Fremsat den 7. februar 2018 af forsvarsministeren (Claus Hjort Frederiksen)
Tilhører sager:
Aktører:
AG826
https://www.ft.dk/RIpdf/samling/20171/lovforslag/L139/20171_L139_som_fremsat.pdf
Fremsat den 7. februar 2018 af forsvarsministeren (Claus Hjort Frederiksen) Forslag til Lov om sikkerhed i net- og informationssystemer for operatører af væsentlige internetudvekslingspunkter m.v.1) Kapitel 1 Anvendelsesområde og definitioner § 1. Loven finder ikke anvendelse på operatører af væ- sentlige internetudvekslingspunkter, der er omfattet af lov om net- og informationssikkerhed. § 2. I denne lov forstås ved: 1) Internetudvekslingspunkt: En netfacilitet, der mulig- gør sammenkobling af mere end to uafhængige auto- nome systemer, hovedsagligt med henblik på at lette udvekslingen af internettrafik. 2) Net- og informationssystem: a) Elektroniske kommunikationsnet i form af radio- frekvens- eller kabelbaseret teleinfrastruktur, der anvendes til formidling af tjenester, b) enhver anordning eller gruppe af indbyrdes for- bundne eller beslægtede anordninger, hvoraf en eller flere ved hjælp af et program udfører auto- matisk behandling af digitale data, eller c) digitale data, som lagres, behandles, fremfindes eller overføres af elementer i litra a og b med hen- blik på deres drift, brug, beskyttelse og vedlige- holdelse. 3) Sikkerhed i net- og informationssystemer: Evnen for net- og informationssystemer til, på et givet sikker- hedsniveau, at modstå handlinger, der er til skade for tilgængeligheden, autenticiteten, integriteten eller for- troligheden i forbindelse med lagrede eller overførte eller behandlede data eller de dermed forbundne tje- nester, der tilbydes af eller er tilgængelige via disse net- og informationssystemer. 4) Hændelse: Enhver begivenhed, der har en egentlig ne- gativ indvirkning på sikkerheden i net- og informati- onssystemer. 5) Operatør af væsentligt internetudvekslingspunkt: En enhed, der leverer tjenester i form af internetudveks- lingspunkter, hvor: a) tjenesten er væsentlig for opretholdelsen af kriti- ske samfundsmæssige eller økonomiske aktivite- ter, b) leveringen af denne tjeneste afhænger af net- og informationssystemer, og c) en hændelse ville få væsentlige forstyrrende virk- ninger for leveringen af den nævnte tjeneste. 6) Digital tjeneste: Enhver tjeneste, der normalt ydes mod betaling, og som teleformidles ad elektronisk vej på individuel anmodning fra en tjenestemodtager, og som er af typen online-markedsplads, online-søgema- skine eller cloud computing-tjeneste. 7) Udbyder af digital tjeneste: Enhver juridisk person, som udbyder en digital tjeneste, og som har hovedsæ- de eller en repræsentant i Danmark. 8) Nationalt centralt kontaktpunkt: En national kompe- tent enhed med ansvar for at koordinere spørgsmål vedrørende sikkerheden i net- og informationssyste- mer samt grænseoverskridende samarbejde i EU her- om. 9) CSIRT: En national it-beredskabsenhed, der håndterer hændelser, og som har ansvar for at sikre samarbejdet om sikkerheden i net- og informationssystemer i EU. 10) CSIRT-netværket: Et netværk bestående af repræsen- tanter fra EU-medlemsstaternes CSIRT’er, og som har ansvar for at sikre samarbejdet om sikkerheden i net- og informationssystemer i EU. 1) Loven indeholder bestemmelser, der gennemfører dele af Europa-Parlamentets og Rådets direktiv 2016/1148/EU af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen, EU-Tidende 2016, nr. L 194, side 1. Lovforslag nr. L 139 Folketinget 2017-18 Forsvarsmin., j.nr. 2017/004548 AG000826 Kapitel 2 Sikkerhed i net- og informationssystemer § 3. Center for Cybersikkerhed fastsætter regler om mini- mumskrav til sikkerheden i net- og informationssystemer for operatører af væsentlige internetudvekslingspunkter. Regler- ne kan omfatte krav om passende og forholdsmæssige tekni- ske og organisatoriske foranstaltninger for at styre risiciene for sikkerheden i net- og informationssystemer, som opera- tører af væsentlige internetudvekslingspunkter anvender til deres aktiviteter. Reglerne kan endvidere omfatte krav om passende foranstaltninger for at forebygge og minimere kon- sekvensen af hændelser, der berører sikkerheden i net- og informationssystemer, som operatører af væsentlige interne- tudvekslingspunkter anvender til levering af væsentlige tje- nester med henblik på at sikre kontinuiteten i disse tjenester. Der kan fastsættes krav om, at sådanne foranstaltninger gen- nemføres på baggrund af dokumenterede og ledelsesforan- krede processer. Stk. 2. Center for Cybersikkerhed kan påbyde operatører af væsentlige internetudvekslingspunkter at inddrage nær- mere angivne områder af deres virksomhed og nærmere an- givne trusler mod sikkerheden i net- og informationssyste- mer i deres processer efter stk. 1. Stk. 3. Center for Cybersikkerhed kan påbyde operatører af væsentlige internetudvekslingspunkter at afhjælpe nær- mere påviste mangler i relation til sikkerheden i deres net- og informationssystemer. § 4. Center for Cybersikkerhed fastsætter regler om, at operatører af væsentlige internetudvekslingspunkter hurtigst muligt skal underrette Center for Cybersikkerhed om hæn- delser, der har væsentlige konsekvenser for kontinuiteten af de væsentlige tjenester, som operatørerne leverer. Center for Cybersikkerhed kan i den forbindelse fastsætte krav om, hvordan og i hvilken form oplysningerne skal afgives. Kapitel 3 Tilsyn, orientering, underretning og kommunikation § 5. Center for Cybersikkerhed fører tilsyn med overhol- delsen af denne lov og regler, der er udstedt i medfør af lo- ven. Stk. 2. Center for Cybersikkerhed kan som led i sit tilsyn kræve, at operatører af væsentlige internetudvekslingspunk- ter fremlægger oplysninger og materiale, der er nødvendigt for centerets tilsynsvirksomhed, herunder til afgørelse af, om et forhold er omfattet af denne lov eller regler, der er ud- stedt i medfør af loven. Stk. 3. Center for Cybersikkerhed kan stille krav om, hvordan og i hvilken form oplysninger og materiale efter stk. 2 skal afgives. § 6. Center for Cybersikkerhed kan orientere offentlighe- den om en hændelse, som centeret har modtaget underret- ning om efter § 4, hvis offentlighedens kendskab til hændel- sen er nødvendigt for at forebygge en hændelse eller håndte- re en igangværende hændelse. Forud for orientering af of- fentligheden hører Center for Cybersikkerhed den operatør af et væsentligt internetudvekslingspunkt, der har underret- tet om hændelsen. Stk. 2. Center for Cybersikkerhed kan i koordination med de relevante tilsynsmyndigheder i andre sektorer og efter forudgående høring af de operatører af væsentlige tjenester, der har underrettet om hændelsen, orientere offentligheden om hændelser, der berører flere samfundsvigtige sektorer, hvis offentlighedens kendskab hertil er nødvendigt for at fo- rebygge en hændelse eller håndtere en igangværende hæn- delse. Stk. 3. Center for Cybersikkerhed kan i koordination med de relevante tilsynsmyndigheder i andre sektorer og efter forudgående høring af de udbydere af digitale tjenester, der har underrettet om hændelsen, orientere offentligheden om hændelser, der berører flere samfundsvigtige sektorer, hvis offentlighedens kendskab hertil er nødvendigt for at fore- bygge en hændelse eller håndtere en igangværende hændel- se, eller hvis offentliggørelse af hændelsen i øvrigt er i of- fentlighedens interesse. Stk. 4. Center for Cybersikkerheds orientering af offent- ligheden efter stk. 1-3 må ikke indeholde 1) oplysninger om tekniske indretninger eller fremgangs- måder eller om drifts- eller forretningsforhold el. lign. for så vidt det er af væsentlig betydning for den opera- tør af væsentlige tjenester eller udbyder af digitale tje- nester, som oplysningerne angår, 2) oplysninger, der er af væsentlig betydning for statens sikkerhed eller rigets forsvar, 3) klassificerede informationer, eller 4) oplysninger om enkeltpersoners forhold. § 7. Center for Cybersikkerhed kan i forbindelse med modtagelse af underretninger om hændelser af grænseover- skridende karakter fra tilsynsmyndigheder i andre sektorer, operatører af tjenester og udbydere af digitale tjenester vide- regive oplysninger om disse hændelser til nationale tilsyns- myndigheder, CSIRT’er og nationale centrale kontaktpunk- ter i andre EU-medlemsstater samt CSIRT-netværket. Stk. 2. Center for Cybersikkerhed orienterer de operatører af tjenester samt udbydere af digitale tjenester, som under- retningerne hidrører fra, om videregivelse efter stk. 1. § 8. Center for Cybersikkerhed kan fastsætte regler om, at skriftlig kommunikation til og fra centeret om nærmere be- stemte forhold, som er omfattet af denne lov eller af regler udstedt i medfør af loven, skal foregå digitalt. Stk. 2. Center for Cybersikkerhed kan fastsætte regler om digital kommunikation, herunder om anvendelsen af be- stemte it-systemer og særlige digitale formater samt digital signatur el.lign. Stk. 3. En digital meddelelse anses for at være kommet rettidigt frem, når den er tilgængelig for adressaten for med- delelsen. Kapitel 4 Straf § 9. Medmindre højere straf er forskyldt efter den øvrige lovgivning, straffes med bøde den, der 2 1) undlader at efterkomme Center for Cybersikkerheds påbud efter § 3, stk. 2 og 3, eller 2) undlader at efterkomme Center for Cybersikkerheds krav efter § 5, stk. 2. Stk. 2. I regler, der udstedes i medfør af § 3, stk. 1, og § 4, kan der fastsættes straf af bøde. Stk. 3. Der kan pålægges selskaber m.v. (juridiske perso- ner) strafansvar efter reglerne i straffelovens 5. kapitel. Kapitel 5 Ikrafttræden m.v. § 10. Loven træder i kraft den 10. maj 2018. § 11. Loven gælder ikke for Færøerne og Grønland. 