for offentligheden, og som danner
grundlag for overførsel af information mellem nettermine-
ringspunkter.
Den foreslåede bestemmelse svarer til definitionen i NIS
2-direktivets artikel 6, nr. 36, som henviser til definitionen i
artikel 2, nr. 8, i EU’s telekodeks.
Det foreslås, at affatte definitionen i nr. 11, således »offent-
ligt tilgængelige elektroniske kommunikationstjenester« de-
fineres som: en elektronisk kommunikationstjeneste, jf. det
foreslåede nr. 4, der stilles til rådighed for en ikke på for-
hånd afgrænset kreds af slutbrugere eller teleudbydere.
Det foreslås, at affatte definitionen i nr. 12, således »radio-
baseret lokalnet« defineres som et trådløst adgangssystem
med lav effekt og lille rækkevidde, der har en lav risiko for
at skabe interferens med andre sådanne systemer etableret
i nærheden af andre brugere, og som på et ikkeeksklusivt
grundlag anvender harmoniserede radiofrekvenser (RLAN).
Den foreslåede bestemmelse svarer til definitionen i artikel
2, nr. 24, i EU’s telekodeks, og skal fortolkes i overensstem-
melse hermed.
Det foreslås, at affatte definitionen i nr. 13, således »sikker-
hed i net- og informationssystemer« defineres som net- og
informationssystemers, jf. det foreslåede nr. 8, evne til, på
et givet sikkerhedsniveau, at modstå enhver begivenhed,
der kan være til skade for tilgængeligheden, autenticiteten,
integriteten eller fortroligheden af lagrede, overførte eller
behandlede data eller af de tjenester, der tilbydes af eller er
tilgængelige via disse net- og informationssystemer.
Den foreslåede bestemmelse svarer til definitionen i NIS
2-direktivets artikel 6, nr. 2. Det forudsættes, at definitionen
forstås og fortolkes i overensstemmelse med direktivets de-
finition.
Det foreslås, at affatte definitionen i nr. 14, således »teleud-
byder« defineres som den, der med et kommercielt formål
stiller produkter af offentlige elektroniske kommunikations-
net og offentligt tilgængelige elektroniske kommunikations-
tjenester til rådighed for andre.
Definitionen viderefører definitionen af en erhvervsmæssig
udbyder i § 2, nr. 5, i lov om sikkerhed i net og tjenester, og
skal fortolkes i overensstemmelse hermed.
Det foreslås, at affatte definitionen i nr. 15, således »væ-
sentlig cybertrussel« defineres som en cybertrussel, som på
grundlag af sine tekniske karakteristika kan antages at have
potentiale til at få alvorlig indvirkning på en udbyders net-
og informationssystemer eller på brugerne af udbyderens
tjenester ved at forårsage betydelig fysisk eller ikke fysisk
skade.
Den foreslåede bestemmelse svarer til definitionen i NIS
2-direktivets artikel 6, nr. 11. Det forudsættes, at bestemmel-
sen forstås og fortolkes i overensstemmelse med direktivets
definition.
Til § 3
Lov om sikkerhed i net og tjenester indeholder ikke en
definition af væsentlige teleudbydere.
Efter NIS 2-direktivets artikel 3, stk. 1, litra a, anses enheder
af en type, som er omhandlet i direktivets bilag I, og som
overskrider tærsklerne for mellemstore virksomheder, der er
fastsat i artikel 2, stk. 1, i bilaget til henstilling 2003/361/EF,
for at være væsentlige enheder.
Det følger af den foreslåede § 3, stk. 1, at teleudbydere, der
med et kommercielt formål udbyder offentlige elektroniske
kommunikationsnet eller offentligt tilgængelige elektroniske
kommunikationstjenester som deres hovedydelse, eller som
en ikke-accessorisk del af virksomheden, anses for at være
væsentlige, hvis de opfylder mindst én af følgende betingel-
ser: 1) udbyderen beskæftiger mere end 50 ansatte, eller 2)
udbyderen har en årlig omsætning på over 10 mio. EUR og
en årlig balance på over 10 mio. EUR.
Den foreslåede bestemmelse vil gennemføre artikel 3, stk. 1,
litra a, i NIS 2-direktivet.
Hvorvidt en enhed overskrider tærsklerne for mellemstore
virksomheder efter den foreslåede bestemmelse, vil skulle
vurderes ud fra de kriterier, der er fastsat i artikel 2, stk. 1,
i bilaget til Europa-Kommissionens henstilling 2003/361/EF
af 6. maj 2003 om definitionen af mikrovirksomheder, små
og mellemstore virksomheder. I artikel 2, stk. 1, i bilaget
til henstilling 2003/361/EF af 6. maj 2003 om definitionen
af mikrovirksomheder, små og mellemstore virksomheder
afgrænses kategorien af mikrovirksomheder, små og mel-
lemstore virksomheder (SMV’er) som virksomheder, som
beskæftiger under 250 personer, og har en årlig omsætning
på ikke over 50 mio. EUR eller en årlig samlet balance på
ikke over 43 mio. EUR.
Henstillingen må fortolkes således, at virksomheder falder
40
inden for definitionen af mellemstore virksomheder, når
virksomheden har 50 ansatte eller derover eller en årlig
omsætning på 10 mio. EUR eller derover og en årlig balance
på 10 mio. EUR eller derover. Der henvises i øvrigt til
gennemgangen heraf i pkt. 3.1.3.
For at sikre, at enheder, der har partnervirksomheder eller
tilknyttede virksomheder, ikke betragtes som væsentlige en-
heder, hvor dette ville være uforholdsmæssigt, skal der i
overensstemmelse med præambelbetragtning nr. 16 til NIS
2-direktivet tages hensyn til den grad af uafhængighed, som
en enhed har i forhold til sine partnervirksomheder eller til-
knyttede virksomheder. Der kan i denne forbindelse navnlig
tages hensyn til, om en enhed er uafhængig af sine partner-
virksomheder eller tilknyttede virksomheder med hensyn til
de net- og informationssystemer, som enheden anvender i
forbindelse med leveringen af sine tjenester og med hensyn
til de tjenester, som enheden leverer.
På dette grundlag kan medlemsstaterne i overensstemmelse
med præambelbetragtning nr. 16, hvor det er hensigtsmæs-
sigt, anse en sådan enhed for ikke at udgøre en mellemstor
virksomhed i henhold til artikel 2, i bilaget til henstilling
2003/361/EF, eller for ikke at overskride tærsklerne for en
mellemstor virksomhed fastsat i nævnte artikels stk. 1, hvis
den pågældende enhed i betragtning af dennes grad af uaf-
hængighed ikke ville være blevet anset for at udgøre en
mellemstor virksomhed eller at overskride disse tærskler,
hvis kun dens egne data var blevet taget i betragtning.
Det foreslås, at alene teleudbydere, der opfylder størrelses-
kravet, og som med et kommercielt formål udbyder offentli-
ge elektroniske kommunikationsnet eller offentligt tilgænge-
lige elektroniske kommunikationstjenester som deres hoved-
ydelse, eller som en ikke-accessorisk del af virksomheden,
anses for at være væsentlige.
Det afgørende for, om udbuddet sker med et kommercielt
formål er, om udbuddet et nettet eller tjenesten sker på mar-
kedsmæssige vilkår, herunder som led i markedsføringen af
virksomheden eller foreningen.
Som ikke-accessorisk del af virksomheden forstås, at udbud-
det ikke kun er en accessorisk del af virksomheden. Et hotel,
der for eksempel tilbyder sine kunder adgang til trådløst
internet vil således som udgangspunkt ikke opfylde kravet,
idet udbuddet i den forbindelse må anses for at være en
integreret del af at leje et hotelværelse.
Formålet med tilføjelsen af kravet om kommercielt formål
og at udbuddet skal være en ikke-accessorisk del af virk-
somheden er at sikre, at de nye skærpede regler efter NIS
2-direktivet ikke finder anvendelse for udbydere, der ikke
meningsfuldt kan siges at falde ind under kategorien væsent-
lige teleudbydere efter NIS 2-direktivet.
Der henvises til den nærmere uddybning af lovens udbyder-
begreb i pkt. 3.1.4.
Det foreslås i stk. 2¸ at uanset deres størrelse anses følgende
teleudbydere for væsentlige teleudbydere: 1) teleudbydere,
der er den eneste udbyder i Danmark af et net eller en
tjeneste, der er væsentlig for opretholdelsen af kritiske sam-
fundsmæssige eller økonomiske aktiviteter, 2) en forstyrrel-
se af det net eller den tjeneste, teleudbyderen leverer, vil
kunne have væsentlig indvirkning på den offentlige sikker-
hed eller folkesundheden, 3) en forstyrrelse af det net eller
den tjeneste, teleudbyderen leverer, vil kunne medføre en
væsentlig systemisk risiko, herunder hvor en sådan forstyr-
relse kan have en grænseoverskridende virkning, 4) teleud-
byderen er kritisk på grund af sin specifikke betydning på
nationalt eller regionalt plan for sektoren eller type af net
eller tjeneste eller for andre indbyrdes afhængige sektorer
i Danmark, eller 5) teleudbyderen er identificeret som en
kritisk enhed i henhold til lov om kritiske enheders mod-
standsdygtighed.
Den foreslåede bestemmelse vil gennemføre artikel 3, stk. 1,
litra c, litra e-f og artikel 2, stk. 2, litra b-e, i NIS 2-direkti-
vet.
Den foreslåede bestemmelse svarer indholdsmæssigt til NIS
2-direktivets artikel 3, stk. 1, litra c, litra e-f og artikel 2, stk.
2, litra b-e, og skal forstås og anvendes i overensstemmelse
med direktivets forudsætninger.
Det bemærkes, at der inden lovforslagets ikrafttrædelse vil
blive offentliggjort vejledningsmateriale, som vil hjælpe
omfattede teleudbydere med at vurdere, om de er omfattet
af den foreslåede bestemmelse, ligesom teleudbydere vil
kunne få den fornødne vejledning herom fra Styrelsen for
Samfundssikkerhed.
Det følger af det foreslåede nr. 1, at teleudbydere, der er
den eneste udbyder i Danmark af et net eller en tjeneste, der
er væsentlig for opretholdelsen af kritiske samfundsmæssige
eller økonomiske aktiviteter, anses for væsentlige teleudby-
dere.
Bestemmelsen skal forstås således, at teleudbyderen skal
være den reelt eneste udbyder i Danmark.
Det følger af det foreslåede nr. 2, at en forstyrrelse af det
net eller den tjeneste, teleudbyderen leverer, vil kunne have
væsentlig indvirkning på den offentlige sikkerhed eller fol-
kesundheden, anses for væsentlige teleudbydere.
Det følger af det foreslåede nr. 3, at en forstyrrelse af det net
eller den tjeneste, teleudbyderen leverer, vil kunne medføre
en væsentlig systemisk risiko, herunder hvor en sådan for-
styrrelse kan have en grænseoverskridende virkning, anses
for væsentlige teleudbydere.
Det følger af det foreslåede nr. 4, at teleudbydere, som er
kritiske på grund af sin specifikke betydning på nationalt
eller regionalt plan for sektoren eller type af net eller tjenes-
te eller for andre indbyrdes afhængige sektorer i Danmark,
anses for væsentlige teleudbydere.
Det følger af det foreslåede nr. 5, at teleudbydere, der er
41
identificeret som en kritisk enhed i henhold til lov om
kritiske enheders modstandsdygtighed, anses for væsentlige
teleudbydere.
Det foreslås i stk. 3, at ministeren for samfundssikkerhed
og beredskab kan fastsætte nærmere regler om kriterier for,
hvornår enheder er omfattet af stk. 2.
Bemyndigelsesbestemmelsen giver Ministeriet for Sam-
fundssikkerhed og Beredskab mulighed for at fastsætte
nærmere kriterier for, hvornår enheder er omfattet af be-
stemmelsens stk. 2. Samtidig sikres gennem bemyndigel-
sesbestemmelsen, at kriterierne for, hvornår teleudbydere
er omfattet at stk. 2, løbende og smidigt kan tilpasses og
målrettes, således at det kan sikres, at kravene er i overens-
stemmelse med eventuelle delegerede retsakter, som Euro-
pa-Kommissionen måtte vedtage.
Den foreslåede bestemmelse skal endvidere sikre, at der
kan tages højde for forskellige teknologier og typer af tjene-
steudbud, hvor disse ikke entydigt kan eller bør vurderes
efter samme væsentlighedskriterier. M2M og IoT-tjenester
er konkrete eksempler, hvor den nuværende anvendelse
af antal slutbrugere som kriterie for, hvornår en række be-
stemmelser bringes i anvendelse, i praksis har medført en
skævvridning mellem ellers sammenlignelige teleudbydere
i henhold til sikkerhed i net og tjenester eller i forhold til
kritikaliteten af deres tjenesteudbud.
Til § 4
Det følger af det foreslåede stk. 1, at teleudbydere, der
ikke opfylder kriterierne for at være væsentlige udbydere
efter lovens § 3, anses som vigtige teleudbydere, såfremt de
med et kommercielt formål udbyder offentlige elektroniske
kommunikationsnet eller offentligt tilgængelige elektroniske
kommunikationstjenester som deres hovedydelse, eller som
en ikke-accessorisk del af virksomheden.
Den foreslåede bestemmelse vil gennemføre NIS 2-direkti-
vets artikel 3, stk. 2, 1. pkt., som fastsætter, at enheder af
en type omhandlet af direktivets bilag I eller II, der ikke
opfylder kriterierne for at være væsentlige enheder i henhold
til artikel 3, stk. 1, anses for at være vigtige enheder.
Teleudbydere, som med et kommercielt formål udbyder
offentlige elektroniske kommunikationsnet eller offentligt
tilgængelige elektroniske kommunikationstjenester som en
accessorisk del af virksomheden, herunder RLAN-udbydere,
anses således ikke som vigtige teleudbydere.
Det følger af det foreslåede stk. 2, at Styrelsen for Sam-
fundssikkerhed kan træffe afgørelse om, at en teleudbyder,
der er omfattet af § 3, stk. 2, nr. 1-4, skal anses som en vig-
tig teleudbyder. Der vil være tale om en forvaltningsretlig
afgørelse, hvorfor forvaltningslovens regler herom vil finde
anvendelse.
Den foreslåede bestemmelse vil delvist gennemføre NIS
2-direktivets artikel 3, stk. 2, jf. artikel 3, stk. 1, litra e
og g. Det følger af artikel 3, stk. 2, at enheder af en type
omhandlet i direktivets bilag I eller II, der ikke opfylder kri-
terierne for at være væsentlige enheder i henhold til artikel
3, stk. 1, anses for at være vigtige enheder. Dette indbefatter
enheder, som medlemsstaterne har identificeret som vigtige
enheder i medfør af artikel 2, stk. 2, litra b-e.
Den foreslåede bestemmelse indebærer, at Styrelsen for
Samfundssikkerhed kan træffe afgørelse om, at en enhed,
der er omfattet af loven på baggrund af de kvalitative krite-
rier i relation til deres samfundsmæssige betydning, jf. NIS
2-direktivets artikel 2, stk. 2, litra b-e, skal anses for at være
en vigtig teleudbyder uanset udgangspunktet i det foreslåede
§ 3, stk. 2, nr. 1-4.
Såfremt en enhed i medfør af øvrige dele af lovforslagets §
3, herunder stk. 1, eller stk. 2, nr. 5, må anses for at være
en væsentlig teleudbyder, vil der ikke kunne ske ændring af
enhedens status fra væsentlig til vigtig efter den foreslåede
bestemmelse.
Der henvises i øvrigt til lovforslagets pkt. 3.1.
Til § 5
Det følger af § 3, stk. 1, i lov om sikkerhed i net og tjene-
ster, at Styrelsen for Samfundssikkerhed fastsætter regler
om minimumskrav til sikkerhed i net og tjenester for udby-
dere af offentligt tilgængelige elektroniske kommunikations-
net og -tjenester og udbydere af NUIK-tjenester, herunder
krav om passende tekniske, processuelle og organisatoriske
foranstaltninger med henblik på risikostyring i forhold til
sikkerhed i net og tjenester og opretholdelse af et passende
sikkerhedsniveau, herunder krav om, at sådanne foranstalt-
ninger gennemføres på baggrund af dokumenterede og le-
delsesforankrede processer.
Det følger af den foreslåede stk. 1, at væsentlige og vigtige
teleudbydere skal træffe passende og forholdsmæssige tek-
niske, operationelle og organisatoriske foranstaltninger for
at styre risiciene for sikkerheden i net- og informationssyste-
mer, som disse enheder anvender til deres operationer eller
til at levere deres tjenester, og for at forhindre hændelser
eller minimere deres indvirkning på modtagere af deres tje-
nester og på andre tjenester. Foranstaltningerne skal som
minimum omfatte de i bestemmelsens nr. 1-10 angivne for-
anstaltninger.
Den foreslåede bestemmelse vil gennemføre artikel 21, stk.
1-3, i NIS 2-direktivet.
Det fremgår af NIS 2-direktivets artikel 21, stk. 1, at med-
lemsstaterne skal sikre, at væsentlige og vigtige enheder
træffer passende og forholdsmæssige tekniske, operationel-
le og organisatoriske foranstaltninger for at styre risiciene
for sikkerheden i net- og informationssystemer, som disse
enheder anvender til deres operationer eller til at levere de-
res tjenester, og for at forhindre hændelser eller minimere
deres indvirkning på modtagere af deres tjenester og på
andre tjenester. Foranstaltningerne skal under hensyntagen
42
til det aktuelle teknologiske stade og i givet fald til relevante
europæiske og internationale standarder samt gennemførel-
sesomkostningerne tilvejebringe et sikkerhedsniveau i net-
og informationssystemer, der står i forhold til risiciene. Ved
vurderingen af proportionaliteten af disse foranstaltninger
skal der tages behørigt hensyn til graden af enhedens ekspo-
nering for risici, enhedens størrelse og sandsynligheden for
hændelser og deres alvor, herunder deres samfundsmæssige
og økonomiske indvirkning.
Det fremgår af NIS 2-direktivets artikel 21, stk. 2, at de
i stk. 1 omhandlede foranstaltninger skal baseres på en til-
gang, der omfatter alle farer og sigter på at beskytte net- og
informationssystemer og disse systemers fysiske miljø mod
hændelser.
Efter NIS 2-direktivets artikel 21, stk. 3, skal medlemssta-
terne sikre, at enhederne, når de overvejer hvilke foranstalt-
ninger efter artikel 21, stk. 2, litra d, om forsyningssikker-
hed der er passende, skal tage hensyn til de sårbarheder, der
er specifikke for hver direkte leverandør og tjenesteudbyder,
og den generelle kvalitet af deres leverandørers og tjeneste-
udbyderes produkter og cybersikkerhedspraksis, herunder
deres sikre udviklingsprocedurer. Enhederne skal desuden
tage hensyn til resultaterne af de koordinerede sikkerhedsri-
sikovurderinger af kritiske forsyningskæder, der kan foreta-
ges af Samarbejdsgruppen i samarbejde med Europa-Kom-
missionen og ENISA i overensstemmelse med NIS 2-direk-
tivets artikel 22, stk. 1.
I overensstemmelse med direktivets forudsætninger, som
udtrykt i præambelbetragtning nr. 83, 2. pkt., vil forpligtel-
sen til at indføre foranstaltninger til styring af cybersikker-
hedsrisici finde anvendelse på væsentlige og vigtige enhe-
der, uanset om de selv vedligeholder deres net- og informati-
onssystemer eller outsourcer vedligeholdelsen deraf.
I overensstemmelse med præambelbetragtning nr. 79 skal
foranstaltningerne omfatte alle farer og sigte på at beskytte
net- og informationssystemer og de pågældende systemers
fysiske miljø mod enhver begivenhed såsom tyveri, brand,
oversvømmelse, telekommunikations- eller strømsvigt, eller
uautoriseret fysisk adgang til, beskadigelse af eller indgreb i
en væsentlig eller vigtig enheds informations- og informati-
onsbehandlingsfaciliteter, som kan kompromittere tilgænge-
ligheden, autenticiteten, integriteten eller fortroligheden af
lagrede, overførte eller behandlede data eller de tjenester,
der tilbydes af eller er tilgængelige via net- og informati-
onssystemerne. Foranstaltningerne bør derfor også adressere
den fysiske og miljømæssige sikkerhed i net- og informati-
onssystemerne ved at inkludere foranstaltninger til beskyt-
telse af sådanne systemer mod systemsvigt, menneskelige
fejl, ondsindede handlinger eller naturfænomener i overens-
stemmelse med europæiske og internationale standarder sås-
om dem, der indgår i ISO/IEC 27000-serien.
Det bemærkes, at væsentlige og vigtige teleudbydere i over-
ensstemmelse med forvaltningslovens § 7 i fornødent om-
fang vil kunne få vejledning og bistand fra Styrelsen for
Samfundssikkerhed.
Det foreslås i nr. 1, at foranstaltningerne skal omfatte eller
tage højde for politikker for risikoanalyse og informations-
systemsikkerhed.
Dette indebærer bl.a., at enheden skal udarbejde en politik
for informationssikkerhed, der fastlægger den overordnede
ramme for implementering af foranstaltninger, jf. § 6, stk.
1, nr. 1-10, som understøtter sikkerheden i enhedens omfat-
tede net- og informationssystemer. Enheder skal endvidere
udarbejde en politik for risikostyring, der identificerer og
adresserer eventuelle risici i forhold til sikkerheden i net- og
informationssystemer
Det følger af det foreslåede nr. 2, at foranstaltningerne skal
omfatte eller tage højde for håndtering af hændelser.
Dette indebærer bl.a., at enheder skal udarbejde procedurer
for håndtering af hændelser. Enheder skal således i fornø-
dent omfang implementere logning og monitorering af ure-
gelmæssigheder i enhedens net- og informationssystemer
med henblik på at kunne identificere hændelser. Logdata
skal derudover sikres mod manipulation og beskyttes mod
uautoriseret adgang.
Det foreslås i nr. 3, at foranstaltningerne skal omfatte eller
tage højde for driftskontinuitet.
Dette indebærer, at enheder skal udarbejde procedurer til
sikring af driftskontinuitet i tilfælde af en hændelse. På
grundlag af enhedernes risikostyring, jf. nr. 2, og driftskon-
tinuitetsprocedure, skal enheder således udarbejde procedu-
rer for backupstyring og gendannelse af data. Enheder skal
foretage en vurdering af behovet for at udarbejde en bered-
skabsplan for krisestyring og reetablering efter en katastro-
fe. Enheder skal foretage en vurdering af, om der er behov
for at etablere redundans, nødstrømsforsyning, understøtten-
de forsyning eller anden sikring med tilsvarende virkning
for enhedens net- og informationssystemer.
Det foreslås i nr. 4, at foranstaltninger skal omfatte eller
tage højde for forsyningssikkerhed, herunder sikkerhedsrela-
terede aspekter vedrørende forholdene mellem den enkelte
enhed og dens direkte leverandører eller tjenesteudbydere.
Dette indebærer, at enheder skal udarbejde procedurer for
leverandørstyring for at sikre passende forsyningskædesik-
kerhed. Der henvises i den forbindelse til NIS 2-direktivets
artikel 21, stk. 3, hvoraf det følger, at enhederne, når de
overvejer, hvilke foranstaltninger, der er passende, tager
hensyn til de sårbarheder, der er specifikke for hver direk-
te leverandør og tjenesteudbyder, og den generelle kvalitet
af deres leverandørers og tjenesteudbyderes produkter og
cybersikkerhedspraksis, herunder deres sikre udviklingspro-
cedurer. Det fremgår i forlængelse heraf, at medlemsstaterne
sikrer, at enhederne, når de overvejer, hvilke foranstaltnin-
ger omhandlet § 21, stk. 2, litra d, der er passende, er
forpligtet til at tage hensyn til resultaterne af de koordinere-
43
de sikkerhedsrisikovurderinger af kritiske forsyningskæder,
der foretages i overensstemmelse med artikel 22, stk. 1,
hvoraf det fremgår, at samarbejdsgruppen i samarbejde med
Kommissionen og ENISA kan foretage koordinerede sikker-
hedsrisikovurderinger af specifikke kritiske IKT-tjenester,
-systemer eller -produktforsyningskæder under hensyntagen
til tekniske og, hvor det er relevant, ikketekniske risikofak-
torer.
Der henvises endvidere til NIS 2-direktivets præambelbe-
tragtning nr. 85, hvoraf det fremgår, at håndtering af risici,
der stammer fra en enheds forsyningskæde og dens forhold
til sine leverandører såsom udbydere af datalagrings- og
databehandlingstjenester eller udbydere af administrerede
sikkerhedstjenester og softwareudgivere, er særlig vigtig i
betragtning af udbredelsen af hændelser, hvor enheder har
været udsat for cyberangreb, og hvor ondsindede gernings-
personer har været i stand til at kompromittere sikkerheden
af en enheds net- og informationssystemer ved at udnyt-
te sårbarheder, der påvirker tredjepartsprodukter og -tjene-
ster. Væsentlige og vigtige enheder bør derfor vurdere og ta-
ge hensyn til den generelle kvalitet og modstandsdygtighed
af produkter og tjenester, de heri integrerede foranstaltninger
til styring af cybersikkerhedsrisici og deres leverandørers og
tjenesteudbyderes cybersikkerhedspraksis, herunder deres
sikre udviklingsprocedurer. Væsentlige og vigtige enheder
bør navnlig tilskyndes til at indarbejde foranstaltninger til
styring af cybersikkerhedsrisici i kontraktlige arrangementer
med deres direkte leverandører og tjenesteudbydere. Disse
enheder kunne overveje risici hidrørende fra leverandører og
tjenesteudbydere i andre led.
I overensstemmelse hermed bør procedurer efter det fore-
slåede nr. 4, tage højde for sikkerhedsrelaterede aspekter
vedrørende forholdet mellem enheden og dens direkte leve-
randører og tjenesteudbydere relateret til enhedens net- og
informationssystemer. Enheder skal i den forbindelse bl.a.
udarbejde procedurer for aftaleindgåelse med direkte leve-
randører og tjenesteudbydere af produkter og tjenester, der
kan påvirke sikkerheden i enhedens net-og informationssy-
stemer.
Det foreslås i nr. 5, at foranstaltninger skal omfatte eller tage
højde for sikkerhed i forbindelse med erhvervelse, udvikling
og vedligeholdelse af net- og informationssystemer, herun-
der håndtering og offentliggørelse af sårbarheder.
Dette indebærer, at enheder skal udarbejde procedurer
for sikkerhed i forbindelse med erhvervelse, udvikling og
vedligeholdelse af enhedens net- og informationssystemer,
med udgangspunkt i politikken for informationssystemsik-
kerhed. Enheder skal endvidere udarbejde procedurer for
håndtering af sårbarheder, der kan have indvirkning på en-
hedens net- og informationssystemer.
Det foreslås med nr. 6, at foranstaltninger skal omfatte el-
ler tage højde for politikker og procedurer til vurdering af
effektiviteten af foranstaltninger til styring af cybersikker-
hedsrisici.
Dette indebærer, at enheder skal udarbejde en politik og pro-
cedurer med henblik på at vurdere effektiviteten af de imple-
menterede foranstaltninger samt for vurdering af behov for
tekniske tests for potentielle sårbarheder, herunder f.eks. i
form af sårbarheds-scanninger eller penetrationstests.
Det foreslås i nr. 7, at foranstaltninger skal omfatte eller
tage højde for grundlæggende cyberhygiejnepraksisser og
cybersikkerhedsuddannelse.
Dette indebærer bl.a., at enheder skal implementere relevan-
te grundlæggende cyberhygiejnepraksisser med udgangs-
punkt i deres politik for informationssikkerhed, herunder
f.eks. gennem brug af passwords og sikker brug af e-
mails. Endvidere skal enheder udarbejde en politik for ud-
dannelse af relevante medarbejdere for at sikre, at medarbej-
derne har relevant viden og færdigheder om informations-
sikkerhed.
Det foreslås med nr. 8, at foranstaltninger skal omfatte eller
tage højde for politikker og procedurer vedrørende brug af
kryptografi og, hvor det er relevant, kryptering.
Dette indebærer bl.a., at enheder skal udarbejde en politik
og procedurer for brug af kryptografi og, hvor det er rele-
vant, kryptering for at beskytte deres net- og informations-
systemer. Politikken og procedurerne skal være passende i
forhold til det aktuelle teknologiske stade.
Det foreslås i nr. 9, at foranstaltninger skal omfatte eller tage
højde for personalesikkerhed, adgangskontrolpolitikker og
forvaltning af aktiver.
Dette indebærer bl.a., at teleudbyderne skal implementere
foranstaltninger til personalesikkerhed, der skal sikre, at den
enkelte medarbejder forstår, udviser og forpligter sig til at
leve op til deres ansvar for informationssikkerhed.
Enheder skal derudover udarbejde en politik for adgangs-
kontrol for at beskytte mod uautoriseret adgang til enhedens
net- og informationssystemer. Politikken skal som minimum
identificere og vurdere risici i forhold til logisk og fysisk
adgangskontrol og indeholde procedurer for styring af ad-
gangsrettigheder.
Enheder skal fastlægge hvordan den forvalter aktiver, der
vil kunne påvirke sikkerheden i enhedens omfattede net- og
informationssystemer.
Det foreslås med nr. 10, at foranstaltninger skal omfatte eller
tage højde for brug af løsninger med multifaktorautentifice-
ring eller kontinuerlig autentificering, sikret tale-, video-
og tekstkommunikation og sikrede nødkommunikationssy-
stemer internt hos enheden, hvor det er relevant.
Dette indebærer bl.a., at enheder skal anvende multifakto-
rautentifikation eller kontinuerlig autentifikation ved adgang
til net- og informationssystemer i overensstemmelse med
enhedens politik for adgangskontrol. Enheder skal endvidere
anvende sikret tale-, video- og tekstkommunikation i over-
44
ensstemmelse med politikken for brug af kryptografi og
kryptering.
Det følger af det foreslåede stk. 2, at væsentlige eller vigtige
teleudbyder, der ikke overholder ét eller flere af de krav, der
er nævnt i stk. 1, eller regler om krav til foranstaltninger
fastsat i medfør af stk. 3, uden unødigt ophold skal træffe
alle nødvendige, passende og forholdsmæssige korrigerende
foranstaltninger.
Den foreslåede bestemmelse vil gennemføre NIS 2-direkti-
vets artikel 21, stk. 4. Efter NIS 2-direktivets artikel 21, stk.
4, skal medlemsstaterne sikre, at en enhed, der finder, at
den ikke overholder foranstaltningerne i artikel 21, stk. 2,
uden unødigt ophold træffer alle nødvendige, passende og
forholdsmæssige korrigerende foranstaltninger.
Den foreslåede bestemmelse svarer indholdsmæssigt til NIS
2-direktivets artikel 21, stk. 4, og skal forstås og anvendes i
overensstemmelse med direktivets forudsætninger.
Den foreslåede bestemmelse i stk. 2, understreger, at enhe-
der skal handle på eventuelle konstateringer af mangler i
overholdelsen af de krav til foranstaltninger, der følger af
det foreslåede stk. 1, og regler om krav til foranstaltninger
udstedt i medfør af det foreslåede stk. 3. Dette skal ses i
sammenhæng med den foreslåede § 6 om ledelsens ansvar.
Det følger af det foreslåede stk. 3, 1, pkt., at ministeren for
samfundssikkerhed og beredskab fastsætter regler om krav
til foranstaltninger efter stk. 1, og om yderligere foranstalt-
ninger og krav hertil for teleudbydere omfattet af denne lov.
