Vedtaget af Folketinget ved 3. behandling den 3. maj 2018

Vedtaget af Folketinget ved 3. behandling den 3. maj 2018
Forslag
til
Lov om sikkerhed i net- og informationssystemer i transportsektoren1)
Kapitel 1
Anvendelsesområde og definitioner
§ 1. Loven finder anvendelse på operatører af væsentlige
transporttjenester.
§ 2. I denne lov forstås ved:
1) Operatør af en væsentlig transporttjeneste: En offentlig
eller privat enhed, der udpeges af transport-, bygnings-
og boligministeren som operatør af en væsentlig trans-
porttjeneste i medfør af § 3, stk. 1, og som varetager
opgaver vedrørende lufttransport, jernbanetransport,
søfart inden for transport-, bygnings- og boligministeri-
ets område og vejtransport.
2) Net- og informationssystem:
a) Et elektronisk kommunikationsnet, der udgøres af
transmissionssystemer og, hvor det er relevant,
koblings- og dirigeringsudstyr og andre ressourcer,
herunder netelementer, der ikke er aktive, som gør
det muligt at overføre signaler ved hjælp af trådfor-
bindelse, radiobølger, lyslederteknik eller andre
elektromagnetiske midler, herunder satellitnet,
jordbaserede fastnet (kredsløbs- og pakkekoblede,
herunder i internettet) og mobilnet, elkabelsyste-
mer, i det omfang de anvendes til transmission af
signaler, net, som anvendes til radio- og tv-spred-
ning, samt kabel-tv-net, uanset hvilken type infor-
mation der overføres.
b) Enhver anordning eller gruppe af indbyrdes for-
bundne eller beslægtede anordninger, hvoraf en el-
ler flere ved hjælp af et program udfører automa-
tisk behandling af digitale data.
c) Digitale data, som lagres, behandles, fremfindes el-
ler overføres ved brug af elementer i litra a og b
med henblik på deres drift, brug, beskyttelse og
vedligeholdelse.
3) Sikkerhed i net- og informationssystemer: Evnen for
net- og informationssystemer til på et givet sikkerheds-
niveau at modstå handlinger, der er til skade for tilgæn-
geligheden, autenticiteten, integriteten eller fortrolighe-
den i forbindelse med lagrede eller overførte eller be-
handlede data eller de dermed forbundne tjenester, der
tilbydes af eller er tilgængelige via disse net- og infor-
mationssystemer.
4) Hændelse: Enhver begivenhed, der har en egentlig ne-
gativ indvirkning på sikkerheden i net- og informa-
tionssystemer.
5) Risiko: Enhver rimelig identificerbar omstændighed el-
ler begivenhed, der har en potentiel negativ indvirkning
på sikkerheden i net- og informationssystemer.
6) Nationalt centralt kontaktpunkt: En national kompetent
enhed med ansvar for at koordinere spørgsmål vedrø-
rende sikkerheden i net- og informationssystemer samt
grænseoverskridende samarbejde i EU herom.
7) CSIRT: En national it-beredskabsenhed, der håndterer
hændelser, og som har ansvar for at sikre samarbejdet
om sikkerheden i net- og informationssystemer i EU.
Kapitel 2
Udpegning af operatører af væsentlige transporttjenester
§ 3. Transport-, bygnings- og boligministeren udpeger en
operatør af en væsentlig transporttjeneste. Ministeren vurde-
rer løbende, dog mindst hvert andet år, hvilke operatører af
væsentlige transporttjenester der skal udpeges i medfør af 1.
pkt.
Stk. 2. Transport-, bygnings- og boligministeren skal i
forbindelse med udpegningen efter stk. 1 lægge vægt på, at
1) enheden leverer en transporttjeneste, der er væsentlig
for opretholdelsen af kritiske samfundsmæssige eller
økonomiske aktiviteter,
1) Loven indeholder bestemmelser, der gennemfører dele af Europa-Parlamentets og Rådets direktiv 2016/1148/EU af 6. juli 2016 om foranstaltninger, der
skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen, EU-Tidende 2016, nr. L 194, side 1.