3 Bemærkninger til lovforslaget Almindelige bemærkninger Indholdsfortegnelse 1. Indledning og formål 2. Baggrund 2.1. Generelt om NIS-direktivet 2.1.1. Samarbejdsorganer og myndighedsstruktur 2.1.2. Krav til operatører af væsentlige tjenester og udbydere af digitale tjenester 2.2. Sektorspecifik implementering 3. Lovforslagets hovedindhold 3.1. Sikkerhedskrav og underretningspligter for operatører af væsentlige internetudvekslingspunkter 3.1.1. Gældende ret 3.1.2. Forsvarsministeriets overvejelser 3.1.3. Den foreslåede ordning 3.2. Videregivelse og offentliggørelse af underretninger om væsentlige hændelser 3.2.1. Gældende ret 3.2.2. Forsvarsministeriets overvejelser 3.2.3. Den foreslåede ordning 3.3. Tilsyn m.v. 3.3.1. Gældende ret 3.3.2. Forsvarsministeriets overvejelser 3.3.3. Den foreslåede ordning 4. Økonomiske og administrative konsekvenser for det offentlige 5. Økonomiske og administrative konsekvenser for erhvervslivet m.v. 6. Administrative konsekvenser for borgerne 7. Miljømæssige konsekvenser 8. Forholdet til EU-retten 9. Hørte myndigheder og organisationer m.v. 10. Sammenfattende skema 1. Indledning og formål Europa-Parlamentet og Rådet har vedtaget direktiv 2016/1148/EU af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informati- onssystemer i hele Unionen (NIS-direktivet). NIS-direktivet stiller fælles sikkerhedskrav til operatører af væsentlige tjenester og udbydere af digitale tjenester in- den for en række samfundsvigtige sektorer, som bl.a. omfat- ter energi, transport, bankvæsen, finansielle markedsinfra- strukturer, sundhed, drikkevandsforsyning og -distribution samt digital infrastruktur. Samtidig fastsættes krav om un- derretning af myndighederne ved hændelser, som har nega- tiv indvirkning på sikkerheden i net- og informationssyste- mer. Baggrunden for NIS-direktivet er, at net- og informations- systemer i dag spiller en afgørende rolle i samfundet. Det er således i høj grad en forudsætning for de økonomiske og samfundsmæssige aktiviteter, at net- og informationssyste- merne i de samfundsvigtige sektorer er pålidelige og sikre. Samtidig er både omfanget, hyppigheden og konsekvenser- ne af sikkerhedshændelser tiltagende, således at de udgør en alvorlig trussel for driften af net- og informationssystemer. Hertil kommer, at systemerne kan blive mål for egentlige angreb, der har til formål at ødelægge eller forstyrre syste- mernes drift. NIS-direktivet skal være implementeret i dansk ret senest den 10. maj 2018. Direktivet vil blive implementeret indivi- duelt i de enkelte sektorer, som er omfattet af direktivet, hvilket vil sikre, at der ved implementeringen fastsættes målrettede sikkerhedskrav, der er nøje tilpasset de enkelte sektorers særlige forhold. Dermed opnås den bedst mulige beskyttelse af net- og informationssystemer, mens erhvervs- livet samtidig ikke pålægges unødigt bebyrdende krav. 4 Formålet med dette lovforslag er at implementere NIS-di- rektivet på Forsvarsministeriets område. Lovforslaget imple- menterer således de dele af direktivet, der vedrører sikker- hedskrav og underretningspligter på informationssikker- hedsområdet for de såkaldte internetudvekslingspunkter (In- ternet Exchange Points – IXP), som for så vidt angår infor- mationssikkerhed henhører under Forsvarsministeriet. Her- udover vil der med lovforslaget blive skabt de nødvendige forudsætninger for, at Center for Cybersikkerhed kan vareta- ge en række tværgående myndighedsopgaver, som følger af direktivet, herunder varetage funktionen som nationalt cen- tralt kontaktpunkt og beredskabsenhed, der håndterer it-sik- kerhedshændelser (CSIRT). 2. Baggrund 2.1. Generelt om NIS-direktivet NIS-direktivet har til formål at sikre et højt fælles sikker- hedsniveau for net- og informationssystemer inden for en række særligt samfundsvigtige sektorer i hele EU. NIS-direktivet fastlægger for det første krav til rammerne for arbejdet med sikkerhed i net- og informationssystemer, både nationalt og på EU-niveau, herunder krav til samar- bejdsorganer og myndighedsstruktur. For det andet stiller NIS-direktivet krav om, at der fastsættes sikkerhedskrav og underretningspligter for operatører af væsentlige tjenester og udbydere af digitale tjenester. 2.1.1. Samarbejdsorganer og myndighedsstruktur Med NIS-direktivet etableres der i EU-regi to samarbejds- fora, hvor medlemsstaterne er repræsenteret. Det ene forum er Samarbejdsgruppen, som fokuserer på det strategiske samarbejde mellem medlemsstaterne, mens det andet er CSIRT-netværket, som fokuserer på det operationelle sam- arbejde mellem medlemsstaternes CSIRT’er, der er de it-be- redskabsenheder, som skal reagere på hændelser. På nationalt plan forpligter NIS-direktivet medlemsstater- ne til at udpege en eller flere nationale kompetente myndig- heder, et nationalt centralt kontaktpunkt, samt en eller flere nationale CSIRT’er. De nationale kompetente myndigheder fører tilsyn med anvendelsen af direktivet, og de betegnes derfor som tilsyns- myndigheder. I Danmark udpeger de relevante ressortmyn- digheder de tilsynsmyndigheder, der skal føre tilsyn med de enkelte sektorer. Det nationale centrale kontaktpunkt skal udgøre et forbin- delsesled, som faciliterer det grænseoverskridende samar- bejde med andre medlemsstater, Samarbejdsgruppen og CSIRT-netværket. Herudover skal det nationale centrale kontaktpunkt én gang om året forelægge en sammenfattende rapport for Samarbejdsgruppen vedrørende underretninger om hændelser i henhold til NIS-direktivet. Center for Cyber- sikkerhed varetager funktionen som nationalt centralt kon- taktpunkt i Danmark. Centeret, der er en del af Forsvarets Efterretningstjeneste, er i forvejen national it-sikkerheds- myndighed og står for en forebyggende national rådgiv- nings- og oplysningsvirksomhed om cybersikkerhed i for- hold til både den offentlige og private sektor samt en reaktiv indsats. Centeret varetager endvidere en række myndigheds- opgaver og er således den centrale nationale myndighed vedrørende cybersikkerhed. Udover at være nationalt centralt kontaktpunkt vil Center for Cybersikkerhed fremover varetage funktionen som Dan- marks nationale CSIRT. Det indebærer, at centeret bl.a. skal løse følgende opgaver: – Monitorering af hændelser på nationalt plan. – Tidlig varsling, advarsler, meddelelser og formidling af information til relevante interessenter om risici og hæn- delser. – Reaktion på hændelser. – Udarbejdelse af dynamiske risiko- og hændelsesanalyser og situationsrapporter. – Deltagelse i CSIRT-netværket. – Etablering af samarbejde med den private sektor. – Fremme anvendelsen af fælles eller standardiserede pro- cedurer for håndtering af hændelser og risici. – Fremme anvendelsen af fælles eller standardiserede sy- stemer til klassificering af hændelser, risici og oplysnin- ger. 2.1.2. Krav til operatører af væsentlige tjenester og udbydere af digitale tjenester NIS-direktivet stiller en række krav til gennemførelse af tekniske og organisatoriske sikkerhedsforanstaltninger samt underretning om væsentlige hændelser. Kravene er rettet mod operatører af væsentlige tjenester inden for energi, transport, bankvæsen, finansielle markedsinfrastrukturer, sundhedssektoren, drikkevandsforsyning og -distribution samt digital infrastruktur, samt mod udbydere af digitale tje- nester, som omfatter online-markedspladser, online-søgema- skiner og cloud computing-tjenester. Det er de enkelte medlemsstater, som skal identificere de operatører, der leverer væsentlige tjenester og som dermed er omfattet af NIS-direktivets krav vedrørende sikkerhed i net- og informationssystemer. Der er i direktivet fastsat en række kriterier for identifikationen af disse operatører af væ- sentlige tjenester. Operatører af væsentlige tjenester skal i medfør af NIS-di- rektivet hurtigst muligt underrette tilsynsmyndigheden eller den nationale CSIRT om hændelser, der har væsentlige kon- sekvenser for kontinuiteten af de tjenester, som de leverer. På samme måde skal udbydere af digitale tjenester hurtigst muligt foretage en underretning af tilsynsmyndigheden eller den nationale CSIRT om enhver hændelse, der har betydeli- ge konsekvenser for leveringen af en digital tjeneste, som de udbyder i EU. Underretningerne skal bl.a. danne grundlag for, at tilsyns- myndighederne kan føre kontrol med operatører af væsentli- ge tjenester og udbydere af digitale tjenester inden for deres sektorer og evt. stille yderligere sikkerhedskrav til de pågæl- dende operatører eller udbydere. Underretningerne skal end- videre give CSIRT’en grundlag for at reagere på hændelser samt danne grundlag for, at det nationale centrale kontakt- 5 punkt årligt kan forelægge Samarbejdsgruppen en sammen- fattende rapport om modtagne underretninger. Herudover er underretningerne en forudsætning for, at tilsynsmyndighe- den eller CSIRT’en kan orientere øvrige berørte medlems- stater om hændelser, der har grænseoverskridende konse- kvenser. De enkelte ressortmyndigheder fastsætter nærmere regler om sikkerhedskrav og underretningspligter inden for deres respektive sektorer og fører tilsyn med overholdelsen heraf. Det sikres i den forbindelse, at både tilsynsmyndigheden og CSIRT’en modtager underretningerne hurtigst muligt. 