Fremsat den 7. februar 2018 af erhvervsministeren (Brian Mikkelsen)

Fremsat den 7. februar 2018 af erhvervsministeren (Brian Mikkelsen)
Forslag
til
Lov om net- og informationssikkerhed for domænenavnssystemer og visse
digitale tjenester1)
Kapitel 1
Anvendelsesområde og definitioner
§ 1. Loven finder anvendelse på operatører af væsentlige
tjenester inden for digital infrastruktur og udbydere af digi-
tale tjenester, jf. dog stk. 2.
Stk. 2. Loven finder ikke anvendelse på udbydere af digi-
tale tjenester i form af mikrovirksomheder eller små virk-
somheder.
§ 2. I denne lov forstås ved:
1) Net- og informationssystem:
a) Elektronisk kommunikationsnet i form af radio-
frekvens- eller kabelbaseret teleinfrastruktur, der
anvendes til formidling af tjenester,
b) enhver anordning eller gruppe af indbyrdes for-
bundne eller beslægtede anordninger, hvoraf en
eller flere ved hjælp af et program udfører auto-
matisk behandling af digitale data, eller
c) digitale data, som lagres, behandles, fremfindes
eller overføres af elementer i litra a og b med hen-
blik på deres drift, brug, beskyttelse og vedlige-
holdelse.
2) Sikkerhed i net- og informationssystemer: Evnen for
net- og informationssystemer til, på et givet sikker-
hedsniveau, at modstå handlinger, der er til skade for
tilgængeligheden, autenticiteten, integriteten eller for-
troligheden i forbindelse med lagrede eller overførte
eller behandlede data eller de dermed forbundne tje-
nester, der tilbydes af eller er tilgængelige via disse
net- og informationssystemer.
3) Operatør af tjenester: En offentlig eller privat enhed
etableret i Danmark, der leverer en DNS-tjeneste eller
er administrator af et topdomænenavn.
4) Operatør af væsentlige tjenester: En offentlig eller pri-
vat enhed etableret i Danmark, der leverer en DNS-
tjeneste eller er administrator af et topdomænenavn,
og som opfylder kriterierne fastsat i § 3.
5) Digital tjeneste: Enhver tjeneste, der normalt ydes
mod betaling, og som teleformidles ad elektronisk vej
på individuel anmodning fra en tjenestemodtager, og
som er af typen onlinemarkedsplads, onlinesøgema-
skine eller cloud computing-tjeneste.
6) Udbyder af digitale tjenester: Enhver juridisk person,
som udbyder en digital tjeneste, og som har hovedsæ-
de eller en repræsentant i Danmark.
7) Hændelse: Enhver begivenhed, der har en egentlig ne-
gativ indvirkning på sikkerheden i net- og informati-
onssystemer.
8) Risiko: Enhver rimelig identificerbar omstændighed
eller begivenhed, der har en potentiel negativ indvirk-
ning på sikkerheden i net- og informationssystemer.
9) Repræsentant: Enhver fysisk eller juridisk person, der
er etableret i EU, og som udtrykkeligt er udpeget til at
handle på vegne af en udbyder af digitale tjenester,
som ikke er etableret i EU.
10) Domænenavnesystem (DNS): Et hierarkisk opbygget
navnesystem i et net, som behandler forespørgsler om
domænenavne.
11) DNS-tjenesteudbyder: En enhed, som leverer DNS-
tjenester på internettet.
12) Topdomænenavneadministrator: En enhed, som admi-
nistrerer og driver registreringen af internetdomæne-
navne under et særligt topdomæne (TLD).
13) Onlinemarkedsplads: En digital tjeneste, som giver
forbrugere eller erhvervsdrivende mulighed for at ind-
gå aftaler om køb eller tjenester online med erhvervs-
drivende enten på onlinemarkedspladsens websted el-
1) Loven indeholder bestemmelser, der gennemfører dele af Europa-Parlamentets og Rådets direktiv 2016/1148/EU af 6. juli 2016 om foranstaltninger, der
skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen, EU-Tidende 2016, nr. L 194, side 1.
Lovforslag nr. L 144 Folketinget 2017-18
Erhvervsmin.,
Erhvervsstyrelsen, j.nr. 2018-2074
CQ000421
ler på et websted tilhørende en erhvervsdrivende, som
anvender computing-tjenester, der udbydes af online-
markedspladsen.
14) Onlinesøgemaskine: En digital tjeneste, som giver
brugerne mulighed for at foretage søgninger på alle
websteder eller websteder på et bestemt sprog på
grundlag af en forespørgsel om et hvilket som helst
emne ved hjælp af et søgeord, en sætning eller andet
input, og som fremviser links, hvor der kan findes op-
lysninger om det ønskede indhold.
15) Cloud computing-tjeneste: En digital tjeneste, som gi-
ver adgang til en skalerbar og elastisk pulje af delbare
it-ressourcer.
16) Nationalt centralt kontaktpunkt: En national kompe-
tent enhed med ansvar for at koordinere spørgsmål
vedrørende sikkerheden i net- og informationssyste-
mer samt grænseoverskridende samarbejde i EU her-
om.
17) CSIRT: En national it-beredskabsenhed, der håndterer
hændelser, og som har ansvar for at sikre samarbejdet
om sikkerheden i net- og informationssystemer i EU.
18) Mikrovirksomheder og små virksomheder: Enheder,
som opfylder definitionen som værende mikrovirk-
somheder eller små virksomheder i Kommissionens
henstilling 2003/361/EF af 6. maj 2003 om definitio-
nen af mikrovirksomheder, små og mellemstore virk-
somheder.
Kapitel 2
Operatører af væsentlige tjenester
§ 3. En enhed skal betragtes som en operatør af en væ-
sentlig tjeneste, hvis
1) enheden leverer en tjeneste, der er væsentlig for opret-
holdelsen af kritiske samfundsmæssige eller økonomi-
ske aktiviteter,
2) leveringen af tjenesten afhænger af net- og informati-
onssystemer, og
3) en hændelse vil få væsentlige forstyrrende virkninger
for leveringen af tjenesten.
Stk. 2. Erhvervsministeren udarbejder og opdaterer en lis-
te over væsentlige tjenester.
Stk. 3. Erhvervsministeren kan fastsætte nærmere regler
for afgrænsningen af kriterierne i stk. 1.
§ 4. Operatører af væsentlige tjenester skal træffe passen-
de og forholdsmæssige tekniske og organisatoriske foran-
staltninger for at styre risiciene for sikkerheden i net- og in-
formationssystemer, som de anvender til deres aktiviteter.
Under hensyntagen til teknologiens aktuelle stade skal disse
foranstaltninger sikre et sikkerhedsniveau for net- og infor-
mationssystemer, der står mål med risikoen.
Stk. 2. Operatører af væsentlige tjenester skal træffe pas-
sende foranstaltninger for at forebygge og minimere konse-
kvensen af hændelser, der berører sikkerheden i net- og in-
formationssystemer, som anvendes til levering af væsentlige
tjenester, med henblik på at sikre kontinuiteten i disse tjene-
ster.
Stk. 3. Erhvervsministeren kan fastsætte nærmere regler
om foranstaltninger efter stk. 1 og 2.
§ 5. Operatører af væsentlige tjenester skal hurtigst muligt
underrette Erhvervsstyrelsen og Center for Cybersikkerhed
om hændelser, der har væsentlige konsekvenser for kontinu-
iteten af de væsentlige tjenester, som de leverer. Underret-
ningen skal indeholde oplysninger, der gør det muligt for
Erhvervsstyrelsen og Center for Cybersikkerhed at fastslå
eventuelle grænseoverskridende konsekvenser af hændelsen.
Stk. 2. Med henblik på at fastlægge omfanget af en hæn-
delses konsekvenser efter stk. 1, skal operatøren navnlig
inddrage følgende kriterier:
1) Antallet af brugere, der berøres af afbrydelsen af den
væsentlige tjeneste.
2) Hændelsens varighed.
3) Den geografiske udbredelse med hensyn til det område,
der er berørt af hændelsen.
Stk. 3. Er en operatørs levering af en væsentlig tjeneste af-
hængig af en tredjepartsudbyder af digitale tjenester, skal
operatøren underrette Erhvervsstyrelsen og Center for Cy-
bersikkerhed om alle de væsentlige konsekvenser for den
væsentlige tjenestes kontinuitet, som følger af en hændelse
hos den pågældende udbyder.
Stk. 4. Erhvervsministeren kan fastsætte nærmere regler
om underretning efter stk. 1 og 3, og om kriterierne for fast-
læggelse af omfanget af en hændelses konsekvenser efter
stk. 2.
§ 6. Erhvervsstyrelsen kan videregive oplysninger til Cen-
ter for Cybersikkerhed om hændelser, der er nødvendige for
Center for Cybersikkerhed til opfyldelse af dets lovbestemte
opgaver som nationalt centralt kontaktpunkt og CSIRT.
Stk. 2. Erhvervsstyrelsen kan videregive relevante oplys-
ninger til den underrettende operatør af væsentlige tjenester
om opfølgningen på underretningen, herunder oplysninger
der kan støtte en effektiv håndtering af hændelsen.
Stk. 3. Erhvervsstyrelsen kan efter høring af den underret-
tende operatør af væsentlige tjenester oplyse offentligheden
om konkrete hændelser, hvis offentlighedens kendskab her-
til er nødvendigt for at forebygge en hændelse eller håndtere
en igangværende hændelse.
Kapitel 3
Udbydere af digitale tjenester
§ 7. En udbyder af en digital tjeneste, der ikke har hoved-
sæde i EU, men som tilbyder sin tjeneste i Danmark, skal
udpege en repræsentant i Danmark eller i et andet EU-land,
hvor tjenesten tilbydes.
§ 8. Udbydere af digitale tjenester skal identificere og
træffe passende og forholdsmæssige tekniske og organisato-
riske foranstaltninger for at styre risiciene i forhold til sik-
kerheden i de net- og informationssystemer, som de anven-
der i forbindelse med tjenesten. Under hensyntagen til tek-
nologiens aktuelle stade skal disse foranstaltninger sikre et
sikkerhedsniveau for net- og informationssystemer, der står i
mål med risikoen. Udbyderen skal i den forbindelse inddra-
ge følgende elementer:
2
1) Sikkerheden i systemer og faciliteter.
2) Håndtering af hændelser.
3) Styring af driftskontinuitet.
4) Monitorering, audit og testning.
5) Overholdelse af internationale standarder.
Stk. 2. Udbydere af digitale tjenester skal træffe foran-
staltninger for at forebygge og minimere konsekvensen af
hændelser, der berører sikkerheden i deres net- og informati-
onssystemer for at sikre kontinuiteten i disse tjenester.
Stk. 3. Erhvervsstyrelsen kan fastsætte nærmere regler om
foranstaltninger efter stk. 1 og 2.
§ 9. Udbydere af digitale tjenester skal hurtigst muligt un-
derrette Erhvervsstyrelsen og Center for Cybersikkerhed om
enhver hændelse, der har betydelige konsekvenser for leve-
ringen af deres tjeneste. Underretningen skal indeholde op-
lysninger, der gør det muligt for Erhvervsstyrelsen og Cen-
ter for Cybersikkerhed at vurdere de eventuelle grænseover-
skridende konsekvenser ved hændelsen, jf. dog stk. 3.
Stk. 2. Med henblik på at fastlægge, om en hændelses
konsekvenser er betydelige, skal udbyderen navnlig inddra-
ge følgende kriterier:
1) Antallet af brugere, der berøres af hændelsen, navnlig
brugere, som er afhængige af tjenesten med henblik på
levering af deres egne tjenester.
2) Hændelsens varighed.
3) Den geografiske udbredelse med hensyn til det område,
der er berørt af hændelsen.
4) Omfanget af afbrydelsen af tjenestens funktion.
5) Omfanget af konsekvenserne for økonomiske og sam-
fundsmæssige aktiviteter.
Stk. 3. Underretning efter stk. 1 skal kun ske, i det omfang
udbyderen af digitale tjenester har adgang til relevante op-
lysninger, herunder oplysninger omfattet af stk. 2.
Stk. 4. Erhvervsstyrelsen kan fastsætte nærmere regler om
underretning efter stk. 1 og 3, og om kriterierne for fastlæg-
gelse af omfanget af en hændelses konsekvenser efter stk. 2.
§ 10. Erhvervsstyrelsen kan videregive oplysninger til
Center for Cybersikkerhed om hændelser, der er nødvendige
for Center for Cybersikkerhed til opfyldelse af dets lovbe-
stemte opgaver som nationalt centralt kontaktpunkt og
CSIRT.
Stk. 2. Erhvervsstyrelsen kan efter høring af udbyderen af
digitale tjenester oplyse offentligheden om konkrete hændel-
ser eller kræve, at udbyderen af digitale tjenester offentlig-
gør det, hvis offentlighedens kendskab hertil er nødvendigt
for at forebygge en hændelse eller håndtere en igangværen-
de hændelse, eller hvis offentliggørelse i øvrigt er i offent-
lighedens interesse.
Kapitel 4
Kommunikation
§ 11. Erhvervsstyrelsen kan fastsætte regler om, at skrift-
lig kommunikation til og fra styrelsen om forhold, som er
omfattet af denne lov eller af regler udstedt i medfør af den-
ne lov, skal foregå digitalt.
Stk. 2. Erhvervsstyrelsen kan fastsætte nærmere regler om
digital kommunikation, herunder om anvendelse af bestemte
it-systemer, særlige digitale formater og digital signatur
el.lign.
Stk. 3. En digital meddelelse anses for at være kommet
frem, når den er tilgængelig for adressaten for meddelelsen.
§ 12. Erhvervsstyrelsen kan fastsætte regler om, at styrel-
sen kan udstede afgørelser og andre dokumenter efter denne
lov eller efter regler udstedt i medfør af denne lov uden un-
derskrift, med maskinelt eller på tilsvarende måde gengivet
underskrift eller under anvendelse af en teknik, der sikrer
entydig identifikation af den, som har udstedt afgørelsen el-
ler dokumentet. Sådanne afgørelser og dokumenter sidestil-
les med afgørelser og dokumenter med personlig under-
skrift.
§ 13. Hvor det efter denne lov eller regler udstedt i med-
før af denne lov er krævet, at et dokument, som er udstedt af
andre end Erhvervsstyrelsen, skal være underskrevet, kan
dette krav opfyldes ved anvendelse af en teknik, der sikrer
entydig identifikation af den, som har udstedt dokumentet,
jf. dog stk. 2. Sådanne dokumenter sidestilles med doku-
menter med personlig underskrift.
Stk. 2. Erhvervsstyrelsen kan fastsætte nærmere regler om
fravigelse af underskriftskrav. Det kan herunder bestemmes,
at krav om personlig underskrift ikke kan fraviges for visse
typer af dokumenter.
Kapitel 5
Tilsyn, påbud, offentliggørelse og klage
§ 14. Erhvervsstyrelsen fører tilsyn med overholdelsen af
denne lov og de regler, der er udstedt i medfør af loven.
Stk. 2. Erhvervsstyrelsen kan kræve, at operatører af tje-
nester og udbydere af digitale tjenester afgiver de oplysnin-
ger, der er nødvendige for styrelsens tilsyn efter denne lov.
Stk. 3. Erhvervsstyrelsen kan som led i sit tilsyn med ope-
ratører af væsentlige tjenester kræve dokumentation af ope-
ratørerne for den faktiske gennemførelse af sikkerhedspoli-
tikker.
Stk. 4. Erhvervsstyrelsen kan som led i sit tilsyn udstede
påbud til operatører af væsentlige tjenester og udbydere af
digitale tjenester om at afhjælpe mangler i opfyldelsen af de
krav, der fremgår af henholdsvis §§ 4-5 og §§ 7-9 og regler
som fastsættes i medfør af § 4, stk. 3, § 5, stk. 4, § 8, stk. 3
eller § 9, stk. 4.
§ 15. Erhvervsstyrelsen offentliggør på sin hjemmeside
helt eller delvis afgørelser efter § 14, stk. 4. Afgørelser ved-
rørende fysiske personer offentliggøres i anonymiseret form.
Stk. 2. Afgørelser vedrørende en juridisk person offentlig-
gøres med identiteten på den juridiske person, medmindre
offentliggørelsen af identiteten vil være til skade for en
igangværende strafferetlig efterforskning eller offentliggø-
relsen vil forvolde uforholdsmæssig stor skade, fx for den
juridiske person, afgørelsen vedrører, investorer eller andre.
Stk. 3. Anonymisering af identiteten på en juridisk person
sker efter 2 år regnet fra og med datoen for offentliggørelse.
3
§ 16. Erhvervsstyrelsens afgørelser efter § 14, stk. 2-4,
kan ikke indbringes for anden administrativ myndighed.
Kapitel 6
Straf
§ 17. Medmindre højere straf er forskyldt efter den øvrige
lovgivning, straffes med bøde den, der
1) undlader at efterkomme Erhvervsstyrelsens krav efter §
14, stk. 2 eller 3, eller
2) undlader at efterkomme Erhvervsstyrelsens påbud efter
§ 14, stk. 4.
Stk. 2. I regler, der udstedes i medfør af § 3, stk. 3, § 4,
stk. 3, § 5, stk. 4, § 8, stk. 3 eller § 9, stk. 4, kan der fastsæt-
tes straf af bøde.
Stk. 3. Der kan pålægges selskaber m.v. (juridiske perso-
ner) strafansvar efter reglerne i straffelovens 5. kapitel.
Kapitel 7
Ikrafttræden
§ 18. Loven træder i kraft den 10. maj 2018.
Kapitel 8
Ændringer i anden lovgivning
§ 19. I lov om finansiel virksomhed jf. lovbekendtgørelse
nr. 1140 af 26. september 2017, som bl.a. ændret ved § 1 i
lov nr. 667 af 8. juni 2017, § 1 i lov nr. 1547 af 19. decem-
ber 2017 og senest ved § 34 i lov nr. 1555 af 19. december
2017 foretages følgende ændringer:
1. I fodnoten til lovens titel ændres »og dele af Europa-Par-
lamentets og Rådets direktiv 2015/849/EU af 20. maj 2015
om forebyggende foranstaltninger mod anvendelse af det fi-
nansielle system til hvidvask af penge eller finansiering af
terrorisme, om ændring af Europa-Parlamentets og Rådets
forordning (EU) nr. 648/2012 og om ophævelse af Europa-
Parlamentets og Rådets direktiv 2005/60/EF samt Kommis-
sionens direktiv 2006/70/EF (4. hvidvaskdirektiv), EU-Ti-
dende 2015, nr. L 141, side 73« til: »dele af Europa-Parla-
mentets og Rådets direktiv 2015/849/EU af 20. maj 2015
om forebyggende foranstaltninger mod anvendelse af det fi-
nansielle system til hvidvask af penge eller finansiering af
terrorisme, om ændring af Europa-Parlamentets og Rådets
forordning (EU) nr. 648/2012 og om ophævelse af Europa-
Parlamentets og Rådets direktiv 2005/60/EF samt Kommis-
sionens direktiv 2006/70/EF (4. hvidvaskdirektiv), EU-Ti-
dende 2015, nr. L 141, side 73, og dele af Europa-Parlamen-
tets og Rådets direktiv 2016/1148/EU af 6. juli 2016 (NIS-
direktivet), EU-Tidende 2016, nr. L 194, side 1«
2. I § 71, stk. 2, indsættes som 2. pkt.:
»Finanstilsynet kan desuden fastsætte nærmere regler om
hændelsesrapportering for de virksomheder der udpeges
som operatører af væsentlige tjenester i medfør af § 307 a,
herunder om at Finanstilsynet og Center for Cybersikkerhed
underrettes ved en hændelse, der har en negativ indvirkning
på sikkerheden i virksomhedens net- og informationssyste-
mer.«
3. Efter afsnit VIII indsættes:
»Afsnit VIII a
Kapitel 18 a
Identifikation af operatører af væsentlige tjenester
§ 307 a. Finanstilsynet udpeger mindst hvert andet år de
penge- og realkreditinstitutter, der er operatører af væsentli-
ge tjenester.
Stk. 2. Finanstilsynet skal i forbindelse med udpegningen
efter stk. 1, lægge vægt på, at
1) de tjenester, der leveres, er væsentlige for opretholdel-
sen af kritiske samfundsmæssige eller økonomiske ak-
tiviteter,
2) leveringen af tjenesten afhænger af net- og informati-
onssystemer, og
3) en hændelse vil få væsentlige forstyrrende virkninger
for leveringen af tjenesten.
Stk. 3. Finanstilsynet kan fastsætte nærmere regler om ud-
pegning af operatører af væsentlige tjenester og de kriterier
Finanstilsynet kan lægge vægt på efter stk. 1 og 2. Finanstil-
synet udarbejder en liste over tjenester, jf. stk. 2, nr. 1.«
4. I § 354, stk. 6, indsættes som nr. 44:
»44) Center for Cybersikkerhed under forudsætning af at
oplysningerne er nødvendige for centeret til at opfylde
deres lovbestemte opgaver som nationalt centralt kon-
taktpunkt eller CSIRT.«
5. Efter § 354 g indsættes:
»§ 354 h. Finanstilsynet kan efter høring af den virksom-
hed, der underretter Finanstilsynet og Center for Cybersik-
kerhed om en hændelse, som har væsentlige konsekvenser
for kontinuiteten af de væsentlige tjenester, som de leverer,
orientere offentligheden om hændelsen, hvis offentlighedens
kendskab hertil er nødvendig for at forebygge eller håndtere
en igangværende hændelse. Offentliggørelsen må ikke inde-
holde fortrolige oplysninger om kundeforhold eller oplys-
ninger omfattet af § 30 i lov om offentlighed i forvaltningen.
Offentliggørelsen må ikke indeholde fortrolige oplysninger,
der hidrører fra finansielle tilsynsmyndigheder i andre lande
inden for eller uden for Den Europæiske Union, medmindre
de myndigheder, der har afgivet oplysningerne, har givet de-
res udtrykkelige tilladelse.«
§ 20. I lov om kapitalmarkeder, jf. lovbekendtgørelse nr.
12 af 8. januar 2018, foretages følgende ændringer:
1. I fodnoten til lovens titel ændres »dele af Europa-Parla-
mentets og Rådets direktiv 2013/50/EU af 22. oktober 2013,
EU-Tidende 2013, nr. L 294, side 13, og Europa-Parlamen-
tets og Rådets direktiv 2014/65/EU af 15. maj 2014, EU-Ti-
dende 2014, nr. L 173, side 349« til: »dele af Europa-Parla-
mentets og Rådets direktiv 2013/50/EU af 22. oktober 2013,
EU-Tidende 2013, nr. L 294, side 13, Europa-Parlamentets
og Rådets direktiv 2014/65/EU af 15. maj 2014, EU-Tiden-
de 2014, nr. L 173, side 349, og dele af Europa-Parlamentets
4
og Rådets direktiv 2016/1148/EU af 6. juli 2016, EU-Tiden-
de 2016, nr. L 194, side 1«.
2. Efter § 58 indsættes i afsnit IV:
»Identifikation af operatører af væsentlige tjenester
§ 58 a. Finanstilsynet udpeger mindst hvert andet år de
operatører af markedspladser og centrale modparter
(CCP’er), der er operatører af væsentlige tjenester.
Stk. 2. Finanstilsynet skal i forbindelse med udpegningen
efter stk. 1, lægge vægt på, at
1) de tjenester, der leveres, er væsentlige for opretholdel-
sen af kritiske samfundsmæssige eller økonomiske ak-
tiviteter,
2) leveringen af tjenesten afhænger af net- og informati-
onssystemer, og
3) en hændelse vil få væsentlige forstyrrende virkninger
for leveringen af tjenesten.
Stk. 3. Finanstilsynet kan fastsætte nærmere regler om ud-
pegning af operatører af væsentlige tjenester og de kriterier
Finanstilsynet kan lægge vægt på efter stk. 1 og 2, herunder
fastsætte nærmere regler om hændelsesrapportering, herun-
der om at Finanstilsynet og Center for Cybersikkerhed un-
derrettes ved en hændelse, der har en negativ indvirkning på
sikkerheden i virksomhedens net- og informationssystemer.
Finanstilsynet udarbejder en liste over tjenester, jf. stk. 2, nr.
1.«
1. I § 225, stk. 1, indsættes som nr. 17:
»17) Center for Cybersikkerhed under forudsætning af, at
oplysningerne er nødvendige for centeret til opfyldel-
se af dets lovbestemte opgaver som nationalt centralt
kontaktpunkt eller CSIRT.«
2. Efter § 236 indsættes før overskriften før § 237:
»§ 236 a. Finanstilsynet kan efter høring af en operatør af
en markedsplads eller centrale modpart (CCP), der underret-
ter Finanstilsynet og Center for Cybersikkerhed om en hæn-
delse, som har væsentlige konsekvenser for kontinuiteten af
de væsentlige tjenester, som de leverer, orientere offentlig-
heden om hændelsen, hvis offentlighedens kendskab hertil
er nødvendigt for at forebygge eller håndtere en igangvæ-
rende hændelse. Offentliggørelsen må ikke indeholde fortro-
lige oplysninger om kundeforhold eller oplysninger omfattet
af § 30 i lov om offentlighed i forvaltningen. Offentliggørel-
sen må ikke indeholde fortrolige oplysninger, der hidrører
fra finansielle tilsynsmyndigheder i andre lande inden for el-
ler uden for Den Europæiske Union, medmindre de myndig-
heder, der har afgivet oplysningerne, har givet deres udtryk-
kelige tilladelse.«
Kapitel 9
Territorial bestemmelse
§ 21. Loven gælder ikke for Færøerne og Grønland, jf.
dog stk. 2.
Stk. 2. §§ 19 og 20 kan ved kongelig anordning helt eller
delvist sættes i kraft for Færøerne og Grønland med de æn-
dringer, som de henholdsvis færøske og grønlandske forhold
tilsiger. Bestemmelserne kan endvidere sættes i kraft på for-
skellige tidspunkter.
5
Bemærkninger til lovforslaget
Almindelige bemærkninger
1. Indledning
2. Lovforslagets formål og baggrund
3. Lovforslagets hovedindhold
3.1. Det digitale område
3.1.1. Operatører af væsentlige tjenester
3.1.1.1. Gældende ret
3.1.1.2. NIS-direktivet
3.1.1.3. Erhvervsministeriets overvejelser og foreslåede ordning
3.1.2. Udbydere af digitale tjenester
3.1.2.1. Gældende ret
3.1.2.2. NIS-direktivet
3.1.2.3. Erhvervsministeriets overvejelser og foreslåede ordning
3.1.3. Tilsyn
3.1.3.1. Gældende ret
3.1.3.2. NIS-direktivet
3.1.3.3. Erhvervsministeriets overvejelser og foreslåede ordning
3.2. Det finansielle område
3.2.1. Identificering af operatører af væsentlige tjenester
3.2.1.1. Gældende ret
3.2.1.2. NIS-direktivet
3.2.1.3. Erhvervsministeriets overvejelser og foreslåede ordning
3.2.2. Indberetningskrav for operatører af væsentlige tjenester
3.2.2.1. Gældende ret
3.2.2.2. NIS-direktivet
3.2.2.3. Erhvervsministeriets overvejelser og foreslåede ordning
3.2.3. Videregivelse af oplysninger
3.2.3.1. Gældende ret
3.2.3.2. NIS-direktivet
3.2.3.3. Erhvervsministeriets overvejelser og foreslåede ordning
3.2.4. Offentliggørelse af hændelser
3.2.4.1. Gældende ret
3.2.4.2. NIS-direktivet
3.2.4.3. Erhvervsministeriets overvejelser og foreslåede ordning
4. Økonomiske og administrative konsekvenser for det offentlige
5. Økonomiske og administrative konsekvenser for erhvervslivet m.v.
6. Administrative konsekvenser for borgere
7. Miljømæssige konsekvenser
8. Forholdet til EU-retten
9. Hørte myndigheder og organisationer m.v.
10. Sammenfattende skema
6
1. Indledning
IT-sikkerhedshændelser, såsom cyberangreb og nedbrud
af it-systemer, udgør en alvorlig trussel mod samfundet, der
i stigende grad er afhængig af digitale systemer. Omfanget,
hyppigheden og konsekvenserne af sådanne hændelser er til-
tagende. Rådet og Europa-Parlamentet har på den baggrund
vedtaget direktiv (EU) 2016/1148 af 6. juli 2016 om foran-
staltninger, der skal sikre et højt fælles sikkerhedsniveau for
net- og informationssystemer i hele Unionen (herefter NIS-
direktivet), EU-Tidende 2016, nr. L 194, side 1.
Lovforslaget implementerer NIS-direktivet på Erhvervs-
ministeriets område. Lovforslaget implementerer for det
første de elementer i direktivet, der vedrører informations-
sikkerhed for domænenavnssystemer og visse digitale tjene-
ster. For det andet implementerer lovforslaget NIS-direkti-
vet på det finansielle område. Implementeringsfristen i NIS-
direktivet er den 9. maj 2018. Loven foreslås derfor at træde
i kraft den 10. maj 2018.
Med dette lovforslag indføres der krav til operatører af
væsentlige tjenester inden for digital infrastruktur og udby-
dere af digitale tjenester, der i højere grad tager højde for
samfundets afhængighed af sådanne tjenester, og afspejler
det aktuelle trusselsbillede. Operatørerne og udbyderne skal
træffe passende sikkerhedsforanstaltninger på baggrund af
en vurdering af de risici, virksomheden konkret står over
for. Endvidere foreslås der indført et krav om, at de omfatte-
de operatører og udbydere skal underrette myndighederne
om eventuelle hændelser, der har forstyrrende virkning på
levering af de pågældende tjenester. Det er vigtigt for Er-
hvervsministeriet, at operatørerne eller udbyderne på områ-
det kun bliver underlagt proportionale krav, der ikke er
unødvendigt byrdefulde, og at operatørerne eller udbyderne
i videst muligt omfang, baseret på det aktuelle trusselsbille-
de, overlades et skøn til selv at beslutte indholdet af deres
sikkerhedspolitikker.
For så vidt angår det finansielle område stilles der allerede
i dag krav til it-sikkerhed i overensstemmelse med NIS-di-
rektivets formål. Med lovforslaget foreslås derfor mindre
lovændringer af lov om finansiel virksomhed og lov om ka-
pitalmarkeder, med henblik på at sikre en direktivnær imple-
mentering af NIS-direktivet på Erhvervsministeriets område
for så vidt angår pengeinstitutter, realkreditinstitutter, opera-
tører af markedspladser og centrale modparter (CCP’er).
2. Lovforslagets formål og baggrund
Formålet med lovforslaget er at sikre et højt niveau for
net- og informationssikkerhed inden for digital infrastruktur
og for digitale tjenester med henblik på at skabe endnu mere
robuste digitale systemer.
Den øgede digitalisering af det danske samfund indebæ-
rer, at net- og informationssikkerhed spiller en stadig mere
afgørende rolle i samfundet. Det er i høj grad en forudsæt-
ning for de økonomiske og samfundsmæssige aktiviteter, at
infrastrukturen for informations- og kommunikationstekno-
logi (IKT-infrastruktur) samt de digitale tjenester fungerer
pålideligt og sikkert.
