Handouts om lovforslagene L 140, L 141 og L1 42 til brug for teknisk gennemgang d. 20/2-25

Handout vedr. forslag til lov om foranstaltninger til sikring af
højt cybersikkerhedsniveau (NIS 2-loven)
• Lovforslaget har til formål at
implementere NIS 2-direktivet.
• Lovforslaget finder anvendelse for
samtlige sektorer, der er omfattet af NIS
2-diektivet med undtagelse for tele-,
energi-, og finanssektorerne, hvor
direktivet implementeres særskilt.
• Lovforslaget lægger en fælles
lovgivningsmæssig ramme for de
omfattede enheder, og de myndigheder,
der skal anvende lovgivningen.
• Lovforslaget bemyndiger
ressortministre til på visse områder at
fastsætte nærmere regler, når særlige
sektorspecifikke forhold tilsiger det.
Baggrund for forslaget Indhold i forslaget
• Nye krav om foranstaltninger til styring
af cybersikkerhedsrisici, herunder vedr.
håndtering af hændelser,
personalesikkerhed og
forsyningskædesikkerhed.
• Nye registrerings- og
underretningspligter, herunder
underretninger om bl.a. væsentlige
hændelser.
• Styrkelse af CSIRT’ens opgaver.
• Nye tilsyns- og
håndhævelsesforanstaltninger.
• Nye regler om gensidig bistand, når en
enhed leverer tjenester i mere end én
medlemsstat i EU.
• Bemyndigelsesbestemmelserne er justeret så
ressortministre alene kan fastsætte nærmere
regler efter forhandling med ministeren for
samfundssikkerhed og beredskab.
• Indsat et nyt stk. 3 i § 20, der bemyndiger
ministeren for samfundssikkerhed og
beredskab til at fastsætte nærmere regler om
koordinering, ansvar, fordeling af opgaver og
udveksling af oplysninger mellem henholdsvis
de kompetente myndigheder samt de
kompetente myndigheder og CSIRT’en.
• Anvendelsesområdet for kommuner er
præciseret, så det nu fremgår, at offentlige
forvaltningsenheder på lokalt plan, herunder
kommuner, der leverer tjenester inden for
sektorerne, der er omfattet af direktivet vil
være underlagt lovens krav.
• Det er skrevet frem i lovforslagets
bemærkninger, at erhvervslivet i fornødent
omgang vil kunne anmode de kompetente
myndigheder om vejledning vedr. lovens krav.
Ændringer i lovforslaget
Offentligt
L 142 - Bilag 2,L 140 - Bilag 2,L 141 - Bilag 2
Forsvars-, Samfundssikkerheds- og Beredskabsudvalget 2024-25,Forsvars-, Samfundssikkerheds- og Beredskabsudvalget 2024-25,Forsvars-, Samfundssikkerheds- og Beredskabsudvalget 2024-25
Handout vedr. forslag til lov om sikkerhed og beredskab i
telesektoren
• Lovforslaget har til formål at
implementere NIS 2-direktivet for
telesektoren.
• Implementeringen sker gennem en
integration med den gældende
regulering for sikkerhed og beredskab i
telesektoren.
• Lov om sikkerhed i net og tjenester
ophæves.
• Visse regler i lov om sikkerhed i net og
tjenester videreføres.
Baggrund for forslaget Indhold i forslaget
• Nye krav om foranstaltninger til
styring af sikkerhedsrisici, herunder
vedr. personalesikkerhed, håndtering
af hændelser, og politikker for
risikostyring.
• Nye oplysnings- og
underretningspligter ved bl.a.
væsentlige hændelser.
• Videreførelse af særlige regler for
beredskabssituationer og andre
ekstraordinære situationer.
• Videreførelse af regler om
sikkerhedsgodkendelser.
• Nye tilsyns- og
håndhævelsesforanstaltninger.
• Den foreslåede § 3, stk. 2, er ændret
således, ar der for de i bestemmelsens
nr. 1-5 nævnte teleudbydere ikke skal
træffes en afgørelse, men at
teleudbyderen skal vurdere, om den er
omfattet af de oplistede kriterier.
• I den foreslåede § 13, er der blevet
tilføjet et stk. 6 og 7 vedrørende
teleudbyderes forpligtelser i
beredskabssituationer og andre
ekstraordinære situationer. Der er tale
om en videreførelse af gældende ret.
• Den tidligere foreslåede § 19 er
indskrevet i hhv. den nu foreslåede § 19,
stk. 1, nr. 1, og § 22, stk. 1, nr. 1, og
Ændringer i lovforslaget
Handout vedr. forslag til lov om kritiske enheders
modstandsdygtighed
• Lovforslaget har til formål at
implementere CER-direktivet.
• Lovforslaget finder anvendelse for
samtlige sektorer, der er omfattet af
CER-direktivet, med undtagelse for
energisektoren.
• Lovforslaget lægger en fælles
lovgivningsmæssig ramme for de
omfattede enheder, og de myndigheder,
der skal anvende lovgivningen.
• Lovforslaget bemyndiger
ressortministre til på visse områder at
fastsætte nærmere regler, når særlige
sektorspecifikke forhold tilsiger det.
