Vedtaget af Folketinget ved 3. behandling den 26. november 2020

Vedtaget af Folketinget ved 3. behandling den 26. november 2020
Forslag
til
Lov om ændring af lov om net- og informationssikkerhed1)
(Implementering af direktivet om oprettelse af en europæisk kodeks for elektronisk kommunikation, for så vidt angår sikkerhed
i net og tjenester)
§ 1
I lov nr. 1567 af 15. december 2015 om net- og
informationssikkerhed foretages følgende ændringer:
1. Lovens titel affattes således:
»Lov om sikkerhed i net og tjenester«.
2. Fodnoten til lovens titel affattes således:
»1) Loven indeholder bestemmelser, der gennemfører
dele af Europa-Parlamentets og Rådets direktiv
2018/1972/EU af 11. december 2018 om oprettelse af
en europæisk kodeks for elektronisk kommunikation
(omarbejdning), EU-Tidende 2018, nr. L 321, side 36.«
3. § 1 affattes således:
»§ 1. Lovens formål er at fremme sikkerheden i net og
tjenester.
Stk. 2. Henvisninger i loven og administrative forskrif‐
ter udstedt i medfør af loven til Europa-Parlamentets og
Rådets direktiv 2002/21/EF af 7. marts 2002 om fælles
rammebestemmelser for elektroniske kommunikationsnet og
-tjenester (rammedirektivet) med senere ændringer samt
Europa-Parlamentets og Rådets direktiv 2002/22/EF af 7.
marts 2002 om forsyningspligt og brugerrettigheder i for‐
bindelse med elektroniske kommunikationsnet og -tjenester
(forsyningspligtdirektivet) med senere ændring gælder som
henvisninger til Europa-Parlamentets og Rådets direktiv
2018/1972/EU af 11. december 2018 om oprettelse af en eu‐
ropæisk kodeks for elektronisk kommunikation (omarbejd‐
ning) og skal læses efter sammenligningstabellen i direkti‐
vets bilag XIII.«
4. § 2 affattes således:
»§ 2. I denne lov forstås ved:
1) Elektronisk kommunikationsnet: Transmissionssystem,
uanset om det bygger på en permanent infrastruktur
eller en centraliseret administrationskapacitet, og, hvor
det er relevant, koblings- og dirigeringsudstyr og andre
ressourcer, herunder netelementer, der ikke er aktive,
som gør det muligt at overføre signaler ved hjælp af
trådforbindelse, radiobølger, lyslederteknik eller andre
elektromagnetiske midler, herunder satellitnet, jordba‐
serede fastnet (kredsløbs- og pakkekoblede, herunder
i internettet) og mobilnet, elkabelsystemer, i det om‐
fang de anvendes til transmission af signaler, net, som
anvendes til radio- og tv-spredning, og kabel-tv-net,
uanset hvilken type information der overføres.
2) Elektronisk kommunikationstjeneste: Tjeneste, der helt
eller delvis består i elektronisk overførsel af kommuni‐
kation i form af lyd, billeder, tekst eller kombinationer
heraf ved hjælp af radio- eller telekommunikationstek‐
nik mellem nettermineringspunkter.
3) Offentligt tilgængelige elektroniske kommunikations‐
net og -tjenester: Elektroniske kommunikationsnet og
‑tjenester, der stilles til rådighed for en ikke på forhånd
afgrænset kreds af slutbrugere eller udbydere.
4) Udbyder: Den, der med et kommercielt formål stiller
produkter, elektroniske kommunikationsnet eller -tjene‐
ster til rådighed for andre. Begrebet omfatter ikke ud‐
bydere af NUIK-tjenester, jf. nr. 6.
5) Erhvervsmæssig udbyder: En udbyder, der med et kom‐
mercielt formål udbyder produkter, elektroniske kom‐
munikationsnet eller -tjenester som sin hovedydelse
eller som en ikke accessorisk del af virksomheden. Be‐
1) Loven gennemfører dele af Europa-Parlamentets og Rådets direktiv 2018/1972/EU af 11. december 2018 om oprettelse af en europæisk kodeks for
elektronisk kommunikation (omarbejdning), EU-Tidende 2018, nr. L 321, side 36.
