Vedtaget af Folketinget ved 3. behandling den 3. maj 2018

Vedtaget af Folketinget ved 3. behandling den 3. maj 2018
Forslag
til
Lov om net- og informationssikkerhed for domænenavnssystemer og visse
digitale tjenester1)
Kapitel 1
Anvendelsesområde og definitioner
§ 1. Loven finder anvendelse på operatører af væsentlige
tjenester inden for digital infrastruktur og udbydere af digi-
tale tjenester, jf. dog stk. 2.
Stk. 2. Loven finder ikke anvendelse på udbydere af digi-
tale tjenester i form af mikrovirksomheder eller små virk-
somheder.
§ 2. I denne lov forstås ved:
1) Net- og informationssystem:
a) Et elektronisk kommunikationsnet i form af radio-
frekvens- eller kabelbaseret teleinfrastruktur, der
anvendes til formidling af tjenester,
b) enhver anordning eller gruppe af indbyrdes for-
bundne eller beslægtede anordninger, hvoraf en
eller flere ved hjælp af et program udfører auto-
matisk behandling af digitale data, eller
c) digitale data, som lagres, behandles, fremfindes
eller overføres af elementer i litra a og b med hen-
blik på deres drift, brug, beskyttelse og vedlige-
holdelse.
2) Sikkerhed i net- og informationssystemer: Evnen for
net- og informationssystemer til på et givet sikker-
hedsniveau at modstå handlinger, der er til skade for
tilgængeligheden, autenticiteten, integriteten eller for-
troligheden i forbindelse med lagrede eller overførte
eller behandlede data eller de dermed forbundne tje-
nester, der tilbydes af eller er tilgængelige via disse
net- og informationssystemer.
3) Operatør af tjenester: En offentlig eller privat enhed
etableret i Danmark, der leverer en DNS-tjeneste eller
er administrator af et topdomænenavn.
4) Operatør af væsentlige tjenester: En offentlig eller pri-
vat enhed etableret i Danmark, der leverer en DNS-
tjeneste eller er administrator af et topdomænenavn,
og som opfylder kriterierne fastsat i § 3.
5) Digital tjeneste: Enhver tjeneste, der normalt ydes
mod betaling, og som teleformidles ad elektronisk vej
på individuel anmodning fra en tjenestemodtager og
er af typen onlinemarkedsplads, onlinesøgemaskine
eller cloud computing-tjeneste.
6) Udbyder af digitale tjenester: Enhver juridisk person,
som udbyder en digital tjeneste, og som har hovedsæ-
de eller en repræsentant i Danmark.
7) Hændelse: Enhver begivenhed, der har en egentlig ne-
gativ indvirkning på sikkerheden i net- og infor-
mationssystemer.
8) Risiko: Enhver rimelig identificerbar omstændighed
eller begivenhed, der har en potentiel negativ indvirk-
ning på sikkerheden i net- og informationssystemer.
9) Repræsentant: Enhver fysisk eller juridisk person, der
er etableret i EU, og som udtrykkeligt er udpeget til at
handle på vegne af en udbyder af digitale tjenester,
som ikke er etableret i EU.
10) Domænenavnesystem (DNS): Et hierarkisk opbygget
navnesystem i et net, som behandler forespørgsler om
domænenavne.
11) DNS-tjenesteudbyder: En enhed, som leverer DNS-
tjenester på internettet.
12) Topdomænenavneadministrator: En enhed, som admi-
nistrerer og driver registreringen af internetdomæne-
navne under et særligt topdomæne (TLD).
13) Onlinemarkedsplads: En digital tjeneste, som giver
forbrugere eller erhvervsdrivende mulighed for at ind-
gå aftaler om køb eller tjenester online med erhvervs-
drivende enten på onlinemarkedspladsens websted el-
1) Loven indeholder bestemmelser, der gennemfører dele af Europa-Parlamentets og Rådets direktiv 2016/1148/EU af 6. juli 2016 om foranstaltninger, der
skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen, EU-Tidende 2016, nr. L 194, side 1.