Til lovforslag nr. L 135 Folketinget 2017-18
Transport-, Bygnings- og Boligmin., j.nr. 2017-4685
AX021421
2) leveringen af transporttjenesten afhænger af net- og in-
formationssystemer og
3) en hændelse vil få væsentlige forstyrrende virkninger
for leveringen af den nævnte transporttjeneste.
Stk. 3. Transport-, bygnings- og boligministeren kan fast-
sætte nærmere regler om udpegningen af en operatør af en
væsentlig transporttjeneste og tilbagekaldelse af udpegnin-
gen. Ministeren kan herunder fastsætte regler om de kriteri-
er, der skal lægges vægt på ved udpegningen af en operatør,
tidsbegrænsning på udpegningen m.v.
Kapitel 3
Sikkerhedskrav til en operatør af en væsentlig
transporttjeneste
§ 4. Operatører af væsentlige transporttjenester skal træffe
passende og forholdsmæssige tekniske og organisatoriske
foranstaltninger for at styre risiciene for sikkerheden i net-
og informationssystemer, som de anvender til den del af de-
res aktiviteter, hvor en hændelse vil få væsentlige forstyr-
rende virkninger for leveringen af den nævnte transporttje-
neste. Foranstaltningerne skal sikre et sikkerhedsniveau for
net- og informationssystemer, der er proportionalt med risi-
ciene.
Stk. 2. Operatører af væsentlige transporttjenester skal
træffe passende foranstaltninger for at forebygge og mini-
mere konsekvensen af en hændelse, der kan have en negativ
indvirkning på de net- og informationssystemer, som anven-
des til levering af en væsentlig transporttjeneste.
Stk. 3. Transport-, bygnings- og boligministeren fastsætter
nærmere regler om foranstaltninger efter stk. 1 og 2, herun-
der om sagernes behandling, tidsfrister m.v. Ministeren kan
endvidere fastsætte regler, hvor der stilles krav om, at doku-
mentation for, at der er truffet de nødvendige foranstaltnin-
ger efter stk. 1 og 2, skal ske ved akkrediteret certificering i
overensstemmelse med reglerne og efter en internationalt
anerkendt standard for styring af sikkerheden i net- og infor-
mationssystemer. Ministeren kan endelig fastsætte regler om
de informationer, som ministeren skal modtage om valg af
certificeringsordning.
Kapitel 4
Underretning, videregivelse og offentliggørelse af
oplysninger
§ 5. Operatører af væsentlige transporttjenester skal hur-
tigst muligt underrette transport-, bygnings- og boligmini-
steren og CSIRT om hændelser, der har væsentlige konse-
kvenser for kontinuiteten af de væsentlige transporttjenester,
som de leverer.
Stk. 2. Ved vurderingen af, om en hændelse har væsentli-
ge konsekvenser for kontinuiteten af de væsentlige trans-
porttjenester, skal operatøren navnlig tage følgende kriterier
i betragtning:
1) Antallet af brugere, der berøres af afbrydelsen af den
væsentlige transporttjeneste.
2) Hændelsens varighed.
3) Den geografiske udbredelse med hensyn til det område,
der er berørt af hændelsen.
§ 6. Operatører af øvrige transporttjenester kan på frivillig
basis foretage underretning til transport-, bygnings- og bo-
ligministeren og CSIRT om hændelser, der har væsentlige
konsekvenser for udøvelsen af de transporttjenester, som de
leverer. Transport-, bygnings- og boligministeren er forplig-
tet til at behandle frivillige underretninger på samme måde,
som pligtmæssige underretninger behandles.
§ 7. Transport-, bygnings- og boligministeren kan fastsæt-
te regler om underretninger efter §§ 5 og 6, herunder fast-
sætte nærmere regler om indholdet af en underretning, vur-
deringen af, om en hændelse er omfattet af underretnings-
pligten, og vægtningen af kriterierne i § 5, stk. 2, samt om,
at underretninger og anden skriftlig kommunikation til og
fra ministeren om nærmere bestemte forhold, som er omfat-
tet af denne lov eller regler udstedt i medfør heraf, skal fore-
gå digitalt.
§ 8. Transport-, bygnings- og boligministeren kan videre-
give oplysninger til CSIRT om hændelser, der er nødvendi-
ge for CSIRT til opfyldelse af dets lovbestemte opgaver som
nationalt centralt kontaktpunkt og som CSIRT.
