Fremsat den 7. februar 2018 af sundhedsministeren (Ellen Trane Nørby)

Fremsat den 7. februar 2018 af sundhedsministeren (Ellen Trane Nørby)
Forslag
til
Lov om krav til sikkerhed for net- og informationssystemer inden for
sundhedssektoren1)
Kapitel 1
Lovens anvendelsesområde og definitioner
§ 1. Loven gælder for operatører af væsentlige tjenester
inden for sundhedssektoren.
§ 2. I denne lov forstås ved:
1) Operatør af en væsentlig tjeneste: En offentlig eller pri-
vat enhed, som er etableret i Danmark, og som opfylder
kriterierne i § 3, stk. 1.
2) Net- og informationssystem:
a) Et elektronisk kommunikationsnet i form af en ra-
diofrekvens- eller kabelbaseret teleinfrastruktur,
der anvendes til formidling af tjenester,
b) enhver anordning eller gruppe af indbyrdes for-
bundne eller beslægtede anordninger, hvoraf en el-
ler flere ved hjælp af et program udfører automa-
tisk behandling af digitale data, eller
c) digitale data, som lagres, behandles, fremfindes el-
ler overføres ved brug af elementer i litra a og b
med henblik på deres drift, brug, beskyttelse og
vedligeholdelse.
3) Sikkerhed i net- og informationssystemer: Evnen for
net- og informationssystemer til, på et givet sikkerheds-
niveau, at modstå handlinger, der er til skade for til-
gængeligheden, autenticiteten, integriteten eller fortro-
ligheden i forbindelse med lagrede eller overførte eller
behandlede data eller de dermed forbundne tjenester,
der tilbydes af eller er tilgængelige via disse net- og in-
formationssystemer.
4) Hændelse: Enhver begivenhed, der har en egentlig ne-
gativ indvirkning på sikkerheden i net- og informati-
onssystemer.
Kapitel 2
Operatører af væsentlige tjenester
§ 3. En enhed betragtes som en operatør af en væsentlig
tjeneste, hvis
1) enheden leverer en tjeneste, der er væsentlig for opret-
holdelsen af kritiske samfundsmæssige eller økonomi-
ske aktiviteter inden for sundhedssektoren,
2) leveringen af denne tjeneste afhænger af net- og infor-
mationssystemer, og
3) en hændelse vil få væsentlige forstyrrende virkninger
for leveringen af den nævnte tjeneste.
Stk. 2. Operatører af væsentlige tjenester skal registrere
sig hos sundhedsministeren.
Stk. 3. Sundhedsministeren fastsætter nærmere regler om
kriterierne i stk. 1 og registreringsordningen efter stk. 2.
Kapitel 3
Sikkerhedskrav
§ 4. Operatører af væsentlige tjenester skal træffe passen-
de og forholdsmæssige tekniske og organisatoriske foran-
staltninger for at styre risiciene for sikkerheden i net- og in-
formationssystemer, som de anvender til deres aktiviteter,
og med disse foranstaltninger sikre et sikkerhedsniveau, der
er passende til risikoen.
Stk. 2. Operatører af væsentlige tjenester skal træffe pas-
sende foranstaltninger for at forebygge og minimere konse-
kvensen af hændelser, der berører sikkerheden i net- og in-
formationssystemer, som anvendes til levering af sådanne
væsentlige tjenester, med henblik på at sikre kontinuiteten i
disse tjenester.
Stk. 3. Sundhedsministeren fastsætter nærmere regler om
foranstaltningerne i stk. 1 og 2.
1) Loven indeholder bestemmelser, der gennemfører dele af Europa-Parlamentets og Rådets direktiv 2016/1148/EU af 6. juli 2016 om foranstaltninger, der
skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen, EU-Tidende 2016, nr. L 194, side 1.
Lovforslag nr. L 143 Folketinget 2017-18
Sundheds- og Ældremin., j.nr. 1706260
CN000567
Kapitel 4
Underretningspligt m.v.
§ 5. Operatører af væsentlige tjenester skal hurtigst muligt
underrette sundhedsministeren og Center for Cybersikker-
hed om hændelser, der har væsentlige konsekvenser for kon-
tinuiteten af de væsentlige tjenester, som de leverer. Under-
retningen skal indeholde oplysninger, der gør det muligt for
sundhedsministeren at fastslå eventuelle grænseoverskriden-
de konsekvenser af hændelsen.
Stk. 2. Med henblik på at fastlægge omfanget af en hæn-
delses konsekvenser efter stk. 1 skal operatøren af en væ-
sentlig tjeneste navnlig tage følgende kriterier i betragtning:
1) Antallet af brugere, der berøres af afbrydelsen af den
væsentlige tjeneste.
2) Hændelsens varighed.
3) Den geografiske udbredelse med hensyn til det område,
der er berørt af hændelsen.
Stk. 3. Tillader omstændighederne det, meddeler sund-
hedsministeren relevante oplysninger til den underrettende
operatør af en væsentlig tjeneste om opfølgningen på dennes
underretning, herunder oplysninger der kan støtte en effektiv
håndtering af hændelsen.
Stk. 4. Sundhedsministeren kan efter høring af den under-
rettende operatør af en væsentlig tjeneste oplyse offentlighe-
den om konkrete hændelser, hvis offentlighedens kendskab
hertil er nødvendigt for at forebygge en hændelse eller hånd-
tere en igangværende hændelse.
Stk. 5. Sundhedsministeren fastsætter nærmere regler om
underretning efter stk. 1, herunder hvilke oplysninger der
skal underrettes om, og kriterierne for fastlæggelsen af om-
fanget af en hændelses konsekvenser efter stk. 2.
§ 6. Sundhedsministeren kan fastsætte regler om, at skrift-
lig kommunikation til og fra sundhedsministeren om nær-
mere bestemte forhold, som er omfattet af denne lov eller af
regler udstedt i medfør af loven, skal foregå digitalt.
Stk. 2. En digital meddelelse anses for at være kommet
rettidigt frem, når den er tilgængelig for adressaten for med-
delelsen.
Stk. 3. Sundhedsministeren kan fastsætte regler om digital
kommunikation, herunder om anvendelse af bestemte it-sy-
stemer, særlige digitale formater og digital signatur el.lign.
Kapitel 5
Tilsyn og påbud
§ 7. Sundhedsministeren fører tilsyn med de forpligtelser,
der påhviler operatører af væsentlige tjenester i henhold til
denne lov og regler, der er udstedt i medfør af loven.
Stk. 2. Sundhedsministeren kan som led i sit tilsyn kræve,
at operatører af væsentlige tjenester stiller oplysninger, der
er nødvendige for tilsynet, til rådighed, herunder oplysnin-
ger der er nødvendige for at vurdere sikkerheden i deres net-
og informationssystemer og dokumentation for den faktiske
gennemførelse af sikkerhedspolitikker.
§ 8. Sundhedsministeren kan påbyde operatører af væ-
sentlige tjenester at efterkomme forpligtelser i henhold til
denne lov og regler, der er udstedt i medfør af loven.
Kapitel 6
Delegation af beføjelser til Sundhedsdatastyrelsen
§ 9. Sundhedsministeren kan bemyndige Sundhedsdata-
styrelsen til at varetage opgaver, der i denne lov er tillagt
ministeren.
Kapitel 7
Straf
§ 10. Medmindre højere straf er forskyldt efter den øvrige
lovgivning, straffes med bøde den, der undlader at efterkom-
me sundhedsministerens påbud efter § 8.
Stk. 2. I regler, der fastsættes i medfør af loven, kan der
fastsættes straf i form af bøde.
Stk. 3. Der kan pålægges selskaber m.v. (juridiske perso-
ner) strafansvar efter reglerne i straffelovens 5. kapitel.
Kapitel 8
Ikrafttræden m.v.
§ 11. Loven træder i kraft den 10. maj 2018.
§ 12. Loven gælder ikke for Færøerne og Grønland.
2
Bemærkninger til lovforslaget
Almindelige bemærkninger
1. Indledning
Lovforslaget har til formål at implementere dele af Euro-
pa-Parlamentets og Rådets direktiv 2016/1148/EU af 6. juli
2016 om foranstaltninger, der skal sikre et højt fælles sik-
kerhedsniveau for net- og informationssystemer i hele Uni-
onen (herefter NIS-direktivet) inden for sundhedssektoren.
Den øgede digitalisering af det danske samfund indebæ-
rer, at net- og informationssikkerhed spiller en mere afgø-
rende rolle. Dette gælder også for sundhedssektoren. Det er i
høj grad en forudsætning for de tjenester, der understøtter
behandling og pleje i sundhedssektoren, at sikkerheden fun-
gerer.
Omfanget, hyppigheden og konsekvenserne af sikkerheds-
hændelser er tiltagende. Det digitale område er således i hø-
jere grad blevet et mål for handlinger, som har til formål at
ødelægge eller forstyrre driften af digitale systemer. Uanset
om hændelserne er tilsigtede eller ej, kan forstyrrelser i
sundhedssektoren have alvorlige konsekvenser. En hændelse
kan f.eks. være et cyberangreb eller en oversvømmelse af et
serverrum, der hindrer tjenester i at fungere, hæmmer en
hensigtsmæssig behandling og pleje samt truer patientsik-
kerheden. Sikkerhedshændelser kan dermed underminere
borgernes tillid til sundhedsvæsenet.
Det følger af NIS-direktivet, at tjenester, der leveres til
sundhedssektoren, kan være af særlig samfundskritisk ka-
rakter. NIS-direktivet har derfor bl.a. til formål at sikre et
højt niveau af net- og informationssikkerhed inden for sund-
hedssektoren, herunder sygehuse, praksissektoren, kommu-
nal pleje m.v.
Ved gennemførelse af NIS-direktivets sikkerheds- og un-
derretningskrav sikres der således i højere grad en beskyttel-
se af net- og informationssystemer inden for sundhedssekto-
ren med det formål at opretholde driften af et funktionelt
sundhedsvæsen, herunder bl.a. behandling og pleje af pa-
tienter og borgere.
Implementering af NIS-direktivet i dansk ret inden for
sundhedssektoren forudsætter, at der vedtages ny lovgiv-
ning, der gør det muligt at fastsætte krav til sikkerhed og un-
derretning for at sikre et højt sikkerhedsniveau for net- og
informationssystemer inden for sundhedssektoren. Ifølge
NIS-direktivet skal loven træde i kraft den 10. maj 2018.
2. Gældende ret
Der findes ikke en generel og tværgående regulering af
krav til sikkerhed og underretning for net- og informations-
systemer inden for sundhedssektoren.
Den offentlige og private sektor er – indtil den 24. maj
2018 – omfattet af lov nr. 429 af 31. maj 2000 om behand-
ling af personoplysninger med senere ændringer (herefter
persondataloven) og tilhørende bekendtgørelser, når der be-
handles personoplysninger. Det fremgår bl.a. af persondata-
loven, at der skal træffes fornødne tekniske og organisatori-
ske sikkerhedsforanstaltninger i forbindelse med behandling
af personoplysninger. Persondataloven gennemfører Euro-
pa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober
1995 om beskyttelse af fysiske personer i forbindelse med
behandling af personoplysninger og om fri udveksling af så-
danne oplysninger (herefter databeskyttelsesdirektivet). For
så vidt angår den offentlige forvaltning finder bekendtgørel-
se nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til
beskyttelse af personoplysninger, som behandles for den of-
fentlige forvaltning med senere ændringer anvendelse (her-
efter sikkerhedsbekendtgørelsen).
Databeskyttelsesdirektivet ophæves den 25. maj 2018, jf.
Europa-Parlamentets og Rådets forordning 2016/679/EU af
27. april 2016 om beskyttelse af fysiske personer i forbin-
delse med behandling af personoplysninger og om fri ud-
veksling af sådanne oplysninger og om ophævelse af direk-
tiv 95/46/EF (herefter databeskyttelsesforordningen), som
finder anvendelse fra den 25. maj 2018.
Justitsministeren har den 25. oktober 2017 fremsat lovfor-
slag L 68 om supplerende bestemmelser til forordning om
beskyttelse af fysiske personer i forbindelse med behandling
af personoplysninger og om fri udveksling af sådanne oplys-
ninger (herefter forslag til databeskyttelsesloven). I forslag
til databeskyttelsesloven, der fastsætter supplerende nationa-
le bestemmelser om behandling af personoplysninger, fore-
slås det bl.a., at persondataloven ophæves, jf. forslagets §
46, stk. 2. I den forbindelse foreslås sikkerhedsbekendtgø-
relsen samtidig ophævet.
Efter den 25. maj 2018 vil det være reglerne i databeskyt-
telsesforordningen, suppleret af lovforslag til databeskyttel-
sesloven, lov om retshåndhævende myndigheders behand-
ling af personoplysninger samt diverse særregler, herunder
bl.a. regler i sundhedsloven m.v., der regulerer området for
behandling af personoplysninger.
Derudover følger det af § 28, stk. 1, i lovbekendtgørelse
nr. 433 af 22. april 2014 (herefter forvaltningsloven), at en
forvaltningsmyndighed skal overholde reglerne i personda-
taloven, når der videregives personoplysninger til en anden
forvaltningsmyndighed. Ifølge lovforslag L 69 til L 68, som
blev behandlet samlet, er der sket en tilpasning af forvalt-
ningslovens § 28, så der fremover henvises til reglerne i da-
tabeskyttelsesforordningen og forslag til databeskyttelseslo-
ven. Desuden fremgår det af forvaltningslovens § 28, stk. 2,
at oplysninger af fortrolig karakter, som ikke er personop-
lysninger, kun må videregives til en anden forvaltningsmyn-
dighed, når den oplysningen angår udtrykkeligt har givet
samtykke, når det følger af lov, eller bestemmelser fastsat i
henhold til lov, at oplysningen skal videregives, eller det må
antages, at oplysningen vil være af væsentlig betydning for
myndighedens virksomhed eller for en afgørelse, myndighe-
den skal træffe. En oplysning anses som fortrolig, hvis den
er af en sådan karakter, at den efter den almindelige opfat-
telse i samfundet bør kunne forlanges unddraget offentlighe-
3
dens kendskab. Forvaltningsloven indeholder ikke bestem-
melser om adgang til udveksling af ikke-fortrolige oplysnin-
ger, og sådanne oplysninger vil som udgangspunkt frit kun-
ne videregives til en anden forvaltningsmyndighed.
Det følger derudover af forvaltningslovens § 27, stk. 1, at
den, der virker inden for den offentlige forvaltning, har tavs-
hedspligt, jf. straffelovens § 152 og §§ 152 c-152 f, med
hensyn til en række oplysninger.
Straffeloven indeholder ikke i øvrigt nogen nærmere angi-
velse af, hvilke offentlige eller private interesser der kan fø-
re til, at en oplysning må anses for at være fortrolig. En så-
dan angivelse findes derimod i forvaltningslovens § 27, hvor
der er foretaget en opregning af hensyn, som efter en kon-
kret vurdering i hvert enkelt tilfælde kan føre til, at en oplys-
ning er fortrolig og dermed undergivet tavshedspligt. Opreg-
ningen er ikke udtømmende, men den må antages at dække
langt den overvejende del af de hensyn, der kan føre til tavs-
hedspligt med hensyn til oplysninger om juridiske personer.
I forhold til tavshedspligt med oplysninger om fysiske per-
soner udfyldes og suppleres bestemmelserne i forvaltnings-
lovens § 27 med de centrale bestemmelser i persondatalo-
ven.
Det bemærkes endvidere, at forvaltningsmyndigheder i
deres virke skal overholde god forvaltningsskik, og at de
skal agere inden for de rammer, der kan udledes af de almin-
delige forvaltningsretlige grundsætninger om proportionali-
tet og saglighed i forvaltningen. Dette gælder også ved for-
valtningsmyndigheders offentliggørelse af oplysninger.
Endelig bemærkes det, at i tilfælde af forvaltningsmyndig-
heders anvendelse af tvangsindgreb og oplysningspligter
uden for strafferetsplejen, f.eks. i tilfælde af kontrol- og til-
synsbesøg, finder lov nr. 442 af 9. juni 2004 om retssikker-
hed ved forvaltningens anvendelse af tvangsindgreb og op-
lysningspligter med senere ændringer (herefter retssikker-
hedsloven) anvendelse, således at denne lovs processuelle
regler skal afholdes ved gennemførelsen af tilsynet.
3. Europa-Parlamentets og Rådets direktiv
2016/1148/EU af 6. juli 2016 om foranstaltninger, der
skal sikre et højt fælles sikkerhedsniveau for net- og
informationssystemer i hele Unionen (NIS-direktivet)
NIS-direktivet har til formål at sikre et højt fælles sikker-
hedsniveau for net- og informationssystemer i Unionen for
at forbedre det indre markeds funktion.
NIS-direktivet fastsætter forpligtelser for alle medlemssta-
ter til at vedtage en national strategi for sikkerhed i net- og
informationssystemer. I medfør af NIS-direktivet skal der
oprettes en samarbejdsgruppe med henblik på at støtte og
lette strategisk samarbejde og udveksling af oplysninger
mellem medlemsstaterne samt skabe tillid blandt dem. End-
videre skal der i medfør af NIS-direktivet oprettes et net-
værk af enheder, der håndterer IT-sikkerhedshændelser
(CSIRT-netværk) med henblik på at bidrage til skabelsen af
tillid mellem medlemsstaterne og at fremme et hurtigt og ef-
fektivt operationelt samarbejde. Yderligere fastsætter direk-
tivet sikkerhedskrav og en underretningspligt for operatører
af væsentlige tjenester og for udbydere af digitale tjenester.
Endelig fastsætter direktivet forpligtelser for medlemsstater-
ne til at udpege nationale kompetente myndigheder, centrale
kontaktpunkter og CSIRT’er, som pålægges opgaver relate-
ret til sikkerheden i net- og informationssystemer.
Det følger af NIS-direktivet, at behandling af personoplys-
ninger udføres i overensstemmelse med databeskyttelsesdi-
rektivet.
NIS-direktivet er et minimumsdirektiv, hvorfor medlems-
staterne kan vedtage eller bibeholde bestemmelser, som har
til formål at nå et højere sikkerhedsniveau for net- og infor-
mationssystemer.
3.1. Implementering af NIS-direktivet i dansk ret
NIS-direktivet er et sektorspecifikt direktiv.
Det følger af NIS-direktivet, at hver medlemsstat udpeger
en eller flere nationale kompetente myndigheder for sikker-
heden i net- og informationssystemer inden for energi-,
transport-, bank-, finans- og sundhedssektoren.
Direktivet vil blive implementeret individuelt i de enkelte
sektorer, som er omfattet af direktivet, hvilket vil sikre, at
der ved implementeringen fastsættes målrettede sikkerheds-
krav, der er nøje tilpasset de enkelte sektorers særlige for-
hold.
NIS-direktivet har et bredt anvendelsesområde, men for-
udsætningen for en målrettet og erhvervsvenlig direktivim-
plementering, hvor danske virksomheder ikke pålægges
unødvendige byrder, er, at nye lovgivningskrav nøje tilpas-
ses de enkelte sektorer. Ved implementeringen af NIS-direk-
tivet videreføres sektoransvaret derfor, således at de enkelte
ressortmyndigheder inden for eget område fortsat har ansva-
ret for at fastsætte og håndhæve de nødvendige regler om
sikkerhed for net- og informationssystemer.
Derudover er det vurderet hensigtsmæssigt, at Center for
Cybersikkerhed varetager funktionen som henholdsvis natio-
nalt centralt kontaktpunkt og Computer Security Incident
Response Team (herefter CSIRT). Disse funktioner indebæ-
rer bl.a. monitorering af hændelser på nationalt plan, tidlig
varsling, advarsler, meddelelser og formidling af informa-
tion til relevante interessenter om risici og hændelser, reak-
tion på hændelser, udarbejdelse af dynamiske risiko- og
hændelsesanalyser og situationsrapporter, deltagelse i
CSIRT-netværket, etablering af samarbejde med den private
sektor, fremme anvendelsen af fælles eller standardiserede
procedurer for håndtering af hændelser og risici og fremme
anvendelsen af fælles eller standardiserede systemer til klas-
sificering af hændelser, risici og oplysninger.
Følgende afsnit gennemgår NIS-direktivets artikler, der er
relevante for implementeringen af direktivet på Sundheds-
og Ældreministeriets område.
3.2. Identificering af operatører af væsentlige tjenester
Det følger af NIS-direktivet, at medlemsstaterne senest
den 9. november 2018 skal identificere operatører af væ-
sentlige tjenester inden for de respektive sektorer. I forbin-
delse med identificeringen af operatører af væsentlige tjene-
4
ster skal det indgå, om en enhed leverer en tjeneste, der er
væsentlig for opretholdelsen af kritiske samfundsmæssige
eller økonomiske aktiviteter, om leveringen af denne tjenes-
te afhænger af net- og informationssystemer, og om en hæn-
delse vil få væsentlige forstyrrende virkninger for leverin-
gen af den nævnte tjeneste.
Hver medlemsstat skal udarbejde en liste over væsentlige
tjenester inden for de af direktivet omfattede sektorer med
henblik på at identificere operatører af væsentlige tjenester.
3.3. Sikkerhedskrav for operatører af væsentlige tjenester
Medlemsstaterne skal i henhold til NIS-direktivet sikre, at
operatører af væsentlige tjenester træffer passende og for-
holdsmæssige tekniske og organisatoriske foranstaltninger
for at sikre et højt sikkerhedsniveau i deres net- og informa-
tionssystemer, som de anvender til deres aktiviteter. Sikker-
hedsforanstaltningerne skal tage højde for det aktuelle tek-
nologiske stade med det formål at sikre et sikkerhedsniveau,
der er passende til risikoen. Medlemsstaterne skal desuden
sikre, at operatører af væsentlige tjenester træffer passende
foranstaltninger for at forebygge og minimere konsekvensen
af hændelser, der berører sikkerheden i deres net- og infor-
mationssystemer med henblik på at opretholde kontinuiteten
i deres væsentlige tjenester.
3.4. Underretningspligt for operatører af væsentlige
tjenester og offentliggørelse af hændelser
Ifølge NIS-direktivet skal medlemsstaterne sikre, at opera-
tører af væsentlige tjenester hurtigst muligt foretager en un-
derretning til den kompetente myndighed eller CSIRT om
hændelser, der har væsentlige konsekvenser for kontinuite-
ten af deres væsentlige tjenester. Underretningen skal inde-
holde oplysninger, der gør det muligt for den kompetente
myndighed eller CSIRT at fastslå eventuelle grænseover-
skridende konsekvenser af hændelsen. Vurderes hændelsen
at have konsekvenser for kontinuiteten af væsentlige tjene-
ster i andre medlemsstater oplyser den kompetente myndig-
hed eller CSIRT den eller de øvrige berørte medlemsstater
om hændelsen. Underretningen til de berørte medlemsstater
skal ske under overholdelse af krav om fortrolighed og sik-
kerhed. Ved fastlæggelsen af omfanget af en hændelses kon-
sekvenser skal en operatør af en væsentlig tjeneste hovedsa-
geligt tage hensyn til antallet af brugere, der berøres af af-
brydelsen af den væsentlige tjeneste, hændelsens varighed
og den geografiske udbredelse med hensyn til det område,
der er berørt af hændelsen. Yderligere skal der tages hensyn
til antallet af patienter under operatørens pleje pr. år.
I henhold til NIS-direktivet kan den kompetente myndig-
hed eller CSIRT efter høring af operatøren af den væsentlige
tjeneste offentliggøre konkrete hændelser, hvis offentlighe-
dens kendskab hertil er nødvendigt for at forebygge en hæn-
delse eller håndtere en igangværende hændelse. Offentliggø-
relsen skal ske under hensyntagen til bl.a. operatørens kom-
mercielle interesser.
