Fremsat den 7. februar 2018 af transport-, bygnings- og boligministeren (Ole Birk Olesen)

Forslag

til

Lov om sikkerhed i net- og informationssystemer i transportsektoren1

Kapitel 1

Anvendelsesområde og definitioner

§ 1. Loven finder anvendelse på operatører af væsentlige transporttjenester.

§ 2. I denne lov forstås ved:

1) Operatør af en væsentlig transporttjeneste: En offentlig eller privat enhed, der udpeges af transport-, bygnings- og boligministeren som operatør af en væsentlig transporttjeneste i medfør af § 3, stk. 1, og som varetager opgaver vedrørende lufttransport, jernbanetransport, søfart inden for transport-, bygnings- og boligministeriets område og vejtransport.

2) Net- og informationssystem:

a) Et elektronisk kommunikationsnet, der udgøres af transmissionssystemer og, hvor det er relevant, koblings- og dirigeringsudstyr og andre ressourcer, herunder netelementer, der ikke er aktive, som gør det muligt at overføre signaler ved hjælp af trådforbindelse, radiobølger, lyslederteknik eller andre elektromagnetiske midler, herunder satellitnet, jordbaserede fastnet (kredsløbs- og pakkekoblede, herunder i internettet) og mobilnet, elkabelsystemer, i det omfang de anvendes til transmission af signaler, net, som anvendes til radio- og tv-spredning, samt kabel-tv-net, uanset hvilken type information, der overføres.

b) Enhver anordning eller gruppe af indbyrdes forbundne eller beslægtede anordninger, hvoraf en eller flere ved hjælp af et program udfører automatisk behandling af digitale data.

c) Digitale data, som lagres, behandles, fremfindes eller overføres ved brug af elementer i litra a og b med henblik på deres drift, brug, beskyttelse og vedligeholdelse.

3) Sikkerhed i net- og informationssystemer: Evnen for net- og informationssystemer til på et givet sikkerhedsniveau at modstå handlinger, der er til skade for tilgængeligheden, autenticiteten, integriteten eller fortroligheden i forbindelse med lagrede eller overførte eller behandlede data eller de dermed forbundne tjenester, der tilbydes af eller er tilgængelige via disse net- og informationssystemer.

4) Hændelse: Enhver begivenhed, der har en egentlig negativ indvirkning på sikkerheden i net- og informationssystemer.

5) Risiko: Enhver rimelig identificerbar omstændighed eller begivenhed, der har en potentiel negativ indvirkning på sikkerheden i net- og informationssystemer.

6) Nationalt centralt kontaktpunkt: En national kompetent enhed med ansvar for at koordinere spørgsmål vedrørende sikkerheden i net- og informationssystemer samt grænseoverskridende samarbejde i EU herom.

7) CSIRT: En national it-beredskabsenhed, der håndterer hændelser, og som har ansvar for at sikre samarbejdet om sikkerheden i net- og informationssystemer i EU.

Kapitel 2

Udpegning af operatører af væsentlige transporttjenester

§ 3. Transport-, bygnings- og boligministeren udpeger en operatør af en væsentlig transporttjeneste. Ministeren vurderer løbende, dog mindst hvert andet år, hvilke operatører af væsentlige transporttjenester, der skal udpeges i medfør af 1. pkt.

Stk. 2. Transport-, bygnings- og boligministeren skal i forbindelse med udpegningen efter stk. 1 lægge vægt på, at

1) enheden leverer en transporttjeneste, der er væsentlig for opretholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter,

2) leveringen af transporttjenesten afhænger af net- og informationssystemer, og

3) en hændelse vil få væsentlige forstyrrende virkning for leveringen af den nævnte transporttjeneste.

Stk. 3. Transport-, bygnings- og boligministeren kan fastsætte nærmere regler om udpegningen af en operatør af en væsentlig transporttjeneste og tilbagekaldelse af udpegningen. Ministeren kan herunder fastsætte regler om de kriterier, der skal lægges vægt på ved udpegningen af en operatør, tidsbegrænsning på udpegningen m.v.