2.2. Sektorspecifik implementering NIS-direktivet har et meget bredt anvendelsesområde, men forudsætningen for en målrettet og erhvervsvenlig di- rektivimplementering, hvor danske erhvervsvirksomheder ikke pålægges unødvendige byrder, er, at nye lovgivnings- krav nøje tilpasses de enkelte sektorer. Ved implementerin- gen af NIS-direktivet videreføres sektoransvaret derfor, så- ledes at de enkelte ressortmyndigheder inden for eget områ- de fortsat har ansvaret for at fastsætte og håndhæve de nød- vendige regler om informationssikkerhed. Implementeringen af NIS-direktivet vil således ske inden for en række forskellige ministerområder, hvoraf flere alle- rede har fastsat national regulering på informationssikker- hedsområdet. Da der endvidere er stor forskel på de sekto- rer, der er omfattet af direktivet, er det ikke muligt at fast- lægge et fælles niveau for informationssikkerhed for alle de omfattede sektorer. De enkelte ressortansvarlige myndigheder forestår imple- menteringen af direktivet inden for deres eget ressort, typisk ved at fremsætte lovforslag for Folketinget. I den forbindel- se sikrer de ansvarlige myndigheder, at eventuel eksisteren- de lovgivning tilpasses, hvor det er nødvendigt, således at overlappende forpligtelser undgås, og erhvervsvirksomhe- derne ikke pålægges unødvendige byrder. De ressortansvarlige myndigheder identificerer de opera- tører, der er væsentlige inden for den pågældende sektor, samt hvilke konkrete sikkerhedsforanstaltninger m.v., der er relevante inden for sektoren. På Forsvarsministeriets område implementerer lovforsla- get dermed de dele af NIS-direktivet, der vedrører sikker- hedskrav og underretningspligter på informationssikker- hedsområdet for internetudvekslingspunkter samt de dele, der vedrører orientering af offentligheden om hændelser, der har en negativ indvirkning på sikkerheden i net- og informa- tionssystemer, herunder orientering om tværgående hændel- ser, der ikke nødvendigvis har tilknytning til internetudveks- lingspunkter. 3. Lovforslagets hovedindhold 3.1. Sikkerhedskrav og underretningspligter for operatører af væsentlige internetudvekslingspunkter 3.1.1. Gældende ret På teleområdet er net- og informationssikkerhed reguleret ved lov nr. 1567 af 15. december 2015 om net- og informa- tionssikkerhed med tilhørende bekendtgørelser. Specifikt i relation til informationssikkerhed er der i medfør af loven udstedt bekendtgørelse nr. 567 af 1. juni 2016 om informati- onssikkerhed og beredskab i net og tjenester samt bekendt- gørelse nr. 566 af 1. juni 2016 om oplysnings- og underret- ningspligter vedrørende net- og informationssikkerhed. En del operatører af væsentlige internetudvekslingspunk- ter vil også kunne være teleudbydere, og i så fald vil de ikke være omfattet af lovforslaget, men i stedet (fortsat) være omfattet af lov om net- og informationssikkerheds sikker- hedskrav og underretningspligter. Øvrige operatører af væ- sentlige internetudvekslingspunkter er ikke på nuværende tidspunkt omfattet af regulering i forhold til sikkerheden i net- og informationssystemer. 3.1.2. Forsvarsministeriets overvejelser Med lovforslaget implementeres NIS-direktivet, som har til formål at sikre et højt fælles sikkerhedsniveau for net- og informationssystemer, således at den stadigt stigende trussel mod net- og informationssystemer imødegås. Sikkerhedskravene i NIS-direktivet omfatter overordnet en forpligtelse til at indføre risikostyringsprocesser, der kan sikre et højt sikkerhedsniveau i de pågældende tjenester. De omfattede operatører og udbydere skal træffe passende sik- kerhedsforanstaltninger på baggrund af en vurdering af de risici, som virksomheden konkret står over for. Endvidere følger det af NIS-direktivet, at de omfattede operatører og udbydere hurtigst muligt skal underrette myndighederne om eventuelle hændelser, der har væsentlig forstyrrende virk- ning på levering af de pågældende tjenester. Forsvarsministeriet lægger vægt på, at implementering af NIS-direktivet sker i overensstemmelse med regeringens principper for implementering af erhvervsrettet regulering, hvorefter den nationale regulering som udgangspunkt ikke bør gå videre end minimumskravene i EU-reguleringen. Sik- kerhedskrav og underretningspligter bør således nøje følge direktivets krav. 3.1.3. Den foreslåede ordning Det foreslås i overensstemmelse med NIS-direktivet, at Center for Cybersikkerhed som myndighed på området kan fastsætte konkrete krav til operatører af væsentlige interne- tudvekslingspunkters sikkerhed i net- og informationssyste- mer. Først og fremmest foreslås det, at Center for Cybersikker- hed bemyndiges til at fastsætte regler, som stiller krav om passende og forholdsmæssige tekniske og organisatoriske foranstaltninger for at styre risiciene for sikkerheden i net- 6 og informationssystemer, som operatører af væsentlige in- ternetudvekslingspunkter anvender til deres aktiviteter. Her- udover foreslås det, at reglerne kan omfatte krav om passen- de foranstaltninger for at forebygge og minimere konse- kvensen af hændelser, der berører sikkerheden i net- og in- formationssystemer, som operatører af væsentlige interne- tudvekslingspunkter anvender til levering af væsentlige tje- nester med henblik på at sikre kontinuiteten i disse tjenester. Endvidere foreslås det, at der kan fastsættes krav om, at så- danne foranstaltninger gennemføres på baggrund af doku- menterede og ledelsesforankrede processer. Dette svarer i stort omfang til den regulering, der i dag gælder for teleud- bydere i medfør af lov om net- og informationssikkerhed, om end der i forhold til teleudbydere stilles flere og mere detaljerede krav. Det foreslås herudover, at Center for Cybersikkerhed kan påbyde operatører af væsentlige internetudvekslingspunkter at inddrage nærmere angivne områder af deres virksomhed og nærmere angivne trusler mod sikkerheden i net- og infor- mationssystemer i deres processer. Det foreslås desuden, at Center for Cybersikkerhed kan påbyde operatører af væsent- lige internetudvekslingspunkter at afhjælpe nærmere påviste mangler i relation til sikkerheden i deres net- og informati- onssystemer. For så vidt angår underretningspligt foreslås det i overens- stemmelse med NIS-direktivet, at Center for Cybersikker- hed kan fastsætte regler om, at operatører af væsentlige in- ternetudvekslingspunkter underretter Center for Cybersik- kerhed hurtigst muligt om hændelser, der har væsentlige konsekvenser for kontinuiteten af de væsentlige tjenester, som operatørerne leverer. Der henvises i øvrigt til bemærkningerne til de foreslåede §§ 3 og 4. 