Vedtaget af Folketinget ved 3. behandling den 3. maj 2018
Tilhører sager:
Aktører:
AX21422
https://www.ft.dk/RIpdf/samling/20171/lovforslag/L143/20171_L143_som_vedtaget.pdf
Vedtaget af Folketinget ved 3. behandling den 3. maj 2018 Forslag til Lov om krav til sikkerhed for net- og informationssystemer inden for sundhedssektoren1) Kapitel 1 Lovens anvendelsesområde og definitioner § 1. Loven gælder for operatører af væsentlige tjenester inden for sundhedssektoren. § 2. I denne lov forstås ved: 1) Operatør af en væsentlig tjeneste: En offentlig eller pri- vat enhed, som er etableret i Danmark, og som opfylder kriterierne i § 3, stk. 1. 2) Net- og informationssystem: a) Et elektronisk kommunikationsnet i form af en ra- diofrekvens- eller kabelbaseret teleinfrastruktur, der anvendes til formidling af tjenester, b) enhver anordning eller gruppe af indbyrdes for- bundne eller beslægtede anordninger, hvoraf en el- ler flere ved hjælp af et program udfører automa- tisk behandling af digitale data, eller c) digitale data, som lagres, behandles, fremfindes el- ler overføres ved brug af elementer i litra a og b med henblik på deres drift, brug, beskyttelse og vedligeholdelse. 3) Sikkerhed i net- og informationssystemer: Evnen for net- og informationssystemer til på et givet sikkerheds- niveau at modstå handlinger, der er til skade for tilgæn- geligheden, autenticiteten, integriteten eller fortrolighe- den i forbindelse med lagrede eller overførte eller be- handlede data eller de dermed forbundne tjenester, der tilbydes af eller er tilgængelige via disse net- og infor- mationssystemer. 4) Hændelse: Enhver begivenhed, der har en egentlig ne- gativ indvirkning på sikkerheden i net- og informa- tionssystemer. Kapitel 2 Operatører af væsentlige tjenester § 3. En enhed betragtes som en operatør af en væsentlig tjeneste, hvis 1) enheden leverer en tjeneste, der er væsentlig for opret- holdelsen af kritiske samfundsmæssige eller økonomi- ske aktiviteter inden for sundhedssektoren, 2) leveringen af denne tjeneste afhænger af net- og infor- mationssystemer og 3) en hændelse vil få væsentlige forstyrrende virkninger for leveringen af den nævnte tjeneste. Stk. 2. Operatører af væsentlige tjenester skal registrere sig hos sundhedsministeren. Stk. 3. Sundhedsministeren fastsætter nærmere regler om kriterierne i stk. 1 og registreringsordningen efter stk. 2. Kapitel 3 Sikkerhedskrav § 4. Operatører af væsentlige tjenester skal træffe passen- de og forholdsmæssige tekniske og organisatoriske foran- staltninger for at styre risiciene for sikkerheden i net- og in- formationssystemer, som de anvender til deres aktiviteter, og med disse foranstaltninger sikre et sikkerhedsniveau, der er passende til risikoen. Stk. 2. Operatører af væsentlige tjenester skal træffe pas- sende foranstaltninger for at forebygge og minimere konse- kvensen af hændelser, der berører sikkerheden i net- og in- formationssystemer, som anvendes til levering af sådanne væsentlige tjenester, med henblik på at sikre kontinuiteten i disse tjenester. Stk. 3. Sundhedsministeren fastsætter nærmere regler om foranstaltningerne i stk. 1 og 2. 