3.5. Tilsyn og påbud
Direktivet foreskriver, at medlemsstaterne skal sikre, at de
kompetente myndigheder har de nødvendige beføjelser og
midler til at vurdere, hvorvidt operatører af væsentlige tjene-
ster opfylder deres forpligtelser i henhold til direktivet. De
kompetente myndigheder skal have beføjelser og midler til
at pålægge operatørerne at levere de oplysninger, der er nød-
vendige for at vurdere sikkerheden i deres net- og informati-
onssystemer, herunder dokumenterede sikkerhedspolitikker
og dokumentation for den faktiske gennemførelse af sikker-
hedspolitikker. Den kompetente myndigheds anmodning om
oplysninger eller dokumentation skal indeholde en beskri-
velse af formålet med anmodningen samt en angivelse af de
oplysninger, der kræves. Med henblik på at afhjælpe påviste
mangler, kan den kompetente myndighed udstede påbud til
operatører af væsentlige tjenester efter myndighedens vurde-
ring af de indhentede oplysninger.
4. Sundheds- og Ældreministeriets overvejelser og den
foreslåede ordning
Lovforslaget er et udtryk for en direktivnær implemente-
ring af NIS-direktivet. I 2015 besluttede regeringen fem
principper for implementering af EU-regulering, som har til
formål at sikre, at ny EU-regulering ikke overimplemente-
res, medmindre væsentlige hensyn taler herfor. Et af prin-
cipperne fastsætter, at den nationale regulering som ud-
gangspunkt ikke bør gå videre end minimumskravene i EU-
reguleringen. Derfor stilles der med lovforslaget ikke streng-
ere krav til sikkerhed og underretning for operatører af væ-
sentlige tjenester, end NIS-direktivet foreskriver.
Lovforslaget har til formål at øge beskyttelsen af net- og
informationssystemer inden for sundhedssektoren med det
formål at kunne opretholde driften af et funktionelt sund-
hedsvæsen, herunder behandling og pleje af patienter og
borgere. Lovforslaget regulerer således ikke behandling af
personoplysninger. Det fremgår i den forbindelse af NIS-di-
rektivets artikel 2, stk. 1, at behandling af personoplysninger
i henhold til NIS-direktivet udføres i overensstemmelse med
databeskyttelsesdirektivet.
4.1. Identificering af operatører af væsentlige tjenester
Det foreslås, at der i lovforslaget indsættes bestemmelser
om lovens anvendelsesområde og definitioner af lovens cen-
trale begreber. De foreslåede definitioner af lovens centrale
begreber implementerer NIS-direktivets artikel 4, nr. 1, 2, 4
og 7.
Ifølge lovforslaget skal en offentlig eller privat enhed,
som er etableret i Danmark, betragtes som en operatør af en
væsentlig tjeneste, hvis den pågældende enhed for det første
leverer en tjeneste, der er væsentlig for opretholdelsen af
kritiske samfundsmæssige eller økonomiske aktiviteter in-
den for sundhedssektoren. For det andet skal den tjeneste,
som enheden leverer, afhænge af net- og informationssyste-
mer. Endelig er det et krav, at en hændelse vil få væsentlige
forstyrrende virkninger for leveringen af pågældende enheds
tjeneste. Den foreslåede ordning om identificering af opera-
5
tører af væsentlige tjenester implementerer NIS-direktivets
artikel 5, stk. 2, litra a-c.
Med henblik på at understøtte identificeringen af operatø-
rer af væsentlige tjenester foreslås det, at operatører af væ-
sentlige tjenester skal lade sig registrere hos sundhedsmini-
steren.
Det bemærkes, at en ikke-registreret enhed, som opfylder
lovforslagets kriterier for at være en operatør af en væsentlig
tjeneste, vil være underlagt lovforslagets forpligtelser.
Endelig foreslås det, at sundhedsministeren fastsætter
nærmere regler om kriterierne for identificering af operatø-
rer af væsentlige tjenester og registreringsordningen.
4.2. Sikkerhedskrav for operatører af væsentlige tjenester
Det følger af NIS-direktivet, at operatører af væsentlige
tjenester skal træffe risikobaserede sikkerhedsforanstaltnin-
ger.
Det foreslås derfor, at operatører af væsentlige tjenester
skal træffe passende og forholdsmæssige tekniske og orga-
nisatoriske foranstaltninger for at styre risiciene for sikker-
heden i net- og informationssystemer, som anvendes til de-
res aktiviteter med henblik på at sikre et sikkerhedsniveau,
der er passende til risikoen. Den foreslåede ordning imple-
menterer NIS-direktivets artikel 14, stk. 1.
Det foreslås endvidere, at operatører af væsentlige tjene-
ster skal træffe passende foranstaltninger for at forebygge og
minimere konsekvensen af hændelser, der berører sikkerhe-
den i deres net- og informationssystemer med henblik på at
sikre kontinuiteten i operatørernes væsentlige tjenester. Den
foreslåede ordning implementerer NIS-direktivets artikel 14,
stk. 2.
Sundheds- og Ældreministeriet har vurderet det hensigts-
mæssigt, at operatører af væsentlige tjenester kun underlæg-
ges proportionale krav, der ikke er unødvendigt byrdefulde.
Med den foreslåede ordning overlades operatører af væsent-
lige tjenester derfor et skøn med hensyn til selv at bestemme
indholdet af deres risikostyringsforanstaltninger under hen-
syntagen til de risici, som operatørerne er udsat for, det ak-
tuelle trusselsbillede og teknologiens aktuelle stade.
Ifølge cyber- og informationssikkerhedsstrategien
2015-16 skal den internationale standard for informations-
sikkerhed, ISO27001, være implementeret af statslige myn-
digheder primo 2016. Derudover fremgår det af Den fælles-
offentlige digitaliseringsstrategi 2016-2020, at regioner og
kommuner skal følge principperne i ISO27001.
Sundheds- og Ældreministeriet har vurderet, at ISO27001-
standarden er i overensstemmelse med NIS-direktivets for-
mål, hvorfor den foreslåede ordning medfører mindre for-
pligtelser for myndigheder og de private aktører, der følger
ISO27001-standarden.
Endelig foreslås det, at sundhedsministeren fastsætter
nærmere regler om sikkerhedsforanstaltninger.
Det bemærkes, at de med lovforslaget foreslåede sikker-
hedskrav vil finde anvendelse, uanset om der behandles per-
sonoplysninger i de pågældende net- og informationssyste-
mer. I det omfang der behandles personoplysninger, vil sik-
kerhedskravene i den til enhver tid gældende lovgivning om
behandling af personoplysninger i øvrigt skulle følges.
4.3. Underretningspligt for operatører af væsentlige
tjenester og offentliggørelse af hændelser
Det følger af NIS-direktivet, at en operatør af en væsentlig
tjeneste skal underrette den kompetente myndighed eller
CSIRT i tilfælde af en hændelse, der har væsentlige konse-
kvenser for kontinuiteten af den væsentlige tjeneste.
Sundheds- og Ældreministeriet har vurderet det hensigts-
mæssigt, at der sker en parallel underretning til henholdsvis
sundhedsministeren og Center for Cybersikkerhed. På denne
måde vil sundhedsministeren og Center for Cybersikkerhed
få mulighed for hurtigt at reagere på en hændelse af grænse-
overskridende karakter.
Derfor foreslås det, at operatører af væsentlige tjenester
skal underrette sundhedsministeren og Center for Cybersik-
kerhed om hændelser, der har væsentlige konsekvenser for
kontinuiteten af de tjenester, som de leverer. Operatøren af
en væsentlig tjeneste skal foretage denne underretning hur-
tigst muligt. Underretningen vil skulle indeholde oplysnin-
ger, der gør det muligt for sundhedsministeren at klarlægge
eventuelle grænseoverskridende konsekvenser af hændelsen.
Den foreslåede ordning implementerer NIS-direktivets arti-
kel 14, stk. 3.
Med henblik på at fastlægge om en hændelse har væsentli-
ge konsekvenser for kontinuiteten af en væsentlig tjeneste,
foreslås det, at operatøren skal inddrage forhold som antallet
af brugere, der berøres af afbrydelsen af den væsentlige tje-
neste, hændelsens varighed og den geografiske udbredelse
med hensyn til det område, der er berørt af hændelsen. Den
foreslåede ordning implementerer NIS-direktivets artikel 14,
stk. 4, litra a-c.
For at understøtte en effektiv håndtering af hændelsen
foreslås det, at sundhedsministeren meddeler relevante op-
lysninger til den underrettende operatør om opfølgningen på
dennes underretning, hvis omstændighederne tillader det.
Den foreslåede ordning implementerer NIS-direktivets arti-
kel 14, stk. 5.
Yderligere forslås det, at sundhedsministeren – efter hø-
ring af den underrettende operatør – kan oplyse offentlighe-
den om konkrete hændelser, hvis offentlighedens kendskab
hertil er nødvendigt for at forebygge en hændelse eller hånd-
tere en igangværende hændelse. Den foreslåede ordning im-
plementerer NIS-direktivets artikel 14, stk. 6.
Ved oplysning af offentligheden skal forstås, at sundheds-
ministeren kan gøre oplysningerne tilgængelige for en ube-
stemt kreds af modtagere, herunder f.eks. på en hjemmeside.
Det bemærkes, at sundhedsministeren ved oplysning af
offentligheden skal overholde god forvaltningsskik, og at
ministeren skal agere inden for de rammer, der kan udledes
af de almindelige forvaltningsretlige grundsætninger om
proportionalitet og saglighed i forvaltningen.
Såfremt den pågældende oplysning af offentligheden inde-
bærer oplysning af personoplysninger, vil oplysningen bl.a.
6
skulle overholde reglerne i databeskyttelsesforordningen,
forslag til databeskyttelsesloven og lov om retshåndhævende
myndigheders behandling af personoplysninger.
Endelig forslås det, at sundhedsministeren fastsætter nær-
mere regler om underretning og kriterierne for fastlæggelsen
af omfanget af en hændelses konsekvenser.
4.4. Digital kommunikation
Sundheds- og Ældreministeriet har vurderet det hensigts-
mæssigt at etablere den nødvendige hjemmel til at kunne på-
lægge operatører af væsentlige tjenester at anvende digital
kommunikation gennem en fællesoffentlig indberetningsløs-
ning på tværs af sektorerne til brug for operatører af væsent-
lige tjenesters underretning af hændelser.
Det foreslås, at sundhedsministeren bemyndiges til at kun-
ne fastsætte regler om, at skriftlig kommunikation skal fore-
gå digitalt. Det er hensigten, at udmøntningen af denne be-
stemmelse vil skulle understøtte den førnævnte fællesoffent-
lige indberetningsløsning, der vil skulle udvikles og anven-
des på tværs af sektorerne. En digital meddelelse vil skulle
anses for at være kommet frem, når den er tilgængelig for
adressaten.
Endelig foreslås det, at sundhedsministeren kan fastsætte
regler om digital kommunikation, herunder hvilke it-syste-
mer og digitale formater der skal anvendes.
4.5. Tilsyn og påbud
Det foreslås, at sundhedsministeren fører tilsyn med de
forpligtelser, der påhviler operatører af væsentlige tjenester i
henhold til loven og regler udstedt i medfør af loven. Sund-
hedsministeren vil som led i sit tilsyn kunne kræve, at ope-
ratører af væsentlige tjenester stiller oplysninger, der er nød-
vendige for at vurdere sikkerheden i deres net- og informati-
onssystemer, herunder dokumenterede sikkerhedspolitikker,
og dokumentation for den faktiske gennemførelse af sikker-
hedspolitikker til rådighed. Den foreslåede ordning imple-
menterer NIS-direktivets artikel 15, stk. 2, litra a-b.
Det forventes, at sundhedsministeren vil kunne gennemfø-
re sit tilsyn fysisk såvel som skriftligt. Ved fysiske tilsyn vil
sundhedsministeren skulle udføre sit tilsyn i overensstem-
melse med retssikkerhedsloven, således at denne lovs pro-
cessuelle regler skal afholdes ved gennemførelsen af tilsy-
net, herunder bl.a. retssikkerhedslovens § 5 om underretning
og § 10 om retten til ikke at inkriminere sig selv m.v.
Desuden foreslås det, at sundhedsministeren kan påbyde
operatører af væsentlige tjenester at efterkomme forpligtel-
ser i henhold til denne lov og regler, der er udstedt i medfør
af loven. Den foreslåede ordning implementerer NIS-direk-
tivets artikel 15, stk. 3.
Det bemærkes, at hvis der sker behandling af personoplys-
ninger, er Datatilsynet tilsynsmyndighed.
4.6. Delegation til Sundhedsdatastyrelsen
Det foreslås, at sundhedsministeren kan bemyndige Sund-
hedsdatastyrelsen til at varetage opgaver, der efter denne lov
er tillagt ministeren.
Sundheds- og Ældreministeriet har vurderet det hensigts-
mæssigt, at sundhedsministeren bemyndiger Sundhedsdata-
styrelsen til at varetage opgaver, der i denne lov er tillagt
ministeren, da styrelsen i forvejen har opgaver vedrørende
bl.a. digitalisering, sundhedsdata og it-arkitektur i sundheds-
væsenet, herunder opgaver vedrørende informationssikker-
hed.
Det betyder, at Sundhedsdatastyrelsen vil skulle varetage
de opgaver, der efter denne lov er tillagt ministeren.
I det omfang Sundhedsdatastyrelsen selv er en operatør af
en væsentlig tjeneste, vil sundhedsministeren dog selv skulle
varetage de opgaver, der i denne lov er tillagt ministeren,
herunder bl.a. føre tilsyn med Sundhedsdatastyrelsen.
4.7. Videregivelse af oplysninger til andre myndigheder
Sundheds- og Ældreministeriet har vurderet, at sundheds-
ministeren vil kunne få behov for – i forbindelse med sik-
kerhedshændelser – at videregive fortrolige oplysninger til
andre myndigheder, f.eks. Center for Cybersikkerhed der
varetager funktionen som CSIRT.
Der eksisterer ikke i gældende ret en specifik regulering af
videregivelse af oplysninger på tværs af sektorer i forbindel-
se med underretninger om hændelser fra operatører af væ-
sentlige tjenester. Det vurderes dog, at videregivelsen af op-
lysninger til andre myndigheder kan ske inden for rammerne
af gældende ret som anført i afsnit 2.
Videregivelse af fortrolige oplysninger skal ske på bag-
grund af en konkret vurdering af, om videregivelsen er af
væsentlig betydning for, at sundhedsministeren kan varetage
de opgaver, som er tillagt ministeren i henhold til denne lov,
herunder for en afgørelse som ministeren skal træffe.
Sundhedsministeren skal i tilfælde af videregivelse af for-
trolige oplysninger konkret vurdere, om betingelserne for vi-
deregivelse er opfyldt i det enkelte tilfælde.
Det bemærkes, at lovforslaget ikke regulerer videregivelse
af personoplysninger. Såfremt sundhedsministeren vil få be-
hov for at videregive personoplysninger, skal videregivelsen
ske i overensstemmelse med gældende ret, herunder regler-
ne i databeskyttelsesforordningen, forslag til databeskyttel-
sesloven, lov om retshåndhævende myndigheders behand-
ling af personoplysninger og forvaltningsloven.
4.8. Straf
Det følger af NIS-direktivet, at der skal fastsættes regler
om sanktioner, der skal anvendes i de tilfælde, hvor der sker
overtrædelse af regler, der er vedtaget i medfør af direktivet.
Sanktionerne skal være effektive, stå i et rimeligt forhold til
overtrædelsen og have en afskrækkende virkning.
Det foreslås på den baggrund, at den der underlader at ef-
terkomme sundhedsministerens påbud straffes med bøde,
medmindre højere straf er forskyldt efter den øvrige lovgiv-
ning.
Det foreslås endvidere, at der i regler, der fastsættes i
medfør af loven kan fastsættes straf i form af bøde.
7
Endelig foreslås det, at der kan pålægges selskaber m.v.
(juridiske personer) strafansvar efter reglerne i straffelovens
5. kapitel.
Der henvises i øvrigt til bemærkningerne til lovforslagets
§§ 8 og 10.
5. Økonomiske og administrative konsekvenser for det
offentlige
Stat, regioner og kommuner, der er operatører af væsentli-
ge tjenester, skal underrette sundhedsministeren om hændel-
ser, der har væsentlige konsekvenser for kontinuiteten af de-
res væsentlige tjenester samt lade sig registrere som operatø-
rer af væsentlige tjenester.
Lovforslaget vurderes ikke at medføre økonomiske og ad-
ministrative konsekvenser af betydning for regioner og
kommuner.
Sundhedsministeren skal udarbejde samt revidere og
ajourføre listen over væsentlige tjenester, føre tilsyn med og
modtage underretninger fra operatører af væsentlige tjene-
ster samt være i dialog med Center for Cybersikkerhed her-
om.
Lovforslaget vurderes at medføre, at sundhedsministeren
vil skulle varetage nye opgaver, herunder bl.a. føre tilsyn
med samt modtage underretninger om hændelser fra opera-
tører af væsentlige tjenester.
6. Økonomiske og administrative konsekvenser for
erhvervslivet m.v.
De økonomiske konsekvenser for erhvervslivet m.v. vil
afhænge af operatører af væsentlige tjenesters eksisterende
sikkerhedsniveau. Det vurderes, at lovforslaget medfører ik-
ke-væsentlige økonomiske konsekvenser for erhvervslivet.
For så vidt angår administrative konsekvenser vil operatø-
rer af væsentlige tjenester skulle lade sig registrere hos
sundhedsministeren og underrette sundhedsministeren om
hændelser, der har væsentlige konsekvenser for leveringen
af de pågældende væsentlige tjenester. Operatører af væ-
sentlige tjenester vil desuden, efter anmodning fra sundheds-
ministeren, skulle levere oplysninger til brug for ministerens
tilsyn. Det vurderes, at lovforslaget vil medføre ikke-væ-
sentlige administrative konsekvenser for erhvervslivet. En-
delig vurderes det, at kun et begrænset antal virksomheder
vil blive omfattet af den nye regulering.
7. Administrative konsekvenser for borgerne
Lovforslaget har ingen administrative konsekvenser for
borgerne.
8. Miljømæssige konsekvenser
Lovforslaget har ingen miljømæssige konsekvenser.
9. Forholdet til EU-retten
Loven og de bekendtgørelser, der vil blive udstedt i med-
før af loven, gennemfører dele af Europa-Parlamentets og
Rådets direktiv 2016/1148/EU af 6. juli 2016 om foranstalt-
ninger, der skal sikre et højt fælles sikkerhedsniveau for net-
og informationssystemer i hele Unionen.
Lovforslaget er et udtryk for en direktivnær implemente-
ring af NIS-direktivet. I 2015 besluttede regeringen fem
principper for implementering af EU-regulering, som har til
formål at sikre, at ny EU-regulering ikke overimplemente-
res, medmindre væsentlige hensyn taler herfor. Et af prin-
cipperne fastsætter, at den nationale regulering som ud-
gangspunkt ikke bør gå videre end minimumskravene i EU-
reguleringen. Derfor stilles der med lovforslaget ikke stren-
gere krav til sikkerhed og underretning for operatører af væ-
sentlige tjenester, end NIS-direktivet foreskriver.
10. Hørte myndigheder og organisationer
Et udkast til lovforslag har i perioden fra den 18. oktober
2017 til den 15. november 2017 været sendt i høring hos føl-
gende myndigheder og organisationer m.v.:
3F, Ansatte Tandlægers Organisation, Brancheforeningen
for Private Hospitaler og Klinikker, Danmarks Apotekerfor-
ening, Danmarks Optikerforening, Dansk Erhverv, Dansk
Industri, Dansk IT – Råd for IT-og persondatasikkerhed,
Dansk Kiropraktor Forening, Dansk Psykolog Forening,
Dansk Psykoterapeutforening, Dansk Socialrådgiverfor-
ening, Dansk Standard, Dansk Sygeplejeråd, Dansk Tand-
plejerforening, Danske Bandagister, Danske Bioanalytikere,
Danske Dental Laboratorier, Danske Fodterapeuter, Danske
Fysioterapeuter, Danske Patienter, Danske Regioner, Data-
tilsynet, De Offentlige Tandlæger, Den Danske Dyrlægefor-
ening, Ergoterapeutforeningen, Farmakonomforeningen,
FOA, Forbrugerrådet, Foreningen af Kliniske Diætister,
Foreningen af Speciallæger, Forsikring & Pension, Færøer-
nes Landsstyre, Grønlands Selvstyre, Jordemoderforenin-
gen, KL, Konkurrence- og Forbrugerstyrelsen, Københavns
Universitet, Landsforeningen af Kliniske Tandteknikere,
Lægeforeningen, Lægemiddelstyrelsen, Organisationen af
Lægevidenskabelige Selskaber, Patienterstatningen, Prakti-
serende Lægers Organisation, Praktiserende Tandlægers Or-
ganisation, Psykolognævnet, Radiograf Rådet, Region Ho-
vedstaden, Region Midtjylland, Region Nordjylland, Region
Sjælland, Region Syddanmark, Rigsadvokaten, Rigsom-
budsmanden på Færøerne, Rigsombudsmanden på Grøn-
land, Rigspolitiet, Roskilde Universitet, Rådet for Digital
Sikkerhed, Socialpædagogernes Landsforbund, Statens Se-
rum Institut, Styrelsen for Patientsikkerhed, Sundhedsdata-
styrelsen, Sundhedsstyrelsen, Sundhedsstyrelsen, Strålebe-
skyttelse, Syddanmarks Universitet, Tandlægeforeningen,
Tandlægeforeningens Tandskadeerstatning, Yngre Læger,
Ældresagen, Aalborg Universitet, Aarhus Universitet.
8
11. Sammenfattende skema
Positive konsekvenser/ mindreudgifter
(hvis ja, angiv omfang)
Negative konsekvenser/merudgifter
(hvis ja, angiv omfang)
Økonomiske konsekvenser for stat,
kommuner og regioner
Ingen Ingen
Administrative konsekvenser for stat,
kommuner og regioner
Ingen Ingen
Økonomiske konsekvenser for er-
hvervslivet
Ingen Det vurderes, at lovforslaget vil medfø-
re ikke-væsentlige økonomiske konse-
kvenser for erhvervslivet.
Administrative konsekvenser for er-
hvervslivet
Ingen Det vurderes, at lovforslaget vil medfø-
re ikke-væsentlige administrative konse-
kvenser for erhvervslivet.
Administrative konsekvenser for bor-
gerne
Ingen Ingen
Miljømæssige konsekvenser Ingen Ingen
Forholdet til EU-retten Loven og de bekendtgørelser, der vil blive udstedt i medfør af loven, gennemfører
dele af Europa- Parlamentets og Rådets direktiv 2016/1148/EU af 6. juli 2016 om
foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informati-
onssystemer i hele Unionen.
Overimplementering af EU-retlige
minimumsforpligtelser (sæt X)
JA NEJ
X
Bemærkninger til lovforslagets enkelte bestemmelser
Til § 1
Det foreslås, at loven gælder for operatører, der leverer
væsentlige tjenester inden for sundhedssektoren.
Den foreslåede ordning angiver lovens anvendelsesområ-
de.
Ved sundhedssektoren skal bl.a. forstås institutioner og
funktioner, der har til formål at fremme befolkningens sund-
hed samt at forebygge og behandle sygdom, lidelse og funk-
tionsbegrænsning for den enkelte.
Behandling af personoplysninger i henhold til lovforslaget
udføres i overensstemmelse med databeskyttelsesforordnin-
gen, forslag til databeskyttelsesloven og lov om retshåndhæ-
vende myndigheders behandling af personoplysninger.
Til § 2
Det foreslås at indsætte definitioner på en række af de
centrale begreber, som anvendes i den foreslåede lov.
Med nr. 1 defineres en operatør af en væsentlig tjeneste
som en offentlig eller privat enhed, som er etableret i Dan-
mark, og som opfylder kriterierne i § 3, stk. 1.
Denne definition svarer til definitionen i NIS-direktivets
artikel 4, nr. 4.
Med nr. 2 defineres net- og informationssystemer som a)
et elektronisk kommunikationsnet i form af en radiofre-
kvens- eller kabelbaseret teleinfrastruktur, der anvendes til
formidling af tjenester, b) enhver anordning eller gruppe af
indbyrdes forbundne eller beslægtede anordninger, hvoraf
en eller flere ved hjælp af et program udfører automatisk be-
handling af digitale data, eller c) digitale data, som lagres,
behandles, fremfindes eller overføres ved brug af elementer
i litra a og b med henblik på deres drift, brug, beskyttelse og
vedligeholdelse.