Til lovforslag nr. L 144 Folketinget 2017-18
Erhvervsmin.,
Erhvervsstyrelsen, j.nr. 2018-2074
AX021419
ler på et websted tilhørende en erhvervsdrivende, som
anvender computingtjenester, der udbydes af online-
markedspladsen.
14) Onlinesøgemaskine: En digital tjeneste, som giver
brugerne mulighed for at foretage søgninger på alle
websteder eller websteder på et bestemt sprog på
grundlag af en forespørgsel om et hvilket som helst
emne ved hjælp af et søgeord, en sætning eller andet
input, og som fremviser links, hvor der kan findes op-
lysninger om det ønskede indhold.
15) Cloud computing-tjeneste: En digital tjeneste, som gi-
ver adgang til en skalerbar og elastisk pulje af delbare
it-ressourcer.
16) Nationalt centralt kontaktpunkt: En national kompe-
tent enhed med ansvar for at koordinere spørgsmål
vedrørende sikkerheden i net- og informationssyste-
mer samt grænseoverskridende samarbejde i EU her-
om.
17) CSIRT: En national it-beredskabsenhed, der håndterer
hændelser, og som har ansvar for at sikre samarbejdet
om sikkerheden i net- og informationssystemer i EU.
18) Mikrovirksomheder og små virksomheder: Enheder,
som opfylder definitionen som værende mikrovirk-
somheder eller små virksomheder i Kommissionens
henstilling 2003/361/EF af 6. maj 2003 om definitio-
nen af mikrovirksomheder, små og mellemstore virk-
somheder.
Kapitel 2
Operatører af væsentlige tjenester
§ 3. En enhed skal betragtes som en operatør af en væ-
sentlig tjeneste, hvis
1) enheden leverer en tjeneste, der er væsentlig for opret-
holdelsen af kritiske samfundsmæssige eller økonomi-
ske aktiviteter,
2) leveringen af tjenesten afhænger af net- og infor-
mationssystemer og
3) en hændelse vil få væsentlige forstyrrende virkninger
for leveringen af tjenesten.
Stk. 2. Erhvervsministeren udarbejder og opdaterer en lis-
te over væsentlige tjenester.
Stk. 3. Erhvervsministeren kan fastsætte nærmere regler
for afgrænsningen af kriterierne i stk. 1.
§ 4. Operatører af væsentlige tjenester skal træffe passen-
de og forholdsmæssige tekniske og organisatoriske foran-
staltninger for at styre risiciene for sikkerheden i net- og in-
formationssystemer, som de anvender til deres aktiviteter.
Under hensyntagen til teknologiens aktuelle stade skal disse
foranstaltninger sikre et sikkerhedsniveau for net- og infor-
mationssystemer, der står mål med risikoen.
Stk. 2. Operatører af væsentlige tjenester skal træffe pas-
sende foranstaltninger for at forebygge og minimere konse-
kvensen af hændelser, der berører sikkerheden i net- og in-
formationssystemer, som anvendes til levering af væsentlige
tjenester, med henblik på at sikre kontinuiteten i disse tjene-
ster.
Stk. 3. Erhvervsministeren kan fastsætte nærmere regler
om foranstaltninger efter stk. 1 og 2.
§ 5. Operatører af væsentlige tjenester skal hurtigst muligt
underrette Erhvervsstyrelsen og Center for Cybersikkerhed
om hændelser, der har væsentlige konsekvenser for kontinu-
iteten af de væsentlige tjenester, som de leverer. Underret-
ningen skal indeholde oplysninger, der gør det muligt for
Erhvervsstyrelsen og Center for Cybersikkerhed at fastslå
eventuelle grænseoverskridende konsekvenser af hændelsen.
