Vedtaget af Folketinget ved 3. behandling den 10. december 2015

Vedtaget af Folketinget ved 3. behandling den 10. december 2015
Forslag
til
Lov om net- og informationssikkerhed1)
Kapitel 1
Formål og definitioner
§ 1. Lovens formål er at fremme net- og informationssik-
kerheden i samfundet.
§ 2. I denne lov forstås ved:
1) Net: Elektroniske kommunikationsnet i form af radio-
frekvens- eller kabelbaseret teleinfrastruktur, der an-
vendes til formidling af tjenester.
2) Tjeneste: Elektronisk kommunikationstjeneste, der helt
eller delvis består i elektronisk overførsel af kommuni-
kation i form af lyd, billeder, tekst eller kombinationer
heraf ved hjælp af radio- eller telekommunikationstek-
nik mellem nettermineringspunkter.
3) Offentligt tilgængelige net og tjenester: Net og tjene-
ster, der stilles til rådighed for en ikke på forhånd af-
grænset kreds af slutbrugere eller udbydere.
4) Udbyder: Den, der med et kommercielt formål stiller
produkter, net eller tjenester til rådighed for andre.
5) Erhvervsmæssig udbyder: En udbyder, der med et
kommercielt formål udbyder produkter, net eller tjene-
ster som sin hovedydelse eller som en ikke accessorisk
del af virksomheden.
Kapitel 2
Informationssikkerhed i net og tjenester
§ 3. Center for Cybersikkerhed fastsætter regler om mini-
mumskrav til informationssikkerhed for udbydere af offent-
ligt tilgængelige net og tjenester. Reglerne kan omfatte krav
om passende tekniske, processuelle og organisatoriske for-
anstaltninger med henblik på risikostyring i forhold til infor-
mationssikkerhed i offentligt tilgængelige net og tjenester
og opretholdelse af et passende informationssikkerhedsni-
veau, herunder krav om, at sådanne foranstaltninger gen-
nemføres på baggrund af dokumenterede og ledelsesforan-
krede processer.
Stk. 2. Center for Cybersikkerhed kan påbyde udbydere af
offentligt tilgængelige net og tjenester at inddrage nærmere
angivne områder af deres virksomhed og nærmere angivne
trusler mod informationssikkerheden i deres risikostyrings-
processer efter stk. 1.
Stk. 3. Såfremt det er af væsentlig samfundsmæssig be-
tydning, kan Center for Cybersikkerhed påbyde udbydere af
offentligt tilgængelige net og tjenester at træffe konkrete
foranstaltninger med henblik på at sikre informationssikker-
heden i offentligt tilgængelige net og tjenester. Centeret
fastsætter nærmere regler herom.
§ 4. Center for Cybersikkerhed fastsætter regler om op-
lysnings- og underretningspligter for udbydere. Reglerne
kan omfatte krav om:
1) Erhvervsmæssige udbydere af offentligt tilgængelige
net og tjenesters afgivelse af oplysninger til Center for
Cybersikkerhed om væsentlige dele af udbyderens net
eller tjenester eller driften heraf.
2) Erhvervsmæssige udbydere af offentligt tilgængelige
net og tjenesters underretning af Center for Cybersik-
kerhed ved påtænkt indgåelse af aftaler om leverancer,
der vedrører væsentlige dele af udbyderens net eller tje-
nester eller driften heraf. Der kan endvidere stilles krav
om, at udbyderne skal indsende et endeligt aftaleudkast
til Center for Cybersikkerhed umiddelbart forud for
indgåelse af aftalen, og at aftalen først kan indgås op til
10 arbejdsdage efter centerets modtagelse af dette ud-
kast.
1) Loven indeholder bestemmelser, der gennemfører dele af Europa-Parlamentets og Rådets direktiv 2002/21/EF af 7. marts 2002 om fælles
rammebestemmelser for elektroniske kommunikationsnet og -tjenester (rammedirektivet), EU-Tidende 2002, nr. L 108, side 33, som senest ændret ved
Europa-Parlamentets og Rådets direktiv 2009/140/EF af 25. november 2009, samt Europa-Parlamentets og Rådets direktiv 2002/22/EF af 7. marts 2002
om forsyningspligt og brugerrettigheder i forbindelse med elektroniske kommunikationsnet og -tjenester (forsyningspligtdirektivet), EU-Tidende 2002, nr.
L 108, side 51, som ændret ved Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25. november 2009.
Til lovforslag nr. L 10 Folketinget 2015-16
Forsvarsmin., j.nr. 2015/005940
AX018026
3) Udbydere af offentligt tilgængelige net og tjenesters
underretning af Center for Cybersikkerhed ved brud på
informationssikkerheden, der har væsentlige følger for
driften af net eller tjenester.
