Fremsat den 7. februar 2018 af transport-, bygnings- og boligministeren (Ole Birk Olesen)

Fremsat den 7. februar 2018 af transport-, bygnings- og boligministeren (Ole Birk Olesen)
Forslag
til
Lov om sikkerhed i net- og informationssystemer i transportsektoren1
Kapitel 1
Anvendelsesområde og definitioner
§ 1. Loven finder anvendelse på operatører af væsentlige
transporttjenester.
§ 2. I denne lov forstås ved:
1) Operatør af en væsentlig transporttjeneste: En offentlig
eller privat enhed, der udpeges af transport-, bygnings-
og boligministeren som operatør af en væsentlig trans-
porttjeneste i medfør af § 3, stk. 1, og som varetager
opgaver vedrørende lufttransport, jernbanetransport,
søfart inden for transport-, bygnings- og boligministeri-
ets område og vejtransport.
2) Net- og informationssystem:
a) Et elektronisk kommunikationsnet, der udgøres af
transmissionssystemer og, hvor det er relevant,
koblings- og dirigeringsudstyr og andre ressourcer,
herunder netelementer, der ikke er aktive, som gør
det muligt at overføre signaler ved hjælp af trådfor-
bindelse, radiobølger, lyslederteknik eller andre
elektromagnetiske midler, herunder satellitnet,
jordbaserede fastnet (kredsløbs- og pakkekoblede,
herunder i internettet) og mobilnet, elkabelsyste-
mer, i det omfang de anvendes til transmission af
signaler, net, som anvendes til radio- og tv-spred-
ning, samt kabel-tv-net, uanset hvilken type infor-
mation, der overføres.
b) Enhver anordning eller gruppe af indbyrdes for-
bundne eller beslægtede anordninger, hvoraf en el-
ler flere ved hjælp af et program udfører automa-
tisk behandling af digitale data.
c) Digitale data, som lagres, behandles, fremfindes el-
ler overføres ved brug af elementer i litra a og b
med henblik på deres drift, brug, beskyttelse og
vedligeholdelse.
3) Sikkerhed i net- og informationssystemer: Evnen for
net- og informationssystemer til på et givet sikkerheds-
niveau at modstå handlinger, der er til skade for tilgæn-
geligheden, autenticiteten, integriteten eller fortrolighe-
den i forbindelse med lagrede eller overførte eller be-
handlede data eller de dermed forbundne tjenester, der
tilbydes af eller er tilgængelige via disse net- og infor-
mationssystemer.
4) Hændelse: Enhver begivenhed, der har en egentlig ne-
gativ indvirkning på sikkerheden i net- og informati-
onssystemer.
5) Risiko: Enhver rimelig identificerbar omstændighed el-
ler begivenhed, der har en potentiel negativ indvirkning
på sikkerheden i net- og informationssystemer.
6) Nationalt centralt kontaktpunkt: En national kompetent
enhed med ansvar for at koordinere spørgsmål vedrø-
rende sikkerheden i net- og informationssystemer samt
grænseoverskridende samarbejde i EU herom.
7) CSIRT: En national it-beredskabsenhed, der håndterer
hændelser, og som har ansvar for at sikre samarbejdet
om sikkerheden i net- og informationssystemer i EU.
Kapitel 2
Udpegning af operatører af væsentlige transporttjenester
§ 3. Transport-, bygnings- og boligministeren udpeger en
operatør af en væsentlig transporttjeneste. Ministeren vurde-
rer løbende, dog mindst hvert andet år, hvilke operatører af
væsentlige transporttjenester, der skal udpeges i medfør af 1.
pkt.
Stk. 2. Transport-, bygnings- og boligministeren skal i
forbindelse med udpegningen efter stk. 1 lægge vægt på, at
1) enheden leverer en transporttjeneste, der er væsentlig
for opretholdelsen af kritiske samfundsmæssige eller
økonomiske aktiviteter,
1 Loven indeholder bestemmelser, der gennemfører dele af Europa-Parlamentets og Rådets direktiv 2016/1148/EU af 6. juli 2016 om foranstaltninger, der
skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen, EU-Tidende 2016, nr. L 194, side 1.
Lovforslag nr. L 135 Folketinget 2017-18
Transport-, Bygnings- og Boligmin., j.nr. 2017-4685
CX000337
2) leveringen af transporttjenesten afhænger af net- og in-
formationssystemer, og
3) en hændelse vil få væsentlige forstyrrende virkning for
leveringen af den nævnte transporttjeneste.
Stk. 3. Transport-, bygnings- og boligministeren kan fast-
sætte nærmere regler om udpegningen af en operatør af en
væsentlig transporttjeneste og tilbagekaldelse af udpegnin-
gen. Ministeren kan herunder fastsætte regler om de kriteri-
er, der skal lægges vægt på ved udpegningen af en operatør,
tidsbegrænsning på udpegningen m.v.
Kapitel 3
Sikkerhedskrav til en operatør af en væsentlig
transporttjeneste
§ 4. Operatører af væsentlige transporttjenester skal træffe
passende og forholdsmæssige tekniske og organisatoriske
foranstaltninger for at styre risiciene for sikkerheden i net-
og informationssystemer, som de anvender til den del af de-
res aktiviteter, hvor en hændelse vil få væsentlig forstyrren-
de virkning for leveringen af den nævnte transporttjeneste.
Foranstaltningerne skal sikre et sikkerhedsniveau for net- og
informationssystemer, der er proportionale med risiciene.
Stk. 2. Operatører af væsentlige transporttjenester skal
træffe passende foranstaltninger for at forebygge og mini-
mere konsekvensen af en hændelse, der kan have en negativ
indvirkning på de net- og informationssystemer, som anven-
des til levering af en væsentlig transporttjeneste.
Stk. 3. Transport-, bygnings- og boligministeren fastsætter
nærmere regler om foranstaltninger efter stk. 1 og 2, herun-
der om sagernes behandling, tidsfrister m.v. Ministeren kan
endvidere fastsætte regler, hvor der stilles krav om, at doku-
mentation for, at der er truffet de nødvendige foranstaltnin-
ger efter stk. 1 og 2, skal ske ved akkrediteret certificering i
overensstemmelse med reglerne og efter en internationalt
anerkendt standard for styring af sikkerheden i net- og infor-
mationssystemer. Ministeren kan endelig fastsætte regler om
de informationer, som ministeren skal modtage om valg af
certificeringsordning.
Kapitel 4
Underretning, videregivelse og offentliggørelse af
oplysninger
§ 5. Operatører af væsentlige transporttjenester skal hur-
tigst muligt underrette transport-, bygnings- og boligmini-
steren og CSIRT om hændelser, der har væsentlige konse-
kvenser for kontinuiteten af de væsentlige transporttjenester,
som de leverer.
Stk. 2. Ved vurderingen af, om en hændelse har væsentli-
ge konsekvenser for kontinuiteten af de væsentlige trans-
porttjenester, skal operatøren navnlig tage følgende kriterier
i betragtning:
1) Antallet af brugere, der berøres af afbrydelsen af den
væsentlige transporttjeneste.
2) Hændelsens varighed.
3) Den geografiske udbredelse med hensyn til det område,
der er berørt af hændelsen.
§ 6. Operatører af øvrige transporttjenester kan på frivillig
basis foretage underretning til transport-, bygnings- og bo-
ligministeren og CSIRT om hændelser, der har væsentlige
konsekvenser for udøvelsen af de transporttjenester, som de
leverer. Transport-, bygnings- og boligministeren er forplig-
tet til at behandle frivillige underretninger på samme måde,
som pligtmæssige underretninger behandles.
§ 7. Transport-, bygnings- og boligministeren kan fastsæt-
te regler om underretninger efter §§ 5 og 6, herunder fast-
sætte nærmere regler om indholdet af en underretning, vur-
deringen af, om en hændelse er omfattet af underretnings-
pligten, vægtning af kriterierne i § 5, stk. 2, samt om under-
retninger og anden skriftlig kommunikation til og fra mini-
steren om nærmere bestemte forhold, som er omfattet af
denne lov eller regler udstedt i medfør heraf, skal foregå di-
gitalt.
§ 8. Transport-, bygnings- og boligministeren kan videre-
give oplysninger til CSIRT om hændelser, der er nødvendi-
ge for CSIRT til opfyldelse af dets lovbestemte opgaver som
nationalt centralt kontaktpunkt og CSIRT.
§ 9. Transport-, bygnings- og boligministeren kan efter
høring af den underrettende operatør oplyse offentligheden
om konkrete hændelser, hvis offentlighedens kendskab her-
til er nødvendigt for at forebygge en hændelse eller håndtere
en igangværende hændelse.
Stk. 2. Oplysninger til offentligheden efter stk. 1 må ikke
indeholde
1) oplysninger om tekniske indretninger, fremgangsmå-
der, drifts- og forretningsforhold el. lign. for så vidt den
underrettende operatør gør gældende, at disse oplysnin-
ger har væsentlig forretningsmæssig betydning for ope-
ratøren,
2) oplysninger, der af transport-, bygnings- og boligmini-
steren vurderes at være af væsentlig betydning for sta-
tens sikkerhed eller rigets forsvar,
3) fortrolige informationer, eller
4) oplysninger om enkeltpersoners forhold.
Kapitel 5
Administration, påbud og tilsyn
§ 10. Transport-, bygnings- og boligministeren fører til-
syn med, at en operatør af en væsentlig transporttjeneste
overholder denne lov samt regler udstedt i medfør heraf. Til
brug for tilsynet skal operatører af væsentlige tjenester på
anmodning fra transport-, bygnings- og boligministeren af-
give de oplysninger, der er nødvendige for tilsynet.
Stk. 2. Transport-, bygnings- og boligministeren kan på-
byde, at forhold, der strider mod lovens §§ 4 og 5 og de reg-
ler, der er fastsat i medfør af loven, samt EU-forordninger
på net- og informationssikkerhedsområdet på transportområ-
det, bringes i orden straks eller inden en nærmere angivet
frist.
Stk. 3. Transport-, bygnings- og boligministeren kan fast-
sætte nærmere regler om det tilsyn, der skal føres med over-
holdelse af loven samt med de regler, der er udstedt i medfør
af loven.
2
§ 11. Transport-, bygnings- og boligministeren kan fast-
sætte regler, som er nødvendige for at gennemføre de direk-
tiver som Den Europæiske Union udsteder vedrørende sik-
kerhed i net- og informationssystemer på transportområdet,
herunder regler om tilsyn, påbud m.v., eller som er nødven-
dige for at anvende de forordninger, som Den Europæiske
Union udsteder vedrørende sikkerhed i net- og informations-
systemer på transportområdet.
§ 12. Transport-, bygnings- og boligministeren kan be-
myndige Trafik-, Bygge- og Boligstyrelsen eller andre stats-
lige myndigheder til at udøve ministerens beføjelser efter
denne lov.
Stk. 2. Transport-, bygnings- og boligministeren kan fast-
sætte regler om adgangen til at klage over afgørelser, der
træffes i henhold til denne lov eller forskrifter udstedt i med-
før heraf, herunder om klagefrister samt afskæring af klage-
adgang.
Kapitel 6
Straf
§ 13. Medmindre strengere straf er forskyldt efter anden
lovgivning, straffes med bøde den, der undlader
1) hurtigst muligt at underrette transport-, bygnings- og
boligministeren og CSIRT om hændelser, der har væ-
sentlige konsekvenser for kontinuiteten af de væsentli-
ge transporttjenester, som de leverer, eller
2) at efterkomme transport-, bygnings- og boligministe-
rens påbud udstedt i henhold til § 10, stk. 2, regler fast-
sat i medfør af loven eller EU-forordninger vedrørende
net- og informationssikkerhed på transportområdet.
Stk. 2. I regler, der fastsættes i medfør af loven, kan der
fastsættes straf i form af bøde.
Stk. 3. Der kan pålægges selskaber m.v. (juridiske perso-
ner) strafansvar efter reglerne i straffelovens 5. kapitel.
Kapitel 7
Ikrafttræden m.v.
§ 14. Loven træder i kraft den 10. maj 2018.
§ 15. Loven gælder ikke for Færøerne og Grønland, men
kan ved kongelig anordning helt eller delvis sættes i kraft
for Færøerne og Grønland med de ændringer, som de hen-
holdsvis færøske og grønlandske forhold tilsiger.
3
Bemærkninger til lovforslaget
Almindelige bemærkninger
1. Indledning
Formålet med lovforslaget er at sikre en effektiv gennemfø-
relse af de for transport-, bygnings- og boligministeren rele-
vante dele af Europa-Parlamentets og Rådets direktiv
2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre
et højt fælles sikkerhedsniveau for net- og informationssy-
stemer i hele Unionen (i det følgende benævnt: NIS-direkti-
vet).
NIS-direktivets anvendelsesområde afgrænses overordnet til
de vigtigste dele af medlemsstaternes infrastruktur. Det be-
tyder derfor, at direktivet ikke kun stiller krav til transport-
sektoren, men også til energisektoren, den finansielle sektor,
sundhedssektoren, vandforsyningssektoren og udbydere af
digitale tjenester.