3.2. Videregivelse og offentliggørelse af underretninger om væsentlige hændelser 3.2.1. Gældende ret Der er ikke i gældende ret en specifik regulering af videre- givelse og offentliggørelse af underretninger om hændelser fra operatører af væsentlige tjenester og udbydere af digitale tjenester på tværs af sektorer. Det følger dog af forvaltningslovens § 27, stk. 1, at den, der virker inden for den offentlige forvaltning, har tavsheds- pligt, jf. straffelovens § 152 og §§ 152 c-152 f, med hensyn til en række oplysninger, herunder bl.a. oplysninger om en- keltpersoners private, herunder økonomiske forhold, jf. be- stemmelsens stk. 1, nr. 1. Det er nærmere angivet i forvalt- ningslovens § 27, stk. 1-7, hvilke oplysninger, der er under- givet tavshedspligt. Forvaltningsloven indeholder herudover almindelige reg- ler om offentlige myndigheders adgang til at videregive for- trolige oplysninger til andre myndigheder. En oplysning an- ses som fortrolig, hvis den er af en sådan karakter, at den ef- ter den almindelige opfattelse i samfundet bør kunne forlan- ges unddraget offentlighedens kendskab. Det er den myndighed, der vil videregive oplysningen, som skal beslutte, om myndigheden anser betingelserne for videregivelse for at være opfyldt i det konkrete tilfælde. Forvaltningsloven indeholder ikke bestemmelser om ad- gang til udveksling af ikke-fortrolige oplysninger, og sådan- ne oplysninger vil som udgangspunkt frit kunne videregives til en anden forvaltningsmyndighed. Danske forvaltningsmyndigheders videregivelse af oplys- ninger om enkeltpersoner (personoplysninger) til en anden forvaltningsmyndighed vil dog være omfattet af persondata- loven. Det bemærkes i den forbindelse, at det følger af per- sondatalovens § 2, stk. 10, at loven ikke gælder for behand- linger, der udføres for politiets og forsvarets efterretningstje- nester. Center for Cybersikkerhed er en del af Forsvarets Ef- terretningstjeneste, og centerets virksomhed er dermed und- taget fra persondataloven, jf. også § 8, stk. 1, i lov nr. 713 af 25. juni 2014 om Center for Cybersikkerhed. Denne retstil- stand ventes videreført, når persondataloven med virkning fra 25. maj 2018 erstattes af databeskyttelsesforordningen og databeskyttelsesloven. Uanset at Center for Cybersikker- heds virksomhed er undtaget fra persondataloven, gælder størstedelen af de centrale principper i persondataloven for centeret, jf. kapitel 6 i lov om Center for Cybersikkerhed. I relation til offentliggørelse bemærkes det, at en forvalt- ningsmyndigheds beslutning om at offentliggøre en afgørel- se eller andre forvaltningsaktiviteter ikke er en afgørelse i forvaltningslovens forstand, og der er derfor ikke efter for- valtningsloven krav om forudgående høring af den fysiske eller juridiske person, der skal offentliggøres oplysninger om. God forvaltningsskik kan dog tilsige, at vedkommende fysiske eller juridiske person høres eller orienteres vedrøren- de spørgsmålet om offentliggørelse. 3.2.2. Forsvarsministeriets overvejelser Det følger af NIS-direktivet, at operatører af væsentlige tjenester skal underrette tilsynsmyndigheden eller CSIRT’en om hændelser, der har væsentlige konsekvenser for kontinu- iteten af de tjenester, som de leverer. Det følger endvidere af direktivet, at udbydere af digitale tjenester skal underrette tilsynsmyndigheden eller CSIRT’en om hændelser, der har betydelige konsekvenser for leveringen af en tjeneste, som de udbyder i Unionen. Derudover kan enheder, der ikke er identificeret som operatører af væsentlige tjenester eller ud- bydere af digitale tjenester, på frivillig basis underrette om hændelser, der har væsentlige konsekvenser for kontinuite- ten af de tjenester, som de leverer. Såfremt en hændelse har grænseoverskridende karakter, skal tilsynsmyndigheden el- ler CSIRT’en underrette andre berørte medlemsstater her- om. Uanset hvilken model for håndtering af underretninger, som vælges, er det både for tilsynsmyndighederne, CSIRT’en og det nationale centrale kontaktpunkt afgørende, at de hver især modtager underretninger fra operatører af væsentlige tjenester om hændelser, der har væsentlige kon- sekvenser for kontinuiteten af de leverede tjenester, og fra udbydere af digitale tjenester om hændelser, der har betyde- lige konsekvenser for leveringen af tjenesten. 7 Det vil være op til ressortmyndighederne indenfor de en- kelte sektorer at fastsætte nærmere regler om underretning inden for deres respektive sektorer og føre tilsyn med over- holdelsen heraf. Ressortmyndighederne sikrer i den forbin- delse, at Center for Cybersikkerhed i sin funktion af CSIRT og nationalt centralt kontaktpunkt modtager de nødvendige underretninger. Det vurderes som mest hensigtsmæssigt, at opgaven med at underrette andre EU-medlemsstater om hændelser af grænseoverskridende karakter placeres hos Center for Cy- bersikkerhed som led i centerets funktion som national CSIRT. Forsvarsministeriet finder på den baggrund, at Center for Cybersikkerhed bør have en udtrykkelig hjemmel til at vide- regive de modtagne underretninger om hændelser af grænse- overskridende karakter til nationale tilsynsmyndigheder, CSIRT’er og nationale centrale kontaktpunkter i andre EU- medlemslande samt til CSIRT-netværket. Forsvarsministeri- et finder i den forbindelse, at der bør ske orientering af den underrettende operatør eller udbyder af digitale tjenester i forbindelse med videregivelsen. Operatøren eller udbyderen vil i den forbindelse modtage kopi af de videregivne oplys- ninger. I medfør af NIS-direktivet skal det sikres, at den kompe- tente myndighed eller CSIRT’en efter høring af den pågæl- dende operatør kan offentliggøre konkrete hændelser, hvis offentlighedens kendskab hertil er nødvendigt for at fore- bygge en hændelse eller håndtere en igangværende hændel- se. Offentliggørelsen skal ske under hensyntagen til bl.a. operatørens sikkerhed, operatørens kommercielle interesser og fortrolig behandling af de af operatøren angivne oplys- ninger i forbindelse med dennes underretning. Det samme gør sig gældende for så vidt angår udbydere af digitale tje- nester. Det følger dog af direktivet, at der her ligeledes kan ske offentliggørelse, hvis offentliggørelse af hændelsen i øv- rigt er i offentlighedens interesse. Orientering af offentligheden om en konkret hændelse va- retages af de enkelte tilsynsmyndigheder. For så vidt angår operatører af væsentlige internetudvekslingspunkter bør der således – i overensstemmelse med NIS-direktivet – skabes hjemmel til, at Center for Cybersikkerhed kan orientere of- fentligheden om en hændelse, som centeret har fået under- retning om fra en operatør af væsentlige internetudveks- lingspunkter. Forsvarsministeriet finder derudover, at orienteringen af offentligheden i tilfælde, hvor en hændelse berører flere sek- torer, bør foretages af Center for Cybersikkerhed i koordina- tion med de relevante tilsynsmyndigheder. 3.2.3. Den foreslåede ordning Det foreslås, at Center for Cybersikkerhed i forbindelse med modtagelse af underretninger om hændelser af grænse- overskridende karakter fra tilsynsmyndigheder i andre sek- torer, operatører af tjenester og udbydere af digitale tjenester kan videregive oplysninger om disse hændelser til nationale tilsynsmyndigheder, CSIRT’er og nationale centrale kon- taktpunkter i andre EU-medlemsstater samt CSIRT-netvær- ket. Det foreslås endvidere, at Center for Cybersikkerhed i for- bindelse med en sådan videregivelse orienterer den operatør af væsentlige tjenester eller udbyder af digitale tjenester, som underretningerne hidrører fra. I relation til operatører af væsentlige internetudvekslings- punkter foreslås det, at Center for Cybersikkerhed kan ori- entere offentligheden om en hændelse, som centeret har modtaget underretning om, hvis offentlighedens kendskab til hændelsen er nødvendigt for at forebygge en hændelse el- ler håndtere en igangværende hændelse. Forud for oriente- ring af offentligheden hører Center for Cybersikkerhed den operatør af det væsentlige internetudvekslingspunkt, der har underrettet om hændelsen. Endvidere foreslås det, at Center for Cybersikkerhed i ko- ordination med de relevante tilsynsmyndigheder og efter forudgående høring af de operatører af væsentlige tjenester, der har underrettet om hændelsen, kan orientere offentlighe- den om hændelser, der berører flere samfundsvigtige sekto- rer, hvis offentlighedens kendskab hertil er nødvendigt for at forebygge en hændelse eller håndtere en igangværende hæn- delse. For så vidt angår underretninger fra udbydere af digitale tjenester foreslås det, at Center for Cybersikkerhed i koordi- nation med de relevante tilsynsmyndigheder og efter forud- gående høring af de udbydere af digitale tjenester, der har underrettet om hændelsen, kan orientere offentligheden om hændelser, der berører flere samfundsvigtige sektorer, hvis offentlighedens kendskab hertil er nødvendigt for at fore- bygge en hændelse eller håndtere en igangværende hændel- se, eller hvis offentliggørelse af hændelsen i øvrigt er i of- fentlighedens interesse. I forbindelse med den koordination, som Center for Cy- bersikkerhed foretager med de relevante tilsynsmyndigheder forud for orientering af offentligheden, vil det blandt andet blive drøftet, hvilke oplysninger tilsynsmyndigheden anser for fortrolige, og som dermed ikke skal offentliggøres. Der henvises i øvrigt til bemærkningerne til de foreslåede §§ 6 og 7. 3.3. Tilsyn m.v. 3.3.1. Gældende ret § 9 i lov om net- og informationssikkerhed regulerer Cen- ter for Cybersikkerheds tilsyn med teleudbyderes overhol- delse af loven og de bekendtgørelser, der er udstedt i medfør af loven. De operatører af væsentlige internetudvekslingspunkter, der ikke samtidig er teleudbydere i lov om net- og informati- onssikkerheds forstand, er derimod ikke på nuværende tids- punkt underlagt tilsyn i forhold til sikkerheden i net- og in- formationssystemer. 