Kapitel 3

Sikkerhedskrav til en operatør af en væsentlig transporttjeneste

§ 4. Operatører af væsentlige transporttjenester skal træffe passende og forholdsmæssige tekniske og organisatoriske foranstaltninger for at styre risiciene for sikkerheden i net- og informationssystemer, som de anvender til den del af deres aktiviteter, hvor en hændelse vil få væsentlig forstyrrende virkning for leveringen af den nævnte transporttjeneste. Foranstaltningerne skal sikre et sikkerhedsniveau for net- og informationssystemer, der er proportionale med risiciene.

Stk. 2. Operatører af væsentlige transporttjenester skal træffe passende foranstaltninger for at forebygge og minimere konsekvensen af en hændelse, der kan have en negativ indvirkning på de net- og informationssystemer, som anvendes til levering af en væsentlig transporttjeneste.

Stk. 3. Transport-, bygnings- og boligministeren fastsætter nærmere regler om foranstaltninger efter stk. 1 og 2, herunder om sagernes behandling, tidsfrister m.v. Ministeren kan endvidere fastsætte regler, hvor der stilles krav om, at dokumentation for, at der er truffet de nødvendige foranstaltninger efter stk. 1 og 2, skal ske ved akkrediteret certificering i overensstemmelse med reglerne og efter en internationalt anerkendt standard for styring af sikkerheden i net- og informationssystemer. Ministeren kan endelig fastsætte regler om de informationer, som ministeren skal modtage om valg af certificeringsordning.

Kapitel 4

Underretning, videregivelse og offentliggørelse af oplysninger

§ 5. Operatører af væsentlige transporttjenester skal hurtigst muligt underrette transport-, bygnings- og boligministeren og CSIRT om hændelser, der har væsentlige konsekvenser for kontinuiteten af de væsentlige transporttjenester, som de leverer.

Stk. 2. Ved vurderingen af, om en hændelse har væsentlige konsekvenser for kontinuiteten af de væsentlige transporttjenester, skal operatøren navnlig tage følgende kriterier i betragtning:

1) Antallet af brugere, der berøres af afbrydelsen af den væsentlige transporttjeneste.

2) Hændelsens varighed.

3) Den geografiske udbredelse med hensyn til det område, der er berørt af hændelsen.

§ 6. Operatører af øvrige transporttjenester kan på frivillig basis foretage underretning til transport-, bygnings- og boligministeren og CSIRT om hændelser, der har væsentlige konsekvenser for udøvelsen af de transporttjenester, som de leverer. Transport-, bygnings- og boligministeren er forpligtet til at behandle frivillige underretninger på samme måde, som pligtmæssige underretninger behandles.

§ 7. Transport-, bygnings- og boligministeren kan fastsætte regler om underretninger efter §§ 5 og 6, herunder fastsætte nærmere regler om indholdet af en underretning, vurderingen af, om en hændelse er omfattet af underretningspligten, vægtning af kriterierne i § 5, stk. 2, samt om underretninger og anden skriftlig kommunikation til og fra ministeren om nærmere bestemte forhold, som er omfattet af denne lov eller regler udstedt i medfør heraf, skal foregå digitalt.

§ 8. Transport-, bygnings- og boligministeren kan videregive oplysninger til CSIRT om hændelser, der er nødvendige for CSIRT til opfyldelse af dets lovbestemte opgaver som nationalt centralt kontaktpunkt og CSIRT.

§ 9. Transport-, bygnings- og boligministeren kan efter høring af den underrettende operatør oplyse offentligheden om konkrete hændelser, hvis offentlighedens kendskab hertil er nødvendigt for at forebygge en hændelse eller håndtere en igangværende hændelse.