Dette lovforslag vedrører specifikt implementering af NIS-
direktivet inden for transportsektoren. Der findes ikke i
dansk ret regler, der svarer til eller har et tilsvarende formål
som de bestemmelser, der indføres ved dette lovforslag. Der
findes dog inden for nogle dele af transportsektoren regler,
hvorefter operatørerne er forpligtet til at udarbejde eksem-
pelvis beredskabs- og sikringsplaner baseret på konkrete ri-
siko- og sårbarhedsvurderinger. Statslige myndigheder er pr.
1. september 2014, som følge af en regeringsbeslutning, for-
pligtet til at underrette Center for Cybersikkerhed i tilfælde
af større it-sikkerhedsmæssige hændelser. De allerede gæl-
dende regler har dog ikke det specifikke fokus på net- og in-
formationssikkerhed, som er formålet med NIS-direktivet og
dette lovforslag.
Transportsektoren er ligesom resten af samfundet præget af
en stigende grad af digitalisering. Flere og flere transporttje-
nester inkluderer digitale løsninger og digital infrastruktur,
og i nogle tilfælde er selve transporttjenesten helt afhængig
af den digitale infrastruktur for at kunne fungere. I andre til-
fælde medvirker den digitale infrastruktur til en mere smidig
og forudsigelig drift, der kommer brugerne af transporttjene-
sten til gavn. Et nedbrud af digital infrastruktur kan således
betyde, at mobiliteten i Danmark og ind og ud af Danmark
forringes. I værste fald kan et nedbrud betyde, at kritiske
transporttjenester sættes helt ud af drift. For at sikre mobili-
tet i Danmark er det således afgørende, at der er et højt ni-
veau af net- og informationssikkerhed blandt operatører af
væsentlige transporttjenester.
Et konkret eksempel på en kritisk tjeneste, der er afhængig
af digital infrastruktur, er den trafikledelse i luftrummet over
Danmark, som Naviair varetager. Hvis Naviairs overvåg-
ningsudstyr eller kommunikationssystem ikke fungerer, vil
der ikke være andre operatører, der har kapacitet til at over-
tage styringen, hvilket vil få en væsentlig forstyrrende effekt
for flyvningen i dansk luftrum. Et andet konkret eksempel er
den danske jernbanes afhængighed af digital infrastruktur. I
det tilfælde at eksempelvis Banedanmarks signalprogram
(ERTMS systemet) ikke længere fungerer, vil det betyde, at
der ikke vil kunne køres tog på Banedanmarks strækninger.
Da Banedanmark dækker størstedelen af den danske jernba-
neinfrastruktur, vil det betyde, at togtrafikken i Danmark vil
blive væsentligt forstyrret.
I begge disse eksempler er det således vigtigt, at den del af
operatørernes net- og informationssystemer, der har betyd-
ning for driftssikkerheden af transporttjenesten, er underlagt
et højt sikkerhedsniveau.
Dette lovforslag er udarbejdet som en generelt formuleret
rammelov med bestemmelser, der dels indfører krav til de
væsentligste offentlige og private enheder inden for trans-
port-, bygnings- og boligministerens område – de, der udpe-
ges som ”operatører af væsentlige transporttjenester” – og
dels indfører administrationsbestemmelser, som sikrer, at
der kan fastsættes mere tekniske krav på bekendtgørelsesni-
veau med henblik på, at fremtidens regulering kan tilpasses
den til enhver tid værende teknologiske og lovgivningsmæs-
sige udvikling i samfundet.
2. Lovforslagets hovedpunkter
2.1. Om operatører af væsentlige transporttjenester og sik-
kerhedskravene
2.1.1. Gældende ret
De gældende regler på transportområdet differentierer ikke
mellem operatører af væsentlige og ikke-væsentlige trans-
porttjenester, ligesom der i transportsektorens lovgivning
kun i et meget begrænset omfang stilles direkte sikkerheds-
krav til operatørernes net- og informationssystemer.
De relevante operatører i transportsektoren er i et vist om-
fang i forvejen forpligtet til at udarbejde beredskabs- og sik-
ringsplaner baseret på konkrete risiko- og sårbarhedsvurde-
ringer.
På luftfartsområdet kan fremhæves Kommissionens gen-
nemførelsesforordning (EU) Nr. 1035/2011 af 17. oktober
2011 om fastsættelse af fælles krav til udøvelse af luftfart-
stjenester mv., hvor der bl.a. stilles krav om, at der inden for
rammerne af lufttrafiktjenesteudøverens sikkerhedsledelses-
system, det såkaldte Safety Management System (SMS),
indføres et softwaresikringssystem. Luftfartstjenesteudøvere
forpligtes endvidere til at udarbejde nødplaner i tilfælde af,
at der indtræder begivenheder, som fører til væsentlig for-
ringelse eller afbrydelse af deres tjenester.
Derudover indeholder luftfartslovens § 147 a, stk. 1, en me-
re generel forpligtelse til, at luftfartsselskaber og flyveplad-
ser, hvis benyttelse til flyvning står åben for offentligheden,
foretager nødvendig planlægning for at sikre luftfarten i be-
redskabssituationer og andre ekstraordinære situationer.
Denne pligt består bl.a. i at udarbejde, ajourføre og afprøve
4
beredskabsplanen med henblik på at sikre luftfarten i tilfæl-
de af ulykker, katastrofer og andre ekstraordinære situatio-
ner.
Jernbaneloven, jf. lov nr. 686 af 27. maj 2015, indeholder i §
80 ligesom luftfartsloven en mere generel bestemmelse om,
at det er jernbanevirksomhedernes og jernbaneinfrastruktur-
forvalternes ansvar at træffe de nødvendige foranstaltninger
for at sikre jernbanen og jernbanedriften i beredskabssituati-
oner og andre ekstraordinære situationer. Bestemmelsen i
loven er udmøntet ved bekendtgørelse nr. 1312 af 16. de-
cember 2008 om jernbanevirksomheders og jernbaneinfra-
strukturforvalteres beredskabsarbejde med senere ændrin-
ger.
Beskyttelsen af den internationale skibstrafik mod sikrings-
relaterede hændelser er reguleret af Europa-Parlamentets og
Rådets forordning (EF) nr. 725/2004 af 31. marts 2004 om
bedre sikring af skibe og havnefaciliteter og EU direktiv
2005/65/EF af 26. oktober 2005 om bedre havnesikring. I
henhold til disse EU-regler skal der udarbejdes en sårbar-
hedsvurdering, hvori havnens eller havnefacilitetens sårbar-
heder identificeres og vurderes, og en sikringsplan, der be-
skriver de sikringstiltag, som iværksættes for at imødegå
sårbarhederne.
Sårbarhedsvurderinger og sikringsplaner for havne og hav-
nefaciliteter skal godkendes af Trafik-, Bygge- og Boligsty-
relsen, som også fører tilsyn med området. Net- og informa-
tionssikkerhed håndteres på samme måde som enhver anden
mulig sårbarhed ved en havn eller havnefacilitet. EU-regler-
ne indeholder derudover en række specifikke bestemmelser,
som er rettet mod net- og informationssikkerhed. Eksempel-
vis er der krav om, at vurderingen af sårbarheden omfatter
computersystemer og -netværk, og at sikringsplaner i elek-
tronisk format skal beskyttes vha. procedurer, som skal for-
hindre uautoriseret sletning, ødelæggelse eller ændring af
sikringsplanen. Derudover skal sikringsplanen indeholde
procedurer, der har til formål at beskytte sikkerhedsfølsom-
me oplysninger, der opbevares i elektronisk format.
Desuden er nogle af lovforslagets forventede pligtsubjekter
en del af den offentlige forvaltning. I henhold til regeringens
nationale strategi for cyber- og informationssikkerhed fra
december 2014 har alle statslige myndigheder siden 2016
været forpligtet til at implementere den internationale sik-
kerhedsstandard ISO27001.
2.1.1.1. NIS-direktivet
Efter NIS-direktivets artikel 5, stk. 1, skal hver medlemsstat
identificere operatører af væsentlige tjenester inden for en
række forskellige sektorer, som Kommissionen på forhånd
har vurderet til at være særligt vitale for det indre markeds
funktion, herunder transportsektoren. En nærmere opdeling
af disse sektorer i delsektorer kan findes i NIS-direktivets
bilag II.
Medlemsstaterne skal i forlængelse heraf udarbejde en liste
over væsentlige tjenester inden for de omfattede sektorer, jf.
artikel 5, stk. 3. Listen over væsentlige tjenester skal opdate-
res regelmæssigt, og kan bruges til at identificere operatører
af væsentlige tjenester.
I afgrænsningen af de operatører, der skal udpeges som ope-
ratører af væsentlige tjenester, skal der indgå en vurdering
af, om den væsentlige tjeneste, som operatøren leverer, af-
hænger af net- og informationssystemer, og hvis dette er til-
fældet, hvorvidt en hændelse må forventes at få væsentlig
forstyrrende virkning for leveringen af den pågældende tje-
neste.
De operatører, der udpeges som operatører af væsentlige tje-
nester, skal efter NIS-direktivets artikel 14, stk. 1 og 2, op-
fylde en række krav til sikkerheden i deres net- og informa-
tionssystemer. Det er medlemsstaterne, der skal sikre et ef-
fektivt tilsyn med operatørerne af væsentlige transporttjene-
ster, jf. direktivets art. 15.
Det følger af NIS-direktivets artikel 19, at medlemsstaterne
tilskyndes til at benytte europæiske eller internationalt aner-
kendte standarder og specifikationer, der er relevante for
sikkerheden i net- og informationssystemer, uden at de på-
tvinger eller forskelsbehandler til fordel for anvendelse af en
bestemt type teknologi.
2.1.2. Transport-, Bygnings- og Boligministeriets overvejel-
ser
2.1.2.1 Identificering af operatører af væsentlige transport-
tjenester
Transport-, Bygnings- og Boligministeriet har overvejet,
hvilken fremgangsmåde der inden for transportområdet sik-
rer den mest hensigtsmæssige gennemførelse af NIS-direkti-
vet i dansk ret. Der er især to fremgangsmåder til identifice-
ring af operatører af væsentlige transporttjenester, der har
været overvejet.
Den ene fremgangsmåde forudsætter, at der kan opstilles en
række entydige objektive kriterier, som kvalificerer, hvad
der indenfor den pågældende sektor kræves for at blive be-
tragtet som en operatør af en væsentlig tjeneste og dermed
forpligtet til at efterleve lovgivningen. Dette er særligt rele-
vant for de sektorer, hvor der er en række operatører, som
udfører ensartede opgaver i indbyrdes konkurrence om kun-
derne.
Den anden fremgangsmåde indebærer, at en operatør først
bliver omfattet af lovgivningens forpligtelser, hvis der træf-
fes en forvaltningsretlig afgørelse herom. Dette er særligt re-
levant i de sektorer, hvor der er ganske få og meget forskel-
ligartede operatører, og hvor de kriterier, der ligger til grund
for, at en operatør bliver omfattet af reglerne, ikke kan defi-
neres entydigt, men vil bero på en konkret vurdering.
Transport-, Bygnings- og Boligministeriet har valgt sidst-
nævnte fremgangsmåde, idet transportsektoren er præget af
ganske få og meget forskelligartede operatører, og hvor de
kriterier, der ligger til grund for, at en operatør bliver omfat-
5
tet af reglerne, ikke kan defineres entydigt. Ministeren vil
derfor aktivt udpege de operatører, der bliver omfattet af de
nye regler.
2.1.2.2 Valg af model for at sikre høj net- og informations-
sikkerhed hos operatører af væsentlige tjenester
Operatører af væsentlige tjenester skal som nævnt ovenfor
træffe passende og forholdsmæssige foranstaltninger for at
styre risiciene for sikkerheden i de net- og informationssy-
stemer, der anvendes til at levere den væsentlige transport-
tjeneste. Foranstaltningerne skal både være af teknisk og or-
ganisatorisk karakter samt tage højde for det aktuelle tekno-
logiske stadie med det formål at sikre et sikkerhedsniveau,
der står mål med risikoen for hændelser.
Transport-, bygnings- og boligministeren vil få til opgave at
sikre, at operatørerne lever op til deres forpligtigelser. I den
forbindelse har der været overvejet to modeller:
– En statslig godkendelsesmodel, hvor Trafik-, Bygge- og
Boligstyrelsen efter delegation godkender operatørernes
risikostyringsforanstaltninger og fører tilsyn hermed.
– En certificeringsmodel, hvor operatørerne bliver pålagt
at blive certificeret efter en international anerkendt stan-
dard efter eget valg.
Det bemærkes i den forbindelse, at ministerens beføjelser
efter dette lovforslag vil blive delegeret til Trafik-, Bygge og
Boligstyrelsen.
En statslig godkendelsesmodel indebærer, at Trafik-, Bygge-
og Boligstyrelsen efter delegation udarbejder sikkerheds-
krav om foranstaltninger af teknisk og organisatorisk karak-
ter, som pålægges operatøren. Styrelsen skal herefter god-
kende, at operatøren følger de fastlagte krav, og styrelsen vil
løbende skulle føre tilsyn med, at kravene er overholdt.