Baggrund for forslaget Indhold i forslaget
• Regler om identifikation af kritiske
enheder, herunder kritiske enheder af
særlig europæisk betydning.
• Krav om
modstandsdygtighedsforanstaltninger,
herunder foranstaltninger, der er
nødvendige for bl.a. at forhindre
hændelser og sikre genopretning efter
hændelser.
• Underretningspligter ved betydelige
forstyrrelser i leveringen af kritiske
enheders tjenester.
• Baggrundskontrol af personer i
kritiske enheder
• Tilsyn- og
håndhævelsesforanstaltninger.
• Bemyndigelsesbestemmelserne er
justeret, så ressortministre alene kan
fastsætte nærmere regler efter
forhandling med ministeren for
samfundssikkerhed og beredskab.
• Det er skrevet frem i lovforslagets
bemærkninger, at erhvervslivet i
fornødent omgang vil kunne anmode de
kompetente myndigheder om vejledning
vedr. lovens krav.
• Indsat en ny bemyndigelsesbestemmelse
i den foreslåede § 13, stk. 2, som
bemyndiger ministeren for
samfundssikkerhed og beredskab til at
fastsætte nærmere regler om
koordinering, ansvar og udveksling af
oplysninger mellem de kompetente
myndigheder og Ministeriet for
Samfundssikkerhed og Beredskab.
Ændringer i lovforslaget


Handout vedr. størrelseskravet i NIS 2-lovforslaget
Definitioner i Kommissionens henstilling 2003/361/EF
om definitionen af mikrovirksomheder, små og
mellemstore virksomheder
Kategorien mikrovirksomheder, små og mellemstore
virksomheder (SMV’er) omfatter virksomheder, som
beskæftiger under 250 personer, og som har en årlig omsætning
på ikke over 50 mio. EUR eller en årlig samlet balance på ikke
over 43 mio. EUR. Følgende to betingelser skal således være
opfyldt:
1. Virksomheden skal beskæftige under 250 personer.
2. Virksomheden skal have en årlig omsætning på under 50
mio. EUR eller en årlig samlet balance på under 43 mio.
EUR.
Kategorien ‘små virksomheder’ omfatter ifølge henstilling
2003/361/EF virksomheder, som beskæftiger under 50 personer,
og som har en årlig omsætning eller en samlet årlig balance på
ikke over 10 mio. EUR. Følgende to kumulative betingelser, skal
således være opfyldt:
1. Virksomheden skal beskæftige under 50 personer.
2. Virksomheden skal have en årlig omsætning på ikke over
10 mio. EUR eller en årlig samlet balance på ikke over 10
mio. EUR
Størrelseskravet i NIS 2-lovforslaget
NIS 2-lovforslaget finder – i overensstemmelse med NIS-
direktivet – anvendelse for enheder, der enten udgør
mellemstore virksomheder eller overskrider tærsklerne for at
udgøre mellemstore virksomheder (”store” virksomheder) i
henhold til henstilling 2003/361/EF.
Henstillingen definerer ikke direkte hhv. store og mellemstore
virksomheder, men definitionerne kan udledes af henstillingens
øvrige definitioner.
For at være en ‘stor’ virksomhed skal virksomheden
overskride tærsklerne for at udgøre en SMV. Da de to
betingelser for at være en SMV’er efter henstillingen er
kumulative, skal en virksomhed opfylde mindst én af følgende
betingelser for ikke at falde ind under kategorien af SMV’er:
1. Virksomheden skal beskæftige 250 personer eller derover.
2. Virksomheden skal have en årlig omsætning på over 50
mio. EUR og en årlig samlet balance på over 43 mio.
EUR.
For at være en ‘mellemstor’ virksomhed, skal virksomheden
overskride tærsklerne for at falde under kategorien af små
virksomheder. Virksomheden skal altså opfylde mindst én af
følgende betingelser:
1. Virksomheden skal beskæftige 50 personer eller derover.
2. Virksomheden skal have en årlig omsætning på over 10
mio. EUR og en årlig samlet balance på over 10 mio.
EUR.
Eksempler
EKS 1: Virksomheden A har 255 ansatte og har en årlig
omsætning og årlig samlet balance på 55 mio. EUR.
Virksomheden A vil blive anset som en stor virksomhed.
EKS 2: Virksomheden B har 150 ansatte og har en årlig
omsætning og årlig samlet balance på 60 mio. EUR.
Virksomheden B vil blive anset som en stor virksomhed.
EKS 3: Virksomheden C har 55 ansatte og har en årlig
omsætning og en årlig samlet balance på 5 mio. EUR.
Virksomheden er en mellemstor virksomhed.
Tærsklerne for henholdsvis store og mellemstore virksomheder
kan opstilles således:
Offentligt
L 142 - Bilag 2,L 140 - Bilag 2,L 141 - Bilag 2
Forsvars-, Samfundssikkerheds- og Beredskabsudvalget 2024-25,Forsvars-, Samfundssikkerheds- og Beredskabsudvalget 2024-25,Forsvars-, Samfundssikkerheds- og Beredskabsudvalget 2024-25