Erfaringerne viser, at omfanget, hyppigheden og konse-
kvenserne af hændelser er tiltagende og udgør en alvorlig
trussel på det digitale område. Området er således i højere
grad blevet et mål for forsætligt skadelige handlinger, som
har til formål at ødelægge eller forstyrre driften af digitale
systemer. Uanset om hændelserne er tilsigtede eller ej, kan
forstyrrelser på det digitale område have alvorlige konse-
kvenser. En hændelse kan fx være et cyberangreb eller over-
svømmelse af en operatørs eller udbyders serverrum, således
at de digitale tjenester m.v. ikke fungerer. Hændelser kan fx
hindre gennemførelsen af økonomiske aktiviteter, medføre
betydelige finansielle tab og underminere brugernes tillid.
Forhold der alle kan medvirke til at skabe skade på sam-
fundsøkonomien.
På teleområdet er net- og informationssikkerhed reguleret
gennem lov nr. 1567 af 15. december 2015 om net- og infor-
mationssikkerhed med tilhørende bekendtgørelse. Derudo-
ver er andre dele af IKT-infrastrukturen samt digitale tjenes-
ter – bortset fra topdomænet ”·dk” – ikke underlagt regule-
ring på net- og informationssikkerhedsområdet. Der kan der-
for være en risiko for, at andre dele af IKT-infrastrukturen
samt digitale tjenester ikke på samme måde som i telesekto-
ren er tilstrækkeligt beskyttet mod hændelser.
Lovforslaget har derfor til formål at sikre, at også andre
aktører på det digitale område foretager de nødvendige orga-
nisatoriske og sikkerhedsmæssige foranstaltninger, der kan
imødegå den stigende trussel på området.
Med lovforslaget foreslås der indført sikkerhedskrav for
operatører af væsentlige tjenester inden for digital infra-
struktur og udbydere af visse digitale tjenester. Operatører
af væsentlige tjenester omfatter i dette lovforslag operatører
af domænenavne- og topdomænenavnesystemer. Operatører
af domænenavnesystemer medvirker til, at et internetopkald
rutes rigtig ved at oversætte et domænenavn til en internet-
adresse (talkode), som internetnettet forstår. Operatører af
topdomænenavne registrerer domænenavne under et topdo-
mænenavn (fx ”·dk”, ”·com” eller ”·sport”). Udbydere af di-
gitale tjenester omfatter onlinemarkedspladser, onlinesøge-
maskiner og cloud computing-tjenester. Lovforslagets be-
stemmelser gælder ikke for udbydere af digitale tjenester,
som er mikrovirksomheder og små virksomheder.
Lovforslaget regulerer ikke behandling af personoplysnin-
ger. Det fremgår i den forbindelse af NIS-direktivets artikel
2, at behandling af personoplysninger i henhold til NIS-di-
rektivet udføres i overensstemmelse med direktiv 95/46/EF.
For så vidt angår det finansielle område, har lovforslaget
til formål at sikre et højt niveau for net- og informationssik-
kerhed for så vidt angår de pengeinstitutter, realkreditinsti-
tutter, operatører af markeder og centrale modparter
(CCP’er), der karakteriseres som operatører af væsentlige
tjenester, med henblik på at opnå en direktivnær implemen-
tering af NIS-direktivet.
7
3. Lovforslagets hovedindhold
3.1. Det digitale område
3.1.1. Operatører af væsentlige tjenester
3.1.1.1 Gældende ret
Operatører af væsentlige tjenester er på nuværende tids-
punkt ikke underlagt en samlet regulering i forhold til net-
og informationssikkerhed.
Administratorer af topdomænenavne, der særligt er tildelt
Danmark eller på anden vis tilknyttet Danmark er i dag om-
fattet af lov om internetdomæner, jf. Lov nr. 164 af 26. fe-
bruar 2014. I lovens §§ 19-22 er der fastsat bestemmelser
om sikker og stabil drift af internetdomæner, som gælder for
tildelingen af topdomænenavnet ”·dk”. Der er endvidere i
bekendtgørelse om internetdomænet ·dk, jf. bekendtgørelse
nr. 1129 af 23. september 2015 i §§10-13, fastsat yderligere
bestemmelser om sikkerheds- og tilgængelighedsforhold i
den del af domænenavnssystemet, som er omfattet af ”·dk”.
Bestemmelserne vedrører bl.a. krav til certificering efter sik-
kerhedsstandarder, krav til høj tilgængelighed til topdomæ-
nenavnet ”·dk” og rapportering af nedbrud af domæne-
navnsservertjenesten. Det er Erhvervsstyrelsen, der fører til-
syn med overholdelsen af disse regler.
Andre topdomænenavne, der i dag er tildelt danske virk-
somheder, er derimod ikke omfattet af ovenstående regler
om sikkerhedsniveauer m.v., idet disse topdomænenavne ik-
ke er tildelt efter lov om internetdomæner. Tildelingen er
derimod sket direkte til virksomhederne af den almennyttige
non-profit organisation Internet Corporation for Assigned
Names and Numbers (ICANN), der er etableret i Californi-
en. Der er her tale om generiske topdomænenavne, som ikke
er landespecifikke, fx ”·com”, ”·org” og ”·sport”.
Operatører af domænenavnesystemer, som medvirker til
at dirigere internettrafikken, er dertil heller ikke underlagt
regulering i forhold til net- og informationssikkerhed.
3.1.1.2. NIS-direktivet
I henhold til NIS-direktivet skal hver EU-medlemsstat
identificere operatører af væsentlige tjenester. Medlemssta-
terne skal i forlængelse heraf udarbejde en liste over væsent-
lige tjenester inden for de omfattede sektorer, herunder digi-
tal infrastruktur. Listen over væsentlige tjenester skal opda-
teres regelmæssigt og samtidig bruges til at identificere ope-
ratører af væsentlige tjenester i det pågældende EU-land. I
afgrænsningen af operatører vil derudover indgå om tjene-
sten er afhængig af net- og informationssystemer, og om en
hændelse vil få væsentlig forstyrrende virkning for leverin-
gen af den pågældende tjeneste.
NIS-direktivet fastsætter dertil, at medlemsstaterne skal
sikre, at operatører af væsentlige tjenester træffer passende
og forholdsmæssige foranstaltninger for at styre risiciene for
sikkerheden i de net- og informationssystemer, de anvender
som led i deres tjeneste. Foranstaltningerne skal både være
af teknisk og organisatorisk karakter samt tage højde for det
aktuelle teknologiske stadie med det formål at sikre et sik-
kerhedsniveau, der står mål med risikoen for hændelser. De
pågældende virksomheder vil i forlængelse heraf skulle fo-
retage en risikovurdering gennem hele livscyklussen for de-
res net- og informationssystemer, herunder i forhold til ud-
arbejdelse af kravspecifikationer, udbud, konfigurering, drift
og udfasning.
NIS-direktivet fastlægger desuden, at operatører af væ-
sentlige tjenester, for at kunne opretholde kontinuiteten i de-
res tjenester, skal træffe passende foranstaltninger for at fo-
rebygge og minimere konsekvensen af hændelser, der berø-
rer sikkerheden i de net- og informationssystemer, de anven-
der.
NIS-direktivet fastsætter derudover, at operatører af væ-
sentlige tjenester hurtigst muligt skal foretage en underret-
ning til myndighederne om hændelser, der har væsentlige
konsekvenser for kontinuiteten af deres tjenester. Underret-
ningen skal gøre myndighederne i stand til at vurdere, om
der er behov for at underrette myndigheder i andre med-
lemsstater og offentligheden.
NIS-direktivet foreskriver endelig, at myndighederne i det
land, hvor en hændelse indtræffer, skal orientere de relevan-
te myndigheder i andre berørte medlemsstater om hændelser
hos operatører af væsentlige tjenester, der har væsentlige
konsekvenser for kontinuiteten i væsentlige tjenester i de på-
gældende medlemsstater. Orienteringen vil skulle ske under
overholdelse af krav om fortrolighed og sikkerhed. Myndig-
hederne kan endvidere efter høring af operatøren offentlig-
gøre konkrete hændelser, hvis offentlighedens kendskab
hertil er nødvendigt for at forebygge en hændelse eller hånd-
tere en igangværende hændelse.
Kravene til operatører af væsentlige tjenester er i NIS-di-
rektivet udtryk for minimumsharmonisering, og der vil være
et nationalt spillerum for at fastsætte yderligere krav til ope-
ratørerne. Erhvervsministeriet vurderer dog, at der ikke er
grundlag for at gå længere end de krav, der følger af NIS-
direktivet.
3.1.1.3 Erhvervsministeriets overvejelser og foreslåede
ordning
Lovforslaget gennemfører NIS-direktivets bestemmelser
for operatører af væsentlige tjenester inden for digital infra-
struktur på Erhvervsministeriets område.
Det foreslås, at erhvervsministeren får bemyndigelse til at
fastsætte de nærmere kriterier for identifikationen af opera-
tører af væsentlige tjenester samt til at udarbejde og regel-
mæssigt at opdatere en liste over væsentlige tjenester.
Det foreslås endvidere, at der indføres sikkerhedskrav til
operatører af væsentlige tjenester. Sikkerhedskravene vil in-
deholde de overordnede forpligtelser for operatører til at
træffe risikostyringsforanstaltninger og underrette myndig-
hederne i tilfælde af hændelser. Lovforslaget lægger sig op
ad ordlyden i NIS-direktivets bestemmelser og fastlægger
dermed ikke yderligere nationale krav.
8
Lovforslaget indeholder dertil en hjemmel til i bekendtgø-
relsesform at fastsætte de nærmere regler for operatørernes
sikkerheds- og underretningsforpligtelser. Hjemlen skal bru-
ges til nærmere at fastlægge forpligtelserne bl.a. efter de
vejledninger, der ventes at udstedes i EU-regi på området.
Dertil vil bemyndigelsen skulle anvendes til nærmere at
fastsætte, hvordan operatørerne skal indberette hændelser.
Det er i forbindelse med udmøntningen af bemyndigelsen
centralt for Erhvervsministeriet, at operatørerne kun bliver
underlagt proportionale krav, herunder at der ikke sker en
overimplementering af NIS-direktivets krav, og i det om-
fang det er muligt overlades et skøn til selv at beslutte ind-
holdet i deres sikkerhedspolitikker.
Endvidere foreslås det, at Erhvervsstyrelsen kan videregi-
ve oplysninger om hændelser til Center for Cybersikkerhed
under forudsætning af, at oplysningerne er nødvendige for
Center for Cybersikkerhed til opfyldelse af dets lovbestemte
opgaver som nationalt centralt kontaktpunkt og CSIRT
(Computer Security Incident Response Team) i henhold til
NIS-direktivet. Det nationale kontaktpunkt vil bl.a. i hen-
hold til NIS-direktivet skulle orientere kontaktpunkter i an-
dre medlemsstater om hændelser, der har væsentlige konse-
kvenser for kontinuiteten i de væsentlige tjenester, der udby-
des i de pågældende lande. I henhold til direktivet skal hver
medlemsstat endvidere udpege en såkaldt CSIRT, hvis rolle
som minimum omfatter monitorering af hændelser på natio-
nalt plan, tidlig varsling, advarsler, meddelelser og formid-
ling af information til relevante interessenter om risici og
hændelser, reaktion på hændelser, udarbejdelse af dynamisk
risiko- og hændelsesanalyser og situationsrapporter.
Det foreslås endelig, at Erhvervsstyrelsen får mulighed
for, hvor det er relevant og efter høring af den pågældende
operatør, at orientere offentligheden om hændelser. Center
for Cybersikkerhed kan i koordination med Erhvervsstyrel-
sen orientere offentligheden om hændelser, der berører flere
samfundsvigtige sektorer.
I det omfang, at der behandles personoplysninger i de på-
gældende net- og informationssystemer omfattet af lovfor-
slaget, skal den til enhver tid gældende lovgivning om be-
handling af personoplysninger i øvrigt iagttages.
3.1.2. Udbydere af digitale tjenester
3.1.2.1. Gældende ret
Udbydere af digitale tjenester, som defineret i NIS-direkti-
vet, er på nuværende tidspunkt ikke underlagt regulering i
forhold til net- og informationssikkerhed.
3.1.2.2. NIS-direktivet
NIS-direktivet fastlægger lignende krav for udbydere af
digitale tjenester som for operatører af væsentlige tjenester.
Udbydere af digitale tjenester skal ligeledes træffe risikosty-
ringsforanstaltninger og foranstaltninger, der forebygger og
minimerer konsekvensen af eventuelle hændelser. Centralt
for udbydernes opfyldelse af kravene vil også her være, at
de pågældende virksomheder foretager en risikovurdering
gennem hele livscyklussen for deres net- og informationssy-
stemer. Mere specifikt følger det af NIS-direktivet, at de
nævnte foranstaltninger skal adressere spørgsmål vedrøren-
de sikkerhed i udbyderens systemer og faciliteter, håndte-
ring af hændelser, styring af driftskontinuitet, monitorering,
audit (kontrol) og testning samt overholdelse af internatio-
nale standarder. Disse elementer specificeres yderligere i
Kommissionens gennemførelsesforordning 2018/151/EU af
30. januar 2018 om regler for anvendelsen af Europa-Parla-
mentets og Rådets direktiv 2016/1148/EU for så vidt angår
yderligere specifikation af de elementer, som udbydere af
digitale tjenester skal tage i betragtning for at styre risiciene
i forhold til sikkerheden i net- og informationssystemer, og
af kriterierne for bestemmelse af, om en hændelses konse-
kvenser er betydelige.
NIS-direktivet fastsætter ligeledes for udbydere af digitale
tjenester en forpligtelse til hurtigst muligt at underrette myn-
dighederne om enhver hændelse, der har betydelige konse-
kvenser for leveringen af deres tjeneste. I vurderingen af,
om en hændelse har væsentlige konsekvenser, skal derudo-
ver antal brugere, varighed og geografisk udbredelse også
inddrages omfanget af afbrydelsen af tjenestens funktion
samt konsekvenserne for samfundsmæssige og økonomiske
aktiviteter. Disse elementer er nærmere specificeret i Kom-
missionens gennemførelsesforordning 2018/151/EU af 30.
januar 2018.
Hvis det vurderes relevant, skal myndighederne i det land,
hvor en hændelse indtræffer endvidere i henhold til NIS-di-
rektivet orientere de relevante myndigheder i andre berørte
medlemsstater om hændelser hos udbydere af digitale tjene-
ster. Myndighederne vil dertil også efter høring af udbyde-
ren kunne offentliggøre konkrete hændelser eller kræve, at
udbyderen gør dette, hvis offentlighedens kendskab hertil er
nødvendigt for at forebygge en hændelse eller håndtere en
igangværende hændelse, eller hvis offentliggørelse i øvrigt
er i offentlighedens interesse. Medlemsstaterne vil i henhold
til NIS-direktivet ikke kunne fastsætte yderligere sikker-
hedskrav for udbydere, da NIS-direktivets bestemmelser er
udtryk for totalharmonisering. Der vil dog kunne stilles
yderligere krav under hensynstagen til rigets sikkerhed.
Denne mulighed er dog ikke udnyttet i lovforslaget. Det føl-
ger endvidere af NIS-direktivets betragtninger, at der ikke
skal stilles lige så høje sikkerhedskrav til udbydere af digita-
le tjenester som til operatører af væsentlige tjenester, hvilket
skal ses i sammenhæng med, at hændelser i digitale tjenester
ikke har lige så store konsekvenser for samfundet, som hæn-
delser vil have inden for digital infrastruktur. I forlængelse
heraf bør udbyderne overlades et større skøn til selv at fast-
lægge indholdet af deres informationssikkerhedspolitikker.
De foranstaltninger, udbyderne skal træffe, skal endvidere
være procesorienterede og risikobaserede og indebærer ikke
en forpligtelse for udbyderne til at udforme deres IKT-pro-
dukter og -tjenester på en særlig måde.
9
3.1.2.3 Erhvervsministeriets overvejelser og foreslåede
ordning
Lovforslaget gennemfører NIS-direktivets bestemmelser
for udbydere af digitale tjenester på Erhvervsministeriets
område.
Det foreslås, at der indføres sikkerhedskrav til udbydere af
digitale tjenester.
Sikkerhedskravene vil indeholde de overordnede forplig-
telser for udbydere til at træffe risikostyringsforanstaltninger
og underrette myndighederne om hændelser. Lovforslaget
lægger sig op ad ordlyden i NIS-direktivets bestemmelser,
idet der inden for området for digitale tjenester er tale om
totalharmonisering, og der fastlægges dermed ikke yderlige-
re nationale krav.
Lovforslaget indeholder dertil en hjemmel til at fastsætte
nærmere regler for udbydernes sikkerheds- og underret-
ningsforpligtelser. Hjemlen vil skulle bruges til at gennem-
føre Kommissionens gennemførelsesretsakter, der nærmere
specificerer indholdet af de elementer, der indgår i sikker-
hedskravene til udbyderne af digitale tjenester. Det er her
centralt for Erhvervsministeriet, at udbyderne kun bliver un-
derlagt proportionale krav, der ikke indeholder unødvendige
administrative byrder, og at der i videst muligt omfang over-
lades et skøn til udbyderne til selv at beslutte indholdet af
deres sikkerhedspolitikker. Dette er i overensstemmelse med
de ovennævnte overvejelser, der også fremgår af NIS-direk-
tivets betragtninger, bl.a. betragtning nr. 44.
Endvidere foreslås det, at Erhvervsstyrelsen kan videre-
bringe oplysninger om hændelser til Center for Cybersikker-
hed under forudsætning af, at oplysningerne er nødvendige
for Center for Cybersikkerhed til opfyldelse af dets lovbe-
stemte opgaver som nationalt centralt kontaktpunkt og
CSIRT i henhold til NIS-direktivet. Det nationale kontakt-
punkt vil bl.a. i henhold til NIS-direktivet skulle orientere
kontaktpunkter i andre medlemsstater om hændelser, der har
betydelige konsekvenser for leveringen af tjenester, der ud-
bydes i de pågældende lande. I henhold til direktivet skal
hver medlemsstat endvidere udpege en såkaldt CSIRT, hvis
rolle som minimum omfatter monitorering af hændelser på
nationalt plan, tidlig varsling, advarsler, meddelelser og for-
midling af information til relevante interessenter om risici
og hændelser, reaktion på hændelser, udarbejdelse af dyna-
misk risiko- og hændelsesanalyser og situationsrapporter.
Det foreslås endelig, at Erhvervsstyrelsen får mulighed
for, hvor det er relevant og efter høring af den pågældende
udbyder, at orientere offentligheden om hændelser. Center
for Cybersikkerhed kan i koordination med Erhvervsstyrel-
sen orientere offentligheden om hændelser, der berører flere
samfundsvigtige sektorer.
I det omfang, at der behandles personoplysninger i de på-
gældende net- og informationssystemer omfattet af lovfor-
slaget, skal den til enhver tid gældende lovgivning om be-
handling af personoplysninger i øvrigt iagttages.
3.1.3. Tilsyn
3.1.3.1. Gældende ret
Operatører af væsentlige tjenester inden for digital infra-
struktur og udbydere af digitale tjenester er på nuværende
tidspunkt ikke underlagt en samlet regulering i forhold til
net- og informationssikkerhed.
Administratorer af topdomænenavne, der særligt er tildelt
Danmark eller på anden vis tilknyttet Danmark er i dag om-
fattet af lov om internetdomæner (Lov nr. 164 af 26. februar
2014). Erhvervsstyrelsen er tilsynsmyndighed i forhold til
denne regulering og kan i henhold til lovens § 37 udstede
påbud om overholdelse af bestemmelser og vilkår til de om-
fattede operatører. I henhold til § 41, stk. 1, kan Erhvervs-
styrelsen kræve af de omfattede administratorer enhver op-
lysning og ethvert materiale, som styrelsen skønner relevant
i forbindelse med administration af loven og tilsynet her-
med. Styrelsen kan endvidere indhente oplysningerne hos
operatøren med henblik på offentliggørelse af statistik over
bl.a. det samlede antal registrerede domænenavne og antal
klagesager, jf. § 41, stk. 3. Endelig kan Erhvervsstyrelsen
efter § 45 pålægge de omfattede administratorer tvangsbø-
der og efter § 46 tilbagekalde tilladelser tildelt til admini-
stratorer. Lov om internetdomæner og tilhørende bekendtgø-
relse vil ikke blive ændret med dette lovforslag.
3.1.3.2. NIS-direktivet
Lovforslaget gennemfører NIS-direktivets bestemmelser
om offentliggørelse og tilsyn på Erhvervsministeriets områ-
de.
NIS-direktivet foreskriver, at medlemsstaterne skal sikre,
at de kompetente myndigheder griber ind over for operatører
og udbydere, der ikke opfylder deres forpligtelser. Myndig-
hederne vil i forlængelse heraf skulle kunne pålægge opera-
tørerne og udbyderne, at de forelægger de nødvendige op-
lysninger til brug for myndighedernes tilsyn, og at operatø-
rerne og udbyderne afhjælper eventuelle mangler. For udby-
dere af digitale tjenester følger det af NIS-direktivet, at der
skal være tale om et reaktivt tilsyn, hvilket skal ses i sam-
menhæng med, at hændelser for udbydere af digitale tjene-
ster ikke vil have samme samfundsmæssige konsekvenser
som ved hændelser hos operatører af væsentlige tjenester.
3.1.3.3. Erhvervsministeriets overvejelser og foreslåede
ordning
Det foreslås med lovforslaget, at Erhvervsstyrelsen skal
føre tilsyn med overholdelsen af loven.
Erhvervsstyrelsen vil som led i sit tilsyn overordnet få ad-
gang til at kræve oplysninger fra operatører af væsentlige
tjenester og udbydere af digitale tjenester, der er nødvendige
for at vurdere sikkerheden i deres net- og informationssyste-
mer. Styrelsen vil endvidere få mulighed for at udstede på-
bud til operatører og udbydere om, at de fx skal afhjælpe
mangler i deres efterlevelse af lovens bestemmelser.
Det foreslås derudover, at der i overensstemmelse med
NIS-direktivets bestemmelser anlægges et mere aktivt tilsyn
10
over for operatører af væsentlige tjenester end udbydere af
digitale tjenester. Således foreslås det, at Erhvervsstyrelsen
som led i sit tilsyn af egen drift kan rette henvendelse til
operatører af væsentlige tjenester med henblik på kontrol af
operatørernes efterlevelse af loven. Forskellen skal ses i
sammenhæng med, at hændelser i digitale tjenester ikke har
lige så store konsekvenser for samfundet, som hændelser vil
have inden for digital infrastruktur. I forlængelse heraf fore-
slås, at Erhvervsstyrelsen som led i sit tilsyn med operatører
får mulighed for at kræve dokumentation af operatører for
den faktiske gennemførelse af sikkerhedspolitikker.
For udbydere af digitale tjenester vil tilsynet i overens-
stemmelse med NIS-direktivet være reaktivt og baseret på
dokumenteret manglende overholdelse af lovgivningens
krav fra fx brugere og andre myndigheder, herunder myn-
digheder i andre lande.
Med lovforslaget indføres endelig, at Erhvervsstyrelsen
efter høring af de pågældende operatører og udbydere har
mulighed for at offentliggøre de afgørelser, som styrelsen
træffer som led i sit tilsyn under hensyntagen til bl.a. per-
sondatabeskyttelse og strafferetlig efterforskning.
Forslaget om offentliggørelse af oplysninger om hændel-
ser og afgørelser, som ovenfor beskrevet, er udarbejdet med
baggrund i de anbefalinger, som fremgår af Justitsministeri-
ets betænkning nr. 1516/2010 om offentlige myndigheders
offentliggørelse af kontrolresultater, afgørelser m.v. I be-
tænkningen anbefales det, at der inden indførelse af ordnin-
ger med systematisk offentliggørelse af oplysning om kon-
trolresultater, afgørelser m.v. på internettet i ikke-anony-
miseret form foretages en vurdering af det konkrete behov
for offentliggørelse, om offentliggørelse kan forventes kon-
kret at være særligt indgribende for personen, om der er
tungtvejende samfundsmæssige hensyn bag offentliggørel-
sesordningen, om offentliggørelse strider mod de gældende
databeskyttelsesretlige regler og de almindelige regler om
tavshedspligt, og om der af retssikkerhedsmæssige grunde er
opstillet administrative regler for forvaltningsmyndighedens
behandling af de enkelte sager.
Den offentlige og private sektor er – indtil den 24. maj
2018 – omfattet af Lov nr. 429 af 31. maj 2000 med senere
ændringer (herefter Persondataloven) og tilhørende bekendt-
gørelser, når der behandles personoplysninger. Persondata-
loven gennemfører databeskyttelsesdirektivet, som ophæves
pr. 25. maj 2018, jf. Europa-Parlamentets og Rådets forord-
ning 2016/679/EU af 27. april 2016 om beskyttelse af fysi-
ske personer i forbindelse med behandling af personoplys-
ninger og om fri udveksling af sådanne oplysninger og om
ophævelse af direktiv 95/46/EF (herefter databeskyttelses-
forordningen), som finder anvendelse fra den 25. maj 2018.
Justitsministeren har den 25. oktober 2017 fremsat lovfor-
slag L 68 om supplerende bestemmelser til forordning om
beskyttelse af fysiske personer i forbindelse med behandling
af personoplysninger og om fri udveksling af sådanne oplys-
ninger (herefter forslag til databeskyttelsesloven). I forslag
til databeskyttelsesloven, der fastsætter supplerende nationa-
le bestemmelser om behandling af personoplysninger, fore-
slås det bl.a., at persondataloven ophæves, jf. forslagets §
46, stk. 2. I den forbindelse foreslås sikkerhedsbekendtgø-
relsen samtidig ophævet.
Efter den 25. maj 2018 vil det være reglerne i databeskyt-
telsesforordningen, suppleret af lovforslag til databeskyttel-
sesloven, lov om retshåndhævende myndigheders behand-
ling af personoplysninger samt diverse særregler, der regule-
rer området for behandling af personoplysninger.
Nærværende lovforslag indebærer dog, at oplysninger ved-
rørende fysiske personer altid vil blive offentliggjort i ano-
nymiseret form. Der vil derfor som udgangspunkt ikke blive
givet personoplysninger til offentligheden, hvorfor disse af-
gørelser ikke vil være reguleret af de gældende databeskyt-
telsesretlige regler. Afgørelser vedrørende en juridisk person
offentliggøres med identiteten på den juridiske person, med-
mindre offentliggørelsen af identiteten vil være til skade for
en igangværende strafferetlig efterforskning eller offentlig-
gørelsen vil forvolde uforholdsmæssig stor skade, fx for den
juridiske person, afgørelsen vedrører, investorer eller andre.
Det vil således være Erhvervsstyrelsens vurdering, om det er
nødvendigt for at forebygge eller håndtere en igangværende
hændelse at offentliggøre navnet på den berørte virksomhed,
eller om det samme resultat kan nås med en anonymiseret
offentliggørelse, som alene omfatter den konkrete hændelse.
En offentliggørelse vil ske efter høring af operatøren, og
Erhvervsstyrelsen vil foretage en afvejning af på den ene si-
de offentlighedens interesse i at blive informeret om trusler
og på den anden side mulig kommerciel skade samt skade
for omdømmet for den pågældende operatør. Offentliggørel-
sen må dog ikke indeholde fortrolige oplysninger omfattet af
§ 27, stk. 1 i forvaltningsloven. Det vil særligt være i offent-
lighedens interesse at få oplysninger om en hændelse, som
kan have betydning for at forebygge en gentagelse af hæn-
delsen eller kan bidrage i forbindelse af håndtering af en
igangværende hændelse.
3.2. Det finansielle område
3.2.1. Identificering af operatører af væsentlige tjenester
3.2.1.1. Gældende ret
I medfør af lov om finansiel virksomhed § 308 udpeger
Finanstilsynet hvert år de systemisk vigtige finansielle insti-
tutter (SIFI) i Danmark. Et pengeinstitut, et realkreditinstitut
og et fondsmæglerselskab I, hvis fondsmæglerselskabet I
har tilladelse til at udøve de aktiviteter, der er nævnt i bilag
4, afsnit A, nr. 3 og 6, der er omfattet af Europa-Parlamen-
tets og Rådets forordning (EU) nr. 575/2013 af 26. juni 2013
om tilsynsmæssige krav til kreditinstitutter og investerings-
selskaber, udpeges som et systemisk vigtigt finansielt insti-
tut (SIFI), hvis det i 2 på hinanden følgende år, enten har en
balance, der udgør mere end 6,5 pct. af Danmarks bruttona-
tionalprodukt, eller hvis instituttets udlån i Danmark udgør
mere end 5 pct. af de danske penge- og realkreditinstitutters
samlede udlån i Danmark, eller hvis instituttets indlån i
Danmark udgør mere end 5 pct. af de danske pengeinstitut-
ters samlede indlån i Danmark.
11
3.2.1.2. NIS-direktivet
Det følger af direktivets artikel 5, stk. 1, at medlemsstater-
ne skal føre en liste over operatører af væsentlige tjenester,
der er etableret for hver sektor og delsektor, som er omhand-
let i direktivets bilag II. Denne identificering skal ajourføres
mindst hvert andet år.
For så vidt angår den finansielle sektor omhandler direkti-
vets bilag II sektorerne bankvæsen og finansielle markedsin-
frastrukturer. Typen af enheder i disse sektorer er kreditin-
stitutter, operatører af markedspladser og centrale modparter
(CCP), jf. NIS-direktivets bilag II.
Det følger endvidere af direktivets artikel 5, stk. 2, at ved
identificering af operatører af væsentlige tjenester, skal der
lægges vægt på følgende tre kriterier. Der skal være tale om
en enhed, der leverer en tjeneste, der er væsentlig for opret-
holdelsen af kritiske samfundsmæssige og/eller økonomiske
aktiviteter. Derudover skal leveringen af denne tjeneste af-
hænge af net- og informationssystemer. Som det sidste kri-
terie følger det af direktivet, at en hændelse ville få væsent-
lige forstyrrende virkninger for leveringen af den nævnte
tjeneste. Ved vurderingen af om en hændelse er væsentlig
forstyrrende, vil der bl.a. skulle lægges vægt på det antal af
brugere der påvirkes, samt de konsekvenser en hændelse
kan have i omfang og varighed på økonomiske og sam-
fundsmæssige aktiviteter m.v., jf. direktivets artikel 6, stk. 1.
Direktivet er et minimumsharmoniseringsdirektiv, og der
vil dermed være et nationalt spillerum for at fastsætte yderli-
gere krav til operatørerne af væsentlige tjenester.
3.2.1.3. Erhvervsministeriets overvejelser og den foreslåede
ordning
Det følger af NIS-direktivets bilag II, at kreditinstitutter,
operatører af markedspladser og centrale modparter
(CCP’er), er omfattet af NIS-direktivet. Det følger endvide-
re af direktivets artikel 5, stk. 2, at medlemsstaterne mindst
hvert andet år skal udpege de kreditinstitutter, operatører af
markedspladser og centrale modparter (CCP’er), som kan
identificeres som operatører af væsentlige tjenester.