Stk. 2. Oplysninger til offentligheden efter stk. 1 må ikke indeholde

1) oplysninger om tekniske indretninger, fremgangsmåder, drifts- og forretningsforhold el. lign. for så vidt den underrettende operatør gør gældende, at disse oplysninger har væsentlig forretningsmæssig betydning for operatøren,

2) oplysninger, der af transport-, bygnings- og boligministeren vurderes at være af væsentlig betydning for statens sikkerhed eller rigets forsvar,

3) fortrolige informationer, eller

4) oplysninger om enkeltpersoners forhold.

Kapitel 5

Administration, påbud og tilsyn

§ 10. Transport-, bygnings- og boligministeren fører tilsyn med, at en operatør af en væsentlig transporttjeneste overholder denne lov samt regler udstedt i medfør heraf. Til brug for tilsynet skal operatører af væsentlige tjenester på anmodning fra transport-, bygnings- og boligministeren afgive de oplysninger, der er nødvendige for tilsynet.

Stk. 2. Transport-, bygnings- og boligministeren kan påbyde, at forhold, der strider mod lovens §§ 4 og 5 og de regler, der er fastsat i medfør af loven, samt EU-forordninger på net- og informationssikkerhedsområdet på transportområdet, bringes i orden straks eller inden en nærmere angivet frist.

Stk. 3. Transport-, bygnings- og boligministeren kan fastsætte nærmere regler om det tilsyn, der skal føres med overholdelse af loven samt med de regler, der er udstedt i medfør af loven.

§ 11. Transport-, bygnings- og boligministeren kan fastsætte regler, som er nødvendige for at gennemføre de direktiver som Den Europæiske Union udsteder vedrørende sikkerhed i net- og informationssystemer på transportområdet, herunder regler om tilsyn, påbud m.v., eller som er nødvendige for at anvende de forordninger, som Den Europæiske Union udsteder vedrørende sikkerhed i net- og informationssystemer på transportområdet.

§ 12. Transport-, bygnings- og boligministeren kan bemyndige Trafik-, Bygge- og Boligstyrelsen eller andre statslige myndigheder til at udøve ministerens beføjelser efter denne lov.

Stk. 2. Transport-, bygnings- og boligministeren kan fastsætte regler om adgangen til at klage over afgørelser, der træffes i henhold til denne lov eller forskrifter udstedt i medfør heraf, herunder om klagefrister samt afskæring af klageadgang.

Kapitel 6

Straf

§ 13. Medmindre strengere straf er forskyldt efter anden lovgivning, straffes med bøde den, der undlader

1) hurtigst muligt at underrette transport-, bygnings- og boligministeren og CSIRT om hændelser, der har væsentlige konsekvenser for kontinuiteten af de væsentlige transporttjenester, som de leverer, eller

2) at efterkomme transport-, bygnings- og boligministerens påbud udstedt i henhold til § 10, stk. 2, regler fastsat i medfør af loven eller EU-forordninger vedrørende net- og informationssikkerhed på transportområdet.

Stk. 2. I regler, der fastsættes i medfør af loven, kan der fastsættes straf i form af bøde.

Stk. 3. Der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens 5. kapitel.

Kapitel 7

Ikrafttræden m.v.

§ 14. Loven træder i kraft den 10. maj 2018.

§ 15. Loven gælder ikke for Færøerne og Grønland, men kan ved kongelig anordning helt eller delvis sættes i kraft for Færøerne og Grønland med de ændringer, som de henholdsvis færøske og grønlandske forhold tilsiger.

Bemærkninger til lovforslaget

Almindelige bemærkninger

1. Indledning

Formålet med lovforslaget er at sikre en effektiv gennemførelse af de for transport-, bygnings- og boligministeren relevante dele af Europa-Parlamentets og Rådets direktiv 2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen (i det følgende benævnt: NIS-direktivet).