Trafik-, Bygge- og Boligstyrelsen fører i dag ikke tilsyn
med IT- og informationssystemer hos operatørerne. Styrel-
sen råder derfor ikke over de IT-kompetencer, der vurderes
nødvendige for at kunne føre et effektivt tilsyn med operatø-
rernes efterlevelse af lovforslaget. Den statslige godkendel-
sesmodel forudsætter derfor, at styrelsen enten rekrutterer
medarbejdere med særlig kompetence til at håndtere meget
specialiserede IT-sikkerhedsopgaver eller køber denne kom-
petence hos eksterne konsulenter.
Trafik-, Bygge- og Boligstyrelsens godkendelses- og til-
synsvirksomhed på transportområdet er i dag i vid udstræk-
ning brugerfinansieret i form af gebyrer eller afgifter. Ved
en statslig godkendelsesmodel vil tilsynet med operatørernes
overholdelse af denne lov ligeledes blive brugerfinansieret.
Således vil styrelsen skulle opkræve gebyrer fra operatører-
ne til dækning af udgifterne til såvel sagsbehandlingen i sty-
relsen som viderefakturering for eventuelle eksterne konsu-
lenter, som det skønnes nødvendigt at inddrage i vurderin-
gen af efterlevelsen af reglerne.
En statslig godkendelsesmodel vil endelig ikke rumme den
samme fleksibilitet for operatørerne, som den neden for
beskrevne certificeringsmodel, hvor det er operatørerne, der
selv vælger, hvilken standard de vil certificeres efter.
Ved certificeringsmodellen udpeges operatører af væsentli-
ge transporttjenester ved en forvaltningsretlig afgørelse, som
træffes af Trafik-, Bygge- og Boligstyrelsen, og operatører-
ne dokumenterer, at de er certificeret i overensstemmelse
med en internationalt anerkendt standard for styring af net-
og informationssikkerhed.
Ved at stille krav om akkrediteret certificering i henhold til
en relevant internationalt anerkendt standard tilvejebringes
det nødvendige grundlag for, at arbejdet med sikkerheden i
net- og informationssystemer på transportområdet foregår på
det højeste internationale niveau, hvilket gavner hele sam-
fundet.
Et krav om certificering i henhold til en relevant internatio-
nalt anerkendt standard for styring af sikkerheden i net- og
informationssystemer fører til, at de pågældende operatører
løbende skal forholde sig til deres overordnede sikkerheds-
politik i forhold til de net- og informationssystemer, der er
relevante for den væsentlige transporttjeneste, som operatø-
ren leverer. Operatørerne vil endvidere skulle afdække og
håndtere potentielle risici og opståede hændelser, hvilket
samlet set fører til, at operatøren træffer konkrete foranstalt-
ninger til at understøtte et højt sikkerhedsniveau.
Metoden med at basere sig på en international anerkendt
standard inden for net- og informationssikkerhed tager ud-
gangspunkt i den enkelte institutions risikoprofil og rummer
mulighed for, at der implementeres netop de sikkerhedsfor-
anstaltninger og kontrolprocedurer, der er passende for den
enkelte operatør. Dermed sikres det, at de sikkerhedskrav,
der stilles til de udpegede operatører, er proportionale, og at
operatøren ikke pålægges unødige foranstaltninger, men ale-
ne skal gennemføre sikkerhedsforanstaltninger og kontrol-
procedurer, der står i et passende forhold til den enkelte ope-
ratørs tjeneste.
De akkrediterede certificeringsorganer, der beskæftiger sig
med certificering efter en internationalt anerkendt standard,
har oparbejdet kompetencer på netop dette område og vil
kunne vejlede de enkelte operatører i forhold til for eksem-
pel omfanget for certificeringen og gennemførelsen af de re-
levante foranstaltninger. De certificerende organer vil – for
at der skal være vished om deres faglige kompetencer på
området – af samme grund skulle have den nødvendige ak-
kreditering af et akkrediteringsorgan.
Trafik-, Bygge- og Boligstyrelsens tilsyn vil bestå i løbende
at verificere, at den enkelte udpegede operatør opretholder
sin certificering. Dertil kommer, at styrelsen vil afholde de
nødvendige møder med det certificerende organ. Det vil væ-
re det certificerende organ, der med sin certificering af ope-
ratøren giver sikkerhed for, at de nødvendige foranstaltnin-
ger til at forhindre, forebygge og håndtere hændelser i ope-
ratørens udpegede net- og informationssystemer, er på plads
i forhold til dennes standard.
6
2.1.3. Den foreslåede ordning
Lovforslaget gennemfører NIS-direktivets bestemmelser
vedrørende operatører af væsentlige tjenester inden for
transport-, bygnings- og boligministerens område for så vidt
angår myndighedernes udpegningsproces samt de sikker-
hedskrav, som operatørerne skal efterleve, og myndigheder-
nes tilsyn hermed.
Det foreslås, at transport-, bygnings- og boligministeren ud-
peger operatører af væsentlige transporttjenester. Udpegnin-
gen kommer til at foregå ved en konkret forvaltningsretlig
afgørelse inden for rammerne af kriterierne i den foreslåede
§ 3, stk. 2. Det er i den sammenhæng Transport-, Bygnings-
og Boligministeriets hensigt at delegere ministerens opgaver
i medfør af de foreslåede regler, så det bliver Trafik-, Byg-
ge- og Boligstyrelsen, som på ministerens vegne udpeger
operatører af væsentlige transporttjenester.
Med lovforslaget pålægges operatørerne at træffe passende
foranstaltninger for at opretholde et hensigtsmæssigt sikker-
hedsniveau i de net- og informationssystemer, som operatø-
rerne anvender i forhold til de væsentlige transporttjenester,
der har ført til operatørernes udpegning.
Den afvejning, den enkelte operatør skal foretage af, om en
given foranstaltning er passende, svarer til den afvejning,
som mange af operatørerne allerede i dag foretager af de ri-
sici, der kan udfordre net- og informationssystemernes
driftssikkerhed. De nye regler er således ikke udtryk for væ-
sentligt ændrede foranstaltninger end dem, som en operatør
selv vil træffe for at beskytte sin forretning.
EU-reglerne er i højere grad udtryk for, at der i en globalise-
ret verden med en forgrenet it-struktur er behov for en mere
ensartet håndtering af de risici, der kan opstå og en hurtig
håndtering heraf. Det gælder især for de operatører, der inte-
grerer net- og informationssystemer, som en væsentlig del af
operatørernes virksomhed.
Der vil blive fastsat regler om de foranstaltninger, som ope-
ratørerne skal træffe for at styre og håndtere de risici, der
måtte opstå. Det forventes, at der i den forbindelse vil blive
stillet krav om akkrediteret certificering i henhold til inter-
nationalt anerkendte standarder for styring af sikkerheden i
net- og informationssystemer.
Internationalt anerkendte standarder for sikkerheden i net-
og informationssystemer er udtryk for, at man på internatio-
nalt plan er blevet enige om et niveau for, hvad der forstås
ved passende foranstaltninger i relation til styring af risicie-
ne og forebyggelse og minimering af konsekvenserne ved en
hændelse i net- og informationssystemer. Det er derfor
Transport-, Bygnings- og Boligministeriets vurdering, at
operatører af væsentlige transporttjenester med en certifice-
ring efter en internationalt anerkendt standard vil kunne do-
kumentere, at operatøren opfylder lovens krav om styring af
risiciene og forebyggelse og minimering af konsekvenserne
ved en hændelse. Certificeringen tjener alene som dokumen-
tation for overholdelse af kravene i loven og er ikke en for-
valtningsretlig afgørelse.
Transport-, Bygnings- og Boligministeriet finder endvidere,
at brugen af standarder stemmer overens med direktivets ar-
tikel 19, hvor medlemsstaterne tilskyndes til at benytte euro-
pæiske eller internationalt anderkendte standarder og speci-
fikationer, der er relevante for at styre risiciene for sikkerhe-
den i net- og informationssystemer og for at sikre en konver-
gerende gennemførelse af direktivets krav om, at operatører
af væsentlige tjenester træffer netop passende og forholds-
mæssige foranstaltninger.
2.2. Om operatørernes underretningspligt og myndigheder-
nes videregivelse og offentliggørelse af informationer om
hændelser
2.2.1. Gældende ret
For statslige myndigheder er der pr. 1. september 2014 som
følge af en regeringsbeslutning etableret en forpligtelse til at
underrette Center for Cybersikkerhed i tilfælde af større it-
sikkerhedsmæssige hændelser i deres digitale infrastruktur.
Der eksisterer en frivillig ordning for private virksomheder
inden for bl.a. transportsektoren til at underrette Center for
Cybersikkerhed om større it-sikkerhedsmæssige hændelser i
digital infrastruktur, som virksomhederne er ansvarlige for.
Ordningen har dog ikke det specifikke fokus på net- og in-
formationssikkerhed, som er formålet med NIS-direktivet og
dette lovforslag.
På transportområdet eksisterer der ikke regler, som forplig-
ter operatører, der leverer en tjeneste, der er væsentlig for
opretholdelsen af kritiske samfundsmæssige og/eller økono-
miske aktiviteter, til at underrette en administrativ myndig-
hed om hændelser i deres net- og informationssystemer, der
vil få væsentlige forstyrrende virkninger for leveringen af
den nævnte tjeneste.
Der eksisterer heller ikke regler, som giver myndigheder på
Transport-, Bygnings- og Boligministeriets område adgang
til at videregive eller offentliggøre oplysninger om sådanne
hændelser i operatørernes net- og informationssystemer.
2.2.1.1. NIS-direktivet
Efter NIS-direktivets artikel 14, stk. 3, skal operatører af
væsentlige tjenester hurtigst muligt foretage en underretning
til myndighederne om hændelser, der har væsentlige konse-
kvenser for kontinuiteten i leveringen af deres tjenester.
Ud over de operatører, der er forpligtet til at underrette myn-
dighederne, skal andre operatører kunne foretage frivillig
indberetning efter artikel 20. Den vurdering, som myndighe-
den skal foretage af frivillige indberetninger, adskiller sig
fra den pligtmæssige, idet medlemsstaterne skal prioritere
pligtmæssige indberetninger fremfor frivillige indberetnin-
ger.
7
Derudover skal et centralt kontaktpunkt have adgang til at
udbrede hændelsesrelaterede informationer til andre centrale
kontaktpunkter i de øvrige medlemsstater.
Efter NIS-direktivets artikel 14, stk. 6, skal mindst en myn-
dighed endvidere have mulighed for at offentliggøre infor-
mationer om konkrete hændelser, som er modtaget i medfør
af underretningspligten. Pågældende myndighed skal dog
forud herfor høre den underrettende operatør herom.
2.2.2. Transport-, Bygnings- og Boligministeriets overvejel-
ser
Det er en nødvendig forudsætning for at efterleve direktivets
krav, at myndighederne modtager underretningerne, og at
det er muligt at videregive oplysningerne i et nærmere be-
stemt omfang med henblik på at forebygge eller begrænse
en hændelse.
I forbindelse med en offentliggørelse af oplysningerne skal
den indberettende operatør høres. Ministeriet har i den for-
bindelse vurderet, at det er vigtigt, at en eventuel offentlig-
gørelse skal ske under hensyntagen til bl.a. operatørens sik-
kerhed, operatørens kommercielle interesser og fortrolig be-
handling af de af operatøren angivne oplysninger i forbin-
delse med dennes underretning.
2.2.3. Den foreslåede ordning
Der foreslås en ordning, hvor operatørerne forpligtes til at
underrette transport-, bygnings- og boligministeren og
CSIRT om hændelser, der har væsentlige konsekvenser for
kontinuiteten af de væsentlige tjenester, som operatørerne
leverer. De enkelte operatører skal i deres vurdering af, om
en hændelse er omfattet af underretningspligten, lægge vægt
på hændelsens alvorlighed, herunder den tidsmæssige ud-
strækning, antallet af berørte brugere og størrelsen af det
område, der påvirkes.
Det foreslås, at der udover underretningspligten også gives
mulighed for frivillig underretning i forhold til de operatø-
rer, som ikke er operatører af en væsentlig transporttjeneste.
Denne underretning vil medvirke til at give myndighederne
et mere fuldstændigt billede af en potentiel væsentlig trussel
mod net- og informationssystemer.
Der er tale om et område i konstant udvikling, og der vil
derfor ikke meningsfyldt kunne ske en fuldstændig udtøm-
mende regulering af underretningen i loven. På den bag-
grund rummer forslaget hjemmel til, at der kan fastsættes
nærmere regler om selve underretningernes form og ind-
hold. Der kan blandt andet fastsættes regler om, at underret-
ningerne skal være digitale, og at underretningerne skal fo-
regå på en nærmere defineret sikker digital platform, som er
oprettet til formålet.
Underretningspligten skal primært sikre transport-, byg-
nings- og boligministeren og CSIRT hurtige oplysninger om
hændelser med væsentlige forstyrrende virkninger.