4) Udbydere af offentligt tilgængelige net og tjenesters
underretning af offentligheden ved brud på informa-
tionssikkerheden, der har væsentlige følger for driften
af net eller tjenester.
Kapitel 3
Elektronisk kommunikation i beredskabssituationer og i
andre ekstraordinære situationer
§ 5. Center for Cybersikkerhed fastsætter regler om, at
udbydere skal foretage nødvendig planlægning og træffe
nødvendige foranstaltninger for i videst muligt omfang at
sikre elektronisk kommunikation i beredskabssituationer og
i andre ekstraordinære situationer.
Stk. 2. For erhvervsmæssige udbydere af offentligt tilgæn-
gelige net og tjenester kan det i regler efter stk. 1 endvidere
fastsættes, at udbyderne med henblik på at sikre elektronisk
kommunikation i beredskabssituationer og i andre ekstraor-
dinære situationer skal
1) udarbejde beredskabsplaner baseret på en dokumente-
ret og ledelsesforankret risikostyringsproces og
2) planlægge og deltage i øvelsesaktiviteter.
Stk. 3. Center for Cybersikkerhed koordinerer og priorite-
rer beredskabsaktørernes behov for samfundsvigtig elektro-
nisk kommunikation i beredskabssituationer og i andre ek-
straordinære situationer. Center for Cybersikkerhed kan
fastsætte regler om, at erhvervsmæssige udbydere skal sikre,
at de foretagne prioriteringer gennemføres i net og tjenester.
Stk. 4. I beredskabssituationer og i andre ekstraordinære
situationer kan Center for Cybersikkerhed påbyde erhvervs-
mæssige udbydere uden unødigt ophold at iværksætte nær-
mere angivne sikkerhedsforanstaltninger i tilfælde af en
hændelse eller trussel, der i betydeligt omfang påvirker eller
kan påvirke udbuddet af net eller tjenester negativt.
Kapitel 4
Sikkerhedsgodkendelse
§ 6. En udbyder skal indstille medarbejdere og repræsen-
tanter for udbyderen til sikkerhedsgodkendelse hos sikker-
hedsmyndigheden, når de pågældende som led i deres kon-
krete opgaveløsning for udbyderen skal behandle klassifice-
rede informationer eller andre informationer, der er særligt
beskyttelsesværdige i relation til informationssikkerhed eller
beredskab.
Stk. 2. Erhvervsmæssige udbydere af offentligt tilgængeli-
ge net skal sikre, at medarbejdere eller repræsentanter for
udbyderen, der varetager kontakten til Center for Cybersik-
kerhed i relation til beredskabet i henhold til regler, der er
udstedt i medfør af § 5, stk. 2, i fornødent omfang sikker-
hedsgodkendes efter stk. 1.
Stk. 3. Udbydere, hvis medarbejdere eller repræsentanter
sikkerhedsgodkendes efter stk. 1, skal sikre overholdelse af
sikkerhedsmyndighedens anvisninger om behandling af
klassificerede informationer.
Stk. 4. Udbydere, hvis medarbejdere eller repræsentanter
sikkerhedsgodkendes efter stk. 1, skal uden ugrundet ophold
underrette sikkerhedsmyndigheden, når sikkerhedsgodkend-
te personer ikke længere varetager de opgaver for udbyde-
ren, som lå til grund for sikkerhedsgodkendelsen.
Stk. 5. Sikkerhedsmyndigheden kan tilbagekalde en sik-
kerhedsgodkendelse, når betingelserne for sikkerhedsgod-
kendelse ikke længere er til stede.
Stk. 6. Center for Cybersikkerhed kan fastsætte regler om
sikkerhedsgodkendelse af udbyderes medarbejdere eller re-
præsentanter for udbydere, der har adgang til udstyr eller sy-
stemer, som benyttes i forbindelse med indgreb i meddelel-
seshemmeligheden.
Kapitel 5
Aktindsigt i underretninger m.v.
§ 7. Det kan i regler udstedt i medfør af § 4 fastsættes, at
underretninger og afgivelse af oplysninger efter § 4, nr. 1-3,
er undtaget fra aktindsigt efter lov om offentlighed i forvalt-
ningen og partsaktindsigt efter forvaltningsloven.
§ 8. Myndigheder og virksomheder kan underrette Center
for Cybersikkerhed om hændelser, der negativt påvirker el-
ler vurderes at ville kunne påvirke tilgængelighed, integritet
eller fortrolighed af data, informationssystemer, digitale net-
værk eller digitale servicer.
Stk. 2. Underretninger efter stk. 1 er undtaget fra aktind-
sigt efter lov om offentlighed i forvaltningen og partsaktind-
sigt efter forvaltningsloven.
