Efter afstemningen i Folketinget ved 2.
behandling den 26. april 2018
Forslag
til
Lov om sikkerhed i net- og informationssystemer i
transportsektoren1)
Kapitel 1
Anvendelsesområde og
definitioner
§ 1.
Loven finder anvendelse på operatører af
væsentlige transporttjenester.
§ 2.
I denne lov forstås ved:
1)
Operatør af en væsentlig transporttjeneste: En
offentlig eller privat enhed, der udpeges af transport-, bygnings-
og boligministeren som operatør af en væsentlig
transporttjeneste i medfør af § 3, stk. 1, og som
varetager opgaver vedrørende lufttransport,
jernbanetransport, søfart inden for transport-, bygnings- og
boligministeriets område og vejtransport.
2) Net- og
informationssystem:
a) Et
elektronisk kommunikationsnet, der udgøres af
transmissionssystemer og, hvor det er relevant, koblings- og
dirigeringsudstyr og andre ressourcer, herunder netelementer, der
ikke er aktive, som gør det muligt at overføre
signaler ved hjælp af trådforbindelse,
radiobølger, lyslederteknik eller andre elektromagnetiske
midler, herunder satellitnet, jordbaserede fastnet
(kredsløbs- og pakkekoblede, herunder i internettet) og
mobilnet, elkabelsystemer, i det omfang de anvendes til
transmission af signaler, net, som anvendes til radio- og
tv-spredning, samt kabel-tv-net, uanset hvilken type information
der overføres.
b) Enhver
anordning eller gruppe af indbyrdes forbundne eller
beslægtede anordninger, hvoraf en eller flere ved hjælp
af et program udfører automatisk behandling af digitale
data.
c) Digitale
data, som lagres, behandles, fremfindes eller overføres ved
brug af elementer i litra a og b med henblik på deres drift,
brug, beskyttelse og vedligeholdelse.
3) Sikkerhed i
net- og informationssystemer: Evnen for net- og
informationssystemer til på et givet sikkerhedsniveau at
modstå handlinger, der er til skade for
tilgængeligheden, autenticiteten, integriteten eller
fortroligheden i forbindelse med lagrede eller overførte
eller behandlede data eller de dermed forbundne tjenester, der
tilbydes af eller er tilgængelige via disse net- og
informationssystemer.
4)
Hændelse: Enhver begivenhed, der har en egentlig negativ
indvirkning på sikkerheden i net- og
informati?onssystemer.
5) Risiko:
Enhver rimelig identificerbar omstændighed eller begivenhed,
der har en potentiel negativ indvirkning på sikkerheden i
net- og informationssystemer.
6) Nationalt
centralt kontaktpunkt: En national kompetent enhed med ansvar for
at koordinere spørgsmål vedrørende sikkerheden
i net- og informationssystemer samt grænseoverskridende
samarbejde i EU herom.
7) CSIRT: En
national it-beredskabsenhed, der håndterer hændelser,
og som har ansvar for at sikre samarbejdet om sikkerheden i net- og
informationssystemer i EU.
Kapitel 2
Udpegning af operatører af
væsentlige transporttjenester
§ 3.
Transport-, bygnings- og boligministeren udpeger en operatør
af en væsentlig transporttjeneste. Ministeren vurderer
løbende, dog mindst hvert andet år, hvilke
operatører af væsentlige transporttjenester der skal
udpeges i medfør af 1. pkt.
Stk. 2.
Transport-, bygnings- og boligministeren skal i forbindelse med
udpegningen efter stk. 1 lægge vægt på, at
1) enheden
leverer en transporttjeneste, der er væsentlig for
opretholdelsen af kritiske samfundsmæssige eller
økonomiske aktiviteter,
2) leveringen af
transporttjenesten afhænger af net- og informationssystemer
og
3) en
hændelse vil få væsentlige forstyrrende
virkninger for leveringen af den nævnte
transporttjeneste.
Stk. 3.