Den foreslåede bestemmelse indebærer, at ministeren for
samfundssikkerhed og beredskab kan fastsættes nærmere
regler om krav til de foranstaltninger til styring af sikker-
hedsrisici, som væsentlige og vigtige teleudbydere skal træf-
fe. Reglerne vil kunne stille mere konkretiserede krav til de
foranstaltninger, som teleudbyderne skal træffe i medfør af
den foreslåede bestemmelse i stk. 1, herunder fastsætte krav
om yderligere foranstaltninger for telesektoren.
Dette omfatter bl.a. krav om foranstaltninger for i videst
muligt omfang at sikre elektronisk kommunikation i bered-
skabssituationer og i andre ekstraordinære situationer. Be-
stemmelsen viderefører således § 5, stk. 1, i lov om sikker-
hed i net og tjenester, og skal fortolkes i overensstemmelse
hermed.
Bemyndigelsesbestemmelsen giver ministeren for sam-
fundssikkerhed og beredskab mulighed for at fastsætte nær-
mere krav om foranstaltninger for samtlige teleudbydere,
der er omfattet af lovens anvendelsesområde.
Det bemærkes i den forbindelse, at det følger af NIS 2-di-
rektivets artikel 21, stk. 5, 2. led, at Europa-Kommissionen
kan vedtage gennemførelsesretsakter, der fastsætter de tek-
niske og metodologiske, samt om nødvendigt sektorspeci-
fikke, krav til de i direktivets artikel 21, stk. 2, omhandlede
foranstaltninger. Det vides endnu ikke, om Europa-Kommis-
sionen vil vælge at vedtage gennemførelsesretsakter i med-
før af artikel 21, stk. 5, 2. led, samt i givet fald indholdet
heraf.
Det vil til enhver tid skulle sikres, at bekendtgørelser i
medfør af det foreslåede stk. 3, harmonerer med eventuelle
gennemførelsesretsakter fra Europa-Kommissionen. Såfremt
der måtte være udstedt bekendtgørelser på et tidspunkt,
hvor Europa-Kommissionen vedtager gennemførelsesretsak-
ter, vil disse bekendtgørelser i relevant omfang skulle tilpas-
ses eller efter omstændighederne ophæves.
Det følger af det foreslåede stk. 3, 2. pkt., at ministeren i den
forbindelse kan fastsætte regler om, at væsentlige og vigtige
teleudbydere skal anvende særlige IKT-produkter, -tjenester
og -processer, som er certificeret i henhold til en europæisk
cybersikkerhedscertificeringsordning for at påvise overens-
stemmelse med bestemte krav efter stk. 1, eller regler om
krav til foranstaltninger fastsat i medfør af 1. pkt.
Bestemmelsen vil gennemføre artikel 24, stk. 1, i NIS 2-di-
rektivet. Det følger af artikel 24, stk. 1, at for at påvise
overensstemmelse med bestemte krav i direktivets artikel
21 (foranstaltninger til styring af cybersikkerhedsrisici), kan
medlemsstaterne kræve, at væsentlige og vigtige enheder
bruger særlige IKT-produkter, -tjenester og -processer, der er
udviklet af den væsentlige eller vigtige enhed, eller indkøbt
fra tredjeparter, og som er certificeret i henhold til europæ-
iske cybersikkerhedscertificeringsordninger, der er vedtaget
i henhold til artikel 49 i Europa-Parlamentets og Rådets
forordning (EU) 2019/881 af 17. april 2019 om ENISA
(Den Europæiske Unions Agentur for Cybersikkerhed), om
cybersikkerhedscertificering af informations- og kommuni-
kationsteknologi og om ophævelse af forordning (EU) nr.
526/2013 (forordningen om cybersikkerhed). Endvidere skal
medlemsstaterne tilskynde væsentlige og vigtige enheder til
at anvende kvalificerede tillidstjenester.
Artikel 49 i nævnte forordning fastsætter nærmere regler
om udarbejdelse, vedtagelse og revision af en europæisk
cybersikkerhedscertificeringsordning.
Den foreslåede bestemmelse svarer indholdsmæssigt til NIS
2-direktivets artikel 24, stk. 1, og skal forstås og anvendes
i overensstemmelse med direktivets forudsætninger. De nær-
mere regler, der kan fastsættes i medfør af bestemmelsen, vil
således skulle udarbejdes inden for denne ramme. Det inde-
bærer bl.a., at reglerne vil skulle være i overensstemmelse
med regeringens principper om minimumsimplementering.
Det er Ministeriet for Samfundssikkerhed og Beredskabs
opfattelse, at bestemmelsen i NIS 2-direktivets artikel 24,
stk. 1, hvorefter IKT-produkter, -tjenester og -processer skal
være udviklet af enhederne eller »indkøbt fra tredjeparter«,
ikke er til hinder for, at der kan fastsættes regler om, at en-
hederne skal bruge IKT-produkter, -tjenester og -processer,
som stilles gratis til rådighed af tredjeparter.
Bestemmelsen skal i øvrigt ses i lyset af, at Europa-Kom-
missionen efter artikel 24, stk. 2, tillægges beføjelser til at
45
vedtage delegerede retsakter for at supplere direktivet ved
at præcisere, hvilke kategorier af væsentlige og vigtige en-
heder, der skal anvende visse certificerede IKT-produkter,
-tjenester og -processer eller indhente en attest i henhold til
en europæisk cybersikkerhedscertificeringsordning. De de-
legerede retsakter vedtages, når der er identificeret utilstræk-
kelige cybersikkerhedsniveauer. I givet fald forudsættes det,
at eventuelle allerede udstedte bekendtgørelser i relevant
omfang tilpasses eller ophæves.
Til § 6
Det foreslås i stk. 1, at de foranstaltninger, som en væsentlig
eller en vigtig teleudbyder træffer på baggrund af forpligtel-
serne i § 5, stk. 1 og 2, samt regler fastsat i medfør af § 5,
stk. 3, skal være godkendt af teleudbyderens ledelsesorgan,
samt at ledelsesorganet fører tilsyn med foranstaltningernes
gennemførelse.
Den foreslåede bestemmelse i stk. 1, vil delvist gennemføre
NIS 2-direktivets artikel 20, stk. 1. Det følger af NIS 2-di-
rektivets artikel 20, stk. 1, at medlemsstaterne skal sikre, at
de væsentlige og vigtige enheders ledelsesorganer godken-
der de foranstaltninger til styring af cybersikkerhedsrisici,
som disse enheder har truffet med henblik på at overholde
artikel 21, fører tilsyn med deres gennemførelse og kan gø-
res ansvarlige for enhedernes overtrædelser af forpligtelser-
ne i den nævnte artikel. Dette berører dog ikke national ret
for så vidt angår de ansvarsregler, der gælder for offentlige
institutioner, samt ansvaret for embedsmænd og personer
valgt eller udnævnt til offentlige hverv.
Den foreslåede bestemmelse i stk. 1 fastslår, at overholdel-
sen af forpligtelserne i den foreslåede § 5, stk. 1-3, er et
ledelsesmæssigt ansvar.
Der findes i dansk ret ikke en entydig definition af et ledel-
sesorgan, idet visse virksomhedstyper ikke er omfattet af
materielle regler om ledelsens organisering, hvorfor disse
har en vis frihed til at organisere sig, efter egen vilje.
Lov om aktie- og anpartsselskaber, jf. lovbekendtgørelse
nr. 1168 af 1. september 2023 (selskabsloven) definerer i
§ 5, nr. 4 dog bl.a. ’det centrale ledelsesorgan’ som a) be-
styrelsen i selskaber, der har en direktion og en bestyrelse,
b) direktionen i selskaber, der alene har en direktion og
c) direktionen i selskaber, der både har en direktion og et
tilsynsråd. Selskabsloven finder dog alene anvendelse for
aktie- og anpartsselskaber, jf. lovens § 1, stk. 1.
Lov om visse erhvervsdrivende virksomheder, jf. lovbe-
kendtgørelse nr. 249 af 1. februar 2021 (LEV-loven), defi-
nerer i lovens § 4 a, nr. 2 en ledelse, som ’medlemmer af
bestyrelse, direktion eller et tilsvarende ledelsesorgan’.
LEV-loven finder anvendelse for enkeltmandsvirksomheder,
interessentskaber, kommanditselskaber, andelsselskaber (an-
delsforeninger) samt andre selskaber og foreninger med be-
grænset ansvar, som ikke er omfattet af selskabsloven, lov
om erhvervsdrivende fonde eller §§ 133-154 i lov om for-
valtere af alternative investeringsfonde m.v., jf. LEV-lovens
§ 1, stk. 2.
Det er på denne baggrund Ministeriet for Samfundssikker-
hed og Beredskabs vurdering, at begrebet ’ledelsesorgan’ i
NIS 2-direktivet skal forstås i overensstemmelse med defi-
nitionerne af henholdsvis det centrale ledelsesorgan i selska-
bslovens § 5, nr. 4, og ledelsen i LEV-lovens § 4 a, nr. 2,
afhængigt af enhedens selskabsform.
Det følger af det foreslåede stk. 2, at medlemmerne af ledel-
sesorganet i væsentlige eller vigtige teleudbyder skal deltage
i relevante kurser om styring af informationssikkerhedsrisici
og tilskynde til, at tilsvarende kurser tilbydes til ansatte i
den væsentlige eller vigtige teleudbyder.
Den foreslåede bestemmelse i stk. 2 vil gennemføre NIS
2-direktivets artikel 20, stk. 2.
Det fremgår af NIS 2-direktivets artikel 20, stk. 2, at med-
lemsstaterne skal sikre, at medlemmerne af væsentlige og
vigtige enheders ledelsesorganer er forpligtet til at følge
kurser, og skal tilskynde væsentlige og vigtige enheder til
løbende at tilbyde tilsvarende kurser til deres ansatte, såle-
des at de opnår tilstrækkelige kundskaber og færdigheder til
at kunne identificere risici og vurdere metoderne til styring
af cybersikkerhedsrisici og deres indvirkning på de tjenester,
der leveres af enheden.
Henset til, at formålet med nærværende lov er at implemen-
tere NIS 2-direktivet gennem en integration med den eksi-
sterende regulering på området, herunder navnlig lov om
sikkerhed i net og tjenester, vurderes det, at kravet bør om-
fatte relevante kurser om styring af informationssikkerheds-
risici, og ikke kun cybersikkerhedsrisici, som forudsat i NIS
2-direktivet.
Til § 7
Det foreslås med stk. 1, at væsentlige- og vigtige teleudby-
dere skal registrere sig hos Styrelsen for Samfundssikker-
hed og i den forbindelse oplyse 1) teleudbyderens navn,
2) teleudbyderens adresse og ajourførte kontaktoplysninger,
herunder e-mailadresser, IP-intervaller og telefonnumre og
3) en liste over de øvrige medlemsstater i Den Europæiske
Union, hvor teleudbyderen leverer tjenester, der er omfattet
af anvendelsesområdet i artikel 2 i NIS 2-direktivet.
Den foreslåede bestemmelse vil gennemføre artikel 27,
stk. 2, NIS 2-direktivet. Artikel 27, stk. 2, fastsætter bl.a.,
at medlemsstaterne pålægger DNS-tjenesteudbydere, top-
domænenavneadministratorer, enheder, der leverer domæ-
nenavneregistreringstjenester og udbydere af cloudcompu-
tingtjenester, af datacentertjenester, af indholdsleveringsnet-
værk, af administrerede tjenester, af administrerede sikker-
hedstjenester, af onlinemarkedspladser, af onlinesøgemaski-
ner og af platforme for sociale netværkstjenester at indgive
nærmere oplistede oplysninger til de kompetente myndighe-
der.
46
Den foreslåede bestemmelse svarer indholdsmæssigt til NIS
2-direktivets artikel 27, stk. 2, og skal forstås og anvendes i
overensstemmelse med direktivets forudsætninger.
Det er Ministeriet for Samfundssikkerhed og Beredskabs
opfattelse, at der vil være tale om en oplysningspligt, der
er omfattet af lov om retssikkerhed ved forvaltningens an-
vendelse af tvangsindgreb og oplysningspligter. Dette inde-
bærer, at retten til ikke at inkriminere sig selv, jf. kapitel 4
i nævnte lov, skal overholdes. Det bemærkes dog, at det af
bemærkningerne til § 10 i lov om retssikkerhed ved forvalt-
ningens anvendelse af tvangsindgreb og oplysningspligter
fremgår, at »[b]estemmelsen [om forbud mod selvinkrimine-
ring] er ikke til hinder for, at den mistænkte kan pålægges
at give (faktuelle) oplysninger, som er uden betydning for
bedømmelsen af, hvorvidt den pågældende har begået en
lovovertrædelse, der kan medføre straf. Bestemmelsen vil
således ikke være til hinder for at anvende en oplysnings-
pligt til at kræve oplysninger om navn, adresse mv., jf.
herved også retsplejelovens § 750, hvorefter enhver på for-
langende er forpligtet til over for politiet at opgive navn,
adresse og fødselsdato.« Der henvises til Folketingstidende
2003-04, tillæg A, side 3097. Der vil med den foreslåede
bestemmelse være tale om en registreringspligt, hvorved en-
heder skal afgive en række helt overordnede oplysninger om
bl.a. navn, adresse og enhedstype. Det er derfor Ministeriet
for Samfundssikkerhed og Beredskabs opfattelse, at kapitel
4 i lov om retssikkerhed ved forvaltningens anvendelse af
tvangsindgreb og oplysningspligter alene vil være relevant i
praksis i yderst sjældne tilfælde.
Det foreslås i stk. 2, væsentlige og vigtige teleudbydere, der
omfattes af lovens anvendelsesområde, skal indgive oplys-
ningerne efter stk. 1, senest to uger efter, at teleudbyderen
omfattes af loven.
Bestemmelsen vil gennemføre dele af NIS 2-direktivets arti-
kel 3, stk. 3, hvorefter medlemsstaterne senest den 17. april
2025 skal udarbejde en liste over væsentlige og vigtige en-
heder samt enheder, der leverer domænenavnsregistrerings-
tjenester. Det bemærkes, at NIS 2-direktivet skulle være
implementeret i dansk ret senest den 17. oktober 2024. Idet
denne lov træder i kraft den 1. juli 2025, er det Ministeriet
for Samfundssikkerhed og Beredskabs vurdering, at nærvæ-
rende frist bør fastsættes til den 1. oktober 2025.
Den foreslåede bestemmelse svarer indholdsmæssigt til dele
af NIS 2-direktivets artikel 3, stk. 3, og skal forstås og an-
vendes i overensstemmelse med direktivets forudsætninger.
Den foreslåede pligt for enhederne til at registrere sig vil
ikke have indflydelse på, at teleudbyderen også før en regi-
strering vil være omfattet af lovens anvendelsesområde. De
rettigheder og forpligtelser, der følger af loven, vil derfor
gælde uafhængigt af, om en teleudbyder har ladet sig regi-
strere.
Det bemærkes, at den foreslåede bestemmelse alene finder
anvendelse for enheder, der efter lovens ikrafttræden bliver
omfattet af lovens anvendelsesområde. Enheder, der ved lo-
vens ikrafttræden er omfattet af lovens anvendelsesområde
vil ifølge den foreslåede bestemmelse i § 32, stk. 3, skulle
indgive de nævnte oplysninger senest den 1. oktober 2025.
Det foreslås i stk. 3, at tilfælde af ændring i de oplysninger,
der er afgivet i medfør af stk. 1, skal den væsentlige eller
vigtige teleudbyder give Styrelsen for Samfundssikkerhed
underretning herom senest to uger efter datoen for ændrin-
gen.
Bestemmelsen vil gennemføre NIS 2-direktivets artikel 27,
stk. 3, som fastsætter en forpligtelse for medlemsstaterne til
at sikre, at de nævnte enheder straks og under alle omstæn-
digheder senest tre måneder efter den dato, hvor ændringen
trådte i kraft, underretter den kompetente myndighed om
enhver ændring af de oplysninger, de har indsendt i henhold
til artikel 27, stk. 2.
Den foreslåede bestemmelse svarer indholdsmæssigt til dele
af NIS 2-direktivets artikel 27, stk. 3, og skal forstås og an-
vendes i overensstemmelse med direktivets forudsætninger.
Det foreslås i stk. 4, at ministeren for samfundssikkerhed
og beredskab kan fastsætte regler om hvilke yderligere op-
lysninger væsentlige og vigtige teleudbydere skal afgive ved
registrering.
Bestemmelsen har til formål at give ministeren for sam-
fundssikkerhed og beredskab mulighed for at fastsætte nær-
mere regler om, at væsentlige og vigtige teleudbydere skal
afgive yderligere oplysninger ved registrering.
Det foreslås i stk. 5, nr. 1, at ministeren for samfundssik-
kerhed og beredskab kan fastsætte nærmere regler om op-
lysnings- og underretningspligter for væsentlige og vigtige
teleudbydere, herunder regler om afgivelse af oplysninger
om væsentlige dele af teleudbyderens net eller tjenester eller
driften heraf.
Bestemmelsen viderefører § 4, nr. 1 i lov om sikkerhed i net
og tjenester, og skal fortolkes i overensstemmelse hermed.
Den foreslåede oplysningspligt vil indebære, at teleudbyde-
re efter anmodning skal afgive oplysninger om de dele af
deres net eller tjenester – eller driften heraf – der anses som
væsentlige. Det kan f.eks. være oplysninger om, hvilke leve-
randører som teleudbyderen anvender. Dermed sikres det,
at Styrelsen for Samfundssikkerhed kan få det nødvendige
overblik over de centrale dele af teleinfrastrukturen.
Det foreslås i stk. 5, nr. 2, at ministeren for samfundssik-
kerhed og beredskab kan fastsætte nærmere regler om op-
lysnings- og underretningspligter for væsentlige og vigtige
teleudbydere, herunder regler om underretning ved påtænkt
indgåelse af aftaler om leverancer, der vedrører væsentlige
dele af udbyderens net eller tjenester eller driften heraf,
herunder regler om, at teleudbyderen skal indsende et ende-
ligt aftaleudkast til Styrelsen for Samfundssikkerhed umid-
delbart forud for indgåelse af aftalen, og at aftalen først kan
47
indgås op til 25 arbejdsdage efter centerets modtagelse af
dette udkast.
Bestemmelsen viderefører § 4, nr. 2 i lov om sikkerhed i net
og tjenester, og skal fortolkes i overensstemmelse hermed.
Oplysningspligten efter den foreslåede stk. 5, nr. 2, foreslås
– ligesom tilfældet er i dag – suppleret af en underretnings-
pligt, som indebærer, at teleudbydere skal underrette Sty-
relsen for Samfundssikkerhed i forbindelse med påtænkte
indgåelser af visse større aftaler om leverancer af hardware,
firmware eller software samt driften heraf.
Det foreslås med stk. 5, nr. 3, at ministeren for samfunds-
sikkerhed og beredskab kan fastsætte nærmere regler om
oplysnings- og underretningspligter for væsentlige og vigti-
ge teleudbydere, herunder regler om, at teleudbyderen skal
indsende et endeligt aftaleudkast til Styrelsen for Samfunds-
sikkerhed umiddelbart forud for indgåelse af aftale, og at
aftalen først kan indgås op til 25 arbejdsdage efter styrelsens
modtagelse af pågældende udkast.
Bestemmelsen viderefører § 4, nr. 2 i lov om sikkerhed i net
og tjenester, og skal fortolkes i overensstemmelse hermed.
Formålet med ordningen er at give Styrelsen for Samfunds-
sikkerhed mulighed for at rådgive teleudbyderen om særlige
trusler mod informationssikkerheden samt om mulighederne
for at imødegå de trusler, som det pågældende aftaleudkast
vurderes at indebære. Det vurderes, at dette vil bidrage til,
at teleudbyderne får bedre forudsætninger for at vurdere mu-
lige risici ved den påtænkte aftale, således at teleudbyderne
kan tage højde herfor inden aftaleindgåelsen.
Til § 8
I stk. 1 foreslås det, at § 17 i lov om foranstaltninger til sik-
ring af et højt cybersikkerhedsniveau (NIS 2-loven) finder
tilsvarende anvendelse for teleudbydere omfattet af denne
lov.
Det fremgår af den foreslåede § 1, stk. 2, 2. pkt., i forslag
til lov om foranstaltninger til sikring af et højt cybersikker-
hedsniveau, at lovens § 17 finder anvendelse for enheder,
der er omfattet af telesektoren.
Den foreslåede bestemmelse § 17 i lov om forslag til lov om
foranstaltninger til sikring af et højt cybersikkerhedsniveau,
fastsætter CSIRT’ens opgaver over for væsentlige og vigtige
enheder.
Det foreslås i stk. 2, at teleudbyderen skal underrette Styrel-
sen for Samfundssikkerhed og CSIRT’en om enhver væsent-
lig hændelse efter proceduren i den foreslåede § 9.
Den foreslåede bestemmelse vil gennemføre artikel 23, stk.
1, i NIS 2-direktivet.
Det følger bl.a. af NIS 2-direktivets artikel 23, stk. 1, at
hver medlemsstat sikrer, at væsentlige og vigtige enheder
uden unødigt ophold underretter dens CSIRT eller i givet
fald dens kompetente myndighed om enhver hændelse, der
har en væsentlig indvirkning på leveringen af deres tjene-
ster. Hver medlemsstat sikrer, at enhederne indberetter alle
oplysninger, der gør det muligt for CSIRT’en eller den kom-
petente myndighed at fastslå eventuelle grænseoverskriden-
de virkninger af hændelsen.
Den foreslåede bestemmelse svarer indholdsmæssigt til NIS
2-direktivets artikel 23, stk. 1, og skal forstås og anvendes i
overensstemmelse med direktivets forudsætninger.
Den foreslåede bestemmelse indebærer, at samtlige teleud-
bydere, der er omfattet af lovens anvendelsesområde,
skal underrette både Styrelsen for Samfundssikkerhed og
CSIRT’en i tilfælde af hændelser, der har en væsentlig ind-
virkning på levering af deres tjenester. Dermed sikres det, at
både Styrelsen for Samfundssikkerhed og CSIRT’en hurtigt
og effektivt vil kunne varetage sine myndighedsopgaver.
Det bemærkes, at væsentlige og vigtige teleudbydere i over-
ensstemmelse med forvaltningslovens § 7 i fornødent om-
fang vil kunne få vejledning og bistand fra Styrelsen for
Samfundssikkerhed.
I overensstemmelse med præambelbetragtning nr. 83 vil
den foreslåede forpligtelse til at foretage underretning ved
hændelser finde anvendelse på de væsentlige og vigtige te-
leudbydere, uanset om disse teleudbydere selv vedligeholder
deres net- og informationssystemer eller outsourcer vedlige-
holdelsen deraf. Såfremt der måtte ske en hændelse i et net-
og informationssystem, som eksempelvis er outsourcet, vil
det derfor fortsat være den væsentlige eller vigtige teleudby-
ders ansvar, at der sker underretning i fornødent omfang.
Det er Ministeriet for Samfundssikkerhed og Beredskabs
opfattelse, at der vil være tale om en oplysningspligt omfat-
tet af lov om retssikkerhed ved forvaltningens anvendelse af
tvangsindgreb og oplysningspligter. Dette indebærer bl.a., at
kapitel 4 (om retten til ikke at inkriminere sig selv mv.) vil
gælde i tilfælde, hvor der måtte være en konkret mistanke
om, at en enhed har begået en overtrædelse af lovgivningen,
der kan medføre straf. Der henvises i øvrigt til kapitel 4
i lov om retssikkerhed ved forvaltningens anvendelse af
tvangsindgreb og oplysningspligter og bemærkningerne her-
til. Der henvises til Folketingstidende 2003-04, tillæg A,
side 3075-3078 og side 3096-3099.
Såfremt en væsentlig hændelse, der underrettes om i medfør
af bestemmelsen, måtte have grænseoverskridende virkning,
vil CSIRT’en i overensstemmelse med forudsætningen i
NIS 2-direktivets artikel 23, stk. 6, via det centrale kontakt-
punkt uden unødigt ophold skulle underrette de øvrige be-
rørte medlemsstater og ENISA om den væsentlige hændelse,
navnlig hvor den væsentlige hændelse berører to eller flere
medlemsstater. Efter samme bestemmelse vil en sådan infor-
mation omfatte den type af oplysninger, der er modtaget i
overensstemmelse med artikel 23, stk. 4, og CSIRT’en vil
i den forbindelse – i overensstemmelse med EU-retten eller
48
national ret – sikre enhedens sikkerhed og kommercielle in-
teresser samt fortrolig behandling af de afgivne oplysninger.
Det følger af det foreslåede stk. 3, nr. 1, at en hændelse
anses for at være væsentlig, hvis den har forårsaget eller er i
stand til at forårsage alvorlige driftsforstyrrelser af net eller
tjenester eller økonomiske tab for den berørte udbyder.
Den foreslåede bestemmelse vil gennemføre NIS 2-direkti-
vets artikel 23, stk. 3.
Med alvorlige driftsforstyrrelser forstås en hændelse, som
kompromitterer tjenesterne fortroligled, integritet, autentici-
tet og/eller tilgængelighed.
Med økonomiske tab forstås betydelige tab og/eller omkost-
ninger som følge af hændelse. Tab eller udbredelse af intel-
lektuel ejendom, der kan bringe enhedens fremtidige indtægt
eller omsætning i fare, medregnes ligeledes som økonomisk
tab.
Det fremgår af præambelbetragtning nr. 101, at direktivet
bør omfatte underretning om hændelser, som ud fra en indle-
dende vurdering foretaget af den berørte enhed kunne forår-
sage alvorlige driftsmæssige forstyrrelser af tjenesterne.
Det følger af det foreslåede stk. 3, nr. 2, at en hændelse
anses for at være væsentlig, hvis den har påvirket eller er i
stand til at påvirke andre fysiske eller juridiske personer ved
at forårsage betydelig fysisk eller ikke-fysisk skade.
Den foreslåede bestemmelse svarer med en enkelt sproglig
justering uden indholdsmæssig betydning til NIS 2-direkti-
vets artikel 23, stk. 3, og skal forstås og anvendes i overens-
stemmelse med direktivets forudsætninger.
Det fremgår af præambelbetragtning nr. 101, at direktivet
bør omfatte underretning om hændelser, som ud fra en indle-
dende vurdering foretaget af den berørte enhed kunne forår-
sage alvorlige driftsmæssige forstyrrelser af tjenesterne eller
økonomiske tab for denne enhed eller forvolde betydelig
materiel eller immateriel skade for andre fysiske eller juridi-
ske personer. En sådan indledende vurdering bør bl.a. tage i
betragtning de berørte net- og informationssystemer, navnlig
deres betydning for leveringen af enhedens tjenester, alvoren
og de tekniske karakteristika af en cybertrussel, eventuelle
underliggende sårbarheder, der udnyttes, samt enhedens er-
faring med tilsvarende hændelser. Indikatorer såsom graden
af påvirkning af tjenestens funktionsdygtighed, varigheden
af en hændelse eller antallet af berørte tjenestemodtagere vil
kunne spille en vigtig rolle med hensyn til at fastslå, om den
driftsmæssige forstyrrelse af tjenesten er alvorlig.
En hændelse anses altid for væsentlig, hvis den forårsager
hel eller delvis ødelæggelse af kritiske tredje parts fysiske
eller digitale aktiver. Ligeledes anses en hændelse altid for
at være væsentlig, hvis den forårsager død, eller skader der
kræver hospitalsindlæggelse eller behandling.
Det følger af det foreslåede stk. 4, at ministeren for sam-
fundssikkerhed og beredskab kan fastsættes nærmere regler
om, hvornår en hændelse kan anses for at være væsentlig og
hvilke oplysninger, der skal gives i forbindelse med under-
retningen.
Henset til at kriterierne for, hvornår en hændelse anses for at
være væsentlig efter det foreslåede stk. 3, har en kvalitativ
og skønspræget karakter, vurderes det hensigtsmæssigt, at
ministeren for samfundssikkerhed og beredskab kan fastsæt-
tes nærmere regler, som præciserer, hvornår en hændelse
anses for at være væsentlig i telesektoren.
Til § 9
Det foreslås i stk. 1, at underretningen efter § 8, stk. 2,
skal ske på følgende måde: 1) en tidlig varsling, som skal
angive, om den væsentlige hændelse mistænkes at være for-
årsaget af ulovlige eller ondsindede handlinger eller kunne
have en grænseoverskridende virkning, sendes uden unødigt
ophold og senest inden for 24 timer efter, at teleudbyderen
har fået kendskab til den væsentlige hændelse, 2) en hændel-
sesunderretning, som skal ajourføre oplysningerne fra den
tidlige varsling, jf. nr. 1, og give en indledende vurdering
af den væsentlige hændelse, herunder dens alvor og ind-
virkning samt kompromitteringsindikatorerne, hvor sådanne
foreligger, sendes uden unødigt ophold og senest inden for
72 timer efter, at teleudbyderen har fået kendskab til den
væsentlige hændelse, jf. dog stk. 2, 3) en foreløbig rapport
med relevante statusopdateringer sendes til enten Styrelsen
for Samfundssikkerhed eller CSIRT’en efter myndighedens
anmodning herom, 4) en endelig rapport sendes til Styrel-
sen for Samfundssikkerhed og CSIRT’en senest en måned
efter fremsendelsen af den hændelsesunderretning, der er
omhandlet i nr. 2. Rapporten skal indeholde følgende: a)
en detaljeret beskrivelse af hændelsen, herunder dens alvor
og indvirkning, b) den type trussel eller grundlæggende år-
sag, der sandsynligvis har udløst hændelsen, c) anvendte
og igangværende afbødende foranstaltninger og d) de even-
tuelle grænseoverskridende virkninger af hændelsen og 5)
pågår hændelsens fortsat på tidspunktet for fremsendelsen af
den endelige rapport, jf. nr. 4, skal den berørte teleudbyder
indsende en statusrapport på det pågældende tidspunkt og
en endelig rapport senest en måned efter, at hændelsen er
håndteret.
Med den foreslåede bestemmelse fastlægges der en flertrin-
stilgang for underretninger om væsentlige hændelser.
Det bemærkes, at det er Ministeriet for Samfundssikkerhed
og Beredskabs opfattelse, at der vil være tale om oplys-
ningspligter omfattet af lov om retssikkerhed ved forvaltnin-
gens anvendelse af tvangsindgreb og oplysningspligter. Det-
te indebærer bl.a., at kapitel 4 (om retten til ikke at inkrimi-
nere sig selv mv.) vil gælde i tilfælde, hvor der måtte være
en konkret mistanke om, at en enhed har begået en overtræ-
delse af lovgivningen, der kan medføre straf. Der henvises
i øvrigt til kapitel 4 i lov om retssikkerhed ved forvaltnin-
gens anvendelse af tvangsindgreb og oplysningspligter og
49
bemærkningerne hertil. Der henvises til Folketingstidende
2003-04, tillæg A, side 3075-3078 og side 3096-3099.
I overensstemmelse med NIS 2-direktivets præambelbe-
tragtning nr. 102 vil det skulle sikres, at forpligtelsen til at
indgive den tidlige varsling eller den efterfølgende hændel-
sesunderretning ikke medfører, at den underrettende enhed
skal bruge færre ressourcer på aktiviteter vedrørende hånd-
tering af hændelsen. Enhedens ressourcer bør således priori-
teres, så det forhindres, at forpligtelser vedrørende hændel-
sesrapportering enten omdirigerer ressourcer fra håndtering
af væsentlige hændelser eller på anden måde kompromitte-
rer enhedens indsats i denne henseende.