Stk. 2. Med henblik på at fastlægge omfanget af en hæn-
delses konsekvenser efter stk. 1 skal operatøren navnlig ind-
drage følgende kriterier:
1) Antallet af brugere, der berøres af afbrydelsen af den
væsentlige tjeneste.
2) Hændelsens varighed.
3) Den geografiske udbredelse med hensyn til det område,
der er berørt af hændelsen.
Stk. 3. Er en operatørs levering af en væsentlig tjeneste af-
hængig af en tredjepartsudbyder af digitale tjenester, skal
operatøren underrette Erhvervsstyrelsen og Center for Cy-
bersikkerhed om alle de væsentlige konsekvenser for den
væsentlige tjenestes kontinuitet, som følger af en hændelse
hos den pågældende udbyder.
Stk. 4. Erhvervsministeren kan fastsætte nærmere regler
om underretning efter stk. 1 og 3 og om kriterierne for fast-
læggelse af omfanget af en hændelses konsekvenser efter
stk. 2.
§ 6. Erhvervsstyrelsen kan videregive oplysninger til Cen-
ter for Cybersikkerhed om hændelser, der er nødvendige for
Center for Cybersikkerhed til opfyldelse af dets lovbestemte
opgaver som nationalt centralt kontaktpunkt og som CSIRT.
Stk. 2. Erhvervsstyrelsen kan videregive relevante oplys-
ninger til den underrettende operatør af væsentlige tjenester
om opfølgningen på underretningen, herunder oplysninger,
der kan støtte en effektiv håndtering af hændelsen.
Stk. 3. Erhvervsstyrelsen kan efter høring af den underret-
tende operatør af væsentlige tjenester oplyse offentligheden
om konkrete hændelser, hvis offentlighedens kendskab her-
til er nødvendigt for at forebygge en hændelse eller håndtere
en igangværende hændelse.
Kapitel 3
Udbydere af digitale tjenester
§ 7. En udbyder af en digital tjeneste, der ikke har hoved-
sæde i EU, men som tilbyder sin tjeneste i Danmark, skal
udpege en repræsentant i Danmark eller i et andet EU-land,
hvor tjenesten tilbydes.
§ 8. Udbydere af digitale tjenester skal identificere og
træffe passende og forholdsmæssige tekniske og organisato-
riske foranstaltninger for at styre risiciene i forhold til sik-
kerheden i de net- og informationssystemer, som de anven-
der i forbindelse med tjenesten. Under hensyntagen til tek-
nologiens aktuelle stade skal disse foranstaltninger sikre et
sikkerhedsniveau for net- og informationssystemer, der står
mål med risikoen. Udbyderen skal i den forbindelse inddra-
ge følgende elementer:
2
1) Sikkerhed i systemer og faciliteter.
2) Håndtering af hændelser.
3) Styring af driftskontinuitet.
4) Monitorering, audit og testning.
5) Overholdelse af internationale standarder.
Stk. 2. Udbydere af digitale tjenester skal træffe foran-
staltninger for at forebygge og minimere konsekvensen af
hændelser, der berører sikkerheden i deres net- og infor-
mationssystemer for at sikre kontinuiteten i disse tjenester.
Stk. 3. Erhvervsstyrelsen kan fastsætte nærmere regler om
foranstaltninger efter stk. 1 og 2.
§ 9. Udbydere af digitale tjenester skal hurtigst muligt un-
derrette Erhvervsstyrelsen og Center for Cybersikkerhed om
enhver hændelse, der har betydelige konsekvenser for leve-
ringen af deres tjeneste. Underretningen skal indeholde op-
lysninger, der gør det muligt for Erhvervsstyrelsen og Cen-
ter for Cybersikkerhed at vurdere de eventuelle grænseover-
skridende konsekvenser af hændelsen, jf. dog stk. 3.