Denne definition svarer til definitionen i NIS-direktivets
artikel 4, nr. 1.
Med nr. 3 defineres sikkerhed i net- og informationssyste-
mer som evnen for net- og informationssystemer til, på et
givet sikkerhedsniveau, at modstå handlinger, der er til
skade for tilgængeligheden, autenticiteten, integriteten eller
fortroligheden i forbindelse med lagrede eller overførte eller
behandlede data eller de dermed forbundne tjenester, der til-
bydes af eller er tilgængelige via disse net- og informations-
systemer.
Denne definition svarer til definitionen i NIS-direktivets
artikel 4, nr. 2.
9
Med nr. 4 defineres en hændelse som enhver begivenhed,
der har en egentlig negativ indvirkning på sikkerheden i net-
og informationssystemer.
Denne definition svarer til definitionen i NIS-direktivets
artikel 4, nr. 7.
Til § 3
Til stk. 1
I gældende ret findes der ikke nogen definition af begrebet
operatør af en væsentlig tjeneste inden for sundhedssekto-
ren.
Det foreslås, at en enhed betragtes som en operatør af en
væsentlig tjeneste, hvis enheden leverer en tjeneste, der er
væsentlig for opretholdelsen af kritiske samfundsmæssige
eller økonomiske aktiviteter inden for sundhedssektoren, le-
veringen af denne tjeneste afhænger af net- og informations-
systemer, og en hændelse vil få væsentlige forstyrrende
virkninger for leveringen af den nævnte tjeneste.
Den foreslåede ordning implementerer NIS-direktivets ar-
tikel 5, stk. 2, litra a-c.
I vurderingen af, hvorvidt en hændelse vil få væsentlige
forstyrrende virkninger for leveringen af en væsentlig tje-
neste, vil faktorer som antallet af brugere, der er afhængige
af tjenesten til private eller erhvervsmæssige formål, herun-
der bl.a. antallet af patienter og borgere under operatørens
virke pr. år, og hændelsens betydning for patientsikkerheden
f.eks. kunne indgå.
Til stk. 2
Det foreslås, at operatører af væsentlige tjenester skal re-
gistrere sig hos sundhedsministeren.
Det er hensigten, at en operatør af en væsentlig tjeneste
skal lade sig registrere via en hjemmeside.
En registrering vil ikke have betydning for, om en enhed
er omfattet af lovforslagets definition og kriterier. Det bety-
der, at en ikke-registreret enhed, som opfylder lovforslagets
kriterier for at være en operatør af en væsentlig tjeneste, vil
være underlagt de forpligtelser, der følger af lovforslaget.
Til stk. 3
Det foreslås, at sundhedsministeren fastsætter nærmere
regler om kriterierne i stk. 1 og registreringsordningen efter
stk. 2.
Det er hensigten, at sundhedsministeren udsteder en be-
kendtgørelse, der præciserer kriterierne for at være en opera-
tør af en væsentlig tjeneste.
Det forventes, at begrebet kritiske samfundsmæssige eller
økonomiske aktiviteter inden for sundhedssektoren vil blive
præciseret i bekendtgørelsen. Derudover forventes det, at
det i bekendtgørelsen vil blive præciseret, hvilke momenter,
der skal inddrages i vurderingen af, om en hændelse har væ-
sentlige forstyrrende virkninger for leveringen af den væ-
sentlige tjeneste.
Desuden forventes det, at der til bekendtgørelsen vil blive
udarbejdet et bilag, som f.eks. angiver grænseværdier for,
hvornår en hændelse vil få væsentlige forstyrrende virknin-
ger for leveringen af en væsentlig tjeneste.
Det er endvidere hensigten, at sundhedsministeren ved be-
kendtgørelse vil fastsætte regler om registreringsordningen.
Det forventes, at der ved bekendtgørelse udstedes regler
om de oplysninger, som en operatør af en væsentlig tjeneste
skal meddele sundhedsministeren i forbindelse med registre-
ringen, f.eks. kontaktoplysninger, oplysninger der er nød-
vendige for vurderingen af, om der leveres en tjeneste, der
er væsentlig for opretholdelsen af kritiske samfundsmæssige
eller økonomiske aktiviteter inden for sundhedssektoren, op-
lysninger der er nødvendige for vurderingen af, om leverin-
gen af tjenesten afhænger af net- og informationssystemer,
oplysninger der er nødvendige for vurderingen af, om en
hændelse vil få væsentlige forstyrrende virkninger for leve-
ringen af tjenesten samt oplysninger om, hvorvidt en opera-
tør af en væsentlig tjeneste anvender en underleverandør.
Det bemærkes, at udmøntningen af bemyndigelsesbestem-
melsen vil skulle ske inden for rammerne af NIS-direktivet.
Til § 4
Til stk. 1
Det foreslås, at operatører af væsentlige tjenester skal
træffe passende og forholdsmæssige tekniske og organisato-
riske foranstaltninger for at styre risiciene for sikkerheden i
net- og informationssystemer, som de anvender til deres ak-
tiviteter og med disse foranstaltninger sikre et sikkerhedsni-
veau, der er passende til risikoen.
Den foreslåede ordning implementerer NIS-direktivets ar-
tikel 14, stk. 1.
Det er hensigten, at de trufne sikkerhedsforanstaltninger
så vidt muligt vil skulle basere sig på internationale sikker-
hedsgodkendte standarder, f.eks. ISO27001.
Som eksempler på passende og forholdsmæssige tekniske
og organisatoriske foranstaltninger kan bl.a. nævnes udar-
bejdelse af politikker og retningslinjer for net- og informati-
onssikkerhed, etablering af intern organisering til styring af
informationssikkerhed, sikring af medarbejderes bevidsthed
om og efterlevelse af informationssikkerhed, udarbejdelse af
retningslinjer for adgangsstyring og procedurer for bruger-
adgang, procedurer for hindring af uautoriseret adgang til
net- og informationssystemer, foranstaltninger til beskyttelse
mod malware, foranstaltninger til monitorering af hændelser
og procedurer eller kontroller for gennemgang af informati-
onssikkerhed.
Det er ikke hensigten, at operatører af væsentlige tjenester
skal pålægges uforholdsmæssigt store økonomiske og admi-
nistrative byrder. Under hensyntagen til teknologiens aktuel-
le stade vil sikkerhedsforanstaltningerne skulle være passen-
de til den risiko, der er forbundet med leveringen af den på-
gældende væsentlige tjeneste.
Den foreslåede ordning skal ses i sammenhæng med den
foreslåede bestemmelse i § 4, stk. 2. Begge bestemmelser
10
har til formål at fremme en risikostyringskultur, hvor der
foretages risikovurderinger og gennemføres sikkerhedsfor-
anstaltninger.
Til stk. 2
Det foreslås, at operatører at væsentlige tjenester skal
træffe passende foranstaltninger for at forebygge og mini-
mere konsekvensen af hændelser, der berører sikkerheden i
net- og informationssystemer, som anvendes til levering af
sådanne væsentlige tjenester, med henblik på at sikre konti-
nuiteten i disse tjenester.
Den foreslåede ordning implementerer NIS-direktivets ar-
tikel 14, stk. 2.
Som eksempler på passende foranstaltninger til at fore-
bygge og minimere konsekvensen af hændelser kan bl.a.
nævnes udarbejdelse af politikker og retningslinjer for net-
og informationssikkerhed, sikring af medarbejderes bevidst-
hed om og efterlevelse af informationssikkerhed, procedurer
for hindring af uautoriseret adgang til net- og informations-
systemer, foranstaltninger til beskyttelse mod malware og
foranstaltninger til monitorering af hændelser.
Det er ikke hensigten, at operatører af væsentlige tjenester
skal pålægges uforholdsmæssigt store økonomiske og admi-
nistrative byrder. Derfor vil foranstaltningerne skulle være
passende til den risiko, der er forbundet med leveringen af
den pågældende tjeneste.
Den foreslåede ordning skal ses i sammenhæng med den
foreslåede bestemmelse i § 4, stk. 1. Begge bestemmelser
har til formål at fremme en risikostyringskultur, hvor der
foretages risikovurderinger og gennemføres sikkerhedsfor-
anstaltninger.
Til stk. 3
Det foreslås, at sundhedsministeren fastsætter nærmere
regler om foranstaltningerne i stk. 1 og 2.
Det er hensigten, at sundhedsministeren udsteder en be-
kendtgørelse, der nærmere præciserer mulige sikkerhedsfor-
anstaltninger, f.eks. foranstaltninger der sikrer væsentlige
tjenesters fortrolighed, integritet, tilgængelighed og robust-
hed.
Derudover er det hensigten, at bekendtgørelsen vil blive
suppleret med en vejledning om sikkerhedsforanstaltninger
til sikring af et højt sikkerhedsniveau i net- og informations-
systemer.
Det bemærkes, at forpligtelsen til at træffe passende sik-
kerhedsforanstaltninger efter den foreslåede stk. 1 og stk. 2
vil gælde uanset udstedelsen af regler herom.
Det bemærkes endvidere, at såfremt der behandles perso-
noplysninger, vil operatøren af en væsentlig tjeneste derudo-
ver skulle overholde de sikkerhedskrav, der følger af per-
sondataloven og – for offentlige myndigheder – sikkerheds-
bekendtgørelsen. Fra den 25. maj 2018, hvor databeskyttel-
sesforordningen finder anvendelse, vil en operatør af en væ-
sentlig tjeneste, såfremt der behandles personoplysninger,
skulle overholde de sikkerhedskrav, der følger af forordnin-
gen.
Det bemærkes yderligere, at udmøntningen af bemyndi-
gelsesbestemmelsen vil skulle ske inden for rammerne af
NIS-direktivet.
Til § 5
Til stk. 1
Det foreslås, at operatører af væsentlige tjenester hurtigst
muligt skal underrette sundhedsministeren og Center for Cy-
bersikkerhed om hændelser, der har væsentlige konsekven-
ser for kontinuiteten af de væsentlige tjenester, som de leve-
rer. Det foreslås endvidere, at underretningen skal indeholde
oplysninger, der gør det muligt for sundhedsministeren at
klarlægge eventuelle grænseoverskridende konsekvenser af
hændelsen.
Den foreslåede ordning implementerer NIS-direktivets ar-
tikel 14, stk. 3.
Det bemærkes, at Center for Cybersikkerhed varetager
funktionen som CSIRT i Danmark. Der henvises i den for-
bindelse til bemærkningerne i afsnit 3.1.
Den foreslåede ordning betyder, at den pågældende opera-
tør af en væsentlig tjeneste, under hensyntagen til arbejdet
med at minimere konsekvenserne af hændelsen, vil skulle
foretage en underretning til sundhedsministeren, så snart
operatøren har erkendt, at hændelsen har væsentlige konse-
kvenser for kontinuiteten af den væsentlige tjeneste, der le-
veres.
Den foreslåede ordning betyder endvidere, at underretnin-
gen til sundhedsministeren bl.a. vil skulle indeholde oplys-
ninger, der gør ministeren i stand til at vurdere, om hændel-
sen har konsekvenser for andre medlemslande. Det vil f.eks.
være oplysninger om den geografiske udbredelse med hen-
syn til det område, der er berørt af hændelsen.
Det bemærkes, at operatører af væsentlige tjenester vil
skulle være særligt opmærksomme på at få underrettet hur-
tigt i tilfælde af hændelser, der har grænseoverskridende
konsekvenser.
Derudover bemærkes det, at såfremt en operatør af en væ-
sentlig tjeneste er afhængig af en udbyder af digitale tjene-
ster, vil operatøren skulle underrette om en hændelse, der
berører udbyderen, såfremt hændelsen har væsentlige konse-
kvenser for kontinuiteten af operatørens levering af den væ-
sentlige tjeneste. Denne forpligtelse følger af NIS-direkti-
vets artikel 16, stk. 5. Dermed sikres det, at sundhedsmini-
steren får kendskab til hændelser og mangler i sikkerheden
hos udbydere af digitale tjenester, der har en negativ ind-
virkning på en operatørs levering af sin væsentlige tjeneste.
En digital udbyder skal forstås som enhver juridisk per-
son, som udbyder en digital tjeneste af følgende type: En
onlinemarkedsplads, en onlinesøgemaskine eller en cloud
computing-tjeneste. Denne definition bygger på NIS-direkti-
vets artikel 4, nr. 6, og NIS-direktivets bilag III.
11
En operatør af en væsentlig tjeneste kan f.eks. være af-
hængig af en udbyder af en digital tjeneste på baggrund af et
kontraktforhold.
Til stk. 2
Det foreslås, at operatøren af en væsentlig tjeneste navnlig
skal tage følgende kriterier i betragtning med henblik på at
fastlægge omfanget af en hændelses konsekvenser efter stk.
1: 1) Antallet af brugere, der berøres af afbrydelsen af den
væsentlige tjeneste, 2) hændelsens varighed og 3) den geo-
grafiske udbredelse med hensyn til det område, der er berørt
af hændelsen.
Den foreslåede ordning implementerer NIS-direktivets ar-
tikel 14, stk. 4.
Ved antallet af brugere der berøres af afbrydelsen af den
væsentlige tjeneste, kan det bl.a. inddrages, hvor mange bor-
gere og sundhedspersoner, der er omfattet af den pågælden-
de tjeneste. Herunder bør det inddrages, om de pågældende
borgere og sundhedspersoner er afhængige af tjenesten, og
om tjenesten kan opnås på anden vis. Særligt bør det inddra-
ges, om hændelsen påvirker sundhedspersoners udlevering
og indhentning af oplysninger til brug for pleje og behand-
ling.
Med henblik på fastlæggelse af en hændelses varighed kan
det bl.a. inddrages, om det er muligt at opretholde tjenesten i
tilstrækkeligt omfang uden adgang til net- og informations-
systemer. Derudover kan det inddrages, hvor lang tid der
skønnes at kunne gå, før afbrydelsen af tjenesten vil have
negative konsekvenser for opretholdelsen af et funktionelt
sundhedsvæsen, herunder bl.a. behandling og pleje af pa-
tienter og borgere.
I forbindelse med vurderingen af den geografiske udbre-
delse med hensyn til det område, der er berørt af hændelsen,
kan det bl.a. inddrages, hvor stort et geografisk område den
væsentlige tjeneste dækker.
Det bemærkes, at det er hensigten, at der skal foretages en
samlet vurdering af ovenstående kriterier.
Til stk. 3
Det foreslås, at såfremt omstændighederne tillader det,
meddeler sundhedsministeren relevante oplysninger til den
underrettende operatør af en væsentlig tjeneste om opfølg-
ningen på dennes underretning, herunder oplysninger der
kan støtte en effektiv håndtering af hændelsen.
Den foreslåede ordning implementerer NIS-direktivets ar-
tikel 14, stk. 5.
Det er hensigten med den foreslåede ordning at sikre, hvis
omstændighederne tillader det, at en operatør af en væsent-
lig tjeneste får en tilbagemelding, der kan understøtte opera-
tørens videre arbejde med at begrænse hændelsen.
Til stk. 4
Det foreslås, at sundhedsministeren efter høring af den un-
derrettende operatør af en væsentlig tjeneste kan oplyse of-
fentligheden om konkrete hændelser, hvis offentlighedens
kendskab hertil er nødvendigt for at forebygge en hændelse
eller håndtere en igangværende hændelse.
Den foreslåede ordning implementerer NIS-direktivets ar-
tikel 14, stk. 5.
Hensigten med den foreslåede ordning er, at sundhedsmi-
nisteren, inden oplysning af offentligheden om en konkret
hændelse, bl.a. vil kunne høre operatøren af en væsentlig
tjeneste over sagens faktiske omstændigheder.
Den foreslåede ordning indebærer, at sundhedsministeren
skal foretage en afvejning af offentlighedens interesse i at
blive informeret om de pågældende trusler over for operatø-
rens interesse i ikke at lide kommerciel skade.
Det er hensigten, under hensyntagen til hændelsens karak-
ter, at offentliggørelse f.eks. vil kunne ske på en hjemmeside
eller i en pressemeddelelse.
Det bemærkes, at en beslutning om offentliggørelse af en
hændelse ikke er en afgørelse i forvaltningslovens forstand,
dog skal forvaltningsmyndigheder i deres virke overholde
god forvaltningsskik og agere inden for de rammer, der kan
udledes af de almindelige forvaltningsretlige grundsætnin-
ger om proportionalitet og saglighed i forvaltningen.
Såfremt der sker offentliggørelse af personoplysninger, vil
offentliggørelsen derudover bl.a. skulle overholde reglerne i
databeskyttelsesforordningen, forslag til databeskyttelseslo-
ven og lov om retshåndhævende myndigheders behandling
af personoplysninger.
Til stk. 5
Det foreslås, at sundhedsministeren fastsætter nærmere
regler om underretning efter stk. 1, herunder hvilke oplys-
ninger der skal underrettes om, og kriterierne for fastlæggel-
sen af omfanget af en hændelses konsekvenser efter stk. 2.
Det er hensigten, at sundhedsministeren udsteder en be-
kendtgørelse, der nærmere præciserer, hvilke oplysninger en
underretning vil skulle indeholde, f.eks. kontaktoplysninger,
oplysninger om konsekvenserne af hændelsen og de foran-
staltninger, som operatøren af en væsentlig tjeneste har truf-
fet eller vil træffe til afværgelse af hændelsen.
Endelig er det hensigten, at en operatør af en væsentlig
tjeneste vil skulle foretage en underretning til sundhedsmini-
steren, så snart operatøren har erkendt, at hændelsen har væ-
sentlige konsekvenser for kontinuiteten af den væsentlige
tjeneste, der leveres.
Det bemærkes, at i tilfælde af brud på persondatasikkerhe-
den, vil der fra den 25. maj 2018, hvor databeskyttelsesfor-
ordningen finder anvendelse, skulle ske anmeldelse af brud
på persondatasikkerheden til den relevante tilsynsmyndig-
hed, dvs. Datatilsynet, uden unødig forsinkelse og om mu-
ligt senest 72 timer efter at den dataansvarlige er blevet be-
kendt med bruddet, jf. forordningens artikel 33, stk. 1.
12
Til § 6
Til stk. 1
Det foreslås, at sundhedsministeren kan fastsætte regler
om, at skriftlig kommunikation til og fra sundhedsministe-
ren om nærmere bestemte forhold, som er omfattet af denne
lov eller af regler udstedt i medfør af loven, skal foregå digi-
talt.
Hensigten med den foreslåede ordning er at sikre en let og
tilgængelig indberetningsløsning.
En udmøntning af bemyndigelsesbestemmelsen vil pålæg-
ge operatører af væsentlige tjenester en pligt til at anvende
en digital indberetningsløsning.
Til stk. 2
Det foreslås, at en digital meddelelse anses for at være
kommet frem, når den er tilgængelig for adressaten for med-
delelsen.
En digital meddelelse anses for at være kommet rettidigt
frem, hvis meddelelsen er kommet frem inden kontortids
ophør.
Hensigten med den foreslåede ordning er at sikre en ens-
artet retsvirkning af afsendelse af digital kommunikation
som med fysisk post.
Forslaget indebærer, at meddelelser til eller fra sundheds-
ministeren, der sendes på den foreskrevne digitale måde, an-
ses for at være kommet frem til sundhedsministeren på det
tidspunkt, hvor meddelelsen er tilgængelig digitalt for mini-
steren.
Dermed er der tale om samme retsvirkning som ved fysisk
post, der anses for at være kommet frem, når den pågælden-
de meddelelse m.v. er lagt i adressatens fysiske postkasse.
En meddelelse vil således normalt anses for at være kommet
frem, når meddelelsen er tilgængelig digitalt for adressaten,
således at vedkommende har mulighed for at behandle med-
delelsen. Dette tidspunkt vil normalt blive registreret auto-
matisk i adressatens it-system.
Til stk. 3
Det foreslås, at sundhedsministeren kan fastsætte regler
om digital kommunikation, herunder om anvendelse af be-
stemte it-systemer, særlige digitale formater og digital sig-
natur el.lign.
Den foreslåede bestemmelse indebærer, at det kan gøres
obligatorisk for operatører af væsentlige tjenester at anvende
bestemte internetløsninger, herunder selvbetjeningsløsnin-
ger.
Bestemmelsen indebærer endvidere, at skriftlige henven-
delser til sundhedsministeren om forhold, som er omfattet af
et krav om digital kommunikation, ikke anses for behørigt
modtaget af sundhedsministeren, hvis de indsendes på anden
vis end den foreskrevne digitale måde.
Hvis en operatør af en væsentlig tjeneste retter henvendel-
se til sundhedsministeren på anden måde end den foreskrev-
ne digitale måde, eksempelvis ved brev, følger det af den al-
mindelige vejledningspligt, at sundhedsministeren skal vej-
lede om reglerne på området, herunder om pligten til at
kommunikere digitalt.
Herudover indebærer bestemmelsen, at der kan fastsættes
regler om, at en operatør af en væsentlig tjeneste, som retter
henvendelse til sundhedsministeren, skal oplyse en e-mail-
adresse, som operatøren kan kontaktes på i forbindelse med
behandlingen af en konkret sag eller henvendelse til sund-
hedsministeren. I den forbindelse kan der også pålægges den
pågældende operatør af en væsentlig tjeneste en pligt til at
underrette sundhedsministeren om en eventuel ændring af e-
mailadressen, inden den konkrete sag afsluttes eller henven-
delsen besvares, medmindre e-mails automatisk bliver vide-
resendt til den nye e-mailadresse.
Muligheden for at blive fritaget for pligten til digital kom-
munikation tænkes navnlig anvendt, hvor det er påkrævet at
anvende en dansk digital signatur, men hvor der er tale om
en operatør af en væsentlig tjeneste med hjemsted i udlan-
det, som ikke kan få udstedt en dansk digital signatur. Det
bemærkes i den forbindelse, at fritagelsesmuligheden er
stærkt begrænset, idet der er tale om kommunikation om er-
hvervsforhold.
Det forhold at en operatør af en væsentlig tjenestes com-
putere ikke fungerer, at operatøren har mistet koden til sin
digitale signatur, eller at der opstår lignende hindringer, som
det er op til operatøren at overvinde, kan ikke føre til frita-
gelse for pligten til digital kommunikation. I så fald må den
pågældende operatør af en væsentlig tjeneste eksempelvis
anmode en rådgiver om at varetage kommunikationen på
operatørens vegne.
Til § 7
Til stk. 1
Det foreslås, at sundhedsministeren fører tilsyn med de
forpligtelser, der påhviler operatører af væsentlige tjenester i
henhold til denne lov og regler, der er udstedt i medfør af lo-
ven.
Det er hensigten, at sundhedsministeren løbende vil kunne
gennemføre tilsyn med udvalgte operatører af væsentlige
tjenester. Sundhedsministeren vil kunne gennemføre et til-
syn af egen drift eller på baggrund af en underretning om en
hændelse.
Det forventes, at sundhedsministeren kan gennemføre sit
tilsyn fysisk såvel som skriftligt. Ved fysiske tilsyn vil sund-
hedsministeren skulle udføre sit tilsyn i overensstemmelse
med retssikkerhedsloven, således at denne lovs processuelle
regler skal afholdes ved gennemførelsen af tilsynet, herun-
der bl.a. retssikkerhedslovens § 5 om underretning og § 10
om retten til ikke at inkriminere sig selv m.v.
Det bemærkes, at hvis der sker behandling af personoplys-
ninger, er Datatilsynet tilsynsmyndighed.
Til stk. 2
Det foreslås, at sundhedsministeren som led i sit tilsyn
kan kræve, at operatører af væsentlige tjenester stiller oplys-
13
ninger, der er nødvendige for tilsynet, til rådighed, herunder
oplysninger der er nødvendige for at vurdere sikkerheden i
deres net- og informationssystemer og dokumentation for
den faktiske gennemførelse af sikkerhedspolitikker.