8 3.3.2. Forsvarsministeriets overvejelser Et velfungerende tilsyn med sikkerheden i net- og infor- mationssystemer for internetudvekslingspunkter er en vigtig forudsætning for et højt sikkerhedsniveau på området. Det følger af NIS-direktivet, at tilsynsmyndighederne skal føre tilsyn med anvendelsen af direktivet på nationalt plan. Det følger endvidere af direktivet, at tilsynsmyndighederne skal have beføjelser og midler til at pålægge operatørerne at levere de oplysninger, der er nødvendige for at vurdere sik- kerheden i deres net- og informationssystemer, herunder do- kumenterede sikkerhedspolitikker og dokumentation for den faktiske gennemførelse af sikkerhedspolitikker. Forsvarsministeriet finder i overensstemmelse hermed, at der bør fastsættes regler om, at Center for Cybersikkerhed fører tilsyn med overholdelsen af loven, og at centeret i den forbindelse bør tillægges de beføjelser og midler, der er nød- vendige for centerets tilsynsvirksomhed. 3.3.3. Den foreslåede ordning Det foreslås, at Center for Cybersikkerhed fører tilsyn med overholdelsen af loven og de regler, der udstedes i medfør af loven. Endvidere foreslås det, at Center for Cybersikkerhed som led i sit tilsyn kan kræve, at operatører af væsentlige interne- tudvekslingspunkter fremlægger de oplysninger og det ma- teriale, der er nødvendigt for centerets tilsynsvirksomhed, herunder til afgørelse af, hvorvidt et forhold falder ind under denne lov eller regler udstedt i medfør af loven. I forlængel- se heraf vil centeret kunne stille krav om, hvordan og i hvil- ken form oplysninger og materiale skal indgives. Der henvises i øvrigt til bemærkningerne til den foreslåe- de § 5. 4. Økonomiske og administrative konsekvenser for det offentlige Lovforslaget vil medføre, at Center for Cybersikkerhed fremover skal varetage opgaverne som tilsynsmyndighed for internetudvekslingspunkter, nationalt centralt kontaktpunkt og national CSIRT. Dette vil have økonomiske konsekven- ser, men udgifterne til de nye opgaver vil blive afholdt inden for Forsvarsministeriets eksisterende økonomiske ramme. Lovforslaget vurderes på den baggrund ikke at have øko- nomiske eller administrative konsekvenser for det offentli- ge. 5. Økonomiske og administrative konsekvenser for er- hvervslivet m.v. Lovforslaget vil få økonomiske og administrative konse- kvenser for operatører af væsentlige internetudvekslings- punkter, der efter den foreslåede § 3 vil blive omfattet af regler om minimumskrav til sikkerheden i net- og informati- onssystemer. Endvidere vil lovforslaget medføre administrative byrder for operatører af væsentlige internetudvekslingspunkter, der efter den foreslåede § 4 vil blive omfattet af regler om un- derretning af Center for Cybersikkerhed om hændelser, der har væsentlige konsekvenser for kontinuiteten af de væsent- lige tjenester, som operatørerne leverer, ligesom Center for Cybersikkerhed som led i centerets tilsyn efter den foreslåe- de § 5 vil kunne kræve, at operatørerne fremlægger alle de oplysninger og det materiale, der er nødvendige for cente- rets tilsynsvirksomhed. De økonomiske og administrative konsekvenser vil af- hænge af operatørernes eksisterende sikkerhedsniveau. Det vurderes dog, at kun et yderst begrænset antal virksomheder vil blive omfattet af den nye regulering. 6. Administrative konsekvenser for borgerne Lovforslaget har ingen administrative konsekvenser for borgerne. 7. Miljømæssige konsekvenser Lovforslaget har ingen miljømæssige konsekvenser. 8. Forholdet til EU-retten Lovforslaget – og den bekendtgørelse, der vil blive ud- stedt i medfør af loven – indeholder bestemmelser, der gen- nemfører dele af Europa-Parlamentets og Rådets direktiv 2016/1148/EU af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informati- onssystemer i hele Unionen, EU-Tidende 2016, nr. L 194, side 1. NIS-direktivet skal være implementeret i dansk ret senest den 10. maj 2018. Forsvarsministeriet lægger vægt på, at implementering af NIS-direktivet sker i overensstemmelse med regeringens principper for implementering af erhvervsrettet regulering, hvorefter den nationale regulering som udgangspunkt ikke bør gå videre end minimumskravene i EU-reguleringen. 9. Hørte myndigheder og organisationer m.v. Et udkast til lovforslaget har i perioden fra 27. oktober 2017 til 24. november 2017 været sendt i høring hos følgen- de myndigheder og organisationer m.v.: Advokatrådet, Amnesty International, Danish Internet eX- change point (DIX), Dansk Erhverv, Dansk Industri (DI), Danske Advokater, Danske Regioner, Datatilsynet, Den Danske Dommerforening, DI ITEK, Domstolsstyrelsen, In- stitut for Menneskerettigheder, Internet eXchange point of the Oresund Region (IXOR), IT Branchen, IT-Politisk Fore- ning, KL, Netnod IX Copenhagen, Præsidenten for Vestre Landsret, Præsidenten for Østre Landsret, Retspolitisk Fore- ning, Rådet for Digital Sikkerhed, Stockholm Internet eX- change AB (STHIX), Teleindustrien (TI), The Neutral Inter- net Exchange (NL-ix) og Tilsynet med Efterretningstjene- sterne. 9 10. Sammenfattende skema Positive konsekvenser/mindreudgifter (hvis ja, angiv omfang) Negative konsekvenser/merudgifter (hvis ja, angiv omfang) Økonomiske konsekvenser for stat, kommuner og regioner Ingen Ingen Administrative konsekvenser for stat, kommuner og regioner Ingen Ingen Økonomiske konsekvenser for er- hvervslivet Ingen Lovforslaget vil få økonomiske konse- kvenser for operatører af væsentlige in- ternetudvekslingspunkter, der efter den foreslåede § 3 vil blive omfattet af reg- ler om minimumskrav til sikkerheden i net- og informationssystemer. De økonomiske konsekvenser vil af- hænge af operatørernes eksisterende sikkerhedsniveau. Administrative konsekvenser for er- hvervslivet Ingen Lovforslaget vil få administrative kon- sekvenser for operatører af væsentlige internetudvekslingspunkter, der efter den foreslåede § 3 vil blive omfattet af regler om minimumskrav til sikkerhe- den i net- og informationssystemer. Endvidere vil lovforslaget medføre ad- ministrative byrder for operatører af væ- sentlige internetudvekslingspunkter, der efter den foreslåede § 4 vil blive omfat- tet af regler om underretning af Center for Cybersikkerhed, ligesom Center for Cybersikkerhed som led i centerets til- syn efter den foreslåede § 5 vil kunne kræve, at operatørerne fremlægger alle de oplysninger og det materiale, der er nødvendige for centerets tilsynsvirk- somhed. De administrative konsekvenser vil af- hænge af operatørernes eksisterende sikkerhedsniveau. Administrative konsekvenser for bor- gerne Ingen Ingen Miljømæssige konsekvenser Ingen Ingen Forholdet til EU-retten Lovforslaget – og den bekendtgørelse, der vil blive udstedt i medfør af loven – inde- holder bestemmelser, der gennemfører dele af Europa-Parlamentets og Rådets direk- tiv 2016/1148/EU af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen, EU-Tidende 2016, nr. L 194, side 1. NIS-direktivet skal være implementeret i dansk ret senest den 10. maj 2018. 10 Forsvarsministeriet lægger vægt på, at implementering af NIS-direktivet sker i over- ensstemmelse med regeringens principper for implementering af erhvervsrettet regu- lering, hvorefter den nationale regulering som udgangspunkt ikke bør gå videre end minimumskravene i EU-reguleringen. Overimplementering af EU-retlige minimumsforpligtelser (sæt X) JA NEJ X Bemærkninger til lovforslagets enkelte bestemmelser Til § 1 Bestemmelsen fastsætter lovens anvendelsesområde og in- debærer, at loven ikke finder anvendelse på operatører af væsentlige internetudvekslingspunkter, der er omfattet af lov nr. 1567 af 15. december 2015 om net- og informations- sikkerhed med tilhørende bekendtgørelser. Lov om net- og informationssikkerhed med tilhørende be- kendtgørelser fastsætter bl.a. sikkerhedskrav og underret- ningspligter for udbydere af net og tjenester. Lov om net- og informationssikkerhed implementerer bl.a. dele af Europa- Parlamentets og Rådets direktiv 2002/21/EF af 7. marts 2002 om fælles rammebestemmelser for elektroniske kom- munikationsnet og -tjenester (rammedirektivet) som senest ændret ved Europa-Parlamentets og Rådets direktiv 2009/140/EF af 25. november 2009. Det følger af NIS-di- rektivets artikel 1, stk. 3, at de sikkerhedskrav og den under- retningspligt, der er fastsat i NIS-direktivet, ikke anvendes for virksomheder, der er omfattet af kravene i artikel 13 a og b i rammedirektivet. Udbydere af net og tjenester i lov om net- og informati- onssikkerheds forstand vil derfor ikke være omfattet af dette lovforslags anvendelsesområde. En udbyder af net og tjene- ster defineres i lov om net- og informationssikkerhed som den, der med et kommercielt formål stiller produkter, elek- troniske kommunikationsnet eller -tjenester til rådighed for andre. Hvis en udbyder af net og tjenester driver en tjeneste, der falder ind under definitionen af et internetudvekslingspunkt efter den foreslåede § 1, nr. 1, og denne tjeneste er adskilt fra udbyderens øvrige virksomhed, vil tjenesten dog være omfattet af denne lov. Det kan f.eks. være