Stk. 2. Med henblik på at fastlægge, om en hændelses
konsekvenser er betydelige, skal udbyderen navnlig inddra-
ge følgende kriterier:
1) Antallet af brugere, der berøres af hændelsen, navnlig
brugere, som er afhængige af tjenesten med henblik på
levering af deres egne tjenester.
2) Hændelsens varighed.
3) Den geografiske udbredelse med hensyn til det område,
der er berørt af hændelsen.
4) Omfanget af afbrydelsen af tjenestens funktion.
5) Omfanget af konsekvenserne for økonomiske og sam-
fundsmæssige aktiviteter.
Stk. 3. Underretning efter stk. 1 skal kun ske, i det omfang
udbyderen af digitale tjenester har adgang til relevante op-
lysninger, herunder oplysninger omfattet af stk. 2.
Stk. 4. Erhvervsstyrelsen kan fastsætte nærmere regler om
underretning efter stk. 1 og 3 og om kriterierne for fastlæg-
gelse af omfanget af en hændelses konsekvenser efter stk. 2.
§ 10. Erhvervsstyrelsen kan videregive oplysninger til
Center for Cybersikkerhed om hændelser, der er nødvendige
for Center for Cybersikkerhed til opfyldelse af dets lovbe-
stemte opgaver som nationalt centralt kontaktpunkt og
CSIRT.
Stk. 2. Erhvervsstyrelsen kan efter høring af udbyderen af
digitale tjenester oplyse offentligheden om konkrete hændel-
ser eller kræve, at udbyderen af digitale tjenester oplyser of-
fentligheden om dem, hvis offentlighedens kendskab hertil
er nødvendigt for at forebygge en hændelse eller håndtere en
igangværende hændelse, eller hvis offentliggørelse i øvrigt
er i offentlighedens interesse.
Kapitel 4
Kommunikation
§ 11. Erhvervsstyrelsen kan fastsætte regler om, at skrift-
lig kommunikation til og fra styrelsen om forhold, som er
omfattet af denne lov eller regler udstedt i medfør af denne
lov, skal foregå digitalt.
Stk. 2. Erhvervsstyrelsen kan fastsætte nærmere regler om
digital kommunikation, herunder om anvendelse af bestemte
it-systemer, særlige digitale formater og digital signatur
el.lign.
Stk. 3. En digital meddelelse anses for at være kommet
frem, når den er tilgængelig for adressaten for meddelelsen.
§ 12. Erhvervsstyrelsen kan fastsætte regler om, at styrel-
sen kan udstede afgørelser og andre dokumenter efter denne
lov eller regler udstedt i medfør af denne lov uden under-
skrift, med maskinelt eller på tilsvarende måde gengivet un-
derskrift eller under anvendelse af en teknik, der sikrer enty-
dig identifikation af den, som har udstedt afgørelsen eller
dokumentet. Sådanne afgørelser og dokumenter sidestilles
med afgørelser og dokumenter med personlig underskrift.
§ 13. Hvor det efter denne lov eller regler udstedt i med-
før af denne lov er krævet, at et dokument, som er udstedt af
andre end Erhvervsstyrelsen, skal være underskrevet, kan
dette krav opfyldes ved anvendelse af en teknik, der sikrer
entydig identifikation af den, som har udstedt dokumentet,
jf. dog stk. 2. Sådanne dokumenter sidestilles med doku-
menter med personlig underskrift.
Stk. 2. Erhvervsstyrelsen kan fastsætte nærmere regler om
fravigelse af underskriftskrav. Det kan herunder bestemmes,
at krav om personlig underskrift ikke kan fraviges for visse
typer af dokumenter.
Kapitel 5
Tilsyn, påbud, offentliggørelse og klage
§ 14. Erhvervsstyrelsen fører tilsyn med overholdelsen af
denne lov og de regler, der er udstedt i medfør af loven.