Det foreslås på den baggrund at lade transport-, bygnings-
og boligministeren offentliggøre visse oplysninger inden for
nærmere fastlagte rammer. En eventuel offentliggørelse skal
ske på baggrund af de anbefalinger, som fremgår af Justits-
ministeriets betænkning nr.1516/2010 om offentlige myn-
digheders offentliggørelse af kontrolresultater, afgørelser
mv. I betænkningen anbefales det, at der inden indførelse af
ordninger med systematisk offentliggørelse af oplysning om
kontrolresultater, afgørelser m.v. på internettet i ikke-anony-
miseret form foretages en vurdering af det konkrete behov
for offentliggørelse, om offentliggørelse kan forventes kon-
kret at være særligt indgribende for personen, om der er
tungtvejende samfundsmæssige hensyn bag offentliggørel-
sesordningen, om offentliggørelse strider mod de gældende
databeskyttelsesretlige regler og de almindelige regler om
tavshedspligt, og om der af retssikkerhedsmæssige grunde er
opstillet administrative regler for forvaltningsmyndighedens
behandling af de enkelte sager.
Offentliggørelse kan først ske efter en høring af den under-
rettende operatør. Derudover kan der ikke ske offentliggø-
relse af oplysninger om tekniske indretninger eller frem-
gangsmåder eller om drifts- og forretningsforhold eller lig-
nende, hvis den underrettende operatør gør gældende, at dis-
se oplysninger har væsentlig forretningsmæssig betydning
for vedkommende operatør. Der kan heller ikke offentliggø-
res oplysninger, der af transport-, bygnings- og boligmini-
steren vurderes at være af væsentlig betydning for statens
sikkerhed eller rigets forsvar, fortrolige informationer, eller
oplysninger om enkeltpersoners forhold, herunder navne og
adresser.
I tilfælde, hvor der er tale om behandling af personhenførba-
re oplysninger, vil lovgivningen for databeskyttelse, jf. lov
nr. 429 af 31. maj 2000 om behandling af personoplysninger
med senere ændringer samt regler udstedt i medfør heraf,
finde tilsvarende anvendelse. Reglerne i databeskyttelsesfor-
ordningen, jf. forordning (EU) 2016/679 af 27. april 2016,
vil finde anvendelse, når disse får virkning den 25. maj
2018.
2.3. Om sanktioner for overtrædelser af lovens bestemmel-
ser
2.3.1. Gældende ret
Der er ingen konkrete regelsæt, der indeholder sanktioneren-
de bestemmelser rettet mod overtrædelse af net- og informa-
tionssikkerhedsmæssige krav i Transport-, Bygnings- og
Boligministeriets sektorlovgivning. Som angivet under
punkt 2.2.1. indeholder sektorlovgivningen heller ikke deci-
derede krav om underretning af hændelser i net- og informa-
tionssikkerhedssystemer, hvorfor der ikke eksisterer sanktio-
ner herfor.
Reglerne i de eksisterende regelsæt, der forpligter operatø-
rerne til at foretage underretninger om hændelser, der ikke
retter sig mod hændelser i net- og informationssystemer,
sanktioneres med straf.
8
På luftfartsområdet fremgår hændelsesindberetningspligten
af Europa-Parlamentets og rådets forordning (EU) Nr.
376/2014 af 3. april 2014 om indberetning og analyse af
samt opfølgning på begivenheder inden for civil luftfart, æn-
dring af Europa-Parlamentets og Rådets forordning (EU) nr.
996/2010 og ophævelse af Europa-Parlamentets og Rådets
direktiv 2003/42/EF, Kommissionens forordning (EF) nr.
1321/2007 og Kommissionens forordning (EF) nr.
1330/2007.
Forordningen indeholder bestemmelser om indberetnings-
pligt for operatørerne. Undladelse af at indberette hændelser
i henhold til forordningen kan sanktioneres med straf i hen-
hold til luftfartslovens § 149, stk. 11.
2.3.1.1. NIS-direktivet
NIS-direktivets artikel 21 forpligter medlemsstaterne til at
fastsætte regler om sanktioner, der skal anvendes i tilfælde
af overtrædelser af nationale regler, der er vedtaget efter di-
rektivet, og medlemsstaterne skal ifølge samme bestemmel-
se træffe alle nødvendige foranstaltninger til at sikre, at
sanktionerne gennemføres. Udover, at sanktionerne skal væ-
re effektive, stå i et rimeligt forhold til overtrædelsen og ha-
ve afskrækkende virkning, stilles der ikke indholdsmæssige
krav til medlemsstaternes valg af sanktionsmidler eller den
konkrete udformning heraf.
2.3.2. Transport-, Bygnings- og Boligministeriets overvejel-
ser
Ministeriet har overvejet mulighederne for at sanktionere
overtrædelser af loven. Da flertallet af forslagets bestemmel-
ser er af mere skønsmæssig karakter, er det ministeriets vur-
dering, at det ud over almindeligt strafansvar for overtrædel-
se af enkelte bestemmelser, vil være hensigtsmæssigt at fo-
reslå en fremgangsmåde, hvor operatørerne i udgangspunk-
tet først risikerer et strafansvar, hvis et forvaltningsretligt
påbud i medfør af den foreslåede lov eller regler fastsat i
medfør heraf ikke efterleves.
2.3.3. Den foreslåede ordning
Der foreslås en ordning, hvor undladelse af at foretage un-
derretning efter den foreslåede § 5 og undladelse af at efter-
komme påbud kan straffes med bøde, jf. den foreslåede §
13, stk. 1. I regler, der fastsættes i medfør af loven, kan der
fastsættes straf i form af bøde.
Der foreslås således en ordning, hvor gerningsindholdet for
strafansvar primært hviler på manglende iagttagelse af et
forvaltningsretligt påbud.
Da pligtsubjekterne ifølge loven som udgangspunkt er juri-
diske personer, er det nødvendigt at sikre adgang til at på-
lægge juridiske personer strafansvar efter reglerne i straffe-
lovens 5. kapitel.
3. Forholdet til databeskyttelseslovgivningen
Den offentlige og private sektor er – indtil den 24. maj 2018
– omfattet af lov nr. 429 af 31. maj 2000 med senere æn-
dringer (herefter persondataloven) og tilhørende bekendtgø-
relser, når der behandles personoplysninger. Det fremgår
bl.a., at der skal træffes fornødne tekniske og organisatori-
ske foranstaltninger i forbindelse med behandling af perso-
noplysninger. Persondataloven gennemfører Europa-Parla-
mentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om
beskyttelse af fysiske personer i forbindelse med behandling
af personoplysninger og om fri udveksling af sådanne oplys-
ninger (herefter databeskyttelsesdirektivet). For så vidt an-
går den offentlige forvaltning finder bekendtgørelse nr. 528
af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttel-
se af personoplysninger, som behandles for den offentlige
forvaltning med senere ændringer anvendelse (herefter sik-
kerhedsbekendtgørelsen).
Databeskyttelsesdirektivet ophæves den 25. maj 2018, jf.
Europa-Parlamentets og Rådets forordning 2016/679/EU af
27. april 2016 om beskyttelse af fysiske personer i forbin-
delse med behandling af personoplysninger og om fri ud-
veksling af sådanne oplysninger og om ophævelse af direk-
tiv 95/46/EF (herefter databeskyttelsesforordningen), som
finder anvendelse fra den 25. maj 2018.
Justitsministeren har den 25. oktober 2017 fremsat lovfor-
slag L 68 om supplerende bestemmelser til forordning om
beskyttelse af fysiske personer i forbindelse med behandling
af personoplysninger og om fri udveksling af sådanne oplys-
ninger (herefter forslag til databeskyttelsesloven). I forslag
til databeskyttelsesloven, der fastsætter supplerende nationa-
le bestemmelser om behandling af personoplysninger, fore-
slås det bl.a., at persondataloven ophæves, jf. forslagets §
46, stk. 2. I den forbindelse foreslås sikkerhedsbekendtgø-
relsen samtidig ophævet.
Efter den 25. maj 2018 vil det være reglerne i databeskyttel-
sesforordningen, suppleret af lovforslag til databeskyttelses-
loven, lov om retshåndhævende myndigheders behandling
af personoplysninger samt diverse særregler, der regulerer
området for behandling af personoplysninger.
Derudover følger det af forvaltningslovens § 28, stk. 1, jf.
lovbekendtgørelse nr. 433 af 22. april 2014, at en forvalt-
ningsmyndighed skal overholde reglerne i persondataloven,
når der videregives personoplysninger til en anden forvalt-
ningsmyndighed. Ifølge lovforslag L 69 og L 68, som blev
behandlet samlet, er der sket en tilpasning af forvaltningslo-
vens § 28, så der fremover henvises til reglerne i databeskyt-
telsesforordningen og forslag til databeskyttelsesloven. Des-
uden fremgår det af forvaltningslovens § 28, stk. 2, at oplys-
ninger af fortrolig karakter, som ikke er personoplysninger,
kun må videregives til en anden forvaltningsmyndighed, når
den, som oplysningen angår, udtrykkeligt har givet samtyk-
ke, når det følger af lov, eller bestemmelser fastsat i henhold
til lov, at oplysningen skal videregives, eller det må antages,
at oplysningen vil være af væsentlig betydning for myndig-
hedens virksomhed eller for en afgørelse, myndigheden skal
træffe.
9
4. Økonomiske og administrative konsekvenser for det of-
fentlige
Som tilsynsmyndighed skal transport-, bygnings- og bolig-
ministeren bruge nye administrative ressourcer på at føre til-
syn med operatører af væsentlige transporttjenester og vali-
dere rapporteringer om væsentlige hændelser i operatørernes
net- og informationssystemer. I praksis forventes samtlige af
lovens hjemlede beføjelser til ministeren delegeret til Tra-
fik-, Bygge- og Boligstyrelsen, der vil fungere som tilsyns-
myndighed på området.
Omkostningerne ved varetagelsen af rollen som tilsynsmyn-
dighed forventes at kunne afholdes inden for de eksisterende
bevillingsmæssige rammer i Transport-, Bygnings- og Bo-
ligministeriet. Det skyldes en forventning om, at antallet af
operatører af væsentlige transporttjenester vil være begræn-
set, og at tilsynet med at operatørerne indfører passende for-
anstaltninger mv., hovedsageligt vil bestå i en gennemgang
af, om de certificerende organer til stadighed vurderer, at
operatørerne lever op til betingelserne for at opretholde cer-
tifikatet, jf. afsnit 2.1.2. Opgaven kan varetages som et led i
de tilsynsopgaver, som styrelsen allerede har på transpor-
tområdet.
På samme måde forventes det, at selve arbejdet med håndte-
ring og validering af de indberettede hændelser, herunder
etablering af en indberetningsordning, vil forudsætte øgede
ressourcer, der vil kunne afholdes inden for de eksisterende
bevillingsmæssige rammer i Transport-, Bygnings- og Bo-
ligministeriet.
Det er overvejende sandsynligt, at der udpeges en eller flere
operatører af væsentlige transporttjenester, som er en del af
den offentlige sektor. Der vil i disse tilfælde være visse øko-
nomiske og administrative konsekvenser forbundet med at
efterleve lovens bestemmelser og regler udstedt i medfør
heraf, herunder særligt et krav om certificering. Også disse
udgifter må forventes at kunne blive afholdt indenfor de ek-
sisterende bevillingsmæssige rammer i Transport-, Byg-
nings- og Boligministeriet.
Såfremt regionale eller kommunale operatører udpeges som
operatører af væsentlige transporttjenester og dermed under-
lægges krav om certificering, vil der kunne være DUT-kon-
sekvenser. Dette vil blive håndteret i forbindelse med en
særskilt økonomisk høring, som vil blive fremsendt til Dan-
ske Regioner og KL. Det er Transport-, Bygnings- og Bolig-
ministeriets forventning, at de operatører, som vil blive ud-
peget, karakteriseres ved at være særdeles store operatører,
der har en dominerende status på hver deres område.
5. Økonomiske og administrative konsekvenser for erhvervs-
livet m.v.
Det forventes, at der vil være tale om enkelte private opera-
tører, der vil blive udpeget som operatører af væsentlige
transporttjenester.
Kravet om, at en operatør af væsentlige transporttjenester
skal være certificeret i henhold til en internationalt aner-
kendt standard, kan afhængigt af certificeringsparatheden
hos den enkelte operatør udgøre op til 200.000 kr. i direkte
engangsomkostninger og 40.000-100.000 kr. i direkte årlige
vedligeholdelsesomkostninger. Hvis der er tale om en opera-
tør, der ikke er certificeringsparat, vil omkostningerne for
den enkelte operatør være større. Det vurderes imidlertid, at
alle de operatører, der vil kunne komme i betragtning til en
udpegning efter loven, i et eller andet omfang er certificerin-
gsparate.
Operatørerne vil endvidere alle være af en ganske betydelig
størrelse. Ud fra en forholdsmæssig betragtning forventes
det derfor ikke, at de foreslåede regler vil blive oplevet som
meget bebyrdende for operatørerne af væsentlige transport-
tjenester.