Det forudsættes på denne baggrund, at det sikres, at under-
retningen kan ske på en så ressourcebesparende måde som
muligt, eksempelvis ved at anvende én fælles digital løs-
ning.
Det følger af det forslåede nr. 1, at en tidlig varsling skal
angive, om den væsentlige hændelse mistænkes at være for-
årsaget af ulovlige eller ondsindede handlinger eller kunne
have en grænseoverskridende virkning, sendes uden unødigt
ophold og senest inden for 24 timer efter, at enheden har fået
kendskab til den væsentlige hændelse.
Den foreslåede bestemmelse indebærer, at væsentlige og
vigtige teleudbydere indledningsvist vil være forpligtet til
at indgive en tidlig varsling uden unødigt ophold og under
alle omstændigheder inden for 24 timer efter, at de bliver
opmærksomme på en væsentlig hændelse.
I overensstemmelse med NIS 2-direktivets præambelbe-
tragtning nr. 102 vil den tidlige varsling alene skulle
indeholde de oplysninger, der er nødvendige for at gø-
re CSIRT᾽en og den relevante kompetente myndighed op-
mærksom på den væsentlige hændelse og give enheden
mulighed for om nødvendigt at anmode om assistance. En
sådan tidlig varsling bør endvidere, hvis det er relevant,
angive om den væsentlige hændelse mistænkes for at være
forårsaget af ulovlige eller ondsindede handlinger, og om
den sandsynligvis vil have grænseoverskridende virkninger.
Det følger af det foreslåede nr. 2, at en hændelsesunderret-
ning skal ajourføre oplysningerne fra den tidlige varsling,
jf. nr. 1, og give en indledende vurdering af den væsentli-
ge hændelse, herunder dens alvor og indvirkning samt kom-
promitteringsindikatorerne, hvor sådanne foreligger, sendes
uden unødigt ophold og senest inden for 72 timer efter, at
enheden har fået kendskab til den væsentlige hændelse.
Den tidlige varsling efter det foreslåede nr. 1 vil således
skulle efterfølges af en hændelsesunderretning, som bl.a.
skal ajourføre oplysningerne fra den tidlige varsling. Denne
hændelsesunderretning skal sendes uden unødigt ophold og
senest inden for 72 timer efter, at en enhed har fået kendskab
til den væsentlige hændelse.
Det følger af den foreslåede nr. 3, at en foreløbig rapport
med relevante statusoplysninger sendes efter anmodning fra
CSIRT’en.
Den foreslåede bestemmelse indebærer, at CSIRT’en på
baggrund af hændelsesunderretningen kan anmode om den
underrettende enhed om en foreløbig rapport med relevante
statusopdateringer. Indholdet i den foreløbige rapport vil
afhænge af hændelsens nærmere omstændigheder.
Den berørte teleudbyder vil skulle sende en endelig rapport
senest en måned efter forelæggelsen af hændelsesunderret-
ningen efter den foreslåede § 9, stk. 1, nr. 2. I tilfælde
af at hændelsen fortsat er igangværende på tidspunktet for
indgivelsen af den endelige rapport, skal den berørte enhed
forelægge en statusrapport for CSIRT’en og den relevante
kompetente myndighed. Den endelige rapport vil i så fald
skulle indgives senest en måned efter, at enheden har hånd-
teret den væsentlige hændelse.
Det følger af det foreslåede nr. 4, at en endelig rapport
sendes senest én måned efter fremsendelsen af den hændel-
sesunderretning, der er omhandlet i nr. 2.
Den foreslåede bestemmelse vil medføre, at en endelig rap-
port skal sendes til CSIRT’en senest én måned efter frem-
sendelsen af hændelsesunderretningen efter det foreslåede
nr. 2.
Rapporten vil skulle indeholde en a) detaljeret beskrivelse
af hændelsen, herunder dens alvor og indvirkning, b) den ty-
pe trussel eller grundlæggende årsag, der sandsynligvis har
udløst hændelsen, c) anvendte og igangværende afbødende
foranstaltninger, og d) oplysninger om de eventuelle grænse-
overskridende virkninger af hændelsen.
Det følger af det foreslåede nr. 5, at pågår hændelsen fortsat
på tidspunktet for fremsendelsen af den endelige rapport,
skal den underrettende teleudbyder indsende en statusrap-
port på det pågældende tidspunkt og en endelig rapport se-
nest én måned efter, at hændelsen er håndteret.
Den foreslåede bestemmelse vil indebære, at i tilfælde hvor
en hændelse fortsat pågår på tidspunktet, hvor den endeli-
ge rapport efter det foreslåede nr. 4 skal foreligge, vil den
underrettende enhed være forpligtet til at indsende en status-
rapport på tidspunktet. Enheden vil endvidere være forplig-
tet til at sende en endelig rapport senest én måned efter, at
hændelsen er håndteret.
Det følger af det foreslåede stk. 2, 1. pkt., at Styrelsen for
Samfundssikkerhed og CSIRT’en sikrer, at den underretten-
de teleudbyder uden unødigt ophold og senest inden for 24
timer efter modtagelsen af den tidlige varsling, gives et svar,
herunder indledende tilbagemeldinger om den væsentlige
hændelse.
Den foreslåede bestemmelse vil gennemføre NIS 2-direkti-
vets artikel 23, stk. 5, som bl.a. fastsætter, at CSIRT’en
eller den relevante kompetente myndighed uden unødigt
ophold, og hvor det er muligt, inden for 24 timer efter
50
modtagelsen af den i stk. 4, litra a, omhandlede tidlige
varsling giver den underrettende enhed et svar, herunder
indledende tilbagemeldinger om den væsentlige hændelse
og, efter anmodning fra enheden, vejledning eller operativ
rådgivning om gennemførelsen af mulige afbødende foran-
staltninger. CSIRT’en yder supplerende teknisk bistand, hvis
den berørte teleudbyder anmoder herom. Hvor den væsentli-
ge hændelse mistænkes for at være af strafferetlig karakter,
giver CSIRT’en eller Styrelsen for Samfundssikkerhed også
vejledning om underretning om den væsentlige hændelse til
retshåndhævende myndigheder.
Den foreslåede bestemmelse svarer med enkelte sproglige
tilpasninger uden indholdsmæssig betydning til NIS 2-direk-
tivets artikel 23, stk. 5, og skal forstås og anvendes i over-
ensstemmelse med direktivets forudsætninger.
Den foreslåede bestemmelse indeholder en forpligtelse for
CSIRT’en til at sikre, at der hurtigt gives svar på de tidlige
varslinger, som den modtager fra teleudbydere, og i denne
forbindelse give indledende tilbagemeldinger om den væ-
sentlige hændelse.
Svar og tilbagemeldinger vil kunne gives af CSIRT’en selv
eller Styrelsen for Samfundssikkerhed. Svar og tilbagemel-
dinger vil bl.a. kunne bestå i, at der gives vejledning om
mulige afværgeforanstaltninger, om anden relevant viden,
som CSIRT’en eller Styrelsen for Samfundssikkerhed er i
besiddelse af, eller om anmeldelse til politiet, såfremt den
væsentlige hændelse mistænkes for at udgøre en strafbar
handling. Derimod er det ikke hensigten, at CSIRT’en eller
Styrelsen for Samfundssikkerhed, som afgiver svaret, skal
tilvejebringe oplysninger fra tredjemand.
Det følger af det foreslåede stk. 2, 2. pkt., at efter anmodning
fra teleudbyderen skal CSIRT’en desuden yde vejledning,
operativ rådgivning om gennemførelsen af mulige afbøden-
de foranstaltninger og supplerende teknisk bistand.
Den foreslåede bestemmelse svarer med enkelte sproglige
tilpasninger uden indholdsmæssig betydning til NIS 2-direk-
tivets artikel 23, stk. 5, og skal forstås og anvendes i over-
ensstemmelse med direktivets forudsætninger.
Det bemærkes i den forbindelse, at hvis en hændelse efter-
forskes som et strafbart forhold, vil der skulle tages højde
for, at de opfølgende oplysninger ikke må vanskeliggøre
eller forhindre efterforskningen.
Til § 10
Det følger af den foreslåede bestemmelse i stk. 1, at teleud-
bydere kan underrette Styrelsen for Samfundssikkerhed og
CSIRT’en om hændelser, nærvedhændelser og cybertrusler.
Bestemmelsen vil gennemføre artikel 30, stk. 1, i NIS 2-di-
rektivet, som fastsætter en forpligtelse for medlemsstaterne
til at sikre, at der ud over underretningsforpligtelsen i artikel
23 kan indgives underretninger til CSIRT’en eller i givet
fald de kompetente myndigheder på frivillig basis af: a)
væsentlige og vigtige enheder for så vidt angår hændelser,
cybertrusler og nærvedhændelser og 2) enheder, udover dem
der er omhandlet i litra a), uanset om de er omfattet af dette
direktivs anvendelsesområde, for så vidt angår væsentlige
hændelser, cybertrusler og nærvedhændelser.
Den foreslåede bestemmelse svarer indholdsmæssigt til be-
stemmelsen i NIS 2-direktivets artikel 30, stk. 1, og skal
forstås og anvendes i overensstemmelse med direktivets for-
udsætninger.
Den foreslåede bestemmelse indebærer, at alle teleudby-
dere kan underrette Styrelsen for Samfundssikkerhed og
CSIRT’en om hændelser, nærvedhændelser og cybertrusler.
Det følger af den foreslåede stk. 2, at Styrelsen for Sam-
fundssikkerhed og CSIRT’en behandler underretninger ef-
ter stk. 1 på samme måde som underretninger modtaget
i medfør af § 8. CSIRT’en kan prioritere håndteringen af
underretninger, der er modtaget i medfør af § 8 frem for
underretninger efter det foreslåede stk. 1.
Bestemmelsen vil gennemføre artikel 30, stk. 2, i NIS 2-di-
rektivet. Det følger af NIS 2-direktivets artikel 30, stk. 2, at
medlemsstaterne behandler de i artiklens stk. 1 omhandlede
underretninger i overensstemmelse med proceduren, der er
fastsat i artikel 23. Medlemsstaterne kan prioritere behand-
ling af obligatoriske underretninger frem for frivillige un-
derretninger. Hvor det er nødvendigt, giver CSIRT᾽erne og i
givet fald de kompetente myndigheder det centrale kontakt-
punkt de oplysninger om underretninger, de har modtaget
i medfør af denne artikel, samtidig med at de sikrer fortro-
ligheden og passende beskyttelse af de oplysninger, der er
afgivet af den underrettende enhed. Uden at det berører
forebyggelse, efterforskning, afsløring og retsforfølgning af
strafbare handlinger, må frivillig rapportering ikke medføre,
at den underrettende enhed pålægges nogen yderligere for-
pligtelser, som den ikke ville være omfattet af, hvis den ikke
havde foretaget underretningen.
Den foreslåede bestemmelse svarer med sproglige tilpasnin-
ger uden indholdsmæssig betydning til bestemmelsen i NIS
2-direktivets artikel 30, stk. 2, og skal forstås og anvendes i
overensstemmelse med direktivets forudsætninger.
Den foreslåede bestemmelse indebærer, at CSIRT’en og Sty-
relsen for Samfundssikkerhed vil skulle behandle frivillige
underretninger, der er indgivet i medfør af den foreslåede
bestemmelse i § 10, stk. 1, efter procedurebestemmelsen i
den foreslåede § 9. De forpligtelser for myndigheder, der
er angivet i § 9 og bemærkningerne hertil, vil således også
gælde for underretninger, der indgives i medfør af den fore-
slåede bestemmelse i § 10, stk. 1.
Det bemærkes, at den foreslåede bestemmelse ikke indebæ-
rer, at teleudbyderen er forpligtet til at følge proceduren
efter den foreslåede bestemmelse i § 9, når der indgives
underretning efter den foreslåede § 10, stk. 1.
Den foreslåede bestemmelse indebærer desuden, at
51
CSIRT’en kan prioritere at håndtere de underretninger, der
er modtaget i medfør af § 8, før CSIRT’en og Styrelsen
for Samfundssikkerhed behandler de underretninger, der er
modtaget i medfør af § 10, stk. 1.
I stk. 3 foreslås det, at teleudbydere, uanset om de er omfat-
tet af lovens anvendelsesområde, kan give frivillig underret-
ning til Styrelsen for Samfundssikkerhed og CSIRT’en efter
stk. 1.
Efter den foreslåede bestemmelse i § 10, stk. 3, kan alle te-
leudbydere underrette CSIRT’en om hændelser, der negativt
påvirker eller vurderes at kunne påvirke tilgængeligheden,
integriteten eller fortroligheden af data, informationssyste-
mer, digitale netværk eller digitale servicer.
Den foreslåede bestemmelse indebærer, at enheder, der el-
lers ikke ville være omfattet af lovens anvendelsesområde,
har mulighed for at give frivillig underretning til CSIRT’en
om hændelser.
Den foreslåede bestemmelse vil delvist gennemføre NIS 2-
direktivets artikel 29, stk. 2.
Til § 11
Det følger af det foreslåede stk. 1, at er det sandsynligt,
at en væsentlige hændelse, jf. § 8, stk. 3, vil påvirke teleud-
byderens levering af deres tjenester til modtagerne heraf
negativt, underretter teleudbyderen i relevant omfang mod-
tagerne herom uden unødigt ophold.
Bestemmelsen vil gennemføre artikel 23, stk. 1, 2. pkt.,
i NIS 2-direktivet, som fastsætter en forpligtelse for med-
lemsstaterne til at sikre, at væsentlige og vigtige enheder i
relevant omfang underretter modtagerne af deres tjenester
om væsentlige hændelser, der sandsynligvis vil påvirke leve-
ringen af disse tjenester negativt.
Den foreslåede bestemmelse svarer indholdsmæssigt til be-
stemmelsen i NIS 2-direktivets artikel 23, stk. 1, 2. pkt.,
og skal forstås og anvendes i overensstemmelse med direk-
tivets forudsætninger, dog med den ændring, at kravet om
underretning ikke alene gælder for væsentlige og vigtige
teleudbydere, men for samtlige teleudbydere, der er omfattet
af nærværende lov.
Dette skal navnlig ses i lyset af, at den gældende lov om
sikkerhed i net og tjenester finder anvendelse for samtlige
teleudbydere. Henset til det aktuelle trusselsbillede, vurderer
Ministeriet for Samfundssikkerhed og Beredskab, at det nu-
værende sikkerhedsniveau bør opretholdes.
Den foreslåede bestemmelse indebærer en forpligtelse for
teleudbydere til at underrette modtagerne af deres tjenester
om en væsentlig hændelse. Underretning af modtagerne vil
alene skulle ske i relevant omfang. Det indebærer, at teleud-
byderne vil kunne undlade at foretage underretning af mod-
tagerne ud fra en konkret vurdering af, at underretningen
ikke vil være i modtagernes interesse.
Om en hændelse er at anse for væsentlig vurderes ud fra den
foreslåede bestemmelse i § 8, stk. 2, og ud fra regler, der
måtte være udstedt i en given sektor i medfør af § 8, stk. 4.
Der stilles ingen formkrav til underretningen, og de pågæl-
dende teleudbydere vil derfor have metodefrihed i forhold
til, hvordan underretningen af modtagerne vil skulle ske,
idet det dog forudsættes, at underretningen skal være umid-
delbart tilgængelig for de relevante modtagere og kommuni-
keres på et letforståeligt sprog.
Det følger af det foreslåede stk. 2, 1. pkt., at teleudbyde-
re oplyser uden unødigt ophold modtagerne af deres tjene-
ster, som potentielt er berørt af en væsentlig cybertrussel,
om eventuelle foranstaltninger eller modforholdsregler, som
modtagerne kan træffe som reaktion på den pågældende
trussel. Hvor det er relevant, skal udbyderne også informere
de pågældende modtagere om selve den væsentlige cyber-
trussel.
Bestemmelsen vil gennemføre NIS 2-direktivets artikel 23,
stk. 2, der fastsætter en forpligtelse for medlemsstaterne til
at sikre, at væsentlige og vigtige enheder i givet fald uden
unødigt ophold meddeler modtagerne af deres tjenester,
som potentielt kan være berørt af en væsentlig cybertrussel,
eventuelle foranstaltninger eller modforholdsregler, som dis-
se modtagere kan træffe som reaktion på den pågældende
trussel. Hvor det er relevant, skal enhederne også informere
de pågældende modtagere om selve den væsentlige trussel.
Den foreslåede bestemmelse svarer indholdsmæssigt til be-
stemmelsen i NIS 2-direktivets artikel 23, stk. 2, og skal for-
stås og anvendes i overensstemmelse med direktivets forud-
sætninger, dog med den ændring, at kravet om underretning
ikke alene gælder for væsentlige og vigtige teleudbydere,
men for samtlige teleudbydere, der er omfattet af nærværen-
de lov.
Dette skal navnlig ses i lyset af, at den gældende lov om sik-
kerhed i net og informationer finder anvendelse for samtlige
teleudbydere. Henset til det aktuelle trusselsbillede, vurderer
Ministeriet for Samfundssikkerhed og Beredskab, at det nu-
værende sikkerhedsniveau bør opretholdes.
Den foreslåede bestemmelse indebærer i overensstemmelse
med NIS 2-direktivets præambelbetragtning nr. 103, bl.a.
at væsentlige og vigtige enheder uden unødigt ophold vil
skulle underrette modtagerne af deres tjenester om enhver
foranstaltning eller modforholdsregel, som modtagerne kan
træffe for at afbøde risici fra en væsentlig hændelse.
Det foreslås med stk. 2, 2. pkt., at hvor det er relevant, skal
udbyderne også informere de pågældende modtagere om
selve den væsentlige cybertrussel.
Bestemmelsen vil gennemføre NIS 2-direktivets artikel 23,
stk. 2.
Den foreslåede bestemmelse indebærer i overensstemmelse
med NIS 2-direktivets præambelbetragtning nr. 103, at te-
52
leudbydere, hvor det er hensigtsmæssigt, vil skulle informe-
re deres tjenestemodtagere om selve den væsentlige cyber-
trussel. Kravet om at informere modtagerne bør opfyldes
efter bedste evne, men vil ikke fritage teleudbyderne for
forpligtelsen til at træffe passende og øjeblikkelige foran-
staltninger til at forebygge eller afhjælpe enhver hændelse
og genoprette tjenestens normale sikkerhedsniveau.
I overensstemmelse med præambelbetragtning nr. 103 inde-
bærer bestemmelsen endvidere, at oplysninger om væsentli-
ge cybertrusler skal stilles gratis til rådighed for modtagerne
i et let forståeligt sprog
Der stilles i øvrigt ingen formkrav til oplysningen, og de
pågældende teleudbyderne vil derfor have metodefrihed i
forhold til, hvordan underretningen af modtagerne vil skulle
ske.
Til § 12
Det foreslås i stk. 1, at Styrelsen for Samfundssikkerhed
efter høring af en teleudbyder, der er ramt af en væsentlig
hændelse, jf. § 8, stk. 3, kan informere offentligheden om
den væsentlige hændelse, hvis offentliggørelsen er nødven-
dig for at forebygge eller håndtere hændelsen, eller hvis of-
fentliggørelse af hændelsen på anden vis er i offentlighedens
interesse.
Bestemmelsen vil delvist gennemføre artikel 23, stk. 7, i
NIS 2-direktivet.
Det fremgår af NIS 2-direktivets artikel 23, stk. 7, at hvor
offentlighedens kendskab er nødvendig for at forebygge
en væsentlig hændelse eller for at håndtere en igangværen-
de hændelse, eller hvor offentliggørelse af den væsentlige
hændelse på anden vis er i offentlighedens interesse, kan
en medlemsstats CSIRT eller i givet fald dens kompetente
myndighed, og hvor det er relevant CSIRT’erne eller de
kompetente myndigheder i andre berørte medlemsstater ef-
ter høring af den berørte enhed informere offentligheden om
den væsentlige hændelse eller kræve, at enheden gør det.
Den foreslåede bestemmelse svarer – med visse sproglige
tilpasninger uden indholdsmæssig betydning – til NIS 2-di-
rektivets artikel 23, stk. 7, og skal forstås og anvendes i
overensstemmelse med direktivets forudsætninger, dog såle-
des, at bestemmelsen ikke alene gælder for væsentlige og
vigtige teleudbydere, men for samtlige teleudbydere, der er
omfattet af nærværende lov.
Dette skal navnlig ses i lyset af, at den gældende lov om sik-
kerhed i net og informationer finder anvendelse for samtlige
teleudbydere. Henset til det aktuelle trusselsbillede, vurderer
Ministeriet for Samfundssikkerhed og Beredskab, at det nu-
værende sikkerhedsniveau bør opretholdes.
Den foreslåede bestemmelse indebærer, at Styrelsen for
Samfundssikkerhed kan informere offentligheden om en væ-
sentlig hændelse, hvis offentliggørelsen er nødvendig for
at forebygge eller håndtere hændelsen, eller hvor offentlig-
gørelsen af hændelsen på anden vis er i offentlighedens
interesse.
Styrelsen for Samfundssikkerhed vil i medfør af bestemmel-
sen skulle høre den berørte teleudbyder, før der sker offent-
liggørelse af hændelsen.
Formålet med høringen vil være at sikre, at Styrelsen for
Samfundssikkerhed kan træffe afgørelse om offentliggørelse
på et oplyst grundlag, herunder foretage en afvejning af hen-
synet til den konkrete enhed over for hensynet til orientering
af offentligheden.
Det vil være op til Styrelsen for Samfundssikkerhed at ta-
ge stilling til formen for orienteringen. Orientering af of-
fentligheden kan således ske på den måde, som Styrelsen
for Samfundssikkerhed finder bedst egnet under hensyn til
den berørte enhed, hændelsens karakter, den geografiske
udstrækning, den forventede betydning for bestemte dele af
offentligheden mv.
Det vil i den forbindelse skulle sikres, at offentligheden
informeres på en ansvarlig måde, som ikke kompromitterer
fortrolige oplysninger. Det bemærkes, at den kompetente
myndighed vil skulle sikre, at de hensyn til fortrolighed,
der fremgår af i forvaltningslovens § 27 om offentligt ansat-
tes tavshedspligt, iagttages. Dette omfatter bl.a. hensynet til
enkeltpersoners private forhold, forretningshemmeligheder
samt hensynet til forebyggelse, efterforskning og forfølg-
ning af lovovertrædelser.
Det foreslås, at det som udgangspunkt er Styrelsen for Sam-
fundssikkerhed, og ikke CSIRT’en, der foretager offentlig-
gørelsen af en væsentlig hændelse, jf. dog det foreslåede stk.
3, idet Styrelsen for Samfundssikkerhed vil være nærmest til
at foretage afvejningen af teleudbyderens eventuelle interes-
se i, at der ikke sker offentliggørelse, over for hensynet til
offentligheden.
Det følger af den foreslåede bestemmelse i stk. 2, at Styrel-
sen for Samfundssikkerhed i de situationer, der er nævnt i
stk. 1, kan træffe afgørelse om, at den relevante teleudbyder
informerer offentligheden om en væsentlig hændelse og be-
stemme, hvordan denne information skal gives.
Bestemmelsen vil delvist gennemføre NIS 2-direktivets arti-
kel 23, stk. 7.
Det fremgår af NIS 2-direktivets artikel 23, stk. 7, at hvor
offentlighedens kendskab er nødvendig for at forebygge
en væsentlig hændelse eller for at håndtere en igangværen-
de hændelse, eller hvor offentliggørelse af den væsentlige
hændelse på anden vis er i offentlighedens interesse, kan
en medlemsstats CSIRT eller i givet fald dens kompetente
myndighed, og hvor det er relevant CSIRT’erne eller de
kompetente myndigheder i andre berørte medlemsstater ef-
ter høring af den berørte enhed informere offentligheden om
den væsentlige hændelse eller kræve, at enheden gør det.
Den foreslåede bestemmelse svarer med sproglige tilpasnin-
53
ger uden indholdsmæssig betydning til NIS 2-direktivets
artikel 23, stk. 7, og skal forstås og anvendes i overens-
stemmelse med direktivets forudsætninger, dog med den æn-
dring, at bestemmelsen ikke alene gælder for væsentlige og
vigtige teleudbydere, men for samtlige teleudbydere, der er
omfattet af nærværende lov.
Dette skal navnlig ses i lyset af, at den gældende lov om
sikkerhed i net og tjenester finder anvendelse for samtlige
teleudbydere. Henset til det aktuelle trusselsbillede, vurderer
Ministeriet for Samfundssikkerhed og Beredskab, at det nu-
værende sikkerhedsniveau bør opretholdes.
Styrelsen for Samfundssikkerhed vil skulle foretage høring
af den berørte teleudbyder, før der træffes afgørelse om, at
teleudbyderen skal offentliggøre hændelsen, i overensstem-
melse med proceduren beskrevet i bemærkningerne til det
foreslåede stk. 1. I forbindelse med en afgørelse om offent-
liggørelse vil den kompetente myndighed endvidere skulle
varetage de fortrolighedshensyn, der ligeledes er beskrevet i
bemærkningerne til det foreslåede stk. 1.
Det følger af det foreslåede stk. 3, at CSIRT’en efter samme
kriterier som i stk. 1, kan informere offentligheden om væ-
sentlige hændelser, der kan påvirke mere end én sektor.
Bestemmelsen vil delvist gennemføre NIS 2-direktivets arti-
kel 23, stk. 7.
Det fremgår af NIS 2-direktivets artikel 23, stk. 7, at hvor
offentlighedens kendskab er nødvendig for at forebygge
en væsentlig hændelse eller for at håndtere en igangværen-
de hændelse, eller hvor offentliggørelse af den væsentlige
hændelse på anden vis er i offentlighedens interesse, kan
en medlemsstats CSIRT eller i givet fald dens kompetente
myndighed, og hvor det er relevant CSIRT’erne eller de
kompetente myndigheder i andre berørte medlemsstater ef-
ter høring af den berørte enhed informere offentligheden om
den væsentlige hændelse eller kræve, at enheden gør det.
Den foreslåede bestemmelse svarer med sproglige tilpasnin-
ger uden indholdsmæssig betydning til NIS 2-direktivets
artikel 23, stk. 7, og skal forstås og anvendes i overensstem-
melse med direktivets forudsætninger.
Bestemmelsen indebærer, at det vil være CSIRT’en, der
informerer offentligheden om væsentlige hændelser, når
disse kan påvirke flere sektorer, idet det typisk vil være
CSIRT’en, der har viden om, at en hændelse rammer flere
sektorer eller har potentialet til at ramme flere sektorer.
CSIRT’en vil skulle foretage høring af den berørte teleudby-
der, før der træffes afgørelse om, at teleudbyderen skal of-
fentliggøre hændelsen, i overensstemmelse med proceduren
beskrevet i bemærkningerne til det foreslåede stk. 1. I for-
bindelse med en afgørelse om offentliggørelse vil CSIRT’en
endvidere skulle varetage de fortrolighedshensyn, og for-
valtningslovens regler om tavshedspligt der ligeledes er
beskrevet i bemærkningerne til det foreslåede stk. 1. Det
forudsættes, at høringen vil ske inden for rammerne af for-
valtningslovens regler om tavshedspligt og partshøring.
Herudover forudsættes det, at der sker en tæt koordination
mellem CSIRT’en og Styrelsen for Samfundssikkerhed for-
ud for eventuel offentliggørelse af en væsentlig hændelse.
Det følger af det foreslåede stk. 4, at CSIRT’en efter samme
kriterier som i stk. 1, kan informere offentligheden om væ-
sentlige hændelser i andre medlemsstater.
Bestemmelsen vil delvist gennemføre NIS 2-direktivets arti-
kel 23, stk. 7.
Det fremgår af NIS 2-direktivets artikel 23, stk. 7, at hvor
offentlighedens kendskab er nødvendig for at forebygge
en væsentlig hændelse eller for at håndtere en igangværen-
de hændelse, eller hvor offentliggørelse af den væsentlige
hændelse på anden vis er i offentlighedens interesse, kan
en medlemsstats CSIRT eller i givet fald dens kompetente
myndighed, og hvor det er relevant CSIRT’erne eller de
kompetente myndigheder i andre berørte medlemsstater, ef-
ter høring af den berørte enhed informere offentligheden om
den væsentlige hændelse eller kræve, at enheden gør det.
Den foreslåede bestemmelse svarer med sproglige tilpasnin-
ger uden indholdsmæssig betydning til NIS 2-direktivets
artikel 23, stk. 7, og skal forstås og anvendes i overensstem-
melse med direktivets forudsætninger.
Den foreslåede bestemmelse indebærer, at CSIRT’en efter
høring af en enhed i en anden medlemsstat, hvor teleud-
byderen er ramt af en væsentlig hændelse, kan informere
offentligheden i Danmark om den væsentlige hændelse.
Det er et krav, at offentliggørelsen er nødvendig for at fore-
bygge eller håndtere en lignende hændelse i Danmark, eller
at offentliggørelsen på anden vis er i den danske offentlig-
heds interesse. En sådan situation vil eksempelvis foreligge,
hvis CSIRT’en vurderer, at den konkrete væsentlige hændel-
se kan have grænseoverskridende virkning, og at det derfor
er nødvendigt at orientere offentligheden, således at der i
Danmark kan træffes de fornødne forebyggende foranstalt-
ninger eller modforholdsregler.
Før der træffes afgørelse om, at teleudbyderen skal offent-
liggøre hændelsen, vil CSIRT’en skulle foretage høring af
den berørte teleudbyder i overensstemmelse med proceduren
beskrevet i bemærkningerne til det foreslåedes stk. 1. Det
forudsættes dog, at høringen af teleudbyderen vil ske via det
centrale kontaktpunkt i den pågældende medlemsstat. I for-
bindelse med en afgørelse om offentliggørelse vil CSIRT’en
endvidere skulle varetage de fortrolighedshensyn og forvalt-
ningslovens regler om tavshedspligt, der er beskrevet i be-
mærkningerne til det foreslåede stk. 1.
Til § 13
Det følger af § 5, stk. 3, i lov om sikkerhed i net og tje-
nester, at Styrelsen for Samfundssikkerhed koordinerer og
54
prioriterer beredskabsaktørernes behov for samfundsvigtig
elektronisk kommunikation i beredskabssituationer og i an-
dre ekstraordinære situationer. Der følger af bestemmelsens
2. pkt. at Styrelsen for Samfundssikkerhed kan fastsætte
regler om, at erhvervsmæssige udbydere skal sikre, at de
foretagne prioriteringer gennemføres i net og tjenester.
Bemyndigelsen i § 5, stk. 3, er udmøntet i bekendtgørelse nr.
261 af 22. februar 2021 om beredskabsaktørers adgang til
elektronisk kommunikation i beredskabssituationer mv.
Bestemmelsen i § 5, stk. 3, gennemfører i øvrigt delvist
artikel 108 i EU’s telekodeks. Artikel 108 berøres ikke af
NIS 2-direktivet.
Ordningen er en del af den samlede beredskabsplanlægning
inden for den civile sektor. Det følger således af § 24, stk.
1, i beredskabsloven, jf. lovbekendtgørelse nr. 314 af 3. april
2017 med senere ændringer, at hver enkelt minister inden
for sit område skal planlægge for opretholdelse og viderefø-
relse af samfundets funktioner i tilfælde af større ulykker og
katastrofer, herunder udarbejde beredskabsplaner.