Et kreditinstitut er en virksomhed, hvis aktivitet består i
fra offentligheden at modtage indlån eller andre midler, som
skal tilbagebetales, samt i at yde lån for egen regning, jf. lov
om finansiel virksomhed § 5, stk. 1, nr. 2. Det betyder, at et
kreditinstitut både kan være et penge- og et realkreditinsti-
tut.
Finanstilsynet udpeger i dag efter § 308 de pengeinstitut-
ter, realkreditinstitutter og fondsmæglerselskaber, som er sy-
stemisk vigtige (SIFI).
For så vidt angår identificering af væsentlige tjenester på
det finansielle område, fremgår det af NIS-direktivets præ-
ambel nr. 28, at med henblik på at fastslå, hvorvidt en hæn-
delse ville have væsentlig forstyrrende virkning på leverin-
gen af en væsentlig tjeneste, bør medlemsstaterne i tillæg til
de tværsektorielle forhold også tage højde for sektorspeci-
fikke forhold. Det fremgår endvidere af direktivet, at for så
vidt angår det finansielle område, skal der tages hensyn til
de pågældende virksomheders systemiske betydning baseret
på de samlede aktiver eller de samlede aktiver i forhold til
BNP. Det særlige krav til det finansielle område hænger i
høj grad sammen med de samme kriterier, som i dag anven-
des til udpegning af en SIFI.
En SIFI er et institut, hvis sammenbrud eller vanskelighe-
der rummer risiko for systemiske konsekvenser. Systemisk
risiko er risiko for forstyrrelse af det finansielle system, som
kan få alvorlige negative konsekvenser for det finansielle
system og realøkonomien.
En SIFI udpeges på baggrund af størrelse, betydning for
unionens eller en relevant medlemsstats økonomi, betydnin-
gen af grænseoverskridende aktiviteter og instituttets eller
koncernens sammen-kobling med det finansielle system.
En SIFI måles på, at instituttets balance udgør mere end
6,5 pct. af Danmarks bruttonationalprodukt, at instituttets
udlån i Danmark udgør mere end 5 pct. af de danske penge-
og realkreditinstitutters samlede udlån i Danmark, og at in-
stituttets indlån i Danmark udgør mere end 5 pct. af de dan-
ske pengeinstitutters samlede indlån i Danmark.
Der ses således at være en vis lighed mellem kriterierne
for udpegning af væsentlige operatører inden for det finan-
sielle område, og udpegningen af en SIFI.
Med lovforslaget sikres en direktivnær implementering af
NIS-direktivet. Det foreslås på den baggrund at indføre en
ny § 307 a i lov om finansiel virksomhed og en ny § 58 a i
lov om kapitalmarkeder, hvorefter Finanstilsynet mindst
hvert andet år udpeger de penge- og realkreditinstitutter
samt de operatører af markedspladser og centrale modparter
(CCP’ere), der er operatører af væsentlige tjenester. I den
forbindelse skal Finanstilsynet lægge vægt på, at de tjenester
som virksomhederne leverer, er væsentlige for opretholdel-
sen af kritiske samfundsmæssige eller økonomiske aktivite-
ter, at leveringen af tjenesterne afhænger af net- og informa-
tionssystemer, og at en hændelse kan få væsentlige forstyr-
rende virkninger for leveringen af tjenesten. Med en hæn-
delse forstås enhver begivenhed, der har en egentlig negativ
indvirkning på sikkerheden i net- og informationssystemer.
Det foreslås endvidere, at Finanstilsynet kan fastsætte
nærmere regler om kravene til identifikationen af operatører
af væsentlige tjenester, herunder fastsætte nærmere regler
om krav om underretning af Finanstilsynet og Center for
Cybersikkerhed som nationalt centralt kontaktpunkt eller
CSIRT ved en hændelse, jf. nærmere herom under pkt.
3.2.2. Derudover foreslås det, at Finanstilsynet får hjemmel
til at udarbejde en liste over tjenester, der er væsentlige for
opretholdelsen af kritiske samfundsmæssige eller økonomi-
ske aktiviteter.
Det forventes, at eftersom kriterierne for udpegning af
operatører af væsentlige tjenester svarer til kriterierne for
udpegning af SIFI’er efter § 308 i lov om finansiel virksom-
hed, vil de institutter, der udpeges som SIFI’er, tillige blive
udpeget som operatører af væsentlige tjenester i NIS-direkti-
vets forstand. Men ved at have en selvstændig udpegnings-
bestemmelse i § 307 a i lov om finansiel virksomhed, vurde-
res bestemmelsen at være fremtidssikret, såfremt der på et
tidspunkt vurderes at være operatører i den finansielle sek-
12
tor, som vurderes at være væsentlige, men dog ikke vurderes
at være en SIFI.
3.2.2. Indberetningskrav for operatører af væsentlige
tjenester
3.2.2.1. Gældende ret
For så vidt angår penge- og realkreditinstitutter, følger det
af § 71, stk. 1, i lov om finansiel virksomhed, at en finansiel
virksomhed, en finansiel holdingvirksomhed og en forsik-
ringsholdingvirksomhed skal have effektive former for virk-
somhedsstyring, herunder bl.a. betryggende kontrol- og sik-
ringsforanstaltninger på it-området.
Det følger videre af § 71, stk. 2, at Finanstilsynet kan fast-
sætte nærmere regler om de foranstaltninger, som en finan-
siel virksomhed, en finansiel holdingvirksomhed og en for-
sikringsholdingvirksomhed skal træffe for at have effektive
former for virksomhedsstyring, herunder betryggende kon-
trol- og sikringsforanstaltninger på it-området. Denne be-
myndigelse er bl.a. udnyttet ved bekendtgørelse nr. 1026 af
30. juni 2016 om ledelse og styring af pengeinstitutter m.fl.
(herefter kaldet ledelsesbekendtgørelsen), hvoraf bekendtgø-
relsens bilag 5 blandt andet stiller nærmere krav til it-sikker-
hed.
Det følger bl.a. af bekendtgørelsens bilag 5, at bestyrelsen
skal beslutte en it-sikkerhedspolitik for virksomheden, som
ud fra den ønskede risikoprofil på it-området skal indeholde
en overordnet stillingtagen til alle væsentlige forhold vedrø-
rende it-sikkerheden. Hvad der er væsentligt, afhænger bl.a.
af virksomhedens størrelse samt omfanget og kompleksite-
ten af virksomhedens it-anvendelse.
Der følger ikke af ledelsesbekendtgørelsen et regulatorisk
krav om indberetning af hændelser, men det skal fremhæ-
ves, at hændelsesrapportering er en væsentlig del af det lø-
bende tilsyn og herunder en del af, at have effektive former
for virksomhedsstyring. Finanstilsynet har som vejledning
for de omfattede virksomheder beskrevet på sin hjemmesi-
de, hvornår Finanstilsynet forventer at blive orienteret.
Det er i dag som udgangspunkt virksomheden selv, som
vurderer, hvornår en hændelse er væsentlig. Dog er der nog-
le særlige situationer, hvor Finanstilsynet typisk bør oriente-
res. Det kan fx være, når hændelsen har potentiale til at ud-
vikle sig til en katastrofesituation, der involverer gældende
kriseberedskab, når hændelsen påvirker/kan påvirke den kri-
tiske danske betalingsinfrastruktur eller komponenter heraf
eller når hændelsen kan give anledning til politianmeldelse.
For så vidt angår operatører af markedspladser følger det
af § 71, stk. 1, i lov om kapitalmarkeder, at en operatør af et
reguleret marked er ansvarlig for, at det pågældende marked
drives på en betryggende og hensigtsmæssig måde. Videre
følger det af stk. 2, nr. 2, at en operatør skal kunne styre risi-
ci, som operatøren og markedet udsættes for, herunder kun-
ne påvise alle væsentlige risici for markedets drift og indfø-
re effektive foranstaltninger til at mindske disse risici. Det
følger videre af stk. 2, nr. 3, at en operatør skal sikre en or-
dentlig forvaltning af den tekniske funktion af markedsplad-
sens systemer, herunder etablere effektive nødssystemer.
Det følger endvidere, af § 81 i lov om kapitalmarkeder, at
en operatør af et reguleret marked hurtigst muligt skal un-
derrette Finanstilsynet, hvis operatøren bliver bekendt med
eller har formodning om systemfejl i forbindelse med et fi-
nansielt instrument.
Derudover følger det af § 89, stk. 1, i lov om kapitalmar-
keder, at en operatør af en multilateral handelsfacilitet
(MHF) eller en organiseret handelsfacilitet (OHF) er ansvar-
lig for, at det pågældende marked drives på en betryggende
og hensigtsmæssig måde. Af § 89, stk. 2, nr. 3, fremgår det
videre, at operatøren skal sikre en ordentlig forvaltning af
facilitetens tekniske drift, herunder etablere effektive nødsy-
stemer.
Der findes ikke centrale modparter (CCP’er) i Danmark
ved lovforslagets fremsættelse. En central modpart skal have
en tilladelse og er underlagt tilsyn i henhold til Europa-Par-
lamentets og Rådets forordning (EU) nr. 648/2012 af 4. juli
2012 (EMIR-forordningen), som suppleres af tekniske stan-
darder.
Ifølge artikel 26, stk. 6, i EMIR-forordningen skal en cen-
tral modpart (CCP) have IT-systemer, der er egnede til at
håndtere kompleksiteten, variationen og typen af service-
ydelser, som den centrale modpart (CCP’en) udbyder. Dette
med henblik på at sikre en høj IT-sikkerhed, integritet og
fortrolighed omkring den data, som den centrale modpart
(CCP’en) håndterer.
3.2.2.2. NIS-direktivet
I medfør af NIS-direktivet skal medlemsstaterne sikre, at
operatører af væsentlige tjenester træffer passende og for-
holdsmæssige foranstaltninger for at styre risiciene for sik-
kerheden i de net- og informationssystemer, de anvender
som led i deres tjeneste. Med sikkerhed i net- og informati-
onssystemer forstås net- og informationssystemers evne til,
på et givet sikkerhedsniveau, at modstå handlinger, der er til
skade for tilgængeligheden, autenticiteten, integriteten eller
fortroligheden i forbindelse med lagrede eller overførte eller
behandlede data eller de dermed forbundne tjenester, der til-
bydes af eller er tilgængelige via disse net- og informations-
systemer. Foranstaltningerne skal både være af teknisk og
organisatorisk karakter samt tage højde for det aktuelle tek-
nologiske stade med det formål at sikre et sikkerhedsniveau,
der står mål med risikoen for hændelser.
I medfør af NIS-direktivet skal operatører af væsentlige
tjenester, for at kunne opretholde kontinuiteten i deres tjene-
ster, træffe passende foranstaltninger for at forebygge og
minimere konsekvensen af hændelser, der berører sikkerhe-
den i de net- og informationssystemer, de anvender.
Direktivet fastsætter derudover, at operatører af væsentli-
ge tjenester hurtigst muligt skal foretage en underretning til
de kompetente myndigheder eller CSIRT om hændelser, der
har væsentlige konsekvenser for kontinuiteten af deres tje-
nester, jf. artikel 14, stk. 3. Underretningen skal gøre myn-
dighederne i stand til at vurdere, om der er behov for at un-
13
derrette kompetente myndigheder i andre medlemsstater og
offentligheden.
Artikel 9 i direktivet fastsætter krav om, at hver medlems-
stat udpeger en såkaldt CSIRT, hvis rolle er nærmere define-
ret under pkt. 3.2.3.2. I medfør af artikel 10, stk. 2, skal
medlemsstaterne sikre, at enten de kompetente myndigheder
eller CSIRT’erne modtager underretning om hændelser, som
har væsentlige konsekvenser for kontinuiteten af de tjene-
ster, som de udpegede operatører af væsentlige tjenester le-
verer. I det omfang en CSIRT ikke modtager underretninger
om hændelser, skal CSIRT’erne i stedet have oplysninger
herom fra den kompetente myndighed.
Direktivet foreskriver endelig, at de kompetente myndig-
heder skal kunne orientere myndighederne i andre berørte
medlemsstater om hændelser hos operatører af væsentlige
tjenester, der har væsentlige konsekvenser for kontinuiteten
i væsentlige tjenester i de pågældende medlemsstater. Orien-
teringen vil skulle ske under overholdelse af krav om fortro-
lighed og sikkerhed.
3.2.2.3. Erhvervsministeriets overvejelser og den foreslåede
ordning
For så vidt angår kreditinstitutter, det vil sige penge- og
realkreditinstitutter, gælder der allerede i dag en række krav
til de foranstaltninger, som en finansiel virksomhed, skal
træffe for at have effektive former for virksomhedsstyring,
herunder betryggende kontrol- og sikringsforanstaltninger
på it-området. Disse krav fastsættes nærmere af Finanstilsy-
net i bekendtgørelse nr. 1026 af 30. juni 2016 om ledelse og
styring af pengeinstitutter m.fl. (herefter ledelsesbekendtgø-
relsen) i medfør af lov om finansiel virksomhed § 71, stk. 2.
For så vidt angår operatører af markedspladser og centrale
modparter (CCP’er) gælder der i medfør af lov om kapital-
markeder og EMIR-forordningen også en række krav for
disse virksomheder i forhold til risikostyring og sikkerheds-
foranstaltninger på it-området.
Der gælder ikke i dag et regulatorisk krav om indberet-
ning af hændelser for kreditinstitutter, men hændelsesrap-
portering er en væsentlig del af det løbende tilsyn. Det er i
dag som udgangspunkt virksomheden selv, som vurderer,
hvornår en hændelse er væsentlig. Finanstilsynet har som
vejledning for de omfattede virksomheder beskrevet på sin
hjemmeside, hvornår Finanstilsynet forventer at blive orien-
teret.
Det vurderes derfor at være mest hensigtsmæssigt, at der i
ledelsesbekendtgørelsen indsættes en bestemmelse om, at
operatører af væsentlige tjenester, skal foretage hændelses-
underretning både til Finanstilsynet og Center for Cybersik-
kerhed, der forventes at blive udpeget som CSIRT, jf. nær-
mere herom under pkt. 3.2.3.3.
For så vidt angår operatører af markedspladser og centrale
modparter (CCP’ere) gælder i dag alene et underretnings-
krav i § 81 i lov om kapitalmarkeder, hvorefter en operatør
af markedspladser skal underrette Finanstilsynet om system-
fejl i forbindelse med et finansielt instrument. Der gælder
ikke regler for de centrale modparter (CCP’ere), da en cen-
tral modpart skal have en tilladelse og er underlagt tilsyn i
henhold til Europa-Parlamentets og Rådets forordning (EU)
nr. 648/2012 af 4. juli 2012 (EMIR-forordningen), som sup-
pleres af tekniske standarder.
Det vurderes derfor at være mest hensigtsmæssigt, at der
indsættes en hjemmel til at kunne udarbejde en bekendtgø-
relse, hvori der indsættes en bestemmelse om, at de operatø-
rer af markedspladser og centrale modparter (CCP’ere), der
udpeges til at være væsentlige operatører, skal underrette Fi-
nanstilsynet og Center for Cybersikkerhed om hændelser.
Lovforslaget gennemfører NIS-direktivets bestemmelser
for operatører af væsentlige tjenester på det finansielle om-
råde på Erhvervsministeriets område for så vidt angår indbe-
retningspligt.
Med henblik på en direktivnær implementering af NIS-di-
rektivet foreslås det, at Finanstilsynet i lov om finansiel
virksomhed § 71, stk. 2, bemyndiges til også at kunne fast-
sætte nærmere regler for underretning om hændelsesrappor-
tering ved eventuelle hændelser. Dermed vil Finanstilsynet i
ledelsesbekendtgørelsen kunne fastsætte nærmere krav til
indberetning fra de kreditinstitutter, der er operatører af væ-
sentlige tjenester, når der er tale om hændelser, der har væ-
sentlige konsekvenser for kontinuiteten af tjenester, og som
er væsentlige for opretholdelsen af kritiske samfundsmæssi-
ge eller økonomiske aktiviteter.
For så vidt angår operatører af markedspladser og centrale
modparter (CCP’er) foreslås det ligeledes, at Finanstilsynet
kan fastsætte nærmere regler i en bekendtgørelse om under-
retning af en hændelse hos en operatør af markedspladser el-
ler en central modpart (CCP), der er operatører af væsentlige
tjenester, som har væsentlige konsekvenser for kontinuiteten
af de væsentlige tjenester, som leveres.
I medfør af lovforslaget vil underretning skulle ske til bå-
de Finanstilsynet og Center for Cybersikkerhed i medfør af
deres rolle som CSIRT. Det skal i den forbindelse bemær-
kes, at der forventes etableret en fælles indberetningsløsning
– fx gennem en fælles portal på virk·dk – hvorigennem alle
operatører omfattet af NIS-direktivet vil kunne indberette.
Med denne fælles indberetningsløsning forventes en afrap-
portering til både Finanstilsynet og Center for Cybersikker-
hed dermed ikke at have økonomiske konsekvenser for de
enkelte omfattede virksomheder.
3.2.3. Videregivelse af oplysninger
3.2.3.1. Gældende ret
I medfør af § 354, stk. 1, i lov om finansiel virksomhed og
§ 224 i lov om kapitalmarkeder, er Finanstilsynets ansatte
underlagt en særlig tavshedspligt. Finanstilsynets ansatte er
således under ansvar efter straffelovens §§ 152-152 e for-
pligtet til at hemmeligholde fortrolige oplysninger.
Finanstilsynet kan dog i visse lovbestemte tilfælde videre-
give fortrolige oplysninger til bestemte modtagere i medfør
af § 354, stk. 6, i lov om finansiel virksomhed og § 225 i lov
om kapitalmarkeder.
14
Finanstilsynet kan dog ikke i dag videregive oplysninger
til Center for Cybersikkerhed i medfør af lov om finansiel
virksomhed eller lov om kapitalmarkeder.
Endelig følger det af § 354, stk. 8, i lov om finansiel og §
229 i lov om kapitalmarkeder, at enhver der modtager for-
trolige oplysninger fra Finanstilsynet, bliver underlagt den
samme skærpede tavshedspligt.
3.2.3.2. NIS-direktivet
NIS-direktivet indeholder krav om udpegning af kompe-
tente myndigheder, der skal føre tilsyn med direktivet på na-
tionalt plan for de omfattede sektorer, jf. artikel 8, stk. 1 og
2. Da Finanstilsynet i dag er den kompetente myndighed på
det finansielle område, vil det være Finanstilsynet, der skal
føre tilsyn med NIS-direktivets overholdelse for så vidt an-
går det finansielle område.
Det følger endvidere af NIS-direktivets artikel 8, at hver
medlemsstat udpeger et nationalt centralt kontaktpunkt for
sikkerheden i net- og informationssystemer (centralt kon-
taktpunkt). Det nationale centrale kontaktpunkt udgør et for-
bindelsesled til at sikre grænseoverskridende samarbejde
mellem medlemsstaternes myndigheder og de relevante
myndigheder i andre medlemsstater samt den europæiske
samarbejdsgruppe som nedsættes i medfør af direktivets ar-
tikel 11 og som skal bestå af repræsentanter fra medlemssta-
terne, Kommissionen og Enisa, og det såkaldte CSIRT-net-
værk.
Det følger af direktivets artikel 12, at CSIRT-netværket
oprettes for at bidrage til skabelsen af tillid mellem med-
lemsstaterne og at fremme et hurtigt og effektivt operatio-
nelt samarbejde. Netværket skal bestå af de nationalt udpe-
gede CSIRTer (Computer Security Incident Response
Team). En CSIRT’s rolle vil som minimum omfatte monito-
rering af hændelser på nationalt plan, tidlig varsling, advars-
ler, meddelelser og formidling af information til relevante
interessenter om risici og hændelser, at reagere på hændel-
ser, udarbejdelse af dynamisk risiko- og hændelsesanalyser
og situationsrapporter.
Det følger endvidere af direktivets artikel 1, nr. 5, at op-
lysninger der er fortrolige i henhold til EU-regler og natio-
nale regler, kan udveksles med forbehold af artikel 346 i
TEUF, hvis en sådan udveksling er nødvendig for anvendel-
sen af dette direktiv. De udvekslede oplysninger begrænses
til, hvad der er relevant og forholdsmæssigt under hensyn til
formålet med udvekslingen. En sådan udveksling af oplys-
ninger skal sikre de nævnte oplysningers fortrolighed og be-
skytte sikkerheden og kommercielle interesser hos operatø-
rer af væsentlige tjenester.
Dertil kommer, at det følger af præambel nr. 41 i NIS-di-
rektivet, at hvis der er tale om oplysninger, der betragtes
som værende fortrolige i overensstemmelse med EU-regler
og nationale regler om forretningshemmeligheder, bør den-
ne fortrolighed sikres under udførelsen af aktiviteterne og
opfyldelsen af målene i direktivet.
3.2.3.3. Erhvervsministeriets overvejelser og den foreslåede
ordning
NIS-direktivet indeholder en række krav om myndighe-
dernes samarbejde på EU-niveau og på nationalt niveau og
indeholder bl.a. i artikel 9 et krav om, at hver medlemsstat
udpeger et nationalt centralt kontaktpunkt og en såkaldt
CSIRT. I Danmark forventes Center for Cybersikkerhed, at
blive udpeget som både nationalt centralt kontaktpunkt og
som CSIRT.
Det nationale kontaktpunkt vil bl.a. i henhold til NIS-di-
rektivet skulle orientere kontaktpunkter i andre medlemssta-
ter om hændelser, der har væsentlige konsekvenser for kon-
tinuiteten i de væsentlige tjenester, der udbydes i de pågæl-
dende lande.
Ifølge NIS-direktivet, skal en CSIRT som minimum mo-
nitorere hændelser på nationalt plan, modtage tidlige vars-
linger, advarsler og meddelelser om risici og hændelser og
reagere på hændelser m.v.
Finanstilsynet er underlagt en skærpet tavshedspligt efter
henholdsvis § 354 i lov om finansiel virksomhed og § 224 i
lov om kapitalmarkeder, hvorefter Finanstilsynet er forplig-
tet til at hemmeligholde fortrolige oplysninger, som Finans-
tilsynet kommer i besiddelse af i medfør af tilsynsvirksom-
heden. I medfør af § 354, stk. 6, i lov om finansiel virksom-
hed og § 225 i lov om kapitalmarkeder, kan Finanstilsynet
dog videregive en række oplysninger under nærmere fastsat-
te betingelser.
Henset til at det i øvrigt følger af NIS-direktivet, at oplys-
ninger, der er fortrolige i henhold til EU-regler og nationale
regler, kan udveksles, hvis en sådan udveksling er nødven-
dig for anvendelsen af dette direktiv, bør Finanstilsynets gi-
ves hjemmel til at videregive oplysninger om hændelser,
som modtages fra operatørerne af væsentlige tjenester.
For at sikre det nationale samarbejde er det nødvendigt, at
Finanstilsynet skal kunne udveksle oplysninger med Center
for Cybersikkerhed.
Med lovforslaget foreslås det derfor at indføre mulighed
for, at Finanstilsynet i medfør af henholdsvis lov om finan-
siel virksomhed og lov om kapitalmarkeder, kan videregive
oplysninger til Center for Cybersikkerhed, under forudsæt-
ning af at oplysningerne er nødvendige for Center for Cy-
bersikkerhed til opfyldelse af deres lovbestemte opgaver, i
deres egenskab af nationalt centralt kontaktpunkt eller
CSIRT.
Ligesom det gælder i dag ved Finanstilsynets videregivel-
se af fortrolige oplysninger, vil fortroligheden følge oplys-
ningerne, hvilket indebærer, at for så vidt angår de oplysnin-
ger, som Finanstilsynet videregiver til Center for Cybersik-
kerhed, så indebærer videregivelsen, at Center for Cybersik-
kerhed omfattes af den samme skærpede tavshedspligt som
Finanstilsynet er underlagt efter henholdsvis § 354 i lov om
finansiel virksomhed og § 224 i lov om kapitalmarkeder.
Dette er i øvrigt i overensstemmelse med NIS-direktivet,
hvoraf det følger af præambel nr. 41, at hvis der er tale om
oplysninger, der betragtes som værende fortrolige i overens-
stemmelse med EU-regler og nationale regler om forret-
15
ningshemmeligheder, bør denne fortrolighed sikres under
udførelsen af aktiviteterne og opfyldelsen af målene i direk-
tivet. Dertil kommer, at det følger af artikel 5, stk. 1, at op-
lysninger der er fortrolige i henhold til EU-regler og natio-
nale regler, kan udveksles med forbehold af artikel 346 i
TEUF, hvis en sådan udveksling er nødvendig for anvendel-
sen af dette direktiv. De udvekslede oplysninger begrænses
til, hvad der er relevant og forholdsmæssigt under hensyn til
formålet med udvekslingen. En sådan udveksling af oplys-
ninger skal sikre de nævnte oplysningers fortrolighed og be-
skytte sikkerheden og kommercielle interesser hos operatø-
rer af væsentlige tjenester.
Endelig skal det bemærkes, at ved en eventuel videregi-
velse af personoplysninger vil de gældende regler vedrøren-
de persondataloven tillige finde anvendelse, hvorfor behand-
ling af persondata altid vil ske under iagttagelse af gældende
lovgivning, herunder den kommende persondataforordning.
3.2.4. Offentliggørelse af hændelser
3.2.4.1. Gældende ret
Der er ikke i dag mulighed for, at Finanstilsynet kan of-
fentliggøre konkrete oplysninger om hændelser.
Persondataloven regulerer behandling af personoplysnin-
ger, som foretages af offentlige myndigheder og private, når
behandlingen helt eller delvist foretages ved hjælp af elek-
tronisk databehandling. Den omfatter ligeledes ikke-elektro-
nisk behandling af personoplysninger, der er eller vil blive
indeholdt i et register, jf. § 1, stk. 1, i persondataloven. Per-
sondatalovens regler gælder endvidere for anden ikke-elek-
tronisk systematisk behandling af personoplysninger, som
udføres for private, og som omfatter oplysninger om perso-
ners private eller økonomiske forhold eller i øvrigt oplysnin-
ger om personlige forhold, som med rimelighed kan forlan-
ges unddraget offentligheden, jf. § 1, stk. 2, i persondatalo-
ven. Af bemærkningerne til § 2, stk. 1, i persondataloven, jf.
lov nr. 429 af 31. maj 2000 (lovforslag nr. L 147 af 9. de-
cember 1999), fremgår det, at bestemmelsen indebærer, at
persondataloven finder anvendelse, hvis regler om behand-
ling af personoplysninger i anden lovgivning giver den regi-
strerede en dårligere retsstilling. Det fremgår imidlertid og-
så, at dette ikke gælder, hvis den dårligere retsstilling har
været tilsigtet og i øvrigt ikke strider mod Europa-Parlamen-
tet og Rådets direktiv 95/46/EF af 24. oktober 1995 om be-
skyttelse af fysiske personer i forbindelse med behandling af
personoplysninger og om fri udveksling af sådanne oplys-
ninger (databeskyttelsesdirektivet).
Det skal i den forbindelse bemærkes, at persondataloven
gennemfører databeskyttelsesdirektivet, som ophæves pr.
25. maj 2018, jf. Europa-Parlamentets og Rådets forordning
2016/679/EU af 27. april 2016 om beskyttelse af fysiske
personer i forbindelse med behandling af personoplysninger
og om fri udveksling af sådanne oplysninger og om ophæ-
velse af direktiv 95/46/EF (herefter databeskyttelsesforord-
ningen), som finder anvendelse fra den 25. maj 2018.
Justitsministeren har den 25. oktober 2017 fremsat lovfor-
slag L 68 om supplerende bestemmelser til forordning om
beskyttelse af fysiske personer i forbindelse med behandling
af personoplysninger og om fri udveksling af sådanne oplys-
ninger (herefter forslag til databeskyttelsesloven). I forslag
til databeskyttelsesloven, der fastsætter supplerende nationa-
le bestemmelser om behandling af personoplysninger, fore-
slås det bl.a., at persondataloven ophæves, jf. forslagets §
46, stk. 2. I den forbindelse foreslås sikkerhedsbekendtgø-
relsen samtidig ophævet.
Efter den 25. maj 2018 vil det være reglerne i databeskyt-
telsesforordningen, suppleret af lovforslag til databeskyttel-
sesloven, lov om retshåndhævende myndigheders behand-
ling af personoplysninger samt diverse særregler, der regule-
rer området for behandling af personoplysninger.
3.2.4.2. NIS-direktivet
Det fremgår af NIS-direktivets artikel 14, stk. 6, at den
kompetente myndighed efter høring af den underrettende
operatør af væsentlige tjenester kan oplyse offentligheden
om konkrete hændelser, hvis offentlighedens kendskab her-
til er nødvendigt for at forebygge en hændelse eller håndtere
en igangværende hændelse.
3.2.4.3. Erhvervsministeriets overvejelser og den foreslåede
ordning
Finanstilsynet har ikke i dag mulighed for at offentliggøre
konkrete oplysninger om hændelse, hvorfor en sådan be-
stemmelse bør indføres, både for så vidt angår lov om finan-
siel virksomhed og lov om kapitalmarkeder.
Med henblik på at sikre en direktivnær implementering
foreslås det at indsætte en ny § 354 h i lov om finansiel virk-
somhed og en ny § 236 a i lov om kapitalmarkeder, hvoref-
ter Finanstilsynet kan orientere offentligheden om konkrete
hændelser, efter høring af den berørte virksomhed, hvis of-
fentlighedens kendskab hertil er nødvendigt for at forebygge
eller håndtere en igangværende hændelse. Offentliggørelsen
må dog ikke indeholde fortrolige oplysninger om kundefor-
hold eller oplysninger omfattet af § 30 i lov om offentlighed
i forvaltningen. Offentliggørelsen må ikke indeholde fortro-
lige oplysninger, der hidrører fra finansielle tilsynsmyndig-
heder i andre lande inden for eller uden for Den Europæiske
Union, medmindre de myndigheder, der har afgivet oplys-
ningerne, har givet deres udtrykkelige tilladelse.
Forslaget om offentliggørelse af oplysninger om hændel-
ser, som ovenfor beskrevet, er udarbejdet med baggrund i de
anbefalinger, som fremgår af Justitsministeriets betænkning
nr. 1516/2010 om offentlige myndigheders offentliggørelse
af kontrolresultater, afgørelser m.v. I betænkningen anbefa-
les det, at der inden indførelse af ordninger med systematisk
offentliggørelse af oplysning om kontrolresultater, afgørel-
ser m.v. på internettet i ikke-anonymiseret form foretages en
vurdering af det konkrete behov for offentliggørelse, om of-
fentliggørelse kan forventes konkret at være særligt indgri-
bende for personen, om der er tungtvejende samfundsmæssi-
ge hensyn bag offentliggørelsesordningen, om offentliggø-
relse strider mod persondataloven og de almindelige regler
om tavshedspligt, og om der af retssikkerhedsmæssige grun-
16
de er opstillet administrative regler for forvaltningsmyndig-
hedens behandling af de enkelte sager.