Ud over omkostningerne til certificering vil der være be-
grænsede administrative byrder i forbindelse med den un-
derretning, som operatørerne skal sende til myndighederne.
Det forventes, at der vil være et begrænset antal underretnin-
ger fra den enkelte operatør på årsbasis. Selve den admini-
strative håndtering af underretningen forventes ikke at over-
stige 2 timer pr. hændelse.
Efter den foreslåede § 12 får transport-, bygnings- og bolig-
ministeren mulighed for at bemyndige Trafik-, Bygge- og
Boligstyrelsen eller andre statslige myndigheder til at udøve
ministerens beføjelser efter denne lov. I den forbindelse har
ministeren også mulighed for at afskære klageadgang til mi-
nisteren. Muligheden for at afskære klageadgangen er be-
grundet i, at de afgørelser, som Trafik-, Bygge- og Boligsty-
relsen eller andre myndigheder kommer til at træffe, vil væ-
re af en udpræget teknisk karakter, som forudsætter betyde-
lig indsigt i området. Departementet har ikke de faglige for-
udsætninger for at kunne vurdere de meget tekniske forhold,
som karakteriserer dette retsområde, hvorfor rekursadgang
er uhensigtsmæssig. En afgørelse vil dog kunne prøves ved
domstolene, jf. grundlovens § 63.
6. Administrative konsekvenser for borgerne
Lovforslaget har ingen administrative konsekvenser for bor-
gerne.
7. Miljømæssige konsekvenser
Lovforslaget har ingen miljømæssige konsekvenser.
8. Forholdet til EU-retten
Med forslaget implementeres de dele af Europa-Parlamen-
tets og Rådets direktiv 2016/1148 af 6. juli 2016 om foran-
staltninger, der skal sikre et høj fælles sikkerhedsniveau for
net- og informationssystemer i hele Unionen.
I medfør af NIS-direktivets artikel 25, stk. 1, skal medlems-
staterne senest den 10. maj 2018, have vedtaget og offentlig-
10
gjort de love og administrative bestemmelser, der er nød-
vendige for at efterkomme direktivet.
Operatørerne af væsentlige transporttjenester skal dog ikke
udpeges før den 9. november 2018.
9. Hørte myndigheder og organisationer
Et udkast til lovforslag har i perioden fra den 29. november
2017 til den 2. januar 2018 været sendt i høring hos følgen-
de myndigheder og organisationer mv.:
Alstom, Arriva Danmark A/S, Banedanmark, Billund Luft-
havn, Bornholmstrafikken Holding A/S, Brancheforeningen,
Dansk Luftfart, Captrain Denmark ApS, Center for Cyber-
sikkerhed, CFL Cargo Danmark ApS, Danmarks Rederifor-
ening, Dansk Erhverv, Dansk Flyverlederforening, Dansk
Jernbaneforbund, Dansk Industri Transport, Danske Havne,
Danske Havnevirksomheder, Brancheforeningen, Danske
Regioner, Datatilsynet, DB Cargo Scandinavia A/S, DSB,
Erhvervsflyvningens Sammenslutning, Esbjerg Lufthavn,
Forsvarets Efterretningstjeneste, Hector Rail AB, Hovedsta-
dens letbane, KL, Kultur- og kirkeministeriet, Københavns
Lufthavne A/S, Lokaltog A/S, Metroselskabet, Metroservice
A/S, Midjyske Jernbaner A/S, Midtjyllands Lufthavn, Navi-
air, Nordjyske Jernbaner A/S, Rigsrevisionen, Rådet for di-
gital it-sikkerhed, SJ AB, Sund og Bælt Holding A/S, Sø-
fartsstyrelsen, Sønderborg Lufthavn, Trafikselskaberne i
Danmark, Udviklingsselskabet By og Havn I/S, Øresunds-
bro Konsortiet, Aalborg Lufthavn, Aarhus Letbane, Aarhus
Lufthavn.
10. Sammenfattende skema
Positive konsekvenser/mindreudgifter Negative konsekvenser/merudgifter
Økonomiske konsekvenser for stat,
kommuner og regioner
Ingen Lovforslaget vil få mindre væsentlige
omkostninger for statslige enheder, der
udpeges som operatører af væsentlige
transporttjenester. Hertil kommer mindre
omkostninger til Trafik-, Bygge- og Bo-
ligstyrelsens tilsyn med sektoren.
Administrative konsekvenser for stat,
kommuner og regioner
Ingen Lovforslaget vil få mindre væsentlige ad-
ministrative konsekvenser ift. Trafik-,
Bygge- og Boligstyrelsens tilsyn med
sektoren.
Økonomiske konsekvenser for er-
hvervslivet
Ingen Lovforslaget vil få mindre økonomiske
omkostninger for de virksomheder, som
måtte blive udpeget som operatører af
væsentlige transporttjenester.
Administrative konsekvenser for er-
hvervslivet
Ingen Lovforslaget vil få mindre administrative
konsekvenser for de virksomheder, som
måtte blive udpeget som operatører af
væsentlige transporttjenester.
Administrative konsekvenser for bor-
gerne
Ingen Ingen
Miljømæssige konsekvenser Ingen Ingen
Forholdet til EU-retten Lovforslaget indeholder bestemmelser, der gennemfører dele af Europa-Parlamen-
tets og Rådets direktiv 2016/1148/EU af 6. juli 2016 om foranstaltninger, der skal
sikre et højt fælles sikkerheds-niveau for net- og informationssystemer i hele Uni-
onen, EU-Tidende 2016, nr. L 194, side 1.
Overimplementering af EU-retlige mi-
nimumsforpligtelser (sæt X)
JA NEJ
X
11
Bemærkninger til lovforslagets enkelte bestemmelser
Til § 1
Den foreslåede bestemmelse afgrænser lovens anvendelses-
område til at omfatte operatører af væsentlige transporttje-
nester. Operatørerne er de offentlige eller private enheder i
transportsektoren, der af transport-, bygnings- og boligmini-
steren udpeges som operatører af væsentlige transporttjene-
ster.
Til § 2
Den foreslåede bestemmelse i § 2 definerer syv centrale be-
greber i loven. Definitionerne bygger på de tilsvarende defi-
nitioner i NIS-direktivets artikel 4.
Efter det foreslåede nr. 1 defineres en operatør af en væ-
sentlig transporttjeneste som en offentlig eller privat enhed,
der udpeges af transport-, bygnings- og boligministeren som
operatør af en væsentlig transporttjeneste i medfør af den
foreslåede § 3, stk. 1, og som varetager opgaver vedrørende
lufttransport, jernbanetransport, søfart inden for transport-,
bygnings- og boligministeriets område og vejtransport.
Ved luftfart forstås luftfartsselskaber, lufthavnsdriftsorga-
ner, lufthavne, enheder med tilknyttede anlæg i lufthavne
samt trafikledelses- og kontroloperatører, der udøver flyve-
kontroltjeneste. Ved jernbanetransport forstås infrastruktur-
forvalter samt jernbanetransport, herunder operatører af ser-
vicefaciliteter. Ved søtransport forstås søtransport inden for
transport-, bygnings- og boligministeriets område og der-
med havnedriftsorganer, herunder deres havnefaciliteter og
enheder, der opererer anlæg og udstyr i havne. Ved vejtrans-
port forstås vejmyndigheder, som er ansvarlige for trafikle-
delse samt operatører af intelligente transportsystemer.
Definitionerne skal forstås i overensstemmelse med bilag
II, pkt. 2, i Europa-Parlamentets og Rådets direktiv
2016/1148/EU af 6. juli 2016 om foranstaltninger, der skal
sikre et højt fælles sikkerhedsniveau for net- og informati-
onssystemer i hele Unionen, hvor de enkelte delsektorer in-
den for transport er nærmere defineret.
Den foreslåede definition af operatører af væsentlige
transporttjenester er tilnærmelsesvist identisk med definitio-
nen af operatører af væsentlige tjenester i NIS-direktivets ar-
tikel 4, nr. 4. Forskellen består i, at NIS-direktivets defini-
tion er mere generisk. Den skal dække samtlige typer af
operatører, mens den foreslåede definition kun vedrører ope-
ratører af en væsentlig transporttjeneste inden for transport-,
bygnings- og boligministeriets område.
Efter det foreslåede nr. 2 defineres et net- og informati-
onssystem som:
a) Et elektronisk kommunikationsnet, der udgøres af trans-
missionssystemer og, hvor det er relevant, koblings- og diri-
geringsudstyr og andre ressourcer, herunder netelementer,
der ikke er aktive, som gør det muligt at overføre signaler
ved hjælp af trådforbindelse, radiobølger, lyslederteknik el-
ler andre elektromagnetiske midler, herunder satellitnet,
jordbaserede fastnet (kredsløbs- og pakkekoblede, herunder
i internettet) og mobilnet, elkabelsystemer, i det omfang de
anvendes til transmission af signaler, net, som anvendes til
radio- og tv-spredning, samt kabel-tv-net, uanset hvilken ty-
pe information, der overføres.
b) enhver anordning eller gruppe af indbyrdes forbundne el-
ler beslægtede anordninger, hvoraf en eller flere ved hjælp
af et program udfører automatisk behandling af digitale da-
ta,
c) digitale data, som lagres, behandles, fremfindes eller
overføres ved brug af elementer i litra a og b med henblik på
deres drift, brug, beskyttelse og vedligeholdelse.
Den foreslåede definition af net- og informationssystemer
er indholdsmæssigt identisk med definitionen af net- og in-
formationssystemer i NIS-direktivets artikel 4, nr. 1. Af hen-
syn til læsbarheden, er der i stedet for henvisningen til art. 2,
litra a) i direktiv 2002/21 EF af 7. marts 2002, foretaget en
afskrift af artiklen.
Efter det foreslåede nr. 3 defineres sikkerhed i net- og in-
formationssystemer som evnen for net- og informationssy-
stemer til, på et givet sikkerhedsniveau, at modstå handlin-
ger, der er til skade for tilgængeligheden, autenticiteten, in-
tegriteten eller fortroligheden i forbindelse med lagrede eller
overførte eller behandlede data eller de dermed forbundne
tjenester, der tilbydes af eller er tilgængelige via disse net-
og informationssystemer.
Den foreslåede definition af sikkerhed i net- og informati-
onssystemer er indholdsmæssigt identisk med definitionen
af sikkerhed i net- og informationssystemer i NIS-direkti-
vets artikel 4, nr. 2.
Efter det foreslåede nr. 4 defineres en hændelse som en-
hver begivenhed, der har en egentlig negativ indvirkning på
sikkerheden i net- og informationssystemer.
Den foreslåede definition af en hændelse svarer til defini-
tionen i NIS-direktivets artikel 4, nr. 7. For at en hændelse
anses for indtrådt, skal den relatere sig til sikkerheden i det
eller de net- og informationssystemer, der er af afgørende
betydning for leveringen af den væsentlige transporttjeneste,
der er årsag til, at operatøren er udpeget.
Efter det foreslåede nr. 5 defineres en risiko som enhver
rimelig identificerbar omstændighed eller begivenhed, der
har en potentiel negativ indvirkning på sikkerheden i net- og
informationssystemer.
Den foreslåede definition af risiko svarer til definitionen i
NIS-direktivets artikel 4, nr. 9. For at en risiko er omfattet af
forslagets bestemmelser, skal den være rimelig identificer-
bar og have potentiel negativ indvirkning på sikkerheden i
net- og informationssystemer.
Efter det foreslåede nr. 6 defineres nationalt centralt kon-
taktpunkt som en national kompetent enhed med ansvar for
at koordinere spørgsmål vedrørende sikkerheden i net- og
informationssystemer samt grænseoverskridende samarbej-
de i EU herom.
Den foreslåede definition af nationalt centralt kontakt-
punkt svarer til definitionen i NIS-direktivets artikel 8. I
12
Danmark er det Center for Cybersikkerhed under Forsvars-
ministeriet, der fremover vil varetage funktionen som natio-
nalt centralt kontaktpunkt.
Efter det foreslåede nr. 7 defineres CSIRT som en natio-
nal it-beredskabsenhed, der håndterer hændelser, og som har
ansvaret for at sikre samarbejdet om sikkerheden i net- og
informationssystemer i EU.
Den foreslåede definition udspringer af CSIRT af NIS-di-
rektivets artikel 9 og bilag 1. I Danmark er det Center for
Cybersikkerhed under Forsvarsministeriet, der fremover vil
varetage funktionen som CSIRT.
Til § 3
I medfør af det foreslåede stk. 1. 1. pkt., udpeger trans-
port-, bygnings- og boligministeren en operatør af en væ-
sentlig transporttjeneste. Bestemmelsen er afgørende for
lovforslagets anvendelse, idet lovforslagets pligtsubjekter
alene udgøres af de enheder, der af transport-, bygnings- og
boligministeren udpeges som operatører af væsentlige trans-
porttjenester. Den første udpegning skal ske senest den 9.
november 2018, jf. NIS-direktivets artikel 5, stk. 1. Udpeg-
ningen af operatørerne sker ved en forvaltningsretlig afgø-
relse.