§ 9. Transport-, bygnings- og boligministeren kan efter
høring af den underrettende operatør oplyse offentligheden
om konkrete hændelser, hvis offentlighedens kendskab her-
til er nødvendigt for at forebygge en hændelse eller håndtere
en igangværende hændelse.
Stk. 2. Oplysninger til offentligheden efter stk. 1 må ikke
indeholde
1) oplysninger om tekniske indretninger, fremgangsmå-
der, drifts- og forretningsforhold el.lign., for så vidt den
underrettende operatør gør gældende, at disse oplysnin-
ger har væsentlig forretningsmæssig betydning for ope-
ratøren,
2) oplysninger, der af transport-, bygnings- og boligmini-
steren vurderes at være af væsentlig betydning for sta-
tens sikkerhed eller rigets forsvar,
3) fortrolige informationer eller
4) oplysninger om enkeltpersoners forhold.
Kapitel 5
Administration, påbud og tilsyn
§ 10. Transport-, bygnings- og boligministeren fører til-
syn med, at en operatør af en væsentlig transporttjeneste
overholder denne lov og regler udstedt i medfør heraf. Til
brug for tilsynet skal operatører af væsentlige tjenester på
anmodning fra transport-, bygnings- og boligministeren af-
give de oplysninger, der er nødvendige for tilsynet.
Stk. 2. Transport-, bygnings- og boligministeren kan på-
byde, at forhold, der strider mod lovens §§ 4 og 5 og de reg-
ler, der er fastsat i medfør af loven, og EU-forordninger på
net- og informationssikkerhedsområdet på transportområdet,
bringes i orden straks eller inden en nærmere angivet frist.
Stk. 3. Transport-, bygnings- og boligministeren kan fast-
sætte nærmere regler om det tilsyn, der skal føres med over-
holdelse af loven og med de regler, der er udstedt i medfør
af loven.
2
§ 11. Transport-, bygnings- og boligministeren kan fast-
sætte regler, som er nødvendige for at gennemføre de direk-
tiver, som Den Europæiske Union udsteder, vedrørende sik-
kerhed i net- og informationssystemer på transportområdet,
herunder regler om tilsyn, påbud m.v., eller som er nødven-
dige for at anvende de forordninger, som Den Europæiske
Union udsteder, vedrørende sikkerhed i net- og informa-
tionssystemer på transportområdet.
§ 12. Transport-, bygnings- og boligministeren kan be-
myndige Trafik-, Bygge- og Boligstyrelsen eller andre stats-
lige myndigheder til at udøve ministerens beføjelser efter
denne lov.
Stk. 2. Transport-, bygnings- og boligministeren kan fast-
sætte regler om adgangen til at klage over afgørelser, der
træffes i henhold til denne lov eller forskrifter udstedt i med-
før heraf, herunder om klagefrister og afskæring af klagead-
gang.
Kapitel 6
Straf
§ 13. Medmindre strengere straf er forskyldt efter anden
lovgivning, straffes med bøde den operatør, der undlader
1) hurtigst muligt at underrette transport-, bygnings- og
boligministeren og CSIRT om hændelser, der har væ-
sentlige konsekvenser for kontinuiteten af de væsentli-
ge transporttjenester, som operatøren leverer, eller
2) at efterkomme transport-, bygnings- og boligministe-
rens påbud udstedt i henhold til § 10, stk. 2, regler fast-
sat i medfør af loven eller EU-forordninger vedrørende
net- og informationssikkerhed på transportområdet.
Stk. 2. I regler, der fastsættes i medfør af loven, kan der
fastsættes straf i form af bøde.
Stk. 3. Der kan pålægges selskaber m.v. (juridiske perso-
ner) strafansvar efter reglerne i straffelovens 5. kapitel.
Kapitel 7
Ikrafttræden m.v.
§ 14. Loven træder i kraft den 10. maj 2018.
§ 15. Loven gælder ikke for Færøerne og Grønland, men
kan ved kongelig anordning helt eller delvis sættes i kraft
for Færøerne og Grønland med de ændringer, som henholds-
vis de færøske og de grønlandske forhold tilsiger.
Folketinget, den 3. maj 2018
PIA KJÆRSGAARD
/ Erling Bonnesen
3