Det vil således være Finanstilsynets vurdering, om det er
nødvendigt for at forebygge eller håndtere en igangværende
hændelse at offentliggøre navnet på den berørte virksomhed,
eller om det samme resultat kan nås med en anonymiseret
offentliggørelse, som alene omfatter den konkrete hændelse.
En offentliggørelse vil dog altid forudsætte, at den berørte
virksomhed er blevet hørt herom.
4. Økonomiske og administrative konsekvenser for det
offentlige
Lovforslaget medfører, at Erhvervsstyrelsen skal varetage
nye opgaver. Disse opgaver forudsættes imidlertid afholdt
inden for den eksisterende økonomiske ramme. Lovforslaget
vurderes på den baggrund ikke at have økonomiske eller ad-
ministrative konsekvenser for det offentlige.
I det omfang stat, kommuner og regioner er operatører af
væsentlige tjenester eller udbyder digitale tjenester, vil de
krav, der efter lovforslaget stilles til operatører og udbydere,
også omfatte stat, kommuner og regioner. Det vil kunne
medføre økonomiske og administrative konsekvenser i
samme omfang som for private udbydere.
Lovforslaget medfører endvidere, at Finanstilsynet skal
varetage nye opgaver, i form af udpegninger af operatører af
væsentlige tjenester. Lovforslaget vurderes dog ikke i sig
selv at have økonomiske eller administrative konsekvenser
for det offentlige. Finanstilsynet vil derudover også skulle
etablere et samarbejde med Center for Cybersikkerhed for så
vidt angår håndtering og indberetninger af hændelser. Dette
kan medføre behov for øgede ressourcer, men det er dog ik-
ke muligt at kvantificere yderligere på nuværende tidspunkt.
5. Økonomiske og administrative konsekvenser for
erhvervslivet m.v.
Lovforslaget medfører økonomiske konsekvenser for ope-
ratører af væsentlige tjenester og udbydere af digitale tjene-
ster.
Det vurderes, at lovforslaget medfører administrative kon-
sekvenser under 4 mio. kr. årligt. Vurderingen bygger blandt
andet på det relativt begrænsede antal hændelser årligt, der
skal indberettes.
I forhold til de øvrige efterlevelseskonsekvenser vurderes
disse at være under bagatelgrænsen på 10 millioner kroner
årligt. Byrderne vil kunne angå omkostninger til fx it-udstyr
og lønomkostninger til medarbejdere, der skal stå få opfyl-
delse af kravene. For en stor dels vedkommende vil dette
være omkostninger, som operatørerne og udbyderne måtte
forventes at have i forvejen.
I medfør af lovforslaget bemyndiges Finanstilsynet endvi-
dere til at kunne fastsætte nærmere regler om indberetning
af hændelser for operatører af væsentlige tjenester. Disse
regler vil blive fastsat på bekendtgørelsesniveau og kan
medføre økonomiske konsekvenser for de pengeinstitutter,
realkreditinstitutter, operatører af markedspladser og centra-
le modparter (CCP’ere), der udpeges som operatører af væ-
sentlige tjenester.
Det vurderes, at lovforslaget medfører minimale øvrige ef-
terlevelsesomkostninger for erhvervslivet, under bagatel-
grænsen på 10 millioner kroner årligt. Vurderingen bygger
blandt andet på det relativt begrænsede antal hændelser år-
ligt, der vil blive stillet specifikke krav til indberetningen af.
Dette vil imidlertid blive kvantificeret i forbindelse med ud-
arbejdelsen af eventuelle nye regler.
De administrative konsekvenser ved forslaget er blevet
vurderet af Erhvervsstyrelsens Team Effektiv Regulering
(TER), der vurderer, at forslaget ikke i sig selv medfører ad-
ministrative konsekvenser på mere end 4 mio. kr. årligt.
Konsekvenserne bliver derfor ikke kvantificeret nærmere.
6. Administrative konsekvenser for borgerne
Lovforslaget har ingen administrative konsekvenser for
borgerne.
7. Miljømæssige konsekvenser
Lovforslaget har ingen miljømæssige konsekvenser.
8. Forholdet til EU-retten
Loven og de bekendtgørelser, der vil blive udstedt i med-
før af loven, gennemfører dele af Europa-Parlamentets og
Rådets direktiv 2016/1148 EU af 6. juli 2016 om foranstalt-
ninger, der skal sikre et højt fælles sikkerhedsniveau for net-
og informationssystemer i hele Unionen, EU-Tidende 2016,
nr. L 194, side 1. NIS-direktivet indebærer en minimums-
harmonisering over for operatører af væsentlig tjenester,
hvorimod direktivet er udtryk for totalharmonisering over
for udbydere af digitale tjenester.
9. Hørte myndigheder og organisationer m.v.
Et udkast til lovforslag har i perioden fra den 17. oktober
2017 til den 17. november 2017 været sendt i høring hos føl-
gende myndigheder og organisationer m.v.:
24-7 Net, 3Shape A/S, Abakomp Internet Service ApS,
AciaNet, ACN, Activewebs A/S, Adapt Group A/S, Adform
A/S, Advice Digital ApS, Advokatrådet, AF-Vejen, AirNet,
Akademisk Arkitektforening, ALCO Company ApS, Alti-
box Danmark A/S, Andelskassen, Andelsnet ApS, Antenne-
forening Vejen, Antennelauget Flimmer, Arbejderbevægel-
sens Erhvervsråd, Arbejdsmarkedets Erhvervssygdomssik-
ring (AES), Arbejdsmarkedets Tillægspension (ATP), Ar-
bejdsskadestyrelsen, Ascio Technologies Inc. Danmark,
Asiainfo Denmark ApS, Atea A/S, Athena IT-Group A/S,
ATZtel, Aura Energi, Axcess A/S, Azehosting ApS, Balle-
Bredsten Antenneforening, Banedanmark, Barablu, BC Hos-
pitality Group A/S, Bjerringbro Kabelnet, Bluegarden A/S,
Bo Data ApS, Bolignetforeningen, Bolignet-Aarhus, Bolig-
selskabernes Landsforening, Bonavent Invest A/S, Bording
Data A/S, Bornfiber, Boxer, Brancheforum Digitale Medier
(Branchen ForbrugerElektronik), Bredalsparken, Bredbånd
Nord, Bricksite ApS, Bruun Rasmussen Kunstauktioner
A/S, Børsmæglerforeningen, Baagøe ApS, C & B Systemer
17
A/S, Cbrain A/S, CBS, CCI Europe A/S, Team Effektiv Re-
gulering (TER), Cicoor Host & Saas ApS, Cirque Bredbånd
A/S, Cloudnordic ApS, Co3 A/S, Colt Technology Services
A/S, Columbus A/S, Combine, Comflex Networks ApS,
Comm2ig A/S, Compusoft A/S, Concept Data A/S, Configit
A/S, Connect-me, Conscia A/S, Corporate Services A/S,
Cortex Consult A/S, CSC Danmark A/S, CSC Scandihealth
A/S, Danaweb A/S, Dancenter A/S, DanDial Networks A/S,
Dandomain A/S, Danhost ApS, Danish Venture Capital and
Private Equity Association, Danmarks Grundforsknings-
fond, Danmarks Nationalbank, Danmarks Rederiforening,
Danmarks Skibskredit A/S, Dansk Aktionærforening, Dansk
Arbejdsgiverforening, Dansk Beredskabskommunikation
A/S, Dansk BiblioteksCenter A/S, Dansk Byggeri, Dansk
Ejendomsmæglerforening, Dansk Energi, Dansk Erhverv,
Dansk Forening for International Motorkøretøjsforsikring
(DFIM), Dansk Industri, Dansk Investor Relations Forening
– DIRF, Dansk IT, Dansk Kabel TV A/S, Dansk Kredit Råd,
Dansk Media, Dansk Metal, Dansk Pantebrevsforening,
Danske Advokater, Danske eWire A/S, Danske Forsikrings-
funktionærers Landsforening, Danske Handicaporganisatio-
ner, Danske Maritime, Danske Medier, Danske Regioner,
DanskNet A/S, Datagruppen Multimed A/S, Den Danske
Aktuarforening, Den Danske Dommerforening, Den Danske
Finansanalytikerforening, Den danske Fondsmæglerfor-
ening, Det Centrale Handicapråd, Dialoga Group, Dansk In-
ternet Forum (DIFO), DI Digital, Digital Rights, Digizuite
A/S, Dis/Play A/S, DK-Hostmaster A/S, DLG Tele, DLX
A/S, Dyrup Sanderum Antenneforening, EbeltoftS.net, E-
conomic International A/S, Edlund A/S, Eg A/S, Ejendoms-
foreningen, Elro Erhverv A/S, Ementor Danmark A/S, Ener-
gi Fyn, Energi og Olieforum, EnergiMidt, Entertainment
Trading ApS (Coolshop), Eriksminde Medienet, Evercall
ApS, EWII, Exaweb ApS, Facilicom A/S, Falcon·io ApS,
FasCom A/S, Fastline, FDA, FDE, FDFA – Foreningen af
Danske Forsikringsmæglere og Forsikrings Agenturer,
FDIH – Foreningen for Distance- og Internethandel, Fest·Dk
A/S, Fiber2you, Fiberby, Fibia, Finans og Leasing, Finans-
Danmark, Finansforbundet, Finanshuset i Fredensborg A/S,
Finansiel Stabilitet, Finansrådet, Finanssektorens Arbejdsgi-
verforening, Fionia IT ApS, Firstcom A/S, Fonet A/S, For-
brugerombudsmanden, Forbrugerrådet, Forbrugsforeningen,
Foreningen af Danske Internet Medier (FDIM), Foreningen
af Forretningsførere for Udenlandske Forsikringsselskaber,
Foreningen af Interne Revisorer, Foreningen Bankdata, For-
eningen Danske Revisorer, FOREX, Forsikring & Pension,
Forsikringens Datacenter A/S, Forsikringsmæglerforenin-
gen, Frivilligrådet, Fsa-net·dk, FSR – danske revisorer,
Funktionærernes og Tjenestemændenes Fællesråd (FTF),
Faaborg Vest Antenneforening, FaaborgVestAF, G4S Secu-
rity Services A/S, Galten Elværk, Garantiformuen, Garban-
Intercapital Scandinavia, GE Erhverv A/S, GEV A/S, Giga-
bit, Gigahost ApS, Glenten, Global Crossing, GlobalCon-
nect A/S, GlobalTel, Golden Planet ApS, Gram Bynet,
GVD, Gørlev Antenneforening, Hansen Technologies Den-
mark A/S, HAS Hjørring Antenneselskab, HashøjNet, HEF,
Hi3G Denmark ApS, Hiper, Horesta, Hosters A/S, Hosthou-
se Avalonia ApS, Hostnordic A/S, Højen Antennelaug,
Høng Antennelaug, Håndværksrådet, Hårlev Antennefor-
ening, I P Group A/S, I/S Bredbånd Nord, IBM Danmark,
ICE. NET/Net1, Indsamlingsorganisationernes Brancheor-
ganisation (ISOBRO), Info Key A/S, Info-Connect A/S, In-
folink ApS, Installa᾽sjon, Internet Danmark Holding ApS,
Internet4u/Computer Problemer, Intertrust (Denmark), In-
ventio.it A/S, Investeringsfondsbranchen, IP Group, ipnor-
dic A/S, Ipvision A/S, ISACA Denmark Chapter, IT Forum
Gruppen A/S, IT Overblik ApS, It Relation A/S, IT Univer-
sitetet, IT-Afdelingen A/S, IT-Branchen, Itide A/S, It-Kom-
pagniet Jylland ApS, IT-Lauget Parknet, Itpilot ApS, IT-Po-
litisk Forening, IT-R ApS, ITR Data A/S, J. H. Schultz In-
formation A/S, Jansson Kommunikation A/S, Jaynet A/S,
JCD A/S, Jels Antenneforening, Jerlev Antenneforening, JN
Data A/S, Just Eat·dk ApS, Kabelplus, Kalundborg AF,
Kjærgaard A/S, Kjærgaard-Nettet, Klarup Kabelnet, Klein-
Data, KMD A/S, KommuneKredit, Kommunernes Lands-
forening, Konform A/S, Kortermann-Hosting ApS, Korup
Antennelaug, Kronholm Kommunikation, Kuratorforenin-
gen, Kviknet, Københavns Energi, Købmandstandens Op-
lysningsBureau, Landbrug & Fødevarer, Landsforeningen af
forsvarsadvokater, Landsforeningen for Bæredygtigt Land-
brug, Landsorganisationen i Danmark (LO), Larsen Data
ApS, Lauritz·com A/S, Lebera Mobile Danmark, LEGO
GROUP, Lessor A/S, Lokale Pengeinstitutter, Lollands.net,
Lycamobile, Lønmodtagernes Dyrtidsfond (LD), Markmo-
nitor ApS, Maxtel.dk ApS, Mb Solutions A/S, Mediacon-
nect ApS, Mentor It A/S, Mira Internet ApS, Miracle A/S,
Montes A/S, Morud Antenneforening, Mundio Mobile ApS,
MWAzone, Mybanker, NAL MedieNet ApS, NASDAQ Co-
penhagen A/S, NEF Fiber A/S, Netcompany A/S, Net-group
A/S, Netic A/S, Netip A/S, netordre·dk ApS, Netplan Sy-
stem Design·dk ApS, Nets Denmark A/S, Netsite A/S, Net-
team A/S, NetTel ApS, Newangle Software ApS, Newwweb
ApS, Next Level Internet A/S, NHC A/S, NHL Data ApS,
Nianet A/S, NM Net ApS, Nn Hosting, NNIT A/S, Nordby
Antenneforening/Fanø Net, Nordby AF, Nordea, Nordic
Connect, Nordit A/S, Novasol A/S, Novicell ApS, NRGi,
NTI Cadcenter A/S, Nyfors, Odder Antenneforening,
One.com A/S, Orange Business Services Denmark A/S, Ori-
go Systems ApS, Osted Nettet, Parcelhusejernes Landsfor-
ening, Parknet, PDC A/S, Pentacon A/S, Perspektiv Bred-
bånd, Phone-IT A/S, PIL - Professionelle Internet Løsninger
ApS, Pi-Web I/S, Plenti, PLM Group ApS, plusTEL ApS,
PMR-brugergruppen, Polperro A/S, PostNord, Powerho-
sting ApS, Powernet ApS, Primanet, Proactive A/S, ProData
Consult A/S, PROSA - Forbundet af it-professionelle,
Proudwing ApS, Præstø Antennelaug, Puzzel A/S, Rambøll
Danmark A/S, Redspot ApS, Region Hovedstaden, Regio-
nale Bankers Forening, Revisornævnet, Ricoh Danmark
A/S, Rosenholms Net, Rådet for større IT-sikkerhed, Sac-IT
A/S, Sagitta ApS, Sammenslutning af Lokale Radio- og TV-
stationer, Samsø Bredbånd, Saxo Payments A/S, Schantz
A/S, SE Fibernet A/S, SEAS-NVE, SEF Fiber, Semler Ser-
vices A/S, Service Center Fyn/ Lars Falck Jershauge, Shop-
start ApS, Silkeborg Data A/S, SimCorp A/S, Sitecore Cor-
18
poration A/S, Skagen Antennelaug, Skagennet, Skibs- og
Bådebyggeriets Arbejdsgiverforening, Skjern Bredbånd,
Skodborg Antennelaug, Skovsby Internet, Softwork ApS,
Sol og Strand Feriehusudlejning A/S, Solutio ApS, Sprint-
Link Danmark ApS, Stilmark, Stofa A/S, Sundbynet, Syd
Energi, Syddansk Universitet, Sydfyns Intranet A/S, Syste-
matic A/S, Systemhosting A/S, Sæby Antenneforening,
Sønderho Antenneforening, Talk IP, TDC A/S, Team Net-
hosting ApS, Telanco ApS, Teleankenævnet, Telecom X
ApS, Teleklagenævnet, Telekommunikationsindustrien i
Danmark, Telenor A/S, Telia Danmark, Tellio ApS, Tetra-
Star A/S, ThomsenTrampedach, Thomson Reuters Nordic,
Thyfon A/S, Thy-Mors Energi A/S, Tia Technology A/S,
Timecomputer A/S, Tjeep, Toftlund Bynet, Transparency
International Danmark, Travelmarket A/S, TREFOR Bred-
bånd A/S, Trifork A/S, Truecommerce Denmark ApS, Tråd-
løsfiber·dk, TS Computer ApS, Tune Kabelnet, UNI-C,
Unik System Design A/S, Uni-tel A/S, Universal Telecom,
Unwire, Uptime-IT ApS, Verdo Tele A/S, Verizon Business
A/S, Vest Net A/S, VestjyllandS.net, Vestnet ApS, Videbæk
Antenneforening, Vindinge Antennelaug, Viptel ApS, Vis-
ma Consulting A/S, VK Data ApS, VP Securities A/S,
Waoo! A/S, Webbureauet Infoserv ApS, Webhosting A/S,
Webhot ApS, Western Union, Wified, WWI A/S, Yaygroup
I/S, Yderholm Antenneforening, ZebNet, ZenSystem, Zibra
Wireless, Zitcom A/S, Ønet, Ørum Net, Aalborg Universi-
tet, Aalbæk Bugt Antenneforening, Årslev Net, Færøernes
Hjemmestyre via Rigsombudsmanden på Færøerne, Grøn-
lands Selvstyre via Rigsombudsmanden i Grønland, Be-
skæftigelsesministeriet, Børne- og Socialministeriet, Ener-
gi-, Forsynings- og Klimaministeriet, Erhvervsministeriet,
Finansministeriet, Forsvarsministeriet, Justitsministeriet,
Kirkeministeriet, Kulturministeriet, Miljø- og Fødevaremi-
nisteriet, Skatteministeriet, Statsministeriet, Sundheds- og
Ældreministeriet, Transport-, Bygnings- og Boligministeri-
et, Uddannelses- og Forskningsministeriet, Udenrigsministe-
riet, Udlændinge- og Integrationsministeriet, Undervisnings-
ministeriet, Økonomi- og Indenrigsministeriet, Arbejdsska-
destyrelsen, Beredskabsstyrelsen, Datatilsynet, Energistyrel-
sen, Forsvarets Efterretningstjeneste, Konkurrence- og For-
brugerstyrelsen, Moderniseringsstyrelsen, Patent- og Vare-
mærkestyrelsen, Politiets Efterretningstjeneste, Rigspolitiet,
Rigsrevisionen, Sikkerhedsstyrelsen, Statens It, Statsadvo-
katen for Særlig Økonomisk og International Kriminalitet,
Styrelsen for It og Læring, Søfartsstyrelsen, Nævnenes Hus,
Udbetaling Danmark.
10. Sammenfattende skema
Samlet vurdering af konsekvenser af lovforslaget
Positive konsekvenser/ mindreudgifter
(hvis ja, angiv omfang)
Negative konsekvenser/merudgifter
(hvis ja, angiv omfang)
Økonomiske konsekvenser for stat,
kommuner og regioner
Ingen Ingen
Administrative konsekvenser for stat,
kommuner, og regioner
Ingen Ingen
Økonomiske konsekvenser for er-
hvervslivet
Ingen Det vurderes, at lovforslaget i forhold til
de øvrige efterlevelseskonsekvenser
medfører byrder under bagatelgrænsen
på 10 millioner kroner årligt.
Administrative konsekvenser for er-
hvervslivet
Ingen Det vurderes, at lovforslaget medfører
administrative byrder under 4 mio. kr.
årligt.
Administrative konsekvenser for bor-
gerne
Ingen Ingen
Miljømæssige konsekvenser Ingen Ingen
Forholdet til EU-retten Loven og de bekendtgørelser, der vil blive udstedt i medfør af loven, gennemfører
dele af Europa-Parlamentets og Rådets direktiv 2016/1148 EU af 6. juli 2016 om
foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informati-
onssystemer i hele Unionen, EU-Tidende 2016, nr. L 194, side 1.
Overimplementering af EU-retlige
minimumsforpligtelser (sæt X)
JA NEJ
X
19
Bemærkninger til lovforslagets enkelte bestemmelser
Til § 1
Den foreslåede bestemmelse i § 1 beskriver anvendelses-
området for loven.
Behandling af personoplysninger i henhold til lovforslaget
udføres i overensstemmelse med databeskyttelsesforordnin-
gen, forslag til databeskyttelsesloven og lov om retshåndhæ-
vende myndigheders behandling af personoplysninger.
Efter § 1, stk. 1, finder lovforslaget anvendelse på operatø-
rer af væsentlige tjenester inden for den digitale infrastruk-
tur og udbydere af digitale tjenester, jf. dog stk. 2.
Operatører af væsentlige tjenester er væsentlige domæne-
navnssystemer og topdomænenavneadministratorer, der er
etableret i Danmark. Med etableret menes en effektiv og reel
udøvelse af aktiviteter gennem stabile ordninger. Den retlige
form er ikke afgørende og kan ud over operatører med hjem-
sted i Danmark også omfatte ordninger med status som ju-
ridisk person i form af fx filialer og datterselskaber.
Udbydere af digitale tjenester er udbydere af onlinemar-
kedspladser, onlinesøgemaskiner eller cloud computing-tje-
nester, der enten har hovedsæde i Danmark eller har en re-
præsentant i landet. Udbydere af digitale tjenester, der tilby-
der deres tjenester i Danmark, men som ikke har hovedsæde
i landet eller en anden EU-medlemsstat, vil skulle udpege en
repræsentant, jf. lovforslagets § 7.
Lovforslagets § 1, stk. 1, gennemfører på denne baggrund
NIS-direktivets bestemmelser om operatører af væsentlige
tjenester inden for den digitale infrastruktur og udbydere af
digitale tjenester i Danmark på Erhvervsministeriets områ-
de.
Efter den foreslåede stk. 2, finder loven ikke anvendelse
på udbydere af digitale tjenester i form af mikrovirksomhe-
der eller små virksomheder. Bestemmelsen gennemfører ar-
tikel 16, stk. 11, i NIS-direktivet, hvorefter mikrovirksom-
heder og små virksomheder ikke er omfattet af kravene til
udbydere af digitale tjenester. Mikrovirksomheder og små
virksomheder skal forstås i overensstemmelse med definitio-
nen i Kommissionens henstilling 2003/361/EF af 6. maj
2003 om definitionen af mikrovirksomheder, små og mel-
lemstore virksomheder. Det vil således være udbydere af di-
gitale tjenester med mindst 50 ansatte og en årlig omsætning
eller en årlig balance over 10 mio. EUR, der vil være omfat-
tet af kravene. Denne undtagelse skal ses i sammenhæng
med, at det skal undgås, at udbydere pålægges en uforholds-
mæssig stor finansiel og administrativ byrde, og at kravene
til udbyderne skal stå i rimeligt forhold til den konkrete risi-
ko.
Til § 2
Den foreslåede § 2 definerer 18 centrale begreber i loven.
Definitionerne i nr. 1, 2 og 4-15 er indholdsmæssig identi-
ske med de tilsvarende definitioner i NIS-direktivet.
Efter nr. 1 er definitionen af net- og informationssystem
indholdsmæssigt identisk med definitionen af net- og infor-
mationssystem i NIS-direktivets artikel 4, nr. 1. Definitionen
af elektroniske kommunikationsnet er enslydende med den
definition af elektroniske kommunikationsnet, der anvendes
i lov om elektroniske kommunikationsnet og -tjenester.
Sidstnævnte lov implementerer Europa-Parlamentets og Rå-
dets direktiv 2002/21/EF af 7. marts 2002 om fælles ramme-
bestemmelser for elektroniske kommunikationsnet og -tje-
nester (rammedirektivet), som definitionen i NIS-direktivet
artikel 4, nr. 1, er baseret på.
Efter nr. 2 er definitionen af sikkerhed i net- og informati-
onssystemer indholdsmæssigt identisk med definitionen af
sikkerhed i net- og informationssystemer i NIS-direktivets
artikel 4, nr. 2.
Efter nr. 3 foreslås definitionen af operatør af tjenester at
omfatte alle offentlige eller private enheder i Danmark, som
leverer en DNS-tjeneste eller er administrator af et topdo-
mænenavn, uanset om enhedens aktiviteter opfylder kriteri-
erne i § 3.
Efter nr. 4 er definitionen af operatør af væsentlige tjene-
ster indholdsmæssigt identisk med definitionen operatør af
væsentlige tjenester i NIS-direktivets artikel 4, nr. 4.
Efter nr. 5 er definitionen af digital tjeneste indholdsmæs-
sigt identisk med definitionen af digital tjeneste i NIS-direk-
tivets artikel 4, nr. 5.
Efter nr. 6 er definitionen af udbyder af digitale tjenester
indholdsmæssigt identisk med definitionen af udbyder af di-
gitale tjenester i NIS-direktivets artikel 4, nr. 6.
Efter nr. 7 er definitionen af hændelse indholdsmæssigt
identisk med definitionen af hændelse i NIS-direktivets arti-
kel 4, nr. 7.
Efter nr. 8 er definitionen af risiko indholdsmæssigt iden-
tisk med definitionen af risiko i artikel 4, nr. 9.
Efter nr. 9 er definitionen af repræsentant indholdsmæs-
sigt identisk med definitionen af repræsentant i NIS-direkti-
vets artikel 4, nr. 10.
Efter nr. 10 er definitionen af domænenavnesystem (DNS)
indholdsmæssigt identisk med definitionen af domænenav-
nesystem (DNS) i NIS-direktivets artikel 4, nr. 14.
Efter nr. 11 er definitionen af DNS-tjenesteudbyder ind-
holdsmæssigt identisk med definitionen af DNS-tjenesteud-
byder i NIS-direktivets artikel 4, nr. 15.
Efter nr. 12 er definitionen af topdomænenavneadmini-
strator indholdsmæssigt identisk med definitionen af topdo-
mænenavneadministrator i NIS-direktivets artikel 4, nr. 16.
Efter nr. 13 er definitionen af onlinemarkedsplads ind-
holdsmæssigt identisk med definitionen af onlinemarkeds-
plads i NIS-direktivets artikel 4, nr. 17. Af NIS-direktivets
betragtning 15 fremgår det yderligere, at onlinemarkeds-
plads ikke omfatter onlinetjenester, der kun tjener til at for-
midle tredjepartstjenester, hvor en kontrakt kan indgås i
sidste ende. Definitionen af onlinemarkedsplads omfatter
heller ikke onlinetjenester, der sammenligner prisen på be-
stemte varer eller tjenester fra forskellige erhvervsdrivende
og derefter omdirigerer brugeren til den foretrukne er-
hvervsdrivende for at købe produktet. Computing-tjenester
leveret af onlinemarkedspladsen kan omfatte behandling af
20
transaktioner, aggregering af data eller analyse af brugere.
App-butikker, der fungerer som onlineforretninger med hen-
blik på digital distribution af applikationer eller software-
programmer fra tredjemand, anses som værende en form for
onlinemarkedsplads.
Efter nr. 14 er definitionen af onlinesøgemaskine ind-
holdsmæssigt identisk med definitionen af onlinesøgemaski-
ne i NIS-direktivets artikel 4, nr. 18. Af NIS-direktivets be-
tragtning 16 fremgår det yderligere, at definitionen af on-
linesøgemaskine ikke omfatter søgefunktioner, der er be-
grænset til indholdet af et særligt websted, uanset om søge-
funktionen er fra en ekstern søgemaskine. Den omfatter hel-
ler ikke onlinetjenester, der sammenligner prisen på bestem-
te varer eller tjenester fra forskellige erhvervsdrivende og
derefter omdirigerer brugeren til den foretrukne erhvervsdri-
vende for at købe produktet.
Efter nr. 15 er definitionen af cloud computing-tjeneste
indholdsmæssigt identisk med definitionen af cloud compu-
ting-tjeneste i NIS-direktivets artikel 4, nr. 19. Af NIS-di-
rektivets betragtning 17 fremgår det yderligere, at it-ressour-
cer omfatter ressourcer som fx netværk, servere eller anden
infrastruktur, lagring, applikationer og tjenester. Udtrykket
skalerbar henviser til it-ressourcer, som kan tildeles fleksi-
belt af udbyderen af cloud computing-tjenester uanset res-
sourcernes geografiske placering med henblik på at håndtere
udsving i efterspørgslen. Udtrykket elastisk pulje bruges til
at beskrive de it-ressourcer, der tilvejebringes og stilles til
rådighed alt efter efterspørgslen for hurtigt at øge eller
mindske de tilgængelige ressourcer alt efter arbejdsbyrden.
Udtrykket delbar bruges til at beskrive de it-ressourcer, der
leveres til flere brugere, som deler en fælles adgang til tjene-
sten, men hvor databehandlingen foretages særskilt for hver
bruger, selv om tjenesten leveres fra samme udstyr.
Efter nr. 16 bygger definitionen af nationalt centralt kon-
taktpunkt på beskrivelsen heraf i NIS-direktivets artikel 8.
Efter nr. 17 bygger definitionen af CSIRT på beskrivelsen
heraf i NIS-direktivets artikel 9 og bilag 1.
Efter nr. 18 er definitionen af mikrovirksomheder og små
virksomheder identisk med den tilsvarende definition af mi-
krovirksomheder og små virksomheder i Kommissionens
henstilling 2003/361/EF af 6. maj 2003 om definitionen af
mikrovirksomheder, små og mellemstore virksomheder.
Virksomheder med 49 eller færre ansatte og en årlig omsæt-
ning eller en årlig balance på 10 mio. EUR eller mindre be-
tragtes som værende mikrovirksomheder og små virksomhe-
der.
Til § 3
Den foreslåede § 3 i lovforslaget gennemfører artikel 5 i
NIS-direktivet.
Efter den foreslåede § 3, stk. 1, skal en enhed anses for en
operatør af en væsentlig tjeneste, hvis 1) enheden leverer en
tjeneste, der er væsentlig for opretholdelsen af kritiske sam-
fundsmæssige eller økonomiske aktiviteter, 2) leveringen af
tjenesten afhænger af net- og informationssystemer, og 3) en
hændelse vil få væsentlige forstyrrende virkninger for leve-
ringen af den nævnte tjeneste. Med stk. 1, fastlægges de
overordnede kriterier for, hvornår en offentlig eller privat
enhed, der udbyder en tjeneste inden for administration af
domænenavne- eller topdomænenavnesystemer, skal betrag-
tes som en operatør af en væsentlig tjeneste.
I afklaringen af om en tjeneste er væsentlig for oprethol-
delsen af kritiske samfundsmæssige og/eller økonomiske ak-
tiviteter vil den ansvarlige for en enhed skulle tage udgangs-
punkt i den liste over væsentlige tjenester, som erhvervsmi-
nisteren udarbejder i henhold til lovforslagets § 3, stk. 2. I
vurderingen skal derudover indgå, om tjenesten er afhængig
af net- og informationssystemer, og om en hændelse vil få
væsentlig forstyrrende virkning for leveringen af den pågæl-
dende tjeneste. For domænenavnssystemer og digitale tjene-
ster vil betingelsen om, at disse er afhængig af net- og infor-
mationssystemer, altid være opfyldt, idet det er en integreret
del af de pågældende systemer og tjenester. Net- og infor-
mationssystemer skal forstås i overensstemmelse med defi-
nitionen i lovforslagets § 2, nr. 1.