NIS-direktivets anvendelsesområde afgrænses overordnet til de vigtigste dele af medlemsstaternes infrastruktur. Det betyder derfor, at direktivet ikke kun stiller krav til transportsektoren, men også til energisektoren, den finansielle sektor, sundhedssektoren, vandforsyningssektoren og udbydere af digitale tjenester.

Dette lovforslag vedrører specifikt implementering af NIS-direktivet inden for transportsektoren. Der findes ikke i dansk ret regler, der svarer til eller har et tilsvarende formål som de bestemmelser, der indføres ved dette lovforslag. Der findes dog inden for nogle dele af transportsektoren regler, hvorefter operatørerne er forpligtet til at udarbejde eksempelvis beredskabs- og sikringsplaner baseret på konkrete risiko- og sårbarhedsvurderinger. Statslige myndigheder er pr. 1. september 2014, som følge af en regeringsbeslutning, forpligtet til at underrette Center for Cybersikkerhed i tilfælde af større it-sikkerhedsmæssige hændelser. De allerede gældende regler har dog ikke det specifikke fokus på net- og informationssikkerhed, som er formålet med NIS-direktivet og dette lovforslag.

Transportsektoren er ligesom resten af samfundet præget af en stigende grad af digitalisering. Flere og flere transporttjenester inkluderer digitale løsninger og digital infrastruktur, og i nogle tilfælde er selve transporttjenesten helt afhængig af den digitale infrastruktur for at kunne fungere. I andre tilfælde medvirker den digitale infrastruktur til en mere smidig og forudsigelig drift, der kommer brugerne af transporttjenesten til gavn. Et nedbrud af digital infrastruktur kan således betyde, at mobiliteten i Danmark og ind og ud af Danmark forringes. I værste fald kan et nedbrud betyde, at kritiske transporttjenester sættes helt ud af drift. For at sikre mobilitet i Danmark er det således afgørende, at der er et højt niveau af net- og informationssikkerhed blandt operatører af væsentlige transporttjenester.

Et konkret eksempel på en kritisk tjeneste, der er afhængig af digital infrastruktur, er den trafikledelse i luftrummet over Danmark, som Naviair varetager. Hvis Naviairs overvågningsudstyr eller kommunikationssystem ikke fungerer, vil der ikke være andre operatører, der har kapacitet til at overtage styringen, hvilket vil få en væsentlig forstyrrende effekt for flyvningen i dansk luftrum. Et andet konkret eksempel er den danske jernbanes afhængighed af digital infrastruktur. I det tilfælde at eksempelvis Banedanmarks signalprogram (ERTMS systemet) ikke længere fungerer, vil det betyde, at der ikke vil kunne køres tog på Banedanmarks strækninger. Da Banedanmark dækker størstedelen af den danske jernbaneinfrastruktur, vil det betyde, at togtrafikken i Danmark vil blive væsentligt forstyrret.

I begge disse eksempler er det således vigtigt, at den del af operatørernes net- og informationssystemer, der har betydning for driftssikkerheden af transporttjenesten, er underlagt et højt sikkerhedsniveau.

Dette lovforslag er udarbejdet som en generelt formuleret rammelov med bestemmelser, der dels indfører krav til de væsentligste offentlige og private enheder inden for transport-, bygnings- og boligministerens område - de, der udpeges som "operatører af væsentlige transporttjenester" - og dels indfører administrationsbestemmelser, som sikrer, at der kan fastsættes mere tekniske krav på bekendtgørelsesniveau med henblik på, at fremtidens regulering kan tilpasses den til enhver tid værende teknologiske og lovgivningsmæssige udvikling i samfundet.

2. Lovforslagets hovedpunkter

2.1. Om operatører af væsentlige transporttjenester og sikkerhedskravene

2.1.1. Gældende ret

De gældende regler på transportområdet differentierer ikke mellem operatører af væsentlige og ikke-væsentlige transporttjenester, ligesom der i transportsektorens lovgivning kun i et meget begrænset omfang stilles direkte sikkerhedskrav til operatørernes net- og informationssystemer.