Stk. 2. Erhvervsstyrelsen kan kræve, at operatører af tje-
nester og udbydere af digitale tjenester afgiver de oplysnin-
ger, der er nødvendige for styrelsens tilsyn efter denne lov.
Stk. 3. Erhvervsstyrelsen kan som led i sit tilsyn med ope-
ratører af væsentlige tjenester kræve dokumentation af ope-
ratørerne for den faktiske gennemførelse af sikkerhedspoli-
tikker.
Stk. 4. Erhvervsstyrelsen kan som led i sit tilsyn udstede
påbud til operatører af væsentlige tjenester og udbydere af
digitale tjenester om at afhjælpe mangler i opfyldelsen af de
krav, der fremgår af henholdsvis §§ 4 og 5 og §§ 7-9 og reg-
ler, som fastsættes i medfør af § 4, stk. 3, § 5, stk. 4, § 8, stk.
3 eller § 9, stk. 4.
§ 15. Erhvervsstyrelsen offentliggør på sin hjemmeside
helt eller delvis afgørelser efter § 14, stk. 4. Afgørelser ved-
rørende fysiske personer offentliggøres i anonymiseret form.
Stk. 2. Afgørelser vedrørende en juridisk person offentlig-
gøres med identiteten på den juridiske person, medmindre
offentliggørelsen af identiteten vil være til skade for en
igangværende strafferetlig efterforskning eller offentliggø-
relsen vil forvolde uforholdsmæssig stor skade, f.eks. for
den juridiske person, afgørelsen vedrører, investorer eller
andre.
Stk. 3. Anonymisering af identiteten på en juridisk person
sker efter 2 år regnet fra og med datoen for offentliggørelse.
3
§ 16. Erhvervsstyrelsens afgørelser efter § 14, stk. 2-4,
kan ikke indbringes for anden administrativ myndighed.
Kapitel 6
Straf
§ 17. Medmindre højere straf er forskyldt efter den øvrige
lovgivning, straffes med bøde den, der
1) undlader at efterkomme Erhvervsstyrelsens krav efter §
14, stk. 2 eller 3, eller
2) undlader at efterkomme Erhvervsstyrelsens påbud efter
§ 14, stk. 4.
Stk. 2. I regler, der udstedes i medfør af § 3, stk. 3, § 4,
stk. 3, § 5, stk. 4, § 8, stk. 3, eller § 9, stk. 4, kan der fastsæt-
tes straf af bøde.
Stk. 3. Der kan pålægges selskaber m.v. (juridiske perso-
ner) strafansvar efter reglerne i straffelovens 5. kapitel.
Kapitel 7
Ikrafttræden
§ 18. Loven træder i kraft den 10. maj 2018.
Kapitel 8
Ændringer i anden lovgivning
§ 19. I lov om finansiel virksomhed, jf. lovbekendtgørelse
nr. 1140 af 26. september 2017, som bl.a. ændret ved § 1 i
lov nr. 667 af 8. juni 2017, § 1 i lov nr. 1547 af 19. decem-
ber 2017 og § 45 i lov nr. 41 af 22. januar 2018 og senest
ved § 2 i lov nr. 375 af 1. maj 2018, foretages følgende æn-
dringer:
1. I fodnoten til lovens titel ændres »og dele af Europa-Par-
lamentets og Rådets direktiv 2015/849/EU af 20. maj 2015
om forebyggende foranstaltninger mod anvendelse af det fi-
nansielle system til hvidvask af penge eller finansiering af
terrorisme, om ændring af Europa-Parlamentets og Rådets
forordning (EU) nr. 648/2012 og om ophævelse af Europa-
Parlamentets og Rådets direktiv 2005/60/EF samt Kommis-
sionens direktiv 2006/70/EF (4. hvidvaskdirektiv), EU-Ti-
dende 2015, nr. L 141, side 73« til: »dele af Europa-Parla-
mentets og Rådets direktiv 2015/849/EU af 20. maj 2015
om forebyggende foranstaltninger mod anvendelse af det fi-
nansielle system til hvidvask af penge eller finansiering af
terrorisme, om ændring af Europa-Parlamentets og Rådets
forordning (EU) nr. 648/2012 og om ophævelse af Europa-
Parlamentets og Rådets direktiv 2005/60/EF samt Kommis-
sionens direktiv 2006/70/EF (4. hvidvaskdirektiv), EU-Ti-
dende 2015, nr. L 141, side 73, og dele af Europa-Parlamen-
tets og Rådets direktiv 2016/1148/EU af 6. juli 2016 (NIS-
direktivet), EU-Tidende 2016, nr. L 194, side 1«.