tilfældet, hvis en udbyder af net og tjenester helt eller delvist ejer en operatør af et væsentligt internetudvekslingspunkt, men uden at ope- ratøren er samme juridiske person som udbyderen. I så fald vil operatøren være omfattet af lovforslaget. Som eksempel herpå kan nævnes, at et internetudvekslingspunkt drives i et helt eller delvist ejet datterselskab, herunder hvis flere udby- dere i fællesskab driver et internetudvekslingspunkt. Hvis internetudvekslingspunktet derimod drives af samme juridi- ske person som udbyderen, og internetudvekslingspunktet ikke klart kan adskilles organisatorisk og teknisk fra udby- derens øvrige aktiviteter, vil internetudvekslingspunktets ak- tiviteter – på samme vis som udbyderens øvrige aktiviteter – være omfattet af lov om net- og informationssikkerhed. Til § 2 Den foreslåede § 1 definerer 10 centrale begreber i loven. Definitionerne bygger på de tilsvarende definitioner i NIS- direktivets artikel 4. Med nr. 1 defineres ”internetudvekslingspunkt” som en netfacilitet, der muliggør sammenkobling af mere end to uafhængige autonome systemer, hovedsageligt med henblik på at lette udvekslingen af internettrafik. Et internetudveks- lingspunkt leverer kun sammenkobling til autonome syste- mer. Endvidere forudsætter et internetudvekslingspunkt ik- ke, at internettrafik, som bevæger sig mellem et givent par af deltagende autonome systemer, bevæger sig gennem et eventuelt tredje autonomt system, og det hverken ændrer el- ler forstyrrer en sådan trafik. Definitionen af internetudveks- lingspunkter svarer til definitionen i artikel 4, nr. 13, i NIS- direktivet. Med nr. 2 defineres ”net- og informationssystem” som a) et elektroniske kommunikationsnet i form af radiofrekvens- eller kabelbaseret teleinfrastruktur, der anvendes til formid- ling af tjenester, b) enhver anordning eller gruppe af indbyr- des forbundne eller beslægtede anordninger, hvoraf en eller flere ved hjælp af et program udfører automatisk behandling af digitale data, eller c) digitale data, som lages, behandles, fremfindes eller overføres af elementer i litra a eller b med henblik på deres drift, brug, beskyttelse og vedligeholdelse. Definitionen af net- og informationssystem svarer til defini- tionen i artikel 4, nr. 1, i NIS-direktivet. Med nr. 3 defineres ”sikkerhed i net- og informationssy- stemer” som evnen for net- og informationssystemer til, på et givet sikkerhedsniveau, at modstå handlinger, der er til skade for tilgængeligheden, autenticiteten, integriteten eller fortroligheden i forbindelse med lagrede eller overførte eller behandlede data eller de dermed forbundne tjenester, der til- bydes af eller er tilgængelige via disse net- og informations- systemer. Definitionen af sikkerhed i net- og informations- system svarer til definitionen i artikel 4, nr. 2, i NIS-direkti- vet. Med nr. 4 defineres ”hændelse” som enhver begivenhed, der har en egentlig negativ indvirkning på sikkerheden i net- og informationssystemer. Definitionen af en hændelse sva- rer til definitionen i artikel 4, nr. 7, i NIS-direktivet. Med nr. 5 defineres ”operatør af væsentligt internetud- vekslingspunkt” som en enhed, der leverer tjenester i form af internetudvekslingspunkter, hvor tjenesten er væsentlig for opretholdelsen af kritiske samfundsmæssige eller økono- miske aktiviteter, leveringen af tjenesten afhænger af net- og 11 informationssystemer, og en hændelse ville få væsentlige forstyrrende virkninger for leveringen af den nævnte tjenes- te. En enhed kan være såvel en offentlig som privatejet virk- somhed og en fysisk eller juridisk person. Ved fastlæggelse af, om en hændelse vil få væsentlig for- styrrende virkning, skal der for det første tages hensyn til antallet af brugere, der er afhængige af de tjenester, som ud- bydes af operatøren, for det andet afhængighed af tjenesten i andre sektorer omfattet af NIS-direktivet, for det tredje kon- sekvenserne, som en hændelse kan have med hensyn til om- fang og varighed på økonomiske og samfundsmæssige akti- viteter eller den offentlige sikkerhed, for det fjerde operatø- rens markedsandel, for det femte den geografiske udbredelse med hensyn til det område, som kan berøres af en hændelse, og for det sjette operatørens betydning med henblik på at opretholde et tilstrækkeligt tjenesteniveau under hensyn til tilgængelige alternative måder til levering af denne tjeneste. De konkrete kriterier for fastlæggelse af, om der er tale om en operatør af et væsentligt internetudvekslingspunkt, vil kunne indgå i de regler, der fastsættes i medfør af den fore- slåede § 3, stk. 1. Definitionen af en operatør af et væsentligt internetud- vekslingspunkt bygger på definitionen i NIS-direktivets arti- kel 4, nr. 4, jf. artikel 5, stk. 2, og artikel 6, stk. 1. Med nr. 6 defineres ”digital tjeneste” som enhver tjeneste, der normalt ydes mod betaling, og som teleformidles ad elektronisk vej på individuel anmodning fra en tjenestemod- tager, og som er af typen online-markedsplads, online-søge- maskine eller cloud computing-tjeneste. Definitionen af en digital tjeneste svarer til definitionen i NIS-direktivets arti- kel 4, nr. 5. Med nr. 7 defineres ”udbyder af digital tjeneste” som en- hver juridisk person, som udbyder en digital tjeneste, og som har hovedsæde eller en repræsentant i Danmark. Defi- nitionen af en udbyder af digital tjeneste bygger på definiti- onen i NIS-direktivets artikel 4, nr. 6 og 10. Med nr. 8 defineres ”nationalt centralt kontaktpunkt” som en national kompetent enhed med ansvar for at koordinere spørgsmål vedrørende sikkerheden i net- og informationssy- stemer samt grænseoverskridende samarbejde i EU herom. Definitionen af det nationale centrale kontaktpunkt bygger på beskrivelsen heraf i NIS-direktivets artikel 8. Med nr. 9 defineres ”CSIRT” som en national it-bered- skabsenhed, der håndterer hændelser og har ansvar for at sikre samarbejdet om sikkerheden i net- og informationssy- stemer i EU. Definitionen af CSIRT bygger på beskrivelsen heraf i NIS-direktivets artikel 9 og bilag 1. Med nr. 10 defineres ”CSIRT-netværket” som et netværk bestående af repræsentanter fra EU-medlemsstaternes CSIRT’er, og som har ansvar for at sikre samarbejdet om sikkerheden i net- og informationssystemer i EU. Definitio- nen af CSIRT-netværket bygger på beskrivelsen heraf i NIS- direktivets artikel 12. Til § 3 Det foreslås med stk. 1, at Center for Cybersikkerhed fast- sætter regler om minimumskrav til sikkerheden i net- og in- formationssystemer for operatører af væsentlige internetud- vekslingspunkter. Det foreslås, at reglerne kan omfatte krav om passende og forholdsmæssige tekniske og organisatori- ske foranstaltninger for at styre risiciene for sikkerheden i net- og informationssystemer, som operatører af væsentlige internetudvekslingspunkter anvender til deres aktiviteter. Reglerne kan endvidere omfatte krav om passende foran- staltninger for at forebygge og minimere konsekvensen af hændelser, der berører sikkerheden i net- og informationssy- stemer, som operatører af væsentlige internetudvekslings- punkter anvender til levering af væsentlige tjenester med henblik på at sikre kontinuiteten i disse tjenester. Der kan fastsættes krav om, at sådanne foranstaltninger gennemføres på baggrund af dokumenterede og ledelsesforankrede pro- cesser. Bestemmelsen og de regler, der udstedes i medfør af be- stemmelsen, implementerer NIS-direktivets artikel 14, stk. 1 og 2. De konkrete kriterier for fastlæggelse af, om der er tale om en operatør af et væsentligt internetudvekslingspunkt, vil kunne indgå i de regler, der fastsættes i medfør af bestem- melsen. Den foreslåede bemyndigelse forudsættes endvidere an- vendt til administrativt at fastsætte nærmere krav til de do- kumenterede og ledelsesforankrede processer, herunder risi- kostyringsprocesser. Der kan således administrativt stilles krav om, at processerne skal fastlægges og gennemføres med udgangspunkt i en relevant og anerkendt international standard eller tilsvarende. Kravene kan omfatte de processu- elle og organisatoriske rammer for arbejdet med sikkerhe- den i net- og informationssystemer, herunder i ekstraordinæ- re situationer, med henblik på at sikre, at net og tjenester i videst muligt omfang kan opretholdes i sådanne situationer. Der kan endvidere med hjemmel i bestemmelsen fastsæt- tes krav om, at operatører af væsentlige internetudvekslings- punkter skal forebygge og minimere konsekvensen af hæn- delser, der berører sikkerheden i net- og informationssyste- mer med henblik på at sikre kontinuiteten i operatørens tje- nester. Efter stk. 2 kan Center for Cybersikkerhed påbyde opera- tører af væsentlige internetudvekslingspunkter at inddrage nærmere angivne områder af deres virksomhed og nærmere angivne trusler mod sikkerheden i net- og informationssy- stemer i deres processer efter stk. 1. Der kan efter den foreslåede bestemmelse stilles krav om, at operatørerne af væsentlige internetudvekslingspunkter i risikostyringsprocesserne skal tage højde for bestemte (kon- krete eller generelle) trusler mod sikkerheden i net- og infor- mationssystemer efter påbud fra Center for Cybersikkerhed. Det kan f.eks. ske på baggrund af de trusselsvurderinger, som løbende udarbejdes af Center for Cybersikkerhed og den øvrige del af Forsvarets Efterretningstjeneste. 