Som eksempel på oplysninger, der er nødvendige for at
vurdere sikkerheden i net- og informationssystemer, kan
nævnes risikovurderinger, den tilgrundliggende dokumenta-
tion for operatørens valg af de foretagne tekniske og organi-
satoriske foranstaltninger og en operatør af en væsentlig tje-
nestes sikkerheds- eller beredskabspolitik i tilfælde af hæn-
delser, der vil få væsentlige konsekvenser for kontinuiteten
af de væsentlige tjenester, som operatøren leverer.
Som eksempel på dokumentation for den faktiske gen-
nemførelse af sikkerhedspolitikker kan nævnes resultaterne
af en sikkerhedsaudit, f.eks. resultaterne af en sikkerhedsau-
dit udført af en kvalificeret auditør.
Det bemærkes, at oplysninger og dokumentation skal for-
stås i vid forstand og omfatter bl.a. fysiske dokumenter og
elektroniske oplysninger.
Til § 8
Det foreslås, at sundhedsministeren kan påbyde operatører
af væsentlige tjenester at efterkomme forpligtelser i henhold
til denne lov og regler, der er udstedt i medfør af loven.
Det betyder, at sundhedsministeren vil kunne udstede på-
bud om, at en operatør af en væsentlig tjeneste f.eks. skal af-
hjælpe en påvist mangel i operatørens tekniske eller organi-
satoriske sikkerhedsforanstaltninger, herunder f.eks. mang-
ler i den risikovurdering, der ligger til grund for de valgte
tekniske eller organisatoriske sikkerhedsforanstaltninger.
Det forventes, at sundhedsministeren særligt vil udstede
påbud i tilfælde af manglende overholdelse af sikkerheds-
kravene anført i lovforslagets § 4.
Dog vil sundhedsministeren også kunne udstede påbud i
tilfælde af, at operatører af væsentlige tjenester ikke efter-
kommer lovforslagets øvrige krav, f.eks. kravet om registre-
ring og kravet om underretning i tilfælde hændelser, der har
væsentlige konsekvenser for kontinuiteten af de væsentlige
tjenester, som operatørerne leverer.
Sundhedsministeren vil kunne meddele henstillinger, for-
inden der meddeles påbud.
Udstedelse af påbud skal i øvrigt ske i overensstemmelse
med de forvaltningsretlige regler, herunder bl.a. reglerne om
partshøring, begrundelse og klagevejledning.
Til § 9
Det foreslås, at sundhedsministeren kan bemyndige Sund-
hedsdatastyrelsen til at varetage opgaver, der i denne lov er
tillagt ministeren.
Sundheds- og Ældreministeriet har vurderet det hensigts-
mæssigt, at sundhedsministeren bemyndiger Sundhedsdata-
styrelsen til at varetage opgaver, der i lovforslaget er tillagt
ministeren, da Sundhedsdatastyrelsen i forvejen har opgaver
vedrørende bl.a. digitalisering, sundhedsdata og it-arkitektur
i sundhedsvæsenet, herunder opgaver vedrørende informati-
onssikkerhed.
Dermed vil Sundhedsdatastyrelsen skulle varetage samtli-
ge opgaver, som sundhedsministeren skal varetage i henhold
til lovforslaget.
I det omfang Sundhedsdatastyrelsen selv er en operatør af
en væsentlig tjeneste, vil sundhedsministeren dog selv skulle
varetage de opgaver, der i lovforslaget er tillagt ministeren,
herunder bl.a. føre tilsyn med Sundhedsdatastyrelsen.
Til § 10
Til stk. 1
Efter den forslåede ordning skal den, der uagtsomt eller
forsætteligt undlader at efterkomme sundhedsministerens
påbud efter lovforslagets § 8, kunne straffes med bøde.
Bestemmelsen implementerer NIS-direktivets artikel 21,
der bestemmer, at der skal fastættes sanktioner, der skal an-
vendes i tilfælde af overtrædelse af regler, der er vedtaget i
medfør af direktivet.
Det betyder, at det gøres muligt at straffe overtrædelse af
lovforslagets § 8, hvorefter sundhedsministeren kan påbyde
operatører af væsentlige tjenester at efterkomme forpligtel-
ser i henhold til loven og regler, der er udstedt i medfør af
loven.
Sanktionerne skal være effektive, stå i rimeligt forhold til
overtrædelsen og have en afskrækkende virkning.
Den foreslåede ordning vil bl.a. gøre det muligt at straffe
manglende efterlevelse af påbud om at overholde sikker-
hedskravene anført i den foreslåede bestemmelse i § 4, stk.
1, der fastsætter, at operatører af væsentlige tjenester skal
træffe passende og forholdsmæssige tekniske og organisato-
riske foranstaltninger for at styre risiciene for sikkerheden i
net- og informationssystemer, som anvendes til deres aktivi-
teter og med disse foranstaltninger sikre et sikkerhedsni-
veau, der er passende til risikoen.
Derudover vil lovforslaget gøre det muligt at straffe mang-
lende efterlevelse af påbud om at overholde sikkerhedskra-
vene anført i den foreslåede bestemmelse i § 4, stk. 2, der
fastsætter, at operatører af væsentlige tjenester skal træffe
passende foranstaltninger for at forebygge og minimere kon-
sekvensen af hændelser, der berører sikkerheden i net- og
informationssystemer, som anvendes til levering af sådanne
væsentlige tjenester, med henblik på at sikre kontinuiteten i
disse tjenester.
Til stk. 2
Det foreslås, at der i regler, der fastsættes i medfør af lo-
ven, kan fastsætte straf i form af bøde.
Til stk. 3
Det foreslås, at der kan pålægges selskaber m.v. (juridiske
personer) strafansvar efter reglerne i straffelovens 5. kapitel.
14
Til § 11
Det foreslås, at loven træder i kraft den 10. maj 2018.
Det foreslåede ikrafttrædelsestidspunkt følger af NIS-di-
rektivets artikel 25, stk. 1, hvorefter medlemsstaterne skal
vedtage og offentliggøre de love og administrative bestem-
melser, der er nødvendige for at efterkomme direktivet, se-
nest den 9. maj 2018. Det følger endvidere af artiklen, at
disse love og bestemmelser skal anvendes fra den 10. maj
2018. Det foreslås derfor, at loven træder i kraft den 10. maj
2018.
Til § 12
Det foreslås, at loven ikke gælder for Færøerne og Grøn-
land.
Baggrunden for den foreslåede ordning er, at Grønland
har overtaget sundhedsvæsenet i Grønland, og Færøerne har
overtaget de relevante dele af sundhedsområdet på Færøer-
ne.
15
Bilag 1
EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV (EU) 2016/1148 af 6. juli 2016 om foran-
staltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele
Unionen
EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR —
under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 114,
under henvisning til forslag fra Europa-Kommissionen,
efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale parlamenter,
under henvisning til udtalelse fra Det Europæiske Økonomiske og Sociale Udvalg,1)
efter den almindelige lovgivningsprocedure2), og ud fra følgende betragtninger:
(1) Net- og informationssystemer og net- og informationstjenester spiller en afgørende rolle i samfun-
det. Det er af afgørende betydning for de økonomiske og samfundsmæssige aktiviteter og navnlig
for et velfungerende indre marked, at de er pålidelige og sikre.
(2) Omfanget, hyppigheden og konsekvenserne af sikkerhedshændelser er tiltagende og udgør en al-
vorlig trussel for driften af net- og informationssystemer. Disse systemer kan endvidere blive et mål
for forsætligt skadelige handlinger, som har til formål at ødelægge eller forstyrre systemernes drift.
Sådanne hændelser kan hindre gennemførelsen af økonomiske aktiviteter, medføre betydelige fi-
nansielle tab, underminere brugernes tillid og forårsage stor skade på Unionens økonomi.
(3) Net- og informationssystemer og navnlig internettet spiller en væsentlig rolle, når det gælder om at
fremme grænseoverskridende bevægelighed for varer, tjenester og personer. På grund af den tvær-
nationale karakter vil betydelige afbrydelser af sådanne systemer, hvad enten de er tilsigtede eller
utilsigtede, og uanset hvor de opstår, kunne påvirke de enkelte medlemsstater og Unionen som hel-
hed. Sikkerheden i net- og informationssystemer er derfor afgørende for et velfungerende indre
marked.
(4) Med udgangspunkt i de væsentlige fremskridt, der er gjort inden for det europæiske forum af med-
lemsstater med at fremme drøftelser og udvekslinger om god praksis for politikker, herunder udvik-
ling af principper for et europæisk cyberkrisesamarbejde, bør der oprettes en samarbejdsgruppe be-
stående af repræsentanter for medlemsstaterne, Kommissionen og Den Europæiske Unions Agentur
for Net- og Informationssikkerhed (»ENISA«) for at støtte og fremme et strategisk samarbejde mel-
lem medlemsstaterne vedrørende sikkerhed for net- og informationssystemer. Hvis denne gruppe
skal være effektiv og inklusiv, er det vigtigt, at alle medlemsstater har et minimum af kapacitet og
en strategi, der sikrer et højt sikkerhedsniveau for net- og informationssystemer på medlemsstater-
nes område. Dertil kommer, at sikkerhedskrav og underretningspligt bør gælde for operatører af
væsentlige tjenester og udbydere af digitale tjenester for at fremme en risikostyringskultur og sikre
underretning om de mest alvorlige hændelser.
(5) Den eksisterende kapacitet er ikke tilstrækkelig til at sikre et højt sikkerhedsniveau for net- og in-
formationssystemer i Unionen. Medlemsstaterne har meget forskellige beredskabsniveauer, hvilket
har ført til en usammenhængende tilgang i Unionen som helhed. Dette resulterer i et uensartet be-
skyttelsesniveau for forbrugere og virksomheder og undergraver det samlede sikkerhedsniveau for
16
net- og informationssystemer i Unionen. Manglende fælles krav til operatører af væsentlige tjene-
ster og udbydere af digitale tjenester gør det også umuligt at iværksætte en overordnet og effektiv
samarbejdsmekanisme på EU-plan. Universiteter og forskningscentre har en afgørende rolle at spil-
le med hensyn til at fremme forskning, udvikling og innovation på disse områder.
(6) En effektiv reaktion på de sikkerhedsproblemer, der opstår i net- og informationssystemer, forud-
sætter derfor en samlet tilgang på EU-plan med fælles mindstekrav til kapacitetsopbygning og plan-
lægning, udveksling af oplysninger, samarbejde og fælles sikkerhedskrav for operatører af væsent-
lige tjenester og udbydere af digitale tjenester. Operatører af væsentlige tjenester og udbydere af
digitale tjenester er dog ikke afskåret fra at indføre strengere sikkerhedsforanstaltninger end dem,
der er fastsat i dette direktiv.
(7) For at dække alle relevante hændelser og risici bør dette direktiv både finde anvendelse for operatø-
rer af væsentlige tjenester og udbydere af digitale tjenester. Forpligtelserne for operatører af væ-
sentlige tjenester og udbydere af digitale tjenester bør dog hverken finde anvendelse for virksomhe-
der, der udbyder offentlige kommunikationsnet eller offentligt tilgængelige elektroniske kommuni-
kationstjenester, jf. Europa-Parlamentets og Rådets direktiv 2002/21/EF3), idet disse er omfattet af
de særlige sikkerheds- og integritetskrav, der er fastsat i nævnte direktiv, eller finde anvendelse for
tillidstjenesteudbydere, jf. Europa-Parlamentets og Rådets forordning (EU) nr. 910/20144), som er
underlagt sikkerhedskravene i nævnte forordning.
(8) Dette direktiv bør ikke være til hinder for, at hver medlemsstat kan træffe de nødvendige foranstalt-
ninger for at sikre beskyttelsen af sine væsentlige sikkerhedsinteresser, opretholde den offentlige
orden og sikkerhed samt tillade efterforskning, afsløring og retsforfølgelse af strafbare handlinger. I
henhold til artikel 346 i traktaten om Den Europæiske Unions funktionsmåde (TEUF) er ingen
medlemsstat forpligtet til at meddele oplysninger, hvis udbredelse efter dens opfattelse ville stride
mod dens væsentlige sikkerhedsinteresser. I den forbindelse er Rådets afgørelse 2013/488/EU5) og
hemmeligholdelsesaftaler eller uformelle hemmeligholdelsesaftaler, f.eks. Traffic Light Protocol, af
betydning.
(9) Visse sektorer i økonomien er allerede reguleret eller vil fremover blive reguleret af sektorspecifik-
ke EU-retsakter, der indeholder bestemmelser om sikkerheden i net- og informationssystemer. Når
de pågældende EU-retsakter indeholder bestemmelser om indførelse af krav vedrørende sikkerhe-
den i net- og informationssystemer eller underretninger om hændelser, bør disse bestemmelser an-
vendes, hvis de indeholder krav, der i praksis mindst svarer til forpligtelserne i dette direktiv. Med-
lemsstaterne bør i så fald anvende bestemmelserne i sådanne sektorspecifikke EU-retsakter, herun-
der bestemmelser, der vedrører jurisdiktion, og bør ikke gennemføre identifikationsprocessen for
operatører af væsentlige tjenester som defineret i dette direktiv. I den forbindelse bør medlemssta-
terne sende Kommissionen oplysninger om anvendelsen af sådanne lex specialis-bestemmelser.
Når det skal fastlægges, om de krav til sikkerheden i net- og informationssystemer og underretnin-
ger om hændelser, der er indeholdt i sektorspecifikke EU-retsakter, svarer til bestemmelserne i det-
te direktiv, bør der kun tages hensyn til bestemmelserne i relevante EU-retsakter og deres anvendel-
se i medlemsstaterne.
(10) I søfartssektoren dækker sikkerhedskrav for rederier, skibe, havnefaciliteter, havne og skibstrafik-
tjenester i medfør af EU-retsakter alle operationer, herunder radio- og telekommunikationssyste-
mer, computersystemer og -net. En del af de obligatoriske procedurer, der skal følges, omfatter un-
17
derretning om alle hændelser og bør derfor betragtes som lex specialis, såfremt disse krav mindst
svarer til de tilsvarende bestemmelser i dette direktiv.
(11) Når medlemsstaterne identificerer operatører i søfartssektoren, bør de tage hensyn til eksisterende
og fremtidige internationale kodekser og vejledninger udarbejdet af navnlig Den Internationale Sø-
fartsorganisation for at give de enkelte maritime operatører en sammenhængende tilgang.
(12) Regulering og tilsyn i banksektoren og sektoren for finansielle markedsinfrastrukturer er stærkt har-
moniseret på EU-plan under anvendelse af primær og sekundær EU-ret og standarder, der er udvik-
let i samarbejde med de europæiske tilsynsmyndigheder. Inden for bankunionen er anvendelsen af
og tilsynet med disse krav sikret af den fælles tilsynsmekanisme. For medlemsstater, der ikke delta-
ger i bankunionen, sikres dette af de relevante banktilsynsmyndigheder i medlemsstaterne. På andre
områder af reguleringen af den finansielle sektor sikrer Det Europæiske Finanstilsynssystem også
en høj grad af sammenfald mellem og ensartethed i tilsynspraksis. Den Europæiske Værdipapir- og
Markedstilsynsmyndighed fører også direkte tilsyn med visse enheder, nemlig kreditvurderingsbu-
reauer og transaktionsregistre.
(13) Operationel risiko er en afgørende del af tilsynsmæssig regulering og tilsyn inden for banksektoren
og sektoren for finansielle markedsinfrastrukturer. Den omfatter alle operationer, herunder net- og
informationssystemers sikkerhed, robusthed og integritet. Kravene vedrørende disse systemer, som
ofte overstiger de krav, der er fastsat i dette direktiv, er fastsat i en række EU-retsakter, herunder
regler om adgang til at udøve virksomhed som kreditinstitut og om tilsyn med kreditinstitutter og
investeringsselskaber og om tilsynsmæssige krav til kreditinstitutter og investeringsselskaber, der
indeholder krav vedrørende operationel risiko, regler om markeder for finansielle instrumenter, der
indeholder krav vedrørende risikovurdering for investeringsselskaber og for regulerede markeder,
regler om OTC-derivater, centrale modparter og transaktionsregistre, der indeholder krav vedrøren-
de operationel risiko for centrale modparter og transaktionsregistre, og regler om forbedring af vær-
dipapirafviklingen i Unionen og om værdipapircentraler, der indeholder krav vedrørende operatio-
nel risiko. Desuden indgår krav om underretning om hændelser i normal tilsynspraksis i den finan-
sielle sektor og findes ofte i tilsynsmanualer. Medlemsstaterne bør tage hensyn til disse regler og
krav ved anvendelse af lex specialis.
(14) Som Den Europæiske Centralbank bemærker i sin udtalelse af 25. juli 20146), berører dette direktiv
ikke regimet i henhold til EU-retten for Eurosystemets overvågning af betalings- og afviklingssy-
stemer. Det vil være passende, hvis de myndigheder, der er ansvarlige for den pågældende overvåg-
ning, udveksler erfaringer om forhold vedrørende sikkerhed i net- og informationssystemer med de
kompetente myndigheder efter dette direktiv. Det samme hensyn gælder medlemmer uden for euro-
området af Det Europæiske System af Centralbanker, der foretager en sådan overvågning af beta-
lings- og afviklingssystemer på grundlag af nationale love og bestemmelser.
(15) En onlinemarkedsplads giver forbrugere og erhvervsdrivende mulighed for at indgå aftaler om køb
eller tjenester online med erhvervsdrivende, og den er det endelige bestemmelsessted for indgåelse
af sådanne kontrakter. Den bør ikke omfatte onlinetjenester, der kun tjener til at formidle tredjepart-
stjenester, hvor en kontrakt kan indgås i sidste ende. Den bør derfor ikke omfatte onlinetjenester,
der sammenligner prisen på bestemte varer eller tjenester fra forskellige erhvervsdrivende og deref-
ter omdirigerer brugeren til den foretrukne erhvervsdrivende for at købe produktet. Computing-tje-
nester leveret af onlinemarkedspladsen kan omfatte behandling af transaktioner, aggregering af data
eller analyse af brugere. App-butikker, der fungerer som onlineforretninger med henblik på digital
18
distribution af applikationer eller softwareprogrammer fra tredjemand, anses som værende en form
for onlinemarkedsplads.
(16) En onlinesøgemaskine gør det principielt muligt for brugeren at foretage søgninger på alle webste-
der på grundlag af en forespørgsel om et hvilket som helst emne. Søgningen kan alternativt være
fokuseret på websteder på et bestemt sprog. Definitionen af en onlinesøgemaskine, der er omhand-
let i dette direktiv, bør ikke dække søgefunktioner, der er begrænset til indholdet af et særligt web-
sted, uanset om søgefunktionen er fra en ekstern søgemaskine. Den bør heller ikke omfatte online-
tjenester, der sammenligner prisen på bestemte varer eller tjenester fra forskellige erhvervsdrivende
og derefter omdirigerer brugeren til den foretrukne erhvervsdrivende for at købe produktet.
(17) Cloud computing-tjenester omfatter en lang række aktiviteter, der kan leveres i henhold til forskel-
lige modeller. Med henblik på dette direktiv dækker udtrykket »cloud computing-tjenester« tjene-
ster, som muliggør adgang til en skalerbar og elastisk pulje af delbare IT-ressourcer. Disse IT-res-
sourcer omfatter ressourcer som f.eks. netværk, servere eller anden infrastruktur, lagring, applikati-
oner og tjenester. Udtrykket »skalerbar« henviser til IT-ressourcer, som kan tildeles fleksibelt af
udbyderen af cloud computing-tjenester uanset ressourcernes geografiske placering med henblik på
at håndtere udsving i efterspørgslen. Udtrykket »elastisk pulje« bruges til at beskrive de IT-ressour-
cer, der tilvejebringes og stilles til rådighed alt efter efterspørgslen for hurtigt at øge eller mindske
de tilgængelige ressourcer alt efter arbejdsbyrden. Udtrykket »delbar« bruges til at beskrive de IT-
ressourcer, der leveres til flere brugere, som deler en fælles adgang til tjenesten, men hvor databe-
handlingen foretages særskilt for hver bruger, selv om tjenesten leveres fra samme elektroniske ud-
styr.
(18) Et internetudvekslingspunkt (IXP) har som funktion at sammenkoble net. Et IXP giver ikke netad-
gang og fungerer ikke som transitleverandør eller -operatør. Et IXP leverer heller ikke andre tjene-
ster, som ikke er forbundet med samtrafik, selv om dette ikke forhindrer en IXP-operatør i at levere
ikkeforbundne tjenester. Formålet med et IXP er at sammenkoble net, som er teknisk og organisato-
risk adskilte. Udtrykket »autonomt system« bruges til at beskrive et teknisk selvstændigt net.
(19) Medlemsstaterne bør være ansvarlige for at fastlægge, hvilke enheder der opfylder kriterierne i de-
finitionen af operatør af væsentlige tjenester. For at sikre en ensartet tilgang bør definitionen af
operatør af væsentlige tjenester anvendes konsekvent i alle medlemsstater. Til dette formål fastlæg-
ger direktivet bestemmelser om vurderingen af enheder, der er aktive i særlige sektorer og delsekto-
rer, opstilling af en liste over væsentlige tjenester, overvejelse af en fælles liste over tværsektorielle
forhold for at fastslå, hvorvidt en potentiel hændelse ville have en væsentlig forstyrrende virkning,
en høringsproces med inddragelse af relevante medlemsstater i tilfælde af enheder, der leverer tje-
nester i mere end én medlemsstat, og støtte af samarbejdsgruppen i identifikationsprocessen. For at
sikre, at eventuelle ændringer på markedet afspejles korrekt, bør listen over identificerede operatø-
rer løbende tages op til revision i medlemsstaterne og om nødvendigt ajourføres. Endelig bør med-
lemsstaterne give Kommissionen de fornødne oplysninger for at vurdere, i hvilket omfang denne
fælles fremgangsmåde har givet mulighed for en konsekvent anvendelse af definitionen i medlems-
staterne.
(20) I forbindelse med identificering af operatører af væsentlige tjenester bør medlemsstaterne vurdere, i
det mindste for hver delsektor, der er omhandlet i dette direktiv, hvilke tjenester der skal anses for
at være væsentlige for opretholdelsen af kritiske samfundsmæssige og økonomiske aktiviteter, og
om de enheder, der er opført på listen over de sektorer og delsektorer, der er omhandlet i dette di-
rektiv, og som leverer disse tjenester, opfylder kriterierne for identificering af operatører. Ved vur-
19
deringen af, om en enhed leverer en tjeneste, der er væsentlig for opretholdelsen af kritiske sam-
fundsmæssige eller økonomiske aktiviteter, er det tilstrækkeligt at undersøge, om denne enhed yder
en tjeneste, der er opført på listen over væsentlige tjenester. Det bør desuden påvises, at leveringen
af væsentlige tjenester afhænger af net- og informationssystemer. Endelig skal medlemsstaterne
ved vurderingen af, om en hændelse vil have en væsentlig forstyrrende virkning på leveringen af
tjenesten, tage hensyn til en række tværsektorielle forhold samt, hvis det er relevant, sektorspecifik-
ke forhold.
(21) Med henblik på at identificere operatører af væsentlige tjenester forstås ved etablering i en med-
lemsstat en effektiv og reel udøvelse af aktiviteter gennem stabile ordninger. De pågældende ord-
ningers retlige form, hvad enten det er gennem en filial eller et datterselskab med status af juridisk
person, har ikke afgørende betydning i denne forbindelse.
(22) Det er muligt, at enheder, der opererer i de sektorer og delsektorer, der er omhandlet i dette direk-
tiv, både leverer væsentlige og ikkevæsentlige tjenester. Inden for luftfartssektoren leverer lufthav-
ne eksempelvis tjenester, der af en medlemsstat kan betragtes som værende væsentlige, f.eks. for-
valtning af start- og landingsbaner, men også en række tjenester, der kan betragtes som ikkevæsent-
lige, f.eks. tilvejebringelse af butiksområder. Operatører af væsentlige tjenester bør kun være om-
fattet af de særlige sikkerhedskrav, når det gælder tjenester, der betragtes som værende væsentlige.