Kapitel 6
Tilsyn m.v.
§ 9. Center for Cybersikkerhed fører tilsyn med overhol-
delsen af denne lov og regler, der er udstedt i medfør af lo-
ven.
Stk. 2. Center for Cybersikkerhed kan som led i sit tilsyn
kræve, at udbydere fremlægger alle de oplysninger og det
materiale om informationssikkerhed, beredskab og sikker-
hedsgodkendelse, der er nødvendige for centerets tilsyns-
virksomhed, herunder til afgørelse af, om et forhold falder
ind under denne lov eller regler, der er udstedt i medfør af
loven.
Stk. 3. Center for Cybersikkerhed kan stille krav om,
hvordan og i hvilken form oplysninger og materiale efter
stk. 2 skal afgives.
Stk. 4. Center for Cybersikkerhed kan afkræve udbydere
skriftlige udtalelser og redegørelser om faktiske forhold af
betydning for centerets tilsynsvirksomhed.
Stk. 5. Center for Cybersikkerhed kan stille krav om, at
udbydere skal foranstalte en uafhængig sikkerhedsrevision
og stille resultaterne heraf til rådighed for centeret.
Stk. 6. Såfremt det er nødvendigt af hensyn til informa-
tionssikkerheden, har Center for Cybersikkerhed efter et
skriftligt varsel på mindst 7 arbejdsdage uden retskendelse
mod behørig legitimation adgang til udbyderes forretnings-
lokaler med henblik på at påse overholdelsen af loven og
regler, der er udstedt i medfør af loven. Center for Cybersik-
2
kerhed kan ikke i forbindelse med adgang til forretningslo-
kaler tilgå kommunikation til, fra eller mellem udbyderens
kunder.
Stk. 7. Såfremt det er nødvendigt af hensyn til informa-
tionssikkerheden, har Center for Cybersikkerhed efter et
skriftligt varsel på mindst 7 arbejdsdage uden retskendelse
mod behørig legitimation adgang til forretningslokaler hos
udbyderes samarbejdspartnere, leverandører eller underleve-
randører med henblik på at påse overholdelsen af loven og
regler, der er udstedt i medfør af loven, i relation til outsour-
cet aktivitet. Center for Cybersikkerhed kan ikke i forbindel-
se med adgang til forretningslokaler tilgå kommunikation
til, fra eller mellem udbyderens kunder.
§ 10. Center for Cybersikkerhed kan i ikkeanonymiseret
form offentliggøre:
1) Påbud meddelt i medfør af § 3, stk. 2 og 3, og § 5, stk.
4, og afgørelser truffet i medfør af regler, der er udstedt
i medfør af § 3, stk. 1 og 3, § 4, § 5, stk. 1, 2 og 3, og §
6, stk. 6.
2) Resultater af tilsyn efter § 9.
3) Resumeer af domme eller bødevedtagelser, hvor der
idømmes eller vedtages en bøde for overtrædelse af
denne lov eller regler, der er udstedt i medfør af denne
lov.
4) Resumeer af domme i retssager, hvor Center for Cyber-
sikkerhed er part.
Stk. 2. Offentliggørelse efter stk. 1 må ikke indeholde
1) oplysninger om tekniske indretninger eller fremgangs-
måder eller om drifts- eller forretningsforhold el.lign.,
for så vidt det er af væsentlig økonomisk betydning for
den udbyder, som oplysningerne angår,
2) oplysninger, der er af væsentlig betydning for statens
sikkerhed eller rigets forsvar,
3) klassificerede informationer,
4) fortrolige oplysninger, der hidrører fra nationale til-
synsmyndigheder i andre EU-medlemsstater, medmin-
dre de myndigheder, der har afgivet oplysningerne, har
givet deres udtrykkelige tilladelse til offentliggørelse,
eller
5) oplysninger om enkeltpersoners forhold.
Stk. 3. Center for Cybersikkerhed fastsætter nærmere reg-
ler om sagsbehandlingen i forbindelse med offentliggørelse
efter stk. 1.
§ 11. Center for Cybersikkerhed kan fastsætte regler om,
at skriftlig kommunikation til og fra centeret om nærmere
bestemte forhold, som er omfattet af denne lov eller af reg-
ler udstedt i medfør af denne lov, skal foregå digitalt.
Stk. 2. Center for Cybersikkerhed kan fastsætte regler om
digital kommunikation, herunder om anvendelsen af be-
stemte it-systemer og særlige digitale formater samt digital
signatur el.lign.
Stk. 3. En digital meddelelse anses for at være kommet
frem, når den er tilgængelig for adressaten for meddelelsen.