I medfør af det foreslåede stk. 1, 2. pkt., vurderer ministe-
ren løbende, dog mindst hvert andet år, hvilke operatører af
væsentlige transporttjenester, der skal udpeges i medfør af
det foreslåede 1. pkt.
På den måde sikres det, at loven er i overensstemmelse
med NIS-direktivets artikel 5, stk. 5, der forpligter med-
lemsstaterne til løbende og mindst hvert andet år at ajourfø-
re listen over identificerede operatører på de enkelte områ-
der.
I stk. 2 foreslås det, at transport-, bygnings- og boligmini-
steren i forbindelse med udpegningen efter det foreslåede
stk. 1 skal lægge vægt på nedenstående tre kriterier. Bestem-
melsen bygger på NIS-direktivets artikel 5, stk. 2, som fast-
lægger de overordnede kriterier, som skal iagttages, når der
udpeges en operatør af væsentlige tjenester.
Det foreslåede kriterie nr. 1 er, at enheden leverer en
transporttjeneste, der er væsentlig for opretholdelsen af kriti-
ske samfundsmæssige eller økonomiske aktiviteter. Med
dette kriterie lægges der vægt på, at operatøren leverer en
transporttjeneste, der er af kritisk betydning for mobiliteten i
Danmark, og at afbrydelsen heraf vil have væsentlige sam-
fundsmæssige eller økonomiske konsekvenser. Et element i
denne vurdering kan være, om operatøren leverer en unik
tjeneste eller om tjenesten inden for en relativ kort tidshori-
sont kan erstattes af andre transporttjenester.
Transport-, bygnings- og boligministeren vil forud for en
eventuel udpegning af en operatør, der leverer en grænseo-
verskridende tjenesteydelse, indgå i dialog med de europæ-
iske medlemslande, hvor tjenesteydelsen leveres. Denne dia-
log skal hjælpe med at vurdere operatørens kritiske karakter
med hensyn til grænseoverskridende konsekvenser. Dialo-
gen med eventuelle øvrige medlemslande vil skulle foregå
inden for rammerne af forvaltningslovens § 28 om videregi-
velse af oplysninger til en anden forvaltningsmyndighed.
Det foreslåede kriterie nr. 2 er, at leveringen af transport-
tjenesten afhænger af net- og informationssystemer. Med
dette kriterie præciseres det, at transporttjenesten skal være
afhængig af net- og informationssystemer for at være rele-
vant i forhold til en udpegning af operatører som følge af
dette lovforslag.
Det foreslåede kriterie nr. 3 er, at en hændelse vil få væ-
sentlige forstyrrende virkning for leveringen af den nævnte
transporttjeneste. I vurderingen af dette kriterie er det sær-
ligt de forhold, der er anført i NIS-direktivets artikel 6, stk.
1, der skal indgå. Det drejer sig blandt andet om antallet af
brugere af tjenesten, andre sektorers afhængighed af tjene-
sten, konsekvenserne af en hændelse, operatørens markeds-
andele, den geografiske udbredelse af effekten af en hændel-
se og den pågældende operatørs betydning for at opretholde
et tilstrækkeligt tjenesteniveau under hensyn til alternative
måder, som tjenesten kan leveres på. Der vil i det enkelte til-
fælde være tale om en konkret vurdering, og særlige sektor-
specifikke forhold ved den pågældende transportform kan
være relevante at inddrage.
I medfør af det foreslåede stk. 3 kan transport-, bygnings-
og boligministeren fastsætte nærmere regler om udpegnin-
gen af en operatør af en væsentlig transporttjeneste og tilba-
gekaldelse af udpegningen, herunder fastsætte regler om de
kriterier, der skal lægges vægt på ved udpegningen af en
operatør, tidsbegrænsning på udpegningen m.v.
Den foreslåede bestemmelse giver således transport-, byg-
nings- og boligministeren mulighed for at fastsætte regler,
der præciserer de i det foreslåede stk. 2 omhandlede kriterier
for udpegningen af operatører af væsentlige transporttjene-
ster, herunder kriterier, der relaterer sig til NIS-direktivets
art. 6. Der vil endvidere kunne fastsættes regler om selve
udpegningen. Der kan eksempelvis være behov for en nær-
mere præcisering af, hvad der præcist kvalificeres som en
væsentlig tjeneste inden for dele af transportsektoren.
Der vil endvidere kunne fastsættes nærmere regler om til-
bagekaldelse af udpegningen af operatører, der ikke længere
opfylder forudsætningerne for udpegningen.
Til § 4
Den foreslåede § 4 gennemfører de dele af NIS-direktivets
artikel 14, der angår sikkerhedskrav for operatørerne samt
dele af artikel 15 om gennemførelse og håndhævelse.
I medfør af det foreslåede stk. 1, 1. pkt., skal operatører af
væsentlige transporttjenester træffe passende og forholds-
mæssige tekniske og organisatoriske foranstaltninger for at
styre risiciene for sikkerheden i net- og informationssyste-
mer, som de anvender til den del af deres aktiviteter, hvor en
hændelse vil få væsentlig forstyrrende virkning for leverin-
gen af den nævnte transporttjeneste.
Formålet hermed er at understøtte en net- og informations-
sikkerhedsmæssig risikostyringskultur, idet operatørerne af
væsentlige transporttjenester forpligtes til at træffe passende
og forholdsmæssige tekniske og organisatoriske foranstalt-
13
ninger for at styre risiciene for sikkerheden i de net- og in-
formationssystemer, som er nødvendige for at udøve den
væsentlige transporttjeneste.
Er der net- og informationssystemer, som understøtter de-
le af operatørens virksomhed, hvor et nedbrud ikke vil have
betydning for leveringen af den væsentlige transporttjeneste,
vil denne del ikke skulle omfattes af de foranstaltninger, der
træffes.
I praksis vil operatøren skulle styre disse risici ved syste-
matisk anvendelse af ledelsespolitikker, procedurer og prak-
sis. Dermed vil operatøren kontinuerligt og struktureret gen-
nemgå sit system og dets funktioner for at identificere, hvil-
ke uønskede tilstande eller farer der kan opstå, hvad årsager-
ne hertil er, hvor ofte de opstår, hvilke konsekvenser de kan
have samt, hvilke barrierer der kan opstilles for, at operatø-
ren kan have farerne under kontrol.
De foranstaltninger, der træffes, skal være passende. Det
forventes ikke, at operatørerne træffer ensartede foranstalt-
ninger, da de faktiske omstændigheder, der gør sig gældende
for den enkelte operatør, formentlig vil være forskellige. Det
er derfor ikke muligt at foretage en entydig beskrivelse af,
hvornår en foranstaltning er passende. Operatøren skal ved
vurderingen af, om en foranstaltning er passende, vurdere
den konkrete risiko for, at en given hændelse vil indtræffe,
og alvorligheden af de konsekvenser hændelsen i givet fald
vil få for udøvelsen af den væsentlige transporttjeneste.
Relevante risikostyringsforanstaltninger omfatter disposi-
tioner, der er egnet til at identificere risici for hændelser, fo-
rebygge, opdage og håndtere hændelser, samt begrænse om-
fanget af de konsekvenser, som en hændelse kan have for le-
veringen af den væsentlige transporttjeneste. Sikkerheden i
net- og informationssystemer omfatter lagrede, overførte og
behandlede data.
Det er forventningen, at operatører af væsentlige trans-
porttjenester i transportsektoren kan opfylde kravet om at
træffe passende foranstaltninger ved en certificeringsord-
ning, jf. bemærkningerne til det foreslåede stk. 3.
I medfør af det foreslåede stk. 1, 2. pkt., skal foranstaltnin-
gerne sikre et sikkerhedsniveau for net- og informationssy-
stemer, der er proportionale med risiciene.
Formålet med bestemmelsen er at sikre, at de foranstalt-
ninger, der træffes af operatøren, er proportionale med den
konkrete risiko, som operatøren står overfor. Derudover skal
foranstaltninger, der træffes, være under hensyntagen til tek-
nologiens aktuelle stadie, idet teknologien er i konstant
fremdrift og derfor kræver, at foranstaltningerne følger med
den globaliserede og teknologiske verden.
I medfør af det foreslåede stk. 2 skal operatører af væsent-
lige transporttjenester træffe passende foranstaltninger for at
forebygge og minimere konsekvensen af en hændelse, der
kan have en negativ indvirkning på de net- og informations-
systemer, som anvendes til levering af en væsentlig trans-
porttjeneste.
Formålet er efter NIS-direktivet at sikre kontinuitet i den
væsentlige transporttjeneste, som de leverer. Foranstaltnin-
gerne skal således rette sig mod de anvendte net- og infor-
mationssystemer og skal samtidig medvirke til, at operatø-
ren til stadighed kan levere den væsentlige transporttjeneste,
selvom der sker en hændelse, der kan have en negativ ind-
virkning på de net- og informationssystemer, som anvendes
til levering af en væsentlig transporttjeneste. Operatørerne
bør på den baggrund som minimum indarbejde kompense-
rende foranstaltninger i deres beredskabsplanlægning, der
bl.a. kan bidrage til at isolere udbredelsen af en hændelse i
de net- og informationssystemer, der er relevante for leve-
ringen af den væsentlige transporttjeneste.
Det er forventningen, at operatører af væsentlige trans-
porttjenester i transportsektoren kan opfylde kravet om at
træffe passende foranstaltninger ved en certificeringsord-
ning, jf. bemærkningerne til det foreslåede stk. 3.
Det fremgår af det foreslåede stk. 3, 1. pkt., at transport-,
bygnings- og boligministeren fastsætter nærmere regler om
foranstaltninger efter de foreslåede stk. 1 og 2., herunder om
sagernes behandling, tidsfrister mv.
Formålet er, at ministeren vil kunne fastsætte nærmere
regler om de foranstaltninger, som operatørerne skal træffe
for at styre risiciene for sikkerheden i net- og informations-
systemerne og for at forebygge og minimere konsekvenser-
ne af hændelser, der kan have negativ indvirkning på sikker-
heden i de anvendte net- og informationssystemer.
I det omfang det måtte blive relevant, vil bestemmelsen
kunne anvendes til at fastsætte nærmere regler om myndig-
hedernes sagsbehandling, tidsfrister mv.
I medfør af det foreslåede stk. 3, 2. pkt., kan ministeren
endvidere fastsætte regler, hvor der stilles krav om, at doku-
mentation for, at der er truffet de nødvendige foranstaltnin-
ger efter de foreslåede stk. 1 og 2, skal ske ved akkrediteret
certificering efter en internationalt anerkendt standard for
styring af sikkerheden i net- og informationssystemer.
Net- og informationssikkerhedsområdet er i løbende ud-
vikling. Med bemyndigelsesbestemmelsen i det foreslåede
stk. 3 skabes de nødvendige rammer for, at de danske regler
matcher den teknologiske udvikling i transportsektoren, og
at sikkerheden i operatørernes net- og informationssystemer
er på et højt internationalt niveau.
Bemyndigelsen forventes udmøntet i et krav om, at en ud-
peget operatør, skal være certificeret af et akkrediteret certi-
ficeringsorgan i henhold til en internationalt anerkendt stan-
dard vedrørende sikkerheden i net- og informationssyste-
mer. Internationalt anerkendte standarder for sikkerheden i
net- og informationssystemer er udtryk for, at man på inter-
nationalt plan er blevet enige om et niveau for, hvad der for-
stås ved passende foranstaltninger i relation til styring af ri-
siciene og forebyggelse og minimering af konsekvenserne
ved en hændelse sikkerheden i net- og informationssyste-
mer.
Operatøren dokumenterer med certificeringen over for
transport-, bygnings- og boligministeren, at operatøren i for-
hold til en international anerkendt standard har truffet pas-
sende og forholdsmæssige tekniske og organisatoriske for-
anstaltninger for at styre risiciene og forebygge og minimere
14
konsekvenserne ved en hændelse, hvilket kræves efter de
foreslåede stk. 1 og 2.
Certificeringen tjener som dokumentation for overholdelse
af kravene i loven.
Med kravet om certificering leves der endvidere op til di-
rektivets krav i artikel 15 om dokumentation for den fakti-
ske gennemførelse af operatørens sikkerhedspolitikker ved
en kvalificeret auditør, som i dette tilfælde vil være det ak-
krediterede certificeringsorgan.
Der vil i reglerne blive lagt op til, at operatøren som ud-
gangspunkt selv kan beslutte, hvilken internationalt aner-
kendt standard for sikkerheden i net- og informationssyste-
mer, der skal ligge til grund for certificeringen. Det kan
f.eks. være standarder, der er udarbejdet af den Internationa-
le Organisation for Standardisering (ISO), eller harmonise-
rede europæiske standarder. Ved operatørens valg af infor-
mationssikkerhedsstandard kan operatøren se på, om stan-
darden tager udgangspunkt i den enkelte operatørs risiko-
profil og sikrer implementering af netop de sikkerhedsforan-
staltninger og kontrolprocedurer, der er passende for den en-
kelte operatør.