2. I § 71, stk. 2, indsættes som 2. pkt.:
»Finanstilsynet kan desuden fastsætte nærmere regler om
hændelsesrapportering for de virksomheder der udpeges
som operatører af væsentlige tjenester i medfør af § 307 a,
herunder om, at Finanstilsynet og Center for Cybersikkerhed
underrettes ved en hændelse, der har en negativ indvirkning
på sikkerheden i virksomhedens net- og informationssyste-
mer.«
3. Efter afsnit VIII indsættes:
»Afsnit VIII a
Kapitel 18 a
Identifikation af operatører af væsentlige tjenester
§ 307 a. Finanstilsynet udpeger mindst hvert andet år de
penge- og realkreditinstitutter, der er operatører af væsentli-
ge tjenester.
Stk. 2. Finanstilsynet skal i forbindelse med udpegningen
efter stk. 1 lægge vægt på, at
1) de tjenester, der leveres, er væsentlige for opretholdel-
sen af kritiske samfundsmæssige eller økonomiske ak-
tiviteter,
2) leveringen af tjenesten afhænger af net- og infor-
mationssystemer og
3) en hændelse vil få væsentlige forstyrrende virkninger
for leveringen af tjenesten.
Stk. 3. Finanstilsynet kan fastsætte nærmere regler om ud-
pegning af operatører af væsentlige tjenester og de kriterier,
Finanstilsynet kan lægge vægt på efter stk. 1 og 2. Finanstil-
synet udarbejder en liste over tjenester, jf. stk. 2, nr. 1.«
4. I § 354, stk. 6, indsættes som nr. 44:
»44) Center for Cybersikkerhed, under forudsætning af at
oplysningerne er nødvendige for centeret til at opfylde
dets lovbestemte opgaver som nationalt centralt kon-
taktpunkt eller som CSIRT.«
5. Efter § 354 g indsættes:
»§ 354 h. Finanstilsynet kan efter høring af den virksom-
hed, der underretter Finanstilsynet og Center for Cybersik-
kerhed om en hændelse, som har væsentlige konsekvenser
for kontinuiteten af de væsentlige tjenester, som de leverer,
orientere offentligheden om hændelsen, hvis offentlighedens
kendskab hertil er nødvendig for at forebygge eller håndtere
en igangværende hændelse. Offentliggørelsen må ikke inde-
holde fortrolige oplysninger om kundeforhold eller oplys-
ninger omfattet af § 30 i lov om offentlighed i forvaltningen.
Offentliggørelsen må ikke indeholde fortrolige oplysninger,
der hidrører fra finansielle tilsynsmyndigheder i andre lande
inden for eller uden for Den Europæiske Union, medmindre
de myndigheder, der har afgivet oplysningerne, har givet de-
res udtrykkelige tilladelse.«
§ 20. I lov om kapitalmarkeder, jf. lovbekendtgørelse nr.