Bestemmelsens anvendelsesområde omfatter beredskabssi-
tuationer samt andre ekstraordinære situationer. Dette om-
fatter såvel situationer med krigshandlinger som situationer,
hvor det som følge af en større ulykke, katastrofe eller
anden ekstraordinær hændelse eller krise er nødvendigt at
indføre særlige foranstaltninger vedrørende net og tjenester
med henblik på at opretholde samfundets funktioner. Be-
stemmelsens anvendelsesområde omfatter således både na-
turskabte og menneskeskabte ulykker og katastrofer, herun-
der eksempelvis orkan- og stormflodssituationer og alvorli-
ge cyberangreb.
Det foreslås i stk. 1, at Styrelsen for Samfundssikkerhed
koordinerer og prioriterer beredskabsaktørernes behov for
samfundsvigtig elektronisk kommunikation i beredskabssi-
tuationer og i andre ekstraordinære situationer.
Ministeriet for Samfundssikkerhed og Beredskab finder det
således henset til vurderingen af det aktuelle trusselsniveau
mod telesektoren væsentligt at opretholde det nuværende
sikkerhedsniveau for sektoren. Der er med videreførelsen af
bestemmelsen ikke tilsigtet materielle ændringer af bestem-
melsens indhold.
Den foreslåede bestemmelse vedrører koordinering og prio-
ritering af de forskellige beredskabsaktørers behov for elek-
tronisk kommunikation i beredskabssituationer og i andre
ekstraordinære situationer. En sådan koordinering og priori-
tering vil ofte være nødvendigt i beredskabssituationer og i
andre ekstraordinære situationer, hvor der kan opstå kapaci-
tetsproblemer eller beskadigelse af teleinfrastrukturen.
Ved beredskabsaktører forstås myndigheder, virksomheder
og institutioner som skal bidrage til opretholdelse af sam-
fundets funktioner i en beredskabssituation eller i en anden
ekstraordinær situation.
Bestemmelsen indebærer, at Styrelsen for Samfundssikker-
hed fortsat varetager den overordnede krisestyring i forhold
til telesektoren. Styrelsen for Samfundssikkerhed skal i den
forbindelse i beredskabssituationer eller i andre ekstraordi-
nære situationer være bindeled mellem beredskabsaktører
samt vigtige og væsentlige teleudbydere og søge at tilgode-
se eller prioritere mellem beredskabsaktørernes behov for
elektronisk kommunikation. Styrelsen for Samfundssikker-
hed skal i den forbindelse koordinere teleberedskabet med
beredskabsindsatsen i de øvrige samfundssektorer.
Det foreslås med stk. 2, at væsentlige og vigtige teleudbyde-
re skal sikre, at de foretagne prioriteringer gennemføres i net
og tjenester.
Bestemmelsen viderefører § 5, stk. 3, 2. pkt. i lov om sikker
i net og tjenester.
Det foreslås i stk. 3, 1. pkt., at væsentlige og vigtige teleud-
bydere skal underrette Styrelsen for Samfundssikkerhed i
tilfælde, hvor udbyderen aktiverer sit beredskab, eller hvor
udbyderen bliver bekendt med en hændelse, som vurderes at
kunne føre til en beredskabssituation eller en anden ekstra-
ordinær situation for teleudbyderen selv eller for en anden
udbyder.
Den foreslåede bestemmelse viderefører delvist indholdet af
§ 5, stk. 2, i lov om sikkerhed i net og tjenester.
Det foreslås i stk. 3, 2. pkt., at ministeren for samfundssik-
kerhed og beredskab kan fastsætte nærmere regler om un-
derretningspligten efter 1. pkt.
Den foreslåede bestemmelse viderefører delvist indholdet af
§ 5, stk. 2, i lov om sikkerhed i net og tjenester.
De regler, som Styrelsen for Samfundssikkerhed med hjem-
mel i bestemmelsen kan fastsætte nærmere regler om omfat-
ter regler om underretningspligten efter 1. pkt., herunder
regler om hvorledes underretnings skal foretages.
Det foreslås i stk. 4, 1. pkt.at teleudbydere, som i medfør
af lov om elektroniske kommunikationsnet og -tjenester skal
udsende offentlige advarsler om overhængende eller truende
alvorlige nødsituationer og katastrofer, skal træffe alle nød-
vendige foranstaltninger til at sikre uafbrudt transmission af
advarslerne.
Den foreslåede bestemmelse viderefører § 5 a i lov om
sikkerhed i net og tjenester.
Det foreslås i stk. 4, 2. pkt., at ministeren for samfundssik-
kerhed og beredskab kan fastsætte nærmere regler om foran-
staltninger efter 1. pkt.
Den foreslåede bestemmelse viderefører § 5 a i lov om sik-
kerhed i net og tjenester, jf. lovbekendtgørelse nr. 153 af 1.
februar 2021, som ændret ved § 18 i lov nr. 1156 af 8. juni
2021. Bemyndigelsen til at fastsætte regler er ikke udmøntet
i dag.
55
Der vil med hjemmel i den foreslåede bestemmelse kunne
fastsættes regler om, at udbydere, som i medfør af teleloven
skal udsende offentlige advarsler om overhængende eller
truende alvorlige nødsituationer og katastrofer, skal træffe
alle nødvendige foranstaltninger til at sikre uafbrudt trans-
mission af advarslerne.
Den foreslåede bestemmelse gennemfører den del af artikel
108, 2. pkt., i EU’s telekodeks, hvorefter medlemsstaterne
sikrer, at udbydere af talekommunikationstjenester træffer
alle nødvendige foranstaltninger til at sikre uafbrudt trans-
mission af offentlige advarsler. Artikel 108, 2 pkt. berøres
ikke af NIS 2-direktivet.
Den pågældende del af bestemmelsen i artikel 108, 2. pkt.,
i EU’s telekodeks skal ses i sammenhæng med artikel 110,
der pålægger medlemsstater, der allerede har etableret of-
fentlige varslingssystemer, at sørge for, at udbydere af mo-
bile nummerbaserede interpersonelle kommunikationstjene-
ster udsender offentlige advarsler til berørte slutbrugere
(mobilbaseret varsling).
Forpligtelsen i artikel 110 er implementeret ved telelovens
§ 62, stk. 1 da forpligtelsen har nær sammenhæng med
eksisterende forpligtelser i teleloven i relation til bl.a. alarm-
og beredskabsforhold. Det mobilbaserede varslingssystem,
der er etableret i medfør af artikel 110 i EU’s telekodeks og
implementeret i dansk ret ved telelovens § 62, blev taget i
brug i foråret 2023.
Forpligtelsen til at udsende offentlige advarsler, der følger af
telelovens § 62, stk. 1, påhviler de såkaldte mobiloperatører,
som omfatter udbydere af elektroniske kommunikationstje-
nester i mobilnet og udbydere af mobilnet.
Den foreslåede bestemmelse har til formål at sikre, at mo-
biloperatørerne træffer alle nødvendige foranstaltninger for
at undgå, at udstyr og systemer, der anvendes i forbindelse
med transmission af offentlige advarsler, afbrydes. Mobil-
operatørerne vil i forlængelse af eksisterende forpligtelser
til at sikre en robust teleinfrastruktur skulle planlægge og
sørge for opretholdelsen af uafbrudt transmission af offentli-
ge advarsler, herunder i relation til udstyr og systemer, der
anvendes til transmission af offentlige advarsler, bl.a. tage
stilling til fremskaffelse af det nødvendige reserveudstyr, og
sikring af redundans og nødstrømsforsyning.
Det foreslås i stk. 5, 1. pkt., at i beredskabssituationer og
i andre ekstraordinære situationer kan Styrelsen for Sam-
fundssikkerhed påbyde væsentlige og vigtige teleudbydere
uden unødigt ophold at iværksætte nærmere angivne sikker-
hedsforanstaltninger.
Den foreslåede bestemmelse viderefører indholdet af § 5,
stk. 4, i lov om sikkerhed i net og tjenester, jf. lovbekendt-
gørelse nr. 153 af 1. februar 2021, som ændret ved § 18 i lov
nr. 1156 af 8. juni 2021.
Ministeriet for Samfundssikkerhed og Beredskab finder det
henset til vurderingen af det aktuelle trusselsniveau mod
telesektoren væsentligt at opretholde det nuværende sikker-
hedsniveau for sektoren. Der er med videreførelsen af be-
stemmelsen ikke tilsigtet materielle ændringer af bestem-
melsens indhold.
Den gældende bestemmelse i § 5, stk. 4, i lov om sikkerhed
i net og tjenester gennemfører i øvrigt delvist artikel 108 i
EU’s telekodeks. Artikel 108 berøres ikke af NIS 2-direkti-
vet.
Ordningen er en del af den samlede beredskabsplanlægning
inden for den civile sektor. Det følger således af § 24, stk.
1, i beredskabsloven, jf. lovbekendtgørelse nr. 314 af 3. april
2017 med senere ændringer, at hver enkelt minister inden
for sit område skal planlægge for opretholdelse og viderefø-
relse af samfundets funktioner i tilfælde af større ulykker og
katastrofer, herunder udarbejde beredskabsplaner.
Bestemmelsens anvendelsesområde omfatter beredskabssi-
tuationer samt andre ekstraordinære situationer. Dette om-
fatter såvel situationer med krigshandlinger som situationer,
hvor det som følge af en større ulykke, katastrofe eller
anden ekstraordinær hændelse eller krise er nødvendigt at
indføre særlige foranstaltninger vedrørende net og tjenester
med henblik på at opretholde samfundets funktioner. Be-
stemmelsens anvendelsesområde omfatter således både na-
turskabte og menneskeskabte ulykker og katastrofer, herun-
der eksempelvis orkan- og stormflodssituationer og alvorli-
ge cyberangreb.
Styrelsen for Samfundssikkerhed vil efter den foreslåede be-
stemmelse kunne påbyde væsentlige og vigtige teleudbydere
at iværksætte akutte sikkerhedsforanstaltninger, forudsat at
der er en hændelse eller trussel, der i betydeligt omfang på-
virker, eller kan påvirke, udbuddet af net og tjenester nega-
tivt. En hændelse, der i betydeligt omfang påvirker udbuddet
af net og informationssystemer, kan eksempelvis være et
alvorligt cyberangreb eller et terrorangreb, som medfører, at
net eller informationssystemer i en periode ikke er tilgænge-
lige for slutbrugerne. Sådanne hændelser kan endvidere væ-
re kraftige vejrfænomener såsom orkaner eller skybrud, der
medfører, at større dele af teleinfrastrukturen beskadiges. En
trussel, der vurderes i betydeligt omfang at kunne påvirke
udbuddet af net eller tjenester, vil eksempelvis være, hvis
der foreligger oplysninger om et nært forestående sabotage-
forsøg eller terrorangreb mod kritiske dele af teleinfrastruk-
turen.
For at anvende bestemmelsen skal der foreligge en bered-
skabssituation eller en anden ekstraordinær situation, eller
en risiko for påvirkning af udbuddet af net og tjenester. Det
bemærkes i den forbindelse, at en hændelse eller trussel, der
i betydeligt omfang påvirker, eller kan påvirke, udbuddet
af net eller informationssystemer negativt, i sig selv kan
udgøre en beredskabssituation.
Det foreslås i stk. 5, 2. pkt., at ministeren for samfundssik-
kerhed og beredskab kan fastsætte regler om de sikkerheds-
foranstaltninger, der er nævnt i 1. pkt.
56
Der vil bl.a. kunne fastsættes regler om, at Styrelsen for
Samfundssikkerhed kan i påbyde væsentlige og vigtige te-
leudbydere at iværksætte akutte sikkerhedsforanstaltninger
såsom indførelse af særlige adgangskontroller til udbyderens
lokaliteter, begrænsning af adgangsveje til og parkeringsre-
striktioner på udbyderens arealer samt eftersyn med udby-
derens arealer og bygninger. Der kan endvidere fastsættes
regler om, at Styrelsen for Samfundssikkerhed kan påbyde
de væsentlige og de vigtige teleudbydere foranstaltninger
ved håndteringen af postforsendelser, f.eks. gennemlysning
af breve og pakker. Desuden kan der fastsættes regler om,
at Styrelsen for Samfundssikkerhed kan påbyde udbyder-
ne at udpege særligt kritiske eller aktuelt truede dele af
deres teleinfrastruktur og sørge for vagtrundering, kontrol
med sikringsforanstaltninger og eventuelt bevogtning af de
pågældende dele af teleinfrastrukturen i samarbejde med
relevante beredskabsaktører. Der kan tillige fastsættes regler
om, at Styrelsen for Samfundssikkerhed kan påbyde de væ-
sentlige og de vigtige teleudbydere at foranstalte akutte sik-
kerhedsforanstaltninger til begrænsning af skadevirkningen
af eksempelvis naturskabte hændelser. Der kan endvidere
fastsættes regler om, at Styrelsen for Samfundssikkerhed
i forhold til cyberangreb eksempelvis kan påbyde logning
eller blokering af IP-adresser, der anvendes som led i et
angreb. Derudover kan der fastsættes regler om, at styrelsen
kan påbyde udbyderne at gennemgå deres beredskabsplaner
med henblik på at kunne iværksatte de forberedte tiltag til
sikring af teleinfrastrukturen.
Det forudsættes, at udbyderne skal foretage de pågældende
foranstaltninger uden omkostninger for staten, hvilket svarer
til, at der heller ikke på andre områder udtrykkeligt er angi-
vet, at de påkrævede foranstaltninger skal foretages uden
omkostninger for staten.
Det foreslås i stk. 6, at i beredskabssituationer og i andre
ekstraordinære situationer skal væsentlige teleudbydere efter
påbud fra Styrelsen for Samfundssikkerhed prioritere retab-
lering af nærmere angivne dele af udbyderens beskadigede
infrastruktur.
Den foreslåede ordning er en videreførelse af § 17 i be-
kendtgørelse nr. 261 om beredskabsaktørers adgang til elek-
tronisk kommunikation i beredskabssituationer mv.
Henset til det aktuelle trusselsbillede finder Ministeriet for
Samfundssikkerhed og Beredskab, at der skal ske en videre-
førelse af den nævnte bestemmelse.
Der forudsættes ikke en ændring af gældende ret, og be-
stemmelsen skal således fortolkes i overensstemmelse med
den gældende fortolkning og praksis på området.
Det foreslås i stk. 7, at i beredskabssituationer og i andre
ekstraordinære situationer, hvor der opstår kapacitetsproble-
mer, skal væsentlige teleudbydere efter påbud fra Styrelsen
for Samfundssikkerhed prioritere fremførsel i net af nærme-
re angivne forbindelser og tjenester, herunder om nødven-
digt afbryde andre forbindelser eller tjenester helt eller del-
vist.
Den foreslåede ordning er en videreførelse af § 18 i be-
kendtgørelse nr. 261 om beredskabsaktørers adgang til elek-
tronisk kommunikation i beredskabssituationer mv.
Henset til det aktuelle trusselsbillede finder Ministeriet for
Samfundssikkerhed og Beredskab, at der skal ske en videre-
førelse af den nævnte bestemmelse.
Der forudsættes ikke en ændring af gældende ret, og be-
stemmelsen skal således fortolkes i overensstemmelse med
den gældende fortolkning og praksis på området.
Til § 14
Det følger af § 7, stk. 1, i lov om sikkerhed i net og tjenester,
at det i regler udstedt i medfør af lovens § 4, kan fastsættes,
at underretninger og afgivelse af oplysninger efter § 4, nr.
1-3, er undtaget fra aktindsigt efter lov om offentlighed i
forvaltningen og partsaktindsigt efter forvaltningsloven.
Der følger endvidere at § 8, stk. 1, i lov om sikkerhed
i net og tjenester, at myndigheder og virksomheder kan
underrette Styrelsen for Samfundssikkerhed om hændelser,
der negativt påvirker eller vurderes at ville kunne påvirke
tilgængelighed, integritet eller fortrolighed af data, informa-
tionssystemer, digitale netværk eller digitale servicer. Sådan-
ne underretninger er efter bestemmelsens stk. 2, undtaget
fra aktindsigt efter lov om offentlighed i forvaltningen og
partsaktindsigt efter forvaltningsloven.
Det foreslås i stk. 1, at underretninger modtaget i medfør af
§ 8, stk. 2 og § 10 er undtaget fra aktindsigt efter lov om
offentlighed i forvaltningen og partsaktindsigt efter forvalt-
ningsloven.
Bestemmelsen viderefører indholdet af § 8, stk. 1 og 2 i lov
om sikkerhed i net og tjenester.
Bemyndigelsen til at fastsætte regler om aktindsigt er i dag
udmøntet i bekendtgørelse nr. 258 af 22. februar 2021 om
oplysnings- og underretningspligter vedrørende sikkerhed i
net og tjenester.
Det følger af den foreslåede § 8, stk. 2, at teleudbydere skal
underrette Styrelsen for Samfundssikkerhed og CSIRT’en
om enhver væsentlig hændelse.
Det følger af den foreslåede § 10, stk. 1, at teleudbydere kan
underrette Styrelsen for Samfundssikkerhed og CSIRT’en
om hændelser, nærvedhændelser og cybertrusler.
Undtagelserne fra aktindsigt skal navnlig ses i lyset af, at
en velfungerende underretningsordning forudsætter, at der
ikke er risiko for, at de ofte særligt kommercielt følsomme
oplysninger, som vil blive modtaget fra teleudbyderne, kan
tilgå teleudbydernes konkurrenter eller potentielle angribere.
57
Undtagelsen skal navnlig ses i lyset af, at underretning af
Styrelsen for Samfundssikkerhed skaber de bedst mulige
forudsætninger for, at styrelsen kan udnytte erfaringer med
cybertrusler og sikkerhedsrisici på tværs af samfundet –
og dermed skabe et samlet overblik over den aktuelle sik-
kerhedstilstand på den danske del af internettet. Underret-
ningerne sætter således Styrelsen for Samfundssikkerhed i
stand til at varsle hurtigere om trusler og styrke grundlaget
for styrelsens rådgivning om risici og passende sikkerheds-
tiltag.
Oplysninger om, at der f.eks. er gennemført et vellykket
hackerangreb, hvor en virksomhed har mistet data, kan
imidlertid i høj grad skade virksomhedens omdømme, og
risikoen for, at oplysningerne via aktindsigt bliver offentligt
tilgængelige, kan i praksis afholde mange virksomheder fra
at underrette Styrelsen for Samfundssikkerhed om et sådant
hackerangreb. Derfor bør også disse særlige underretninger
være undtaget fra aktindsigt.
Undtagelsen fra aktindsigt omfatter ikke teleudbydernes ad-
gang til at gøre sig bekendt med oplysninger, der vedrører
deres egne forhold.
Til § 15
Det foreslås i § 15, at det i regler udstedt i medfør af § 7,
stk. 5 kan fastsættes, at underretninger og afgivelse af oplys-
ninger efter denne bestemmelse er undtaget fra aktindsigt
efter lov om offentlighed i forvaltningen og partsaktindsigt
efter forvaltningsloven.
Det følger af den foreslåede § 7, stk. 5, at ministeren for
samfundssikkerhed og beredskab kan fastsætte nærmere reg-
ler om oplysnings- og underretningspligter for væsentlige-
og vigtige teleudbydere, herunder krav om: 1) afgivelse
af oplysninger om væsentlige dele teleudbyderens net eller
tjenester eller driften heraf, 2) krav om underretning ved
påtænkt indgåelse af aftaler om leverancer, der vedrører
væsentlige dele af udbyderens net eller tjenester eller drif-
ten heraf, og 3) krav om, at teleudbyderen skal indsende
et endeligt aftaleudkast til Styrelsen for Samfundssikkerhed
umiddelbart forud for indgåelse af aftalen, og at aftalen først
kan indgås op til 25 arbejdsdage efter styrelsens modtagelse
af pågældende udkast.
Det foreslås, at der ikke skal være mulighed for aktindsigt
i teleudbyderes afgivelse af oplysninger om væsentlige dele
af teleudbyderens net eller tjenester eller driften heraf.
De oplysninger, som Styrelsen for Samfundssikkerhed som
led i den foreslåede § 7, stk. 5, nr. 1, modtager fra og sender
til teleudbydere vedrørende væsentlige dele af udbyderens
net og tjenester eller varetagelsen af driften heraf, vil ofte
indeholde oplysninger om fejl eller sårbarheder i net eller
tjenester, som kan misbruges af potentielle angribere, hvis
de kommer til uvedkommendes kendskab. Det foreslås der-
for, at oplysningerne i deres helhed undtages fra aktindsigt,
herunder partsaktindsigt efter forvaltningsloven, således at
aktindsigtsanmodninger ikke – som det ellers ville være
tilfældet – behandles efter principperne i offentlighedsloven.
Det forudsættes endvidere, at der i medfør af den foreslåede
bestemmelse kan fastsættes regler om, at der ikke er adgang
til aktindsigt i de udkast til aftaler, som væsentlige og vigti-
ge teleudbydere indsender til Styrelsen for Samfundssikker-
hed i medfør af regler fastsat efter den foreslåede § 7, stk. 5,
nr. 2. Aftalerne vil ofte indeholde en lang række oplysninger
om udbydernes net og tjenester samt aftaleforhold, som dels
er kommercielt fortrolige, dels kan misbruges af potentielle
angribere. Reglerne svarer til den gældende § 7, stk. 1, i lov
om sikkerhed i net og tjenester. Der tilsigtes ikke en ændring
af denne praksis.
Til § 16
Cirkulære nr. 10338 af 17. december 2014 om sikkerhedsbe-
skyttelse af informationer af fælles interesse for landene i
NATO eller EU, andre klassificerede informationer samt in-
formationer af sikkerhedsmæssig beskyttelsesinteresse i øv-
rigt (sikkerhedscirkulæret) indeholder de almindelige regler
for bl.a. sikkerhedsundersøgelser og sikkerhedsgodkendelser
af ansatte i offentlige myndigheder og ansatte i private fir-
maer, der arbejder for en offentlig myndighed.
Lov om sikkerhed i net og tjenester indeholder i lovens
kapitel 4 regler om sikkerhedsgodkendelser af medarbejdere
og repræsentanter for teleudbydere i tilfælde, hvor de pågæl-
dende som led i deres konkrete opgaveløsning for udbyde-
ren skal behandle klassificerede informationer eller andre
informationer, der er særligt beskyttelsesværdige i relation
til sikkerhed i net og tjenester eller beredskab.
Den foreslås i stk. 1, at medarbejdere hos væsentlige og
vigtige teleudbydere og repræsentanter for disse udbydere
skal sikkerhedsgodkendes af Styrelsen for Samfundssikker-
hed, når 1) det er nødvendigt i forhold til den pågældendes
adgang til klassificeret information eller til de funktioner,
som den pågældende skal varetage eller 2) den pågældende
varetager kontakten til Styrelsen for Samfundssikkerhed i
relation til beredskabet i henhold til regler, der er udstedt i
medfør af § 13, stk. 3.
Bestemmelsens viderefører delvist indholdet af den gælden-
de § 6, stk. 1, i lov om sikkerhed i net og tjenester, jf.
lovbekendtgørelse nr. 153 af 1. februar 2021, som ændret
ved § 18 i lov nr. 1156 af 8. juni 2021.
Bestemmelsen indebærer, at personkredsen nævnt i bestem-
melsens stk. 1, skal sikkerhedsgodkendes af Styrelsen for
Samfundssikkerhed.
Afgørelsen baseres på en sikkerhedsundersøgelse foretaget
af Politiets Efterretningstjeneste og træffes ud fra en kon-
kret vurdering af alle foreliggende oplysninger om den på-
gældende person. I overensstemmelse med ordningen efter
sikkerhedscirkulærets § 14 vil der ved afgørelsen om sikker-
58
hedsgodkendelse blive lagt vægt på, om vedkommende har
udvist ubestridt loyalitet og har en sådan adfærd og karakter,
herunder vaner, forbindelser og diskretion, at der ikke kan
være tvivl om den pågældendes pålidelighed i forbindelse
med håndtering af klassificerede informationer eller andre
beskyttelsesværdige informationer. Der kan ved afgørelsen
tilsvarende lægges vægt på oplysninger om en ægtefælles,
samlevers, registreret partners eller samboendes adfærd, ka-
rakter og forhold i øvrigt.
Det foreslås i stk. 2, at ministeren for samfundssikkerhed
og beredskab efter forhandling med justitsministeren kan
fastsætte regler om ansøgninger vedrørende sikkerhedsgod-
kendelser, herunder betingelser for indgivelse af sådanne
ansøgninger samt meddelelse og tilbagekaldelse af sikker-
hedsgodkendelser.
Med den foreslåede bestemmelse vil der således i loven væ-
re en særskilt hjemmel til fastsættelse af regler om sikker-
hedsgodkendelse af medarbejdere hos væsentlige og vigtige
teleudbydere og repræsentanter for disse.
Det forventes, at der fastsættes nærmere regler om ansøg-
ning og afgørelser om sikkerhedsgodkendelser, samt medde-
lelse om og tilbagekaldelse af afgørelser om sikkerhedsgod-
kendelser. Dette omfatter bl.a. administrative krav i forbin-
delse med indgivelse af en ansøgning, krav om afmelding,
hvis en person ikke længere har en funktion, som forudsæt-
ter en sikkerhedsgodkendelse, og bestemmelser om, at afgø-
relsen tilbagekaldes, hvis en person ikke længere opfylder
kravene til godkendelsen.
Til § 17
Det foreslås med § 17, at Styrelsen for Samfundssikkerhed
fører tilsyn med overholdelsen af denne lov og regler, der er
udstedt i medfør af loven.
Der er således ikke forudsat en ændring af tilsynsmyndighe-
den på området for sikkerhed og beredskab i telesektoren.
De nærmere regler om Styrelsen for Samfundssikkerheds
kompetencer og regler for håndhævelse af fastsat i forslagets
§§ 18-25.
Til § 18
Det foreslås i stk. 1, at Styrelsen for Samfundssikkerhed
kan påbyde væsentlige og vigtige teleudbydere at inddrage
nærmere angivne områder af deres virksomhed og nærmere
angivne trusler mod sikkerheden i net og informationssyste-
mer i deres risikostyringsprocesser efter § 5, stk. 1.
Bestemmelsen viderefører indholdet af § 3, stk. 2, i lov om
sikkerhed i net og tjenester.
Ministeriet for Samfundssikkerhed og Beredskab finder det
således henset til vurderingen af det aktuelle trusselsniveau
mod telesektoren væsentligt at opretholde det nuværende
sikkerhedsniveau for sektoren. Der er med videreførelsen af
bestemmelsen ikke tilsigtet materielle ændringer af bestem-
melsens indhold.
Det foreslås derfor med bestemmelsen, at Styrelsen for
Samfundssikkerhed kan påbyde væsentlige og vigtige te-
leudbydere at inddrage nærmere angivne områder af deres
virksomhed og nærmere angivne trusler mod sikkerheden i
net og informationssystemer i deres risikostyringsprocesser
efter § 5, stk. 1.
Der kan efter den foreslåede bestemmelse stilles krav om,
at udbyderne i risikostyringsprocesserne skal tage højde for
bestemte, herunder både konkrete og generelle trusler mod
sikkerheden i net og informationssystemer efter påbud fra
Styrelsen for Samfundssikkerhed. Det kan eksempelvis ske
på baggrund af de trusselsvurderinger, som løbende udar-
bejdes af Styrelsen for Samfundssikkerhed eller Forsvarets
Efterretningstjeneste.
Endvidere kan Styrelsen for Samfundssikkerhed ved påbud
bestemme, at visse områder af en udbyders virksomhed,
der er nærmere specificeret i påbuddet, skal være omfattet
af risikostyringsprocesserne, hvis dette ikke i forvejen er
tilfældet.
Det foreslås i stk. 2, 1. pkt., at er det af væsentlig samfunds-
mæssig betydning kan Styrelsen for Samfundssikkerhed på-
byde væsentlige og vigtige teleudbydere at træffe konkrete
foranstaltninger med henblik på at sikre sikkerheden i net-
og informationssystemer, herunder påbud om, at udstyr, der
skal anvendes i forbindelse med indgreb i meddelelseshem-
meligheden skal opsættes i og drives fra Danmark.
Den foreslåede bestemmelse viderefører indholdet af § 3,
stk. 4, i lov om sikkerhed i net og tjenester.
Ministeriet for Samfundssikkerhed og Beredskab finder det
således henset til vurderingen af det aktuelle trusselsniveau
mod telesektoren væsentligt at opretholde det nuværende
sikkerhedsniveau for sektoren. Der er med videreførelsen af
bestemmelsen ikke tilsigtet materielle ændringer af bestem-
melsens indhold.
Det foreslås derfor med bestemmelsen, at Styrelsen for
Samfundssikkerhed skal kunne påbyde væsentlige og vigti-
ge teleudbydere at træffe andre og konkrete foranstaltninger
end de i stk. 1 nævnte med henblik på at sikre sikkerheden
i net og informationssystemer, hvis sådanne foranstaltninger
er af væsentlig samfundsmæssig betydning.
Foranstaltninger af væsentlig samfundsmæssig betydning
kan i denne sammenhæng eksempelvis være tiltag, der skal
reducere risikoen for, at uvedkommende får adgang til myn-
digheders elektroniske kommunikation. Det kan endvidere
være foranstaltninger, der skal hindre uvedkommendes ad-
gang via net og tjenester til infrastruktur, som er nødven-
dige, for at samfundsvigtige funktioner opretholdes. Dette
kan være funktioner, som er særligt vigtige for samfundets
og demokratiets opretholdelse og sikkerhed samt borgernes
tryghed, herunder funktioner inden for sundhed, energi,
59
transport, forsyning, finans, forskning, medier og kommuni-
kation samt funktioner, som har stor økonomisk betydning
for samfundet.
Styrelsen for Samfundssikkerhed vil desuden med hjemmel
i bestemmelsen kunne påbyde væsentlige teleudbydere og
vigtige erhvervsmæssige teleudbydere at sikre, at udstyr
og systemer, som skal anvendes i forbindelse med indgreb
i meddelelseshemmeligheden – de såkaldte »lawful inter-
ception-funktionaliteter« – skal opsættes i og drives fra
Danmark. Påbudsmuligheden forudsættes imidlertid ikke
benyttet, såfremt en teleudbyder kan godtgøre, at der er et
tilstrækkeligt sikkerhedsniveau på trods af, at lawful inter-
ception-funktionaliteterne opsættes og drives uden for Dan-
mark. »Lawful interception-funktionaliteterne« vil i tilfælde
af utilstrækkelige sikkerhedsforanstaltninger kunne benyttes
af uvedkommende til at overvåge telekunders kommunika-
tion, ligesom uvedkommende vil kunne få kendskab til poli-
tiets igangværende aflytninger. En tilstrækkelig sikkerhed i
forhold til »lawful interception-funktionaliteterne« er derfor
særligt vigtig for samfundets og demokratiets opretholdelse
og sikkerhed samt borgernes tryghed.
Det bemærkes i den forbindelse, at Styrelsen for Sam-
fundssikkerhed alene vil kunne foretage tilsynsbesøg, så-
fremt »lawful interception-funktionaliteten« er placeret i
Danmark. Opsættes udstyr og systemer, som skal anvendes
i forbindelse med indgreb i meddelelseshemmeligheden i
udlandet, vil Styrelsen for Samfundssikkerhed således ikke
have mulighed for at konstatere, om udbyderne i praksis
har gennemført de nødvendige foranstaltninger med henblik
på at sikre et passende sikkerhedsniveau i net og informati-
onssystemer. Det bemærkes desuden, at Styrelsen for Sam-
fundssikkerheds tilsyn alene vil omfatte de systemtekniske
sikkerhedsforanstaltninger, og at styrelsen ikke i forbindelse
med tilsyn vil få adgang til oplysninger om igangværende
eller historiske aflytninger.