I vurderingen af, hvorvidt en hændelse vil få væsentlig
forstyrrende virkning, vil en række faktorer skulle indgå,
som fx det antal brugere, der er afhængige af tjenesten til
private eller erhvervsmæssige formål. Brugen af tjenesten
kan her være direkte, indirekte eller ved formidling. Ved
vurderingen af, hvilke konsekvenser en hændelse kunne ha-
ve rent omfangs- og varighedsmæssigt på økonomiske og
samfundsmæssige aktiviteter eller den offentlige sikkerhed,
vil ligeledes kunne indgå, hvor lang tid der skønnes at ville
gå, før afbrydelsen af tjenesten vil have negative konsekven-
ser. Kriterierne for, hvornår en hændelse har væsentligt for-
styrrende virkning, vil blive nærmere fastsat af erhvervsmi-
nisteren i henhold til bemyndigelsesbestemmelsen i lovfor-
slagets § 5, stk. 4.
Efter lovforslagets § 3, stk. 2, udarbejder og opdaterer er-
hvervsministeren en liste over væsentlige tjenester. Med be-
stemmelsen får erhvervsministeren bemyndigelse til at udar-
bejde og regelmæssigt ajourføre en liste over tjenester inden
for den digitale infrastruktur, der er væsentlige for oprethol-
delsen af kritiske samfundsmæssige eller økonomiske akti-
viteter. Listens formål er at identificere de typer af væsentli-
ge tjenester, der findes inden for administration af domæne-
navnesystemer eller topdomænenavnesystemer. Dette bety-
der, at den ansvarlige enhed inden for denne sektor kan hol-
de de væsentlige tjenester adskilt fra de ikke-væsentlige ak-
tiviteter. Den nærmere afgrænsning af væsentlige tjenester
vil tage udgangspunkt i tjenester, der er vigtige for samfun-
dets funktionalitet, og hvor en afbrydelse fx vil hindre gen-
nemførelsen af økonomiske aktiviteter, underminere bruger-
nes tillid og på anden måde gøre skade på samfundsøkono-
mien.
Efter lovforslagets § 3, stk. 3, kan erhvervsministeren fast-
sætte nærmere regler for afgrænsningen af operatører af væ-
sentlige tjenester. Det er hensigten at få fastlagt grænsevær-
dier, fx i form af brugen af en væsentlig tjeneste, der af-
grænser, hvornår en operatør anses for at være drive en væ-
sentlig tjeneste.
21
Til § 4
Den foreslåede § 4 i lovforslaget gennemfører dele af arti-
kel 14 i NIS-direktivet. Med lovforslaget fastlægges sikker-
hedskravene for operatører af væsentlige tjenester.
Efter det foreslåede § 4, stk. 1, skal operatører af væsentli-
ge tjenester træffe passende og forholdsmæssige tekniske og
organisatoriske foranstaltninger for at styre risiciene for sik-
kerheden i de net- og informationssystemer, som de anven-
der til deres aktiviteter. Under hensyntagen til teknologiens
aktuelle stade skal disse foranstaltninger sikre et sikkerheds-
niveau for net- og informationssystemer, der står mål med
risikoen. Bestemmelsen gennemfører artikel 14, stk. 1, i
NIS-direktivet.
Efter lovforslagets § 4, stk. 2, skal operatører af væsentli-
ge tjenester endvidere træffe passende foranstaltninger for at
forebygge og minimere konsekvensen af hændelser, der be-
rører sikkerheden i net- og informationssystemer, som an-
vendes til levering af væsentlige tjenester, med henblik på at
sikre kontinuiteten i disse tjenester. Bestemmelsen gennem-
fører NIS-direktivets artikel 14, stk. 2.
Bestemmelserne i lovforslagets § 4, stk. 1 og 2, skal ses i
sammenhæng. Formålet med begge bestemmelser er således
at fremme en risikostyringskultur med risikovurdering og
gennemførelse af sikkerhedsforanstaltninger, som står i for-
hold til risiciene. Det er her afgørende, at operatørerne ikke
pålægges en uforholdsmæssig stor økonomisk og admini-
strativ byrde, hvorfor kravene skal stå i et rimeligt forhold
til den risiko, der er forbundet med det pågældende net- og
informationssystem, under hensyntagen til sådanne foran-
staltningers aktuelle stade.
Bestemmelserne i lovforslagets § 4, stk. 1 og 2, vil inde-
bære, at operatørerne skal arbejde systematisk og risikobase-
ret med sikkerheden i deres net- og informationssystemer.
Risikostyringsforanstaltningerne vil omfatte foranstaltninger
til at identificere alle risici for hændelser, forebygge, detek-
tere og håndtere hændelser og begrænse deres konsekvenser.
Sikkerheden i net- og informationssystemer omfatter lagre-
de, overførte og behandlede datas sikkerhed og skal ses som
evnen til, på et givet sikkerhedsniveau, at modstå handlin-
ger, der er til skade for tilgængeligheden, autenticiteten, in-
tegriteten eller fortroligheden i systemerne.
I tilfælde, hvor der er tale om behandling af personhenfør-
bare oplysninger, vil lovgivningen for databeskyttelse, jf.
Lov nr. 429 af 31. maj 2000 om behandling af personoplys-
ninger, finde tilsvarende anvendelse. Reglerne i databeskyt-
telsesforordningen vil finde anvendelse, når disse træder i
kraft den 25. maj 2018.
Foranstaltningerne skal tage højde for den teknologiske
udvikling. Operatørerne vil i forlængelse heraf i deres tilret-
telæggelse og ajourføring af deres sikkerhedsforanstaltnin-
ger skulle inddrage de tekniske løsninger, der er tilgængeli-
ge på markedet.
Med tekniske foranstaltninger sigtes her til foranstaltnin-
ger, der er med til at sikre it-sikkerheden (datasikkerhed og
kommunikationssikkerhed) og den fysiske sikkerhed. Tekni-
ske foranstaltninger vil i forlængelse heraf fx være foran-
staltninger, der skal beskytte enten net- og informationssys-
temerne og operatørernes fysiske lokaliteter mod uberettiget
adgang for udefrakommende, eller sikre at data kan overfø-
res sikkert. Organisatoriske foranstaltninger sigter til fx sty-
redokumenter, manualer, monitorering og evaluering af sik-
kerhedsindsatsen.
Hvilke foranstaltninger inden for lovgivningens rammer,
der konkret skal træffes, overlades til operatørerne. Bestem-
melsen indfører ikke en forpligtelse til at konstruere, udvikle
eller fremstille et bestemt kommercielt informations- og
kommunikationsteknologiprodukt. Sikkerhedskravene gæl-
der endelig uanset om operatørerne selv står for vedligehol-
delsen af deres net- og informationssystemer eller har out-
sourcet denne opgave.
Efter lovforslagets § 4, stk. 3, kan erhvervsministern fast-
sætte nærmere regler om foranstaltninger efter stk. 1 og 2.
Med bestemmelsen vil erhvervsministeren få bemyndigelse
til at fastsætte nærmere sikkerhedskrav til operatørerne. Be-
myndigelsen vil skulle anvendes til at præcisere lovforsla-
gets krav i § 4, stk. 1 og 2, om risikostyringsforanstaltninger
på baggrund af bl.a. de vejledninger, der ventes udstedt i
EU-regi om operatørernes sikkerhedsforpligtelser i henhold
til NIS-direktivet. Bemyndigelsen kan fx anvendes til at
fastsætte bestemmelser om adgang, til fysisk- og miljømæs-
sig sikkerhed såsom beskyttelse mod indbrud og brand, samt
bestemmelser om forsyningssikkerhed såsom udarbejdelse
af politikker for adgang til elforsyning.
Bemyndigelsen vil ikke blive anvendt til at fastsætte yder-
ligere krav end de krav, der følger af NIS-direktivet. Endvi-
dere vil der i udmøntningen af bemyndigelsen blive lagt
vægt på at sikre, at operatørerne kun underlægges proportio-
nale krav, der i videst muligt omfang overlader et skøn til
udbyderne til selv at beslutte indholdet af deres sikkerheds-
foranstaltninger, så længe de er tilstrækkelige til at leve op
til sikkerhedsforpligtelserne.
Til § 5
Den foreslåede § 5 i lovforslaget gennemfører dele af arti-
kel 14 i NIS-direktivet. Med lovforslaget fastlægges opera-
tørers forpligtelse til at underrette myndighederne i tilfælde
af hændelser.
Efter lovforslagets § 5, stk. 1, skal operatører af væsentli-
ge tjenester hurtigst muligt underrette Erhvervsstyrelsen og
Center for Cybersikkerhed om hændelser, der har væsentlige
konsekvenser for kontinuiteten af de væsentlige tjenester,
som de leverer. Underretningen skal indeholde oplysninger,
der gør det muligt for Erhvervsstyrelsen og Center for Cy-
bersikkerhed at fastslå eventuelle grænseoverskridende kon-
sekvenser af hændelsen. Med bestemmelsen vil underretnin-
gen skulle indeholde oplysninger, der gør Erhvervsstyrelsen
og Center for Cybersikkerhed i stand til at vurdere om hæn-
delsen har betydning for andre EU-lande, fx antal brugere af
de berørte systemer i de pågældende lande og varigheden af
hændelsen.
Hændelser defineres her i overensstemmelse med lovfor-
slagets § 2, nr. 7, hvorefter en hændelse er enhver begiven-
22
hed, der har egentlig negativ indvirkning på sikkerheden i
net- og informationssystemer.
Med hurtigst muligt sigtes til, at operatøren under hensyn-
tagen til arbejdet med at minimere konsekvenserne af hæn-
delsen skal foretage underretningen, så snart denne har de
nødvendige oplysninger til at kunne vurdere omfanget af
hændelsen. Det gælder særligt, hvis hændelsen vurderes at
kunne påvirke flere operatører eller til at være grænseover-
skridende, hvilket fx kan være tilfældet ved en hændelse,
som rammer et topdomænenavn.
Efter det foreslåede stk. 2 skal operatøren i vurderingen af,
om en hændelse har væsentlige konsekvenser navnlig ind-
drage: a) antallet af brugere, der er berørt af hændelsen, b)
hændelsens varighed og c) hvor stort et geografisk område,
der er berørt af hændelsen. De nærmere kriterier for, hvor-
når og hvordan en underretning vil skulle ske samt indholdet
af underretningen, vil blive fastlagt af erhvervsministeren i
henhold til bemyndigelsesbestemmelsen i lovforslagets § 5,
stk. 4. Bliver Erhvervsstyrelsen bekendt med, at der ikke er
foretaget underretning af en hændelse, som har væsentlige
konsekvenser, vil der som udgangspunkt blive udstedt et på-
bud om at foretage underretningen. Manglende opfyldelse af
påbuddet er straffebelagt, jf. lovforslagets § 17.
Efter det foreslåede stk. 3 skal operatøren også foretage en
underretning, hvis dennes net- og informationssystemer er
påvirkede af en hændelse i en digital udbyders tjeneste, som
operatøren er afhængig af. Herigennem sikres, at Erhvervs-
styrelsen og Center for Cybersikkerhed får kendskab til
hændelser og mangler i sikkerheden hos udbydere af digitale
tjenester, der har en negativ indvirkning på væsentlige tjene-
ster. Underretningen vil kunne indgå som dokumentation
for, at en udbyder ikke har levet op til kravene efter dette
lovforslag. Bestemmelsen i stk. 3 er indholdsmæssig iden-
tisk med artikel 16, stk. 5, i NIS-direktivet.
Efter det foreslåede stk. 4 kan erhvervsministeren fastsæt-
te nærmere regler om underretning efter stk. 1 og 3, og om
kriterierne efter stk. 2. Det er hensigten at få fastlagt grænse-
værdier for, hvornår en hændelse anses for væsentlig. Det
forventes, at indberetning vil skulle ske via en fælles indbe-
retningsløsning, fx på virk·dk.
Det bemærkes, at i tilfælde af brud på persondatasikkerhe-
den, vil der fra den 25. maj 2018, hvor databeskyttelsesfor-
ordningen finder anvendelse, skulle ske anmeldelse af brud
på persondatasikkerheden til den relevante tilsynsmyndig-
hed, dvs. Datatilsynet, uden unødig forsinkelse og om mu-
ligt senest 72 timer efter, at den dataansvarlige er blevet be-
kendt med bruddet, jf. persondataforordningens art. 33, stk.
1.
Til § 6
Den foreslåede § 6 i lovforslaget gennemfører dele af arti-
kel 14 i NIS-direktivet.
Med bestemmelsen i stk. 1 foreslås det, at Erhvervsstyrel-
sen kan videregive oplysninger til Center for Cybersikker-
hed om hændelser, der er nødvendige for Center for Cyber-
sikkerhed til opfyldelse af dets lovbestemte opgaver som na-
tionalt centralt kontaktpunkt og CSIRT i henhold til NIS-di-
rektivet. Bestemmelsen skal anvendes i overensstemmelse
med forvaltningslovens § 28 og under iagttagelse af de
grundlæggende principper om saglighed og proportionalitet.
Ifølge lovforslag L 69 til L 68, som blev behandlet samlet,
er der sket en tilpasning af forvaltningslovens § 28, så der
fremover henvises til reglerne i databeskyttelsesforordnin-
gen og forslag til databeskyttelsesloven. Center for Cyber-
sikkerhed skal i henhold til direktivet foretage monitorering
af hændelser på nationalt plan, tidlig varsling, advarsler,
meddelelser og formidling af information til relevante inte-
ressenter om risici og hændelser, at reagere på hændelser,
udarbejdelse af dynamisk risiko- og hændelsesanalyser og
situationsrapporter. Center for Cybersikkerhed vil endvidere
skulle orientere kontaktpunkter i andre medlemsstater om
hændelser, der har væsentlige konsekvenser for kontinuite-
ten i de væsentlige tjenester, der udbydes i de pågældende
lande - fx hændelser i forhold til tilgængeligheden af domæ-
nenavnsservertjenesten hos en væsentlig topdomænenavn-
sadministrator. Orienteringen vil ske under hensyntagen til
operatørens sikkerhed og kommercielle interesser samt krav
på fortrolig behandling af oplysninger.
Efter det foreslåede stk. 2, kan Erhvervsstyrelsen videregi-
ve relevante oplysninger til den underrettende operatør af
væsentlige tjenester om opfølgningen på underretningen,
herunder oplysninger der kan støtte en effektiv håndtering af
hændelsen. Formålet med bestemmelsen er først og frem-
mest at sikre, at operatøren får en tilbagemelding, der kan
understøtte operatørens videre arbejde med at begrænse
hændelsen.
Med bestemmelsen i stk. 3 foreslås det, at Erhvervsstyrel-
sen efter høring af den underrettende operatør af væsentlige
tjenester oplyser offentligheden om konkrete hændelser,
hvis offentlighedens kendskab hertil er nødvendigt for at fo-
rebygge en hændelse eller håndtere en igangværende hæn-
delse. Erhvervsstyrelsens beslutning om at offentliggøre en
konkret hændelse er ikke en afgørelse i forvaltningslovens
forstand. Forslaget om offentliggørelse af oplysninger om
hændelser, som ovenfor beskrevet, er udarbejdet med bag-
grund i de anbefalinger, som fremgår af Justitsministeriets
betænkning nr. 1516/2010 om offentlige myndigheders of-
fentliggørelse af kontrolresultater, afgørelser m.v. I betænk-
ningen anbefales det, at der inden indførelse af ordninger
med systematisk offentliggørelse af oplysning om kontrolre-
sultater, afgørelser m.v. på internettet i ikke-anonymiseret
form foretages en vurdering af det konkrete behov for of-
fentliggørelse, om offentliggørelse kan forventes konkret at
være særligt indgribende for personen, om der er tungtve-
jende samfundsmæssige hensyn bag offentliggørelsesord-
ningen, om offentliggørelse strider mod de gældende data-
beskyttelsesretlige regler og de almindelige regler om tavs-
hedspligt, og om der af retssikkerhedsmæssige grunde er op-
stillet administrative regler for forvaltningsmyndighedens
behandling af de enkelte sager.
Erhvervsstyrelsen vil alene offentliggøre afgørelser om fy-
siske personer i anonymiseret form. Der vil derfor som ud-
gangspunkt ikke blive givet personoplysninger til offentlig-
23
heden, hvorfor disse afgørelser ikke vil være reguleret af de
gældende databeskyttelsesretlige regler. Offentliggørelse af
navnet på den berørte operatør vil blive offentliggjort, så-
fremt Erhvervsstyrelsen vurderer, at det er nødvendigt for at
forebygge eller håndtere en igangværende hændelse, med-
mindre det samme resultat kan nås med en anonymiseret of-
fentliggørelse, som alene omfatter den konkrete hændelse.
Offentliggørelse vil ske efter høring af operatøren, og Er-
hvervsstyrelsen vil foretage en afvejning af på den ene side
offentlighedens interesse i at blive informeret om trusler
m.v., herunder om der helt eller delvis ikke er adgang til
hjemmesider under et topdomænenavn og på den anden side
mulig kommerciel skade samt skade for omdømmet for den
pågældende operatør. Det vil særligt være i offentlighedens
interesse at få oplysninger om en hændelse, som kan have
betydning for at forebygge en gentagelse af hændelsen eller
kan bidrage i forbindelse med håndtering af en igangværen-
de hændelse. Det er ikke hensigten, at der skal offentliggø-
res oplysninger om tekniske indretninger eller fremgangs-
måder eller om drifts- eller forretningsforhold eller lignende
for så vidt Erhvervsstyrelsen vurderer, at det er af væsentlig
betydning for operatøren, eller oplysninger om enkeltperso-
ners forhold. Center for Cybersikkerhed kan i koordination
med Erhvervsstyrelsen stå for offentliggørelsen i de tilfælde,
hvor hændelsen vedrører flere af de sektorer, som er omfat-
tet af NIS-direktivet.
Til § 7
Efter den foreslåede § 7 skal en udbyder af en digital tje-
neste, der ikke har hovedsæde i EU, men som tilbyder sin
tjeneste i Danmark, udpege en repræsentant i Danmark eller
i et andet EU-land, hvor tjenesten tilbydes. Bestemmelsen
gennemfører dele af artikel 18 i NIS-direktivet og skal sikre,
at Erhvervsstyrelsen i spørgsmål om overtrædelse af be-
stemmelserne i dette lovforslag vil kunne kontakte en repræ-
sentant for den digitale udbyder, hvis digitale udbydere ikke
har hjemsted i Danmark.
Med henblik på at afgøre, om udbyderen tilbyder sin digi-
tale tjeneste i Danmark, skal der lægges vægt på, om det er
åbenbart, at udbyderen af digitale tjenester påtænker at til-
byde tjenester til personer i Danmark. Alene det forhold, at
der i Danmark er adgang til udbyderens eller en mellem-
mands websted eller til andre kontaktoplysninger er util-
strækkeligt til at fastslå en sådan hensigt. Imidlertid kan fak-
torer såsom information på dansk, priser angivet i danske
kroner eller omtale af kunder eller brugere i Danmark, gøre
det åbenbart, at udbyderen påtænker at tilbyde sine digitale
tjenester i Danmark. Det er den enkelte udbyder af digitale
tjenesters ansvar at udpege en repræsentant, hvis en sådan
ikke findes i et andet EU-land.
Repræsentanten skal udtrykkeligt udpeges ved en skriftlig
fuldmagt fra udbyderen til at handle på vegne af udbyderen
for så vidt angår dennes forpligtelser i medfør af bestemmel-
serne i dette direktiv, herunder i forbindelse med underret-
ning om hændelser. Udpegelsen af en repræsentant af udby-
deren af digitale tjenester berører ikke eventuelle retlige
skridt mod selve udbyderen af digitale tjenester.
Til § 8
Den foreslåede § 8 i lovforslaget gennemfører dele af arti-
kel 16 i NIS-direktivet. Med lovforslaget fastlægges sikker-
hedskravene for udbydere af digitale tjenester.
Efter lovforslagets § 8, stk. 1, skal udbydere af digitale tje-
nester identificere og træffe passende og forholdsmæssige
tekniske og organisatoriske foranstaltninger for at styre risi-
ciene for sikkerheden i de net- og informationssystemer,
som de anvender i forbindelse med deres tjenester. Under
hensyntagen til teknologiens aktuelle stade skal disse foran-
staltninger sikre et sikkerhedsniveau for net- og informati-
onssystemer, der står i mål med risikoen. Udbyderen skal i
den forbindelse inddrage: 1) sikkerheden i systemer og faci-
liteter, 2) håndtering af hændelser, 3) styring af driftskonti-
nuitet, 4) monitorering, audit og testning, og 5) overholdelse
af internationale standarder. Bestemmelsen gennemfører ar-
tikel 16, stk. 1, i NIS-direktivet.
Efter lovforslagets § 8, stk. 2, skal udbydere af digitale tje-
nester endvidere træffe passende foranstaltninger for at fore-
bygge og minimere konsekvensen af hændelser, der berører
sikkerheden i deres net- og informationssystemer for at sikre
kontinuiteten i disse tjenester. Bestemmelsen gennemfører
NIS-direktivets artikel 16, stk. 2.
Bestemmelserne i lovforslagets § 8, stk. 1 og 2, skal ses i
sammenhæng. Formålet med begge bestemmelser er lig lov-
forslagets § 4, stk. 1 og 2, at fremme en risikostyringskultur
med risikovurdering og gennemførelse af sikkerhedsforan-
staltninger, som står i forhold til risiciene. Det er ligesom for
operatører afgørende, at udbyderne ikke pålægges en ufor-
holdsmæssig stor økonomisk og administrativ byrde, hvor-
for kravene skal stå i et rimeligt forhold til den risiko, der er
forbundet med det pågældende net- og informationssystem,
under hensyntagen til sådanne foranstaltningers aktuelle sta-
die.
Bestemmelserne i lovforslagets § 8, stk. 1 og 2, vil inde-
bære, at udbyderne skal arbejde systematisk og risikobaseret
med sikkerheden i deres net- og informationssystemer. Risi-
kostyringsforanstaltningerne vil omfatte foranstaltninger til
at identificere alle risici for hændelser, forebygge, detektere
og håndtere hændelser og begrænse deres konsekvenser.
Hvilke foranstaltninger inden for lovgivningens rammer, der
konkret skal træffes, overlades lig hvad der foreslås for ope-
ratørerne til udbyderne. Til forskel for lovforslagets § 4 for
operatører præciseres det imidlertid i den foreslåede § 8, stk.
1, at udbyderne i deres tilrettelæggelse af deres foranstalt-
ninger skal inddrage følgende elementer: Sikkerheden i sy-
stemer og faciliteter, håndtering af hændelser, styring af
driftskontinuitet, monitorering, audit (kontrol) og testning
samt overholdelse af internationale standarder. Disse ele-
menter er nærmere specificeret i Kommissionens gennemfø-
relsesforordning 2018/151/EU af 30. januar 2018.
Efter lovforslagets § 8, stk. 3, kan Erhvervsstyrelsen fast-
sætte nærmere regler om foranstaltninger efter stk. 1 og 2.
Bemyndigelsen vil skulle anvendes til at præcisere lovfor-
slagets krav i § 8, stk. 1 og 2, om risikostyringsforanstaltnin-
ger på baggrund af Kommissionens gennemførelsesforord-
24
ning 2018/151/EU af 30. januar 2018. Bemyndigelsen kan
fx anvendes til at fastsætte bestemmelser om adgang til fy-
sisk- og miljømæssig sikkerhed såsom beskyttelse mod ind-
brud og brand, samt bestemmelser om forsyningssikkerhed
såsom udarbejdelse af politikker for adgang til elforsyning.
Bemyndigelsen vil ikke blive anvendt til at fastsætte yderli-
gere krav end de krav, der følger af NIS-direktivet. Endvide-
re vil der i udmøntningen af bemyndigelsen blive lagt vægt
på at sikre, at udbyderne kun underlægges proportionale
krav, der i videst muligt omfang overlader et skøn til udby-
derne til selv at beslutte indholdet af deres sikkerhedsforan-
staltninger.
Til § 9
Den foreslåede § 9 i lovforslaget gennemfører dele af arti-
kel 16 i NIS-direktivet. Med lovforslaget fastlægges udby-
deres forpligtelse til at underrette myndighederne i tilfælde
af hændelser.
Efter lovforslagets § 9, stk. 1, skal udbydere af digitale tje-
nester hurtigst muligt underrette Erhvervsstyrelsen og Cen-
ter for Cybersikkerhed om hændelser, der har betydelige
konsekvenser for leveringen af deres tjeneste. Underretnin-
gen skal indeholde oplysninger, der gør det muligt for Er-
hvervsstyrelsen og Center for Cybersikkerhed at vurdere de
eventuelle grænseoverskridende konsekvenser ved hændel-
sen, jf. dog stk. 3.
Hændelser defineres her i overensstemmelse med lovfor-
slagets § 2, nr. 7, hvorefter en hændelse er enhver begiven-
hed, der har egentlig negativ indvirkning på sikkerheden i
net- og informationssystemer.
Med hurtigst muligt sigtes til, at udbyderen under hensyn-
tagen til arbejdet med at minimere konsekvenserne af hæn-
delsen skal foretage underretningen, så snart denne har de
nødvendige oplysninger til at kunne vurdere omfanget af
hændelsen. Det gælder særligt, hvis hændelsen vurderes at
kunne påvirke flere udbydere eller til at være grænseover-
skridende. Bliver Erhvervsstyrelsen bekendt med, at der ik-
ke er foretaget underretning af en hændelse, som har væ-
sentlige konsekvenser, vil der som udgangspunkt blive ud-
stedt et påbud om at foretage underretningen. Manglende
opfyldelse af påbuddet er straffebelagt, jf. lovforslagets §
17.
Efter lovforslagets § 9, stk. 2, skal udbydere i vurderingen
af, om en hændelse har væsentlige konsekvenser, inddrage
navnlig: a) antallet af brugere, der er berørt af hændelsen, b)
hændelsens varighed, c) hvor stort et geografisk område, der
er berørt af hændelsen, d) omfanget af afbrydelsen af tjene-
stens funktion, og e) omfanget af konsekvenserne for øko-
nomiske og samfundsmæssige aktiviteter. De nævnte kriteri-
er vil skulle forstås i overensstemmelse med Kommissio-
nens gennemførelsesforordning 2018/151/EU af 30. januar
2018.
I henhold til lovforslagets § 9, stk. 3, skal underretning ef-
ter stk. 1 kun ske, i det omfang udbyderen af digitale tjene-
ster har adgang til relevante oplysninger, herunder oplysnin-
ger omfattet af stk. 2. Med bestemmelsen vil udbyderen ikke
skulle underrette myndighederne, hvis ikke udbyderen har
de oplysninger, der er nødvendige for at fastlægge om en
hændelse har væsentlige konsekvenser. Det forhold, at ud-
byderen ikke har adgang til oplysninger om alle de nævnte
kriterier i stk. 2, fx antal brugere, medfører ikke, at udbyde-
rens forpligtelse til at underrette bortfalder alene af den
grund. Udbyderen vil således skulle foretage en samlet vur-
dering af de oplysninger, der er til rådighed, og på den bag-
grund foretage en vurdering af hændelsens væsentlighed.
De nærmere kriterier for, hvornår og hvordan en underret-
ning vil skulle ske samt indholdet af underretningen, vil bli-
ve fastlagt af Erhvervsstyrelsen i henhold til bemyndigelses-
bestemmelsen i lovforslagets § 9, stk. 4. Bemyndigelsen vil
blive anvendt til at præcisere kriterierne for, hvornår en
hændelse skal indberettes på baggrund af Kommissionens
gennemførelsesforordning 2018/151/EU af 30. januar 2018.
Bemyndigelsen vil endvidere anvendes til at præcisere,
hvordan indberetningen skal foregå – fx gennem en fælles
indberetningsløsning på virk·dk.
Det bemærkes, at i tilfælde af brud på persondatasikkerhe-
den, vil der fra den 25. maj 2018, hvor databeskyttelsesfor-
ordningen finder anvendelse, skulle ske anmeldelse af brud
på persondatasikkerheden til den relevante tilsynsmyndig-
hed, dvs. Datatilsynet, uden unødig forsinkelse og om mu-
ligt senest 72 timer efter, at den dataansvarlige er blevet be-
kendt med bruddet, jf. persondataforordningens art. 33, stk.
1.
Til § 10
Den foreslåede § 10 i lovforslaget gennemfører dele af ar-
tikel 16 i NIS-direktivet.
Med bestemmelsen i stk. 1 foreslås det, at Erhvervsstyrel-
sen kan videregive oplysninger til Center for Cybersikker-
hed om hændelser, der er nødvendige for Center for Cyber-
sikkerhed til opfyldelse af dets lovbestemte opgaver som na-
tionalt centralt kontaktpunkt i henhold til NIS-direktivet.
Bestemmelsen skal anvendes i overensstemmelse med for-
valtningslovens § 28 og under iagttagelse af de grundlæg-
gende principper om saglighed og proportionalitet. Ifølge
lovforslag L 69 til L 68, som blev behandlet samlet, er der
sket en tilpasning af forvaltningslovens § 28, så der fremo-
ver henvises til reglerne i databeskyttelsesforordningen og
forslag til databeskyttelsesloven. Center for Cybersikkerhed
skal i henhold til direktivet foretage monitorering af hændel-
ser på nationalt plan, tidlig varsling, advarsler, meddelelser
og formidling af information til relevante interessenter om
risici og hændelser, at reagere på hændelser, udarbejdelse af
dynamisk risiko- og hændelsesanalyser og situationsrappor-
ter. Center for Cybersikkerhed vil endvidere skulle orientere
kontaktpunkter i andre medlemsstater om hændelser, der har
betydelige konsekvenser for leveringen af de tjenester, der
udbydes i de pågældende lande. Orienteringen vil ske under
hensyntagen til udbyderens sikkerhed og kommercielle inte-
resser samt krav på fortrolig behandling af oplysninger.
Med bestemmelsen i stk. 2 foreslås det, at Erhvervsstyrel-
sen efter høring af udbyderen af digitale tjenester kan oplyse
25
offentligheden om konkrete hændelser eller kræve, at udby-
deren af digitale tjenester offentliggør det, hvis offentlighe-
dens kendskab hertil er nødvendigt for at forebygge en hæn-
delse eller håndtere en igangværende hændelse, eller hvis
offentliggørelse i øvrigt er i offentlighedens interesse. Det
vil særligt være i offentlighedens interesse at få oplysninger
om en hændelse, som kan have betydning for at forebygge
en gentagelse af hændelsen eller kan bidrage i forbindelse
med håndtering af en igangværende hændelse.