Brugen af standarder fremgår i øvrigt af direktivets artikel
19, hvor medlemsstaterne tilskyndes til at benytte europæ-
iske eller internationalt anderkendte standarder og specifika-
tioner, der er relevante for at styre risiciene for sikkerheden i
net- og informationssystemer og for at sikre en konvergeren-
de gennemførelse af direktivets krav om, at operatører af
væsentlige tjenester træffer passende og forholdsmæssige
foranstaltninger. I det omfang, der fra EU’s side på et senere
tidspunkt måtte blive stillet krav om anvendelse af en vis
nærmere defineret standard, herunder en harmoniseret stan-
dard, kan det blive nødvendigt at fastsætte nye regler herom
i medfør af denne bemyndigelsesbestemmelse.
I medfør af det foreslåede stk. 3, 3. pkt., kan ministeren
endelig fastsætte regler om de informationer, som transport-,
bygnings- og boligministeren skal modtage om valg af certi-
ficeringsordning.
Til § 5
Lovforslagets § 5 gennemfører dele af artikel 14 i NIS-di-
rektivet ved at forpligte operatørerne til at underrette trans-
port-, bygnings- og boligministeren og CSIRT i tilfælde af
hændelser med væsentlige konsekvenser for kontinuiteten af
de væsentlige tjenester, som operatørerne leverer.
Det følger af det foreslåede stk. 1, at operatører af væsent-
lige transporttjenester hurtigst muligt skal underrette trans-
port-, bygnings- og boligministeren og CSIRT om hændel-
ser, der har væsentlige konsekvenser for kontinuiteten af de
væsentlige transporttjenester, som de leverer. Operatøren
skal underrette myndighederne, så snart operatøren har de
nødvendige oplysninger til at konkludere, at hændelsen er
omfattet af underretningspligten. Der vil således være situa-
tioner, hvor operatøren tidligt i processen kan konstatere, at
der er tale om en underretningspligtig hændelse. Der vil
imidlertid også være situationer, hvor det først på et meget
sent tidspunkt i forløbet er muligt at konstatere, at der er tale
om en underretningspligtig hændelse, fordi det på trods af
de foranstaltninger, der er truffet, ikke har været muligt at
opdage hændelsen.
Underretningspligten er først opfyldt, når både transport-,
bygnings- og boligministeren og CSIRT har modtaget un-
derretningen. Forpligtelsen til at underrette såvel transport-,
bygnings- og boligministeren som CSIRT skal sikre, at
CSIRT kan varetage opgaverne med at sikre samarbejdet om
sikkerheden i net- og informationssystemer i EU.
Efter det foreslåede stk. 2 skal operatøren ved vurderingen
af, om en hændelse har væsentlige konsekvenser for konti-
nuiteten af de væsentlige transporttjenester, navnlig tage ne-
denstående tre kriterier i betragtning.
Det foreslåede kriterie nr. 1 er antallet af brugere, der be-
røres af afbrydelsen af den væsentlige transporttjeneste. An-
tallet af berørte brugere er et helt centralt kriterie, da et min-
dre nedbrud ikke vil have samme væsentlighed for kritiske
samfundsmæssige eller økonomiske aktiviteter.
Det foreslåede kriterie nr. 2 er hændelsens varighed. Hæn-
delsens forventede eller faktiske varighed er også helt cen-
tralt for vurderingen af effekten, da en længere varighed vil
have større effekt.
Det foreslåede kriterie nr. 3 er den geografiske udbredelse
med hensyn til det område, der er berørt af hændelsen. Den
geografiske udbredelse af hændelsen har betydning, da en
mindre geografisk udbredelse ikke vil have samme væsent-
lighed for kritiske samfundsmæssige eller økonomiske akti-
viteter.
Der vil med hjemmel i den foreslåede § 7, stk. 1, kunne
fastsættes nærmere regler om vurderingen af, om en hændel-
se er omfattet af underretningspligten, herunder en vægtning
af kriterierne.
Til § 6
Det fremgår af det foreslåede stk. 1, 1. pkt., at operatører
af øvrige transporttjenester på frivillig basis kan foretage un-
derretning til transport-, bygnings- og boligministeren og
CSIRT om hændelser, der har væsentlige konsekvenser for
udøvelsen af de transporttjenester, som de leverer.
Det foreslåede stk. 1, 1. pkt. gennemfører således NIS-di-
rektivets art. 20 ved at sikre, at de offentlige eller private en-
heder i transportsektoren, der er etableret i Danmark, og
som ikke er udpeget efter den foreslåede § 3, stk. 1, har ret
til at foretage underretninger om hændelser på frivillig basis.
En sådan frivillig underretning giver myndighederne bedre
mulighed for at opbygge viden om hændelser i transportsek-
toren, hvilket kan udgøre værdifulde bidrag til at danne et
klarere sektorspecifikt trusselsbillede.
En operatør på transportområdet, der ikke er forpligtet til
at underrette myndighederne om hændelser, skal foretage
samme vurdering efter forslagets § 5, stk. 2, som en under-
retningspligtig operatør, før der sker underretning.
Det fremgår af det foreslåede stk. 1, 2. pkt., at transport-,
bygnings- og boligministeren er forpligtet til at behandle fri-
villige underretninger på samme måde, som pligtmæssige
underretninger behandles. Hvis der opstår behov for at prio-
15
ritere mellem behandlingen af frivillige eller pligtmæssige
underretninger, bør ministeren prioritere pligtmæssige un-
derretninger først.
Til § 7
Efter den foreslåede bestemmelse kan transport-, bygnings-
og boligministeren fastsætte regler om underretninger efter
de foreslåede §§ 5 og 6, herunder fastsætte nærmere regler
om indholdet af en underretning, vurderingen af, om en
hændelse er omfattet af underretningspligten, vægtning af
kriterierne i det foreslåede § 5, stk. 2, samt om underretnin-
ger og anden skriftlig kommunikation til og fra ministeren
om nærmere bestemte forhold, som er omfattet af denne lov
eller regler udstedt i medfør heraf, skal foregå digitalt.
Det er hensigten med bestemmelsen, at der vil kunne fast-
sættes nærmere regler om indholdet af en underretning, her-
under hvilke oplysninger en underretning vil skulle indehol-
de, f.eks. kontaktoplysninger, konsekvenser af hændelsen og
de foranstaltninger, som operatøren har truffet eller vil træf-
fe til afværgelse af hændelsen. Derudover forventes det, at
operatøren vil skulle underrette om, hvorvidt hændelsen har
haft grænseoverskridende karakter og/eller har berørt flere
sektorer. Endelig vil der kunne fastsættes nærmere regler
om, hvorvidt en hændelse skal anses som værende omfattet
af indberetningspligten samt om vægtningen af kriterierne i
det foreslåede § 5, stk.2, herunder hvilke elementer i de en-
kelte kriterier, der skal tillægges særlig vægt.
Der vil endvidere kunne fastsættes nærmere regler om, at
underretninger og anden skriftlig kommunikation til og fra
ministeren om nærmere bestemte forhold, som er omfattet af
denne lov eller regler udstedt i medfør heraf, skal foregå di-
gitalt, herunder at underretningerne skal foregå på en given
digital platform i et nærmere bestemt format. På denne måde
sikres det, at der kan tages der højde for den udvikling, der
må forventes på området, f.eks. hvis det vurderes at være
nemmere for de underrettende operatører, at underretningen
kan ske digitalt.
Til § 8
Med den foreslåede § 8 gennemføres dele af artikel 14 i
NIS-direktivet.
Med bestemmelsen foreslås det, at transport-, bygnings-
og boligministeren kan videregive oplysninger til CSIRT
om hændelser, der er nødvendige for CSIRT til opfyldelse af
dets lovbestemte opgaver som nationalt centralt kontakt-
punkt og CSIRT.
Formålet med bestemmelsen er at sikre, at Center for Cy-
bersikkerhed, i dets rolle som nationalt centralt kontaktpunkt
og CSIRT, får adgang til oplysninger om hændelser, der er
nødvendige for at opfylde dets lovbestemte rolle. Det om-
handler eksempelvis oplysninger om hændelser, som efter
Center for Cybersikkerheds vurderinger, har væsentlige
konsekvenser for andre europæiske medlemsstater. Bestem-
melsen skal anvendes i overensstemmelse med forvaltnings-
lovens § 28 og under iagttagelse af de grundlæggende prin-
cipper om saglighed og proportionalitet.
Til § 9
Med den foreslåede § 9 gennemføres NIS-direktivets arti-
kel 14, stk. 6.
Med stk. 1 foreslås det, at transport-, bygnings- og bolig-
ministeren efter høring af den underrettende operatør kan
oplyse offentligheden om konkrete hændelser, hvis offent-
lighedens kendskab hertil er nødvendigt for at forebygge en
hændelse eller håndtere en igangværende hændelse.
Forslaget om offentliggørelse af oplysninger om hændel-
ser, som ovenfor beskrevet, er udarbejdet med baggrund i de
anbefalinger, som fremgår af Justitsministeriets betænkning
nr. 1516/2010 om offentlige myndigheders offentliggørelse
af kontrolresultater, afgørelser m.v. I betænkningen anbefa-
les det, at der inden indførelse af ordninger med systematisk
offentliggørelse af oplysning om kontrolresultater, afgørel-
ser m.v. på internettet i ikke-anonymiseret form foretages en
vurdering af det konkrete behov for offentliggørelse, om of-
fentliggørelse kan forventes konkret at være særligt indgri-
bende for personen, om der er tungtvejende samfundsmæssi-
ge hensyn bag offentliggørelsesordningen, om offentliggø-
relse strider mod de gældende databeskyttelsesretlige regler
og de almindelige regler om tavshedspligt, og om der af
retssikkerhedsmæssige grunde er opstillet administrative
regler for forvaltningsmyndighedens behandling af de enkel-
te sager.
Offentliggørelse vil imidlertid alene kunne gennemføres
efter høring af den operatør, som har foretaget underretnin-
gen om en hændelse, og transport-, bygnings- og boligmini-
steren vil foretage en afvejning af på den ene side offentlig-
hedens interesse i at blive informeret om trusler m.v. som en
hændelse udgør, og på den anden side operatørens evt. øn-
sker om at tilbageholde visse oplysninger af hensyn til f.eks.
mulig kommerciel skade samt skade for omdømmet for den
pågældende operatør. Det vil særligt være i offentlighedens
interesse at få oplysninger om en hændelse, som kan have
betydning for at forebygge en gentagelse af hændelsen eller
kan bidrage i forbindelse med håndtering af en igangværen-
de hændelse.
Transport-, bygnings- og boligministeren vil alene offent-
liggøre navnet på den berørte operatør, såfremt transport-,
bygnings- og boligministeren vurderer, at det er nødvendigt
for at forebygge eller håndtere en igangværende hændelse.
Såfremt det samme resultat kan nås med en anonymiseret
offentliggørelse, som alene omfatter den konkrete hændelse,
vil dette prioriteres.
I tilfælde, hvor en hændelse berører flere sektorer, bør ori-
enteringen af offentligheden foretages af CSIRT i koordina-
tion med transport-, bygnings- og boligministeren.
CSIRT’s adgang til at offentliggøre hændelser reguleres i
reglerne, der implementerer NIS-direktivet for CSIRT. Som
anført i bemærkningerne til den foreslåede § 2, nr. 6, er det i
Danmark Center for Cybersikkerhed, der fremover vil vare-
tage funktionen som CSIRT. Således er Center for Cyber-
sikkerheds adgang til at offentliggøre hændelser, herunder
hændelser fra andre sektorer, reguleret i forsvarsministerens
lov vedrørende internetudvekslingspunkter.
16
Det foreslås i stk. 2, at oplysninger til offentligheden efter
det foreslåede stk. 1 ikke må indeholde nedenstående oplys-
ninger.
Det foreslås med nr. 1, at oplysninger til offentligheden
ikke må omfatte tekniske indretninger, fremgangsmåder,
drifts- og forretningsforhold el. lign. for så vidt den under-
rettende operatør gør gældende, at disse oplysninger har væ-
sentlig forretningsmæssig betydning for operatøren. Hensy-
net med dette er at yde en beskyttelse af forretningsfølsom-
me oplysninger.
Det foreslås med nr. 2, at oplysninger til offentligheden
ikke omfatter, hvad der af transport-, bygnings- og boligmi-
nisteren vurderes at være af væsentlig betydning for statens
sikkerhed eller rigets forsvar.
Det foreslås med nr. 3, at oplysninger til offentligheden
ikke omfatter fortrolige informationer.
Det foreslås med nr. 4, at oplysninger til offentligheden
ikke omfatter enkeltpersoners forhold.
Offentliggørelsen må under alle omstændigheder ikke in-
deholde fortrolige oplysninger omfattet af § 27, stk. 1, i for-
valtningsloven.
I tilfælde, hvor der er tale om behandling af personhenfør-
bare oplysninger, vil lovgivningen for databeskyttelse, jf.
lov nr. 429 af 31. maj 2000 om behandling af personoplys-
ninger med senere ændringer samt regler udstedt i medfør
heraf, finde tilsvarende anvendelse. Reglerne i databeskyt-
telsesforordningen, jf. forordning (EU) 2016/679 af 27. april
2016, vil finde anvendelse, når disse får virkning den 25.
maj 2018.