Et påbud efter den foreslåede bestemmelses stk. 2, vil i
almindelighed have karakter af erstatningsfri regulering. Det
kan imidlertid ikke udelukkes, at påbud udstedt i medfør
af den foreslåede bestemmelse vil kunne ramme væsentlige
og vigtige teleudbydere så økonomisk intensivt og atypisk
hårdt, at der vil kunne være tale om et ekspropriativt indgreb
mod den pågældende udbyder. Det vil bero på en konkret
vurdering, om der i det enkelte tilfælde foreligger ekspropri-
ation efter grundlovens § 73. Spørgsmålet om adgang til er-
statning efter grundlovens § 73 henhører under domstolene.
De foreslåede bestemmelser indebærer ikke, at der ændres
ved det grundlæggende princip om aftalefrihed. Der kan
således ikke med hjemmel i bestemmelserne ske regulering
af ejerforhold, fastsættes forbud mod at indgå aftale med
bestemte leverandører eller forbud mod ejerskab af bestemte
netværk eller produkter.
Det foreslås i stk. 2, 2. pkt., at ministeren for samfundssik-
kerhed og beredskab kan fastsætte nærmere regler om påbud
om foranstaltninger efter 1. pkt.
Den foreslåede bestemmelse har til formål at bemyndige
ministeren for samfundssikkerhed og beredskab til at fast-
sætte nærmere regler om påbud om foranstaltninger efter
stk. 1. Den nærmere udmøntning af den foreslåede 1. pkt.,
vil således ske i en bekendtgørelse.
Til § 19
Det følger af § 9, stk. 6, i lov om sikkerhed i net og tjenester,
at såfremt det er nødvendigt af hensyn til sikkerheden i
net og tjenester, har Styrelsen for Samfundssikkerhed efter
et skriftligt varsel på mindst 7 arbejdsdage uden retsken-
delse mod behørig legitimation adgang til udbyderes forret-
ningslokaler med henblik på at påse overholdelsen af loven
og regler, der er udstedt i medfør af loven. Styrelsen for
Samfundssikkerhed kan ikke i forbindelse med adgang til
forretningslokaler tilgå kommunikation til, fra eller mellem
udbyderens kunder.
Der følger endvidere af § 9, stk. 7 i lov om sikkerhed i
net og tjenester, at såfremt det er nødvendigt af hensyn til
sikkerheden i net og tjenester, har Styrelsen for Samfunds-
sikkerhed efter et skriftligt varsel på mindst 7 arbejdsdage
uden retskendelse mod behørig legitimation adgang til for-
retningslokaler hos udbyderes samarbejdspartnere, leveran-
dører eller underleverandører med henblik på at påse over-
holdelsen af loven og regler, der er udstedt i medfør af
loven, i relation til outsourcet aktivitet.
Det foreslås i stk. 1, at Styrelsen for Samfundssikkerhed
som led i sit tilsyn ud fra en konkret vurdering af omstæn-
dighederne i hver enkelt sag kan anvende nærmere angivne
tilsynsforanstaltninger over for en væsentlig teleudbyder.
Det foreslås med nr. 1, at Styrelsen for Samfundssikkerhed
uden retskendelse of mod behørig legitimation kan foretage
kontrol hos teleudbydere samt deres samarbejdspartnere, le-
verandører eller underleverandører i relation til outsourcet
aktivitet og eksternt tilsyn, herunder foretage stikprøvekon-
troller.
Den foreslåede bestemmelse vil gennemføre artikel 32, stk.
1 og 2, i NIS 2-direktivet.
Det følger af NIS 2-direktivets artikel 32, stk. 1, at med-
lemsstaterne skal sikre, at de tilsyns- eller håndhævelsesfor-
anstaltninger, der pålægges væsentlige enheder, for så vidt
angår forpligtelserne fastsat i direktivet, er effektive, står i
rimeligt forhold til overtrædelsen og har afskrækkende virk-
ning under hensyntagen til omstændighederne i hver enkelt
sag.
Den foreslåede bestemmelse i stk. 1, nr. 1, vil endvidere
videreføre § 9, stk. 6 og 7 i lov om sikkerhed i net og
tjenester.
Ministeriet for Samfundssikkerhed og Beredskab finder det
således henset til vurderingen af det aktuelle trusselsniveau
mod telesektoren, jf. lovforslagets pkt. 1 ovenfor, væsent-
ligt at opretholde det nuværende sikkerhedsniveau for sekto-
60
ren. Der er med videreførelsen af bestemmelsen ikke tilsig-
tet materielle ændringer af bestemmelsens indhold.
For effektivt at kunne konstatere, om væsentlige teleudby-
dere i praksis har gennemført de nødvendige foranstaltnin-
ger til at sikre deres net- og informationssystemer, er det
nødvendigt, at Styrelsen for Samfundssikkerhed som led i
et tilsyn har adgang til forretningslokaler hos væsentlige
teleudbydere. Det foreslås derfor, at der skal være adgang
til kontrol på stedet uden retskendelse og mod behørig legi-
timation.
Den foreslåede bestemmelse vil betyde, at Styrelsen for
Samfundssikkerhed som led i et tilsyn kan foretage kontrol
på stedet til enhver tid. Det forudsættes dog almindeligvis,
at Styrelsen for Samfundssikkerhed forinden et kontrolbesøg
vil varsle den væsentlige enhed herom.
Det bemærkes, at Styrelsen for Samfundssikkerhed ikke i
forbindelse med adgang til forretningslokaler efter stk. 1,
kan tilgå kommunikation til, fra eller mellem udbyderens
kunder.
Styrelsen for Samfundssikkerhed vil ikke i forbindelse med
tilsynsbesøgene kunne få adgang til elektronisk kommunika-
tion til, fra og mellem udbydernes kunder, ligesom centeret
alene vil kunne foretage tilsynsbesøg i det omfang, udbyde-
rens forretningslokaler er placeret i Danmark.
Det foreslås i nr. 2, at Styrelsen for Samfundssikkerhed kan
foretage regelmæssige og målrettede sikkerhedsaudits eller
stille krav om, at udbyderen får et kvalificeret uafhængigt
organ til at foretage disse audits, og at resultaterne heraf
stilles til rådighed for Styrelsen for Samfundssikkerhed,
Den foreslåede bestemmelse vil gennemføre artikel 32, stk.
1 og 2, i NIS 2-direktivet. Den foreslåede bestemmelse sva-
rer med sproglige tilpasninger uden indholdsmæssig betyd-
ning til NIS 2-direktivets artikel 32, stk. 1 og 2, og skal
forstås og anvendes i overensstemmelse med direktivets for-
udsætninger.
Det følger af NIS 2-direktivets artikel 32, stk. 1, at med-
lemsstaterne skal sikre, at de tilsyns- eller håndhævelsesfor-
anstaltninger, der pålægges væsentlige enheder, for så vidt
angår forpligtelserne fastsat i direktivet, er effektive, står i
rimeligt forhold til overtrædelsen og har afskrækkende virk-
ning under hensyntagen til omstændighederne i hver enkelt
sag.
Efter direktivets artikel 32, stk. 2, 2. led, baseres de målret-
tede sikkerhedsaudits, der er omhandlet i første led, litra b,
på risikovurderinger foretaget af den kompetente myndighed
eller den reviderede enhed eller på andre tilgængelige risi-
korelaterede oplysninger. Resultaterne af enhver målrettet
sikkerhedsaudit stilles til rådighed for den kompetente myn-
dighed. Omkostningerne ved en sådan målrettet sikkerheds-
audit, der udføres af et uafhængigt organ, afholdes af den
reviderede enhed, undtagen i behørigt begrundede tilfælde
når den kompetente myndighed bestemmer andet.
Det foreslås i nr. 3, at Styrelsen for Samfundssikkerhed kan
foretage sikkerhedsaudits ad hoc.
Den foreslåede bestemmelse vil gennemføre artikel 32, stk.
1 og 2, i NIS 2-direktivet. Den foreslåede bestemmelse sva-
rer med sproglige tilpasninger uden indholdsmæssig betyd-
ning til NIS 2-direktivets artikel 32, stk. 1 og 2, og skal
forstås og anvendes i overensstemmelse med direktivets for-
udsætninger.
Det følger af NIS 2-direktivets artikel 32, stk. 1, at med-
lemsstaterne skal sikre, at de tilsyns- eller håndhævelsesfor-
anstaltninger, der pålægges væsentlige enheder, for så vidt
angår forpligtelserne fastsat i direktivet, er effektive, står i
rimeligt forhold til overtrædelsen og har afskrækkende virk-
ning under hensyntagen til omstændighederne i hver enkelt
sag.
Det foreslås i nr. 4, at Styrelsen for Samfundssikkerhed kan
foretage sikkerhedsscanninger.
Den foreslåede bestemmelse vil gennemføre artikel 32, stk.
1 og 2, i NIS 2-direktivet. Den foreslåede bestemmelse sva-
rer med sproglige tilpasninger uden indholdsmæssig betyd-
ning til NIS 2-direktivets artikel 32, stk. 1 og 2, og skal
forstås og anvendes i overensstemmelse med direktivets for-
udsætninger.
Det følger af NIS 2-direktivets artikel 32, stk. 1, at med-
lemsstaterne skal sikre, at de tilsyns- eller håndhævelsesfor-
anstaltninger, der pålægges væsentlige enheder, for så vidt
angår forpligtelserne fastsat i direktivet, er effektive, står i
rimeligt forhold til overtrædelsen og har afskrækkende virk-
ning under hensyntagen til omstændighederne i hver enkelt
sag.
Det foreslås i nr. 5, at Styrelsen for Samfundssikkerhed kan
kræve at få udleveret oplysninger, der er nødvendige for
at vurdere de foranstaltninger til styring af sikkerhedsrisici,
som den berørte udbyder har indført.
Den foreslåede bestemmelse vil gennemføre artikel 32, stk.
1 og 2, i NIS 2-direktivet. Den foreslåede bestemmelse sva-
rer med sproglige tilpasninger uden indholdsmæssig betyd-
ning til NIS 2-direktivets artikel 32, stk. 1 og 2, og skal
forstås og anvendes i overensstemmelse med direktivets for-
udsætninger.
Det følger af NIS 2-direktivets artikel 32, stk. 1, at med-
lemsstaterne skal sikre, at de tilsyns- eller håndhævelsesfor-
anstaltninger, der pålægges væsentlige enheder, for så vidt
angår forpligtelserne fastsat i direktivet, er effektive, står i
rimeligt forhold til overtrædelsen og har afskrækkende virk-
ning under hensyntagen til omstændighederne i hver enkelt
sag.
Det foreslås i nr. 6, at Styrelsen for Samfundssikkerhed kan
kræve at få adgang til data, dokumenter og oplysninger, der
er nødvendige for udførelsen af tilsynsopgaven, herunder til
61
afgørelse af om et forhold er omfattet af denne lov eller
regler udstedt i medfør af loven.
Den foreslåede bestemmelse vil gennemføre artikel 32, stk.
1 og 2, i NIS 2-direktivet. Den foreslåede bestemmelse sva-
rer med sproglige tilpasninger uden indholdsmæssig betyd-
ning til NIS 2-direktivets artikel 32, stk. 1 og 2, og skal
forstås og anvendes i overensstemmelse med direktivets for-
udsætninger.
Det følger af NIS 2-direktivets artikel 32, stk. 1, at med-
lemsstaterne skal sikre, at de tilsyns- eller håndhævelsesfor-
anstaltninger, der pålægges væsentlige enheder, for så vidt
angår forpligtelserne fastsat i direktivet, er effektive, står i
rimeligt forhold til overtrædelsen og har afskrækkende virk-
ning under hensyntagen til omstændighederne i hver enkelt
sag.
Det foreslås i nr. 7, at Styrelsen for Samfundssikkerhed kan
kræve at få udleveret dokumentation for gennemførelsen af
sikkerhedspolitikker.
Den foreslåede bestemmelse vil gennemføre artikel 32, stk.
1 og 2, i NIS 2-direktivet. Den foreslåede bestemmelse sva-
rer med sproglige tilpasninger uden indholdsmæssig betyd-
ning til NIS 2-direktivets artikel 32, stk. 1 og 2, og skal
forstås og anvendes i overensstemmelse med direktivets for-
udsætninger.
Det følger af NIS 2-direktivets artikel 32, stk. 1, at med-
lemsstaterne skal sikre, at de tilsyns- eller håndhævelsesfor-
anstaltninger, der pålægges væsentlige enheder, for så vidt
angår forpligtelserne fastsat i direktivet, er effektive, står i
rimeligt forhold til overtrædelsen og har afskrækkende virk-
ning under hensyntagen til omstændighederne i hver enkelt
sag.
Det foreslås i nr. 8, at Styrelsen for Samfundssikkerhed kan
kræve at få skriftlige udtalelser og redegørelser om faktiske
forhold af betydning for Styrelsen for Samfundssikkerheds
tilsynsvirksomhed.
Den foreslåede bestemmelse vil gennemføre artikel 32, stk.
1 og 2, i NIS 2-direktivet.
Det følger af NIS 2-direktivets artikel 32, stk. 1, at med-
lemsstaterne skal sikre, at de tilsyns- eller håndhævelsesfor-
anstaltninger, der pålægges væsentlige enheder, for så vidt
angår forpligtelserne fastsat i direktivet, er effektive, står i
rimeligt forhold til overtrædelsen og har afskrækkende virk-
ning under hensyntagen til omstændighederne i hver enkelt
sag.
Den foreslåede bestemmelse svarer med sproglige tilpasnin-
ger uden indholdsmæssig betydning til NIS 2-direktivets
artikel 32, stk. 1 og 2, og skal forstås og anvendes i overens-
stemmelse med direktivets forudsætninger.
Det er Ministeriet for Samfundssikkerhed og Beredskabs
opfattelse, at der for de foreslåede tilsynsforanstaltninger
vil være tale om et indgreb, der er omfattet af lov om rets-
sikkerhed ved forvaltningens anvendelse af tvangsindgreb
og oplysningspligter. Dette indebærer, at retten til ikke at
inkriminere sig selv, jf. kapitel 4 i nævnte lov, skal over-
holdes. Det bemærkes dog, at det af bemærkningerne til
§ 10 i lov om retssikkerhed ved forvaltningens anvendelse
af tvangsindgreb og oplysningspligter fremgår, at »[b]estem-
melsen [om forbud mod selvinkriminering] er ikke til hin-
der for, at den mistænkte kan pålægges at give (faktuelle)
oplysninger, som er uden betydning for bedømmelsen af,
hvorvidt den pågældende har begået en lovovertrædelse, der
kan medføre straf.«
Det foreslås i stk. 2, at ved anvendelsen af tiltagene i stk. 1,
nr. 5-8, skal Styrelsen for Samfundssikkerhed angive formå-
let med tiltaget og præcisere, hvilke oplysninger der kræves
udleveret og hvordan og i hvilken form oplysningerne og
materialet nævnt i stk. 1, nr. 5-8, skal udleveres.
Den foreslåede bestemmelse vil gennemføre NIS 2-direkti-
vets artikel 32, stk. 3, hvorefter de kompetente myndigheder
ved udøvelsen af deres beføjelser i henhold til artikel 32,
stk. 2, litra e, f eller g, skal angive formålet med anmodnin-
gen og præcisere, hvilke oplysninger der anmodes om.
Den foreslåede bestemmelse svarer indholdsmæssigt til NIS
2-direktivets artikel 32, stk. 3, og skal forstås og anvendes i
overensstemmelse med direktivets forudsætninger.
Den foreslåede bestemmelse indebærer endvidere, at Styrel-
sen for Samfundssikkerhed i forbindelse med, at der stilles
krav om udlevering af oplysninger eller materiale efter de
foreslåede bestemmelser i stk. 1, nr. 5-8, samtidig kan kræ-
ve, at oplysningerne eller materialet udleveres på en bestemt
måde, på et bestemt sprog og i en bestemt form.
Der vil eksempelvis kunne stilles krav om anvendelse af
bestemte skemaer, eller at der skal foretages indtastninger på
en hjemmeside.
Til § 20
Det foreslås i stk. 1, at Styrelsen for Samfundssikkerhed
kan anvende nærmere angivne håndhævelsesforanstaltninger
over for en væsentlig teleudbyder.
Den foreslåede bestemmelse vil gennemføre artikel 32, stk.
4, litra a-h, i NIS 2-direktivet, for så vidt angår telesektoren.
Den foreslåede bestemmelse svarer med sproglige tilpasnin-
ger uden indholdsmæssig betydning til NIS 2-direktivets
artikel 32, stk. 4, litra a-h, og skal forstås og anvendes i
overensstemmelse med direktivets forudsætninger.
Efter bestemmelsen får Styrelsen for Samfundssikkerhed
mulighed for at udstede advarsler, bindende instrukser, på-
bud og forbud.
Det bemærkes i den forbindelse, at det følger af NIS 2-di-
rektivets artikel 32, stk. 1, at de håndhævelsesforanstaltnin-
ger, der anvendes overfor væsentlige teleudbydere i medfør
62
af den foreslåede bestemmelse, skal være effektive, stå i et
rimeligt forhold til overtrædelsen og have en afskrækkende
virkning under hensyntagen til omstændighederne i hver
enkelt sag.
Det følger af den foreslåede bestemmelse, at Styrelsen for
Samfundssikkerhed skal foretage en konkret vurdering af
omstændighederne i hver enkelt sag, når styrelsen anvender
håndhævelsesforanstaltningerne over for væsentlige teleud-
bydere, således at proportionalitetsprincippet overholdes ved
valg mellem de oplistede håndhævelsesmuligheder.
Styrelsen for Samfundssikkerhed skal derfor i overensstem-
melse med NIS 2-direktivets artikel 32, stk. 7, litra a, ta-
ge hensyn til 1) overtrædelsens grovhed og vigtigheden af
de overtrådte bestemmelser, idet bl.a. følgende under alle
omstændigheder skal betragtes som alvorlige overtrædelser:
a) Gentagne overtrædelser, b) manglende underretning om
eller afhjælpning af væsentlige hændelser, c) manglende af-
hjælpning af mangler efter bindende instrukser fra Styrelsen
for Samfundssikkerhed, d) hindringer for audits eller over-
vågningsaktiviteter beordret af Styrelsen for Samfundssik-
kerhed efter konstatering af en overtrædelse, og e) afgivel-
se af urigtige eller klart unøjagtige oplysninger vedrørende
cybersikkerhedsrisikostyringsforanstaltninger eller rapporte-
ringsforpligtelser, 2) overtrædelsens varighed, 3) den pågæl-
dende udbyders relevante tidligere overtrædelser, 4) enhver
fysisk eller ikke fysisk skade, der er forårsaget, herunder
ethvert finansielt eller økonomisk tab, virkninger for andre
tjenester og antallet af brugere, der er berørt, 5) hvorvidt
der ved overtrædelsen er handlet forsætligt eller uagtsomt,
6) enhver foranstaltning truffet af udbyderen for at forebyg-
ge eller afbøde den fysisk eller ikke fysisk skade, 7) hvor-
vidt godkendte adfærdskodekser eller godkendte certificer-
ingsmekanismer er overholdt, og 8) i hvilken udstrækning
de fysiske eller juridiske personer, der holdes ansvarlige for
overtrædelsen, samarbejder med Styrelsen for Samfundssik-
kerhed.
Det følger endvidere af NIS 2-direktivets artikel 32, stk. 7,
at den kompetente myndighed ved anvendelsen af håndhæ-
velsesforanstaltninger skal overholde retten til forsvar. Dette
sikres ved, at et påbud eller forbud efter den foreslåede § 22
vil være omfattet af forvaltningslovens almindelige regler,
herunder bestemmelserne i kapitel 3 (om vejledning og re-
præsentation mv.), kapitel 5 (om partshøring), kapitel 6 (om
begrundelse mv.) og kapitel 7 (om klagevejledning).
Derudover vil der være mulighed for at indbringe afgørel-
serne for domstolene.
Der vil i forbindelse med en afgørelse om påbud eller forbud
efter den foreslåede § 20, nr. 3-6 og 8 blive fastsat en frist,
inden for hvilken udbyderen skal efterkomme indholdet i
afgørelsen.
En væsentlig teleudbyder, der modtager en afgørelse om
påbud eller forbud efter den foreslåede § 20, nr. 3-6 og 8,
vil også kunne ifalde straf for en eventuel overtrædelse af
denne lov eller regler udstedt i medfør af loven, jf. stk. 1, nr.
3.
Det følger af det foreslåede nr. 1, at Styrelsen for Samfunds-
sikkerhed kan udstede advarsler om teleudbyderens overtræ-
delse af kapitel 2-4, og regler udstedt i medfør af bestem-
melser i disse kapitler.
Den foreslåede bestemmelse vil give Styrelsen for Sam-
fundssikkerhed mulighed for at udstede advarsler om enhe-
dens overtrædelse af loven. Der er tale om den mildeste
form for håndhævelsesforanstaltning, som kan tages i brug
af Styrelsen for Samfundssikkerhed.
Det følger af den foreslåede nr. 2, at Styrelsen for Sam-
fundssikkerhed kan udstede bindende instrukser, herunder
vedrørende foranstaltninger, der er nødvendige for at for-
hindre eller afhjælpe en hændelse, samt frister for gennem-
førelse af sådanne foranstaltninger og for rapportering om
deres gennemførelse eller pålægge de pågældende enheder
at afhjælpe de konstaterede mangler eller overtrædelserne af
denne lov.
Den foreslåede bestemmelse vil indebære, at Styrelsen for
Samfundssikkerhed vil kunne udstede bindende instrukser,
herunder vedrørende foranstaltninger, der er nødvendige for
at forhindre eller afhjælpe en hændelse. Det forudsættes, at
den kompetente myndighed vil meddele enheden en frist
for gennemførelse af nødvendige foranstaltninger, og for
rapportering om foranstaltningernes gennemførelse.
Det bemærkes, at der vil være tale om en forvaltningsretlig
afgørelse, hvorfor forvaltningslovens regler herom vil finde
anvendelse.
Det følger af den foreslåede nr. 3, at Styrelsen for Sam-
fundssikkerhed vil kunne påbyde udbyderen at træffe foran-
staltninger, der er nødvendige for at forhindre eller afhjælpe
en hændelse.
Den foreslåede bestemmelse vil medføre, at Styrelsen for
Samfundssikkerhed vil kunne påbyde en enhed at træffe
foranstaltninger, der er nødvendige for at forhindre eller
afhjælpe en hændelse. Det bemærkes, at denne håndhævel-
sesforanstaltning vil anses for mere indgribende end en bin-
dende instruks.
Det bemærkes, at der vil være tale om en forvaltningsretlig
afgørelse, hvorfor forvaltningslovens regler herom vil finde
anvendelse.
Det følger af det foreslåede nr. 4, at Styrelsen for Samfunds-
sikkerhed kan meddele udbyderen påbud og forbud for at
sikre overholdelsen af de krav, der er fastsat i lovens kapitel
2-4, og regler udstedt i medfør af bestemmelser i disse ka-
pitler
Det bemærkes, at en advarsel efter nr. 1, vil være mildere
tilsynsforanstaltning end et påbud.
I tilfælde af, at en udbyder eksempelvis ikke lever op til de
63
krav, der er fastsat i loven, vil Styrelsen for Samfundssikker-
hed kunne angive, hvilke nærmere foranstaltninger udbyde-
ren skal træffe. Det kan eksempelvis være organisatoriske
foranstaltninger vedrørende passende rolle- og ansvarsfor-
deling, herunder forbud mod ansvarssammenfald, samt pro-
cedurer i relation til erhvervelse og udvikling af net- og
informationssystemer, tekniske foranstaltninger vedrørende
sikkerhedskopiering af data eller om udbyderens anvendelse
af bestemte logningsmetoder.
Det følger af det foreslåede nr. 5, at Styrelsen for Samfunds-
sikkerhed kan påbyde udbyderen at underrette de fysiske
eller juridiske personer, til hvilke udbyderen leverer tjene-
ster eller udfører aktiviteter, som potentielt kan være berørt
af en væsentlig hændelse, om denne trussels karakter samt
om eventuelle beskyttelsesforanstaltninger eller afhjælpende
foranstaltninger, som de fysiske eller juridiske personer kan
træffe som reaktion på denne trussel.
Bestemmelsen skal ses i sammenhæng med den foreslåede
bestemmelse i § 11, stk. 2, som indeholder en forpligtel-
se for væsentlige teleudbydere og vigtige teleudbydere til
i relevant omfang at underrette modtagerne af deres tjene-
ster, som potentielt er berørt af en væsentlig cybertrussel,
om eventuelle foranstaltninger eller modforholdsregler, som
modtagerne kan træffe som reaktion på den pågældende
trussel. Hvor det er relevant, skal udbyderne også informere
de pågældende modtagere om den væsentlige cybertrussel.
Med den foreslåede bestemmelse vil Styrelsen for Sam-
fundssikkerhed kunne påbyde, at der skal foretages under-
retning af modtagerne af udbyderens tjenester, uanset om
udbyderen selv vurderer, at det er relevant.
Det følger af det foreslåede nr. 6, at Styrelsen for Samfunds-
sikkerhed kan påbyde udbyderen at gennemføre de anbefa-
linger, der er fremsat i forbindelse med en gennemført sik-
kerhedsaudit.
Bestemmelsen skal ses i sammenhæng med den foreslåede §
19, stk. 1, nr. 2, hvorefter Styrelsen for Samfundssikkerhed
kan foretage regelmæssige og målrettede sikkerhedsaudits
eller stille krav om, at den væsentlige teleudbyder får et kva-
lificeret uafhængigt organ til at foretage disse audits, samt
den foreslåede § 19, stk. 1, nr. 3, hvorefter Styrelsen for
Samfundssikkerhed kan foretage sikkerhedsaudits ad hoc.
Det følger af det foreslåede nr. 7, at Styrelsen for Samfunds-
sikkerhed kan udpege en person med ansvar for i en nærme-
re fastsat periode at føre tilsyn med udbyderens overholdelse
af lovens kapitel 2 og 3 samt regler udstedt i medfør heraf.
Styrelsen for Samfundssikkerhed vil enten kunne udpege
en ansat eller en ekstern person. Det forudsættes, at den
pågældende person har de nødvendige kvalifikationer til at
udføre opgaven. Den pågældende person vil skulle monito-
rere udbyderens overholdelse af krav til foranstaltninger til
styring af cybersikkerhedsrisici i medfør af den foreslåede
§ 5 og udbyderens overholdelse af oplysnings- og underret-
ningspligterne i de foreslåede § 8, § 9, § 11 og § 12, samt
regler udstedt i medfør af de nævnte bestemmelser.
Det følger af det foreslåede nr. 8, at Styrelsen for Samfunds-
sikkerhed kan påbyde udbyderen i ikke-anonymiseret form
og på en nærmere angiven måde at offentliggøre afgørelser
om håndhævelsesforanstaltninger efter nr. 1-5 samt resume-
er af domme eller bødevedtagelser, hvor der idømmes eller
vedtages en bøde.
I overensstemmelse med principperne i betænkning nr. 1516
om offentlige myndigheders offentliggørelse af kontrolresul-
tater, afgørelser mv. forudsættes det, at Styrelsen for Sam-
fundssikkerhed ved beslutningen om, hvilke oplysninger
en udbyder pålægges at offentliggøre, i fornødent omfang
bl.a. iagttager de hensyn til fortrolighed, der fremgår af
forvaltningslovens § 27 om offentlig ansattes tavshedspligt,
herunder bl.a. hensynene til enkeltpersoners private forhold,
forretningshemmeligheder samt forebyggelse, efterforskning
og forfølgning af lovovertrædelser.
Til § 21
Det foreslås i stk. 1, 1. pkt., at hvis én eller flere af de
håndhævelsesforanstaltninger, der er pålagt i medfør af § 20
nr. 1-8, har vist sig at være utilstrækkelige, kan Styrelsen for
Samfundssikkerhed fastsætte en frist, inden for hvilken den
væsentlige teleudbyder skal foretage de nødvendige tiltag
for at afhjælpe manglerne eller opfylde Styrelsen for Sam-
fundssikkerheds krav.
Det foreslås i stk. 1, 2. pkt. , at er manglerne ikke afhjulpet
eller Styrelsen for Samfundssikkerheds krav ikke opfyldt
inden for den fastsatte frist, kan Styrelsen for Samfundssik-
kerhed træffe afgørelse om 1) midlertidigt at suspendere
en certificering eller godkendelse vedrørende dele af eller
alle de relevante tjenester, udbyderen leverer, eller aktivite-
ter, der udføres af udbyderen og 2) midlertidigt at forbyde
enhver fysisk person med ledelsesansvar på niveau med
administrerende direktør eller den juridiske repræsentant hos
udbyderen at udøve ledelsesfunktioner ved den pågældende
udbyder.
Bestemmelsen vil gennemføre artikel 32, stk. 5, 1. led, i NIS
2-direktivet, for så vidt angår telesektoren. Det følger af be-
stemmelsen, at medlemsstaterne skal sikre, at de kompetente
myndigheder i en situation, hvor håndhævelsesforanstaltnin-
ger anvendt i medfør af direktivets artikel 32, stk. 4, litra
a-d og f, er virkningsløse, skal have beføjelse til at fastsætte
en frist, inden for hvilken den væsentlige enhed skal tage
de nødvendige tiltag for at afhjælpe manglerne eller opfylde
myndighedernes krav. Hvis de ønskede tiltag ikke tages in-
den for den fastsatte frist, skal de kompetente myndigheder
have beføjelse til a) midlertidigt at suspendere, eller anmode
et certificerings- eller godkendelsesorgan eller en domstol
om i overensstemmelse med national ret midlertidigt at su-
spendere en certificering eller godkendelse vedrørende dele
af eller alle de relevante tjenester, der leveres, eller aktivi-
teter, der udføres af en væsentlig enhed og b) at anmode
64
de relevante organer eller domstole om i overensstemmelse
med national ret midlertidigt at forbyde enhver fysisk person
med ledelsesansvar på direktionsniveau eller som juridisk
repræsentant i den pågældende væsentlige enhed at udøve
ledelsesfunktioner i den pågældende enhed.
Det bemærkes, at de eksisterende muligheder for rettigheds-
frakendelse i straffeloven ikke vurderes tilstrækkelige til at
sikre korrekt og tilstrækkelig gennemførelse af bestemmel-
sen i direktivet. Det skyldes navnlig, at rettighedsfrakendel-
se i medfør af straffelovens § 79 alene kan ske i forbindelse
med dom for strafbart forhold, og hvis det udviste forhold
begrunder en nærliggende fare for misbrug af stillingen.
Det vil være en forudsætning for at anvende bestemmelsen,
at håndhævelsesforanstaltninger pålagt i medfør af den fore-
slåede § 20, nr. 1-8, har vist sig at være utilstrækkelige. Det
er dermed en forudsætning, at mindre indgribende midler
har været forsøgt og vist sig utilstrækkelige til at sikre, at
udbyderen foretager de nødvendige tiltag for at afhjælpe
mangler, som Styrelsen for Samfundssikkerhed har konsta-
teret, eller opfylder styrelsens krav.
Bestemmelsen vil skulle anvendes i overensstemmelse med
direktivets forudsætninger som udtrykt i præambelbetragt-
ning nr. 133, hvorefter bestemmelsen kun bør anvendes som
en sidste udvej, dvs. først efter at de øvrige, relevante hånd-
hævelsesforanstaltninger er udtømt. Det fremgår videre af
samme præambelbetragtning, at i betragtning af deres alvor
og indvirkning på enhedernes aktiviteter og i sidste ende
brugerne, bør sådanne midlertidige suspensioner eller for-
bud kun anvendes proportionalt med overtrædelsens alvor
og under hensyntagen til omstændighederne i hvert enkelt
tilfælde, herunder i lyset af om overtrædelsen var forsætlig
eller uagtsom, og ethvert tiltag der er iværksat for at fore-
bygge eller afbøde den fysisk eller ikke fysisk skade.