De relevante operatører i transportsektoren er i et vist omfang i forvejen forpligtet til at udarbejde beredskabs- og sikringsplaner baseret på konkrete risiko- og sårbarhedsvurderinger.

På luftfartsområdet kan fremhæves Kommissionens gennemførelsesforordning (EU) Nr. 1035/2011 af 17. oktober 2011 om fastsættelse af fælles krav til udøvelse af luftfartstjenester mv., hvor der bl.a. stilles krav om, at der inden for rammerne af lufttrafiktjenesteudøverens sikkerhedsledelsessystem, det såkaldte Safety Management System (SMS), indføres et softwaresikringssystem. Luftfartstjenesteudøvere forpligtes endvidere til at udarbejde nødplaner i tilfælde af, at der indtræder begivenheder, som fører til væsentlig forringelse eller afbrydelse af deres tjenester.

Derudover indeholder luftfartslovens § 147 a, stk. 1, en mere generel forpligtelse til, at luftfartsselskaber og flyvepladser, hvis benyttelse til flyvning står åben for offentligheden, foretager nødvendig planlægning for at sikre luftfarten i beredskabssituationer og andre ekstraordinære situationer. Denne pligt består bl.a. i at udarbejde, ajourføre og afprøve beredskabsplanen med henblik på at sikre luftfarten i tilfælde af ulykker, katastrofer og andre ekstraordinære situationer.

Jernbaneloven, jf. lov nr. 686 af 27. maj 2015, indeholder i § 80 ligesom luftfartsloven en mere generel bestemmelse om, at det er jernbanevirksomhedernes og jernbaneinfrastrukturforvalternes ansvar at træffe de nødvendige foranstaltninger for at sikre jernbanen og jernbanedriften i beredskabssituationer og andre ekstraordinære situationer. Bestemmelsen i loven er udmøntet ved bekendtgørelse nr. 1312 af 16. december 2008 om jernbanevirksomheders og jernbaneinfrastrukturforvalteres beredskabsarbejde med senere ændringer.

Beskyttelsen af den internationale skibstrafik mod sikringsrelaterede hændelser er reguleret af Europa-Parlamentets og Rådets forordning (EF) nr. 725/2004 af 31. marts 2004 om bedre sikring af skibe og havnefaciliteter og EU direktiv 2005/65/EF af 26. oktober 2005 om bedre havnesikring. I henhold til disse EU-regler skal der udarbejdes en sårbarhedsvurdering, hvori havnens eller havnefacilitetens sårbarheder identificeres og vurderes, og en sikringsplan, der beskriver de sikringstiltag, som iværksættes for at imødegå sårbarhederne.

Sårbarhedsvurderinger og sikringsplaner for havne og havnefaciliteter skal godkendes af Trafik-, Bygge- og Boligstyrelsen, som også fører tilsyn med området. Net- og informationssikkerhed håndteres på samme måde som enhver anden mulig sårbarhed ved en havn eller havnefacilitet. EU-reglerne indeholder derudover en række specifikke bestemmelser, som er rettet mod net- og informationssikkerhed. Eksempelvis er der krav om, at vurderingen af sårbarheden omfatter computersystemer og -netværk, og at sikringsplaner i elektronisk format skal beskyttes vha. procedurer, som skal forhindre uautoriseret sletning, ødelæggelse eller ændring af sikringsplanen. Derudover skal sikringsplanen indeholde procedurer, der har til formål at beskytte sikkerhedsfølsomme oplysninger, der opbevares i elektronisk format.

Desuden er nogle af lovforslagets forventede pligtsubjekter en del af den offentlige forvaltning. I henhold til regeringens nationale strategi for cyber- og informationssikkerhed fra december 2014 har alle statslige myndigheder siden 2016 været forpligtet til at implementere den internationale sikkerhedsstandard ISO27001.