Med henblik på identificering af operatører bør medlemsstaterne derfor opstille en liste over de tje-
nester, der betragtes som væsentlige.
(23) Listen over tjenester bør indeholde alle tjenester på en given medlemsstats område, der opfylder
kravene i dette direktiv. Medlemsstaterne bør kunne supplere den eksisterende liste ved at tilføje
nye tjenester. Listen over tjenester bør tjene som referencepunkt for medlemsstaterne med henblik
på identificering af operatører af væsentlige tjenester. Listens formål er at identificere de typer af
væsentlige tjenester, der findes i en given sektor omhandlet i dette direktiv, så de kan holdes adskilt
fra ikkevæsentlige aktiviteter, for hvilke en enhed, der er aktiv i en given sektor, kan være ansvar-
lig. Listen over tjenester, der fastlægges af hver medlemsstat, vil kunne tjene som et yderligere in-
put i vurderingen af den lovgivningsmæssige praksis i hver medlemsstat, så der kan sikres en over-
ordnet sammenhæng i identifikationsprocessen blandt medlemsstaterne.
(24) Når en enhed leverer en væsentlig tjeneste i to eller flere medlemsstater, bør disse medlemsstater
med henblik på identifikationsprocessen deltage i bilaterale eller multilaterale drøftelser med hinan-
den. Denne høringsproces skal hjælpe dem med at vurdere operatørens kritiske karakter med hen-
syn til grænseoverskridende konsekvenser, hvilket giver hver af de involverede medlemsstater mu-
lighed for at fremlægge deres synspunkter om de risici, der er forbundet med de leverede tjenester.
De berørte medlemsstater bør tage hensyn til hinandens synspunkter i denne proces og bør kunne
anmode om samarbejdsgruppens bistand i denne henseende.
20
(25) Som følge af identifikationsprocessen bør medlemsstaterne vedtage nationale foranstaltninger til at
afgøre, hvilke enheder der er underkastet forpligtelser vedrørende sikkerhed i net- og informations-
systemer. Dette resultat kan opnås ved at udarbejde en liste over alle operatører af væsentlige tjene-
ster eller vedtage nationale foranstaltninger, herunder objektive målbare kriterier, som f.eks. opera-
tørens produktion eller antallet af brugere, hvilket gør det muligt at fastslå, hvilke enheder der er
underlagt forpligtelser vedrørende sikkerhed i net- og informationssystemer. De nationale foran-
staltninger, hvad enten de allerede eksisterer eller vedtages i forbindelse med dette direktiv, bør
omfatte alle retlige foranstaltninger, administrative foranstaltninger og politikker, der gør det mu-
ligt at identificere operatører af væsentlige tjenester i medfør af dette direktiv.
(26) For at give en indikation af, hvor væsentlige de identificerede operatører af væsentlige tjenester er i
forhold til den pågældende sektor, bør medlemsstaterne tage hensyn til antallet og størrelsen af dis-
se operatører, f.eks. med hensyn til markedsandel, eller den producerede eller transporterede kvan-
titet, uden at være forpligtet til at videregive oplysninger, som ville afsløre, hvilke operatører der er
blevet identificeret.
(27) For at afgøre, hvorvidt en hændelse ville have en væsentlig forstyrrende virkning for levering af en
væsentlig tjeneste, bør medlemsstaterne tage hensyn til en række forskellige faktorer, som f.eks. det
antal brugere, der er afhængige af denne tjeneste til private eller erhvervsmæssige formål. Brugen
af denne tjeneste kan ske direkte, indirekte eller ved formidling. Ved vurderingen af, hvilke konse-
kvenser en hændelse kunne have rent omfangs- og varighedsmæssigt på økonomiske og samfunds-
mæssige aktiviteter eller den offentlige sikkerhed, bør medlemsstaterne ligeledes undersøge, hvor
lang tid der skønnes at ville gå, før diskontinuiteten ville begynde at have negative konsekvenser.
(28) Med henblik på at fastslå, hvorvidt en hændelse ville have en væsentlig forstyrrende virkning på
leveringen af en væsentlig tjeneste, bør medlemsstaterne i tillæg til tværsektorielle forhold også ta-
ge højde for sektorspecifikke forhold. Med hensyn til energileverandører kan sådanne forhold f.eks.
omfatte omfanget eller andelen af elektricitet, der er produceret på nationalt plan; for olieleverandø-
rer mængden pr. dag; for lufttransport, herunder lufthavne og luftfartsselskaber, jernbanetransport
og søhavne, den nationale andel af trafikmængden og antallet af passagerer eller fragtoperationer
årligt; for banker eller finansielle markedsinfrastrukturer deres systemiske betydning baseret på de
samlede aktiver eller de samlede aktiver i forhold til BNP; for sundhedssektoren antallet af patien-
ter under tjenesteyderens pleje pr. år; for vandproduktion, -behandling og -forsyning mængden og
antallet samt typerne af brugere, der forsynes, herunder for eksempel hospitaler, organisationer for
offentlige tjenester eller enkeltpersoner, og om der findes alternative vandkilder til dækning af
samme geografiske område.
(29) Hver medlemsstat bør have en national strategi for sikkerheden i net- og informationssystemer, der
fastlægger, hvilke strategiske mål og konkrete politiktiltag der skal gennemføres for at nå og bibe-
holde et højt sikkerhedsniveau i net- og informationssystemer.
(30) I betragtning af forskellene mellem nationale forvaltningsstrukturer og med henblik på at sikre alle-
rede eksisterende sektorforanstaltninger eller Unionens tilsyns- og kontrolorganer og undgå over-
lapninger bør medlemsstaterne kunne udpege mere end én national kompetent myndighed med an-
svar for udførelsen af de opgaver, som er knyttet til sikkerheden i net- og informationssystemer hos
operatører af væsentlige tjenester og udbydere af digitale tjenester i henhold til dette direktiv.
(31) For at fremme grænseoverskridende samarbejde og kommunikation og for at sikre en effektiv gen-
nemførelse af dette direktiv er det nødvendigt, at hver medlemsstat, uden at det berører sektorspeci-
21
fikke kontrolordninger, udpeger ét nationalt centralt kontaktpunkt med ansvar for at koordinere
spørgsmål vedrørende sikkerheden i net- og informationssystemer samt grænseoverskridende sam-
arbejde på EU-plan. Kompetente myndigheder og centrale kontaktpunkter bør have tilstrækkelige
tekniske, finansielle og menneskelige ressourcer til at sikre, at de på en effektiv måde kan udføre de
opgaver, som de pålægges, og dermed opfylde målene i dette direktiv. Da dette direktiv har til for-
mål at forbedre det indre markeds funktion ved at skabe tryghed og tillid, er medlemsstaterne nødt
til at kunne samarbejde effektivt med de økonomiske aktører og struktureres i overensstemmelse
hermed.
(32) Kompetente myndigheder eller enheder, der håndterer IT-sikkerhedshændelser (CSIRT᾽er), bør
modtage underretninger om hændelser. De centrale kontaktpunkter bør ikke direkte modtage nogen
underretninger om hændelser, medmindre de også handler som en kompetent myndighed eller som
en CSIRT. En kompetent myndighed eller en CSIRT bør imidlertid kunne give det centrale kon-
taktpunkt til opgave at fremsende underretninger om hændelser til de centrale kontaktpunkter i an-
dre berørte medlemsstater.
(33) For at sikre en effektiv tilvejebringelse af oplysninger til medlemsstaten og Kommissionen bør den
sammenfattende rapport forelægges af det centrale kontaktpunkt for samarbejdsgruppen, og den bør
anonymiseres for at sikre, at underretningerne og identiteten af operatører af væsentlige tjenester og
udbydere af digitale tjenester forbliver fortrolige, eftersom oplysninger om de underrettende enhe-
ders identitet ikke er påkrævet for udvekslingen af bedste praksis i samarbejdsgruppen. Den sam-
menfattende rapport bør indeholde oplysninger om antallet af modtagne underretninger og karakte-
ren af de underrettede hændelser, f.eks. typerne af brud på sikkerheden, deres alvorlighed eller de-
res varighed.
(34) Medlemsstaterne bør være udstyret med både tilstrækkelig teknisk og organisatorisk kapacitet, til at
forebygge, detektere, reagere på og afhjælpe hændelser og risici i net- og informationssystemer. Al-
le medlemsstater bør derfor sikre sig, at de har velfungerende CSIRT᾽er, også kendt som IT-bered-
skabsenheder (»CERT᾽er«), som opfylder de væsentlige krav for at sikre en effektiv og kompatibel
kapacitet til at reagere på hændelser og risici og sikre et effektivt samarbejde på EU-plan. For at
alle typer af operatører af væsentlige tjenester og udbydere af digitale tjenester kan få gavn af disse
kapaciteter og dette samarbejde, bør medlemsstaterne sikre, at alle typer er omfattet af en udpeget
CSIRT. I betragtning af betydningen af internationalt samarbejde om cybersikkerhed bør CSIRT᾽er
kunne deltage i internationale samarbejdsnetværk i tillæg til de CSIRT-netværk, der er oprettet ved
dette direktiv.
(35) Da de fleste net- og informationssystemer er privatejede, er samarbejde mellem den offentlige og
private sektor afgørende. Operatører af væsentlige tjenester og udbydere af digitale tjenester bør til-
skyndes til at benytte deres egne uformelle samarbejdsmekanismer for at sikre sikkerheden i net- og
informationssystemer. Samarbejdsgruppen bør, hvis det er relevant, kunne indbyde relevante inte-
ressenter til drøftelser. For effektivt at fremme udvekslingen af oplysninger og bedste praksis er det
afgørende at sikre, at operatører af væsentlige tjenester og udbydere af digitale tjenester, som delta-
ger i en sådan udveksling, ikke stilles dårligere som følge af deres samarbejde.
(36) ENISA bør bistå medlemsstaterne og Kommissionen med ekspertise og rådgivning og ved at lette
udveksling af bedste praksis. Især ved anvendelsen af dette direktiv bør Kommissionen, og med-
lemsstaterne bør kunne, rådføre sig med ENISA. Med sigte på opbygning af kapacitet og viden
blandt medlemsstaterne bør samarbejdsgruppen også fungere som et redskab til udveksling af bed-
ste praksis og drøftelse af medlemsstaternes kapaciteter og beredskab, og den bør på frivillig basis
22
bistå medlemmerne med evaluering af nationale strategier for sikkerheden i net- og informationssy-
stemer, arbejde med kapacitetsopbygning og evaluering af øvelser vedrørende sikkerheden i net- og
informationssystemer.
(37) Medlemsstaterne bør, hvis det er relevant, kunne benytte eller tilpasse eksisterende organisations-
strukturer eller -strategier, når de anvender dette direktiv.
(38) Samarbejdsgruppens og ENISA᾽s respektive opgaver er indbyrdes afhængige og supplerer hinan-
den. Generelt bør ENISA bistå samarbejdsgruppen med udførelsen af dens opgaver i overensstem-
melse med målet i Europa-Parlamentets og Rådets forordning (EU) nr. 526/20137), nemlig ved at
bistå Unionens institutioner, organer, kontorer og agenturer og medlemsstaterne med at gennemføre
de politikker, der er nødvendige for at opfylde de retlige og reguleringsmæssige krav vedrørende
sikkerheden i net- og informationssystemer i henhold til eksisterende og fremtidige EU-retsakter.
ENISA bør navnlig yde bistand på de områder, der svarer til dets egne opgaver, jf. forordning (EU)
nr. 526/2013, nemlig at analysere sikkerhedsstrategier for net- og informationssystemer, støtte til-
rettelæggelsen og gennemførelsen af EU-øvelser vedrørende sikkerheden i net- og informationssy-
stemer og udveksle oplysninger og bedste praksis for bevidstgørelse og uddannelse. ENISA bør og-
så deltage i udarbejdelsen af retningslinjer for sektorspecifikke kriterier for fastlæggelse af omfan-
get af en hændelses konsekvenser.
(39) For at fremme forbedret sikkerhed i net- og informationssystemer bør samarbejdsgruppen, hvis det
er relevant, samarbejde med relevante EU-institutioner, -organer, -kontorer og -agenturer med hen-
blik på at udveksle knowhow og bedste praksis og yde rådgivning om sikkerhedsaspekter i net- og
informationssystemer, der kan have konsekvenser for deres arbejde, samtidig med at den respekte-
rer gældende ordninger for udveksling af fortrolige oplysninger. I samarbejdet med retshåndhæven-
de myndigheder vedrørende sikkerhedsaspekter i net- og informationssystemer, der kan have kon-
sekvenser for disse myndigheders arbejde, bør samarbejdsgruppen respektere eksisterende informa-
tionskanaler og etablerede net.
(40) Oplysninger om hændelser er stadig mere værdifulde for den brede offentlighed og virksomheder,
navnlig små og mellemstore virksomheder. I nogle tilfælde er der allerede adgang til disse oplys-
ninger via websteder på nationalt plan på et bestemt lands sprog og med fokus på hændelser og
begivenheder, der har en national dimension. Da virksomhederne i stigende grad opererer på tværs
af grænserne, og borgerne benytter onlinetjenester, bør oplysninger om hændelser gives i sammen-
fattet form på EU-plan. CSIRT-netværkets sekretariat tilskyndes til at oprette et websted eller vedli-
geholde en særlig side på et eksisterende websted, hvor generelle oplysninger om større hændelser,
som har fundet sted i hele Unionen, stilles til rådighed for den brede offentlighed med særlig fokus
på virksomhedernes interesser og behov. CSIRT᾽er, der deltager i CSIRT-netværket, tilskyndes til
på frivillig basis at levere de oplysninger, der skal offentliggøres på det nævnte websted, uden at
der medtages fortrolige eller følsomme oplysninger.
(41) Hvis oplysningerne betragtes som værende fortrolige i overensstemmelse med EU-regler og natio-
nale regler om forretningshemmeligheder, bør denne fortrolighed sikres under udførelsen af aktivi-
teterne og opfyldelsen af målene i dette direktiv.
(42) Øvelser, der simulerer hændelsesscenarier i realtid, er afgørende for testningen af medlemsstaternes
beredskab og samarbejde vedrørende sikkerheden i net- og informationssystemer. Øvelsesforløbet
Cyber Europe, som ENISA koordinerer med medlemsstaternes deltagelse, er et nyttigt redskab til
testning og udarbejdelse af anbefalinger til, hvordan håndteringen af hændelser på EU-plan bør for-
23
bedres over tid. Eftersom medlemsstaterne ikke for øjeblikket er forpligtet til hverken at planlægge
eller deltage i øvelser, bør oprettelsen af CSIRT-netværket i henhold til dette direktiv give dem mu-
lighed for at deltage i øvelser på grundlag af præcis planlægning og strategiske valg. Den samar-
bejdsgruppe, der er nedsat i henhold til dette direktiv, bør drøfte de strategiske beslutninger vedrø-
rende øvelser, navnlig, men ikke udelukkende, med hensyn til øvelsernes hyppighed og udformnin-
gen af scenarierne. ENISA bør i overensstemmelse med sit mandat støtte tilrettelæggelsen og gen-
nemførelsen af EU-dækkende øvelser ved at bistå samarbejdsgruppen og CSIRT-netværket med
ekspertise og rådgivning.
(43) I betragtning af den globale karakter af sikkerhedsproblemer, der påvirker net- og informationssy-
stemer, er der behov for et tættere internationalt samarbejde om at forbedre sikkerhedsstandarderne
og informationsudvekslingen og for at fremme en fælles samlet tilgang til sikkerhedsspørgsmål.
(44) Ansvaret for at sikre sikkerheden i net- og informationssystemer ligger i vid udstrækning hos ope-
ratører af væsentlige tjenester og udbydere af digitale tjenester. En risikostyringskultur med risiko-
vurdering og gennemførelse af sikkerhedsforanstaltninger, som står i forhold til risiciene, bør frem-
mes og udvikles gennem passende forskriftsmæssige krav og en frivillig indsats fra erhvervslivets
side. Etablering af pålidelige lige vilkår er også afgørende for, at samarbejdsgruppen og CSIRT-
netværket er velfungerende, så man sikrer et effektivt samarbejde fra alle medlemsstater.
(45) Dette direktiv finder kun anvendelse på de offentlige myndigheder, der er identificeret som opera-
tører af væsentlige tjenester. Det er derfor medlemsstaternes ansvar at sikre sikkerheden i net- og
informationssystemer tilhørende offentlige myndigheder, som ikke henhører under dette direktivs
anvendelsesområde.
(46) Risikostyringsforanstaltninger omfatter foranstaltninger til at identificere alle risici for hændelser,
forebygge, detektere og håndtere hændelser og begrænse deres konsekvenser. Sikkerheden i net- og
informationssystemer omfatter lagrede, overførte og behandlede datas sikkerhed.
(47) Kompetente myndigheder bør fortsat have mulighed for at vedtage nationale retningslinjer om de
omstændigheder, hvorunder operatører af væsentlige tjenester har pligt til at underrette om hændel-
ser.
(48) Mange virksomheder i Unionen er afhængige af udbydere af digitale tjenester til levering af deres
tjenester. Da nogle digitale tjenester kan være en vigtig ressource for deres brugere, herunder ope-
ratører af væsentlige tjenester, og brugerne af den grund måske ikke altid har nogen alternativer,
bør dette direktiv også finde anvendelse på udbydere af denne type tjenester. Sikkerheden og konti-
nuiteten i samt pålideligheden af denne type digitale tjenester, der er omhandlet i dette direktiv, er
for mange virksomheder afgørende for, at de fungerer godt. En afbrydelse af en sådan digital tje-
neste kunne forhindre levering af andre tjenester, der er afhængige af den, og kunne dermed få kon-
sekvenser for økonomiske og samfundsmæssige nøgleaktiviteter i Unionen. Sådanne digitale tjene-
ster kan derfor have afgørende betydning for, at virksomheder, der er afhængige af dem, fungerer
godt, og for, at disse virksomheder kan deltage i det indre marked og i grænseoverskridende handel
i hele Unionen. De nævnte udbydere af digitale tjenester, der er omfattet af dette direktiv, er de
udbydere, der anses for at tilbyde digitale tjenester, som mange virksomheder i Unionen i stigende
grad er afhængige af.
(49) Udbydere af digitale tjenester bør sikre et sikkerhedsniveau, der afspejler graden af den risiko, som
de digitale tjenester, de leverer, udsættes for, i betragtning af den betydning, deres tjenester har for
aktiviteter, der udføres af andre virksomheder i Unionen. I praksis vil graden af risiko for operatø-
24
rer af væsentlige tjenester, som ofte er af væsentlig betydning for opretholdelsen af vigtige økono-
miske og samfundsmæssige aktiviteter, være højere end for udbydere af digitale tjenester. Derfor
bør sikkerhedskravene for udbydere af digitale tjenester være mere moderate. Udbydere af digitale
tjenester bør fortsat kunne træffe de foranstaltninger, som de mener er passende for at styre de risi-
ci, som sikkerheden i deres net- og informationssystemer udsættes for. Udbydere af digitale tjene-
ster bør som følge af deres grænseoverskridende karakter omfattes af en mere harmoniseret tilgang
på EU-plan. Gennemførelsesretsakter bør lette specificeringen og gennemførelsen af sådanne for-
anstaltninger.
(50) Selv om hardwarefabrikanter og softwareudviklere hverken er operatører af væsentlige tjenester el-
ler udbydere af digitale tjenester, forbedrer deres produkter sikkerheden i net- og informationssy-
stemer. De spiller derfor en vigtig rolle for, at operatører af væsentlige tjenester og udbydere af di-
gitale tjenester kan sikre deres net- og informationssystemer. Sådanne hardware- og softwarepro-
dukter er allerede underlagt gældende regler om produktansvar.
(51) Tekniske og organisatoriske foranstaltninger, der pålægges operatører af væsentlige tjenester og ud-
bydere af digitale tjenester, bør ikke kræve, at et bestemt kommercielt informations- og kommuni-
kationsteknologiprodukt skal konstrueres, udvikles eller fremstilles på en bestemt måde.
(52) Operatørerne af væsentlige tjenester og udbyderne af digitale tjenester bør sikre beskyttelsen af de
net- og informationssystemer, de anvender. Det er hovedsageligt private net- og informationssyste-
mer, hvor administrationen varetages af deres eget IT-personale, eller hvor sikkerhedsopgaverne er
outsourcet. Sikkerhedskravene og underretningspligten bør gælde for de relevante operatører af væ-
sentlige tjenester og udbydere af digitale tjenester, uanset om de selv står for vedligeholdelsen af
deres net- og informationssystemer eller outsourcer denne opgave.
(53) Med sigte på at undgå, at operatører af væsentlige tjenester og udbydere af digitale tjenester pålæg-
ges en uforholdsmæssig stor finansiel og administrativ byrde, bør kravene stå i et rimeligt forhold
til den risiko, der er forbundet med det pågældende net- og informationssystem, under hensyntagen
til sådanne foranstaltningers aktuelle stade. For så vidt angår udbydere af digitale tjenester, bør dis-
se krav ikke gælde for mikrovirksomheder og små virksomheder.
(54) Når offentlige myndigheder i medlemsstaterne anvender tjenester, der tilbydes af udbydere af digi-
tale tjenester, navnlig cloud computing-tjenester, vil de måske ønske at stille krav til udbyderne af
disse tjenester om flere sikkerhedsforanstaltninger end dem, som udbydere af digitale tjenester nor-
malt tilbyder i overensstemmelse med kravene i dette direktiv. De bør kunne gøre dette ved hjælp
af kontraktlige forpligtelser.
(55) Definitionerne af onlinemarkedsplads, onlinesøgemaskiner og cloud computing-tjenester i dette di-
rektiv er specifikke for dette direktiv og berører ikke andre instrumenter.
(56) Dette direktiv bør ikke forhindre medlemsstaterne i at vedtage nationale foranstaltninger, der for-
pligter offentligretlige organer til at sikre særlige sikkerhedskrav, når de indgår aftaler om cloud
computing-tjenester. Sådanne nationale foranstaltninger bør finde anvendelse på den pågældende
offentlige myndighed og ikke udbyderen af cloud computing-tjenester.
(57) I betragtning af de grundlæggende forskelle mellem operatører af væsentlige tjenester, navnlig de-
res direkte forbindelse til fysisk infrastruktur, og udbydere af digitale tjenester, navnlig deres græn-
seoverskridende karakter, bør dette direktiv benytte en differentieret tilgang med hensyn til harmo-
niseringsniveauet i forbindelse med disse to grupper af enheder. For operatører af væsentlige tjene-
25
ster bør medlemsstaterne kunne identificere de relevante operatører og indføre strengere krav end
dem, der er fastsat i dette direktiv. Medlemsstaterne bør ikke identificere udbydere af digitale tjene-
ster, eftersom dette direktiv bør gælde for alle udbydere af digitale tjenester inden for dets anven-
delsesområde. Desuden bør dette direktiv og de gennemførelsesretsakter, der vedtages i henhold
hertil, sikre et højt harmoniseringsniveau for udbydere af digitale tjenester med hensyn til sikker-
hedskrav og underretningspligt. Dette bør sætte udbyderne af digitale tjenester i stand til at blive
behandlet på en ensartet måde i hele Unionen og på en måde, der står i rimeligt forhold til deres
karakter og graden af den risiko, de kunne blive udsat for.
(58) Dette direktiv bør ikke forhindre medlemsstaterne i at indføre sikkerhedskrav og underretningspligt
for enheder, der ikke er udbydere af digitale tjenester inden for rammerne af dette direktiv, idet det-
te ikke berører medlemsstaternes forpligtelser i henhold til EU-retten.
(59) De kompetente myndigheder bør tage behørigt hensyn til nødvendigheden af at bevare uformelle
og pålidelige kanaler til informationsudveksling. Ved offentliggørelse af hændelser, der underrettes
til de kompetente myndigheder, bør der foretages en nøje afvejning af offentlighedens interesse i at
blive informeret om trusler i forhold til mulig imageskade og kommerciel skade for de operatører af
væsentlige tjenester og udbydere af digitale tjenester, der underretter om hændelser. Ved gennem-
førelsen af underretningspligten bør de kompetente myndigheder og CSIRT᾽erne være særlig op-
mærksomme på behovet for at holde oplysninger om produkters sårbarhed strengt fortrolige, indtil
der udsendes passende sikkerhedsopdateringer.