12 Endvidere kan Center for Cybersikkerhed ved påbud be- stemme, at visse områder af en operatør af væsentlige inter- netudvekslingspunkters virksomhed, der er nærmere specifi- ceret i påbuddet, skal være omfattet af risikostyringsproces- serne, hvis dette ikke i forvejen er tilfældet. Der kan både være tale om geografiske og organisatoriske dele af virk- somheden, ligesom der kan være tale om forretningsområ- der, som ikke hidtil har været omfattet af risikostyringspro- cesserne. Efter stk. 3 kan Center for Cybersikkerhed påbyde opera- tører af væsentlige internetudvekslingspunkter at afhjælpe nærmere påviste mangler i relation til sikkerheden i deres net- og informationssystemer. Bestemmelsen implementerer NIS-direktivets artikel 15, stk. 3. Center for Cybersikkerhed vil som led i sit tilsyn kunne konstatere konkrete mangler på baggrund af oplysninger, som er modtaget fra operatøren i medfør af den foreslåede § 5, stk. 2. Sådanne oplysninger vil eksempelvis kunne omfat- te resultaterne af en sikkerhedsaudit gennemført af en kvali- ficeret auditør. I de tilfælde, hvor Center for Cybersikkerhed på baggrund af de modtagne oplysninger konstaterer en kon- kret mangel, vil Center for Cybersikkerhed kunne påbyde operatøren at afhjælpe manglen. Der henvises i øvrigt til afsnit 3.1 i de almindelige be- mærkninger. Til § 4 Den foreslåede § 4 bemyndiger Center for Cybersikkerhed til at fastsætte regler om, at operatører af væsentlige interne- tudvekslingspunkter hurtigst muligt skal underrette Center for Cybersikkerhed om hændelser, der har væsentlige konse- kvenser for kontinuiteten af de væsentlige tjenester, som operatørerne leverer. Bestemmelsen og de regler, der udstedes i medfør heraf, implementerer NIS-direktivets artikel 14, stk. 3. Ved fastlæggelsen af, hvornår en hændelse har væsentlige konsekvenser for kontinuiteten af de væsentlige tjenester, vil der bl.a. – direkte eller indirekte – kunne lægges vægt på an- tallet af brugere, der berøres af den væsentlige tjeneste, hændelsens varighed samt den geografiske udbredelse med hensyn til det område, der er berørt af hændelsen. I reglerne vil det endvidere kunne fastsættes, at såfremt en operatør er afhængig af en tredjepartsudbyder af digitale tje- nester vedrørende leveringen af en tjeneste i form af interne- tudvekslingspunkter, der er væsentlig for opretholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter, un- derretter operatøren om alle væsentlige konsekvenser for de væsentlige internetudvekslingspunkters kontinuitet som føl- ge af en hændelse, der berører den pågældende udbyder. Underretningen skal indeholde oplysninger, der gør det muligt at fastslå hændelsens eventuelle grænseoverskriden- de karakter. Ved hurtigst muligt forstås inden udgangen af den først- kommende arbejdsdag efter, at den væsentlige hændelse er erkendt af den pågældende operatør. Såfremt operatøren på dette tidspunkt ikke er i besiddelse af komplette oplysninger om hændelsen, vil operatøren kunne afgive en underretning, der indeholder de oplysninger, som er til rådighed. Center for Cybersikkerhed kan endvidere med hjemmel i den foreslåede bestemmelse fastsætte krav om, hvordan og i hvilken form oplysningerne skal afgives til centeret. Der kan eksempelvis stilles krav om, at oplysninger og materiale skal afgives ved anvendelse af et nærmere bestemt skema eller skal afgives elektronisk i form af indsendelse af elek- troniske dokumenter eller via indtastninger på en hjemmesi- de. Der henvises i øvrigt til afsnit 3.1 i de almindelige be- mærkninger. Til § 5 Med bestemmelsen i stk. 1 foreslås det, at Center for Cy- bersikkerhed fører tilsyn med overholdelsen af denne lov og regler, der er udstedt i medfør af loven. Det bemærkes, at bestemmelsen ikke vil indebære, at Center for Cybersikker- hed kan foretage husundersøgelse eller undersøgelse af an- dre lokaliteter som led i centerets tilsyn. Bestemmelsen implementerer NIS-direktivets artikel 15, stk. 1. Efter stk. 2 kan Center for Cybersikkerhed som led i sit til- syn kræve, at operatører af væsentlige internetudvekslings- punkter fremlægger oplysninger og materiale, der er nød- vendigt for centerets tilsynsvirksomhed, herunder til afgø- relse af, om et forhold er omfattet af denne lov eller regler, der er udstedt i medfør af loven. Sådant materiale kan eksempelvis omfatte dokumenterede sikkerhedspolitikker samt dokumentation for den faktiske gennemførelse af sikkerhedspolitikkerne. Materialet kan endvidere omfatte resultaterne af en sikkerhedsaudit udført af en kvalificeret auditør og den tilgrundliggende dokumen- tation. Bestemmelsen implementerer NIS-direktivets artikel 15, stk. 2. Med bestemmelsen i stk. 3 foreslås det, at Center for Cy- bersikkerhed kan stille krav om, hvordan og i hvilken form oplysninger og materiale efter stk. 2 skal afgives til centeret. Der kan eksempelvis stilles krav om, at oplysninger og ma- teriale skal afgives elektronisk i form af indsendelse af elek- troniske dokumenter eller via indtastninger på en hjemmesi- de. Der henvises i øvrigt til afsnit 3.1 i de almindelige be- mærkninger. Til § 6 Med bestemmelsen i stk. 1 kan Center for Cybersikkerhed orientere offentligheden om en hændelse, som centeret har modtaget underretning om fra en operatør af væsentlige in- ternetudvekslingspunkter i medfør af det foreslåede § 4, hvis offentlighedens kendskab til hændelsen er nødvendigt for at forebygge en hændelse eller håndtere en igangværende hæn- 13 delse. Forud for orienteringen af offentligheden hører Center for Cybersikkerhed den operatør af et væsentligt internetud- vekslingspunkt, der har underrettet om hændelsen Operatøren vil i den forbindelse modtage de informatio- ner, som Center for Cybersikkerhed agter at anvende i for- bindelse med orienteringen, hvorefter operatøren vil få lej- lighed til at fremkomme med bemærkninger til den påtænkte orientering. Bestemmelsen implementerer NIS-direktivets artikel 14, stk. 6. Efter stk. 2 kan Center for Cybersikkerhed i koordination med de relevante tilsynsmyndigheder i andre sektorer og ef- ter forudgående høring af de operatører af væsentlige tjene- ster, der har underrettet om hændelsen, orientere offentlig- heden om hændelser, der berører flere samfundsvigtige sek- torer, hvis offentlighedens kendskab hertil er nødvendigt for at forebygge en hændelse eller håndtere en igangværende hændelse. Center for Cybersikkerhed vil som CSIRT modtage un- derretninger om sådanne hændelser inden for alle de sekto- rer, som NIS-direktivet omfatter, herunder energi, transport, bankvæsen, finansielle markedsinfrastrukturer, sundhed, drikkevandsforsyning og -distribution samt digital infra- struktur. Center for Cybersikkerheds orientering af offentligheden skal ske i koordination med den eller de relevante tilsyns- myndigheder i andre sektorer. Koordinationen vil blandt an- det omfatte, hvilke oplysninger tilsynsmyndigheden anser for fortrolige og som dermed ikke skal offentliggøres. Der- udover skal offentlighedens kendskab til hændelsen være nødvendig for at forebygge en hændelse eller håndtere en igangværende hændelse. Center for Cybersikkerhed vil end- videre forud for orienteringen af offentligheden skulle høre den operatør af væsentlige tjenester, der har underrettet om hændelsen. Efter stk. 3 kan Center for Cybersikkerhed i koordination med de relevante tilsynsmyndigheder i andre sektorer og ef- ter forudgående høring af de udbydere af digitale tjenester, der har underrettet om hændelsen, orientere offentligheden om hændelser, der berører flere samfundsvigtige sektorer, hvis offentlighedens kendskab hertil er nødvendigt for at fo- rebygge en hændelse eller håndtere en igangværende hæn- delse, eller hvis offentliggørelse af hændelsen i øvrigt er i offenlighedens interesse. Koordinationen med de relevante tilsynsmyndigheder vil blandt andet omfatte, hvilke oplysninger tilsynsmyndighe- den anser for fortrolige, og som dermed ikke skal offentlig- gøres. Det foreslås med stk. 4, nr. 1, at offentliggørelsen efter stk. 1-3 ikke må indeholde oplysninger vedrørende tekniske indretninger eller fremgangsmåder eller om drifts- eller for- retningsforhold eller lignende, for så vidt det er af væsentlig betydning for den udbyder af digitale tjenester eller operatør af væsentlige tjenester, som oplysningerne angår. Definitio- nen af oplysninger vedrørende tekniske indretninger m.v. skal forstås i overensstemmelse med § 30, nr. 2, i offentlig- hedsloven og skal