1) Loven indeholder bestemmelser, der gennemfører dele af Europa-Parlamentets og Rådets direktiv 2016/1148/EU af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen, EU-Tidende 2016, nr. L 194, side 1. Til lovforslag nr. L 143 Folketinget 2017-18 Sundheds- og Ældremin., j.nr. 1706260 AX021422 Kapitel 4 Underretningspligt m.v. § 5. Operatører af væsentlige tjenester skal hurtigst muligt underrette sundhedsministeren og Center for Cybersikker- hed om hændelser, der har væsentlige konsekvenser for kon- tinuiteten af de væsentlige tjenester, som de leverer. Under- retningen skal indeholde oplysninger, der gør det muligt for sundhedsministeren at fastslå eventuelle grænseoverskriden- de konsekvenser af hændelsen. Stk. 2. Med henblik på at fastlægge omfanget af en hæn- delses konsekvenser efter stk. 1 skal operatøren af en væ- sentlig tjeneste navnlig tage følgende kriterier i betragtning: 1) Antallet af brugere, der berøres af afbrydelsen af den væsentlige tjeneste. 2) Hændelsens varighed. 3) Den geografiske udbredelse med hensyn til det område, der er berørt af hændelsen. Stk. 3. Tillader omstændighederne det, meddeler sund- hedsministeren relevante oplysninger til den underrettende operatør af en væsentlig tjeneste om opfølgningen på dennes underretning, herunder oplysninger, der kan støtte en effek- tiv håndtering af hændelsen. Stk. 4. Sundhedsministeren kan efter høring af den under- rettende operatør af en væsentlig tjeneste oplyse offentlighe- den om konkrete hændelser, hvis offentlighedens kendskab hertil er nødvendigt for at forebygge en hændelse eller hånd- tere en igangværende hændelse. Stk. 5. Sundhedsministeren fastsætter nærmere regler om underretning efter stk. 1, herunder hvilke oplysninger der skal underrettes om, og kriterierne for fastlæggelsen af om- fanget af en hændelses konsekvenser efter stk. 2. § 6. Sundhedsministeren kan fastsætte regler om, at skrift- lig kommunikation til og fra sundhedsministeren om nær- mere bestemte forhold, som er omfattet af denne lov eller af regler udstedt i medfør af loven, skal foregå digitalt. Stk. 2. En digital meddelelse anses for at være kommet frem, når den er tilgængelig for adressaten for meddelelsen. Stk. 3. Sundhedsministeren kan fastsætte regler om digital kommunikation, herunder om anvendelse af bestemte it-sy- stemer, særlige digitale formater og digital signatur el.lign. Kapitel 5 Tilsyn og påbud § 7. Sundhedsministeren fører tilsyn med de forpligtelser, der påhviler operatører af væsentlige tjenester i henhold til denne lov og regler, der er udstedt i medfør af loven. Stk. 2. Sundhedsministeren kan som led i sit tilsyn kræve, at operatører af væsentlige tjenester stiller oplysninger, der er nødvendige for tilsynet, til rådighed, herunder oplysnin- ger, der er nødvendige for at vurdere sikkerheden i deres net- og informationssystemer, og dokumentation for den faktiske gennemførelse af sikkerhedspolitikker. § 8. Sundhedsministeren kan påbyde operatører af væ- sentlige tjenester at efterkomme forpligtelser i henhold til denne lov og regler, der er udstedt i medfør af loven. Kapitel 6 Delegation af beføjelser til Sundhedsdatastyrelsen § 9. Sundhedsministeren kan bemyndige Sundhedsdata- styrelsen til at varetage opgaver, der i denne lov er tillagt ministeren. Kapitel 7 Straf § 10. Medmindre højere straf er forskyldt efter den øvrige lovgivning, straffes med bøde den, der undlader at efterkom- me sundhedsministerens påbud efter § 8. Stk. 2. I regler, der fastsættes i medfør af loven, kan der fastsættes straf i form af bøde. Stk. 3. Der kan pålægges selskaber m.v. (juridiske perso- ner) strafansvar efter reglerne i straffelovens 5. kapitel. Kapitel 8 Ikrafttræden m.v. § 11. Loven træder i kraft den 10. maj 2018. § 12. Loven gælder ikke for Færøerne og Grønland. Folketinget, den 3. maj 2018 PIA KJÆRSGAARD / Erling Bonnesen 2