Til § 10
Denne bestemmelse gennemfører dele af NIS-direktivets
artikel 15 og har til formål at sikre, at der føres et tilsyn
med, at operatørerne af væsentlige tjenester overholder lo-
vens regler om sikkerhed i net- og informationssystemer. Til
brug for tilsynet har transport-, bygnings- og boligministe-
ren mulighed for at anmode om de oplysninger, der er nød-
vendige for at vurdere, om sikkerheden i net- og informati-
onssystemerne lever op til de krav, der følger af denne lov
eller regler udstedt i medfør af loven.
I stk. 1 foreslås det, at transport-, bygnings- og boligmini-
steren fører tilsyn med, at en operatør af en væsentlig trans-
porttjeneste overholder denne lov samt regler udstedt i med-
før heraf. Til brug for tilsynet skal operatører af væsentlige
tjenester på anmodning fra transport-, bygnings- og boligmi-
nisteren afgive de oplysninger, der er nødvendige for tilsy-
net.
Som nævnt er det forventningen, at operatører af væsentli-
ge transporttjenester i transportsektoren kan opfylde kravene
om at træffe passende foranstaltninger, jf. den foreslåede §
4, ved at lade sig certificere. Ved en sådan certificering do-
kumenterer operatørernes efterlevelse i overensstemmelse
med en internationalt anerkendt standard for styring af net-
og informationssikkerhed. De certificerende organer vil –
for at der skal være vished om deres faglige kompetencer på
området – af samme grund skulle have den nødvendige ak-
kreditering af et akkrediteringsorgan. Der henvises til afsnit
2.1.2.2 i de almindelige bemærkninger.
Transport-, bygnings- og boligministerens tilsyn, som for-
ventes delegeret til Trafik-, Bygge- og Boligstyrelsen, vil så-
ledes primært bestå i løbende at verificere, at den enkelte
udpegede operatør opretholder sin certificering. Dertil kom-
mer, at styrelsen vil afholde de nødvendige møder med det
certificerende organ. Det vil være det certificerende organ,
der med sin certificering af operatøren giver sikkerhed for,
at de nødvendige foranstaltninger til at forhindre, forebygge
og håndtere hændelser i operatørens udpegede net- og infor-
mationssystemer, er på plads.
Efter det foreslåede stk. 2 kan transport-, bygnings- og bo-
ligministeren påbyde, at forhold, der strider mod de foreslå-
ede §§ 4 og 5 og de regler, der er fastsat i medfør af loven,
samt EU-forordninger på net- og informationssikkerheds-
området på transportområdet, bringes i orden straks eller in-
den en nærmere angivet frist. Bestemmelsen implementerer
NIS-direktivets artikel 15, stk. 3.
Påbudsbestemmelsen skal anvendes med henblik på at
sikre, at operatørerne opfylder bestemmelserne i loven, be-
kendtgørelser udstedt i medfør heraf samt EU-forordninger
på net- og informationssikkerhedsområdet på transportområ-
det.
For så vidt angår påbud om at bringe forhold, der strider
mod loven, i orden tænkes blandt andet på forpligtelsen i
medfør af det foreslåede § 5, stk. 1, til hurtigst muligt at un-
derrette transport-, bygnings- og boligministeren og CSIRT
om hændelser, der har væsentlige konsekvenser for kontinu-
iteten af de væsentlige transporttjenester, som de leverer,
forpligtelsen i medfør af det foreslåede § 4, stk. 1, til at træf-
fe passende og forholdsmæssige tekniske og organisatoriske
foranstaltninger for at styre risiciene for sikkerheden i net-
og informationssystemer, som de anvender til den del af de-
res aktiviteter, hvor en hændelse vil få væsentlig forstyrren-
de virkning for leveringen af den nævnte transporttjeneste,
og forpligtelsen i medfør af det foreslåede § 4, stk. 2, til at
træffe passende foranstaltninger for at forebygge og mini-
mere konsekvensen af hændelser, der kan have en negativ
indvirkning på de net- og informationssystemer, som anven-
des til levering af en væsentlig transporttjeneste.
Derudover tænkes for så vidt angår påbud om at bringe
forhold, der strider mod regler fastsat i medfør af loven, i or-
den, blandt andet på mulighed for at give udpegede operatø-
rer, der ikke har ladet sig certificere i overensstemmelse
med en internationalt anerkendt standard for styring af net-
og informationssikkerhed, påbud om at lade sig certificere,
hvis der er stillet krav herom.
Endelig tænkes for så vidt angår påbud om at bringe for-
hold, der strider mod EU-forordninger, i orden, på fremtidi-
ge EU-forordninger på net- og informationssikkerhedsområ-
det på transportområdet.
Efter det foreslåede stk. 3 kan transport-, bygnings- og bo-
ligministeren fastsætte nærmere regler om det tilsyn, der
skal føres med overholdelse af loven samt med de regler,
der er udstedt i medfør af loven.
17
Området er i løbende udvikling, hvorfor det er sandsyn-
ligt, at behovet for at kunne fastsætte regler om tilsynet vil
kunne ændre sig. Bestemmelsen kan blandt andet anvendes
til at fastsætte regler om, hvor ofte operatørerne skal frem-
sende dokumentation for certificering og det tilsyn, der føres
med underretningerne.
Til § 11
Med den foreslåede bestemmelse kan transport-, byg-
nings- og boligministeren fastsætte regler, som er nødvendi-
ge for at gennemføre de direktiver, som Den Europæiske
Union udsteder vedrørende sikkerhed i net- og informations-
systemer på transportområdet, herunder regler om tilsyn, på-
bud m.v., eller som er nødvendige for at anvende de forord-
ninger, som Den Europæiske Union udsteder vedrørende
sikkerhed i net- og informationssystemer på transportområ-
det.
Formålet med bestemmelsen er at sikre en smidig og dy-
namisk adgang til at foretage løbende tilpasninger til et rets-
område, som må forventes at være under kraftig udvikling
den kommende tid.
Det er hensigten, at bestemmelsen hovedsageligt skal an-
vendes til administrativ implementering af EU-direktiver. Al
implementering, som typisk vil blive gennemført ved be-
kendtgørelser, på grundlag af den foreslåede bestemmelse,
vil blive gennemført inden for rammerne af gældende lov-
givning. Det betyder, at transport-, bygnings- og boligmini-
steren ikke administrativt vil kunne gennemføre implemen-
tering af EU-retsakter, hvis en sådan implementering vil
stride mod gældende lovgivning. I den situation vil der for-
ud for implementeringens gennemførelse blive foretaget
nødvendige tilpasninger af gældende ret, som sikrer konfor-
mitet med EU-retten. Der vil med andre ord blive fremsat
nødvendige lovforslag herom for Folketinget.
Hensynet bag den foreslåede generelle bemyndigelsesbe-
stemmelse er således hovedsageligt, at transport-, bygnings-
og boligministeren administrativt vil kunne implementere
EU-regler af f.eks. mere teknisk karakter, der ikke strider
mod gældende lovgivning, og som – under hensyntagen til
EU-reglernes indholdsmæssige væsentlighed – ikke kan be-
rettige implementering via Folketingets lovbehandling.
Til § 12
Efter det foreslåede stk. 1 kan transport-, bygnings- og bo-
ligministeren bemyndige Trafik-, Bygge- og Boligstyrelsen
eller andre statslige myndigheder til at udøve ministerens
beføjelser efter denne lov.
Bestemmelsen fastslår hermed hensigten om, at transport-,
bygnings- og boligministeren delegerer de opgaver og befø-
jelser, som er tillagt ministeren efter dette lovforslag, til Tra-
fik-, Bygge- og Boligstyrelsen, ligesom beføjelserne efter
bestemmelsen også ville kunne delegeres til en anden stats-
lig myndighed i det omfang, at det vil være relevant. Der er
tale om et meget teknisk og fagligt tungt område, som mest
hensigtsmæssigt lader sig varetage af Trafik-, Bygge- og
Boligstyrelsen, der på en række områder allerede varetager
lignende opgaver. Det forventes, at delegation af ministe-
rens beføjelser vil blive indarbejdet i den delegationsbe-
kendtgørelse for Trafik-, Bygge- og Boligstyrelsens opga-
ver, der løbende revideres og udstedes af ministeren.
Efter det foreslåede stk. 2 kan transport-, bygnings- og bo-
ligministeren fastsætte regler om adgangen til at klage over
afgørelser, der træffes i henhold til denne lov eller forskrif-
ter udstedt i medfør heraf, herunder om klagefrister samt af-
skæring af klageadgang.
Muligheden for at afskære klageadgangen er begrundet i,
at de afgørelser, som Trafik-, Bygge- og Boligstyrelsen
kommer til at træffe efter ministerens delegation, vil være af
en udpræget teknisk karakter, som forudsætter betydelig
indsigt i området. Departementet har ikke de faglige forud-
sætninger for at kunne vurdere de meget tekniske forhold,
som karakteriserer dette retsområde, hvorfor rekursadgang
er uhensigtsmæssig. Departementet vil ikke kunne foretage
en realitetsbehandling af eventuelle klager over Trafik-,
Bygge- og Boligstyrelsens beslutning om offentliggørelse
efter § 9, idet beslutningen er udtryk for faktisk forvalt-
ningsvirksomhed.
Bestemmelsen berører dog ikke den almindelige adgang
til at få prøvet afgørelser ved domstolene, jf. grundlovens §
63.
Til § 13
Efter den foreslåede § 13 gennemføres artikel 21 i NIS-di-
rektivet, der forpligter medlemsstaterne til at fastsætte sank-
tioner for overtrædelse af de nationale regler, der vedtages i
medfør af NIS-direktivet. Der stilles krav om, at sanktioner-
ne skal være effektive, stå i et rimeligt forhold til overtræ-
delsen og have præventiv virkning.
Det fremgår af det foreslåede stk. 1, at medmindre stren-
gere straf er forskyldt efter anden lovgivning, straffes med
bøde den, der undlader at følge et af nedenstående to for-
hold.
Forhold nr. 1 er, at transport-, bygnings- og boligministe-
ren og CSIRT hurtigst muligt underrettes om hændelser, der
har væsentlige konsekvenser for kontinuiteten af de væsent-
lige transporttjenester, som de leverer. Hensynet bag be-
stemmelsen er, at motivere operatørerne til at underrette om
hændelser, der kan have væsentlige konsekvenser for konti-
nuiteten af de væsentlige transporttjenester. Ud over at sikre
myndighedernes kendskab til hændelser, der kan have be-
tydning for den underrettende operatørs transporttjenester,
kan underretningerne også have betydning for hele sektoren
eller på tværs af sektorer. Ved vurderingen af, om en under-
retning er sket hurtigst muligt, er det afgørende, at der læg-
ges vægt på, hvornår det tidligst har været muligt for opera-
tøren at vurdere, om der reelt var tale om en underretnings-
pligtig hændelse.
Forhold nr. 2 er, at transport-, bygnings- og boligministe-
rens påbud udstedt i henhold til det foreslåede § 10, stk. 2,
regler fastsat i medfør af loven eller EU-forordninger vedrø-
rende net- og informationssikkerhed på transportområdet,
efterkommes. Formålet hermed er at sikre en efterlevelse af
transport-, bygnings- og boligministerens påbud til gavn for
net- og informationssikkerheden i transportsektoren.
18
Med stk. 2 foreslås det, at der i regler, der fastsættes i
medfør af loven, kan fastsættes straf i form af bøde.
Transport-, bygnings- og boligministeren bemyndiges så-
ledes med det foreslåede stk. 2 til at fastsætte regler om bø-
destraf for overtrædelse af forskrifter, som udstedes med
hjemmel i dette lovforslag, herunder også for undladelse af
at efterkomme påbud udstedt i medfør af forskrifterne.
Således påtænkes i forskrifter, der udstedes i medfør af lo-
ven, fastsat bødestraf til udpegede operatører for at undlade
at efterkomme påbud om at lade sig certificere i overens-
stemmelse med en internationalt anerkendt standard for sty-
ring af net- og informationssikkerhed.
Efter det foreslåede stk. 3 kan der pålægges selskaber m.v.
(juridiske personer) strafansvar efter reglerne i straffelovens
5. kapitel.
Sammenholdt med det foreslåede stk. 2 indebærer bestem-
melsen, at der også i regler, som udstedes i medfør af loven,
kan fastsættes regler, der pålægger juridiske personer straf-
ansvar.
Til § 14
Efter den foreslåede § 14 træder loven i kraft den 10. maj
2018.
Loven med de til loven forudsatte bekendtgørelser skal se-
nest træde i kraft den 10. maj 2018, da det er medlemsstater-
nes gennemførelsesfrist efter NIS-direktivets artikel 25, stk.
1.
Til § 15
Efter den foreslåede § 15 gælder loven ikke for Færøerne
og Grønland, men kan ved kongelig anordning helt eller del-
vis sættes i kraft for Færøerne og Grønland med de ændrin-
ger, som de henholdsvis færøske og grønlandske forhold til-
siger.
19