12 af 8. januar 2018, foretages følgende ændringer:
1. I fodnoten til lovens titel ændres »dele af Europa-Parla-
mentets og Rådets direktiv 2013/50/EU af 22. oktober 2013,
EU-Tidende 2013, nr. L 294, side 13, og Europa-Parlamen-
tets og Rådets direktiv 2014/65/EU af 15. maj 2014, EU-Ti-
dende 2014, nr. L 173, side 349« til: »dele af Europa-Parla-
mentets og Rådets direktiv 2013/50/EU af 22. oktober 2013,
EU-Tidende 2013, nr. L 294, side 13, Europa-Parlamentets
4
og Rådets direktiv 2014/65/EU af 15. maj 2014, EU-Tiden-
de 2014, nr. L 173, side 349, og dele af Europa-Parlamentets
og Rådets direktiv 2016/1148/EU af 6. juli 2016, EU-Tiden-
de 2016, nr. L 194, side 1«.
2. Efter § 58 indsættes i afsnit IV:
»Identifikation af operatører af væsentlige tjenester
§ 58 a. Finanstilsynet udpeger mindst hvert andet år de
operatører af markedspladser og centrale modparter
(CCP’er), der er operatører af væsentlige tjenester.
Stk. 2. Finanstilsynet skal i forbindelse med udpegningen
efter stk. 1 lægge vægt på, at
1) de tjenester, der leveres, er væsentlige for opretholdel-
sen af kritiske samfundsmæssige eller økonomiske ak-
tiviteter,
2) leveringen af tjenesten afhænger af net- og infor-
mationssystemer og
3) en hændelse vil få væsentlige forstyrrende virkninger
for leveringen af tjenesten.
Stk. 3. Finanstilsynet kan fastsætte nærmere regler om ud-
pegning af operatører af væsentlige tjenester og de kriterier,
Finanstilsynet kan lægge vægt på efter stk. 1 og 2, herunder
fastsætte nærmere regler om hændelsesrapportering, herun-
der om, at Finanstilsynet og Center for Cybersikkerhed un-
derrettes ved en hændelse, der har en negativ indvirkning på
sikkerheden i virksomhedens net- og informationssystemer.
Finanstilsynet udarbejder en liste over tjenester, jf. stk. 2, nr.
1.«
1. I § 225, stk. 1, indsættes som nr. 17:
»17) Center for Cybersikkerhed, under forudsætning af at
oplysningerne er nødvendige for centeret til opfyldel-
se af dets lovbestemte opgaver som nationalt centralt
kontaktpunkt eller som CSIRT.«
2. Efter § 236 indsættes før overskriften før § 237:
»§ 236 a. Finanstilsynet kan efter høring af en operatør af
en markedsplads eller central modpart (CCP), der underret-
ter Finanstilsynet og Center for Cybersikkerhed om en hæn-
delse, som har væsentlige konsekvenser for kontinuiteten af
de væsentlige tjenester, som de leverer, orientere offentlig-
heden om hændelsen, hvis offentlighedens kendskab hertil
er nødvendigt for at forebygge eller håndtere en igangvæ-
rende hændelse. Offentliggørelsen må ikke indeholde fortro-
lige oplysninger om kundeforhold eller oplysninger omfattet
af § 30 i lov om offentlighed i forvaltningen. Offentliggørel-
sen må ikke indeholde fortrolige oplysninger, der hidrører
fra finansielle tilsynsmyndigheder i andre lande inden for el-
ler uden for Den Europæiske Union, medmindre de myndig-
heder, der har afgivet oplysningerne, har givet deres udtryk-
kelige tilladelse.«
Kapitel 9
Territorial bestemmelse
§ 21. Loven gælder ikke for Færøerne og Grønland, jf.
dog stk. 2.
Stk. 2. §§ 19 og 20 kan ved kongelig anordning helt eller
delvis sættes i kraft for Færøerne og Grønland med de æn-
dringer, som henholdsvis de færøske og de grønlandske for-
hold tilsiger. Bestemmelserne kan endvidere sættes i kraft
på forskellige tidspunkter.
Folketinget, den 3. maj 2018
PIA KJÆRSGAARD
/ Erling Bonnesen
5