Efter afstemningen i Folketinget ved 2. behandling den 26. april 2018

Efter afstemningen i Folketinget ved 2. behandling den 26. april 2018
Forslag
til
Lov om krav til sikkerhed for net- og informationssystemer inden for
sundhedssektoren1)
Kapitel 1
Lovens anvendelsesområde og definitioner
§ 1. Loven gælder for operatører af væsentlige tjenester
inden for sundhedssektoren.
§ 2. I denne lov forstås ved:
1) Operatør af en væsentlig tjeneste: En offentlig eller pri-
vat enhed, som er etableret i Danmark, og som opfylder
kriterierne i § 3, stk. 1.
2) Net- og informationssystem:
a) Et elektronisk kommunikationsnet i form af en ra-
diofrekvens- eller kabelbaseret teleinfrastruktur,
der anvendes til formidling af tjenester,
b) enhver anordning eller gruppe af indbyrdes for-
bundne eller beslægtede anordninger, hvoraf en el-
ler flere ved hjælp af et program udfører automa-
tisk behandling af digitale data, eller
c) digitale data, som lagres, behandles, fremfindes el-
ler overføres ved brug af elementer i litra a og b
med henblik på deres drift, brug, beskyttelse og
vedligeholdelse.
3) Sikkerhed i net- og informationssystemer: Evnen for
net- og informationssystemer til på et givet sikkerheds-
niveau at modstå handlinger, der er til skade for tilgæn-
geligheden, autenticiteten, integriteten eller fortrolighe-
den i forbindelse med lagrede eller overførte eller be-
handlede data eller de dermed forbundne tjenester, der
tilbydes af eller er tilgængelige via disse net- og infor-
mationssystemer.
4) Hændelse: Enhver begivenhed, der har en egentlig ne-
gativ indvirkning på sikkerheden i net- og informa-
tionssystemer.
Kapitel 2
Operatører af væsentlige tjenester
§ 3. En enhed betragtes som en operatør af en væsentlig
tjeneste, hvis
1) enheden leverer en tjeneste, der er væsentlig for opret-
holdelsen af kritiske samfundsmæssige eller økonomi-
ske aktiviteter inden for sundhedssektoren,
2) leveringen af denne tjeneste afhænger af net- og infor-
mationssystemer og
3) en hændelse vil få væsentlige forstyrrende virkninger
for leveringen af den nævnte tjeneste.
Stk. 2. Operatører af væsentlige tjenester skal registrere
sig hos sundhedsministeren.
Stk. 3. Sundhedsministeren fastsætter nærmere regler om
kriterierne i stk. 1 og registreringsordningen efter stk. 2.
Kapitel 3
Sikkerhedskrav
§ 4. Operatører af væsentlige tjenester skal træffe passen-
de og forholdsmæssige tekniske og organisatoriske foran-
staltninger for at styre risiciene for sikkerheden i net- og in-
formationssystemer, som de anvender til deres aktiviteter,
og med disse foranstaltninger sikre et sikkerhedsniveau, der
er passende til risikoen.
Stk. 2. Operatører af væsentlige tjenester skal træffe pas-
sende foranstaltninger for at forebygge og minimere konse-
kvensen af hændelser, der berører sikkerheden i net- og in-
formationssystemer, som anvendes til levering af sådanne
væsentlige tjenester, med henblik på at sikre kontinuiteten i
disse tjenester.
Stk. 3. Sundhedsministeren fastsætter nærmere regler om
foranstaltningerne i stk. 1 og 2.
1) Loven indeholder bestemmelser, der gennemfører dele af Europa-Parlamentets og Rådets direktiv 2016/1148/EU af 6. juli 2016 om foranstaltninger, der
skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen, EU-Tidende 2016, nr. L 194, side 1.
Til lovforslag nr. L 143 Folketinget 2017-18
Sundheds- og Ældremin., j.nr. 1706260
AX021387
Kapitel 4
Underretningspligt m.v.