Styrelsen for Samfundssikkerhed vil efter omstændigheder-
ne og i relevant omfang kunne træffe afgørelse om anven-
delse af flere håndhævelsesforanstaltninger på én gang. Der
er således ikke i medfør af den foreslåede § 21 et krav
om, at relevante håndhævelsesforanstaltninger anvendes
tidsmæssigt forskudt af hinanden, såfremt det vurderes, at
flere foranstaltninger i kombination er nødvendige for at
sikre, at reglerne efterleves.
Der vil efter bestemmelsen skulle fastsættes en nærmere an-
givet frist, inden for hvilken den væsentlige teleudbyder skal
have truffet de nødvendige tiltag for at afhjælpe manglerne
eller opfylde Styrelsen for Samfundssikkerheds krav. Varig-
heden af fristen vil afhænge af en konkret vurdering, som
foretages af Styrelsen for Samfundssikkerhed.
Det foreslås, at afgørelse om suspension eller forbud træf-
fes af Styrelsen for Samfundssikkerhed i første instans. Det
skal ses i lyset af, at muligheden for suspension og forbud
ligger i forlængelse af Styrelsen for Samfundssikkerheds
øvrige håndhævelsesmuligheder, og at der i en afgørelse
om suspension eller forbud forudsættes at skulle indgå en
begrundelse for, hvorfor allerede pålagte håndhævelsesfor-
anstaltninger er utilstrækkelige.
Det følger af NIS 2-direktivets artikel 32, stk. 7, at den kom-
petente myndighed ved anvendelsen af håndhævelsesforan-
staltninger såsom suspension eller forbud efter den foreslå-
ede bestemmelse skal tage hensyn til en række nærmere
angivne forhold.
I direktivets artikel 32, stk. 7, er følgende hensyn oplistet:
1) overtrædelsens grovhed og vigtigheden af de overtrådte
bestemmelser, idet bl.a. følgende under alle omstændighe-
der skal betragtes som alvorlige overtrædelser: a) gentagne
overtrædelser, b) manglende underretning om eller afhjælp-
ning af væsentlige hændelser, c) manglende afhjælpning af
mangler efter bindende instrukser fra kompetente myndighe-
der, d) hindringer for audits eller overvågningsaktiviteter be-
ordret af den kompetente myndighed efter konstatering af en
overtrædelse og e) afgivelse af urigtige eller klart unøjagtige
oplysninger vedrørende cybersikkerhedsrisikostyringsforan-
staltninger eller rapporteringsforpligtelser, 2) overtrædelsens
varighed, 3) den pågældende enheds relevante tidligere
overtrædelser, 4) enhver materiel eller immateriel skade, der
er forårsaget, herunder ethvert finansielt eller økonomisk
tab, virkninger for andre tjenester og antallet af brugere,
der er berørt, 5) hvorvidt der ved overtrædelsen er handlet
forsætligt eller uagtsomt, 6) enhver foranstaltning truffet af
enheden for at forebygge eller afbøde den materielle eller
immaterielle skade, 7) hvorvidt godkendte adfærdskodekser
eller godkendte certificeringsmekanismer er overholdt, og
8) i hvilken udstrækning de fysiske eller juridiske personer,
der holdes ansvarlige for overtrædelsen, samarbejder med de
kompetente myndigheder.
Den foreslåede bestemmelse i stk. 1, nr. 1, indebærer, at
såfremt den væsentlige teleudbyder ikke har iværksat til-
tag for at afhjælpe manglerne eller efterkomme Styrelsen
for Samfundssikkerheds krav inden for den fastsatte frist,
kan Styrelsen for Samfundssikkerhed træffe afgørelse om
midlertidigt at suspendere en certificering eller godkendelse
vedrørende dele af eller alle de relevante tjenester, udbyde-
ren leverer, eller aktiviteter, der udføres af udbyderen.
Den foreslåede bestemmelse skal læses i sammenhæng med
den foreslåede bestemmelse i stk. 4, hvorefter Styrelsen for
Samfundssikkerhed vil kunne fastsætte nærmere regler for,
hvilke certificeringer og godkendelser, som bestemmelsen i
stk. 1, nr. 1, finder anvendelse på. Det forudsættes, at den
foreslåede bestemmelse i stk. 1, nr. 1, ikke anvendes, før
bemyndigelsen i den foreslåede stk. 4, er anvendt.
En afgørelse efter nr. 1 vil være af midlertidig karakter,
jf. også det foreslåede stk. 2, hvorefter afgørelsen kun kan
anvendes, så længe den væsentlige teleudbyder ikke har
truffet de nødvendige tiltag for at afhjælpe de mangler eller
efterleve de krav fra Styrelsen for Samfundssikkerhed, som
gav anledning til, at foranstaltningerne blev anvendt.
Den foreslåede bestemmelse i stk. 1, nr. 2, indebærer, at så-
65
fremt den væsentlige teleudbyder ikke har iværksat tiltag for
at afhjælpe manglerne eller efterkomme Styrelsen for Sam-
fundssikkerheds krav inden for den fastsatte frist, kan styrel-
sen træffe afgørelse om midlertidigt at forbyde enhver fysisk
person med ledelsesansvar på niveau med administrerende
direktør eller den juridiske repræsentant hos udbyderen at
udøve ledelsesfunktioner ved den pågældende udbyder.
Det bemærkes hertil, at det af den danske oversættelse af
NIS 2-direktivets artikel 32, stk. 5, litra b, bl.a. fremgår, at
de personer med ledelsesansvar, der midlertidigt kan suspen-
deres, omfatter »enhver fysisk person med ledelsesansvar på
direktionsniveau«. Denne oversættelse er efter Ministeriet
for Samfundssikkerhed og Beredskabs opfattelse imidlertid
ikke forenelig med den engelske udgave af direktivet, hvori
»any natural person who is responsible for discharging ma-
nagerial responsibilities at chief executive officer […] level«
er anvendt. Den franske sprogversion anvender en tilsvaren-
de formulering som den engelske. I den foreslåede bestem-
melse anvendes på den baggrund betegnelsen »enhver fysisk
person med ledelsesansvar på niveau med administrerende
direktør«.
I det omfang en virksomhed eller organisation ikke har
en administrerende direktør, vil bestemmelsen omfatte den
øverste leder af den pågældende væsentlige teleudbyder,
f.eks. en generalsekretær, direktør, koncernchef eller manag-
ing partner.
En afgørelse efter nr. 2 vil være af midlertidig karakter,
jf. også det foreslåede stk. 2, hvorefter afgørelsen kun kan
anvendes, så længe den væsentlige teleudbyder ikke har
truffet de nødvendige tiltag for at afhjælpe de mangler eller
opfylde de krav fra Styrelsen for Samfundssikkerhed, som
gav anledning til, at foranstaltningerne blev anvendt.
Det følger af det foreslåede stk. 2, at suspensioner eller
forbud, som er pålagt i medfør af stk. 1, kun kan anvendes,
indtil den væsentlige teleudbyder træffer de nødvendige til-
tag for at afhjælpe de mangler eller opfylde de krav, som
gav anledning til, at foranstaltningerne i medfør af stk. 1
blev anvendt.
Den foreslåede bestemmelse vil gennemføre NIS 2-direkti-
vets artikel 32, stk. 5, 1. led, for så vidt angår telesekto-
ren. Det følger af 32, stk. 5, 1. led, at midlertidige suspensi-
oner eller forbud, som er pålagt i henhold til dette stykke,
kun anvendes, indtil den pågældende enhed træffer de nød-
vendige foranstaltninger til at afhjælpe manglerne eller op-
fylde den kompetente myndigheds krav, som gav anledning
til, at disse håndhævelsesforanstaltninger blev anvendt.
Den foreslåede bestemmelse svarer med sproglige tilpasnin-
ger uden indholdsmæssig betydning til NIS 2-direktivets
artikel 32, stk. 5, 1. led, og skal forstås og anvendes i over-
ensstemmelse med direktivets forudsætninger.
Bestemmelsen indebærer, at når Styrelsen for Samfundssik-
kerhed har truffet afgørelse om midlertidigt at suspendere en
certificering eller midlertidigt har forbudt en fysisk person
med ledelsesansvar på niveau med administrerende direktør
eller den juridiske repræsentant ved udbyderen at udøve
ledelsesfunktioner ved den pågældende udbyder, skal sty-
relsen træffe afgørelse om at ophæve foranstaltningen, når
udbyderen har truffet de nødvendige tiltag for at afhjælpe
de mangler eller opfylde de krav, som gav anledning til, at
foranstaltningen blev anvendt.
Det følger af det foreslåede stk. 3, at en afgørelse efter
stk. 1 kan forlanges indbragt for domstolene af den væsent-
lige teleudbyder eller den fysiske person, afgørelsen vedrø-
rer. Styrelsen for Samfundssikkerhed anlægger i givet fald
sag inden for rammerne af den civile retspleje mod den
udbyder eller person, som har forlangt sagen indbragt.
Den foreslåede bestemmelse vil gennemføre NIS 2-direkti-
vets artikel 32, stk. 5, 2. led, hvoraf det følger, at pålæggel-
se af midlertidige suspensioner eller forbud skal være un-
derlagt passende proceduremæssige garantier i overensstem-
melse med de generelle principper i EU-retten og chartret,
herunder retten til effektive retsmidler og til en retfærdig
rettergang, uskyldsformodningen og retten til et forsvar.
Det vil efter den foreslåede bestemmelse være muligt for
den væsentlige teleudbyder eller den fysiske person, som af-
gørelsen om suspension eller forbud vedrører, at forlange af-
gørelsen indbragt for retten. Når en sådan sag indbringes for
retten, vil bestemmelserne i retsplejeloven finde anvendelse,
hvilket vil sikre de nødvendige retssikkerhedsgarantier.
Det følger af det foreslåede stk. 4, at ministeren for sam-
fundssikkerhed kan fastsætte regler om, hvilke certificerin-
ger og godkendelser der er omfattet af stk. 1, nr. 1.
Den foreslåede bestemmelse i stk. 4 indebærer, at Styrelsen
for Samfundssikkerhed kan fastsætte nærmere regler om,
hvilke certificeringer og godkendelser der er omfattet af den
midlertidige suspensionsordning i § 21, stk. 1, nr. 1.
Ved at fastsætte nærmere regler i bekendtgørelsesform sik-
res det, at det vil være klart og forudsigeligt for de væsent-
lige teleudbydere, hvilke certificerings- og godkendelsesord-
ninger, der vil kunne medføre suspension. Det sikres endvi-
dere, at reglerne løbende kan tilpasses den udvikling, der
er på området, f.eks. i tilfælde af, at der indføres en ny
cybersikkerhedscertificering i EU-regi.
De nærmere regler vil skulle udarbejdes inden for den
ramme, som det foreslåede stk. 1 udgør. Det indebærer
bl.a., at reglerne vil skulle være i overensstemmelse med
regeringens principper om minimumsimplementering. Det
forudsættes, at den foreslåede bestemmelse i stk. 1, nr. 1,
ikke anvendes, før bemyndigelsen i den foreslåede stk. 4, er
anvendt.
Til § 22
Det foreslås i stk. 1, at Styrelsen for Samfundssikkerhed
som led i sit tilsyn kan anvende nærmere angivne tilsynsfor-
anstaltninger over for en vigtig teleudbyder.
66
I overensstemmelse med direktivets forudsætninger, som
udtrykt i præambelbetragtning nr. 122, vil vigtige teleudby-
dere – i modsætning til væsentlige teleudbydere – ikke blive
underlagt løbende tilsyn, men i stedet et lettere, reaktivt
tilsyn. Det betyder, at tilsyn iværksættes på baggrund af op-
lysninger, der tyder på, at den pågældende enhed potentielt
ikke efterlever sine forpligtelser efter loven og regler udstedt
i medfør af loven, herunder eventuelt efter en væsentlig
hændelse.
Vigtige teleudbydere vil således som udgangspunkt ikke væ-
re forpligtet til systematisk at dokumentere overholdelsen
af foranstaltninger til styring af cybersikkerhedsrisici over
for myndighederne, og de kompetente myndigheder vil ikke
have en generel forpligtelse til at føre tilsyn med vigtige
enheder.
Som forudsat i samme præambelbetragtning vil det reaktive
tilsyn kunne iværksættes på baggrund af oplysninger, som
Styrelsen for Samfundssikkerhed modtager fra andre myn-
digheder, enheder, borgere, medier eller andre kilder eller
offentligt tilgængelige oplysninger. Det kan desuden eksem-
pelvis være oplysninger, der hidrører fra andre aktiviteter,
der indgår i de kompetente myndigheders udførelse af deres
arbejdsopgaver.
Den foreslåede bestemmelse vil endvidere skulle forstås
og anvendes i lyset af NIS 2-direktivets artikel 31, stk.
1, hvorefter medlemsstaterne sikrer, at deres kompetente
myndigheder effektivt overvåger og træffer de nødvendige
foranstaltninger til at sikre, at direktivet overholdes. Det
følger endvidere af artikel 31, stk. 2, at medlemsstaterne kan
tillade deres kompetente myndigheder at prioritere tilsyns-
opgaver. En sådan prioritering baseres på en risikobaseret
tilgang. Med henblik herpå kan de kompetente myndighe-
der, når de udfører deres tilsynsopgaver i henhold til artikel
32 og 33, fastlægge tilsynsmetoder, der gør det muligt at
prioritere sådanne opgaver efter en risikobaseret tilgang. De
kompetente myndigheder vil således ved tilrettelæggelsen af
et risikobaseret reaktivt tilsyn med vigtige enheder kunne
lægge vægt på eksempelvis enhedernes samfundsmæssige
betydning.
Anvendelsen af de forskellige tilsynsforanstaltninger, som
opregnes i den foreslåede § 22, stk. 1, vil skulle ske efter
en konkret vurdering af omstændighederne i hver enkelt
sag. Valget af tilsynsforanstaltninger vil endvidere skulle ske
i overensstemmelse med det forvaltningsretlige proportiona-
litetsprincip.
Det er Ministeriet for Samfundssikkerhed og Beredskabs
opfattelse, at der for så vidt angår de foreslåede bestemmel-
ser i nr. 4-7 og den del af bestemmelsen i nr. 2, der vedrører,
at der kan stilles krav om, at udbyderen får et kvalificeret
uafhængigt organ til at foretage sikkerhedsaudits, og at re-
sultaterne herfor skal stilles til rådighed for Styrelsen for
Samfundssikkerhed, vil være tale om oplysningspligter om-
fattet af lov om retssikkerhed ved forvaltningens anvendelse
af tvangsindgreb og oplysningspligter. Dette indebærer bl.a.,
at kapitel 4 (om retten til ikke at inkriminere sig selv mv.)
vil gælde i tilfælde, hvor der måtte være en konkret mistan-
ke om, at en enhed har begået en overtrædelse af lovgivnin-
gen, der kan medføre straf. Der henvises i øvrigt til kapitel
4 i lov om retssikkerhed ved forvaltningens anvendelse af
tvangsindgreb og oplysningspligter og bemærkningerne her-
til. Der henvises til Folketingstidende 2003-04, tillæg A,
side 3075-3078 og side 3096-3099.
I overensstemmelse med forudsætningerne i direktivets præ-
ambelbetragtning nr. 123 bør de kompetente myndigheders
udførelse af tilsynsopgaver ikke unødigt hæmme den berørte
enheds forretningsaktiviteter.
Det foreslås med nr. 1, at Styrelsen for Samfundssikkerhed
uden retskendelse og behørig legitimation kan foretage kon-
trol hos teleudbydere samt deres samarbejdspartnere, leve-
randører eller underleverandører i relation til outsourcet ak-
tivitet og eksternt efterfølgende tilsyn.
Den foreslåede bestemmelse vil gennemføre artikel 33, stk.
1 og 2, i NIS 2-direktivet.
Den foreslåede bestemmelse i stk. 1, nr. 1, vil endvidere
videreføre § 9, stk. 6 og 7 i lov om sikkerhed i net og
tjenester.
Ministeriet for Samfundssikkerhed og Beredskab finder det
således henset til vurderingen af det aktuelle trusselsniveau
mod telesektoren, jf. lovforslagets pkt. 1 ovenfor, væsent-
ligt at opretholde det nuværende sikkerhedsniveau for sekto-
ren. Der er med videreførelsen af bestemmelsen ikke tilsig-
tet materielle ændringer af bestemmelsens indhold.
For effektivt at kunne konstatere, om vigtige teleudbydere i
praksis har gennemført de nødvendige foranstaltninger til at
sikre deres net- og informationssystemer, er det nødvendigt,
at Styrelsen for Samfundssikkerhed som led i et tilsyn har
adgang til forretningssteder hos vigtige teleudbydere samt
deres samarbejdspartnere, leverandører eller underleveran-
dører i relation til outsourcet aktivitet og eksternt tilsyn. Det
foreslås derfor, at der skal være adgang til kontrol på stedet
uden retskendelse og mod behørig legitimation.
Den foreslåede bestemmelse vil betyde, at Styrelsen for
Samfundssikkerhed som led i et tilsyn kan foretage kontrol
på stedet til enhver tid. Det forudsættes dog almindeligvis,
at Styrelsen for Samfundssikkerhed forinden et kontrolbesøg
vil varsle den vigtige enhed herom.
Det bemærkes, at Styrelsen for Samfundssikkerhed ikke i
forbindelse med adgang til forretningslokaler efter stk. 1,
kan tilgå kommunikation til, fra eller mellem udbyderens
kunder.
Styrelsen for Samfundssikkerhed vil ikke i forbindelse med
tilsynsbesøgene kunne få adgang til elektronisk kommunika-
tion til, fra og mellem udbydernes kunder, ligesom styrelsen
alene vil kunne foretage tilsynsbesøg i det omfang, udbyde-
rens forretningslokaler er placeret i Danmark.
67
Det fremgår desuden af NIS 2-direktivets artikel 33, stk.
2, litra a, at der kan foretages »eksternt efterfølgende til-
syn«, hvilket er en formulering, der efter Ministeriet for
Samfundssikkerhed og Beredskabs opfattelse kan give an-
ledning til fortolkningstvivl i dansk sammenhæng. I den
engelske sprogversion af NIS 2-direktivet anvendes formu-
leringen »off-site ex post supervision«. Efter Ministeriet for
Samfundssikkerhed og Beredskabs opfattelse udgør eksternt
efterfølgende tilsyn forstået som off-site ex post supervision
et reaktivt tilsyn fra en kompetent myndighed uden fysisk
tilstedeværelse på stedet, men eksempelvis udført på skrift-
ligt grundlag. Det bemærkes, at de kompetente myndigheder
i medfør af den foreslåede bestemmelse kan kræve relevante
oplysninger fra enhederne. Det indebærer også, at de kom-
petente myndigheder kan kræve at få udleveret nødvendige
oplysninger til afgørelse af, om et forhold er omfattet af
loven eller regler udstedt i medfør af loven.
Det foreslås i nr. 2, at Styrelsen for Samfundssikkerhed kan
foretage regelmæssige og målrettede sikkerhedsaudits eller
stille krav om, at udbyderen får et kvalificeret uafhængigt
organ til at foretage disse audits, og at resultaterne heraf
stilles til rådighed for Styrelsen for Samfundssikkerhed,
Den foreslåede bestemmelse vil gennemføre artikel 33, stk.
1 og 2, i NIS 2-direktivet. Den foreslåede bestemmelse sva-
rer med sproglige tilpasninger uden indholdsmæssig betyd-
ning til NIS 2-direktivets artikel 33, stk. 1 og 2, og skal
forstås og anvendes i overensstemmelse med direktivets for-
udsætninger.
Efter direktivets artikel 33, stk. 2, 2. led, baseres de målret-
tede sikkerhedsaudits, der er omhandlet i første led, litra b,
på risikovurderinger foretaget af den kompetente myndighed
eller den reviderede enhed eller på andre tilgængelige risi-
korelaterede oplysninger. Resultaterne af enhver målrettet
sikkerhedsaudit stilles til rådighed for den kompetente myn-
dighed. Omkostningerne ved en sådan målrettet sikkerheds-
audit, der udføres af et uafhængigt organ, afholdes af den
reviderede enhed, undtagen i behørigt begrundede tilfælde,
når den kompetente myndighed bestemmer andet.
Det foreslås i nr. 3, at Styrelsen for Samfundssikkerhed kan
foretage sikkerhedsscanninger.
Den foreslåede bestemmelse vil gennemføre artikel 33, stk.
1 og 2, i NIS 2-direktivet. Den foreslåede bestemmelse sva-
rer med sproglige tilpasninger uden indholdsmæssig betyd-
ning til NIS 2-direktivets artikel 33, stk. 1 og 2, og skal
forstås og anvendes i overensstemmelse med direktivets for-
udsætninger.
Det foreslås i nr. 4, at Styrelsen for Samfundssikkerhed kan
kræve at få udleveret oplysninger, der er nødvendige for
efterfølgende at vurdere de foranstaltninger til styring af
sikkerhedsrisici, som den berørte udbyder har indført.
Den foreslåede bestemmelse vil gennemføre artikel 33, stk.
1 og 2, i NIS 2-direktivet. Den foreslåede bestemmelse sva-
rer med sproglige tilpasninger uden indholdsmæssig betyd-
ning til NIS 2-direktivets artikel 33, stk. 1 og 2, og skal
forstås og anvendes i overensstemmelse med direktivets for-
udsætninger.
Det foreslås i nr. 5, at Styrelsen for Samfundssikkerhed kan
kræve at få adgang til data, dokumenter og oplysninger, der
er nødvendige for udførelsen af tilsynsopgaven, herunder til
afgørelse af, om et forhold er omfattet af denne lov eller
regler udstedt i medfør af loven.
Den foreslåede bestemmelse vil gennemføre artikel 33, stk.
1 og 2, i NIS 2-direktivet. Den foreslåede bestemmelse sva-
rer med sproglige tilpasninger uden indholdsmæssig betyd-
ning til NIS 2-direktivets artikel 33, stk. 1 og 2, og skal
forstås og anvendes i overensstemmelse med direktivets for-
udsætninger.
Det foreslås i nr. 6, at Styrelsen for Samfundssikkerhed kan
kræve at få udleveret dokumentation for gennemførelsen af
sikkerhedspolitikker.
Den foreslåede bestemmelse vil gennemføre artikel 33, stk.
1 og 2, i NIS 2-direktivet. Den foreslåede bestemmelse sva-
rer med sproglige tilpasninger uden indholdsmæssig betyd-
ning til NIS 2-direktivets artikel 33, stk. 1 og 2, og skal
forstås og anvendes i overensstemmelse med direktivets for-
udsætninger.
Det foreslås i nr. 7, at Styrelsen for Samfundssikkerhed kan
kræve at få skriftlige udtalelser og redegørelser om faktisk
forhold af betydning for Styrelsen for Samfundssikkerheds
tilsynsvirksomhed.
Den foreslåede bestemmelse vil gennemføre artikel 33, stk.
1 og 2, i NIS 2-direktivet. Den foreslåede bestemmelse sva-
rer med sproglige tilpasninger uden indholdsmæssig betyd-
ning til NIS 2-direktivets artikel 33, stk. 1 og 2, og skal
forstås og anvendes i overensstemmelse med direktivets for-
udsætninger.
Det er Ministeriet for Samfundssikkerhed og Beredskabs
opfattelse, at der for de foreslåede tilsynsforanstaltninger
vil være tale om et indgreb, der er omfattet af lov om rets-
sikkerhed ved forvaltningens anvendelse af tvangsindgreb
og oplysningspligter. Dette indebærer, at retten til ikke at
inkriminere sig selv, jf. kapitel 4 i nævnte lov, skal over-
holdes. Det bemærkes dog, at det af bemærkningerne til
§ 10 i lov om retssikkerhed ved forvaltningens anvendelse
af tvangsindgreb og oplysningspligter fremgår, at »[b]estem-
melsen [om forbud mod selvinkriminering] er ikke til hin-
der for, at den mistænkte kan pålægges at give (faktuelle)
oplysninger, som er uden betydning for bedømmelsen af,
hvorvidt den pågældende har begået en lovovertrædelse, der
kan medføre straf.«
Det følger af det foreslåede stk. 2, at de Styrelsen for Sam-
fundssikkerhed ved anvendelsen af tiltagene i stk. 1, nr.
4-7, skal Styrelsen for Samfundssikkerhed angive formålet
med tiltaget og præcisere, hvilke oplysninger der kræves
68
udleveret og hvordan og i hvilken form oplysningerne og
materialet nævnt i stk. 1, nr. 4-7, skal udleveres.
Den foreslåede bestemmelse indebærer, at Styrelsen for
Samfundssikkerhed i forbindelse med, at der stilles krav om
udlevering af oplysninger eller materiale efter de foreslåede
bestemmelser i stk. 1, nr. 4-7 samtidig kan kræve, at oplys-
ningerne eller materialet udleveres på en bestemt måde, på
et bestemt sprog og i en bestemt form.
Der vil eksempelvis kunne stilles krav om anvendelse af
bestemte skemaer, eller at der skal foretages indtastninger på
en hjemmeside.
Den foreslåede bestemmelse vil gennemføre NIS 2-direkti-
vets artikel 33, stk. 3, hvorefter de kompetente myndigheder
ved udøvelsen af deres beføjelser i henhold til artikel 33,
stk. 2, litra d, e, og f, skal angive formålet med anmodnin-
gen og præcisere, hvilke oplysninger der anmodes om.
Til § 23
Det foreslås i stk. 1, at Styrelsen for Samfundssikkerhed kan
anvende følgende håndhævelsesforanstaltninger over for en
vigtig teleudbyder: 1) udstede advarsler om teleudbyderens
overtrædelse af kapitel 2-4 og regler udstedt i medfør heraf,
2) udstede bindende instrukser, herunder vedrørende foran-
staltninger, der er nødvendige for at forhindre eller afhjælpe
en hændelse, samt frister for gennemførelse af sådanne for-
anstaltninger og for rapportering om deres gennemførelse
eller pålægge de pågældende enheder at afhjælpe de konsta-
terede mangler eller overtrædelserne af denne lov, 3) medde-
le udbyderen påbud og forbud for at sikre overholdelsen af
de krav, der er fastsat i loven eller regler udstedt i medfør
af loven, 4) påbyde udbyderen at underrette de fysiske el-
ler juridiske personer, til hvilke udbyderen leverer tjenester
eller udfører aktiviteter, som potentielt kan være berørt af
en væsentlig cybertrussel, om denne trussels karakter samt
om eventuelle beskyttelsesforanstaltninger eller afhjælpende
foranstaltninger, som de fysiske eller juridiske personer kan
træffe som reaktion på denne trussel, 5) påbyde udbyderen
at gennemføre de anbefalinger, der er fremsat i forbindelse
med en gennemført sikkerhedsaudit, og 6) påbyde udbyde-
ren i ikke-anonymiseret form og på en nærmere angiven
måde at offentliggøre afgørelser om håndhævelsesforanstalt-
ninger efter nr. 1-3 samt resumeer af domme eller bødeved-
tagelser, hvor der idømmes eller vedtages en bøde.
Den foreslåede bestemmelse vil gennemføre artikel 33, stk.
1 og 2, i NIS 2-direktivet.
Den foreslåede bestemmelse vil gennemføre artikel 33, stk.
4, litra a-g, i NIS 2-direktivet for så vidt angår telesektoren.
Den foreslåede bestemmelse svarer med sproglige tilpasnin-
ger uden indholdsmæssig betydning til NIS 2-direktivets
artikel 33, stk. 4, litra a-g, og skal forstås og anvendes i
overensstemmelse med direktivets forudsætninger.
Det bemærkes i den forbindelse, at det følger af NIS 2-di-
rektivets artikel 32, stk. 1, at de håndhævelsesforanstaltnin-
ger, der anvendes overfor væsentlige teleudbydere i medfør
af den foreslåede bestemmelse, skal være effektive, stå i et
rimeligt forhold til overtrædelsen og have en afskrækkende
virkning under hensyntagen til omstændighederne i hver
enkelt sag.
Det følger af den foreslåede bestemmelse, at Styrelsen for
Samfundssikkerhed skal foretage en konkret vurdering af
omstændighederne i hver enkelt sag, når centret anvender
håndhævelsesforanstaltningerne over for væsentlige teleud-
bydere, således at proportionalitetsprincippet overholdes ved
valg mellem de oplistede håndhævelsesmuligheder.
De foranstaltninger, der anvendes i forhold til vigtige te-
leudbydere skal i overensstemmelse med NIS 2-direktivets
artikel 33, stk. 1, være effektive, stå i rimeligt forhold til
overtrædelsen og have en afskrækkende virkning under hen-
syntagen til omstændighederne i hver enkelt sag.
Det følger af den foreslåede bestemmelse, at Styrelsen
for Samfundssikkerhed skal foretage en konkret vurdering
af omstændighederne i hver enkelt sag, når centret anven-
der håndhævelsesforanstaltningerne over for vigtige udby-
dere. Styrelsen for Samfundssikkerhed skal derfor i overens-
stemmelse med NIS 2-direktivets artikel 32, stk. 7, litra
a, jf. artikel 33, stk. 5, tage hensyn til: 1) overtrædelsens
grovhed og vigtigheden af de overtrådte bestemmelser, idet
bl.a. følgende under alle omstændigheder skal betragtes som
alvorlige overtrædelser: a) gentagne overtrædelser, b) mang-
lende underretning om eller afhjælpning af væsentlige hæn-
delser, c) manglende afhjælpning af mangler efter bindende
instrukser fra Styrelsen for Samfundssikkerhed, d) hindrin-
ger for audits eller overvågningsaktiviteter beordret af Sty-
relsen for Samfundssikkerhed efter konstatering af en over-
trædelse, og e) afgivelse af urigtige eller klart unøjagtige
oplysninger vedrørende cybersikkerhedsrisikostyringsforan-
staltninger eller rapporteringsforpligtelser, der er fastsat i § 5
og §§ 11-14, 2) overtrædelsens varighed, 3) den pågældende
udbyders relevante tidligere overtrædelser, 4) enhver fysisk
eller ikke fysisk skade, der er forårsaget, herunder ethvert
finansielt eller økonomisk tab, virkninger for andre tjenester
og antallet af brugere, der er berørt, 5) hvorvidt der ved
overtrædelsen er handlet forsætligt eller uagtsomt, 6) enhver
foranstaltning truffet af udbyderen for at forebygge eller
afbøde den fysisk eller ikke fysisk skade, 7) hvorvidt god-
kendte adfærdskodekser eller godkendte certificeringsmeka-
nismer er overholdt, og 8) i hvilken udstrækning de fysiske
eller juridiske personer, der holdes ansvarlige for overtræ-
delsen, samarbejder med Styrelsen for Samfundssikkerhed.
Det følger endvidere af NIS 2-direktivets artikel 32, stk. 7,
at en kompetent myndighed ved anvendelsen af håndhævel-
sesforanstaltninger skal overholde retten til forsvar. Dette
sikres ved, at et påbud eller forbud efter den foreslåede § 25,
vil være omfattet af forvaltningslovens almindelige regler,
herunder bestemmelserne i kapitel 3 (om vejledning og re-
præsentation mv.), kapitel 5 (om partshøring), kapitel 6 (om
begrundelse mv.) og kapitel 7 (om klagevejledning). Der-
69
udover vil der være mulighed for at påklage afgørelsen i
medfør af det ulovbestemte princip om administrativ rekurs,
ligesom afgørelsen vil kunne indbringes for domstolene.