(60) Udbydere af digitale tjenester bør underkastes et lempeligere og reaktivt efterfølgende tilsyn under
hensyn til arten af deres tjenester og operationer. Den berørte kompetente myndighed bør derfor
kun skride til handling, når den har fået dokumentation (f.eks. fra udbyderen af digitale tjenester
selv, fra en anden kompetent myndighed, herunder en kompetent myndighed i en anden medlems-
stat, eller fra brugeren af tjenesten) for, at en udbyder af digitale tjenester ikke overholder kravene i
dette direktiv, navnlig efter at der er sket en hændelse. Den kompetente myndighed bør således ikke
have en generel forpligtelse til at føre tilsyn med udbydere af digitale tjenester.
(61) De kompetente myndigheder bør have de nødvendige midler til at udføre deres opgaver, herunder
beføjelser til at indhente tilstrækkelige oplysninger til, at de kan vurdere sikkerhedsniveauet i net-
og informationssystemer.
(62) Hændelser kan være resultatet af kriminelle aktiviteter, og forebyggelse, efterforskning og retsfor-
følgelse heraf støttes ved koordinering og samarbejde mellem operatører af væsentlige tjenester,
udbydere af digitale tjenester, kompetente myndigheder og retshåndhævende myndigheder. Hvis
der er mistanke om, at en hændelse er forbundet med alvorlige kriminelle aktiviteter i henhold til
EU-retten eller national ret, bør medlemsstaterne tilskynde operatører af væsentlige tjenester og ud-
bydere af digitale tjenester til at underrette om hændelser af formodet alvorlig kriminel karakter til
de relevante retshåndhævende myndigheder. Hvis det er relevant, er det ønskværdigt, at koordine-
ringen mellem forskellige medlemsstaters kompetente myndigheder og retshåndhævende myndig-
heder lettes af det Europæiske Center til Bekæmpelse af IT-Kriminalitet (EC3) og ENISA.
(63) Personoplysninger er i mange tilfælde kompromitteret som følge af hændelser. De kompetente
myndigheder og databeskyttelsesmyndighederne bør i denne forbindelse samarbejde og udveksle
oplysninger om alle relevante spørgsmål for at håndtere alle brud på persondatasikkerheden som
følge af hændelser.
26
(64) Jurisdiktion, for så vidt angår udbydere af digitale tjenester, bør tildeles den medlemsstat, hvor den
pågældende udbyder af digitale tjenester har sit hjemsted i Unionen, hvilket i princippet svarer til
det sted, hvor udbyderen har sit hovedkontor i Unionen. Ved hjemsted forstås en effektiv og reel
udøvelse af aktivitet gennem stabile ordninger. De pågældende ordningers retlige form, hvad enten
det er en filial eller et datterselskab med status af juridisk person, har ikke afgørende betydning i
denne forbindelse. Dette kriterium bør ikke afhænge af, hvorvidt net- og informationssystemerne
fysisk befinder sig på et givent sted; tilstedeværelsen og anvendelsen af sådanne systemer udgør
ikke i sig selv et sådant hjemsted og er derfor ikke et kriterium for fastlæggelse af hjemstedet.
(65) En udbyder af digitale tjenester, som ikke er etableret i Unionen, men tilbyder tjenester i Unionen,
bør udpege en repræsentant. Med henblik på at afgøre, om en sådan udbyder af digitale tjenester
tilbyder tjenester i Unionen, bør det fastslås, om det er åbenbart, at udbyderen af digitale tjenester
påtænker at tilbyde tjenester til personer i en eller flere medlemsstater. Alene det forhold, at der i
Unionen er adgang til udbyderen af digitale tjenesters eller en mellemmands websted eller til en e-
mailadresse og andre kontaktoplysninger eller at der anvendes et sprog, som almindeligvis anven-
des i det tredjeland, hvor udbyderen af digitale tjenester er etableret, er utilstrækkeligt til at fastslå
en sådan hensigt. Imidlertid kan faktorer såsom anvendelse af et sprog eller en valuta, der alminde-
ligvis anvendes i en eller flere medlemsstater med mulighed for at bestille tjenester på det pågæl-
dende sprog, eller omtale af kunder eller brugere, der er i Unionen, gøre det åbenbart, at udbyderen
af digitale tjenester påtænker at tilbyde tjenester i Unionen. Repræsentanten bør handle på vegne af
udbyderen af digitale tjenester, og kompetente myndigheder eller CSIRT᾽er bør kunne kontakte re-
præsentanten. Repræsentanten bør udtrykkeligt udpeges ved et skriftligt mandat fra udbyderen af
digitale tjenester til at handle på sidstnævntes vegne, for så vidt angår sidstnævntes forpligtelser i
medfør af dette direktiv, herunder underretning om hændelser.
(66) Standardisering af sikkerhedskrav er en markedsstyret proces. Medlemsstaterne bør for at sikre en
konvergerende anvendelse af sikkerhedsstandarder tilskynde til overholdelse af eller overensstem-
melse med specificerede standarder for at sikre et højt sikkerhedsniveau i net- og informationssy-
stemer på EU-plan. ENISA bør bistå medlemsstaterne med rådgivning og retningslinjer. Med dette
mål for øje kan det være nyttigt at udarbejde udkast til harmoniserede standarder, som bør udfor-
mes i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr. 1025/20128).
(67) Enheder, der falder uden for dette direktivs anvendelsesområde, kan opleve hændelser, der har væ-
sentlige konsekvenser for de tjenester, de leverer. Hvis disse enheder anser det for at være i offent-
lighedens interesse at underrette om forekomsten af sådanne hændelser, bør de kunne gøre det på et
frivilligt grundlag. Sådanne underretninger bør behandles af den kompetente myndighed eller
CSIRT, når en sådan behandling ikke udgør en uforholdsmæssig stor eller unødvendig byrde for de
berørte medlemsstater.
(68) For at sikre ensartede betingelser for gennemførelsen af dette direktiv bør Kommissionen tillægges
gennemførelsesbeføjelser til at fastlægge de proceduremæssige ordninger, der er nødvendige for
samarbejdsgruppens funktion, og de sikkerhedskrav og den underretningspligt, der gælder for ud-
bydere af digitale tjenester. Disse beføjelser bør udøves i overensstemmelse med Europa-Parlamen-
tets og Rådets forordning (EU) nr. 182/20119). Når Kommissionen vedtager gennemførelsesretsak-
ter vedrørende de proceduremæssige ordninger, der er nødvendige for samarbejdsgruppens funk-
tion, bør den tage størst muligt hensyn til udtalelsen fra ENISA.
27
(69) Når Kommissionen vedtager gennemførelsesretsakter om sikkerhedskravene for udbydere af digita-
le tjenester, bør den tage størst muligt hensyn til udtalelsen fra ENISA og den bør konsultere de
interesserede interessenter. Endvidere tilskyndes Kommissionen til at tage hensyn til følgende ek-
sempler: vedrørende systemers og faciliteters sikkerhed: fysisk og miljømæssig sikkerhed, forsy-
ningssikkerhed, kontrol af adgang til net- og informationssystemer og integritet i forbindelse med
net- og informationssystemer; vedrørende håndtering af hændelser: procedurer for håndtering af
hændelser, kapacitet til detektering af hændelser, underretning om og meddelelse af hændelser;
vedrørende styring af driftskontinuitet: strategi for tjenesters kontinuitet og beredskabsplaner, kata-
strofeberedskabskapaciteter; vedrørende monitorering, audit og testning: monitorerings- og log-
ningspolitikker, øvelsesberedskabsplaner, testning af net- og informationssystemer, sikkerhedsvur-
dering og kontrol med overholdelse.
(70) I forbindelse med gennemførelsen af dette direktiv bør Kommissionen i passende omfang varetage
kontakten med relevante sektorudvalg og relevante organer på EU-plan inden for de områder, der
er omfattet af dette direktiv.
(71) Kommissionen bør regelmæssigt tage dette direktivs bestemmelser op til fornyet overvejelse efter
høring af interesserede interessenter, navnlig med henblik på at afgøre, om der er behov for ændrin-
ger i lyset af skiftende samfundsmæssige, politiske eller teknologiske vilkår eller markedsvilkår.
(72) Udveksling af oplysninger om risici og hændelser i samarbejdsgruppen og CSIRT-netværket og
overholdelse af kravet om underretning om hændelser til de nationale kompetente myndigheder el-
ler CSIRT᾽er kan kræve behandling af personoplysninger. En sådan behandling bør ske i overens-
stemmelse med Europa-Parlamentets og Rådets direktiv 95/46/EF10) og Europa-Parlamentets og
Rådets forordning (EF) nr. 45/200111). I forbindelse med anvendelsen af dette direktiv bør Europa-
Parlamentets og Rådets forordning (EF) nr. 1049/200112) finde anvendelse i relevant omfang.
(73) Den Europæiske Tilsynsførende for Databeskyttelse er blevet hørt i overensstemmelse med artikel
28, stk. 2, i forordning (EF) nr. 45/2001 og afgav en udtalelse den 14. juni 201313).
(74) Målene for dette direktiv, nemlig at opnå et højt, fælles sikkerhedsniveau i net- og informationssy-
stemer i Unionen, kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne, men kan på grund af
handlingens virkninger bedre nås på EU-plan; Unionen kan derfor vedtage foranstaltninger i over-
ensstemmelse med nærhedsprincippet, jf. artikel 5 i traktaten om Den Europæiske Union. I over-
ensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, går dette direktiv ikke videre, end
hvad der er nødvendigt for at nå disse mål.
(75) Dette direktiv overholder de grundlæggende rettigheder og de principper, der anerkendes i Den
Europæiske Unions charter om grundlæggende rettigheder, navnlig retten til respekt for privatlivet
og kommunikation, beskyttelsen af personoplysninger, frihed til at oprette og drive egen virksom-
hed, ejendomsretten og retten til effektive retsmidler for en domstol og ret til at blive hørt. Direkti-
vet bør gennemføres i overensstemmelse med disse rettigheder og principper —
3) Europa-Parlamentets og Rådets direktiv 2002/21/EF af 7. marts 2002 om fælles rammebestemmelser for elektroniske kommunikationsnet og -tjenester
(rammedirektivet) (EFT L 108 af 24.4.2002, s. 33).
4) Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014 af 23. juli 2014 om elektronisk identifikation og tillidstjenester til brug for elektroniske
transaktioner på det indre marked og om ophævelse af direktiv 1999/93/EF (EUT L 257 af 28.8.2014, s. 73).
5) Rådets afgørelse 2013/488/EU af 23. september 2013 om reglerne for sikkerhedsbeskyttelse af EU᾽s klassificerede informationer (EUT L 274 af
15.10.2013, s. 1).
6) EUT C 352 af 7.10.2014, s. 4.
28
7) Europa-Parlamentets og Rådets forordning (EU) nr. 526/2013 af 21. maj 2013 om Den Europæiske Unions Agentur for Net- og Informationssikkerhed
(ENISA) og om ophævelse af forordning (EF) nr. 460/2004 (EUT L 165 af 18.6.2013, s. 41).
8) Europa-Parlamentets og Rådets forordning (EU) nr. 1025/2012 af 25. oktober 2012 om europæisk standardisering, om ændring af Rådets direktiv
89/686/EØF og 93/15/EØF og Europa-Parlamentets og Rådets direktiv 94/9/EF, 94/25/EF, 95/16/EF, 97/23/EF, 98/34/EF, 2004/22/EF, 2007/23/EF,
2009/23/EF og 2009/105/EF og om ophævelse af Rådets beslutning 87/95/EØF og Europa-Parlamentets og Rådets afgørelse nr. 1673/2006/EF (EUT L
316 af 14.11.2012, s. 12).
9) Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar 2011 om de generelle regler og principper for, hvordan medlemsstaterne skal
kontrollere Kommissionens udøvelse af gennemførelsesbeføjelser (EUT L 55 af 28.2.2011, s. 13).
10) Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysnin-
ger og om fri udveksling af sådanne oplysninger (EFT L 281 af 23.11.1995, s. 31).
11) Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af
personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger (EFT L 8 af 12.1.2001, s. 1).
12) Europa-Parlamentets og Rådets forordning (EF) nr. 1049/2001 af 30. maj 2001 om aktindsigt i Europa-Parlamentets, Rådets og Kommissionens doku-
menter (EFT L 145 af 31.5.2001, s. 43).
13) EUT C 32 af 4.2.2014, s. 19.
VEDTAGET DETTE DIREKTIV:
KAPITEL I
GENERELLE BESTEMMELSER
Artikel 1
Genstand og anvendelsesområde
1. Dette direktiv fastsætter foranstaltninger med henblik på at opnå et højt fælles sikkerhedsniveau for
net- og informationssystemer i Unionen for at forbedre det indre markeds funktion.
2. Direktivet:
a) fastsætter forpligtelser for alle medlemsstater til at vedtage en national strategi for sikkerhed i net- og
informationssystemer
b) nedsætter en samarbejdsgruppe med henblik på at støtte og lette strategisk samarbejde og udveksling af
oplysninger mellem medlemsstaterne og at skabe tillid blandt dem
c) opretter et netværk af enheder, der håndterer IT-sikkerhedshændelser (»CSIRT-netværk«), med henblik
på at bidrage til skabelsen af tillid mellem medlemsstaterne og at fremme et hurtigt og effektivt opera-
tionelt samarbejde
d) fastsætter sikkerhedskrav og underretningspligt for operatører af væsentlige tjenester og for udbydere
af digitale tjenester
e) fastsætter forpligtelser for medlemsstaterne til at udpege nationale kompetente myndigheder, centrale
kontaktpunkter og CSIRT᾽er, som pålægges opgaver relateret til sikkerheden i net- og informationssy-
stemer
3. De sikkerhedskrav og den underretningspligt, der er fastsat i dette direktiv, anvendes ikke for virk-
somheder, som er omfattet af kravene i artikel 13a og 13b i direktiv 2002/21/EF, eller for tillidstjeneste-
udbydere, som er omfattet af kravene i artikel 19 i forordning (EU) nr. 910/2014.
4. Dette direktiv berører ikke Rådets direktiv 2008/114/EF14) og Europa-Parlamentets og Rådets direk-
tiv 2011/93/EU15) og 2013/40/EU16).
5. Oplysninger, der er fortrolige i henhold til EU-regler og nationale regler, som f.eks. regler om forret-
ningshemmeligheder, udveksles med forbehold af artikel 346 i TEUF kun med Kommissionen og andre
relevante myndigheder, hvis en sådan udveksling er nødvendig for anvendelsen af dette direktiv. De ud-
vekslede oplysninger begrænses til, hvad der er relevant og forholdsmæssigt under hensyn til formålet
med udvekslingen. En sådan udveksling af oplysninger skal sikre de nævnte oplysningers fortrolighed og
29
beskytte sikkerheden og kommercielle interesser hos operatører af væsentlige tjenester og udbydere af di-
gitale tjenester.
6. Dette direktiv berører ikke de tiltag, som iværksættes af medlemsstaterne med henblik på at sikre de-
res centrale statslige funktioner, navnlig for at værne om den nationale sikkerhed, herunder foranstaltnin-
ger til beskyttelse af oplysninger, hvis udbredelse efter medlemsstaternes opfattelse ville stride mod deres
væsentlige sikkerhedsinteresser, og opretholde lov og orden, navnlig for at tillade efterforskning, afslø-
ring og retsforfølgelse af strafbare handlinger.
7. Når en sektorspecifik EU-retsakt stiller krav om, at operatører af væsentlige tjenester og udbydere af
digitale tjenester enten skal sikre sikkerheden i deres net- og informationssystemer eller underrette om
hændelser, forudsat at sådanne krav har mindst samme virkning som forpligtelserne i dette direktiv, an-
vendes de pågældende bestemmelser i den nævnte sektorspecifikke EU-retsakt.
Artikel 2
Behandling af personoplysninger
1. Behandling af personoplysninger i henhold til nærværende direktiv udføres i overensstemmelse med
direktiv 95/46/EF.
2. Behandling af personoplysninger i EU-institutioner og -organer i henhold til nærværende direktiv
gennemføres i overensstemmelse med forordning (EF) nr. 45/2001.
Artikel 3
Minimumsharmonisering
Uden at dette berører artikel 16, stk. 10, og deres forpligtelser i henhold til EU-retten, kan medlemssta-
terne vedtage eller bibeholde bestemmelser, som har til formål at nå et højere sikkerhedsniveau for net-
og informationssystemer.
Artikel 4
Definitioner
I dette direktiv forstås ved:
1) »net- og informationssystem«:
a) et elektronisk kommunikationsnet som omhandlet i artikel 2, litra a), i direktiv 2002/21/EF
c) enhver anordning eller gruppe af indbyrdes forbundne eller beslægtede anordninger, hvoraf en eller fle-
re ved hjælp af et program udfører automatisk behandling af digitale data, eller
2) »sikkerhed i net- og informationssystemer«: net- og informationssystemers evne til, på et givet sik-
kerhedsniveau, at modstå handlinger, der er til skade for tilgængeligheden, autenticiteten, integriteten el-
ler fortroligheden i forbindelse med lagrede eller overførte eller behandlede data eller de dermed forbund-
ne tjenester, der tilbydes af eller er tilgængelige via disse net- og informationssystemer
3) »national strategi for sikkerheden i net- og informationssystemer«: en ramme for strategiske mål
og prioriteter for sikkerheden i net- og informationssystemer på nationalt plan
4) »operatør af væsentlige tjenester«: en offentlig eller privat enhed af en type som omhandlet i bilag
II, der opfylder kriterierne i artikel 5, stk. 2
5) »digital tjeneste«: en tjeneste som omhandlet i artikel 1, stk. 1, litra b), i Europa-Parlamentets og
Rådets direktiv (EU) 2015/153517), som er af en type, der er opført i bilag III
6) »udbyder af digitale tjenester«: enhver juridisk person, som udbyder en digital tjeneste
7) »hændelse«: enhver begivenhed, der har en egentlig negativ indvirkning på sikkerheden i net- og
informationssystemer
30
8) »håndtering af hændelser«: alle procedurer til støtte for detektering, analyse og begrænsning af en
hændelse samt reaktionen derpå
9) »risiko«: enhver rimeligt identificerbar omstændighed eller begivenhed, der har en potentiel negativ
indvirkning på sikkerheden i net- og informationssystemer
10) »repræsentant«: enhver fysisk eller juridisk person, der er etableret i Unionen, og som udtrykkeligt
er udpeget til at handle på vegne af en udbyder af digitale tjenester, som ikke er etableret i Unionen, og
som en national kompetent myndighed eller en CSIRT kan henvende sig til i stedet for udbyderen af digi-
tale tjenester, for så vidt angår de forpligtelser, der påhviler den nævnte udbyder af digitale tjenester i
medfør af dette direktiv
11) »standard«: en standard som omhandlet i artikel 2, nr. 1), i forordning (EU) nr. 1025/2012
12) »specifikation«: en teknisk specifikation som omhandlet i artikel 2, nr. 4), i forordning (EU) nr.
1025/2012
13) »internetudvekslingspunkt (IXP)«: en netfacilitet, som muliggør sammenkobling af mere end to
uafhængige autonome systemer, hovedsageligt med henblik på at lette udvekslingen af internettrafik; et
IXP leverer kun sammenkobling til autonome systemer; et IXP forudsætter ikke, at internettrafik, som be-
væger sig mellem et givent par af deltagende autonome systemer, bevæger sig gennem et eventuelt tredje
autonomt system, og det hverken ændrer eller forstyrrer en sådan trafik
14) »domænenavnesystem (DNS)«: et hierarkisk opbygget navnesystem i et net, som behandler fore-
spørgsler vedrørende domænenavne
15) »DNS-tjenesteudbyder«: en enhed, som leverer DNS-tjenester på internettet.
16) »topdomænenavneadministrator«: en enhed, som administrerer og driver registreringen af inter-
netdomænenavne under et særligt topdomæne (TLD)
17) »onlinemarkedsplads«: en digital tjeneste, som giver forbrugere og/eller erhvervsdrivende som de-
fineret i henholdsvis artikel 4, stk. 1, litra a) og b), i Europa-Parlamentets og Rådets direktiv 2013/11/
EU18) mulighed for at indgå aftaler om køb eller tjenester online med erhvervsdrivende enten på online-
markedspladsens websted eller på et websted tilhørende en erhvervsdrivende, som anvender computing-
tjenester, der udbydes af onlinemarkedspladsen
18) »onlinesøgemaskine«: en digital tjeneste, som giver brugerne mulighed for at foretage søgninger på
principielt alle websteder eller websteder på et bestemt sprog på grundlag af en forespørgsel om et hvilket
som helst emne ved hjælp af et søgeord, en sætning eller andet input, og som fremviser links, hvor der
kan findes oplysninger om det ønskede indhold
19) »cloud computing-tjeneste«: en digital tjeneste, som giver adgang til en skalerbar og elastisk pulje
af delbare IT-ressourcer
Artikel 5
Identificering af operatører af væsentlige tjenester
1. Senest den 9. november 2018 identificerer medlemsstaterne for hver sektor og delsektor, som er om-
handlet i bilag II, de operatører af væsentlige tjenester, der er etableret på deres område.
2. De i artikel 4, nr. 4), omhandlede kriterier for identificering af operatører af væsentlige tjenester er
følgende:
a) en enhed leverer en tjeneste, der er væsentlig for opretholdelsen af kritiske samfundsmæssige og/eller
økonomiske aktiviteter
b) leveringen af denne tjeneste afhænger af net- og informationssystemer, og
c) en hændelse ville få væsentlige forstyrrende virkninger for leveringen af den nævnte tjeneste.
31
3. Med henblik på stk. 1 udarbejder hver medlemsstat en liste over de i stk. 2, litra a), omhandlede tje-
nester.
4. Med henblik på stk. 1 hører disse medlemsstater hinanden, hvis en enhed leverer en tjeneste, der er
omhandlet i stk. 2, litra a), i to eller flere medlemsstater. Denne høring skal finde sted, inden der træffes
afgørelse om identificering.
5. Medlemsstaterne tager regelmæssigt og mindst hvert andet år efter den 9. maj 2018 listen over identi-
ficerede operatører af væsentlige tjenester op til revision og ajourfører den, hvis det er relevant.
6. Samarbejdsgruppens rolle skal i overensstemmelse med de i artikel 11 omhandlede opgaver være at
støtte medlemsstaterne i at anvende en ensartet tilgang, når operatører af væsentlige tjenester identifice-
res.
7. Med henblik på den i artikel 23 omhandlede revision og senest den 9. november 2018 og herefter
hvert andet år forelægger medlemsstaterne Kommissionen de oplysninger, som er nødvendige for, at
Kommissionen kan vurdere gennemførelsen af dette direktiv, navnlig ensartetheden i medlemsstaternes
fremgangsmåder ved identificeringen af operatører af væsentlige tjenester. Disse oplysninger skal som
minimum omfatte:
a) nationale foranstaltninger, som gør det muligt at identificere operatører af væsentlige tjenester
b) den i stk. 3 omhandlede liste over tjenester
c) det antal af operatører af væsentlige tjenester, som er identificeret for hver sektor, der er omhandlet i
bilag II, og en angivelse af deres betydning i forhold til den pågældende sektor
d) tærskler, hvis sådanne findes, til fastlæggelse af det relevante forsyningsniveau ved henvisning til an-
tallet af brugere, der er afhængige af denne tjeneste, jf. artikel 6, stk. 1, litra a), eller til vigtigheden af
den pågældende operatør af væsentlige tjenester, jf. artikel 6, stk. 1, litra f).
For at bidrage til at levere sammenlignelige oplysninger kan Kommissionen under størst mulig hensyn-
tagen til udtalelsen fra ENISA vedtage passende tekniske retningslinjer for kriterier for de oplysninger,
som er omhandlet i dette stykke.