Til lovforslag nr. L 33 Folketinget 2020-21
Forsvarsmin., j.nr. 2020/001200
AX025206
grebet omfatter ikke udbydere af NUIK-tjenester, jf. nr.
6.
6) Udbyder af NUIK-tjeneste: En udbyder af en num‐
meruafhængig interpersonel kommunikationstjeneste i
form af en tjeneste, som normalt ydes mod betaling,
og som muliggør direkte interpersonel og interaktiv
informationsudveksling via elektroniske kommunika‐
tionsnet mellem et afgrænset antal personer, hvor de
personer, der indleder eller deltager i kommunikatio‐
nen, bestemmer, hvem modtageren eller modtagerne
skal være. Omfattet er ikke tjenester, der blot mulig‐
gør interpersonel og interaktiv kommunikation som en
mindre støttefunktion, der er tæt knyttet til en anden
tjeneste. Tjenesten etablerer ikke forbindelse til offent‐
ligt tildelte nummerressourcer, dvs. et eller flere numre
i nationale eller internationale nummerplaner, og mu‐
liggør ikke kommunikation med et eller flere numre i
nationale eller internationale nummerplaner.
7) Sikkerhed i net og tjenester: Net og tjenesters evne til
på et givet fortrolighedsniveau at modstå handlinger,
der er til skade for tilgængeligheden, autenticiteten, in‐
tegriteten eller fortroligheden af disse net og tjenester,
lagrede eller overførte eller behandlede data eller de
dermed forbundne tjenester, der tilbydes af eller er til‐
gængelige via disse net eller tjenester.
8) Sikkerhedshændelse: En begivenhed, der har en faktisk
negativ indvirkning på sikkerheden i net og tjenester.«
5. I overskriften til kapitel 2 ændres »Informationssikker‐
hed« til: »Sikkerhed«.
6. § 3, stk. 1, affattes således:
»Center for Cybersikkerhed fastsætter regler om mini‐
mumskrav til sikkerhed i net og tjenester for udbydere af
offentligt tilgængelige elektroniske kommunikationsnet og
‑tjenester og udbydere af NUIK-tjenester. Reglerne kan om‐
fatte krav om passende tekniske, processuelle og organisato‐
riske foranstaltninger med henblik på risikostyring i forhold
til sikkerhed i net og tjenester og opretholdelse af et passen‐
de sikkerhedsniveau, herunder krav om, at sådanne foran‐
staltninger gennemføres på baggrund af dokumenterede og
ledelsesforankrede processer.«
7. I § 3, stk. 2, ændres »offentligt tilgængelige net og
tjenester« til: »offentligt tilgængelige elektroniske kommu‐
nikationsnet og -tjenester«, og »informationssikkerheden«
ændres til: »sikkerheden i net og tjenester«.
8. I § 3 indsættes efter stk. 2 som nyt stykke:
»Stk. 3. Center for Cybersikkerhed kan påbyde udbydere
af offentligt tilgængelige elektroniske kommunikationsnet
og -tjenester og udbydere af NUIK-tjenester at træffe kon‐
krete foranstaltninger, der er nødvendige for at afhjælpe en
sikkerhedshændelse eller hindre en sådan i at forekomme,
når en betydelig trussel er identificeret. Centeret fastsætter
nærmere regler herom.«
Stk. 3 bliver herefter stk. 4.
9. I § 3, stk. 3, der bliver stk. 4, ændres »offentligt tilgænge‐
lige net og tjenester« til: »offentligt tilgængelige elektroni‐
ske kommunikationsnet og -tjenester«, og »informationssik‐
kerheden i offentligt tilgængelige net og tjenester« ændres
til: »sikkerheden i net og tjenester«.
10. I § 4, 1. pkt., indsættes efter »for udbydere«: »og udby‐
dere af NUIK-tjenester«.
11. I § 4, nr. 1 og 2, ændres »offentligt tilgængelige net og
tjenesters« til: »offentligt tilgængelige elektroniske kommu‐
nikationsnet og -tjenesters«.