Transport-, bygnings- og boligministeren kan fastsætte
nærmere regler om udpegningen af en operatør af en
væsentlig transporttjeneste og tilbagekaldelse af
udpegningen. Ministeren kan herunder fastsætte regler om de
kriterier, der skal lægges vægt på ved
udpegningen af en operatør, tidsbegrænsning på
udpegningen m.v.
Kapitel 3
Sikkerhedskrav til en operatør
af en væsentlig transporttjeneste
§ 4.
Operatører af væsentlige transporttjenester skal
træffe passende og forholdsmæssige tekniske og
organisatoriske foranstaltninger for at styre risiciene for
sikkerheden i net- og informationssystemer, som de anvender til den
del af deres aktiviteter, hvor en hændelse vil få
væsentlige forstyrrende virkninger for leveringen af den
nævnte transporttjeneste. Foranstaltningerne skal sikre et
sikkerhedsniveau for net- og informationssystemer, der er
proportionalt med risiciene.
Stk. 2.
Operatører af væsentlige transporttjenester skal
træffe passende foranstaltninger for at forebygge og minimere
konsekvensen af en hændelse, der kan have en negativ
indvirkning på de net- og informationssystemer, som anvendes
til levering af en væsentlig transporttjeneste.
Stk. 3.
Transport-, bygnings- og boligministeren fastsætter
nærmere regler om foranstaltninger efter stk. 1 og 2,
herunder om sagernes behandling, tidsfrister m.v. Ministeren kan
endvidere fastsætte regler, hvor der stilles krav om, at
dokumentation for, at der er truffet de nødvendige
foranstaltninger efter stk. 1 og 2, skal ske ved akkrediteret
certificering i overensstemmelse med reglerne og efter en
internationalt anerkendt standard for styring af sikkerheden i net-
og informationssystemer. Ministeren kan endelig fastsætte
regler om de informationer, som ministeren skal modtage om valg af
certificeringsordning.
Kapitel 4
Underretning, videregivelse og
offentliggørelse af oplysninger
§ 5.
Operatører af væsentlige transporttjenester skal
hurtigst muligt underrette transport-, bygnings- og boligministeren
og CSIRT om hændelser, der har væsentlige konsekvenser
for kontinuiteten af de væsentlige transporttjenester, som de
leverer.
Stk. 2. Ved
vurderingen af, om en hændelse har væsentlige
konsekvenser for kontinuiteten af de væsentlige
transporttjenester, skal operatøren navnlig tage
følgende kriterier i betragtning:
1) Antallet af
brugere, der berøres af afbrydelsen af den væsentlige
transporttjeneste.
2)
Hændelsens varighed.
3) Den
geografiske udbredelse med hensyn til det område, der er
berørt af hændelsen.
§ 6.
Operatører af øvrige transporttjenester kan på
frivillig basis foretage underretning til transport-, bygnings- og
boligministeren og CSIRT om hændelser, der har
væsentlige konsekvenser for udøvelsen af de
transporttjenester, som de leverer. Transport-, bygnings- og
boligministeren er forpligtet til at behandle frivillige
underretninger på samme måde, som pligtmæssige
underretninger behandles.
§ 7.
Transport-, bygnings- og boligministeren kan fastsætte regler
om underretninger efter §§ 5 og 6, herunder
fastsætte nærmere regler om indholdet af en
underretning, vurderingen af, om en hændelse er omfattet af
underretningspligten, og vægtningen af kriterierne i §
5, stk. 2, samt om, at underretninger og anden skriftlig
kommunikation til og fra ministeren om nærmere bestemte
forhold, som er omfattet af denne lov eller regler udstedt i
medfør heraf, skal foregå digitalt.
§ 8.
Transport-, bygnings- og boligministeren kan videregive oplysninger
til CSIRT om hændelser, der er nødvendige for CSIRT
til opfyldelse af dets lovbestemte opgaver som nationalt centralt
kontaktpunkt og som CSIRT.
§ 9.
Transport-, bygnings- og boligministeren kan efter høring af
den underrettende operatør oplyse offentligheden om konkrete
hændelser, hvis offentlighedens kendskab hertil er
nødvendigt for at forebygge en hændelse eller
håndtere en igangværende hændelse.
Stk. 2.
