L 141 - svar på spm. 2 om, hvorfor regeringen mener, at NIS 2-direktivet (L 141) skal minimumsimplementeres, når man samtidig overimplementerer TeleNIS-direktivet (L 142)

Side 1/3
Besvarelse af spørgsmål nr. 2 fra Folketingets Forsvars-, Sam-
fundssikkerheds- og Beredskabsudvalg vedrørende forslag til
lov om foranstaltninger til sikring af et højt cybersikkerhedsni-
veau (L 141)
Hermed sendes besvarelse af spørgsmål nr. 2 vedrørende forslag til
lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau (L
141), som Folketingets Forsvars-, Samfundssikkerheds- og Bered-
skabsudvalg har stillet til ministeren for samfundssikkerhed og be-
redskab den 13. marts 2025. Spørgsmålet er stillet efter ønske fra
Søren Søndergaard (EL).
Torsten Schack Pedersen
Dato: 8. april 2025
Sagsnr.: 2025 - 406
Akt-id.: 2257
Offentligt
L 141 - endeligt svar på spørgsmål 2
Forsvars-, Samfundssikkerheds- og Beredskabsudvalget 2024-25
Side 2/3
Spørgsmål nr. 2 vedrørende forslag til lov om foranstaltninger til sik-
ring af et højt cybersikkerhedsniveau (L 141) fra Folketingets For-
svars-, Samfundssikkerheds- og Beredskabsudvalg:
”Hvorfor mener regeringen, at NIS2 direktivet (L 141) skal
minimumsimplementeres, når man samtidig overimple-
menterer TeleNIS direktivet (L 142)? Vil det ikke give me-
ning, at de to direktiver implementeres lige ambitiøst?”
Svar:
1. Som det fremgår af pkt. 1 i forslag til lov om foranstaltninger til
sikring af et højt cybersikkerhedsniveau (NIS 2-loven) (L 141) har
lovforslaget til formål at gennemføre NIS 2-direktivet ved én fælles
hovedlov på tværs af størstedelen af de sektorer, der er omfattet af
direktivet. Lovforslaget finder dog ikke anvendelse for bl.a. telesek-
toren.
Implementeringen for telesektoren sker gennem det samtidigt frem-
satte forslag til lov om sikkerhed og beredskab i telesektoren (L 142).
Som det fremgår af pkt. 1 i det nævnte lovforslag, skal den særskilte
implementering for telesektoren navnlig ses i lyset af, at der allerede
eksisterer omfattende regulering af informationssikkerhed og bered-
skab i telesektoren, der på visse områder fastlægger et højere sik-
kerhedsniveau end det, der følger af NIS 2-direktivet. Dele af den
eksisterende regulering implementerer desuden EU’s telekodeks.
For at sikre, at det aktuelle høje sikkerhedsniveau i telesektoren ikke
sænkes med implementeringen af NIS 2-direktivet for telesektoren,
sker implementeringen for telesektoren gennem en integration med
den eksisterende lovgivning.
Som det fremgår af pkt. 10.1 i forslag til lov om sikkerhed og bered-
skab i telesektoren (L 142) består overimplementeringen af NIS 2-
direktivet for telesektoren i, at visse eksisterende nationale særreg-
ler, der går videre end de krav, der følger af NIS 2-direktivet, videre-
føres.
Side 3/3
2. For de sektorer, der er omfattet af lovforslaget (L 141), eksisterer
der ikke lignende omfattende national særregulering om cybersikker-
hed, der går videre end de krav, der følger af NIS 2-direktivet.
I Danmark lægges der for disse sektorer op til en minimumsimple-
mentering for så vidt angår NIS 2-direktivets krav. Det betyder, at de
danske regler ikke går videre i kravene til de omfattede enheder eller
omfatter flere sektorer (anvendelsesområdet) end dem, der fremgår
af direktivet. Reglerne er som nævnt risikobaserede, hvilket i praksis
betyder, at der vil gælde krav om et højere cybersikkerhedsniveau
for virksomheder og myndigheder, der har særlig samfundsmæssig
betydning mv. Der henvises i den forbindelse til lovforslagets § 6, stk.
1 og bemærkningerne hertil, hvoraf det bl.a. fremgår, at foranstalt-
ninger til styring af cybersikkerhedesricisi skal være passende og for-
holdsmæssige. Ved vurderingen af proportionaliteten af disse foran-
staltninger skal der tages behørigt hensyn til graden af enhedens ek-
sponering for risici, enhedens størrelse og sandsynligheden for hæn-
delser og deres alvor, herunder deres samfundsmæssige og økono-
miske indvirkninger.