Artikel 6
Væsentlig forstyrrende virkning
1. Ved fastlæggelsen af betydningen af en forstyrrende virkning, jf. artikel 5, stk. 2, litra c), tager med-
lemsstaterne som minimum hensyn til følgende tværsektorielle forhold:
a) antal af brugere, der er afhængige af de tjenester, som udbydes af den pågældende enhed
b) afhængighed i andre sektorer som omhandlet i bilag II af den tjeneste, der leveres af den nævnte enhed
c) de konsekvenser, som hændelser kan have med hensyn til omfang og varighed på økonomiske og sam-
fundsmæssige aktiviteter eller den offentlige sikkerhed
d) den nævnte enheds markedsandel
e) den geografiske udbredelse med hensyn til det område, som kunne berøres af en hændelse
f) enhedens betydning med henblik på at opretholde et tilstrækkeligt tjenesteniveau under hensyntagen til
tilgængelige alternative måder til levering af denne tjeneste.
2. Med henblik på at fastslå, hvorvidt en hændelse vil have en væsentlig forstyrrende virkning, tager
medlemsstaterne endvidere, hvis det er relevant, hensyn til sektorspecifikke forhold.
KAPITEL II
NATIONALE RAMMER FOR SIKKERHEDEN I NET- OG INFORMATIONSSYSTEMER
Artikel 7
National strategi for sikkerheden i net- og informationssystemer
32
1. Hver medlemsstat vedtager en national strategi for sikkerheden i net- og informationssystemer, som
fastlægger de strategiske mål og passende politiske og lovgivningsmæssige foranstaltninger med henblik
på at nå og opretholde et højt sikkerhedsniveau i net- og informationssystemer, og som mindst omfatter
de i bilag II omhandlede sektorer og de i bilag III omhandlede tjenester. Den nationale strategi for sikker-
heden i net- og informationssystemer skal navnlig behandle følgende emner:
a) målene og de prioriterede områder i den nationale strategi for sikkerhed i net- og informationssystemer
b) en styringsmæssig ramme for at nå målene og de prioriterede områder i den nationale strategi for sik-
kerhed i net- og informationssystemer, herunder de statslige organers og andre relevante aktørers roller
og ansvar
c) fastlæggelse af foranstaltninger vedrørende beredskab, reaktion og genopretning, herunder samarbejde
mellem den offentlige og den private sektor
d) en angivelse af teoretiske og praktiske uddannelsesprogrammer og oplysningsprogrammer i forbindelse
med den nationale strategi for sikkerhed i net- og informationssystemer
e) en angivelse af forsknings- og udviklingsplaner relateret til den nationale strategi for sikkerhed i net-
og informationssystemer
f) en risikovurderingsplan til brug ved identifikation af risici
g) en liste over de forskellige aktører, der er involveret i gennemførelse af den nationale strategi for sik-
kerhed i net- og informationssystemer.
2. Medlemsstaterne kan anmode ENISA om bistand til at udvikle nationale strategier for sikkerhed i
net- og informationssystemer.
3. Medlemsstaterne meddeler deres nationale strategier for sikkerhed i net- og informationssystemer til
Kommissionen senest tre måneder efter vedtagelsen heraf. Medlemsstaterne kan i forbindelse hermed
udelukke elementer i strategien, der vedrører national sikkerhed.
Artikel 8
Nationale kompetente myndigheder og centralt kontaktpunkt
1. Hver medlemsstat udpeger en eller flere nationale kompetente myndigheder for sikkerheden i net- og
informationssystemer (»kompetent myndighed«), som mindst omfatter de i bilag II omhandlede sektorer
og de i bilag III omhandlede tjenester. Medlemsstaterne kan tildele en eller flere eksisterende myndighe-
der denne rolle.
2. De kompetente myndigheder fører tilsyn med anvendelsen af dette direktiv på nationalt plan.
3. Hver medlemsstat udpeger et nationalt centralt kontaktpunkt for sikkerheden i net- og informations-
systemer (»centralt kontaktpunkt«). Medlemsstaterne kan tildele en eksisterende myndighed denne rolle.
Hvis en medlemsstat kun udpeger én kompetent myndighed, fungerer denne kompetente myndighed lige-
ledes som det centrale kontaktpunkt.
4. Det centrale kontaktpunkt udgør et forbindelsesled til at sikre grænseoverskridende samarbejde mel-
lem medlemsstaternes myndigheder og de relevante myndigheder i andre medlemsstater samt den samar-
bejdsgruppe, der er omhandlet i artikel 11, og det i artikel 12 omhandlede CSIRT-netværk.
5. Medlemsstaterne sikrer, at de kompetente myndigheder og de centrale kontaktpunkter har tilstrække-
lige ressourcer til på en effektiv måde at udføre de opgaver, som de pålægges, og dermed opfylde målene
i dette direktiv. Medlemsstaterne sikrer et effektivt og sikkert samarbejde mellem de udpegede repræsen-
tanter i samarbejdsgruppen.
6. De kompetente myndigheder og det centrale kontaktpunkt konsulterer og samarbejder, hvor det er
passende og i henhold til national ret, med de relevante nationale retshåndhævende myndigheder og de
nationale databeskyttelsesmyndigheder.
33
7. Hver medlemsstat underretter straks Kommissionen om udpegelsen af den kompetente myndighed og
det centrale kontaktpunkt, deres opgaver og enhver senere ændring heraf. Hver medlemsstat offentliggør
sin udpegelse af den kompetente myndighed og det centrale kontaktpunkt. Kommissionen offentliggør li-
sten over udpegede centrale kontaktpunkter.
Artikel 9
Enheder, der håndterer IT-sikkerhedshændelser (»CSIRT᾽er«)
1. Hver medlemsstat udpeger en eller flere CSIRT᾽er, der skal opfylde kravene i bilag I, punkt 1, og
som mindst omfatter de i bilag II omhandlede sektorer og de i bilag III omhandlede tjenester, og som er
ansvarlige for at håndtere hændelser og risici i overensstemmelse med en nøje fastlagt proces. En CSIRT
kan oprettes som en del af en kompetent myndighed.
2. Medlemsstaterne sikrer, at CSIRT᾽erne har tilstrækkelige ressourcer til effektivt at udføre deres opga-
ver som fastlagt i bilag I, punkt 2.
Medlemsstaterne sikrer et effektivt og sikkert samarbejde mellem deres CSIRT᾽er i det CSIRT-netværk,
der er omhandlet i artikel 12.
3. Medlemsstaterne sikrer, at deres CSIRT᾽er har adgang til en passende, sikker og robust kommunikati-
ons- og informationsinfrastruktur på nationalt plan.
4. Medlemsstaterne oplyser Kommissionen om deres CSIRT᾽ers kompetenceområde og de vigtigste ele-
menter i procedurerne for håndtering af hændelser.
5. Medlemsstaterne kan anmode ENISA om bistand til at udvikle nationale CSIRT᾽er.
Artikel 10
Samarbejde på nationalt plan
1. Hvis den samme medlemsstats kompetente myndighed, centrale kontaktpunkt og CSIRT er adskilte
enheder, samarbejder de med hensyn til opfyldelsen af de forpligtelser, der er fastlagt i dette direktiv.
2. Medlemsstaterne sikrer, at enten de kompetente myndigheder eller CSIRT᾽erne modtager underret-
ninger om hændelser, som fremsendes i henhold til dette direktiv. Hvis en medlemsstat beslutter, at
CSIRT᾽er ikke skal modtage underretninger, skal CSIRT᾽erne, i det omfang det er nødvendigt, for at de
kan udføre deres opgaver, have adgang til oplysninger om hændelser, der er underrettet af operatører af
væsentlige tjenester i henhold til artikel 14, stk. 3 og 5, eller af udbydere af digitale tjenester i henhold til
artikel 16, stk. 3 og 6.
3. Medlemsstaterne sikrer, at de kompetente myndigheder eller CSIRT᾽erne oplyser de centrale kontakt-
punkter om underretninger om hændelser fremsendt i henhold til dette direktiv.
Senest den 9. august 2018 og derefter en gang om året forelægger det centrale kontaktpunkt samarbejds-
gruppen en sammenfattende rapport om de underretninger, som det har modtaget, herunder antallet af un-
derretninger og arten af de underrettede hændelser, samt de tiltag, der er iværksat i overensstemmelse
med artikel 14, stk. 3 og 5, og artikel 16, stk. 3 og 5.
KAPITEL III
SAMARBEJDE
Artikel 11
Samarbejdsgruppe
34
1. For at støtte og lette strategisk samarbejde og udvekslingen af oplysninger mellem medlemsstaterne
samt for at skabe tillid samt med henblik på at opnå et højt fælles sikkerhedsniveau i net- og informati-
onssystemer i Unionen oprettes der herved en samarbejdsgruppe.
Samarbejdsgruppen udfører sine opgaver på grundlag af toårige arbejdsprogrammer som omhandlet i
stk. 3, andet afsnit.
2. Samarbejdsgruppen består af repræsentanter fra medlemsstaterne, Kommissionen og ENISA.
Samarbejdsgruppen kan, hvis det er relevant, indbyde repræsentanter fra de relevante interessenter til at
deltage i arbejdet.
Sekretariatsopgaverne varetages af Kommissionen.
3. Samarbejdsgruppen har følgende opgaver:
a) at give strategisk vejledning om aktivitet terne i det CSIRT-netværk, som oprettes i medfør af artikel
12
b) at udveksle bedste praksis for udveksling af oplysninger vedrørende underretning om hændelser, jf. ar-
tikel 14, stk. 3 og 5, og artikel 16, stk. 3 og 6
c) at udveksle bedste praksis mellem medlemsstaterne og i samarbejde med ENISA bistå medlemsstaterne
med kapacitetsopbygning for at sikre sikkerheden i net- og informationssystemer
d) at drøfte medlemsstaternes kapaciteter og beredskab og på frivillig basis evaluere nationale strategier
for sikkerheden i net- og informationssystemer og CSIRT᾽ers effektivitet samt identificere bedste prak-
sis
e) at udveksle oplysninger og bedste praksis for oplysning og uddannelse
f) at udveksle oplysninger og bedste praksis for forskning og udvikling i forbindelse med sikkerheden i
net- og informationssystemer
g) hvis det er relevant, at udveksle erfaringer om forhold vedrørende sikkerheden i net- og informations-
systemer med Unionens relevante institutioner, organer, kontorer og agenturer
h) at drøfte de i artikel 19 omhandlede standarder og specifikationer med repræsentanter fra de relevante
europæiske standardiseringsorganisationer
i) at indsamle oplysninger om bedste praksis i forbindelse med risici og hændelser
j) årligt at gennemgå de sammenfattende rapporter som omhandlet i artikel 10, stk. 3, andet afsnit
k) at drøfte det arbejde, som er udført med hensyn til øvelser vedrørende sikkerheden i net- og informati-
onssystemer, teoretiske uddannelsesprogrammer og praktisk uddannelse, herunder det arbejde, som er
udført af ENISA
l) med ENISA᾽s bistand at udveksle bedste praksis med hensyn til medlemsstaternes identificering af ope-
ratører af væsentlige tjenester, herunder i forbindelse med en grænseoverskridende afhængighed ved-
rørende risici og hændelser
m) at drøfte metoder til rapportering af underretning om hændelser som omhandlet i artikel 14 og 16.
Senest den 9. februar 2018 og derefter hvert andet år udarbejder samarbejdsgruppen et arbejdsprogram
vedrørende tiltag, der skal iværksættes for at gennemføre dens mål og opgaver, og som skal være i over-
ensstemmelse med målene i dette direktiv.
4. Med henblik på den i artikel 23 omhandlede revision og senest den 9. august 2018 og derefter hver
18. måned udarbejder samarbejdsgruppen en rapport om de erfaringer, der er gjort med det strategiske
samarbejde i medfør af denne artikel.
5. Kommissionen vedtager gennemførelsesretsakter, der fastsætter proceduremæssige ordninger, som er
nødvendige for samarbejdsgruppens funktion. Disse gennemførelsesretsakter vedtages efter undersøgel-
sesproceduren i artikel 22, stk. 2.
Med henblik på første afsnit forelægger Kommissionen det første udkast til gennemførelsesretsakt for
det i artikel 22, stk. 1, omhandlede udvalg senest den 9. februar 2017.
35
Artikel 12
CSIRT-netværket
1. Med henblik på at bidrage til skabelsen af tillid mellem medlemsstaterne og at fremme et hurtigt og
effektivt operationelt samarbejde oprettes der herved et netværk af nationale CSIRT᾽er.
2. CSIRT-netværket består af repræsentanter fra medlemsstaternes CSIRT᾽er og CERT-EU. Kommissi-
onen deltager i CSIRT-netværket som observatør. ENISA varetager sekretariatsopgaverne og støtter ak-
tivt samarbejdet mellem CSIRT᾽erne.
3. CSIRT-netværket har følgende opgaver:
a) at udveksle oplysninger om CSIRT᾽ers tjenester, aktiviteter og samarbejdsmuligheder
b) på anmodning af en CSIRT-repræsentant fra en medlemsstat, som potentielt er berørt af en hændelse,
at udveksle og drøfte oplysninger, der ikke er kommercielt følsomme, vedrørende denne hændelse og
dermed forbundne risici; en medlemsstats CSIRT kan dog nægte at bidrage til denne drøftelse, hvis der
er risiko for skade på efterforskningen af hændelsen
c) at udveksle ikkefortrolige oplysninger om de enkelte hændelser og stille til dem rådighed på frivillig
basis
d) på anmodning af en repræsentant for en medlemsstats CSIRT at drøfte og, når det er muligt, identifice-
re en samordnet reaktion på en hændelse, som er identificeret inden for den samme medlemsstats juris-
diktion
e) at yde medlemsstater støtte i at håndtere grænseoverskridende hændelser med udgangspunkt i frivillig
gensidig bistand
f) at drøfte, undersøge og identificere yderligere former for operationelt samarbejde, herunder i forhold
til:
i) kategorier af risici og hændelser
ii) tidlige varslinger
iii) gensidig bistand
iv) principper og retningslinjer for koordination, når medlemsstaterne reagerer på grænseoverskridende
risici og hændelser
g) at oplyse samarbejdsgruppen om sine aktiviteter og om yderligere former for operationelt samarbejde
som drøftet i henhold til litra f) og anmode om vejledning i forbindelse hermed
h) at drøfte erfaringer fra øvelser vedrørende sikkerheden i net- og informationssystemer, herunder fra
øvelser, der afholdes af ENISA
i) på anmodning af en given CSIRT at drøfte denne CSIRT᾽s kapaciteter og beredskab
j) at udstede retningslinjer for at lette konvergensen mellem operationel praksis med hensyn til anvendel-
sen af bestemmelserne i denne artikel vedrørende operationelt samarbejde.
4. Med henblik på den i artikel 23 omhandlede revision og senest den 9. august 2018 og derefter hver
18. måned udarbejder CSIRT-netværket en rapport om de erfaringer, der er gjort med det operationelle
samarbejde, herunder konklusioner og anbefalinger, i medfør af denne artikel. Rapporten forelægges lige-
ledes for samarbejdsgruppen.
5. CSIRT-netværket fastlægger sin egen forretningsorden.
Artikel 13
Internationalt samarbejde
Unionen kan i overensstemmelse med artikel 218 i TEUF indgå internationale aftaler med tredjelande
eller internationale organisationer, som giver disse mulighed for og tilrettelægger deres deltagelse i nogle
af samarbejdsgruppens aktiviteter. En sådan aftale skal tage hensyn til behovet for at sikre tilstrækkelig
beskyttelse af oplysninger.
36
KAPITEL IV
SIKKERHED I NET- OG INFORMATIONSSYSTEMER FOR OPERATØRER AF VÆSENT-
LIGE TJENESTER
Artikel 14
Sikkerhedskrav og underretning om hændelser
1. Medlemsstaterne sikrer, at operatører af væsentlige tjenester træffer passende og forholdsmæssige
tekniske og organisatoriske foranstaltninger for at styre risiciene for sikkerheden i net- og informationssy-
stemer, som de anvender til deres aktiviteter. Under hensyntagen til teknologiens aktuelle stade skal disse
foranstaltninger sikre et sikkerhedsniveau for net- og informationssystemer, der står i forhold til risikoen.
2. Medlemsstaterne sikrer, at operatører af væsentlige tjenester træffer passende foranstaltninger for at
forebygge og minimere konsekvensen af hændelser, der berører sikkerheden i net- og informationssyste-
mer, som anvendes til levering af sådanne væsentlige tjenester, med henblik på at sikre kontinuiteten i
disse tjenester.
3. Medlemsstaterne sikrer, at operatører af væsentlige tjenester hurtigst muligt foretager en underretning
til den kompetente myndighed eller CSIRT af hændelser, der har væsentlige konsekvenser for kontinuite-
ten af de væsentlige tjenester, som de leverer. Underretningerne skal indeholde oplysninger, der gør det
muligt for den kompetente myndighed eller CSIRT at fastslå eventuelle grænseoverskridende konsekven-
ser af hændelsen. Underretning gør ikke den underrettende part til genstand for et øget ansvar.
4. Med henblik på at fastlægge omfanget af en hændelses konsekvenser tages navnlig følgende kriterier
i betragtning:
a) antallet af brugere, der berøres af afbrydelsen af den væsentlige tjeneste
b) hændelsens varighed
c) den geografiske udbredelse med hensyn til det område, der er berørt af hændelsen.
5. På grundlag af oplysningerne i den underretning, der er givet af operatøren af væsentlige tjenester,
oplyser den kompetente myndighed eller CSIRT den eller de øvrige berørte medlemsstater herom, hvis
hændelsen har væsentlige konsekvenser for kontinuiteten i de væsentlige tjenester i denne medlemsstat. I
den forbindelse sikrer den kompetente myndighed eller CSIRT i overensstemmelse med EU-retten eller
national lovgivning, der er i overensstemmelse med EU-retten, sikkerheden og de kommercielle interesser
for operatøren af væsentlige tjenester samt fortrolig behandling af de oplysninger, der er givet i dennes
underretning.
Hvis omstændighederne tillader det, leverer den kompetente myndighed eller CSIRT relevante oplys-
ninger til den underrettende operatør af væsentlige tjenester vedrørende opfølgningen af dennes underret-
ning, som f.eks. oplysninger, der kan støtte en effektiv håndtering af hændelsen.
På den kompetente myndigheds eller CSIRT᾽s anmodning videresender de centrale kontaktpunkter de
underretninger, der er omhandlet i første afsnit, til centrale kontaktpunkter i andre berørte medlemsstater.
6. Efter høring af den underrettende operatør af væsentlige tjenester kan den kompetente myndighed el-
ler CSIRT᾽en oplyse offentligheden om konkrete hændelser, hvis offentlighedens kendskab hertil er nød-
vendigt for at forebygge en hændelse eller håndtere en igangværende hændelse.
7. Kompetente myndigheder, der handler sammen inden for samarbejdsgruppen, kan udarbejde og ved-
tage retningslinjer om de omstændigheder, hvorunder operatører af væsentlige tjenester har pligt til at un-
derrette om hændelser, herunder om kriterier for fastlæggelse af omfanget af en hændelses konsekvenser
som omhandlet i stk. 4.
Artikel 15
37
Gennemførelse og håndhævelse
1. Medlemsstaterne sikrer, at de kompetente myndigheder har de nødvendige beføjelser og midler til at
vurdere, hvorvidt operatører af væsentlige tjenester opfylder deres forpligtelser i medfør af artikel 14 og
virkningerne heraf på net- og informationssystemers sikkerhed.
2. Medlemsstaterne sikrer, at de kompetente myndigheder har beføjelser og midler til at pålægge opera-
tører af væsentlige tjenester at levere:
a) de oplysninger, der nødvendige for at vurdere sikkerheden i deres net- og informationssystemer, herun-
der dokumenterede sikkerhedspolitikker
b) dokumentation for den faktiske gennemførelse af sikkerhedspolitikker, som f.eks. resultaterne af en
sikkerhedsaudit udført af den kompetente myndighed eller en kvalificeret auditør og i sidstnævnte til-
fælde stille resultaterne heraf, herunder den tilgrundliggende dokumentation, til rådighed for den kom-
petente myndighed.
Når der anmodes om sådanne oplysninger eller sådan dokumentation, angiver de kompetente myndighe-
der formålet med anmodningen og anfører, hvilke oplysninger der kræves.
3. Efter vurderingen af oplysninger eller resultaterne af sikkerhedsaudit, jf. stk. 2, kan den kompetente
myndighed udstede påbud til operatører af væsentlige tjenester for at afhjælpe de påviste mangler.
4. Den kompetente myndighed indgår i et tæt samarbejde med databeskyttelsesmyndigheder, når de
håndterer hændelser, som medfører brud på persondatasikkerheden.
KAPITEL V
SIKKERHED I NET- OG INFORMATIONSSYSTEMER FOR UDBYDERE AF DIGITALE TJE-
NESTER
Artikel 16
Sikkerhedskrav og underretning om hændelser
1. Medlemsstaterne sikrer, at udbydere af digitale tjenester identificerer og træffer passende og for-
holdsmæssige tekniske og organisatoriske foranstaltninger for at styre risiciene i forhold til sikkerheden i
net- og informationssystemer, som de anvender i forbindelse med tjenester, der er omhandlet i bilag III, i
Unionen. Under hensyntagen til teknologiens aktuelle stade skal disse foranstaltninger sikre et sikker-
hedsniveau for net- og informationssystemer, der står i forhold til risikoen, under hensyntagen til følgende
elementer:
a) systemers og faciliteters sikkerhed
b) håndtering af hændelser
c) styring af driftskontinuitet
d) monitorering, audit og testning
e) overholdelse af internationale standarder.
2. Medlemsstaterne sikrer, at udbydere af digitale tjenester træffer foranstaltninger for at forebygge og
minimere konsekvensen af hændelser, der berører sikkerheden i deres net- og informationssystemer, for
så vidt angår de tjenester, der er omhandlet i bilag III, og som udbydes i Unionen, for at sikre kontinuite-
ten i disse tjenester.
3. Medlemsstaterne sikrer, at udbydere af digitale tjenester hurtigst muligt foretager en underretning til
den kompetente myndighed eller CSIRT af enhver hændelse, der har betydelige konsekvenser for leverin-
gen af en tjeneste som omhandlet i bilag III, som de udbyder i Unionen. Underretninger skal indeholde
oplysninger, der gør det muligt for den kompetente myndighed eller CSIRT at fastslå betydningen af
eventuelle grænseoverskridende konsekvenser. Underretningen gør ikke den underrettende part genstand
for et øget ansvar.
38
4. Med henblik på at fastlægge, om en hændelses konsekvenser er betydelige, tages navnlig følgende
kriterier i betragtning:
a) antallet af brugere, der berøres af hændelsen, navnlig brugere, som er afhængige af tjenesten med hen-
blik på levering af deres egne tjenester
b) hændelsens varighed
c) den geografiske udbredelse med hensyn til det område, der er berørt af hændelsen
d) omfanget af afbrydelsen af tjenestens funktion
e) omfanget af konsekvenserne for økonomiske og samfundsmæssige aktiviteter.
Forpligtelsen til at underrette om en hændelse finder kun anvendelse, hvis udbyderen af digitale tjene-
ster har adgang til de oplysninger, der er nødvendige for at vurdere en hændelses konsekvenser i henhold
til de i første afsnit omhandlede kriterier.
5. Når en operatør af væsentlige tjenester er afhængig af en tredjepartsudbyder af digitale tjenester ved-
rørende leveringen af en tjeneste, der er væsentlig for opretholdelsen af kritiske samfundsmæssige og
økonomiske aktiviteter, underretter operatøren af væsentlige tjenester om alle væsentlige konsekvenser
for de væsentlige tjenesters kontinuitet som følge af en hændelse, der berører den pågældende udbyder.