Erhvervsstyrelsens beslutning om at offentliggøre en kon-
kret hændelse er ikke en afgørelse i forvaltningslovens for-
stand. Forslaget om offentliggørelse af oplysninger om hæn-
delser, som ovenfor beskrevet, er udarbejdet med baggrund i
de anbefalinger, som fremgår af Justitsministeriets betænk-
ning nr. 1516/2010 om offentlige myndigheders offentliggø-
relse af kontrolresultater, afgørelser m.v. I betænkningen an-
befales det, at der inden indførelse af ordninger med syste-
matisk offentliggørelse af oplysning om kontrolresultater,
afgørelser m.v. på internettet i ikke-anonymiseret form fore-
tages en vurdering af det konkrete behov for offentliggørel-
se, om offentliggørelse kan forventes konkret at være særligt
indgribende for personen, om der er tungtvejende samfunds-
mæssige hensyn bag offentliggørelsesordningen, om offent-
liggørelse strider mod de databeskyttelsesretlige regler og de
almindelige regler om tavshedspligt, og om der af retssik-
kerhedsmæssige grunde er opstillet administrative regler for
forvaltningsmyndighedens behandling af de enkelte sager.
Erhvervsstyrelsen vil alene offentliggøre afgørelser om fy-
siske personer i anonymiseret form. Der vil derfor som ud-
gangspunkt ikke blive givet personoplysninger til offentlig-
heden, hvorfor disse afgørelser ikke vil være reguleret af de
gældende databeskyttelsesretlige regler. Offentliggørelse af
navnet på den berørte operatør vil blive offentliggjort, så-
fremt Erhvervsstyrelsen vurderer, at det er nødvendigt for at
forebygge eller håndtere en igangværende hændelse, med-
mindre det samme resultat kan nås med en anonymiseret of-
fentliggørelse, som alene omfatter den konkrete hændelse.
Offentliggørelse vil ske efter høring af udbyderen, og der
skal foretages en afvejning af på den ene side offentlighe-
dens interesse i at blive informeret om trusler og på den an-
den side mulig imageskade og kommerciel skade for den på-
gældende udbyder. Det er ikke hensigten, at der skal offent-
liggøres oplysninger om tekniske indretninger eller frem-
gangsmåder eller om drifts- eller forretningsforhold eller
lignende for så vidt Erhvervsstyrelsen vurderer, at det er af
væsentlig betydning for udbyderen, eller oplysninger om en-
keltpersoners forhold. Center for Cybersikkerhed kan i koor-
dination med Erhvervsstyrelsen stå for offentliggørelsen i de
tilfælde, hvor hændelsen vedrører flere af de sektorer, som
er omfattet af NIS-direktivet.
Til § 11
Med lovforslagets § 11, stk. 1, skabes der hjemmel til, at
Erhvervsstyrelsen kan fastsætte regler om, at skriftlig kom-
munikation til og fra styrelsen om alle forhold skal foregå
digitalt.
Lovforslaget indebærer bl.a., at skriftlige henvendelser
m.v. til styrelsen om forhold, som er omfattet af loven eller
regler udstedt i medfør af loven, ikke anses for behørigt
modtaget i styrelsen, hvis de indsendes på anden vis end den
foreskrevne digitale måde.
Samtidig indebærer lovforslaget, at meddelelser m.v. til
eller fra Erhvervsstyrelsen, der sendes på den foreskrevne
digitale måde, anses for at være kommet frem til modtage-
ren på det tidspunkt, hvor meddelelsen m.v. er tilgængelig
digitalt for modtageren, jf. det foreslåede stk. 3. Det vil sige
med samme retsvirkninger som fysisk post, der anses for at
være kommet frem, når den pågældende meddelelse m.v. er
lagt i adressatens fysiske postkasse.
Af bekendtgørelsen, som udmønter den foreslåede bemyn-
digelse, vil det komme til at fremgå, hvem der omfattes af
pligten til at kommunikere digitalt med styrelsen, om hvilke
forhold og på hvilken måde.
Ved henvendelser til styrelsen kan styrelsen stille krav
om, at den pågældende oplyser en e-mailadresse, som den
pågældende kan kontaktes på i forbindelse med behandlin-
gen af en konkret sag eller henvendelse til styrelsen. I den
forbindelse kan der også pålægges den pågældende en pligt
til at underrette styrelsen om en eventuel ændring i e-maila-
dressen, inden den konkrete sag afsluttes eller henvendelsen
besvares, medmindre e-mails automatisk bliver videresendt
til den nye e-mailadresse.
I bekendtgørelsen, som udmønter den foreslåede bemyn-
digelse i stk. 1, kan der fastsættes regler om, at Erhvervssty-
relsen kan sende visse meddelelser, herunder afgørelser og
påbud m.v., til adressatens digitale postkasse med de rets-
virkninger, der følger af Lov om Offentlig Digital Post.
I bekendtgørelsen kan der desuden fastsættes regler om
fritagelse for pligten til digital kommunikation. Da der er ta-
le om kommunikation om erhvervsforhold, vil fritagelses-
muligheden blive stærkt begrænset. Fritagelsesmuligheden
tænkes navnlig anvendt, hvor det er påkrævet at anvende en
dansk digital signatur, og der er tale om en person uden
dansk CPR-nummer eller en virksomhed med hjemsted i ud-
landet, som ikke kan få en dansk digital signatur.
Fritagelsesmuligheden kan endvidere tænkes anvendt,
hvis materialet på grund af sin særlige beskaffenhed ikke er
egnet til digital fremsendelse. Det kan fx være tilfældet i
forbindelse med en undersøgelsessag, hvor der kan være tale
om udveksling af en meget omfattende mængde dokumenta-
tion m.v.
Det forhold, at en virksomhed eller en person oplever, at
den pågældendes egen computer ikke fungerer, at den på-
gældende har mistet koden til sin digitale signatur eller ople-
ver lignende hindringer, som det er op til den pågældende at
overkomme, kan ikke føre til fritagelse for pligten til digital
kommunikation. Efter det foreslåede stk. 2 kan der i be-
kendtgørelsen specificeres krav om anvendelse af bestemte
it-systemer, digitale formater og digital signatur eller lignen-
de.
Det foreslåede stk. 3 fastsætter, hvornår en digital medde-
lelse må anses for at være kommet frem til adressaten for
26
meddelelsen, dvs. modtageren af meddelelsen. For medde-
lelser, der sendes til en myndighed, er myndigheden adressat
for meddelelsen. For meddelelser, som myndigheden sen-
der, er den pågældende virksomhed etc., som meddelelsen
sendes til, adressat for meddelelsen.
En meddelelse vil normalt anses for at være kommet frem
til en myndighed på det tidspunkt, hvor meddelelsen er til-
gængelig for myndigheden, dvs. når styrelsen kan behandle
meddelelsen. Dette tidspunkt vil normalt blive registreret
automatisk i en modtagelsesanordning eller et datasystem.
Har myndigheden fastsat en senest dato for modtagelse af en
meddelelse, betragtes meddelelsen som været rettidigt kom-
met frem, når meddelelsen er registreret modtaget inden
midnat den pågældende dato. En meddelelse vil normalt an-
ses for at være kommet frem til en virksomhed eller person
på det tidspunkt, hvor meddelelsen er tilgængelig for den
pågældende. En meddelelse vil blive anset for at være til-
gængelig, selvom den pågældende ikke kan skaffe sig ad-
gang til meddelelsen, hvis dette skyldes hindringer, som det
er op til den pågældende at overkomme. Som eksempler
herpå kan nævnes, at den pågældendes egen computer ikke
fungerer, eller den pågældende har mistet koden til sin digi-
tale signatur.
Til § 12
Med lovforslagets § 12 kan der fastsættes regler om, at Er-
hvervsstyrelsen kan udstede afgørelser og andre dokumenter
efter denne lov eller regler udstedt i medfør af denne lov
uden underskrift, med maskinel eller på tilsvarende måde
gengivet underskrift eller under anvendelse af en teknik, der
sikrer entydig identifikation af den, som har udstedt afgørel-
sen eller dokumentet. Bestemmelsen og regler udstedt i
medfør heraf finder anvendelse under iagttagelse af identifi-
kationskravet i forvaltningslovens § 32 b.
Til § 13
Den foreslåede § 13 vedrører dokumenter, som er omfattet
af denne lov eller forskrifter udstedt i medfør heraf, og som
er udstedt af andre end en myndighed, hvor det efter loven
eller regler udstedt i medfør af loven er krævet, at dokumen-
tet er underskrevet. Underskriftskravet kan fremgå udtryk-
keligt eller forudsætningsvist af de pågældende regler.
For at der ikke skal kunne opstå tvivl om, at underskrift-
skravet kan opfyldes på anden måde end ved en personlig
underskrift, foreslås det, at der indsættes en udtrykkelig be-
stemmelse i loven om, at underskriftskravet som anført i stk.
1 kan opfyldes ved, at underskriveren anvender en teknik,
der sikrer entydig identifikation af den pågældende, fx digi-
tal signatur.
Det foreslås i stk. 2, at Erhvervsstyrelsen kan fastsætte
nærmere regler om, hvordan kravet om personlig underskrift
kan fraviges. Med hjemmel i den foreslåede bestemmelse
kan der desuden fastsættes regler om, at krav om personlig
underskrift ikke kan fraviges for visse typer af dokumenter.
Til § 14
Den foreslåede § 14 har til formål at skabe rammerne for
et tilsyn med operatørernes og udbydernes overholdelse af
kravene til informationssikkerhed. Bestemmelsen gennem-
fører dele af NIS-direktivets artikel 15 og 17.
Med bestemmelsen i stk. 1 foreslås det, at Erhvervsstyrel-
sen fører tilsyn med overholdelsen af loven og regler udstedt
i medfør af loven. Hvad der nærmere ligger i tilsynsforplig-
telsen bliver udbygget i stk. 2 og 3.
Efter det foreslåede stk. 2 kan Erhvervsstyrelsen kræve, at
operatører og udbydere afgiver de oplysninger, der er nød-
vendige for styrelsens tilsyn efter loven. Erhvervsstyrelsen
sikres med bestemmelsen adgang til enhver oplysning, der
er nødvendige til gennemførelse af styrelsens tilsynsvirk-
somhed. Sådanne oplysninger kan eksempelvis være til brug
for identificeringen af operatører af væsentlige tjenester
samt i forhold til at indhente operatørers eller udbyderes in-
formationssikkerhedspolitik, risikovurderinger, beredskabs-
planer, netarkitektur- og designdokumenter samt testrappor-
ter.
Efter det foreslåede stk. 3 kan Erhvervsstyrelsen endvidere
som led i sit tilsyn med operatører af væsentlige tjenester
kræve dokumentation af operatørerne for den faktiske gen-
nemførelse af sikkerhedspolitikker. På baggrund af en risi-
koanalyse skal operatører af væsentlige tjenester således
kunne dokumentere at have opbygget, vedligeholdt og gen-
nemført sikkerhedspolitikker, der er godkendt af ledelsen.
Sikkerhedspolitikkerne bør angive de strategiske mål og be-
skrive den sikkerhedsstyring, som operatøren har. Endvidere
bør de indeholder alle relevante sikkerhedselementer i for-
hold til fx sikkerhedsgodkendelsesprocesser, sikkerhedsrevi-
sion, kryptering, sikkerhedsvedligeholdelse og hændelses-
håndtering. Der fastsættes ingen krav til, hvordan dokumen-
tation skal forelægges, ud over at den skal foreligge elektro-
nisk, men den skal på overskuelig vis dokumentere den fak-
tiske gennemførelse af sikkerhedspolitikker, herunder rede-
gøre for gennemførelsen af relevante sikkerhedselementer.
Hvis Erhvervsstyrelsen på baggrund af de oplysninger,
styrelsen modtager som led i sit tilsyn, konstaterer, at en
operatør eller en udbyder ikke har efterlevet kravene til sik-
kerhedsforanstaltninger og underretning af hændelser efter
denne lov, kan styrelsen efter det foreslåede stk. 4, påbyde
udbydere og operatører, at de afhjælper de pågældende
mangler. Et påbud kan fx indebære, at der skal gennemføres
en risikoanalyse, eller at der skal gennemføres passende for-
anstaltninger på baggrund af en gennemført risikoanalyse.
Et eventuelt påbud vil typisk først blive udstedt efter en ind-
ledende dialog, og hvis virksomheden m.v. ikke selv afhjæl-
per en konstateret mangel inden for en rimelig tid. Såfremt
det konstateres, at der ikke er gennemført en risikoanalyse,
vil et påbud typisk blive udstedt ved konstateringen heraf
med en rimelig fastsat tidramme for at få gennemført en risi-
koanalyse og de fornødne sikkerhedsforanstaltninger.
27
Til § 15
Med den foreslåede § 15 vil Erhvervsstyrelsen skulle of-
fentliggøre alle afgørelser, hvori påbud udstedes.
Det foreslåede stk. 1, 1. pkt., medfører, at offentliggørel-
sen af afgørelsen skal ske på Erhvervsstyrelsens hjemmesi-
de. Offentliggørelsen vil ske efter, at den fysiske eller juridi-
ske person er blevet underrettet om afgørelsen. Erhvervssty-
relsen kan bestemme, om hele afgørelsen eller kun dele af
afgørelsen skal offentliggøres, eventuelt i form af et resumé.
Dog skal Erhvervsstyrelsens pålagte påbud og overtrædel-
sens art offentliggøres. Offentliggørelsen af oplysningerne
vil være tilgængelig på styrelsens hjemmeside i mindst fem
år efter offentliggørelsen. Erhvervsstyrelsen er ikke forplig-
tet til efter forvaltningslovens § 19 at iværksætte en partshø-
ring forud for offentliggørelsen, idet beslutningen om of-
fentliggørelse sker som led i faktisk forvaltningsvirksom-
hed. Beslutning om offentliggørelse betragtes ikke som en
afgørelse og kan ikke indbringes for anden administrativ
myndighed.
Det foreslås i stk. 1, 2. pkt., at offentliggørelse af afgørel-
ser, hvori en fysisk person pålægges et påbud efter den fore-
slåede § 14, stk. 4, anonymiseres for så vidt angår personop-
lysninger, herunder identiteten på den fysiske person. For-
slaget om offentliggørelse af afgørelser, hvori påbud udste-
des, er udarbejdet med baggrund i de anbefalinger, som
fremgår af Justitsministeriets betænkning nr. 1516/2010 om
offentlige myndigheders offentliggørelse af kontrolresulta-
ter, afgørelser m.v. I betænkningen anbefales det, at der in-
den indførelse af ordninger med systematisk offentliggørelse
af oplysning om kontrolresultater, afgørelser m.v. på inter-
nettet i ikke-anonymiseret form foretages en vurdering af
det konkrete behov for offentliggørelse, om offentliggørelse
kan forventes konkret at være særligt indgribende for perso-
nen, om der er tungtvejende samfundsmæssige hensyn bag
offentliggørelsesordningen, om offentliggørelse strider mod
de gældende databeskyttelsesretlige regler og de almindelige
regler om tavshedspligt, og om der af retssikkerhedsmæssi-
ge grunde er opstillet administrative regler for forvaltnings-
myndighedens behandling af de enkelte sager.
Den offentlige og private sektor er – indtil den 24. maj
2018 – omfattet af Lov nr. 429 af 31. maj 2000 med senere
ændringer (herefter Persondataloven) og tilhørende bekendt-
gørelser, når der behandles personoplysninger. Persondata-
loven gennemfører databeskyttelsesdirektivet, som ophæves
pr. 25. maj 2018, jf. Europa-Parlamentets og Rådets forord-
ning 2016/679/EU af 27. april 2016 om beskyttelse af fysi-
ske personer i forbindelse med behandling af personoplys-
ninger og om fri udveksling af sådanne oplysninger og om
ophævelse af direktiv 95/46/EF (herefter databeskyttelses-
forordningen), som finder anvendelse fra den 25. maj 2018.
Justitsministeren har den 25. oktober 2017 fremsat lovfor-
slag L 68 om supplerende bestemmelser til forordning om
beskyttelse af fysiske personer i forbindelse med behandling
af personoplysninger og om fri udveksling af sådanne oplys-
ninger (herefter forslag til databeskyttelsesloven). I forslag
til databeskyttelsesloven, der fastsætter supplerende nationa-
le bestemmelser om behandling af personoplysninger, fore-
slås det bl.a., at persondataloven ophæves, jf. forslagets §
46, stk. 2.
Efter den 25. maj 2018 vil det være reglerne i databeskyt-
telsesforordningen, suppleret af lovforslag til databeskyttel-
sesloven, lov om retshåndhævende myndigheders behand-
ling af personoplysninger samt diverse særregler, der regule-
rer området for behandling af personoplysninger.
En offentliggjort afgørelse vil derfor ikke indeholde per-
sonoplysninger, hvorfor disse afgørelser ikke vil være regu-
leret af de gældende databeskyttelsesretlige regler. En afgø-
relse vil dermed ikke indeholde oplysninger om en person,
der direkte eller indirekte kan identificere personen, bl.a.
ved et identifikationsnummer eller et eller flere elementer,
der er særlige for en given persons fysiske, fysiologiske,
psykiske, økonomiske, kulturelle eller sociale identitet.
Offentliggørelse af påbud, som pålægges en fysisk person,
skal således ikke indeholde oplysning om identiteten af den
fysiske person. Formålet er, at den fysiske person ikke må
kunne identificeres. Det tilsikres hermed, at der ikke sker en
offentliggørelse af personoplysninger, idet offentliggørelse
af, at fysiske personer har modtaget et påbud, vil ske i ano-
nymiseret form. Da enkeltmandsvirksomheder normalt dri-
ves af en fysisk person, vil der tilsvarende skulle ske anony-
misering af navnet på en enkeltmandsvirksomhed svarende
til, hvad der gælder for fysiske personer.
Erhvervsstyrelsen vil ved hver enkelt offentliggørelse af
oplysninger om, at en fysisk person har modtaget et påbud,
overveje, om offentliggørelsen indeholder oplysninger, der
er personhenførbare. Oplysninger om, at den fysiske person,
som har modtaget påbuddet, arbejder i en bestemt afdeling,
har en bestemt stilling eller udfører bestemte funktioner kan
efter omstændighederne udgøre personoplysninger i henhold
til de databeskyttelsesretlige regler, hvis det fra disse oplys-
ninger sammenholdt med andre offentliggjorte oplysninger
er muligt at identificere personen.
Det foreslås efter stk. 2, at afgørelser vedrørende en jurid-
isk person offentliggøres med identiteten på den juridiske
person, medmindre offentliggørelsen af identiteten vil være
til skade for en igangværende strafferetlig efterforskning el-
ler offentliggørelsen vil forvolde uforholdsmæssig stor
skade. Udgangspunktet er således for juridiske personer, at
et påbud offentliggøres med oplysning om navnet på den ju-
ridiske person. Der foreligger dog undtagelser til dette.
For det første skal identiteten på den juridiske person ske i
anonymiseret form af hensyn til en igangværende strafferet-
lig efterforskning. Beslutning om offentliggørelse bør alene
ske efter høring af den relevante politimyndighed, dog såle-
des at der eventuelt kan indgås en mere generel aftale om
offentliggørelse af visse sagstyper. Ved tvivl forelægges
spørgsmålet om offentliggørelse for den relevante politi-
myndighed.
For det andet kan anonymisering ske, hvis offentliggørel-
sen vil forvolde uforholdsmæssig stor skade, fx for den juri-
diske person, afgørelsen vedrører, investorer eller andre. Det
forhold, at offentliggørelse af en juridisk persons navn vil
kunne medføre tab af kunder, eller at offentliggørelse vil
28
kunne bane vej for et erstatningskrav mod den juridiske per-
son, vil ikke i sig selv være tilstrækkeligt til, at offentliggø-
relse skal ske i anonymiseret form. Undtagelsen bør således
kun finde anvendelse på de tilfælde, hvor den juridiske per-
sons fortsatte drift vil blive truet, eller hvis meget væsentlige
interesser krænkes.
Da udkast til Erhvervsstyrelsens afgørelser i deres helhed
sendes i partshøring hos de berørte juridiske personer, vil de
berørte virksomheder i forbindelse med høringen få mulig-
hed for at kommentere på spørgsmålet om offentliggørelse,
herunder hvis det indstilles, at afgørelsen offentliggøres med
angivelse af identiteten på operatøren eller udbyderen, hvil-
ket er det altovervejende udgangspunkt. Beslutningen om at
offentliggøre virksomhedens navn er endelig og kan således
ikke indbringes for højere administrativ myndighed.
Det foreslås i stk. 3, at anonymisering af identiteten på en
juridisk person sker efter 2 år regnet fra og med datoen for
offentliggørelsen. Herved skabes der klarhed over, hvor lang
tid en offentliggørelse vil være tilgængelig i ikke-anony-
miseret form.
Til § 16
Med den foreslåede § 16 kan Erhvervsstyrelsens afgørel-
ser efter § 14, stk. 2, 3 og 4, ikke indbringes for anden admi-
nistrativ myndighed. Bestemmelsen afskærer den admini-
strative klageadgang fra Erhvervsstyrelsen til erhvervsmini-
steren.
Baggrunden for den foreslåede bestemmelse er, at de af-
gørelser, som Erhvervsstyrelsen vil træffe efter loven, vil
være af teknisk karakter og forudsætter betydelig teknisk
indsigt på området, som det ikke kan forventes, at Erhvervs-
ministeriets departement er i besiddelse af. Der kan således
fx være tale om afgørelser om, at operatører af væsentlige
tjenester ikke har truffet de nødvendige foranstaltninger for
at styre risiciene for sikkerheden i deres net- og informati-
onssystemer. At træffe disse afgørelser vil forudsætte bety-
delig it-sikkerhedsmæssig indsigt på området, som det ikke
kan forventes, at ministeriets departement er i besiddelse af.
Erhvervsstyrelsen vil efter lovforslaget altid skulle træffe af-
gørelser, der kræver teknisk indsigt.
Erhvervsministeriets departement vil ikke kunne foretage
en realitetsbehandling af eventuelle klager over Erhvervssty-
relsens beslutning om offentliggørelse efter § 15, stk. 1, idet
beslutningen er udtryk for faktisk forvaltningsvirksomhed.
Bestemmelsen berører dog ikke den almindelige adgang
til at få afgørelser prøvet ved domstolene.
Til § 17
Bestemmelsen har til formål at gennemføre artikel 21 i
NIS-direktivet, hvorefter medlemsstaterne forpligtes til at
fastsætte sanktioner for overtrædelse af de nationale regler,
der vedtages i medfør af NIS-direktivet.
Efter det foreslåede stk. 1, vil operatører af tjenester og
udbydere af digitale tjenesters undladelse af at efterkomme
Erhvervsstyrelsens krav om at afgive oplysninger, der er
nødvendige for styrelsens tilsyn efter § 14, stk. 2, kunne
straffes med bøde. Desuden forslås det, at operatører af væ-
sentlige tjenester, der undlader at efterkomme Erhvervssty-
relsens krav om dokumentation efter § 14, stk. 3, vil kunne
straffes med bøde. Endvidere foreslås det, at operatører af
væsentlige tjenester og udbydere af digitale tjenesters undla-
delse af at efterkomme Erhvervsstyrelsens påbud efter § 14,
stk. 4, kan straffes med bøde.
Erhvervsministeren bemyndiges med det foreslåede stk. 2
til at fastsætte straf i form af bøde for overtrædelse af be-
stemmelser i regler, som udfærdiges i medfør af § 3, stk. 3,
§ 4, stk. 3 eller § 5, stk. 4, samt Erhvervsstyrelsen bemyndi-
ges til at fastsætte straf i form af bøde for overtrædelse af
bestemmelser i regler, som udfærdiges i medfør af § 8, stk. 3
eller § 9, stk. 4.
Efter det foreslåede stk. 3 kan der pålægges selskaber m.v.
(juridiske personer) strafansvar efter reglerne i straffelovens
5. kapitel. Bestemmelsen indebærer, at der også i regler,
som udfærdiges i medfør af loven, kan fastsættes regler om,
at der kan pålægges selskaber m.v. (juridiske personer)
strafansvar efter reglerne i straffelovens 5. kapitel.
Til § 18
Bestemmelsen fastsætter tidspunktet for lovens ikrafttræ-
den.
I medfør af NIS-direktivets artikel 25, skal medlemsstater-
ne vedtage og offentliggøre de love og administrative be-
stemmelser, der er nødvendige for at efterkomme direktivet,
senest den 9. maj 2018.
Det foreslås derfor, at loven træder i kraft den 10. maj
2018 i overensstemmelse med NIS-direktivet.
Til § 19
Til nr. 1
Med den foreslåede ændring af fodnoten til lov om finan-
siel virksomhed indsættes en henvisning til, at der med den-
ne lov foretages en gennemførelse af dele af Europa-Parla-
mentets og Rådets direktiv 2016/1148/EU af 6. juli 2016 om
foranstaltninger, der skal sikre et højt fælles sikkerhedsni-
veau for net- og informationssystemer i hele Unionen, idet
lovforslaget implementerer de dele af direktivet i lov om fi-
nansiel virksomhed, der omfatter penge- og realkreditinsti-
tutter.
Til nr. 2
I medfør af § 71 i lov om finansiel virksomhed skal en fi-
nansiel virksomhed have effektive former for virksomheds-
styring, herunder betryggende kontrol- og sikringsforanstalt-
ninger på it-området.
I medfør af § 71, stk. 2, i lov om finansiel virksomhed,
kan Finanstilsynet fastsætte nærmere regler om de foran-
staltninger, som en finansiel virksomhed skal træffe for at
have effektive former for virksomhedsstyring, herunder be-
tryggende kontrol- og sikringsforanstaltninger på it-området.
Denne bemyndigelse er bl.a. udnyttet ved bekendtgørelse nr.
29
1026 af 30. juni 2016 om ledelse og styring af pengeinstitut-
ter m.fl. (herefter kaldet ledelsesbekendtgørelsen), hvoraf
bekendtgørelsens bilag 5 stiller nærmere krav til it-sikker-
hed.
Det følger bl.a. af ledelsesbekendtgørelsens bilag 5, at be-
styrelsen skal beslutte en it-sikkerhedspolitik for virksomhe-
den, som ud fra den ønskede risikoprofil på it-området skal
indeholde en overordnet stillingtagen til alle væsentlige for-
hold vedrørende it-sikkerheden. Hvad der er væsentligt, af-
hænger bl.a. af virksomhedens størrelse samt omfanget og
kompleksiteten af virksomhedens it-anvendelse.
NIS-direktivets sikkerhedskrav i artikel 14, stk. 1 og 2,
vurderes ikke, at række videre end den nugældende § 71 i
lov om finansiel virksomhed og tilhørende ledelsesbekendt-
gørelse, herunder ledelsesbekendtgørelsens bilag 5. NIS-di-
rektivets sikkerhedskrav vurderes således at være indeholdt i
§ 71 og i ledelsesbekendtgørelses bilag 5.
NIS-direktivets artikel 14, stk. 3 og 4, indeholder imidler-
tid også krav om, at operatører af væsentlige tjenester hur-
tigst muligt foretager en underretning til den kompetente
myndighed eller CSIRT om hændelser, der har væsentlige
konsekvenser for kontinuiteten af de væsentlige tjenester,
som de leverer. En hændelse forstås som værende enhver
begivenhed, der har en negativ indvirkning på sikkerheden i
en virksomheds net- og informationssystemer. Med sikker-
hed i net- og informationssystemer forstås net- og informati-
onssystemernes evne til, på et givet sikkerhedsniveau, at
modstå handlinger, der er til skade for tilgængeligheden, au-
tenticiteten, integriteten eller fortroligheden i forbindelse
med lagrede eller overførte eller behandlede data eller de
dermed forbundne tjenester, der tilbydes af eller er tilgænge-
lige via disse net- og informationssystemer.
Det fremgår endvidere af NIS-direktivets artikel 14, stk. 3,
at underretningen skal indeholde oplysninger, der gør det
muligt for den kompetente myndighed eller CSIRT at fastslå
eventuelle grænseoverskridende konsekvenser af hændelsen.
En underretning gør ikke den underrettende part til genstand
for et øget ansvar.
Endelig fremgår det af direktivets artikel 14, stk. 4, at med
henblik på at fastlægge omfanget af en hændelses konse-
kvenser, tages det i betragtning, hvor mange brugere, som
berøres af afbrydelsen af den væsentlige tjeneste, hændel-
sens varighed, den geografiske udbredelse med hensyn til
det område, der er berørt af hændelsen og om eventuelle
grænseoverskridende konsekvenser af hændelsen.
Med henblik på at implementere artikel 14, stk. 3 og 4,
foreslås det at udvide § 71, stk. 2, i lov om finansiel virk-
somhed, således at Finanstilsynet kan fastætte nærmere reg-
ler om hændelsesrapportering ved eventuelle hændelser,
herunder fastsætte nærmere regler om krav om underretning
af Finanstilsynet og Center for Cybersikkerhed ved en hæn-
delse, der har en negativ indvirkning på sikkerheden i virk-
somhedens net- og informationssystemer.
Med den foreslåede indførelse af § 71, stk. 2, 2. pkt., vil
Finanstilsynet i bilag 5 til ledelsesbekendtgørelsen kunne
fastsætte nærmere regler om hændelsesrapportering ved
eventuelle hændelser, herunder fastsætte nærmere regler om
krav om underretning af både Finanstilsynet og Center for
Cybersikkerhed, som forventes udpeget som CSIRT, ved en
hændelse, der har en negativ indvirkning på sikkerheden i en
virksomheds net- og informationssystemer. Det skal i den
forbindelse bemærkes, at der forventes etableret en fælles
indberetningsløsning – fx gennem en fælles portal på
virk·dk – hvorigennem alle operatører omfattet af NIS-di-
rektivet vil kunne indberette. Med denne fælles indberet-
ningsløsning forventes en afrapportering til både Finanstil-
synet og Center for Cybersikkerhed dermed ikke at have
økonomiske konsekvenser for de enkelte omfattede virk-
somheder.
Finanstilsynet forventes at udnytte bemyndigelsen i den
foreslåede § 71, stk. 2, 2. pkt., til at fastsætte nærmere krav
om underretninger fra en operatør af væsentlige tjenester til
Finanstilsynet og til Center for Cybersikkerhed, i sin egen-
skab af CSIRT, når der er tale om hændelser, der har væ-
sentlige konsekvenser for kontinuiteten af de tjenester som
virksomheden leverer og som er væsentlige for opretholdel-
sen af kritiske samfundsmæssige eller økonomiske aktivite-
ter.
Forpligtelsen til at underrette om hændelser, som har væ-
sentlige konsekvenser for kontinuiteten af de tjenester, som
de udpegede operatører af væsentlige tjenester leverer, vil
således alene omfatte operatører af væsentlige tjenester, i
overensstemmelse med NIS-direktivets artikel 5, stk. 2,
hvoraf følger tre kriterier for identificering af en operatør af
væsentlige tjenester. Disse kriterier er, når den pågældende
virksomhed leverer en tjeneste, der er væsentlig for opret-
holdelsen af kritiske samfundsmæssige og/eller økonomiske
aktiviteter, og leveringen af denne tjeneste afhænger af net-
og informationssystemer, og en hændelse ville få væsentlige
forstyrrende virkninger for leveringen af den nævnte tjenes-
te. Endvidere fremgår det af NIS-direktivets præambel nr.
28, at med henblik på at fastslå hvorvidt en hændelse vil ha-
ve en forstyrrende virkning på leveringen af en tjeneste, bør
medlemsstaterne i tillæg til tværsektorielle forhold også tage
højde for sektorspecifikke forhold.