§ 12. Center for Cybersikkerhed kan hos udbydere ind-
samle oplysninger med henblik på at videregive disse til
Kommissionen, Det Europæiske Agentur for Net- og Infor-
mationssikkerhed eller nationale tilsynsmyndigheder i andre
EU-medlemsstater, i det omfang det er nødvendigt, for at
disse kan opfylde deres opgaver i forhold til traktatmæssige
forpligtelser eller forpligtelser i henhold til den gældende
EU-ret.
Stk. 2. Center for Cybersikkerhed orienterer de udbydere,
der er indsamlet oplysninger fra, forud for videregivelse af
oplysningerne til Kommissionen, Det Europæiske Agentur
for Net- og Informationssikkerhed eller nationale tilsyns-
myndigheder i andre EU-medlemsstater.
Stk. 3. Oplysninger, der modtages eller hidrører fra natio-
nale tilsynsmyndigheder i andre EU-medlemsstater, behand-
les som fortrolige, såfremt den afgivende nationale tilsyns-
myndighed betragter oplysningerne som forretningshemme-
ligheder i henhold til EU-regler eller nationale regler.
Kapitel 7
EU-retsakter
§ 13. Center for Cybersikkerhed kan fastsætte regler, som
er nødvendige for at gennemføre retsakter udstedt af Kom-
missionen vedrørende informationssikkerhed og beredskab
på teleområdet, herunder regler om sanktioner i form af bø-
der for manglende overholdelse af retsakterne.
Kapitel 8
Straffebestemmelser
§ 14. Med bøde straffes, medmindre strengere straf er for-
skyldt efter den øvrige lovgivning, den, der
1) undlader at efterkomme Center for Cybersikkerheds
påbud efter § 3, stk. 2 eller 3, eller § 5, stk. 4,
2) overtræder § 6, stk. 1-4,
3) undlader at efterkomme Center for Cybersikkerheds
krav efter § 9, stk. 2, 4 eller 5, eller
4) hindrer Center for Cybersikkerhed i at få adgang efter §
9, stk. 6 eller 7.
Stk. 2. I regler, som udfærdiges i medfør af § 3, stk. 1 el-
ler 3, § 4, § 5, stk. 1, 2 eller 3, eller § 6, stk. 6, kan der fast-
sættes straf i form af bøde for overtrædelse af bestemmelser-
ne i reglerne.
Stk. 3. Der kan pålægges selskaber m.v. (juridiske perso-
ner) strafansvar efter reglerne i straffelovens 5. kapitel.
Kapitel 9
Ikrafttræden m.v.
§ 15. Loven træder i kraft den 1. juli 2016.
§ 16. I lov om elektroniske kommunikationsnet og -tjene-
ster, jf. lovbekendtgørelse nr. 128 af 7. februar 2014, som
ændret ved § 2 i lov nr. 741 af 1. juni 2015, foretages føl-
gende ændringer:
1. § 8 a, § 20, stk. 3 og §§ 62, 63, 64 a og 66 a ophæves.
2. I § 20, stk. 1, ændres », jf. dog stk. 2 og 3.« til: », jf. dog
stk. 2.«
3. § 73, stk. 3, ophæves.
3
Stk. 4 og 5 bliver herefter stk. 3 og 4.
4. I § 73, stk. 5, der bliver stk. 4, udgår », Forsvarsministeri-
et«.
5. § 75 a, stk. 5, ophæves.
6. I § 75 b, stk. 1, 1. pkt., udgår », jf. dog stk. 2«.
7. § 75 b, stk. 2, ophæves.
8. I § 75 c, stk. 1, ændres »jf. § 75 a, stk. 1, 4 og 5,« til: »jf.
§ 75 a, stk. 1 og 4,«.
9. I § 75 c, stk. 2, udgår »og forsvarsministeren« og »for de-
res respektive områder«.
10. I § 76, stk. 1, ændres », jf. dog stk. 2 og 3.« til: », jf. dog
stk. 2.«
11. § 76, stk. 2, ophæves.
Stk. 3 bliver herefter stk. 2.
12. I § 79, stk. 1, udgår », Forsvarsministeriet«.
13. I § 81, stk. 1, nr. 1, ændres »§ 35, § 51 a, stk. 1 og 4,
eller § 63, stk. 2, 3 og 5« til: »§ 35 eller § 51 a, stk. 1 og 4«.
14. I § 81, stk. 2, ændres »§ 8, stk. 1, § 8 a, stk. 1, og §§ 9,
13 b, 13 c, 61 og 62« til: »§ 8, stk. 1, og §§ 9, 13 b, 13 c og
61«.
§ 17. Loven gælder ikke for Færøerne og Grønland.
Folketinget, den 10. december 2015
KRISTIAN PIHL LORENTZEN
/ Karen J. Klint
4