6. Hvis det er relevant, og navnlig hvis den hændelse, der er omhandlet i stk. 3, berører to eller flere
medlemsstater, informerer den kompetente myndighed eller CSIRT de øvrige berørte medlemsstater. De
kompetente myndigheder, CSIRT᾽erne og de centrale kontaktpunkter sikrer i den forbindelse i overens-
stemmelse med EU-retten eller national lovgivning, der er i overensstemmelse med EU-retten, den digita-
le tjenesteudbyders sikkerhed og kommercielle interesser samt fortrolig behandling af de givne oplysnin-
ger.
7. Efter høring af udbyderen af de digitale tjenester kan den kompetente myndighed eller CSIRT og,
hvis det er relevant, myndighederne eller CSIRT᾽erne i andre berørte medlemsstater oplyse offentlighe-
den om konkrete hændelser eller kræve, at udbyderen af digitale tjenester gør det, hvis offentlighedens
kendskab hertil er nødvendigt for at forebygge en hændelse eller håndtere en igangværende hændelse, el-
ler hvis offentliggørelse af hændelsen i øvrigt er i offentlighedens interesse.
8. Kommissionen vedtager gennemførelsesretsakter for at fastsætte en yderligere specifikation af de ele-
menter, der er omhandlet i nærværende artikels stk. 1, og de kriterier, der er opført i stk. 4. Disse gennem-
førelsesretsakter vedtages efter undersøgelsesproceduren i artikel 22, stk. 2, senest den 9. august 2017.
9. Kommissionen kan vedtage gennemførelsesretsakter, der fastsætter formater og procedurer for under-
retningspligten. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 22, stk. 2.
10. Medlemsstaterne må ikke indføre yderligere sikkerhedskrav eller underretningspligt for udbydere af
digitale tjenester, jf. dog artikel 1, stk. 6.
11. Kapitel V finder ikke anvendelse på mikrovirksomheder og små virksomheder som defineret i Kom-
missionens henstilling 2003/361/EF19).
Artikel 17
Gennemførelse og håndhævelse
1. Medlemsstaterne sikrer, at de kompetente myndigheder om nødvendigt griber ind ved hjælp af efter-
følgende tilsynsforanstaltninger, når det kan dokumenteres, at en udbyder af digitale tjenester ikke opfyl-
der kravene i artikel 16. Denne dokumentation kan indgives af en kompetent myndighed i en anden med-
lemsstat, hvor tjenesten leveres.
2. Med henblik på stk. 1 tillægges de kompetente myndigheder de fornødne beføjelser og midler til at
pålægge udbydere af digitale tjenester at:
a) forelægge de oplysninger, der er nødvendige for at vurdere sikkerheden af deres net- og informations-
systemer, herunder dokumenterede sikkerhedspolitikker
39
b) afhjælpe mangler i opfyldelsen af de krav, der er fastsat i artikel 16.
3. Hvis en udbyder af digitale tjenester har sit hjemsted eller en repræsentant i en medlemsstat, men dets
net- og informationssystemer er beliggende i en eller flere andre medlemsstater, samarbejder den kompe-
tente myndighed i den medlemsstat, hvor hjemstedet eller repræsentanten befinder sig, og de kompetente
myndigheder i de pågældende andre medlemsstater og bistår hinanden efter behov. En sådan bistand og et
sådant samarbejde kan omfatte udveksling af oplysninger mellem de berørte kompetente myndigheder og
anmodninger om at gennemføre de tilsynsforanstaltninger, der er omhandlet i stk. 2.
Artikel 18
Jurisdiktion og territorialitet
1. Med henblik på dette direktiv anses en udbyder af digitale tjenester for at høre under den medlems-
stats jurisdiktion, hvor den har sit hjemsted. En udbyder af digitale tjenester anses for at have sit hjemsted
i en medlemsstat, hvis dens hovedkontor er placeret i den pågældende medlemsstat.
2. En udbyder af digitale tjenester, som ikke er etableret i Unionen, men som tilbyder tjenester som om-
handlet i bilag III i Unionen, udpeger en repræsentant i Unionen. Repræsentanten skal være etableret i en
af de medlemsstater, hvor tjenesterne tilbydes. En udbyder af digitale tjenester anses for at høre under den
medlemsstats jurisdiktion, hvor repræsentanten er etableret.
3. Udpegelsen af en repræsentant af udbyderen af digitale tjenester berører ikke eventuelle retlige skridt
mod selve udbyderen af digitale tjenester.
KAPITEL VI
STANDARDISERING OG FRIVILLIG UNDERRETNING
Artikel 19
Standardisering
1. For at sikre en konvergerende gennemførelse af artikel 14, stk. 1 og 2, og artikel 16, stk. 1 og 2, til-
skynder medlemsstaterne til at benytte europæiske eller internationalt anerkendte standarder og specifika-
tioner, der er relevante for sikkerheden i net- og informationssystemer, uden at de påtvinger eller forskels-
behandler til fordel for anvendelse af en bestemt type teknologi.
2. ENISA udarbejder i samarbejde med medlemsstaterne vejledning og retningslinjer om de tekniske
områder, der skal overvejes i forbindelse med stk. 1, samt om allerede eksisterende standarder, herunder
medlemsstaternes nationale standarder, hvilket vil give mulighed for at dække disse områder.
Artikel 20
Frivillig underretning
1. Med forbehold af artikel 3 kan enheder, som ikke er blevet identificeret som operatører af væsentlige
tjenester og ikke er udbydere af digitale tjenester, på frivillig basis underrette om hændelser, der har væ-
sentlige konsekvenser for kontinuiteten af de tjenester, som de leverer.
2. Når medlemsstaterne behandler underretninger, handler de efter proceduren i artikel 14. Medlemssta-
terne kan prioritere behandling af obligatoriske underretninger før frivillige underretninger. Frivillige un-
derretninger behandles udelukkende, når en sådan behandling ikke udgør en uforholdsmæssig stor eller
unødvendig byrde for de berørte medlemsstater.
Frivillig underretning må ikke medføre, at den underrettende enhed pålægges nogen forpligtelser, som
den ikke ville være omfattet af, hvis den ikke havde indgivet denne underretning.
KAPITEL VII
40
AFSLUTTENDE BESTEMMELSER
Artikel 21
Sanktioner
Medlemsstaterne fastsætter regler om sanktioner, der skal anvendes i tilfælde af overtrædelser af de na-
tionale regler, der er vedtaget i medfør af dette direktiv, og træffer alle nødvendige foranstaltninger til at
sikre, at de gennemføres. Sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og
have afskrækkende virkning. Medlemsstaterne giver senest den 9. maj 2018 Kommissionen meddelelse
om disse regler og foranstaltninger, og underretter den straks om alle senere ændringer, der berører dem.
Artikel 22
Udvalgsprocedure
1. Kommissionen bistås af udvalget for sikkerhed i net- og informationssystemer. Dette udvalg er et ud-
valg som omhandlet i forordning (EU) nr. 182/2011.
2. Når der henvises til dette stykke, finder artikel 5 i forordning (EU) nr. 182/2011 anvendelse.
Artikel 23
Revision
1. Senest den 9. maj 2019 forelægger Kommissionen Europa-Parlamentet og Rådet en rapport med en
vurdering af ensartetheden i medlemsstaternes tilgange i forbindelse med identificeringen af operatører af
væsentlige tjenester.
2. Kommissionen tager regelmæssigt dette direktivs funktion op til revision og forelægger en rapport for
Europa-Parlamentet og Rådet. Til dette formål og med henblik på yderligere at fremme det strategiske og
operationelle samarbejde tager Kommissionen højde for rapporterne fra samarbejdsgruppen og CSIRT-
netværket om de erfaringer, der er gjort på strategisk og operationelt plan. I sin revision vurderer Kom-
missionen også listerne i bilag II og III samt ensartetheden i forbindelse med identificeringen af operatø-
rer af væsentlige tjenester og tjenester i de sektorer, der er omhandlet i bilag II. Den første rapport fore-
lægges senest den 9. maj 2021.
Artikel 24
Overgangsforanstaltninger
1. Uden at det berører artikel 25 og med henblik på at give medlemsstaterne flere muligheder for pas-
sende samarbejde under gennemførelsesperioden påbegynder samarbejdsgruppen og CSIRT-netværket
deres opgaver, jf. henholdsvis artikel 11, stk. 3, og artikel 12, stk. 3, senest den 9. februar 2017.
2. I perioden fra den 9. februar 2017 til den 9. november 2018 og med henblik på at støtte medlemssta-
terne i at anvende en ensartet tilgang, når operatører af væsentlige tjenester identificeres, drøfter samar-
bejdsgruppen processen, indholdet og typen af nationale foranstaltninger, som gør det muligt at identifice-
re operatører af væsentlige tjenester inden for en bestemt sektor i overensstemmelse med kriterierne i arti-
kel 5 og 6. Efter anmodning fra en medlemsstat drøfter samarbejdsgruppen også denne medlemsstats kon-
krete udkast til nationale foranstaltninger, som gør det muligt at identificere operatører af væsentlige tje-
nester inden for en bestemt sektor i overensstemmelse med kriterierne i artikel 5 og 6.
3. Senest den 9. februar 2017 og med henblik på denne artikel sikrer medlemsstaterne en passende re-
præsentation i samarbejdsgruppen og CSIRT-netværket.
Artikel 25
41
Gennemførelse
1. Medlemsstaterne vedtager og offentliggør senest den 9. maj 2018 de love og administrative bestem-
melser, der er nødvendige for at efterkomme dette direktiv. De meddeler straks Kommissionen herom.
De anvender disse love og bestemmelser fra den 10. maj 2018.
Disse love og bestemmelser skal ved vedtagelsen indeholde en henvisning til dette direktiv eller skal
ved offentliggørelsen ledsages af en sådan henvisning. Medlemsstaterne fastsætter de nærmere regler for
henvisningen.
2. Medlemsstaterne meddeler Kommissionen teksten til de vigtigste nationale retsforskrifter, som de ud-
steder på det område, der er omfattet af dette direktiv.
Artikel 26
Ikrafttræden
Dette direktiv træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.
Artikel 27
Adressater
Dette direktiv er rettet til medlemsstaterne.
Udfærdiget i Strasbourg, den 6. juli 2016.
På Europa-Parlamentets vegne
M. SCHULZ
Formand
På Rådets vegne
I. KORČOK
Formand
42
1) EUT C 271 af 19.9.2013, s. 133.
2) Europa-Parlamentets holdning af 13.3.2014 (endnu ikke offentliggjort i EUT) og Rådets førstebehandlingsholdning af 17.5.2016 (endnu ikke offentlig-
gjort i EUT). Europa-Parlamentets holdning af 6.7.2016 (endnu ikke offentliggjort i EUT).
14) Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning og udpegning af europæisk kritisk infrastruktur og vurdering af behovet for at beskyt-
te den bedre (EUT L 345 af 23.12.2008, s. 75).
15) Europa-Parlamentets og Rådets direktiv 2011/93/EU af 13. december 2011 om bekæmpelse af seksuelt misbrug og seksuel udnyttelse af børn og børne-
pornografi og om erstatning af Rådets rammeafgørelse 2004/68/RIA (EUT L 335 af 17.12.2011, s. 1).
16) Europa-Parlamentets og Rådets direktiv 2013/40/EU af 12. august 2013 om angreb på informationssystemer og om erstatning af Rådets rammeafgørelse
2005/222/RIA (EUT L 218 af 14.8.2013, s. 8).
17) Europa-Parlamentets og Rådets direktiv (EU) 2015/1535 af 9. september 2015 om en informationsprocedure med hensyn til tekniske forskrifter samt for-
skrifter for informationssamfundets tjenester (EUT L 241 af 17.9.2015, s. 1).
18) Europa-Parlamentets og Rådets direktiv 2013/11/EU af 21. maj 2013 om alternativ tvistbilæggelse i forbindelse med tvister på forbrugerområdet og om
ændring af forordning (EF) nr. 2006/2004 og direktiv 2009/22/EF (direktiv om ATB på forbrugerområdet) (EUT L 165 af 18.6.2013, s. 63).
19) Kommissionens henstilling 2003/361/EF af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder (EUT L 124 af
20.5.2003, s. 36).
43
Bilag I
KRAV TIL DE ENHEDER, DER HÅNDTERER IT-SIKKERHEDSHÆNDELSER (CSIRT᾽er),
OG DERES OPGAVER
Kravene til CSIRT᾽er og deres opgaver skal være tilstrækkeligt og klart defineret og understøttet af na-
tional politik og/eller regulering. De skal omfatte følgende:
1) Krav til CSIRT᾽er:
a) CSIRT᾽er skal sikre et højt tilgængelighedsniveau for deres kommunikationstjenester ved at undgå sva-
ge punkter (»single points of failure«) og for til enhver tid at have flere muligheder for at blive kontak-
tet og til at kontakte andre. Desuden skal kommunikationskanalerne være tydeligt angivet og kendt af
samarbejdspartnere.
b) CSIRT᾽ers lokaler og de underliggende informationssystemer skal være placeret i sikrede områder.
c) Driftskontinuitet:
i) CSIRT᾽er skal være udstyret med et passende system til at administrere og videresende anmodnin-
ger, så overdragelser lettes
ii) CSIRT᾽er skal have tilstrækkeligt personale til at sikre tilgængelighed døgnet rundt
iii) CSIRT᾽er skal råde over en infrastruktur, hvis driftskontinuitet er sikret. Med henblik herpå skal
redundante systemer og backuparbejdsområder være til rådighed
d) CSIRT᾽er skal, hvis de ønsker det, have mulighed for at deltage i internationale samarbejdsnetværk.
2) CSIRT᾽ers opgaver:
a) CSIRT᾽ers opgaver skal som minimum omfatte følgende:
i) monitorering af hændelser på nationalt plan
ii) tidlig varsling, advarsler, meddelelser og formidling af information til relevante interessenter om ri-
sici og hændelser
iii) at reagere på hændelser
iv) udarbejdelse af dynamiske risiko- og hændelsesanalyser og situationsrapporter
v) deltagelse i CSIRT-netværket
b) CSIRT᾽er skal etablere et samarbejde med den private sektor.
c) For at lette samarbejdet fremmer CSIRT᾽er vedtagelse og anvendelse af fælles eller standardiseret
praksis for:
i) procedurer for håndtering af hændelser og risici
ii) systemer til klassificering af hændelser, risici og oplysninger.
44
Bilag II
TYPER AF ENHEDER MED HENBLIK PÅ ARTIKEL 4, NR. 4)
Sektor Delsektor Type af enhed
1. Energi a) Elektricitet - Elektricitetsvirksomhed som
defineret i artikel 2, nr. 35), i
Europa-Parlamentets og Rådets
direktiv 2009/72/EF1), der vare-
tager »forsyningen« som defi-
neret i artikel 2, nr. 19), i nævn-
te direktiv
- Distributionssystemoperatører
som defineret i artikel 2, nr. 6),
i direktiv 2009/72/EF
- Transmissionssystemoperatører
som defineret i artikel 2, nr. 4),
i direktiv 2009/72/EF
- Olierørledningsoperatør
b) Olie Operatører af olieproduktion,
raffinaderier og behandlingsan-
læg, olielagre og olietransmis-
sion
c) Gas - Operatører af olieproduktion,
raffinaderier og behandlingsan-
læg, olielagre og olietransmis-
sion
- Forsyningsvirksomheder som
defineret i artikel 2, nr. 8), i Eu-
ropa-Parlamentets og Rådets
direktiv 2009/73/EF2)
- Distributionssystemoperatører
som defineret i artikel 2, nr. 6),
i direktiv 2009/73/EF
- Transmissionssystemoperatører
som defineret i artikel 2, nr. 4),
i direktiv 2009/73/EF
- Lagersystemoperatører som de-
fineret i artikel 2, nr. 10), i di-
rektiv 2009/73/EF
45
- LNG-systemoperatører som de-
fineret i artikel 2, nr. 12), i di-
rektiv 2009/73/EF
- Naturgasvirksomheder som de-
fineret i artikel 2, nr. 1), i direk-
tiv 2009/73/EF
- Naturgasoperatør, raffinaderier
og behandlingsanlæg
2. Transport a) Lufttransport - Luftfartsselskaber som define-
ret i artikel 3, nr. 4), i Europa-
Parlamentets og Rådets forord-
ning (EF) nr. 300/20083)
- Lufthavnsdriftsorganer som de-
fineret i artikel 2, nr. 2), i Euro-
pa-Parlamentets og Rådets di-
rektiv 2009/12/EF4), lufthavne
som defineret i artikel 2, nr. 1),
i nævnte direktiv, herunder de
hovedlufthavne, der er anført i
afsnit 2 i bilag II til Europa-
Parlamentets og Rådets forord-
ning (EU) nr. 1315/20135) ; og
enheder med tilknyttede anlæg
i lufthavne
- Trafikledelses- og kontrolope-
ratører, der udøver flyvekon-
troltjeneste som defineret i arti-
kel 2, nr. 1), i Europa-Parla-
mentets og Rådets forordning
(EF) nr. 549/20046)
b) Jernbanetransport - Infrastrukturforvalter som defi-
neret i artikel 3, nr. 2), i Euro-
pa-Parlamentets og Rådets di-
rektiv 2012/34/EU7)
- som defineret i artikel 3, nr. 1),
i direktiv 2012/34/EU, herun-
der operatører af servicefacili-
teter som defineret i artikel 3,
nr. 12), i direktiv 2012/34/EU
c) Søfart - Rederier, som udfører passa-
ger- og godstransport ad indre
46
vandveje, i højsøfarvand eller
kystnært farvand som defineret
for søtransport i bilag I til Eu-
ropa-Parlamentets og Rådets
forordning (EF) nr. 725/20048),
bortset fra de enkelte fartøjer,
som drives af disse rederier
- Skibstrafiktjenesteoperatører
som defineret i artikel 3, litra
o), i Europa-Parlamentets og
Rådets direktiv 2002/59/EF9)
- Havnedriftsorganer som define-
ret i artikel 3, nr. 1), i Europa-
Parlamentets og Rådets direktiv
2005/65/EF10), herunder deres
havnefaciliteter som defineret i
artikel 2, nr. 11), i forordning
(EF) nr. 725/2004; og enheder,
der opererer anlæg og udstyr i
havne
d) Vejtransport - Vejmyndigheder som defineret
i artikel 2, nr. 12), i Kommis-
sionens delegerede forordning
(EU) 2015/96211), og som er
ansvarlige for trafikledelse
- Operatører af intelligente trans-
portsystemer som defineret i ar-
tikel 4, nr. 1), i Europa-Parla-
mentets og Rådets direktiv
2010/40/EU12)
3. Bankvæsen - Kreditinstitutter som defineret i
artikel 4, nr. 1), i Europa-Parla-
mentets og Rådets forordning
(EU) nr. 575/201313)
4. Finansielle markedsinfra-
strukturer
- Markedspladsoperatører som
defineret i artikel 4, nr. 24), i
Europa-Parlamentets og Rådets
direktiv 2014/65/EU14)
47
- Central modpart (CCP) som de-
fineret i artikel 2, nr. 1), i Euro-
pa-Parlamentets og Rådets for-
ordning (EU) nr. 648/201215)
5. Sundhedssektoren Sundhedstjenestemiljøer
(herunder hospitaler og
private klinikker)
- Sundhedstjenesteydere som de-
fineret i artikel 3, litra g), i Eu-
ropa-Parlamentets og Rådets
direktiv 2011/24/EU16)
6. Drikkevandsforsyning og
distribution
Leverandør og distributør af »drikkevand« som defineret i artikel 2,
nr. 1), litra a), i Rådets direktiv 98/83/EF17) bortset fra distributører,
for hvem distribution af drikkevand kun er en del af deres generelle
aktivitet med distribution af andre råvarer og varer, der ikke anses
som væsentlige tjenester.
7. Digital infrastruktur - IXP᾽er
- DNS-tjenesteudbyder
- TLD-navneadministratorer
1) Europa-Parlamentets og Rådets direktiv 2009/72/EF af 13. juli 2009 om fælles regler for det indre marked for elektricitet og om ophævelse af direktiv
2003/54/EF (EUT L 211 af 14.8.2009, s. 55).
2) Europa-Parlamentets og Rådets direktiv 2009/73/EF af 13. juli 2009 om fælles regler for det indre marked for naturgas og om ophævelse af direktiv
2003/55/EF (EUT L 211 af 14.8.2009, s. 94).
3) Europa-Parlamentets og Rådets forordning (EF) nr. 300/2008 af 11. marts 2008 om fælles bestemmelser om sikkerhed inden for civil luftfart og om ophæ-
velse af forordning (EF) nr. 2320/2002 (EUT L 97 af 9.4.2008, s. 72).
4) Europa-Parlamentets og Rådets forordning (EF) nr. 300/2008 af 11. marts 2008 om fælles bestemmelser om sikkerhed inden for civil luftfart og om ophæ-
velse af forordning (EF) nr. 2320/2002 (EUT L 97 af 9.4.2008, s. 72).
5) Europa-Parlamentets og Rådets forordning (EU) nr. 1315/2013 af 11. december 2013 om Unionens retningslinjer for udvikling af det transeuropæiske
transportnet og om ophævelse af afgørelse nr. 661/2010/EU (EUT L 348 af 20.12.2013, s. 1).
6) Europa-Parlamentets og Rådets forordning (EF) nr. 549/2004 af 10. marts 2004 om rammerne for oprettelse af et fælles europæisk luftrum (»rammefor-
ordningen«) (EUT L 96 af 31.3.2004, s. 1).
7) Europa-Parlamentets og Rådets direktiv 2012/34/EU af 21. november 2012 om oprettelse af et fælles europæisk jernbaneområde (EUT L 343 af
14.12.2012, s. 32).
8) Europa-Parlamentets og Rådets forordning (EF) nr. 725/2004 af 31. marts 2004 om bedre sikring af skibe og havnefaciliteter (EUT L 129 af 29.4.2004, s.
6).
9) Europa-Parlamentets og Rådets direktiv 2002/59/EF af 27. juni 2002 om oprettelse af et trafikovervågnings- og trafikinformationssystem for skibsfarten i
Fællesskabet og om ophævelse af Rådets direktiv 93/75/EØF (EFT L 208 af 5.8.2002, s. 10).
10) Europa-Parlamentets og Rådets direktiv 2005/65/EF af 26. oktober 2005 om bedre havnesikring (EUT L 310 af 25.11.2005, s. 28).
11) Kommissionens delegerede forordning (EU) 2015/962 af 18. december 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv
2010/40/EU for så vidt angår tilrådighedsstillelse af EU-dækkende tidstro trafikinformationstjenester (EUT L 157 af 23.6.2015, s. 21).
12) Europa-Parlamentets og Rådets direktiv 2010/40/EU af 7. juli 2010 om rammerne for indførelse af intelligente transportsystemer på vejtransportområdet
og for grænsefladerne til andre transportformer (EUT L 207 af 6.8.2010, s. 1).
13) Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 af 26. juni 2013 om tilsynsmæssige krav til kreditinstitutter og investeringsselskaber og om
ændring af forordning (EU) nr. 648/2012 (EUT L 176 af 27.6.2013, s. 1).
14) Europa-Parlamentets og Rådets direktiv 2014/65/EU af 15. maj 2014 om markeder for finansielle instrumenter og om ændring af direktiv 2002/92/EF og
direktiv 2011/61/EU (EUT L 173 af 12.6.2014, s. 349).
48
15) Europa-Parlamentets og Rådets forordning (EU) nr. 648/2012 af 4. juli 2012 om OTC-derivater, centrale modparter og transaktionsregistre (EUT L 201 af
27.7.2012, s. 1).
16) Europa-Parlamentets og Rådets direktiv 2011/24/EU af 9. marts 2011 om patientrettigheder i forbindelse med grænseoverskridende sundhedsydelser
(EUT L 88 af 4.4.2011, s. 45).
17) Rådets direktiv 98/83/EF af 3. november 1998 om kvaliteten af drikkevand (EFT L 330 af 5.12.1998, s. 32).
49
Bilag III
TYPER AF DIGITALE TJENESTER MED HENBLIK PÅ ARTIKEL 4, NR. 5)
1. Onlinemarkedsplads
2. Onlinesøgemaskine
3. Cloud computing-tjeneste.
50