12. § 4, nr. 3 og 4, ophæves, og i stedet indsættes:
»3) Udbydere af offentligt tilgængelige elektroniske kom‐
munikationsnet og -tjenesters og udbydere af NUIK-
tjenesters underretning af Center for Cybersikkerhed
uden unødigt ophold om sikkerhedshændelser, der har
haft væsentlig indvirkning på driften af net eller tjene‐
ster.
4) Udbydere af offentligt tilgængelige elektroniske kom‐
munikationsnet og -tjenesters og udbydere af NUIK-
tjenesters underretning af offentligheden ved sikker‐
hedshændelser, der har haft væsentlig indvirkning på
driften af net eller tjenester.
5) Udbydere af offentligt tilgængelige elektroniske kom‐
munikationsnet og -tjenesters og udbydere af NUIK-
tjenesters informering af deres potentielt berørte bru‐
gere om mulige beskyttelsesforanstaltninger eller af‐
hjælpende foranstaltninger, som brugerne kan træffe i
tilfælde af en særlig og betydelig trussel om en sikker‐
hedshændelse i udbyderens net eller tjenester. Der kan
endvidere stilles krav om, at de pågældende udbydere
skal informere deres brugere om selve truslen.«
13. I § 5, stk. 2, ændres »offentligt tilgængelige net og
tjenester« til: »offentligt tilgængelige elektroniske kommu‐
nikationsnet og -tjenester«.
14. Efter § 5 indsættes i kapitel 3:
»§ 5 a. Center for Cybersikkerhed fastsætter regler om,
at udbydere, som i medfør af lov om elektroniske kommu‐
nikationsnet og -tjenester skal udsende offentlige advarsler
om overhængende eller truende alvorlige nødsituationer og
katastrofer, skal træffe alle nødvendige foranstaltninger til at
sikre uafbrudt transmission af advarslerne.«
15. I § 6, stk. 1, ændres »informationssikkerhed« til: »sik‐
kerhed i net og tjenester«.
16. I § 6, stk. 2, ændres »offentligt tilgængelige net« til:
»offentligt tilgængelige elektroniske kommunikationsnet«.
17. I § 9, stk. 2, ændres »udbydere« til: »udbydere og
udbydere af NUIK-tjenester«, og »informationssikkerhed«
ændres til: »sikkerhed i net og tjenester«.
18. I § 9, stk. 5, ændres »udbydere« til: »udbydere og udby‐
dere af NUIK-tjenester«.
2
19. I § 9, stk. 6, 1. pkt., og stk. 7, 1. pkt., ændres »informa‐
tionssikkerheden« til: »sikkerheden i net og tjenester«.
20. I § 10, stk. 1, nr. 1, ændres »§ 3, stk. 2 og 3,« til: »§ 3,
stk. 2, 3 og 4,«, »§ 3, stk. 1 og 3,« ændres til: »§ 3, stk. 1, 3
og 4,«, og efter »§ 5, stk. 1, 2 og 3,« indsættes: »§ 5 a«.
21. I § 10, stk. 2, nr. 1, ændres »den udbyder« til: »den
udbyder eller udbyder af NUIK-tjenester«.
22. I § 12, stk. 1 og 2, ændres »udbydere« til: »udbydere og
udbydere af NUIK-tjenester«, og »Det Europæiske Agentur
for Net- og Informationssikkerhed« ændres til: »Den Euro‐
pæiske Unions Agentur for Cybersikkerhed«.
23. I § 13 ændres »informationssikkerhed og beredskab på
teleområdet« til: »sikkerhed i net og tjenester«.
24. I § 14, stk. 1, nr. 1, ændres »§ 3, stk. 2 eller 3« til: »§ 3,
stk. 2, 3 eller 4«.
25. I § 14, stk. 2, ændres »§ 3, stk. 1 eller 3« til: »§ 3, stk. 1,
3 eller 4«, og efter »§ 5, stk. 1, 2 eller 3,« indsættes: »§ 5 a«.
§ 2
Loven træder i kraft den 21. december 2020.
Folketinget, den 26. november 2020
Karen Ellemann
/ Annette Lind
3