I medfør af NIS-direktivets artikel 5, stk. 5, udarbejder
hver medlemsstat mindst hvert andet år efter den 9. maj
2018 en liste over identificerede operatører af væsentlige
tjenester, og ajourfører hvis relevant.
I medfør af den foreslåede § 307 a, skal Finanstilsynet ud-
pege de penge- og realkreditinstitutter, der er operatører af
væsentlige tjenester, mindst hvert andet år, ud fra de kriteri-
er der følger af forslaget til § 307 a, stk. 2. Finanstilsynet
skal således lægge vægt på, at de tjenester, der leveres, er
væsentlige for opretholdelsen af kritiske samfundsmæssige
eller økonomiske aktiviteter, at leveringen af tjenesten af-
hænger af net- og informationssystemer, og at en hændelse
vil få væsentlige forstyrrende virkninger for leveringen af
tjenesten.
For så vidt angår de hændelser, som en operatør af en væ-
sentlig tjeneste skal rapportere om, forstås en hændelse som
værende enhver begivenhed, der har en negativ indvirkning
30
på sikkerheden i virksomhedens net- og informationssyste-
mer. Med sikkerhed i net- og informationssystemer forstås
net- og informationssystemers evne til, på et givet sikker-
hedsniveau, at modstå handlinger, der er til skade for tilgæn-
geligheden, autenticiteten, integriteten eller fortroligheden i
forbindelse med lagrede eller overførte eller behandlede da-
ta eller de dermed forbundne tjenester, der tilbydes af eller
er tilgængelige via disse net- og informationssystemer.
Som et eksempel på en hændelse, som en operatør af en
væsentlig tjeneste skal rapportere om, kunne blandt andet
tænkes at en bank bliver ramt af et hackerangreb, som bety-
der, at mange systemer, der normalt anvendes af både pri-
vatkunder i hele Danmark og interne i banken, ikke længere
kan anvendes.
Et andet tænkt eksempel kunne være, at der under en stør-
re systemopdatering i en bank, sker en teknisk fejl, som be-
tyder at der ikke kan gennemføres transaktioner på tværs af
landegrænser i flere dage. Disse manglende transaktioner vil
kunne have store konsekvenser både økonomisk og sam-
fundsmæssigt, eftersom brugere ikke vil have mulighed for
at styre transaktionerne.
Ovenstående eksempler skal ikke forstås som en udtøm-
mende liste. I tilfælde af en hændelse vil det således kræve
at den enkelte virksomhed foretager en konkret vurdering af
om der er tale om en hændelse, der har væsentlige konse-
kvenser for kontinuiteten af de tjenester, som virksomheden
leverer og som er væsentlige for opretholdelsen af kritiske
samfundsmæssige eller økonomiske aktiviteter.
En hændelses konsekvenser fastlægges navnlig ud fra an-
tallet af brugere, der berøres af afbrydelsen af den væsentli-
ge tjeneste, hændelsens varighed og den geografiske udbre-
delse med hensyn til det område, der er berørt af hændelsen.
For at Finanstilsynet og Center for Cybersikkerhed, som na-
tional CSIRT, kan vurdere en hændelses konsekvenser, skal
underretningerne indeholde oplysninger, der gør det muligt
at fastslå hændelsens omfang og herunder eventuelle græn-
seoverskridende konsekvenser for hændelsen.
Det forventes derfor fastsat på bekendtgørelsesniveau i
medfør af den foreslåede § 71, stk. 2, 2. pkt., at en underret-
ning skal indeholde oplysninger om antallet af brugere, som
berøres af afbrydelsen af den væsentlige tjeneste, oplysnin-
ger om hændelsens varighed, oplysninger om den geografi-
ske udbredelse med hensyn til det område, der er berørt af
hændelsen, og oplysninger om eventuelle grænseoverskri-
dende konsekvenser af hændelsen.
Til nr. 3
Forslaget til § 307 a, gennemfører NIS-direktivets artikel
5, stk. 1-3, og stk. 5, hvorefter medlemsstaterne senest den
9. november 2018 identificerer operatører af væsentlige tje-
nester ud fra, at de tjenester der leveres er væsentlige for op-
retholdelsen af kritiske samfundsmæssige eller økonomiske
aktiviteter, at leveringen af tjenesterne afhænger af net- og
informationssystemer, og at en hændelse vil få væsentlige
forstyrrende virkninger for leveringen af tjenesterne.
Med en hændelse forstås enhver begivenhed, der har en
negativ indvirkning på sikkerheden i virksomhedens net- og
informationssystemer. Med sikkerhed i net- og informati-
onssystemer forstås net- og informationssystemers evne til,
på et givet sikkerhedsniveau, at modstå handlinger, der er til
skade for tilgængeligheden, autenticiteten, integriteten eller
fortroligheden i forbindelse med lagrede eller overførte eller
behandlede data eller de dermed forbundne tjenester, der til-
bydes af eller er tilgængelige via disse net- og informations-
systemer.
Det følger endvidere af direktivets artikel 5, stk. 5, at li-
sten over identificerede operatører af væsentlige tjenester
tages op til revision mindst hvert andet år og ajourføres hvis
relevant.
Med den foreslåede § 307 a, stk. 1, skal Finanstilsynet
mindst hvert andet år udpege de penge- og realkreditinstitut-
ter, der er operatører af væsentlige tjenester. Dermed skal
Finanstilsynet mindst hvert andet år offentliggøre en liste
over de penge- og realkreditinstitutter, der er operatører af
væsentlige tjenester. Det indebærer at listen skal ajourføres
løbende og mindst hvert andet år. Det forventes at Finanstil-
synet vil offentliggøre en liste første gang primo november
2018 i overensstemmelse med NIS-direktivets artikel 5, stk.
1.
Med den foreslåede § 307 a, stk. 2, skal Finanstilsynet i
forbindelse med udpegningen efter stk. 1, lægge vægt på tre
kriterier.
Finanstilsynet skal for det første lægge vægt på, at penge-
og realkreditinstitutterne udbyder tjenester, som er væsentli-
ge for opretholdelsen af kritiske samfundsmæssige eller
økonomiske aktiviteter.
Finanstilsynet skal for det andet lægge vægt på, at de på-
gældende penge- og realkreditinstitutters levering af tjene-
sterne afhænger af net- og informationssystemer.
Endelig skal Finanstilsynet for det tredje lægge vægt på,
at en hændelse kan få væsentlige forstyrrende virkninger for
leveringen af tjenesterne.
Med den foreslåede § 307 a, stk. 3, 1. pkt., kan Finanstil-
synet fastsætte nærmere regler om identificeringen af opera-
tører af væsentlige tjenester. Finanstilsynet vil dermed kun-
ne fastsætte nærmere regler for udpegningen efter stk. 1,
herunder nærmere fastsætte hvilke kriterier, der skal være
opfyldt, for at et penge- eller realkreditinstitut udpeges som
en operatør af væsentlige tjenester.
Bemyndigelsen i § 307 a, stk. 3, 1. pkt., vil bl.a. blive ud-
nyttet på bekendtgørelsesniveau.
I medfør af det foreslåede § 307 a, stk. 3, 2. pkt., vil Fi-
nanstilsynet ligeledes udarbejde en liste over tjenester, som
penge- og realkreditinstitutter leverer, der anses for at være
væsentlige for opretholdelsen af kritiske samfundsmæssige
eller økonomiske aktiviteter. Dette betyder, at et penge- eller
realkreditinstitut, der bliver udpeget som operatør af væsent-
lige tjenester, kan holde de væsentlige tjenester adskilt fra
de ikke-væsentlige tjenester.
31
Til nr. 4
I medfør af § 354, stk. 1, i lov om finansiel virksomhed er
Finanstilsynets ansatte underlagt en særlig tavshedspligt. Fi-
nanstilsynets ansatte er således under ansvar efter straffelo-
vens §§ 152-152 e forpligtet til at hemmeligholde fortrolige
oplysninger.
§ 354, stk. 6, i lov om finansiel virksomhed fastsætter i
hvilke tilfælde og til hvem Finanstilsynet kan videregive
fortrolige oplysninger, uanset § 354, stk. 1.
§ 354 i lov om finansiel virksomhed gennemfører artikel
53-60 i Europa-Parlamentets og Rådets Direktiv
2013/36/EU af 26. juni 2013 om adgang til at udøve virk-
somhed som kreditinstitut og om tilsyn med kreditinstitutter
og investeringsselskaber (CRD IV).
Bestemmelsen indeholder hovedreglen om Finanstilsynets
tavshedspligt og er en særbestemmelse om tavshedspligt, jf.
offentlighedslovens § 35. Det indebærer, at der ikke vil være
mulighed for adgang til aktindsigt efter offentlighedsloven i
oplysninger hos Finanstilsynet, der er omfattet af tavsheds-
pligten. Denne skærpede tavshedspligt går desuden videre
end den tavshedspligt, der i medfør af § 27, stk. 1, i forvalt-
ningsloven påhviler alle offentligt ansatte.
Tavshedspligten er i høj grad baseret på et ønske om at
beskytte virksomhedernes kunder, det være sig privatperso-
ner eller erhvervskunder. Hertil kommer et ønske om af
konkurrencemæssige grunde at beskytte virksomhedernes
forretningsmæssige forhold. Herudover er Finanstilsynets
tavshedspligt en afgørende betingelse for den tilsynsmæssi-
ge effektivitet. For at tilsynet kan få alle nødvendige oplys-
ninger i en given sag, må virksomhederne og kunderne kun-
ne nære tillid til, at Finanstilsynet ikke videregiver fortrolige
oplysninger.
Med lovforslaget foreslås det at indsætte et nyt nr. 44 i §
354, stk. 6, hvorefter Finanstilsynet kan videregive oplys-
ninger til Center for Cybersikkerhed, under forudsætning af
at oplysningerne er nødvendige for dem til opfyldelse af de-
res lovbestemte opgaver, i deres egenskab af CSIRT eller
nationalt centralt kontaktpunkt.
Med bestemmelsen gennemføres NIS-direktivets artikel
10, stk. 1 og 2, hvorefter den kompetente myndighed samar-
bejder med den enhed, der håndterer hændelser, den såkald-
te CSIRT. Det følger endvidere af direktivets artikel 1, nr. 5,
at oplysninger der er fortrolige i henhold til EU-regler og
nationale regler, kan udveksles med forbehold af artikel 346
i TEUF, hvis en sådan udveksling er nødvendig for anven-
delsen af dette direktiv. De udvekslede oplysninger begræn-
ses til, hvad der er relevant og forholdsmæssigt under hen-
syn til formålet med udvekslingen. En sådan udveksling af
oplysninger skal sikre de nævnte oplysningers fortrolighed
og beskytte sikkerheden og kommercielle interesser hos
operatører af væsentlige tjenester.
Med henblik på at sikre et sådant samarbejde, foreslås det
at Finanstilsynet kan videregive oplysninger til Center for
Cybersikkerhed, i det omfang oplysningerne er nødvendige
for, at Center for Cybersikkerhed kan varetage sine opgaver
som nationalt centralt kontaktpunkt eller CSIRT, da det er
forventningen, at Center for Cybersikkerhed, vil blive udpe-
get af Forsvarsministeriet som CSIRT og som nationalt cen-
tralt kontaktpunkt.
Med den foreslåede bestemmelse sikres det bl.a., at Fi-
nanstilsynet kan samarbejde med Center for Cybersikker-
hed, herunder oplyse om de eventuelle hændelsesrapporte-
ringer, som penge- eller realkreditinstitutter har foretaget til
Finanstilsynet.
Det skal dog bemærkes, at i medfør af § 354, stk. 8, i lov
om finansiel virksomhed vil fortroligheden følge oplysnin-
gerne, hvilket indebærer, at for så vidt angår de oplysninger,
som Finanstilsynet videregiver til Center for Cybersikker-
hed, så indebærer videregivelsen, at Center for Cybersikker-
hed omfattes af den samme skærpede tavshedspligt som Fi-
nanstilsynet er underlagt efter § 354 i lov om finansiel virk-
somhed. Dette er i øvrigt i overensstemmelse med NIS-di-
rektivet, hvoraf det følger af præambel nr. 41, at hvis der er
tale om oplysninger, der betragtes som værende fortrolige i
overensstemmelse med EU-regler og nationale regler om
forretningshemmeligheder, bør denne fortrolighed sikres
under udførelsen af aktiviteterne og opfyldelsen af målene i
direktivet.
Endelig skal det bemærkes, at ved en eventuel videregi-
velse af personoplysninger vil de gældende regler vedrøren-
de persondataloven tillige finde anvendelse, hvorfor behand-
ling af persondata altid vil ske under iagttagelse af gældende
lovgivning, herunder den kommende persondataforordning.
Til nr. 5
Forslaget til § 354 h gennemfører NIS-direktivets artikel
14, stk. 6, hvorefter den kompetente myndighed kan oplyse
offentligheden om konkrete hændelser, hvis offentlighedens
kendskab hertil er nødvendigt for at forebygge en hændelse
eller håndtere en igangværende hændelse.
Med den foreslåede bestemmelse kan Finanstilsynet efter
høring af en virksomhed, der underretter Finanstilsynet og
Center for Cybersikkerhed om en hændelse, som har væ-
sentlige konsekvenser for kontinuiteten af de væsentlige tje-
nester, som de leverer, orientere offentligheden om hændel-
sen, hvis offentlighedens kendskab hertil er nødvendigt for
at forebygge eller håndtere en igangværende hændelse. Der
vil være tale om de hændelser, som en virksomhed underet-
ter om i medfør af de af Finanstilsynet nærmere fastsatte
regler efter den foreslåede § 71, stk. 2, 2. pkt. Det forventes,
at Finanstilsynet vil udnytte bemyndigelsen til at fastsætte
nærmere regler om hændelsesrapportering i bekendtgørelse
nr. 1026 af 30. juni 2016, om ledelse og styring af pengein-
stitutter m.fl. Det er Finanstilsynet, der vurderer, hvornår en
given hændelse er relevant for offentligheden.
Det foreslås med bestemmelsens 2. og 3. pkt., at offentlig-
gørelsen ikke må indeholde fortrolige oplysninger om kun-
deforhold eller oplysninger omfattet af § 30 i lov om offent-
lighed i forvaltningen. Offentliggørelsen må ikke indeholde
fortrolige oplysninger, der hidrører fra finansielle tilsyns-
myndigheder i andre lande inden for eller uden for Den
32
Europæiske Union, medmindre de myndigheder, der har af-
givet oplysningerne, har givet deres udtrykkelige tilladelse.
Det indebærer, at en offentliggørelse ikke må kunne inde-
holde oplysninger om kundeforhold eller oplysninger om
virksomhedens interne forhold af væsentlig betydning for
virksomheden, fx ikke-offentligt tilgængelige oplysninger
om virksomhedens opbygning og indretning, dens økonomi-
ske forhold og situation, dens kundemasse og dens samar-
bejdspartnere. Offentliggørelse af oplysninger om en hæn-
delse indebærer ikke, at selve sagen bliver offentlig tilgæn-
gelig. Sagen vil således stadig være omfattet af Finanstilsy-
nets tavshedspligt, og der vil heller ikke efter offentliggørel-
se være mulighed for at få aktindsigt i sagens dokumenter.
Af hensyn til samarbejdet mellem de finansielle tilsyns-
myndigheder inden for EU/EØS-området foreslås det, at en
offentliggørelse ikke må indeholde fortrolige oplysninger,
der hidrører fra finansielle tilsynsmyndigheder i andre lande
inden for eller uden for Den Europæiske Union, medmindre
de myndigheder, der har afgivet oplysningerne, har givet de-
res udtrykkelige tilladelse. Offentliggørelse kan derfor kun
ske, hvis den myndighed, der har givet de pågældende op-
lysninger til Finanstilsynet, giver deres udtrykkelige tilladel-
se hertil.
Forslaget om offentliggørelse af oplysninger om hændel-
ser, som ovenfor beskrevet, er udarbejdet med baggrund i de
anbefalinger, som fremgår af Justitsministeriets betænkning
nr. 1516/2010 om offentlige myndigheders offentliggørelse
af kontrolresultater, afgørelser m.v. I betænkningen anbefa-
les det, at der inden indførelse af ordninger med systematisk
offentliggørelse af oplysning om kontrolresultater, afgørel-
ser m.v. på internettet i ikke-anonymiseret form foretages en
vurdering af det konkrete behov for offentliggørelse, om of-
fentliggørelse kan forventes konkret at være særligt indgri-
bende for personen, om der er tungtvejende samfundsmæssi-
ge hensyn bag offentliggørelsesordningen, om offentliggø-
relse strider mod persondataloven og de almindelige regler
om tavshedspligt, og om der af retssikkerhedsmæssige grun-
de er opstillet administrative regler for forvaltningsmyndig-
hedens behandling af de enkelte sager.
Det er således Finanstilsynets vurdering om det er nød-
vendigt for at forebygge eller håndtere en igangværende
hændelse at offentliggøre navnet på den berørte virksomhed,
eller om det samme resultat kan nås med en anonymiseret
offentliggørelse, som alene omfatter den konkrete hændelse.
En offentliggørelse vil dog altid forudsætte, at den berørte
virksomhed er blevet hørt herom. Det skal endvidere be-
mærkes, at en offentliggørelse endvidere vil ske under hen-
syntagen til bl.a. den kommende databeskyttelseslov og per-
sondataforordningen.
Til § 20
Til nr. 1
Med den foreslåede ændring af fodnoten til lov om kapi-
talmarkeder indsættes en henvisning til, at der med denne
lov foretages en gennemførelse af dele af Europa-Parlamen-
tets og Rådets direktiv 2016/1148/EU af 6. juli 2016 om for-
anstaltninger, der skal sikre et højt fælles sikkerhedsniveau
for net- og informationssystemer i hele Unionen, idet lovfor-
slaget implementerer de dele af direktivet i lov om kapital-
markeder, der omfatter operatører af markedspladser og cen-
trale modparter (CCP’er).
Til nr. 2
Forslaget til § 58 a, stk. 1 og 2, gennemfører NIS-direkti-
vets artikel 5, stk. 1-3 og stk. 5, hvorefter medlemsstaterne
senest den 9. november 2018 identificerer operatører af væ-
sentlige tjenester ud fra, at de tjenester der leveres er væ-
sentlige for opretholdelsen af kritiske samfundsmæssige el-
ler økonomiske aktiviteter, at leveringen af tjenesterne af-
hænger af net- og informationssystemer, og at en hændelse
vil få væsentlige forstyrrende virkninger for leveringen af
tjenesterne.
Med en hændelse forstås enhver begivenhed, der har en
negativ indvirkning på sikkerheden i en operatørs net- og in-
formationssystemer. Med sikkerhed i net- og informations-
systemer forstås net- og informationssystemers evne til, på
et givet sikkerhedsniveau, at modstå handlinger, der er til
skade for tilgængeligheden, autenticiteten, integriteten eller
fortroligheden i forbindelse med lagrede eller overførte eller
behandlede data eller de dermed forbundne tjenester, der til-
bydes af eller er tilgængelige via disse net- og informations-
systemer.
Det følger endvidere af direktivets artikel 5, stk. 5, at li-
sten over identificerede operatører af væsentlige tjenester
tages op til revision mindst hvert andet år og ajourføres hvis
relevant.
Med den foreslåede § 58 a, stk. 1, skal Finanstilsynet
mindst hvert andet år udpege de operatører af markedsplad-
ser og centrale modparter (CCP’er), der er operatører af væ-
sentlige tjenester.
Dermed skal Finanstilsynet mindst hvert andet år offent-
liggøre en liste over de operatører af markedspladser og cen-
trale modparter (CCP’er), der er operatører af væsentlige
tjenester. Det indebærer at listen skal ajourføres løbende, og
mindst hvert andet år. Det forventes at Finanstilsynet vil of-
fentliggøre en liste første gang primo november 2018 i over-
ensstemmelse med NIS-direktivets artikel 5, stk. 1.
Med den foreslåede § 58 a, stk. 2, skal Finanstilsynet i
forbindelse med udpegningen efter stk. 1, lægge vægt på tre
kriterier.
Finanstilsynet skal for det første lægge vægt på, at de på-
gældende operatører af markedspladser og centrale modpar-
ter (CCP’er) udbyder en tjeneste, som er væsentlig for opret-
holdelsen af kritiske samfundsmæssige eller økonomiske ak-
tiviteter.
Finanstilsynet skal for det andet lægge vægt på, at de på-
gældende operatører af markedspladser og centrale modpar-
ters (CCP’ers) levering af tjenesten afhænger af net- og in-
formationssystemer.
Endelig skal Finanstilsynet for det tredje lægge vægt på,
at en hændelse kan få væsentlige forstyrrende virkninger for
leveringen af tjenesten.
33
Med den foreslåede § 58 a, stk. 3, 1. pkt., kan Finanstilsy-
net fastsætte nærmere regler om identificeringen af operatø-
rer af væsentlige tjenester, herunder fastsætte nærmere krav
om underretning af Finanstilsynet og Center for Cybersik-
kerhed ved en hændelse, der har en negativ indvirkning på
sikkerheden i virksomhedens net- og informationssystemer.
I medfør af den foreslåede § 58 a, stk. 3, vil Finanstilsynet
dermed kunne fastsætte nærmere regler for udpegningen ef-
ter stk. 1, herunder nærmere fastsætte hvilke kriterier der
skal være opfyldt, for at en operatør af en markedsplads og
en central modpart (CCP) udpeges som en operatør af væ-
sentlige tjenester.
En operatør af en markedsplads kan enten være en opera-
tør af et reguleret marked, en multilateral handelsfacilitet
(MHF) eller en organiseret handels facilitet (OHF). En cen-
tral modpart (CCP) er i § 3, nr. 11, defineret i artikel 2, nr. 1,
i Europa-Parlamentets og Rådets forordning (EU) nr.
648/2012 af 4. juli 2012 om OTC-derivater, centrale mod-
parter og transaktionsregistre. Der findes ikke centrale mod-
parter (CCP’er) i Danmark ved lovforslagets fremsættelse.
Bemyndigelsen i § 58 a, stk. 3, vil blive udnyttet ved en
bekendtgørelse, som i medfør af det foreslåede stk. 3, endvi-
dere vil indeholde regler om, hvornår en udpeget operatør af
væsentlige tjenester skal underrette Finanstilsynet og Center
for Cybersikkerhed om en hændelse, herunder hvilke oplys-
ninger underretningen skal indeholde, og hvilke kriterier
virksomheden skal lægge vægt på for at fastsætte konse-
kvenserne af en hændelse.
Med bestemmelsen gennemføres NIS-direktivets artikel
14, stk. 3, hvorefter en operatør af væsentlige tjenester hur-
tigst muligt skal foretage en underretning til den kompetente
myndighed eller CSIRT, af hændelser, der har væsentlige
konsekvenser for kontinuiteten af de væsentlige tjenester,
som virksomheden leverer. En hændelse forstås som væren-
de enhver begivenhed, der har en negativ indvirkning på sik-
kerheden i en virksomheds net- og informationssystemer.
Med sikkerhed i net- og informationssystemer forstås net-
og informationssystemernes evne til, på et givet sikkerheds-
niveau, at modstå handlinger, der er til skade for tilgænge-
ligheden, autenticiteten, integriteten eller fortroligheden i
forbindelse med lagrede eller overførte eller behandlede da-
ta eller de dermed forbundne tjenester, der tilbydes af eller
er tilgængelige via disse net- og informationssystemer.
Med den foreslåede § 58 a, stk. 3, gennemføres endvidere
NIS-direktivets artikel 10, stk. 2, hvorefter medlemsstaterne
skal sikre, at enten de kompetente myndigheder eller en
CSIRT, som i Danmark forventes at blive Center for Cyber-
sikkerhed, jf. nærmere herom under pkt. 3.2.3.3. i de almin-
delige bemærkninger, modtager underretning om hændelser,
som har væsentlige konsekvenser for kontinuiteten af de tje-
nester, som de udpegede operatører af væsentlige tjenester
leverer. I det omfang en CSIRT ikke modtager underretnin-
ger om hændelser, skal CSIRT’erne i stedet have oplysnin-
ger herom fra den kompetente myndighed.
Da Finanstilsynet som kompetent myndighed på det finan-
sielle område fører tilsyn med de finansielle virksomheder,
herunder virksomhedernes it-sikkerhed, foreslås det, at der
sker underretninger om hændelser både til Finanstilsynet og
Center for Cybersikkerhed som CSIRT, således at begge
myndigheder hurtigst muligt orienteres om en hændelse,
med henblik på bedre at kunne vurdere omfanget af en given
hændelse.
En hændelse for en operatør af en markedsplads vil for ek-
sempel kunne blive omfattet af underretningspligten, så-
fremt der er tale om en hændelse, der har negativ indvirk-
ning på sikkerheden i virksomhedens net- og informations-
system, og hvor virksomheden kan blive udsat for et hack-
ing angreb eller et svigt i it-systemet.
En anden hændelse der for eksempel vil kunne blive om-
fattet af underretningspligten, kan være en hændelse, der har
væsentlige konsekvenser for kontinuiteten af driften af mar-
kedspladsen og den multilaterale handel med finansielle in-
strumenter, såsom en hændelse hvormed markedspladsens
handelssystem svigter i en længere periode. Denne periode
skal ses i forhold til, at der på en markedsplads bliver hand-
let finansielle instrumenter inden for sekunder, hvorfor en
hændelse kan have haft væsentlige konsekvenser for driften
af handelssystemet, hvis denne blot har været i nogle minut-
ter.
For så vidt angår en central modpart (CCP), vil et svigt i
den centrale modparts (CCP’ens) interne systemer, som hin-
drer fortsættelsen af korrekt sikkerhedsudveksling eller den
clearede transaktions rettidige gennemførsel, bl.a. være at
betragte som hændelser, som har væsentlige konsekvenser
for kontinuiteten af de tjenester, som de udpegede operatø-
rer af væsentlige tjenester leverer.
Det fremgår af NIS-direktivets artikel 14, stk. 3, at en un-
derretning skal indeholde oplysninger, der gør det muligt for
den kompetente myndighed eller CSIRT at fastslå eventuel-
le grænseoverskridende konsekvenser af hændelsen. En un-
derretning gør ikke den underrettende part til genstand for et
øget ansvar.
En hændelses konsekvenser fastlægges navnlig ud fra an-
tallet af brugere, der berøres af afbrydelsen af den væsentli-
ge tjeneste, hændelsens varighed og den geografiske udbre-
delse med hensyn til det område, der er berørt af hændelsen.
For at Finanstilsynet og Center for Cybersikkerhed, som na-
tional CSIRT, kan vurdere en hændelses konsekvenser, skal
underretningerne indeholde oplysninger, der gør det muligt
at fastslå hændelsens omfang og herunder eventuelle græn-
seoverskridende konsekvenser for hændelsen.
Det forventes derfor fastsat på bekendtgørelsesniveau i
medfør af den foreslåede § 58 a, stk. 3, at en underretning
skal indeholde oplysninger om antallet af medlemmer og
udstedere på markedspladsen eller antallet og størrelsen af
direkte og indirekte clearingmedlemmer hos den centrale
modpart (CCP’en), der er berørt af hændelsen, oplysninger
om hændelsens varighed og det geografiske område, der er
berørt af hændelsen samt oplysninger om eventuelle grænse-
overskridende konsekvenser af hændelsen.
I medfør af det foreslåede § 58 a, stk. 3, 2. pkt., vil Fi-
nanstilsynet ligeledes udarbejde en liste over tjenester, som
34
operatører af markedspladser og centrale modparter
(CCP’er) leverer, der anses for at være væsentlige for opret-
holdelsen af kritiske samfundsmæssige eller økonomiske ak-
tiviteter. Dette betyder, at en operatør af en markedsplads og
en central modpart (CCP), der bliver udpeget som operatør
af væsentlige tjenester, kan holde de væsentlige tjenester ad-
skilt fra de ikke-væsentlige tjenester.
Til nr. 3
§ 225 i lov om kapitalmarkeder fastsætter i hvilke tilfælde
og til hvem Finanstilsynet kan videregive fortrolige oplys-
ninger, uanset Finanstilsynets særlige tavshedspligt som
fremgår af § 224 i lov om kapitalmarkeder.
§ 224 indeholder hovedreglen om Finanstilsynets tavs-
hedspligt og er en særbestemmelse om tavshedspligt, jf. of-
fentlighedslovens § 35. Det indebærer, at der ikke vil være
mulighed for adgang til aktindsigt efter offentlighedsloven i
oplysninger hos Finanstilsynet, der er omfattet af tavsheds-
pligten. Denne skærpede tavshedspligt går desuden videre
end den tavshedspligt, der i medfør af § 27, stk. 1, i forvalt-
ningsloven påhviler alle offentligt ansatte.
Tavshedspligten er i høj grad baseret på et ønske om at
beskytte virksomhedernes kunder, det være sig privatperso-
ner eller erhvervskunder. Hertil kommer et ønske om af
konkurrencemæssige grunde at beskytte virksomhedernes
forretningsmæssige forhold. Herudover er Finanstilsynets
tavshedspligt en afgørende betingelse for den tilsynsmæssi-
ge effektivitet. For at tilsynet kan få alle nødvendige oplys-
ninger i en given sag, må virksomhederne og kunderne kun-
ne nære tillid til, at Finanstilsynet ikke videregiver fortrolige
oplysninger.
Med lovforslaget foreslås det at indsætte et nyt nr. 17 i §
225, hvorefter Finanstilsynet kan videregive oplysninger til
Center for Cybersikkerhed, under forudsætning af at oplys-
ningerne er nødvendige for dem til opfyldelse af deres lov-
bestemte opgaver, i deres egenskab af CSIRT eller nationalt
centralt kontaktpunkt.
Med bestemmelsen gennemføres NIS-direktivets artikel
10, stk. 1 og 2, hvorefter den kompetente myndighed samar-
bejder med den enhed, der håndterer hændelser, den såkald-
te CSIRT. Det følger endvidere af direktivets artikel 1, nr. 5,
at oplysninger der er fortrolige i henhold til EU-regler og
nationale regler, kan udveksles med forbehold af artikel 346
i TEUF, hvis en sådan udveksling er nødvendig for anven-
delsen af dette direktiv. De udvekslede oplysninger begræn-
ses til, hvad der er relevant og forholdsmæssigt under hen-
syn til formålet med udvekslingen. En sådan udveksling af
oplysninger skal sikre de nævnte oplysningers fortrolighed
og beskytte sikkerheden og kommercielle interesser hos
operatører af væsentlige tjenester.
Med henblik på at sikre et sådant samarbejde, foreslås det
at Finanstilsynet kan videregive oplysninger til Center for
Cybersikkerhed, i det omfang oplysningerne er nødvendige
for, at Center for Cybersikkerhed kan varetage sine opgaver
som nationalt centralt kontaktpunkt eller CSIRT. Det er for-
ventningen, at Center for Cybersikkerhed, vil blive udpeget
af Forsvarsministeriet som CSIRT og som det nationale cen-
trale kontaktpunkt.