Oplysninger til offentligheden efter stk. 1 må ikke
indeholde
1) oplysninger
om tekniske indretninger, fremgangsmåder, drifts- og
forretningsforhold el.lign., for så vidt den underrettende
operatør gør gældende, at disse oplysninger har
væsentlig forretningsmæssig betydning for
operatøren,
2) oplysninger,
der af transport-, bygnings- og boligministeren vurderes at
være af væsentlig betydning for statens sikkerhed eller
rigets forsvar,
3) fortrolige
informationer eller
4) oplysninger
om enkeltpersoners forhold.
Kapitel 5
Administration, påbud og
tilsyn
§
10. Transport-, bygnings- og boligministeren fører
tilsyn med, at en operatør af en væsentlig
transporttjeneste overholder denne lov og regler udstedt i
medfør heraf. Til brug for tilsynet skal operatører
af væsentlige tjenester på anmodning fra transport-,
bygnings- og boligministeren afgive de oplysninger, der er
nødvendige for tilsynet.
Stk. 2.
Transport-, bygnings- og boligministeren kan påbyde, at
forhold, der strider mod lovens §§ 4 og 5 og de regler,
der er fastsat i medfør af loven, og EU-forordninger
på net- og informationssikkerhedsområdet på
transportområdet, bringes i orden straks eller inden en
nærmere angivet frist.
Stk. 3.
Transport-, bygnings- og boligministeren kan fastsætte
nærmere regler om det tilsyn, der skal føres med
overholdelse af loven og med de regler, der er udstedt i
medfør af loven.
§
11. Transport-, bygnings- og boligministeren kan
fastsætte regler, som er nødvendige for at
gennemføre de direktiver, som Den Europæiske Union
udsteder, vedrørende sikkerhed i net- og
informationssystemer på transportområdet, herunder
regler om tilsyn, påbud m.v., eller som er nødvendige
for at anvende de forordninger, som Den Europæiske Union
udsteder, vedrørende sikkerhed i net- og
informati?onssystemer på transportområdet.
§
12. Transport-, bygnings- og boligministeren kan bemyndige
Trafik-, Bygge- og Boligstyrelsen eller andre statslige myndigheder
til at udøve ministerens beføjelser efter denne
lov.
Stk. 2.
Transport-, bygnings- og boligministeren kan fastsætte regler
om adgangen til at klage over afgørelser, der træffes
i henhold til denne lov eller forskrifter udstedt i medfør
heraf, herunder om klagefrister og afskæring af
klageadgang.
Kapitel 6
Straf
§
13. Medmindre strengere straf er forskyldt efter anden
lovgivning, straffes med bøde den operatør, der
undlader
1) hurtigst
muligt at underrette transport-, bygnings- og boligministeren og
CSIRT om hændelser, der har væsentlige konsekvenser for
kontinuiteten af de væsentlige transporttjenester, som
operatøren leverer, eller
2) at efterkomme
transport-, bygnings- og boligministerens påbud udstedt i
henhold til § 10, stk. 2, regler fastsat i medfør af
loven eller EU-forordninger vedrørende net- og
informationssikkerhed på transportområdet.
Stk. 2. I
regler, der fastsættes i medfør af loven, kan der
fastsættes straf i form af bøde.
Stk. 3. Der kan
pålægges selskaber m.v. (juridiske personer)
strafansvar efter reglerne i straffelovens 5. kapitel.
Kapitel 7
Ikrafttræden m.v.
§
14. Loven træder i kraft den 10. maj 2018.
§
15. Loven gælder ikke for Færøerne og
Grønland, men kan ved kongelig anordning helt eller delvis
sættes i kraft for Færøerne og Grønland
med de ændringer, som henholdsvis de færøske og
de grønlandske forhold tilsiger.
Officielle noter
1)
Loven indeholder bestemmelser, der gennemfører dele af
Europa-Parlamentets og Rådets direktiv 2016/1148/EU af 6.
juli 2016 om foranstaltninger, der skal sikre et højt
fælles sikkerhedsniveau for net- og informationssystemer i
hele Unionen, EU-Tidende 2016, nr. L 194, side 1.