Der vil i forbindelse med en afgørelse om påbud eller forbud
efter den foreslåede § 23 blive fastsat en frist, inden for
hvilken udbyderen skal overholde indholdet i afgørelsen.
Det følger af det foreslåede nr. 1, at Styrelsen for Samfunds-
sikkerhed kan udstede advarsler om teleudbyderens overtræ-
delse af kapitel 2-4, og regler udstedt i medfør heraf.
Den foreslåede bestemmelse indebærer, at Styrelsen for
Samfundssikkerhed kan udstede advarsler om teleudbyde-
rens overtrædelse af kapitel 2-4, og regler udstedt i medfør
heraf.
Det følger af den foreslåede nr. 2, at Styrelsen for Sam-
fundssikkerhed kan udstede bindende instrukser, herunder
vedrørende foranstaltninger, der er nødvendige for at for-
hindre eller afhjælpe en hændelse, samt frister for gennem-
førelse af sådanne foranstaltninger og for rapportering om
deres gennemførelse eller pålægge de pågældende enheder
at afhjælpe de konstaterede mangler eller overtrædelserne af
denne lov.
Det følger af det foreslåede nr. 3, at Styrelsen for Samfunds-
sikkerhed kan meddele udbyderen påbud og forbud for at
sikre overholdelsen af de krav, der er fastsat i loven eller
regler udstedt i medfør af loven.
I tilfælde af, at udbyderen ikke lever op til de krav, der er
fastsat i loven, vil Styrelsen for Samfundssikkerhed eksem-
pelvis kunne angive, hvilke nærmere foranstaltninger udby-
deren skal træffe. Det kan eksempelvis være organisatoriske
foranstaltninger vedrørende passende rolle- og ansvarsfor-
deling, herunder forbud mod ansvarssammenfald eller pro-
cedurer i relation til erhvervelse og udvikling af net- og
informationssystemer, tekniske foranstaltninger vedrørende
sikkerhedskopiering af data, eller om udbyderens anvendel-
se af bestemte logningsmetoder.
Det følger af det foreslåede nr. 4, at Styrelsen for Samfunds-
sikkerhed kan påbyde udbyderen at underrette de fysiske el-
ler juridiske personer, til hvilke udbyderen leverer tjenester
eller udfører aktiviteter, som potentielt kan være berørt af
en væsentlig cybertrussel, om denne trussels karakter samt
om eventuelle beskyttelsesforanstaltninger eller afhjælpende
foranstaltninger, som de fysiske eller juridiske personer kan
træffe som reaktion på denne trussel.
Bestemmelsen skal ses i sammenhæng med den foreslåede
bestemmelse i § 12, stk. 2, som indeholder en forpligtel-
se for væsentlige teleudbydere og vigtige teleudbydere til
i relevant omfang at underrette modtagerne af deres tjene-
ster, som potentielt er berørt af en væsentlig cybertrussel,
om eventuelle foranstaltninger eller modforholdsregler, som
modtagerne kan træffe som reaktion på den pågældende
trussel. Hvor det er relevant, skal udbyderne også informere
de pågældende modtagere om den væsentlige cybertrussel.
Med det foreslåede nr. 4 vil Styrelsen for Samfundssikker-
hed kunne påbyde, at der skal foretages underretning af
modtagerne af udbyderens tjenester, uanset om udbyderen
selv vurderer, at det er relevant.
Det følger af det foreslåede nr. 5, at Styrelsen for Samfunds-
sikkerhed kan påbyde udbyderen at gennemføre de anbefa-
linger, der er fremsat i forbindelse med en gennemført sik-
kerhedsaudit.
Bestemmelsen skal ses i sammenhæng med den foreslåede §
22, stk. 1, nr. 2, hvorefter Styrelsen for Samfundssikkerhed
kan foretage målrettede sikkerhedsaudits eller stille krav
om, at udbyderen får et kvalificeret uafhængigt organ til at
foretage disse audits.
Det følger af det foreslåede nr. 6, at Styrelsen for Samfunds-
sikkerhed kan påbyde udbyderen i ikke-anonymiseret form
og på en nærmere angiven måde at offentliggøre afgørelser
om håndhævelsesforanstaltninger efter nr. 1-3 samt resume-
er af domme eller bødevedtagelser, hvor der idømmes eller
vedtages en bøde.
I overensstemmelse med principperne i betænkning nr. 1516
om offentlige myndigheders offentliggørelse af kontrolresul-
tater, afgørelser mv. forudsættes det, at den kompetente
myndighed ved beslutningen om, hvilke oplysninger en
enhed pålægges at offentliggøre, i fornødent omfang bl.a.
iagttager de hensyn til fortrolighed, der fremgår af forvalt-
ningslovens § 27 om offentligt ansattes tavshedspligt, her-
under bl.a. hensynene til enkeltpersoners private forhold,
forretningshemmeligheder samt forebyggelse, efterforskning
og forfølgning af lovovertrædelser.
Til § 24
Det følger af den foreslåede § 24, at inden Styrelsen for
Samfundssikkerhed træffer afgørelse om at anvende hånd-
hævelsesforanstaltninger efter §§ 20, 21 og 23, underrettes
den berørte væsentlige eller vigtige teleudbyder om de på-
tænkte håndhævelsesforanstaltninger og begrundelsen her-
for. Styrelsen for Samfundssikkerhed skal give udbyderen
en rimelig frist til at fremsætte bemærkninger, undtagen i
tilfælde hvor formålet med foranstaltningen ellers ville for-
spildes.
Den foreslåede bestemmelse vil gennemføre artikel 32, stk.
8, NIS 2-direktivet, for så vidt angår telesektoren. Artikel
32, stk. 8, fastsætter, at de kompetente myndigheder giver
en detaljeret begrundelse for deres håndhævelsesforanstalt-
ninger. Inden de kompetente myndigheder træffer sådanne
foranstaltninger, underretter de kompetente myndigheder de
berørte enheder om deres foreløbige resultater. De giver
også disse enheder en rimelig frist til at fremsætte bemærk-
ninger, undtagen i behørigt begrundede tilfælde, hvor øje-
blikkelige foranstaltninger til at forebygge eller reagere på
hændelser ellers ville blive hindret. Det bemærkes, at artikel
32, stk. 8, også finder anvendelse på vigtige enheder, jf.
artikel 33, stk. 5.
70
Den foreslåede bestemmelse svarer indholdsmæssigt til NIS
2-direktivets artikel 32, stk. 8, jf. artikel 33, stk. 5, og skal
forstås og anvendes i overensstemmelse med direktivets for-
udsætninger.
Den foreslåede bestemmelse indeholder en forpligtelse for
Styrelsen for Samfundssikkerhed til at foretage en høring af
den væsentlige teleudbyder eller vigtige teleudbyder, før der
træffes beslutning om at anvende en påtænkt håndhævelses-
foranstaltning efter §§ 20-22.
Høringsskrivelsen skal være ledsaget af en nærmere begrun-
delse for den påtænkte håndhævelsesforanstaltning, ligesom
det skal fremgå klart, at der er tale om en høring, at der
ikke er truffet afgørelse i sagen endnu, at udbyderens be-
mærkninger til høringen kan få indflydelse på resultatet, og
at Styrelsen for Samfundssikkerhed lader agterskrivelsen få
virkning som en afgørelse, hvis udbyderen ikke kommer
med bemærkninger til høringen inden dennes udløb.
Høringsskrivelsen skal indeholde en rimelig frist for udby-
deren til at afgive bemærkninger til høringsskrivelsens ind-
hold. Kravet om at fastsætte en rimelig frist gælder dog ikke
i behørigt begrundede tilfælde, hvor øjeblikkelige foranstalt-
ninger til at forebygge eller reagere på hændelser ellers ville
blive hindret.
Det forudsættes, at høringen foretages i overensstemmelse
med forvaltningslovens regler om partshøring.
Til § 25
Det foreslås i stk. 1, at Styrelsen for Samfundssikkerhed i
ikke-anonymiseret form kan offentliggøre 1) afgørelser om
påbud meddelt i medfør af af § 13, stk. 5 og 7 og 18, stk. 1
og 2, og afgørelser truffet i medfør af regler, der er udstedt i
medfør af 7, stk. 5, nr. 1-3, § 13, stk. 5, 2. pkt., og § 18, stk.
2, 2. pkt., 2) resultater af tilsyn efter § 19 og 22, 3) resumeer
af domme eller bødevedtagelser, hvor der idømmes eller
vedtages en bøde for overtrædelse af denne lov eller regler,
der er udstedt i medfør af denne lov, og 4) resumeer af
domme i retssager, hvor Styrelsen for Samfundssikkerhed er
part.
Bestemmelsen viderefører indholdet af § 10, stk. 1, i lov om
sikkerhed i net og tjenester, jf. lovbekendtgørelse nr. 153 af
1. februar 2021, som ændret ved § 18 i lov nr. 1156 af 8.
juni 2021.
Ministeriet for Samfundssikkerhed og Beredskab finder det
således henset til vurderingen af det aktuelle trusselsniveau
mod telesektoren væsentligt at opretholde det nuværende
sikkerhedsniveau for sektoren. Der er med videreførelsen af
bestemmelsen ikke tilsigtet materielle ændringer af bestem-
melsens indhold.
Den foreslåede bestemmelse har til formål at give væsentli-
ge og vigtige teleudbydere øget incitament til at overholde
kravene til sikkerhed i net og informationssystemer og be-
redskab, ligesom bestemmelsen giver telekunder mulighed
for at vurdere, i hvilket omfang de enkelte udbydere har
levet op til lovgivningens krav.
Offentliggørelse af afgørelser efter nr. 1, indebærer, at der
kan ske offentliggørelse i sager, hvor en væsentlig eller
vigtig teleudbyder ikke lever op til kravene til sikkerhed i
net og informationssystemer eller beredskab, såvel som i
sager, hvor Styrelsen for Samfundssikkerhed giver påbud til
en udbyder om eksempelvis at foretage nærmere angivne
foranstaltninger til sikring af sikkerheden i net og informati-
onssystemer. Der vil også kunne ske offentliggørelse i sag-
er, hvor Styrelsen for Samfundssikkerhed på baggrund af
eksempelvis en klage konstaterer, at en udbyder overholder
kravene til sikkerhed i net og informationssystemer og be-
redskab. Styrelsen for Samfundssikkerheds beslutning om at
overgive sager til politimæssig efterforskning vil også kunne
offentliggøres efter bestemmelsen.
Efter nr. 2, kan Styrelsen for Samfundssikkerhed endvidere
offentliggøre resultater af tilsyn udført efter §§ 19 og 22.
Sådanne tilsynsresultater kan omfatte styrelsens tilsynsrap-
porter, ligesom det vil kunne omfatte statistik, eksempelvis
i form af en kvartalsvis eller årlig opgørelse over antallet af
påbud til de enkelte teleudbydere.
Det foreslås endvidere med nr. 3, at resuméer af domme
eller bødevedtagelser, hvor der idømmes eller vedtages en
bøde for overtrædelse af denne lov eller regler, der er ud-
stedt i medfør af denne lov, skal kunne offentliggøres.
Herudover skal der efter nr. 4, kunne ske offentliggørelse
af resuméer af domme i retssager vedrørende sikkerhed i
net og informationssystemer og beredskab på teleområdet,
og hvor Styrelsen for Samfundssikkerhed er part om forhold
omfattet af denne lov. Der sker ikke med bestemmelsen en
fravigelse af retsplejelovens regler om aktindsigt i domme.
Offentliggørelse vil ske på Styrelsen for Samfundssikker-
heds hjemmeside i ikke-anonymiseret form. Det vil således
fremgå af det offentliggjorte materiale, hvilken udbyder af-
gørelsen, tilsynsresultatet, dommen eller bødevedtagelsen er
rettet imod.
I overensstemmelse med principperne i betænkning nr. 1516
om offentlige myndigheders offentliggørelse af kontrolresul-
tater, afgørelser mv. forudsættes det, at Styrelsen for Sam-
fundssikkerhed ved beslutningen om, hvilke oplysninger
en udbyder pålægges at offentliggøre, i fornødent omfang
bl.a. iagttager de hensyn til fortrolighed, der fremgår af
forvaltningslovens § 27 om offentlig ansattes tavshedspligt,
herunder bl.a. hensynene til enkeltpersoners private forhold,
forretningshemmeligheder samt forebyggelse, efterforskning
og forfølgning af lovovertrædelser.
Det foreslås i stk. 2, at offentliggørelse efter stk. 1 ikke må
indeholde de i bestemmelsens nr. 1-4 angivne oplysninger.
Bestemmelsen viderefører indholdet af § 10, stk. 2, i lov om
sikkerhed i net og tjenester.
71
Det foreslås med nr. 1, at offentliggørelsen ikke må indehol-
de oplysninger vedrørende tekniske indretninger eller frem-
gangsmåder eller om drifts- eller forretningsforhold eller
lignende, for så vidt det er af væsentlig økonomisk betyd-
ning for den væsentlige teleudbyder eller vigtige teleudby-
der, oplysningerne angår. Definitionen af oplysninger vedrø-
rende tekniske indretninger mv. skal forstås i overensstem-
melse med § 30, nr. 2, i offentlighedsloven og skal fortolkes
i overensstemmelse med denne bestemmelses forarbejder og
relevante praksis.
Efter nr. 2, vil oplysninger undtages fra offentliggørelse i det
omfang, det er af væsentlig betydning for statens sikkerhed
eller rigets forsvar. Vurderingen af, hvornår offentliggørelse
af oplysninger kan være af væsentlig betydning for statens
sikkerhed eller rigets forsvar, skal foretages i overensstem-
melse med principperne i § 31 i offentlighedsloven.
Desuden vil klassificerede informationer efter nr. 3, blive
slettet i det materiale, der offentliggøres.
Efter nr. 4, vil der endvidere ikke ske offentliggørelse af
fortrolige oplysninger, der hidrører fra myndigheder i andre
EU-medlemsstater, jf. den foreslåede § 27, stk. 2, medmin-
dre de myndigheder, der har afgivet oplysningerne, har givet
deres udtrykkelige tilladelse til offentliggørelsen.
Endelig vil enkeltpersoners forhold efter nr. 5 blive slettet
inden offentliggørelsen. Det kan eksempelvis være oplysnin-
ger om navne, adresser eller telefonnumre på klagere eller
andre berørte parter, som vil skulle undtages fra offentliggø-
relsen.
Det bemærkes i øvrigt, at Styrelsen for Samfundssikkerhed
forudsættes ikke at offentliggøre afgørelser eller tilsynsre-
sultater, såfremt efterforskningsmæssige hensyn taler deri-
mod.
Det foreslås i stk. 3, at ministeren for samfundssikkerhed
og beredskab kan fastsætte nærmere regler om sagsbehand-
lingen i forbindelse med offentliggørelse efter stk. 1.
Bestemmelsen er en videreførelse af § 10, stk. 3, i lov om
sikkerhed i net og tjenester.
Bestemmelsens stk. 3, bemyndiger Styrelsen for Samfunds-
sikkerhed til at fastsætte nærmere regler for styrelsens sags-
behandling i forbindelse med offentliggørelser efter stk. 1.
Styrelsen for Samfundssikkerhed vil med hjemmel i bestem-
melsen eksempelvis kunne fastsætte regler for, hvornår der
kan ske offentliggørelse. Styrelsen for Samfundssikkerhed
vil endvidere kunne fastsætte regler om forudgående høring
eller orientering af en udbyder vedrørende spørgsmålet om
en forestående offentliggørelse af en afgørelse eller tilsyns-
resultat mv.
Styrelsen for Samfundssikkerhed vil herudover kunne fast-
sætte regler om, at det skal fremgå af offentliggørelsen, så-
fremt en afgørelse er påklaget til Ministeriet for Samfunds-
sikkerhed og Beredskab, eller såfremt der verserer en sag for
domstolene.
Endelig vil Styrelsen for Samfundssikkerhed kunne fastsæt-
te regler om, hvor lang tid den pågældende afgørelse, til-
synsresultat mv. skal være offentligt tilgængelige på styrel-
sens hjemmeside.
Til § 26
Det foreslås i stk. 1, at de forpligtelser, der er fastsat i denne
lov eller i regler udstedt i medfør af loven, ikke omfatter
meddelelse af oplysninger, hvis videregivelse ville stride
mod væsentlige interesser af hensyn til den nationale sikker-
hed, offentlige sikkerhed eller forsvar.
Bestemmelsen gennemfører artikel 2, stk. 11, i NIS 2-di-
rektivet, for så vidt angår telesektoren. Artikel 2, stk. 11,
fastsætter, at de forpligtelser, der er fastsat i direktivet, ikke
omfatter meddelelse af oplysninger, hvis videregivelse ville
stride mod væsentlige interesser med hensyn til medlemssta-
ternes nationale sikkerhed, offentlige sikkerhed eller forsvar.
Ved vurderingen af, om der er tale om en oplysning, der
er omfattet af undtagelsen skal det ifølge NIS 2-direktivets
præambelbetragtning nr. 9, 4. pkt., tages hensyn til, om
videregivelse ville stride mod dens væsentlige interesser
med hensyn til national sikkerhed, offentlig sikkerhed eller
forsvar. Det følger samme sted, at nationale regler eller
EU-regler om beskyttelse af fortrolige oplysninger, hemme-
ligholdelsesaftaler og uformelle hemmeligholdelsesaftaler,
f.eks. Traffic Light Protocol, bør tages i betragtning i denne
sammenhæng. Traffic Light Protocol skal forstås som et
middel til at informere om eventuelle begrænsninger, for
så vidt angår den videre spredning af oplysninger. Den
anvendes i næsten alle enheder, der håndterer it-sikkerheds-
hændelser (CSIRT᾽er), og i nogle informationsanalyse- og
informationsdelingscentre.
Den foreslåede bestemmelse svarer indholdsmæssigt til NIS
2-direktivets artikel 2, stk. 11, og skal forstås og anvendes i
overensstemmelse med direktivets forudsætninger.
Det følger af det foreslåede stk. 2, at oplysninger, der mod-
tages eller hidrører fra myndigheder i andre EU-medlems-
stater, behandles som fortrolige, såfremt den afgivende myn-
dighed betragter oplysningerne som fortrolige i henhold til
EU-regler eller nationale regler.
Den foreslåede bestemmelse vil bl.a. sikre, at oplysninger,
som de danske myndigheder modtager fra andre medlems-
stater eller EU-institutioner i medfør af NIS 2-direktivets
artikel 23, stk. 6, vil blive behandlet med den fornødne
fortrolighed.
Det følger således af NIS 2-direktivets artikel 23, stk. 6, at
hvor det er relevant, og navnlig hvor en væsentlig hændelse
berører to eller flere medlemsstater, informerer CSIRT᾽en,
den kompetente myndighed eller det centrale kontaktpunkt
72
uden unødigt ophold de øvrige berørte medlemsstater og
ENISA om den væsentlige hændelse.
Den foreslåede bestemmelse vil finde anvendelse, uanset om
oplysningerne modtages direkte fra den pågældende natio-
nale myndighed eller via andre, herunder Europa-Kommis-
sionen.
Til § 27
Det foreslås i stk. 1, at Styrelsen for Samfundssikkerhed
hos væsentlige og vigtige teleudbydere kan indsamle oplys-
ninger med henblik på at videregive disse til Kommissio-
nen, Den Europæiske Unions Agentur for Cybersikkerhed
eller nationale tilsynsmyndigheder i andre EU-medlemssta-
ter, idet omfang det er nødvendigt for, at disse kan opfylde
deres opgaver i forhold til traktatmæssige forpligtelser eller
forpligtelser i henhold til den gældende EU-ret.
Bestemmelsen viderefører § 12, stk. 1, i lov om sikkerhed i
net og tjenester, jf. lovbekendtgørelse nr. 153 af 1. februar
2021, som ændret ved § 18 i lov nr. 1156 af 8. juni 2021.
Bestemmelsen gennemfører delvist artikel 20, stk. 2, i EU’s
telekodeks samt artikel 40, stk. 2, i EU’s telekodeks, som
ophæves ved artikel 43 i NIS 2-direktivet.
Efter det foreslåede stk. 1, kan Styrelsen for Samfundssik-
kerhed indsamle oplysninger om sikkerhed i net og informa-
tionssystemer og beredskab på teleområdet hos teleudbydere
med henblik på at videregive oplysningerne til Kommissi-
onen eller nationale tilsynsmyndigheder i andre EU-med-
lemsstater. Det foreslås, at bestemmelsen også skal omfatte
indsamling af oplysninger om sikkerhed i net og informati-
onssystemer med henblik på videregivelse af oplysningerne
til ENISA, som har til opgave at sikre en høj grad af net-
og informationssikkerhed i EU, og som bl.a. fungerer som et
forum for erfaringsudveksling for de nationale tilsynsmyn-
digheder.
Det foreslås i stk. 2, at Styrelsen for Samfundssikkerhed
orienterer teleudbydere, der er indsamlet oplysninger fra,
forud for videregivelse af oplysningerne til Kommissionen,
Den Europæiske Unions Agentur for Cybersikkerhed eller
nationale tilsynsmyndigheder i andre EU-medlemsstater.
Bestemmelsen viderefører 12, stk. 2, i lov om sikkerhed i
net og tjenester.
Bestemmelsen gennemfører delvist artikel 20, stk. 2, i EU’s
telekodeks.
Efter det foreslåede stk. 2 skal den væsentlige eller vigtige
teleudbyder hvis oplysninger videregives til Kommissionen
eller til myndigheder i andre EU-medlemsstater, orienteres
forud for videregivelsen. Styrelsen for Samfundssikkerhed
skal ikke afvente udbyderens eventuelle kommentarer eller
accept af videregivelsen. Det vil således være tilstrækkeligt,
at der i forbindelse med indsamlingen af oplysningerne ori-
enteres om videregivelsen. På baggrund af det foreslåede
stk. 1, vedrørende videregivelse af oplysninger til ENISA,
foreslås det, at Styrelsen for Samfundssikkerhed også orien-
terer de udbydere, der er indsamlet oplysninger fra, forud
for videregivelse af oplysningerne til ENISA.
Til § 28
Det foreslås i stk. 1, at hvor en væsentlig teleudbyder el-
ler en vigtig teleudbyder leverer tjenester i mere end én
medlemsstat i Den Europæiske Union, eller hvor udbyderen
leverer tjenester i en eller flere medlemsstater, og udbyde-
rens net- og informationssystemer er beliggende i en eller
flere andre medlemsstater, samarbejder Styrelsen for Sam-
fundssikkerhed med de andre medlemsstaters kompetente
myndigheder i relevant omfang. Samarbejdet indebærer, at:
1) Styrelsen for Samfundssikkerhed underretter de kompe-
tente myndigheder i relevante medlemsstater om tilsyns-
og håndhævelsesforanstaltninger iværksat over for teleudby-
dere i Danmark, 2) Styrelsen for Samfundssikkerhed kan
anmode en anden medlemsstats kompetente myndigheder
om at anvende tilsyns- og håndhævelsesforanstaltninger, og
3) Styrelsen for Samfundssikkerhed yder i rimeligt omfang
bistand til en anden medlemsstats kompetente myndighed
efter modtagelse af en begrundet anmodning herom om at
anvende tilsyns- og håndhævelsesforanstaltninger.
Bestemmelsen vil gennemføre artikel 37, stk. 1, i NIS 2-di-
rektivet, for så vidt angår telesektoren.
Det følger af NIS 2-direktivets artikel 37, stk. 1, 2. led, at
den gensidige bistand, der er omhandlet i litra c, kan omfat-
te anmodninger om oplysninger og tilsynsforanstaltninger,
herunder anmodninger om at foretage inspektioner på stedet
eller eksternt tilsyn eller målrettede sikkerhedskontroller. En
kompetent myndighed, som en anmodning om bistand er
rettet til, må ikke afvise anmodningen, medmindre det er
fastslået, at den ikke er kompetent til at yde den ønskede bi-
stand, at den bistand, der anmodes om, ikke står i et rimeligt
forhold til den kompetente myndigheds tilsynsopgaver, eller
anmodningen vedrører oplysninger eller indebærer aktivite-
ter, som, hvis de blev videregivet eller udført, ville stride
mod den medlemsstats væsentlige interesser med hensyn til
national sikkerhed, offentlige sikkerhed eller forsvar. Før
den kompetente myndighed afslår en sådan anmodning, hø-
rer den de øvrige berørte kompetente myndigheder samt,
efter anmodning fra en af de berørte medlemsstater, Europa-
Kommissionen og ENISA.
Den foreslåede bestemmelse svarer indholdsmæssigt til NIS
2-direktivets artikel 37, stk. 1, og skal forstås og anvendes i
overensstemmelse med direktivets forudsætninger.
Den foreslåede bestemmelse indebærer, at Styrelsen for
Samfundssikkerhed i relevant omfang skal samarbejde med
de kompetente myndigheder i andre medlemsstater om deres
opgaveudførelse vedrørende væsentlige og vigtige teleudby-
dere, der leverer tjenester i mere end én medlemsstat i Den
Europæiske Union, og udbyderens net- og informationssy-
stemer er beliggende i én eller flere andre medlemsstater.
73
Samarbejdet indebærer, at der skal ske underretning af de
kompetente myndigheder i relevante medlemsstater om an-
vendte tilsyns- og håndhævelsesforanstaltninger. At der skal
ske underretning til kompetente myndigheder i »relevante
medlemsstater« betyder, at der skal ske underretning til de
kompetente myndigheder i medlemsstater, hvor udbyderen
leverer tjenester, eller hvor udbyderens net- og informations-
systemer er beliggende.
Samarbejdet indebærer desuden, at Styrelsen for Samfunds-
sikkerhed kan anmode en anden medlemsstats kompetente
myndigheder om at iværksætte tilsyns- og håndhævelsesfor-
anstaltninger.
Samarbejdet indebærer endvidere, at Styrelsen for Sam-
fundssikkerhed i rimeligt omfang skal yde bistand til en
anden medlemsstats kompetente myndighed efter modtagel-
se af en begrundet anmodning herom. Denne bistand kan
omfatte anmodninger om oplysninger og tilsynsforanstalt-
ninger, herunder eksempelvis anmodninger om at foretage
kontrol på stedet eller målrettede sikkerhedsaudits.
En anmodning om bistand kan afvises, hvis anmodningen
ikke står i rimeligt forhold til Styrelsen for Samfundssikker-
heds tilsynsopgaver og ressourcer.
En anmodning om bistand kan desuden afvises, hvis anmod-
ningen vedrører videregivelsen af oplysninger eller indebæ-
rer udførelsen af aktiviteter, som ville stride mod væsentli-
ge interesser med hensyn til national sikkerhed, offentlige
sikkerhed eller forsvar. Før der kan ske afvisning af en
anmodning, skal Styrelsen for Samfundssikkerhed høre de
relevante kompetente myndigheder i andre medlemsstater
samt, efter anmodning fra en af de relevante kompetente
myndigheder i andre medlemsstater, Europa-Kommissionen
og ENISA.
Efter NIS 2-direktivets præambelbetragtning nr. 134 er for-
målet med bestemmelsen i direktivets artikel 37 at sikre, at
enhederne overholder de forpligtelser, der er fastsat i direkti-
vet. En anmodning om gensidig bistand efter den foreslåede
stk. 1 vil derfor ikke blive imødekommet, såfremt anmod-
ningen entydigt vedrører en anden medlemsstats nationale
overimplementering af NIS 2- direktivet.
Det følger af det foreslåede stk. 2, at Styrelsen for Sam-
fundssikkerhed efter nærmere aftale kan gennemføre fælles
tilsynstiltag med kompetente myndigheder fra andre med-
lemsstater i Den Europæiske Union.
Bestemmelsen vil gennemføre NIS 2-direktivets artikel 37,
stk. 2, for så vidt angår telesektoren. Det følger af artikel 37,
stk. 2, at hvor det er hensigtsmæssigt og efter fælles over-
enskomst, kan de kompetente myndigheder fra forskellige
medlemsstater gennemføre fælles tilsynstiltag.
Den foreslåede bestemmelse svarer således indholdsmæssigt
til NIS 2-direktivets artikel 37, stk. 2, og skal forstås og an-
vendes i overensstemmelse med direktivets forudsætninger.
Der stilles med den foreslåede bestemmelse ikke nærmere
formkrav til den aftale, der indgås om udførelsen af fælles
tilsynstiltag.
Den foreslåede bestemmelse indebærer ikke, at andre med-
lemsstaters myndigheder selvstændigt kan udøve tilsynsbe-
føjelser her i landet. Tilsynsforanstaltninger vil således altid
foretages under Styrelsen for Samfundssikkerheds ansvar.
Til § 29
Det følger af den foreslåede § 29, at ministeren for sam-
fundssikkerhed og beredskab kan fastsætte regler, som er
nødvendige for at gennemføre retsakter udstedt af Europa-
Kommissionen i medfør af NIS 2-direktivet.
Europa-Kommissionen er flere steder i NIS 2-direktivet til-
lagt kompetence til at vedtage retsakter, der nærmere ud-
mønter bestemte dele af direktivet.
For så vidt angår væsentlige teleudbydere og vigtige teleud-
bydere, kan Europa-Kommissionen i medfør af artikel 21,
stk. 5, 2. led, vedtage gennemførelsesretsakter, der fastsætter
de tekniske og metodologiske samt om nødvendigt sektor-
specifikke krav til de foranstaltninger, der er omhandlet i
direktivets artikel 21, stk. 2 (foranstaltninger til styring af
cybersikkerhedsrisici).
Ved udarbejdelsen af de nævnte gennemførelsesretsakter
følger Europa-Kommissionen i videst muligt omfang euro-
pæiske og internationale standarder samt relevante tekniske
specifikationer. Europa-Kommissionen samarbejder med
samarbejdsgruppen og ENISA om udkastene til gennemfø-
relsesretsakter.
Det følger desuden af NIS 2-direktivets artikel 23, stk. 11,
at Europa-Kommissionen kan vedtage gennemførelsesrets-
akter, der yderligere præciserer typen af oplysninger, forma-
tet og proceduren for en underretning indgivet i henhold
til artikel 23, stk. 1 (underretning af myndighederne om
hændelser), og artikel 30 (frivillig meddelelse af relevante
oplysninger) og for en meddelelse, der er indgivet i henhold
til artikel 23, stk. 2 (oplysning til modtagerne af tjenester).
Det følger endvidere af NIS 2-direktivets artikel 24, stk.
2, at Europa-Kommissionen tillægges beføjelser til at ved-
tage delegerede retsakter for at supplere NIS 2-direktivet
ved at præcisere, hvilke kategorier af væsentlige og vigtige
enheder der skal anvende visse certificerede IKT-produkter,
-tjenester og -processer eller indhente en attest i henhold
til en europæisk cybersikkerhedscertificeringsordning, der
er vedtaget i henhold til artikel 49 i Europa-Parlamentets
og Rådets forordning (EU) 2019/881 af 17. april 2019 om
ENISA (Den Europæiske Unions Agentur for Cybersikker-
hed), om cybersikkerhedscertificering af informations- og
kommunikationsteknologi og om ophævelse af forordning
(EU) nr. 526/2013 (forordningen om cybersikkerhed). Disse
delegerede retsakter vedtages, når der er identificeret util-
strækkelige cybersikkerhedsniveauer og skal indeholde en
gennemførelsesperiode.