§ 5. Operatører af væsentlige tjenester skal hurtigst muligt
underrette sundhedsministeren og Center for Cybersikker-
hed om hændelser, der har væsentlige konsekvenser for kon-
tinuiteten af de væsentlige tjenester, som de leverer. Under-
retningen skal indeholde oplysninger, der gør det muligt for
sundhedsministeren at fastslå eventuelle grænseoverskriden-
de konsekvenser af hændelsen.
Stk. 2. Med henblik på at fastlægge omfanget af en hæn-
delses konsekvenser efter stk. 1 skal operatøren af en væ-
sentlig tjeneste navnlig tage følgende kriterier i betragtning:
1) Antallet af brugere, der berøres af afbrydelsen af den
væsentlige tjeneste.
2) Hændelsens varighed.
3) Den geografiske udbredelse med hensyn til det område,
der er berørt af hændelsen.
Stk. 3. Tillader omstændighederne det, meddeler sund-
hedsministeren relevante oplysninger til den underrettende
operatør af en væsentlig tjeneste om opfølgningen på dennes
underretning, herunder oplysninger, der kan støtte en effek-
tiv håndtering af hændelsen.
Stk. 4. Sundhedsministeren kan efter høring af den under-
rettende operatør af en væsentlig tjeneste oplyse offentlighe-
den om konkrete hændelser, hvis offentlighedens kendskab
hertil er nødvendigt for at forebygge en hændelse eller hånd-
tere en igangværende hændelse.
Stk. 5. Sundhedsministeren fastsætter nærmere regler om
underretning efter stk. 1, herunder hvilke oplysninger der
skal underrettes om, og kriterierne for fastlæggelsen af om-
fanget af en hændelses konsekvenser efter stk. 2.
§ 6. Sundhedsministeren kan fastsætte regler om, at skrift-
lig kommunikation til og fra sundhedsministeren om nær-
mere bestemte forhold, som er omfattet af denne lov eller af
regler udstedt i medfør af loven, skal foregå digitalt.
Stk. 2. En digital meddelelse anses for at være kommet
frem, når den er tilgængelig for adressaten for meddelelsen.
Stk. 3. Sundhedsministeren kan fastsætte regler om digital
kommunikation, herunder om anvendelse af bestemte it-sy-
stemer, særlige digitale formater og digital signatur el.lign.
Kapitel 5
Tilsyn og påbud
§ 7. Sundhedsministeren fører tilsyn med de forpligtelser,
der påhviler operatører af væsentlige tjenester i henhold til
denne lov og regler, der er udstedt i medfør af loven.
Stk. 2. Sundhedsministeren kan som led i sit tilsyn kræve,
at operatører af væsentlige tjenester stiller oplysninger, der
er nødvendige for tilsynet, til rådighed, herunder oplysnin-
ger, der er nødvendige for at vurdere sikkerheden i deres
net- og informationssystemer, og dokumentation for den
faktiske gennemførelse af sikkerhedspolitikker.
§ 8. Sundhedsministeren kan påbyde operatører af væ-
sentlige tjenester at efterkomme forpligtelser i henhold til
denne lov og regler, der er udstedt i medfør af loven.
Kapitel 6
Delegation af beføjelser til Sundhedsdatastyrelsen
§ 9. Sundhedsministeren kan bemyndige Sundhedsdata-
styrelsen til at varetage opgaver, der i denne lov er tillagt
ministeren.
Kapitel 7
Straf
§ 10. Medmindre højere straf er forskyldt efter den øvrige
lovgivning, straffes med bøde den, der undlader at efterkom-
me sundhedsministerens påbud efter § 8.
Stk. 2. I regler, der fastsættes i medfør af loven, kan der
fastsættes straf i form af bøde.
Stk. 3. Der kan pålægges selskaber m.v. (juridiske perso-
ner) strafansvar efter reglerne i straffelovens 5. kapitel.
Kapitel 8
Ikrafttræden m.v.
§ 11. Loven træder i kraft den 10. maj 2018.
§ 12. Loven gælder ikke for Færøerne og Grønland.
2