Med den foreslåede bestemmelse sikres det bl.a., at Fi-
nanstilsynet kan samarbejde med Center for Cybersikker-
hed, herunder oplyse om de eventuelle indberetninger, som
enten operatører af markedspladser eller centrale modparter
(CCP’er) har foretaget til Finanstilsynet, jf. lovforslagets §
58 a, stk. 1.
Det skal dog bemærkes, at i medfør af § 229 i lov om ka-
pitalmarkeder vil fortroligheden følge oplysningerne, hvilket
indebærer, at for så vidt angår de oplysninger, som Finans-
tilsynet videregiver til Center for Cybersikkerhed, så inde-
bærer videregivelsen, at Center for Cybersikkerhed omfattes
af den samme skærpede tavshedspligt som Finanstilsynet er
underlagt efter § 225 i lov om kapitalmarkeder. Dette er i
øvrigt i overensstemmelse med NIS-direktivet, hvoraf det
følger af præambel nr. 41, at hvis der er tale om oplysninger,
der betragtes som værende fortrolige i overensstemmelse
med EU-regler og nationale regler om forretningshemmelig-
heder, bør denne fortrolighed sikres under udførelsen af ak-
tiviteterne og opfyldelsen af målene i direktivet.
Endelig skal det bemærkes, at ved en eventuel videregi-
velse af personoplysninger vil de gældende regler vedrøren-
de persondataloven tillige finde anvendelse, hvorfor behand-
ling af persondata altid vil ske under iagttagelse af gældende
lovgivning, herunder den kommende persondataforordning.
Til nr. 4
Forslaget til § 236 a gennemfører NIS-direktivets artikel
14, stk. 6, hvorefter den kompetente myndighed kan oplyse
offentligheden om konkrete hændelser, hvis offentlighedens
kendskab hertil er nødvendig for at forebygge en hændelse
eller håndtere en igangværende hændelse.
Med den foreslåede bestemmelse kan Finanstilsynet efter
høring af en operatør af en markedsplads eller centrale mod-
part (CCP), der underretter Finanstilsynet og Center for Cy-
bersikkerhed om en hændelse, som har væsentlige konse-
kvenser for kontinuiteten af de væsentlige tjenester, som de
leverer, orientere offentligheden om hændelsen, hvis offent-
lighedens kendskab hertil er nødvendigt for at forebygge el-
ler håndtere en igangværende hændelse. Der vil være tale
om de hændelser, som en virksomhed underetter om i med-
før af de af Finanstilsynet nærmere fastsatte regler efter den
foreslåede § 58 a, stk. 3 i lov om kapitalmarkeder. Det for-
ventes, at Finanstilsynet vil udnytte bemyndigelsen til i en
ny bekendtgørelse at fastsætte nærmere regler om hændel-
sesrapportering. Det er Finanstilsynet, der vurderer, hvornår
en given hændelse er relevant for offentligheden.
Det foreslås med bestemmelsens 2. og 3. pkt., at offentlig-
gørelsen ikke må indeholde fortrolige oplysninger om kun-
deforhold eller oplysninger omfattet af § 30 i lov om offent-
lighed i forvaltningen. Offentliggørelsen må ikke indeholde
fortrolige oplysninger, der hidrører fra finansielle tilsyns-
myndigheder i andre lande inden for eller uden for Den
Europæiske Union, medmindre de myndigheder, der har af-
givet oplysningerne, har givet deres udtrykkelige tilladelse.
35
Det indebærer, at en offentliggørelse ikke må indeholde
oplysninger om kundeforhold eller oplysninger om virksom-
hedens interne forhold af væsentlig betydning for virksom-
heden, fx ikke-offentligt tilgængelige oplysninger om virk-
somhedens opbygning og indretning, dens økonomiske for-
hold og situation, dens kundemasse og dens samarbejdspart-
nere. Offentliggørelse af oplysninger om en hændelse inde-
bærer ikke, at selve sagen bliver offentlig tilgængelig. Sagen
vil således stadig være omfattet af Finanstilsynets tavsheds-
pligt, og der vil heller ikke efter offentliggørelse være mu-
lighed for at få aktindsigt i sagens dokumenter.
Af hensyn til samarbejdet mellem de finansielle tilsyns-
myndigheder inden for EU/EØS-området foreslås det, at en
offentliggørelse ikke må indeholde fortrolige oplysninger,
der hidrører fra finansielle tilsynsmyndigheder i andre lande
inden for eller uden for Den Europæiske Union, medmindre
de myndigheder, der har afgivet oplysningerne, har givet de-
res udtrykkelige tilladelse. Offentliggørelse kan derfor kun
ske, hvis den myndighed, der har givet de pågældende op-
lysninger til Finanstilsynet, giver deres udtrykkelige tilladel-
se hertil.
Forslaget om offentliggørelse af oplysninger om hændel-
ser, som ovenfor beskrevet, er udarbejdet med baggrund i de
anbefalinger, som fremgår af Justitsministeriets betænkning
nr. 1516/2010 om offentlige myndigheders offentliggørelse
af kontrolresultater, afgørelser m.v. I betænkningen anbefa-
les det, at der inden indførelse af ordninger med systematisk
offentliggørelse af oplysning om kontrolresultater, afgørel-
ser m.v. på internettet i ikke-anonymiseret form foretages en
vurdering af det konkrete behov for offentliggørelse, om of-
fentliggørelse kan forventes konkret at være særligt indgri-
bende for personen, om der er tungtvejende samfundsmæssi-
ge hensyn bag offentliggørelsesordningen, om offentliggø-
relse strider mod persondataloven og de almindelige regler
om tavshedspligt, og om der af retssikkerhedsmæssige grun-
de er opstillet administrative regler for forvaltningsmyndig-
hedens behandling af de enkelte sager.
Det er således Finanstilsynets vurdering om det er nød-
vendigt for at forebygge eller håndtere en igangværende
hændelse at offentliggøre navnet på den berørte virksomhed,
eller om det samme resultat kan nås med en anonymiseret
offentliggørelse, som alene omfatter den konkrete hændelse.
En offentliggørelse vil dog altid forudsætte, at den berørte
virksomhed er blevet hørt herom. Det skal endvidere be-
mærkes, at en offentliggørelse endvidere vil ske under hen-
syntagen til bl.a. den kommende databeskyttelseslov og per-
sondataforordningen.
Til § 21
Med § 21 fastlægges lovens territoriale gyldighed.
Det foreslås med stk. 1, at loven ikke skal gælde for Færø-
erne og Grønland.
Det foreslås imidlertid med stk. 2, at lovens §§ 19 og 20
kan sættes helt eller delvis i kraft for Færøerne og Grønland
ved kongelig anordning med de ændringer, som de færøske
og grønlandske forhold tilsiger.
§§ 19-20 vedrører ændringer til lov om finansiel virksom-
hed og lov om kapitalmarkeder, som gennemfører NIS-di-
rektivet. Disse ændringer skal kunne sættes i kraft for Færø-
erne og Grønland med de ændringer, som de færøske og
grønlandske forhold tilsiger.
Det foreslås endvidere, bestemmelserne kan sættes i kraft
på forskellige tidspunkter.
36
Bilag
Lovforslag sammenholdt med gældende ret
Gældende lov Lovforslaget
§ 19
I lov om finansiel virksomhed jf. lovbekendtgø-
relse nr. 1140 af 26. september 2017, som bl.a.
ændret ved § 1 i lov nr. 667 af 8. juni 2017, § 1 i
lov nr. 1547 af 19. december 2017 og senest ved §
34 i lov nr. 1555 af 19. december 2017 foretages
følgende ændringer:
Fodnoten. Loven indeholder bestemmelser, der
gennemfører dele af Rådets fjerde direktiv
78/660/EØF af 25. juli 1978 (4. selskabsdirektiv),
EF-Tidende 1978, nr. L 222, side 11, dele af Rådets
syvende direktiv 83/349/EØF af 13. juni 1983 (7.
selskabsdirektiv), EF-Tidende 1983, nr. L 193, side
1, dele af Rådets ottende direktiv 84/253/EØF af 10.
april 1984 (8. selskabsdirektiv), EF-Tidende 1984,
nr. L 126, side 20, Rådets direktiv 86/635/EØF af 8.
december 1986 (bankregnskabsdirektivet), EF-Ti-
dende 1986, nr. L 372, side 1, Rådets direktiv
89/117/EØF af 13. februar 1989 (offentliggørelse af
årsregnskabsdokumenter for filialer fra ikkemed-
lemslande), EF-Tidende 1989, nr. L 44, side 40, Rå-
dets direktiv 91/674/EØF af 19. december 1991 (for-
sikringsregnskabsdirektivet), EF-Tidende 1991, nr.
L 374, side 7, Europa-Parlamentets og Rådets direk-
tiv 95/26/EF af 29. juni 1995 (BCCI-direktivet), EF-
Tidende 1995, nr. L 168, side 7, dele af Europa-Par-
lamentets og Rådets direktiv 2000/26/EF af 16. maj
2000 (4. motorkøretøjsforsikringsdirektiv), EF-Ti-
dende 2000, nr. L 181, side 65, Europa-Parlamentets
og Rådets direktiv 2000/64/EF af 7. november 2000
(udveksling af oplysninger), EF-Tidende 2000, nr. L
290, side 27, Europa-Parlamentets og Rådets direk-
tiv 2001/24/EF af 4. april 2001 (likvidationsdirekti-
vet for kreditinstitutter), EF-Tidende 2001, nr. L
125, side 15, Europa-Parlamentets og Rådets direk-
tiv 2002/13/EF af 5. marts 2002 (solvens I-direkti-
vet), EF-Tidende 2002, nr. L 77, side 17, Europa-
Parlamentets og Rådets direktiv 2002/87/EF af 16.
december 2002 (konglomeratdirektivet), EU-Tiden-
de 2003, nr. L 35, side 1, dele af Europa-Parlamen-
tets og Rådets direktiv 2002/92/EF af 9. december
2002 (direktiv om forsikringsformidling), EF-Tiden-
1. I fodnoten til lovens titel ændres »og dele af
Europa-Parlamentets og Rådets direktiv
2015/849/EU af 20. maj 2015 om forebyggende
foranstaltninger mod anvendelse af det finansielle
system til hvidvask af penge eller finansiering af
terrorisme, om ændring af Europa-Parlamentets
og Rådets forordning (EU) nr. 648/2012 og om
ophævelse af Europa-Parlamentets og Rådets di-
rektiv 2005/60/EF samt Kommissionens direktiv
2006/70/EF (4. hvidvaskdirektiv), EU-Tidende
2015, nr. L 141, side 73« til: » dele af Europa-
Parlamentets og Rådets direktiv 2015/849/EU af
20. maj 2015 om forebyggende foranstaltninger
mod anvendelse af det finansielle system til hvid-
vask af penge eller finansiering af terrorisme, om
ændring af Europa-Parlamentets og Rådets for-
ordning (EU) nr. 648/2012 og om ophævelse af
Europa-Parlamentets og Rådets direktiv
2005/60/EF samt Kommissionens direktiv
2006/70/EF (4. hvidvaskdirektiv), EU-Tidende
2015, nr. L 141, side 73, og dele af Europa-Parla-
mentets og Rådets direktiv 2016/1148/EU af 6.
juli 2016 (NIS-direktivet), EU-Tidende 2016, nr.
L 194, side 1«.
37
de 2003, nr. L 9, side 3, dele af Europa-Parlamentets
og Rådets direktiv 2005/14/EF af 11. maj 2005 (5.
motorkøretøjsforsikringsdirektiv), EU-Tidende
2005, nr. L 149, side 14, dele af Europa-Parlamen-
tets og Rådets direktiv 2006/31/EF af 5. april 2006
om ændring af direktiv 2004/39/EF om markeder for
finansielle instrumenter, for så vidt angår visse fris-
ter (udsættelsesdirektivet), EU-Tidende 2006, nr. L
114, side 60, Europa-Parlamentets og Rådets direk-
tiv 2007/44/EF af 5. september 2007 om ændring af
Rådets direktiv 92/49/EØF og direktiv 2002/83/EF,
2004/39/EF, 2005/68/EF og 2006/48/EF, hvad angår
procedurereglerne og kriterierne for tilsynsmæssig
vurdering af erhvervelser og forøgelse af kapitalan-
dele i den finansielle sektor (kapitalandelsdirekti-
vet), EU-Tidende 2007, nr. L 247, side 1, dele af Eu-
ropa-Parlamentets og Rådets direktiv 2007/64/EF af
13. november 2007 om betalingstjenester i det indre
marked og om ændring af direktiv 97/7/EF,
2002/65/EF, 2005/60/EF og 2006/48/EF og om op-
hævelse af direktiv 97/5/EF (betalingstjenestedirek-
tivet), EU-Tidende 2007, nr. L 319, side 1, dele af
Europa-Parlamentets og Rådets direktiv 2009/65/EF
af 13. juli 2009 om samordning af love og admini-
strative bestemmelser om visse institutter for kollek-
tiv investering i værdipapirer (investeringsinstitutter)
(UCITS-direktivet), EU-Tidende 2009, nr. L 302, si-
de 32, dele af Europa-Parlamentets og Rådets direk-
tiv 2009/138/EF af 25. november 2009 om adgang
til og udøvelse af forsikrings- og genforsikringsvirk-
somhed (Solvens II), EU-Tidende 2009, nr. L 335,
side 1, Kommissionens direktiv 2010/43/EU af 1. ju-
li 2010 om gennemførelse af Europa-Parlamentets
og Rådets direktiv 2009/65/EF for så vidt angår or-
ganisatoriske krav, interessekonflikter, god forret-
ningsskik, risikostyring og indholdet af aftalen mel-
lem en depositar og et administrationsselskab, EU-
Tidende 2010, nr. L 176, side 42, dele af Europa-
Parlamentets og Rådets direktiv 2011/61/EU af 8.
juni 2011 om forvaltere af alternative investerings-
fonde og om ændring af direktiv 2003/41/EF og
2009/65/EF samt forordning (EF) nr. 1060/2009 og
(EU) nr. 1095/2010, EU-Tidende 2011, nr. L 174, si-
de 1, Europa-Parlamentets og Rådets direktiv
2011/89/EU af 16. november 2011 om ændring af
direktiv 98/78/EF, 2002/87/EF, 2006/48/EF og
2009/138/EF for så vidt angår det supplerende tilsyn
med finansielle enheder i et finansielt konglomerat,
38
EU-Tidende 2011, nr. L 326, side 113, dele af Euro-
pa-Parlamentets og Rådets direktiv 2013/36/EU af
26. juni 2013 (CRD IV), EU-Tidende 2013, nr. L
176, side 338, Europa-Parlamentets og Rådets direk-
tiv 2013/58/EU af 11. december 2013 om ændring af
direktiv 2009/138/EF (Solvens II) for så vidt angår
datoerne for dets gennemførelse og anvendelse og
datoen for ophævelse af visse direktiver (Solvens I),
EU-Tidende 2013, nr. L 341, side 1, dele af Europa-
Parlamentets og Rådets direktiv 2014/17/EU af 4.
februar 2014 om forbrugerkreditaftaler i forbindelse
med fast ejendom til beboelse og om ændring af di-
rektiv 2008/48/EF og 2013/36/EU og forordning
(EU) nr. 1093/2010 (boligkreditdirektivet), EU-Ti-
dende 2014, nr. L 60, side 34, dele af Europa-Parla-
mentets og Rådets direktiv 2014/51/EU af 16. april
2014 om ændring af direktiv 2003/71/EF og
2009/138/EF samt forordning (EF) nr. 1060/2009,
(EU) nr. 1094/2010 og (EU) nr. 1095/2010 for så
vidt angår de beføjelser, der er tillagt den europæ-
iske tilsynsmyndighed (Den Europæiske Tilsyns-
myndighed for Forsikrings- og Arbejdsmarkedspen-
sionsordninger) og den europæiske tilsynsmyndig-
hed (Den Europæiske Værdipapirtilsynsmyndighed),
EU-Tidende 2014, nr. L 153, side 1, dele af Europa-
Parlamentets og Rådets direktiv 2014/49/EU af 16.
april 2014 om indskudsgarantiordninger (DGSD),
EU-Tidende 2014, nr. L 173, side 149, dele af Euro-
pa-Parlamentets og Rådets direktiv 2014/59/EU af
15. maj 2014 om et regelsæt for genopretning og af-
vikling af kreditinstitutter (BRRD), EU-Tidende
2014, nr. L 173, side 190, dele af Europa-Parlamen-
tets og Rådets direktiv 2014/65/EU af 15. maj 2014
om markeder for finansielle instrumenter (MiFID
II), EU-Tidende 2014, nr. L 173, side 349, dele af
Europa-Parlamentets og Rådets direktiv 2014/91/EU
af 23. juli 2014 om ændring af direktiv 2009/65/EF
om samordning af love og administrative bestem-
melser om visse institutter for kollektiv investering i
værdipapirer (investeringsinstitutter) for så vidt an-
går depositarfunktioner, aflønningspolitik og sankti-
oner (UCITS V-direktivet), EU-Tidende 2014, nr. L
257, side 186, og dele af Europa-Parlamentets og
Rådets direktiv 2015/849/EU af 20. maj 2015 om
forebyggende foranstaltninger mod anvendelse af
det finansielle system til hvidvask af penge eller fi-
nansiering af terrorisme, om ændring af Europa-Par-
lamentets og Rådets forordning (EU) nr. 648/2012
39
og om ophævelse af Europa-Parlamentets og Rådets
direktiv 2005/60/EF samt Kommissionens direktiv
2006/70/EF (4. hvidvaskdirektiv), EU-Tidende
2015, nr. L 141, side 73. I loven er der endvidere
medtaget visse bestemmelser fra Kommissionens
forordning (EU) nr. 584/2010 af 1. juli 2010 om
gennemførelse af Europa-Parlamentets og Rådets di-
rektiv 2009/65/EF for så vidt angår form og indhold
af standardmodellen til anmeldelsesskrivelse og er-
klæring om investeringsinstituttet, brug af elektro-
nisk kommunikation mellem kompetente myndighe-
der i forbindelse med anmeldelser og procedurer ved
kontroller og undersøgelser på stedet samt udveks-
ling af oplysninger mellem kompetente myndighe-
der, EU-Tidende 2010, nr. L 176, side 16, Europa-
Parlamentets og Rådets forordning (EU) nr.
1092/2010 af 24. november 2010 om makrotilsyn på
EU-plan med det finansielle system og om oprettelse
af et europæisk udvalg for systemiske risici, EU-Ti-
dende 2010, nr. L 331, side 1, Europa-Parlamentets
og Rådets forordning (EU) nr. 1093/2010 af 24. no-
vember 2010 om oprettelse af en europæisk tilsyns-
myndighed (Den Europæiske Banktilsynsmyndig-
hed), om ændring af afgørelse nr. 716/2009/EF og
om ophævelse af Kommissionens afgørelse
2009/78/EF, EU-Tidende 2010, nr. L 331, side 12,
Europa-Parlamentets og Rådets forordning (EU) nr.
1094/2010 af 24. november 2010 om oprettelse af en
europæisk tilsynsmyndighed (Den Europæiske Til-
synsmyndighed for Forsikrings- og Arbejdsmarkeds-
pensionsordninger), om ændring af afgørelse nr.
716/2009/EF og om ophævelse af Kommissionens
afgørelse 2009/79/EF, EU-Tidende 2010, nr. L 331,
side 48, Europa-Parlamentets og Rådets forordning
(EU) nr. 1095/2010 af 24. november 2010 om opret-
telse af en europæisk tilsynsmyndighed (Den Euro-
pæiske Værdipapir- og Markedstilsynsmyndighed),
om ændring af afgørelse nr. 716/2009/EF og om op-
hævelse af Kommissionens afgørelse 2009/77/EF,
EU-Tidende 2010, nr. L 331, side 84, Europa-Parla-
mentets og Rådets forordning (EU) nr. 346/2013 af
17. april 2013 om europæiske sociale iværksætter-
fonde, EU-Tidende 2013, nr. L 115, side 18, Europa-
Parlamentets og Rådets forordning (EU) nr.
345/2013 af 17. april 2013 om europæiske venture-
kapitalfonde, EU-Tidende 2013, nr. L 115, side 1,
Europa-Parlamentets og Rådets forordning (EU) nr.
575/2013 af 26. juni 2013 (CRR), EU-Tidende 2013,
40
nr. L 176, side 1, Europa-Parlamentets og Rådets
forordning (EU) nr. 600/2014 af 15. maj 2014 om
markeder for finansielle instrumenter (MiFIR), EU-
Tidende 2014, nr. L 173, side 84, og Europa-Parla-
mentets og Rådets forordning (EU) nr. 1286/2014 af
26. november 2014 om dokumenter med central in-
formation om sammensatte og forsikringsbaserede
investeringsprodukter til detailinvestorer (PRIIP’er),
EU-Tidende 2014, nr. L 352, side 1. Ifølge artikel
288 i EUF-traktaten gælder en forordning umiddel-
bart i hver medlemsstat. Gengivelsen af disse be-
stemmelser i loven er således udelukkende begrun-
det i praktiske hensyn og berører ikke forordninger-
nes umiddelbare gyldighed i Danmark.
§ 71. - - -
2. I § 71, stk. 2, indsættes som 2. pkt.:
Stk. 2. Et gruppe 1-forsikringsselskab skal som led
i selskabets virksomhedsstyring, jf. stk. 1, identifice-
re selskabets nøglepersoner.
Stk. 3-4. - - -
»Finanstilsynet kan desuden fastsætte nærmere
regler om hændelsesrapportering for de virksom-
heder, der udpeges som operatører af væsentlige
tjenester i medfør af § 307 a, herunder om at Fi-
nanstilsynet og Center for Cybersikkerhed under-
rettes ved en hændelse, der har en negativ ind-
virkning på sikkerheden i virksomhedens net- og
informationssystemer.«
3. Efter afsnit VIII indsættes:
»Afsnit VIII a
Kapitel 18 a
Identifikation af operatører af væsentlige tjene-
ster
§ 307 a. Finanstilsynet udpeger mindst hvert an-
det år de penge- og realkreditinstitutter, der er
operatører af væsentlige tjenester.
Stk. 2. Finanstilsynet skal i forbindelse med ud-
pegningen efter stk. 1, lægge vægt på, at
1) de tjenester, der leveres, er væsentlige for op-
retholdelsen af kritiske samfundsmæssige eller
økonomiske aktiviteter,
2) leveringen af tjenesten afhænger af net- og
informationssystemer, og
3) en hændelse vil få væsentlige forstyrrende
virkninger for leveringen af tjenesten.
Stk. 3. Finanstilsynet kan fastsætte nærmere reg-
ler om udpegning af operatører af væsentlige tje-
41
nester og de kriterier Finanstilsynet kan lægge
vægt på efter stk. 1 og 2. Finanstilsynet udarbej-
der en liste over tjenester, jf. stk. 2, nr. 1.«
§ 354. - - -
Stk. 1-5. - - -
Stk. 6. Bestemmelsen i stk. 1 er ikke til hinder for,
at fortrolige oplysninger videregives til:
Nr. 1-43) - - -
4. I § 354, stk. 6, indsættes som nr. 44:»
44) Center for Cybersikkerhed under forudsæt-
ning af at oplysningerne er nødvendige for cente-
ret til at opfylde deres lovbestemte opgaver som
nationalt centralt kontaktpunkt eller CSIRT.«
5. Efter § 354 g indsættes:
»§ 354 h. Finanstilsynet kan efter høring af den
virksomhed, der underretter Finanstilsynet og
Center for Cybersikkerhed om en hændelse, som
har væsentlige konsekvenser for kontinuiteten af
de væsentlige tjenester, som de leverer, orientere
offentligheden om hændelsen, hvis offentlighe-
dens kendskab hertil er nødvendig for at forebyg-
ge eller håndtere en igangværende hændelse. Of-
fentliggørelsen må ikke indeholde fortrolige op-
lysninger om kundeforhold eller oplysninger om-
fattet af § 30 i lov om offentlighed i forvaltnin-
gen. Offentliggørelsen må ikke indeholde fortroli-
ge oplysninger, der hidrører fra finansielle tilsyns-
myndigheder i andre lande inden for eller uden
for Den Europæiske Union, medmindre de myn-
digheder, der har afgivet oplysningerne, har givet
deres udtrykkelige tilladelse.«
§ 20
I lov om kapitalmarkeder, jf. lovbekendtgørelse
nr. 12 af 8. januar 2018, foretages følgende æn-
dringer:
Fodnoten. Loven indeholder bestemmelser, der
gennemfører Europa-Parlamentets og Rådets direk-
tiv 98/26/EF af 19. maj 1998, EF-Tidende 1998, nr.
L 166, side 45, Europa-Parlamentets og Rådets di-
rektiv 2001/34/EF af 28. maj 2001, EF-Tidende
2001, nr. L 184, side 1, Europa-Parlamentets og Rå-
dets direktiv 2002/47/EF af 14. juni 2002, EF-Tiden-
de 2002, nr. L 168, side 43, dele af Europa-Parla-
1. I fodnoten til lovens titel ændres »dele af Euro-
pa-Parlamentets og Rådets direktiv 2013/50/EU
af 22. oktober 2013, EU-Tidende 2013, nr. L 294,
side 13, og Europa-Parlamentets og Rådets direk-
tiv 2014/65/EU af 15. maj 2014, EU-Tidende
2014, nr. L 173, side 349« til: »dele af Europa-
Parlamentets og Rådets direktiv 2013/50/EU af
22. oktober 2013, EU-Tidende 2013, nr. L 294,
42
mentets og Rådets direktiv 2003/71/EF af 4. novem-
ber 2003, EU-Tidende 2003, nr. L 345, side 64, dele
af Europa-Parlamentets og Rådets direktiv
2004/25/EF af 21. april 2004, EU-Tidende 2004, nr.
L 142, side 12, dele af Europa-Parlamentets og Rå-
dets direktiv 2004/109/EF af 15. december 2004,
EU-Tidende 2004, nr. L 390, side 38, dele af Kom-
missionens direktiv 2007/14/EF af 8. marts 2007 om
gennemførelsesbestemmelser til visse bestemmelser
i direktiv 2004/109/EF, EU-Tidende, nr. L 69, side
27, Europa-Parlamentets og Rådets direktiv
2009/44/EF af 6. maj 2009, EU-Tidende 2009, nr. L
146, side 37, dele af Europa-Parlamentets og Rådets
direktiv 2010/73/EU af 24. november 2010, EU-Ti-
dende 2010, nr. L 327, side 1, dele af Europa-Parla-
mentets og Rådets direktiv 2013/50/EU af 22. okto-
ber 2013, EU-Tidende 2013, nr. L 294, side 13, og
Europa-Parlamentets og Rådets direktiv 2014/65/EU
af 15. maj 2014, EU-Tidende 2014, nr. L 173, side
349. I loven er der medtaget visse bestemmelser fra
Kommissionens forordning nr. 1031/2010/EU af 12.
november 2010, EU-Tidende 2010, nr. L 302, side 1,
Europa-Parlamentets og Rådets forordning nr.
236/2012/EU af 14. marts 2012, EU-Tidende 2012,
nr. L 86, side 1, dele af Europa-Parlamentets og Rå-
dets forordning nr. 648/2012/EU af 4. juli 2012, EU-
Tidende 2012, nr. L 201, side 1, Europa-Parlamen-
tets og Rådets forordning nr. 600/2014 af 15. maj
2014, EU-Tidende 2014, nr. L 173, side 84, Europa-
Parlamentets og Rådets forordning nr. 909/2014 af
23. juli 2014, EU-Tidende, nr. L 257, side 1, Euro-
pa-Parlamentets og Rådets forordning (EU) nr.
596/2014 af 16. april 2014, EU-Tidende 2014, nr. L
173, side 1, og Europa-Parlamentets og Rådets for-
ordning (EU) nr. 1011/2016 af 8. juni 2016, EU-Ti-
dende 2016, nr. L 171, side 1. Ifølge artikel 288 i
EUF-Traktaten gælder en forordning umiddelbart i
hver medlemsstat. Gengivelsen af disse bestemmel-
ser i loven er udelukkende begrundet i praktiske
hensyn og berører ikke forordningernes umiddelbare
gyldighed i Danmark.
side 13, Europa-Parlamentets og Rådets direktiv
2014/65/EU af 15. maj 2014, EU-Tidende 2014,
nr. L 173, side 349, og dele af Europa-Parlamen-
tets og Rådets direktiv 2016/1148/EU af 6. juli
2016, EU-Tidende 2016, nr. L 194, side 1«.
2. Efter § 58 indsættes i afsnit IV:
»Identifikation af operatører af væsentlige tjene-
ster
43
§ 58 a. Finanstilsynet udpeger mindst hvert an-
det år de operatører af markedspladser og centrale
modparter (CCP’er), der er operatører af væsentli-
ge tjenester.
Stk. 2. Finanstilsynet skal i forbindelse med ud-
pegningen efter stk. 1, lægge vægt på, at
1) de tjenester, der leveres, er væsentlige for op-
retholdelsen af kritiske samfundsmæssige eller
økonomiske aktiviteter,
2) leveringen af tjenesten afhænger af net- og
informationssystemer, og
3) en hændelse vil få væsentlige forstyrrende
virkninger for leveringen af tjenesten.
Stk. 3. Finanstilsynet kan fastsætte nærmere reg-
ler om udpegning af operatører af væsentlige tje-
nester og de kriterier Finanstilsynet kan lægge
vægt på efter stk. 1 og 2, herunder fastsætte nær-
mere regler om hændelsesrapportering, herunder
om at Finanstilsynet og Center for Cybersikker-
hed underrettes ved en hændelse, der har en nega-
tiv indvirkning på sikkerheden i virksomhedens
net- og informationssystemer. Finanstilsynet ud-
arbejder en liste over tjenester, jf. stk. 2, nr. 1.«
§ 225. § 224, stk. 1, er ikke til hinder for, at fortro-
lige oplysninger videregives til:
Nr. 1-16) - - -
3. I § 225, stk. 1, indsættes som nr. 17:
»17) Center for Cybersikkerhed under forudsæt-
ning af, at oplysningerne er nødvendige for cente-
ret til opfyldelse af dets lovbestemte opgaver som
nationalt centralt kontaktpunkt eller CSIRT.«
Stk. 2. - - -
4. Efter § 236 indsættes før overskriften før § 237:
»§ 236 a. Finanstilsynet kan efter høring af en
operatør af en markedsplads eller central modpart
(CCP), der underretter Finanstilsynet og Center
for Cybersikkerhed om en hændelse, som har væ-
sentlige konsekvenser for kontinuiteten af de væ-
sentlige tjenester, som de leverer, orientere offent-
ligheden om hændelsen, hvis offentlighedens
kendskab hertil er nødvendig for at forebygge el-
ler håndtere en igangværende hændelse. Offent-
liggørelsen må ikke indeholde fortrolige oplysnin-
ger om kundeforhold eller oplysninger omfattet af
§ 30 i lov om offentlighed i forvaltningen. Offent-
liggørelsen må ikke indeholde fortrolige oplysnin-
ger, der hidrører fra finansielle tilsynsmyndighe-
der i andre lande inden for eller uden for Den
Europæiske Union, medmindre de myndigheder,
44
der har afgivet oplysningerne, har givet deres ud-
trykkelige tilladelse.«
45