74
Ministeren for samfundssikkerhed og beredskab får efter
bestemmelsen hjemmel til inden for telesektoren at fastsæt-
te regler, som er nødvendige for at gennemføre retsakter
udstedt af Europa-Kommissionen.
Til § 30
Det følger af den foreslåede § 30, at ministeren for sam-
fundssikkerhed og beredskab kan fastsætte regler om digi-
tal kommunikation, herunder om anvendelsen af bestemte
it-systemer og særlige digitale formater samt digital signatur
eller lignende.
Den foreslåede bestemmelse indebærer, at det kan gøres
obligatorisk for væsentlige teleudbydere og vigtige teleud-
bydere at anvende bestemte internetløsninger, herunder selv-
betjeningsløsninger.
Der kan endvidere med hjemmel i bestemmelsen fastsættes
regler om, hvem der omfattes af pligten til at kommunikere
digitalt, om hvilke forhold, og på hvilken måde.
Bestemmelsen forventes navnlig anvendt til at fastsætte reg-
ler om, hvordan væsentlige teleudbydere og vigtige teleud-
bydere skal foretage underretninger om hændelser i medfør
af de foreslåede §§ 8 og 9. Der vil eksempelvis kunne
fastsættes regler om anvendelse af bestemte digitale inter-
netløsninger såsom Virk.dk. Det kan eksempelvis også være
relevant at fastsætte regler om, at bl.a. registreringspligterne
i de foreslåede § 7 skal efterkommes ved anvendelse af
bestemte internetløsninger såsom Virk.dk.
Der kan med hjemmel i bestemmelsen fastsættes regler om,
at skriftlige henvendelser til Styrelsen for Samfundssikker-
hed om forhold, som er omfattet af et krav om digital kom-
munikation, ikke anses for behørigt modtaget af styrelsen,
hvis de indsendes på anden vis end den foreskrevne digitale
måde.
Hvis en væsentlig eller vigtig teleudbyder retter henvendelse
til Styrelsen for Samfundssikkerhed på anden måde end den
foreskrevne digitale måde, følger det af den almindelige vej-
ledningspligt, jf. forvaltningslovens § 7, stk. 2, at styrelsen
skal vejlede om reglerne på området, herunder om pligten til
at kommunikere digitalt.
Der kan desuden fastsættes regler om fritagelse for plig-
ten til digital kommunikation. Fritagelsesmuligheden tænkes
navnlig anvendt, hvor det er påkrævet at anvende en dansk
digital signatur, men der er tale om en virksomhed med
hjemsted i udlandet, og som dermed ikke kan få udstedt en
dansk digital signatur. Det bemærkes i den forbindelse, at
fritagelsesmuligheden er stærkt begrænset, idet der er tale
om kommunikation om erhvervsforhold, og idet virksomhe-
der med hjemsted i udlandet kun i begrænset omfang vil
høre under dansk jurisdiktion.
Det forhold, at en væsentlig eller vigtig teleudbyders com-
putere ikke fungerer, at udbyderen har mistet koden til sin
digitale signatur, eller at der opstår lignende hindringer, som
det er op til udbyderen at overvinde, vil ikke kunne føre til
fritagelse for pligten til digital kommunikation. I så fald må
den pågældende udbyder eksempelvis anmode en rådgiver
om at varetage kommunikationen på virksomhedens vegne.
Der kan efter bestemmelsen også fastsættes regler om, at
en digital meddelelse anses for at være kommet frem til
adressaten for meddelelsen på det tidspunkt, hvor meddelel-
sen er tilgængelig digitalt for adressaten. Dermed er der tale
om samme retsvirkning som ved fysisk post, der anses for
at være kommet frem, når den pågældende meddelelse mv.
er lagt i adressatens fysiske postkasse. En meddelelse vil
normalt anses for at være kommet frem, når meddelelsen er
tilgængelig digitalt for adressaten, således at vedkommende
har mulighed for at behandle meddelelsen. Dette tidspunkt
vil normalt blive registreret automatisk i adressatens it-sy-
stem.
Det bemærkes, at Europa-Kommissionen på visse punkter
er tillagt kompetence til at fastsætte nærmere regler om,
hvordan oplysninger skal afgives fra de væsentlige teleud-
bydere og de vigtige teleudbydere. Europa-Kommissionen
kan således bl.a. fastsætte nærmere regler om formatet og
proceduren for en underretning indgivet i henhold til artikel
23, stk. 1 (underretning af myndighederne om hændelser),
og artikel 30 (frivillig meddelelse af relevante oplysninger)
og for en meddelelse, der er indgivet i henhold til artikel
23, stk. 2 (oplysning til modtagerne af tjenester). Såfremt
Europa-Kommissionen måtte vælge at udnytte denne kom-
petence til at fastsætte nærmere regler, vil det skulle sikres,
at regler om digital kommunikation, der måtte være udstedt
eller siden udstedes i medfør af den foreslåede bestemmelse,
er i overensstemmelse med Europa-Kommissionens retsak-
ter.
Til § 31
Det foreslås i stk. 1, at den, der 1) overtræder § 5, stk. 1,
eller 2, § 7, stk. 1-3, § 8, stk. 2, jf. stk. 3, § 9, stk. 1 og
§ 11, stk. 1 og 2, 2) undlader at efterkomme Styrelsen for
Samfundssikkerheds afgørelse efter § 21, stk. 1, nr. eller
2, 3) undlader at efterkomme Styrelsen for Samfundssikker-
heds påbud efter § 13, stk. 5, eller § 18, stk. 1 og 2, 4)
undlader at efterkomme Styrelsen for Samfundssikkerheds
krav efter § 19, stk. 1, nr. 5-8, eller § 22, stk. 1, nr. 4-7 eller
5) hindrer Styrelsen for Samfundssikkerhed i at føre tilsyn
efter bestemmelserne i § 19, stk. 1, nr. 1-4, eller § 22, stk. 1,
nr. 1-3, straffes med bøde.
Den foreslåede bestemmelse vil gennemføre artikel 36, stk.
1, NIS 2-direktivet. Artikel 36, stk. 1, forpligter medlems-
staterne til at fastsætte regler om sanktioner, der skal anven-
des i tilfælde af overtrædelser af de nationale foranstaltnin-
ger, der er vedtaget i medfør af NIS 2-direktivet og til at
træffe alle nødvendige foranstaltninger for at sikre, at de
gennemføres. Sanktionerne skal være effektive, stå i rimeligt
forhold til overtrædelsen og have afskrækkende virkning.
Den foreslåede bestemmelse svarer med sproglige tilpasnin-
75
ger indholdsmæssigt til NIS 2-direktivets artikel 36, stk. 1,
og skal således forstås og anvendes i overensstemmelse med
direktivets forudsætninger.
Den foreslåede bestemmelse vil gennemføre artikel 36, stk.
1, i NIS 2-direktivet. Artikel 36, stk. 1, forpligter medlems-
staterne til at fastsætte regler om sanktioner, der skal anven-
des i tilfælde af overtrædelser af de nationale foranstaltnin-
ger, der er vedtaget i medfør af NIS 2-direktivet og til at
træffe alle nødvendige foranstaltninger for at sikre, at de
gennemføres. Sanktionerne skal være effektive, stå i rimeligt
forhold til overtrædelsen og have afskrækkende virkning.
Den foreslåede bestemmelse vil endvidere gennemføre NIS
2-direktivets artikel 34, hvoraf det følger, at medlemsstater-
ne sikrer, at de administrative bøder, der pålægges væsentli-
ge og vigtige enheder i henhold til artiklen, for så vidt angår
overtrædelser af direktivet, er effektive, står i rimeligt for-
hold til overtrædelsen og har afskrækkende virkning, under
hensyntagen til omstændighederne i hver enkelt sag.
Efter artikel 34, stk. 2, kan administrative bøder pålægges i
tillæg til en hvilken som helst af foranstaltningerne omhand-
let i artikel 32, stk. 4, litra a-h, artikel 32, stk. 5, og artikel
33, stk. 4, litra a-g.
Efter artikel 34, stk. 4, skal medlemsstaterne sikre, at hvor
væsentlige enheder overtræder artikel 21 (foranstaltninger til
styring af cybersikkerhedsrisici) eller 23 (rapporteringsfor-
pligtelser), straffes de i overensstemmelse med artiklernes
stk. 2 og 3 med administrative bøder med et maksimum
på mindst 10.000.000 euro eller et maksimum på mindst 2
pct. af den samlede globale årsomsætning i det foregående
regnskabsår i den virksomhed, som den væsentlige enhed
tilhører, alt efter hvad der er højest.
Det følger af artikel 34, stk. 5, at medlemsstaterne sikrer, at
hvor vigtige enheder overtræder artikel 21 (foranstaltninger
til styring af cybersikkerhedsrisici) eller 23 (rapporterings-
forpligtelser), straffes de i overensstemmelse med artikler-
nes stk. 2 og 3 med administrative bøder med et maksimum
på mindst 7.000.000 euro eller et maksimum på mindst 1,4
pct. af den samlede globale årsomsætning i det foregående
regnskabsår i den virksomhed, som den vigtige enhed tilhø-
rer, alt efter hvad der er højest.
Det følger endvidere af artikel 34, stk. 8, 1. og 2. pkt., at
hvis en medlemsstats retssystem ikke giver mulighed for
at pålægge administrative bøder, sørger den pågældende
medlemsstat for, at artiklen anvendes på en sådan måde,
at den kompetente myndighed tager skridt til bøder, og de
kompetente nationale domstole pålægger dem, idet det sik-
res, at disse retsmidler er effektive, og at deres virkning
svarer til virkningen af administrative bøder, som pålægges
af de kompetente myndigheder. De bøder, der pålægges,
skal under alle omstændigheder være effektive, stå i rimeligt
forhold til overtrædelsen og have afskrækkende virkning.
Endelig vil den foreslåede bestemmelse – i kombination
med den foreslåede bestemmelse i § 6, stk. 1 – gennemføre
NIS 2-direktivets artikel 20, stk. 1, hvoraf det følger, at med-
lemsstaterne sikrer, at de væsentlige og vigtige teleudbyde-
res ledelsesorganer godkender de foranstaltninger til styring
af cybersikkerhedsrisici, som disse enheder har truffet med
henblik på at overholde artikel 21, fører tilsyn med dens
gennemførelse og kan gøres ansvarlige for enhedernes over-
trædelser af forpligtelserne i nævnte artikel.
Det forudsættes i overensstemmelse med en minimumsim-
plementering af NIS 2-direktivets artikel 34, stk. 4, at bø-
dens størrelse for væsentlige teleudbydere maksimalt vil
kunne udgøre et beløb svarende til 10.000.000 euro eller
2 pct.af den væsentlige teleudbyders samlede globale årsom-
sætning i det foregående regnskabsår alt efter, hvad der er
højest.
Det forudsættes endvidere i overensstemmelse med en mini-
mumsimplementering af NIS 2-direktivets artikel 34, stk. 5,
at bødens størrelse for vigtige teleudbyderes maksimalt vil
udgøre et beløb svarende til 7.000.000 euro eller 1,4 pct.af
den vigtige teleudbyders samlede globale årsomsætning i
det foregående regnskabsår alt efter, hvad der er højest.
Der forudsættes ikke i tilknytning til øvrige bestemmelser
end de specifikt angivne ovenfor anlagt særlige forudsætnin-
ger for så vidt angår udmålingen af bøders størrelse. Det
samme gælder eventuel udmåling af bøder til fysiske per-
soner, hvor det dog i overensstemmelse med direktivets
præambelbetragtning nr. 130, 2. pkt., forudsættes, at der
lægges vægt på det generelle indkomstniveau og personens
økonomiske stilling.
Det forudsættes i overensstemmelse med NIS 2-direktivets
artikel 34, stk. 3, jf. artikel 32, stk. 7, at der lægges vægt på
følgende hensyn ved pålæg af en bøde og ved udmåling af
bødens størrelse: 1) overtrædelsens grovhed og vigtigheden
af de overtrådte bestemmelser, idet bl.a. følgende under alle
omstændigheder skal betragtes som alvorlige overtrædelser:
a) Gentagne overtrædelser, b) manglende underretning om
eller afhjælpning af væsentlige hændelser, c) manglende
afhjælpning af mangler efter bindende instrukser fra kom-
petente myndigheder, d) hindringer for audits eller overvåg-
ningsaktiviteter beordret af den kompetente myndighed efter
konstatering af en overtrædelse og e) afgivelse af urigtige
eller klart unøjagtige oplysninger vedrørende cybersikker-
hedsrisikostyringsforanstaltninger eller rapporteringsforplig-
telser, 2) overtrædelsens varighed, 3) den pågældende en-
heds relevante tidligere overtrædelser, 4) enhver fysisk eller
ikke-fysisk skade, der er forårsaget, herunder ethvert finan-
sielt eller økonomisk tab, virkninger for andre tjenester og
antallet af brugere, der er berørt, 5) hvorvidt der ved over-
trædelsen er handlet forsætligt eller uagtsomt, 6) enhver for-
anstaltning truffet af enheden for at forebygge eller afbøde
den fysiske eller ikke-fysiske skade, 7) hvorvidt godkendte
adfærdskodekser eller godkendte certificeringsmekanismer
er overholdt, og 8) i hvilken udstrækning de fysiske eller
juridiske personer, der holdes ansvarlige for overtrædelsen,
samarbejder med de kompetente myndigheder.
76
Den fastsatte bøde skal i overensstemmelse med NIS 2-di-
rektivets artikel 34, stk. 1, være effektiv, stå i et rimeligt
forhold til overtrædelsen og have afskrækkende virkning
under hensyntagen til omstændighederne i den konkrete sag.
Bøde vil i overensstemmelse med NIS 2-direktivets artikel
34, stk. 2, kunne pålægges i tillæg til håndhævelsesforan-
staltningerne i de foreslåede §§ 20-23.
Det bemærkes, at fastsættelsen af straffen fortsat vil bero
på domstolenes konkrete vurdering i det enkelte tilfælde
af samtlige omstændigheder i sagen, og de angivne strafni-
veauer vil kunne fraviges i op- eller nedadgående retning,
hvis der i den konkrete sag foreligger skærpende eller for-
mildende omstændigheder, jf. herved de almindelige regler
om straffens fastsættelse i straffelovens 10. kapitel.
Det foreslås i nr. 1, at den, der overtræder § 5, stk. 1, eller 2,
§ 7, stk. 1-3, § 8, stk. 2, jf. stk. 3, § 9, stk. 1 og § 11, stk. 1
og 2, straffes med bøde.
Den foreslåede bestemmelse indebærer for det første, at væ-
sentlige og vigtige teleudbydere, der ikke træffer passende
og forholdsmæssige tekniske, operationelle og organisatori-
ske foranstaltninger for at styre risiciene for sikkerheden i
net- og informationssystemer efter den foreslåede § 5, stk. 1,
straffes med bøde.
Det samme gælder tilfælde, hvor en væsentlig elle vigtig
teleudbyder bliver bekendt med, at denne ikke overholder ét
eller flere af de krav, der er nævnt i den foreslåede § 5, stk.
1, eller regler om krav til foranstaltninger fastsat i medfør
af stk. 3, og ikke unødigt ophold træffer alle nødvendige,
passende og forholdsmæssige korrigerende foranstaltninger.
Vurderingen af, om foranstaltningerne er truffet uden unø-
digt ophold vil bero på en konkret vurdering af sagens om-
stændigheder.
Den foreslåede bestemmelse indebærer endvidere, at væ-
sentlige og vigtige enheder, der overtræder registrerings-
og oplysningsforpligtelserne i den foreslåede § 7, stk. 1-3,
straffes med bøde.
Den foreslåede bestemmelse indebærer endvidere, at væ-
sentlige og vigtige teleudbydere, der overtræder hændelses-
underretningsforpligtelsen i den foreslåede § 8, stk. 2, straf-
fes med bøde. Det samme gælder, hvis den væsentlige eller
vigtige teleudbyder ikke overholder proceduren til foretagel-
se af hændelsesunderretningen efter den foreslåede bestem-
melse i § 9, stk. 1.
Den foreslåede bestemmelse vil endelig medføre, at en væ-
sentlig eller vigtig teleudbyder, der ikke overholder forplig-
telsen til at underrette modtagere af sine tjenester om hæn-
delser efter de foreslåede bestemmelser i § 11, stk. 1 og 2,
vil blive straffet med bøde.
Det foreslås i nr. 2, at den, der undlader at efterkomme
Styrelsen for Samfundssikkerheds afgørelse efter § 21, stk.
1, nr. eller 2, straffes med bøde.
Det følger af den foreslåede bestemmelse, at væsentlige te-
leudbydere, der undlader at efterkomme Styrelsen for Sam-
fundssikkerheds afgørelse om midlertidig suspension af en
certificering eller godkendelse efter den foreslåede § 21, stk.
1, nr. 1, eller en afgørelse om midlertidigt forbud mod at
udøve ledelsesfunktioner efter den foreslåede § 21, stk. 1,
nr. 2, vil blive straffet med bøde.
Det foreslås i nr. 3, at den, der undlader at efterkomme
Styrelsen for Samfundssikkerheds påbud efter § 13, stk. 5,
eller § 18, stk. 1 og 2, straffes med bøde.
Det følger af den foreslåede bestemmelse, at den, der undla-
der at efterkomme Styrelsen for Samfundssikkerheds påbud
om at iværksætte nærmere angivne sikkerhedsforanstaltnin-
ger i beredskabssituationer og andre ekstraordinære situatio-
ner efter den foreslåede § 13, stk. 5, vil blive straffet med
bøde.
Det følger endvidere af den foreslåede bestemmelse, at den
væsentlige eller vigtige teleudbydere, der undlader at efter-
komme Styrelsen for Samfundssikkerheds påbud om at ind-
drage nærmere angivne områder af deres virksomhed og
nærmere angivne trusler mod sikkerheden i net- og informa-
tionssystemer i deres foranstaltninger efter § 5, stk. 1, vil
blive straffet med bøde.
Det foreslås i nr. 4, at den, der undlader at efterkomme
Styrelsen for Samfundssikkerheds krav efter § 19, stk. 1, nr.
5-8, eller § 22, stk. 1, nr. 4-7, straffes med bøde.
Det følger af den foreslåede bestemmelse, at en væsentlig
teleudbyder, der undlader at efterkomme Styrelsen for Sam-
fundssikkerheds krav efter § 19, stk. 1, nr. 5-8, om udleve-
ring af oplysninger, få adgang til data, dokumenter og oplys-
ninger, udlevering af dokumentation mv., vil blive straffet
med bøde.
Det følger endvidere af den foreslåede bestemmelse en vig-
tig teleudbyder, der undlader at efterkomme Styrelsen for
Samfundssikkerheds krav efter § 22, stk. 1, nr. 4-7, om udle-
vering af oplysninger, adgang til data, dokumenter og oplys-
ninger, udlevering af dokumentation mv., vil blive straffet
med bøde.
Det foreslås i nr. 5, at den, der hindrer Styrelsen for Sam-
fundssikkerhed i at føre tilsyn efter bestemmelserne i § 19,
stk. 1, nr. 1-4, eller § 22, stk. 1, nr. 1-3, straffes med bøde.
Det følger af den foreslåede bestemmelse, at væsentlige te-
leudbydere, der hindrer Styrelsen for Samfundssikkerhed i
at føre tilsyn efter bestemmelserne i den foreslåede § 19, stk.
1, nr. 1-4, om kontrol, sikkerhedsaudits, sikkerhedsscannin-
ger mv., vil blive straffes med bøde.
Det følger endvidere af den foreslåede bestemmelse, at vig-
tige teleudbydere, der hindrer Styrelsen for Samfundssikker-
77
hed i at føre tilsyn efter bestemmelserne i den foreslåede §
22, stk. 1, nr. 1-3, om kontrol, sikkerhedsaudits, sikkerheds-
scanninger mv, vil blive straffet med bøde.
Det følger af det foreslåede stk. 2, at der kan pålægges
selskaber mv. (juridiske personer) strafansvar efter reglerne i
straffelovens 5. kapitel.
Den foreslåede bestemmelse indebærer, at selskaber mv. (ju-
ridiske personer) kan pålægges strafansvar for overtrædelse
af denne lov eller regler udstedt i medfør af loven efter
reglerne i straffelovens kapitel 5.
Det følger af det foreslåede stk. 3, at der i forskrifter, der
udstedes i medfør af loven fastsættes straf af bøde for over-
trædelse af bestemmelserne i forskrifterne.
Med bestemmelsen bemyndiges ministeren for samfundssik-
kerhed og beredskab til at fastsætte straf i form af bøde
for overtrædelse af bestemmelser i regler, som udstedes i
medfør af loven.
Det følger af artikel 34, stk. 4, i NIS 2-direktivet, at med-
lemsstaterne skal sikre, at hvor væsentlige enheder over-
træder artikel 21 (foranstaltninger til styring af cybersikker-
hedsrisici) eller artikel 23 (rapporteringsforpligtelser), straf-
fes de i overensstemmelse med nærværende artikels stk. 2
og 3 med administrative bøder med et maksimum på mindst
10.000.000 euro eller et maksimum på mindst 2 pct. af den
samlede globale årsomsætning i det foregående regnskabsår
i den virksomhed, som den væsentlige enhed tilhører, alt
efter hvad der er højest.
Efter NIS 2-direktivets artikel 34, stk. 5, skal medlemssta-
terne sikre, at hvor vigtige enheder overtræder artikel 21
(foranstaltninger til styring af cybersikkerhedsrisici) eller
artikel 23 (rapporteringsforpligtelser), straffes de i overens-
stemmelse med nærværende artikels stk. 2 og 3 med admini-
strative bøder med et maksimum på mindst 7.000.000 euro
eller et maksimum på mindst 1,4 pct. af den samlede globale
årsomsætning i det foregående regnskabsår i den virksom-
hed, som den vigtige enhed tilhører, alt efter hvad der er
højest.
Det forudsættes i overensstemmelse med en minimumsim-
plementering af NIS 2-direktivets artikel 34, stk. 4, at bø-
dens størrelse for væsentlige enheders overtrædelse af regler
fastsat i medfør af den foreslåede bestemmelse i § 6, stk.
3, maksimalt vil udgøre et beløb svarende til 10.000.000
euro eller 2 pct. af den væsentlige enheds samlede globale
årsomsætning i det foregående regnskabsår alt efter, hvad
der er højest.
Det forudsættes i overensstemmelse med en minimumsim-
plementering af NIS 2-direktivets artikel 34, stk. 5, at bø-
dens størrelse for vigtige enheders overtrædelse af regler
fastsat i medfør af den foreslåede bestemmelse i § 6, stk. 3,
maksimalt vil udgøre et beløb svarende til 7.000.000 euro
eller 1,4 pct. af den vigtige enheds samlede globale årsom-
sætning i det foregående regnskabsår alt efter, hvad der er
højest.
Der forudsættes ikke i tilknytning til øvrige bestemmelser
end § 6, stk. 3, anlagt særlige forudsætninger for så vidt
angår udmålingen af bøders størrelse. Det samme gælder
eventuel udmåling af bøder til fysiske personer, hvor det dog
i overensstemmelse med direktivets præambelbetragtning nr.
130, 2. pkt., forudsættes, at der lægges vægt på det generelle
indkomstniveau og personens økonomiske stilling.
Det forudsættes i overensstemmelse med NIS 2-direktivets
artikel 34, stk. 3, jf. artikel 32, stk. 7, at der lægges vægt på
følgende hensyn ved pålæg af en bøde og ved udmåling af
bødens størrelse: 1) overtrædelsens grovhed og vigtigheden
af de overtrådte bestemmelser, idet bl.a. følgende under alle
omstændigheder skal betragtes som alvorlige overtrædelser:
a) Gentagne overtrædelser, b) manglende underretning om
eller afhjælpning af væsentlige hændelser, c) manglende
afhjælpning af mangler efter bindende instrukser fra kom-
petente myndigheder, d) hindringer for audits eller overvåg-
ningsaktiviteter beordret af den kompetente myndighed efter
konstatering af en overtrædelse og e) afgivelse af urigtige
eller klart unøjagtige oplysninger vedrørende cybersikker-
hedsrisikostyringsforanstaltninger eller rapporteringsforplig-
telser, der er fastsat i §§ 6, 13, 14, 16 og 17, 2) overtrædel-
sens varighed, 3) den pågældende enheds relevante tidligere
overtrædelser, 4) enhver materiel eller immateriel skade, der
er forårsaget, herunder ethvert finansielt eller økonomisk
tab, virkninger for andre tjenester og antallet af brugere,
der er berørt, 5) hvorvidt der ved overtrædelsen er handlet
forsætligt eller uagtsomt, 6) enhver foranstaltning truffet af
enheden for at forebygge eller afbøde den materielle eller
immaterielle skade, 7) hvorvidt godkendte adfærdskodekser
eller godkendte certificeringsmekanismer er overholdt, og
8) i hvilken udstrækning de fysiske eller juridiske personer,
der holdes ansvarlige for overtrædelsen, samarbejder med de
kompetente myndigheder.
Den fastsatte bøde skal i overensstemmelse med NIS 2-di-
rektivets artikel 34, stk. 1, være effektiv, stå i et rimeligt
forhold til overtrædelsen og have afskrækkende virkning
under hensyntagen til omstændighederne i den konkrete sag.
Bøde vil i overensstemmelse med NIS 2-direktivets artikel
34, stk. 2, kunne pålægges i tillæg til håndhævelsesforan-
staltningerne i de foreslåede §§ 20, 21 og 23.
Det bemærkes, at fastsættelsen af straffen fortsat vil bero
på domstolenes konkrete vurdering i det enkelte tilfælde
af samtlige omstændigheder i sagen, og de angivne strafni-
veauer vil kunne fraviges i op- eller nedadgående retning,
hvis der i den konkrete sag foreligger skærpende eller for-
mildende omstændigheder, jf. herved de almindelige regler
om straffens fastsættelse i straffelovens 10. kapitel.
Der henvises i øvrigt til lovforslagets pkt. 3.9.
Til § 32
78
Det foreslås i stk. 1, at loven træder i kraft den 1. juli 2025.
Det følger af artikel 41, stk. 1, i NIS 2-direktivet, at direkti-
vet skal være gennemført i dansk ret senest den 17. oktober
2024 og træde i kraft senest den 18. oktober 2024. Med den
foreslåede bestemmelse vil loven træde i kraft 9 måneder
efter direktivets implementeringsfrist.
Det foreslås i stk. 2, at lov om sikkerhed i net og tjenester,
jf. lovbekendtgørelse nr. 153 af 1. februar 2021, som ændret
ved § 18 i lov nr. 1156 af 8. juni 2021, ophæves ved denne
lovs ikrafttræden.
Det foreslås i stk. 3, at oplysninger efter stk. 7, skal indgives
senest den 1. oktober 2025.
Det bemærkes, at der er tale om en overgangsbestemmelse.
Der henvises i den forbindelse til den foreslåede bestemmel-
se i § 7, stk. 2, hvorefter væsentlige og vigtige teleudbydere
senest to uger efter, at teleudbyderen er bekendt med, at
denne er omfattet af loven, skal indgive de i den foreslåede
§ 7, stk. 1, nævnte oplysninger.
Til § 33
Det foreslås i § 33, at loven ikke skal gælde for Færøerne og
Grønland.
Baggrunden for den foreslåede territorialbestemmelse er,
at sagsområdet for telekommunikation er overtaget af hen-
holdsvis de færøske og grønlandske myndigheder.
Til § 34
Det foreslås i nr. 1, at § 1, nr. 3 i lov om leverandørsikker-
hed i den kritiske teleinfrastruktur ændres, således at defi-
nitionerne i nærværende lovforslag og den nævnte lov er
ensartede.
Det foreslås således, at vigtige teleudbydere i lov om le-
verandørsikkerhed i den kritiske teleinfrastruktur defineres
som en teleudbyder, som er identificeret som en vigtig te-
leudbyder i henhold til lov om sikkerhed og beredskab i
telesektoren.
Det foreslås i nr. 2, at nærværende lovforslags definition
af væsentlige teleudbydere indsættes i lov om leverandørsik-
kerhed i den kritiske teleinfrastruktur.
Det foreslås i nr. 3, at der foretages konsekvensrettelser af
definitionerne af teleudbydere i overensstemmelse med defi-
nitionerne i nærværende lov med henblik på at sikre ensartet
begrebsanvendelse.
79
Bilag 1
Lovforslaget sammenholdt med gældende lov
Gældende formulering Lovforslaget
§ 34
I lov. nr. 1156 af 8. juni 2021 om leverandørsikkerhed i den
kritiske teleinfrastruktur foretages følgende ændringer:
§ 1. I denne lov forstås ved:
1) ---
2) ---
3) Væsentlig erhvervsmæssig udbyder af offentligt tilgænge-
lige elektroniske kommunikationsnet og -tjenester:
a) ---
b) ---
1. § 1, nr. 3, affattes således:
»3) Vigtig teleudbyder: En teleudbyder, som er identificeret
som en vigtig teleudbyder i henhold til lov om sikkerhed og
beredskab i telesektoren «.
2. I § 1 indsættes som nr. 4:
»4) Væsentlig teleudbyder: En teleudbyder, som er identifi-
ceret som en væsentlig teleudbyder i henhold til lov om
sikkerhed og beredskab i telesektoren.«
§ 2. Center for Cybersikkerhed kan i særlige tilfælde for-
byde en væsentlig erhvervsmæssig udbyder af offentligt
tilgængelige elektroniske kommunikationsnet og -tjenester
at indgå en aftale, der vedrører kritiske netkomponenter,
systemer og værktøjer, herunder varetagelsen af driften her-
af, hvis aftalen vurderes at udgøre en trussel mod statens
sikkerhed.
Stk. 2. ---
1) ---
2) ---
3) ---
4) ---
Stk. 3. ---
3. § 2, stk. 1, § 3, stk. 1 og 2, og
§ 15, ændres »væsentlig erhvervsmæssig udbyder af offent-
ligt tilgængelige elektroniske kommunikationsnet og -tjene-
ster« til: »væsentlig eller vigtig teleudbyder«.
§ 3. Center for Cybersikkerhed kan i særlige tilfælde for-
byde en væsentlig erhvervsmæssig udbyder af offentligt til-
gængelige elektroniske kommunikationsnet og -tjenester at
opretholde en indgået aftale, der vedrører kritiske netkompo-
nenter, systemer og værktøjer, herunder varetagelsen af drif-
ten heraf, hvis opretholdelse af aftalen vurderes at udgøre
en væsentlig trussel mod statens sikkerhed. Ved vurderingen
heraf kan Center for Cybersikkerhed lægge vægt på de for-
hold, som fremgår af § 2, stk. 2.
80
Stk. 2. Center for Cybersikkerhed kan endvidere i særlige
tilfælde forbyde en væsentlig erhvervsmæssig udbyder af
offentligt tilgængelige elektroniske kommunikationsnet og
-tjenester at anvende kritiske netkomponenter, systemer og
værktøjer, der er leveret, hvis anvendelsen vurderes at udgø-
re en væsentlig trussel mod statens sikkerhed. Ved vurderin-
gen heraf kan Center for Cybersikkerhed lægge vægt på de
forhold, som fremgår af § 2, stk. 2.
Stk. 3. ---
Stk. 4. ---
§ 15. Hvis en væsentlig erhvervsmæssig udbyder af offent-
ligt tilgængelige elektroniske kommunikationsnet og –tjene-
ster ikke efterlever et forbud efter § 2, stk. 1, eller § 3, stk.
1 eller 2, kan Center for Cybersikkerhed træffe afgørelse om
at afsætte medlemmer af udbyderens ledelse.
81