fortolkes i overensstemmelse med denne bestemmelses forarbejder og relevante praksis. Efter stk. 4, nr. 2, vil oplysninger skulle undtages fra of- fentliggørelse i det omfang, det er af væsentlig betydning for statens sikkerhed eller rigets forsvar. Vurderingen af, hvor- når offentliggørelse kan være af væsentlig betydning for sta- tens sikkerhed eller rigets forsvar, skal foretages i overens- stemmelse med principperne i § 31 i offentlighedsloven. Desuden vil klassificerede informationer efter stk. 4, nr. 3, blive slettet i det materiale, der offentliggøres. For definitio- nen af klassificerede informationer henvises til cirkulære nr. 10338 af 17. december 2014 om sikkerhedsbeskyttelse af in- formationer af fælles interesse for lande i NATO eller EU, andre klassificerede informationer samt informationer af sikkerhedsmæssig beskyttelsesinteresse i øvrigt. Endelig vil enkeltpersoners forhold efter stk. 4, nr. 4, blive slettet inden offentliggørelse. Det kan eksempelvis være op- lysninger om navne, adresser eller telefonnumre, som vil skulle undtages fra offentliggørelsen. Der henvises i øvrigt til afsnit 3.2 i de almindelige be- mærkninger. Til § 7 Det foreslås med stk. 1, at Center for Cybersikkerhed i forbindelse med modtagelse af underretninger om hændelser af grænseoverskridende karakter fra tilsynsmyndigheder i andre sektorer, operatører af tjenester og udbydere af digita- le tjenester kan videregive oplysningerne til nationale til- synsmyndigheder, CSIRT’er og nationale centrale kontakt- punkter i andre EU-medlemsstater samt CSIRT-netværket. Videregivelsen vil ske under hensyntagen til den underret- tende operatørs eller udbyders sikkerhed og kommercielle interesser. Videregivelsen vil også kunne omfatte de frivilli- ge underretninger, som modtages af enheder, der ikke er identificeret som operatører af væsentlige tjenester eller ud- bydere af digitale tjenester. Den foreslåede bestemmelse implementerer NIS-direkti- vets artikel 14, stk. 5, artikel 16, stk. 6, og artikel 20. Efter det foreslåede stk. 2 orienterer Center for Cybersik- kerhed de operatører af tjenester samt udbydere af digitale tjenester, som underretningerne hidrører fra, om videregivel- se efter stk. 1. Orienteringen skal tidsmæssigt ske i tilknytning til videre- givelsen, men der stilles ikke krav om, at orienteringen skal ske forud for videregivelsen. Der henvises i øvrigt til afsnit 3.2 i de almindelige be- mærkninger. Til § 8 Efter det foreslåede stk. 1 kan Center for Cybersikkerhed fastsætte regler om, at skriftlig kommunikation til og fra centeret om nærmere bestemte forhold, som er omfattet af denne lov eller af regler udstedt i medfør af denne lov, skal foregå digitalt. 14 Der kan med hjemmel i stk. 2 fastsættes regler om digital kommunikation, herunder om anvendelse af bestemte it-sy- stemer og særlige digitale formater samt digital signatur el.lign. Den foreslåede bestemmelse indebærer, at det kan gøres obligatorisk for virksomheder at anvende bestemte in- ternetløsninger, herunder selvbetjeningsløsninger. Det bemærkes i den forbindelse, at pligten til at kommuni- kere digitalt ikke vil omfatte klassificerede informationer. Baggrunden herfor er, at sikkerhedscirkulæret stiller en ræk- ke krav til digital forsendelse af klassificerede informatio- ner, herunder bl.a. krav om sikkerhedsgodkendelse af infor- mationssystemer samt anvendelse af godkendt kryptoudstyr. Bestemmelsen indebærer, at skriftlige henvendelser til Center for Cybersikkerhed om forhold, som er omfattet af et krav om digital kommunikation, ikke anses for behørigt modtaget af centeret, hvis de indsendes på anden vis end den foreskrevne digitale måde. Hvis en virksomhed retter henvendelse til Center for Cybersikkerhed på anden måde end den foreskrevne digitale måde, eksempelvis ved brev, følger det af den almindelige vejledningspligt, at centeret skal vejlede om reglerne på området, herunder om pligten til at kommunikere digitalt. Herudover indebærer bestemmelsen, at der kan fastsættes regler om, at en virksomhed, som retter henvendelse til Cen- ter for Cybersikkerhed, skal oplyse en e-mailadresse, som virksomheden kan kontaktes på i forbindelse med behand- lingen af en konkret sag eller henvendelse til centeret. I den forbindelse kan der også pålægges den pågældende virk- somhed en pligt til at underrette centeret om en eventuel æn- dring af e-mailadressen, inden den konkrete sag afsluttes el- ler henvendelsen besvares, medmindre e-mails automatisk bliver videresendt til den nye e-mailadresse. Der kan desuden fastsættes regler om, at Center for Cy- bersikkerhed kan sende visse meddelelser samt afgørelser, herunder påbud, til virksomhedens digitale postkasse med de retsvirkninger, der følger af bekendtgørelse nr. 801 af 13. juni 2016 af lov om Digital Post fra offentlige afsendere. Fritagelsesmuligheden for pligten til digital kommunika- tion tænkes navnlig anvendt, hvor det er påkrævet at anven- de en dansk digital signatur, men hvor der er tale om en virksomhed med hjemsted i udlandet, og som dermed ikke kan få udstedt en dansk digital signatur. Det bemærkes i den forbindelse, at fritagelsesmuligheden er stærkt begrænset, idet der er tale om kommunikation om erhvervsforhold. Det forhold, at en virksomheds computere ikke fungerer, at virksomheden har mistet koden til sin digitale signatur, el- ler at der opstår lignende hindringer, som det er op til virk- somheden at overvinde, kan ikke føre til fritagelse for plig- ten til digital kommunikation. I så fald må den pågældende virksomhed eksempelvis anmode en rådgiver om at varetage kommunikationen på virksomhedens vegne. Det foreslåede stk. 3 fastsætter, at en digital meddelelse anses for at være kommet rettidigt frem, når den er tilgæn- gelig for adressaten for meddelelsen. Forslaget indebærer, at meddelelser til eller fra Center for Cybersikkerhed, der sen- des på den foreskrevne digitale måde, anses for at være kommet frem til adressaten på det tidspunkt, hvor meddelel- sen er tilgængelig digitalt for adressaten. Dermed er der tale om samme retsvirkning som ved fysisk post, der anses for at være kommet frem, når den pågældende meddelelse m.v. er lagt i adressatens fysiske postkasse. En meddelelse vil såle- des normalt anses for at være kommet frem, når meddelel- sen er tilgængelig digitalt for adressaten, således at vedkommende har mulighed for at behandle meddelelsen. Dette tidspunkt vil normalt blive registreret automatisk i adressatens it-system. Til § 9 Bestemmelsen har til formål at implementere artikel 21 i NIS-direktivet, hvorefter medlemsstaterne skal fastsætte be- stemmelser om sanktioner for overtrædelse af bestemmelser fastsat i medfør af direktivet. Efter det foreslåede stk. 1 fastsættes det, at medmindre hø- jere straf er forskyldt efter den øvrige lovgivning, vil den, der undlader at efterkomme Center for Cybersikkerheds på- bud efter § 3, stk. 2 og 3, eller undlader at efterkomme Cen- ter for Cybersikkerheds krav om fremlæggelse af oplysnin- ger og materiale efter § 5, stk. 2, kunne straffes med bøde. Ansvarssubjektet efter den foreslåede bestemmelse er ope- ratører af væsentlige internetudvekslingspunkter, som defi- neret i lovforslagets § 1, nr. 5. Der henvises i øvrigt til lovforslagets §§ 1, 3 og 5. Center for Cybersikkerhed bemyndiges med den foreslåe- de bestemmelse i stk. 2 til at fastsætte straf i form af bøde for overtrædelse af regler udstedt i medfør af § 3, stk. 1, og § 4. Efter det foreslåede stk. 3 kan der pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens 5. kapitel. Bestemmelsen indebærer, at der også i regler, som udfærdiges i medfør af loven, kan fastsættes regler om, at der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens 5. kapitel. Til § 10 Bestemmelsen fastsætter tidspunktet for lovens ikrafttræ- den. Det foreslås, at loven træder i kraft den 10. maj 2018, som er implementeringsfristen for NIS-direktivet efter di- rektivets artikel 25. Det bemærkes, at det følger af NIS-direktivets artikel 5, stk. 1, at medlemsstaterne senest den 9. november 2018 skal have identificeret de operatører af væsentlige tjenester, der er omfattet af NIS-direktivet og dermed implementeringen. Identifikationen vil således kunne ske i perioden fra 10. maj 2018 til 9. november 2018. Til § 11 Bestemmelsen vedrører lovens territoriale gyldighed. Den foreslåede bestemmelse indebærer, at loven ikke gæl- der for Færøerne og Grønland. 15 Baggrunden herfor er, at internetudvekslingspunkternes virksomhed udgør en del af teleområdet, som er hjemtaget af Grønland og Færøerne. For så vidt angår den del af loven, der regulerer Center for Cybersikkerheds beføjelser til at videregive og offentliggøre oplysninger modtaget fra operatører af tjenester og udbydere af digitale tjenester, vil disse beføjelser kunne udøves af centeret, uanset om loven bliver sat i kraft for Grønland og Færøerne. 16