2.1.1.1. NIS-direktivet

Efter NIS-direktivets artikel 5, stk. 1, skal hver medlemsstat identificere operatører af væsentlige tjenester inden for en række forskellige sektorer, som Kommissionen på forhånd har vurderet til at være særligt vitale for det indre markeds funktion, herunder transportsektoren. En nærmere opdeling af disse sektorer i delsektorer kan findes i NIS-direktivets bilag II.

Medlemsstaterne skal i forlængelse heraf udarbejde en liste over væsentlige tjenester inden for de omfattede sektorer, jf. artikel 5, stk. 3. Listen over væsentlige tjenester skal opdateres regelmæssigt, og kan bruges til at identificere operatører af væsentlige tjenester.

I afgrænsningen af de operatører, der skal udpeges som operatører af væsentlige tjenester, skal der indgå en vurdering af, om den væsentlige tjeneste, som operatøren leverer, afhænger af net- og informationssystemer, og hvis dette er tilfældet, hvorvidt en hændelse må forventes at få væsentlig forstyrrende virkning for leveringen af den pågældende tjeneste.

De operatører, der udpeges som operatører af væsentlige tjenester, skal efter NIS-direktivets artikel 14, stk. 1 og 2, opfylde en række krav til sikkerheden i deres net- og informationssystemer. Det er medlemsstaterne, der skal sikre et effektivt tilsyn med operatørerne af væsentlige transporttjenester, jf. direktivets art. 15.

Det følger af NIS-direktivets artikel 19, at medlemsstaterne tilskyndes til at benytte europæiske eller internationalt anerkendte standarder og specifikationer, der er relevante for sikkerheden i net- og informationssystemer, uden at de påtvinger eller forskelsbehandler til fordel for anvendelse af en bestemt type teknologi.

2.1.2. Transport-, Bygnings- og Boligministeriets overvejelser

2.1.2.1 Identificering af operatører af væsentlige transporttjenester

Transport-, Bygnings- og Boligministeriet har overvejet, hvilken fremgangsmåde der inden for transportområdet sikrer den mest hensigtsmæssige gennemførelse af NIS-direktivet i dansk ret. Der er især to fremgangsmåder til identificering af operatører af væsentlige transporttjenester, der har været overvejet.

Den ene fremgangsmåde forudsætter, at der kan opstilles en række entydige objektive kriterier, som kvalificerer, hvad der indenfor den pågældende sektor kræves for at blive betragtet som en operatør af en væsentlig tjeneste og dermed forpligtet til at efterleve lovgivningen. Dette er særligt relevant for de sektorer, hvor der er en række operatører, som udfører ensartede opgaver i indbyrdes konkurrence om kunderne.

Den anden fremgangsmåde indebærer, at en operatør først bliver omfattet af lovgivningens forpligtelser, hvis der træffes en forvaltningsretlig afgørelse herom. Dette er særligt relevant i de sektorer, hvor der er ganske få og meget forskelligartede operatører, og hvor de kriterier, der ligger til grund for, at en operatør bliver omfattet af reglerne, ikke kan defineres entydigt, men vil bero på en konkret vurdering.

Transport-, Bygnings- og Boligministeriet har valgt sidstnævnte fremgangsmåde, idet transportsektoren er præget af ganske få og meget forskelligartede operatører, og hvor de kriterier, der ligger til grund for, at en operatør bliver omfattet af reglerne, ikke kan defineres entydigt. Ministeren vil derfor aktivt udpege de operatører, der bliver omfattet af de nye regler.

2.1.2.2 Valg af model for at sikre høj net- og informationssikkerhed hos operatører af væsentlige tjenester

Operatører af væsentlige tjenester skal som nævnt ovenfor træffe passende og forholdsmæssige foranstaltninger for at styre risiciene for sikkerheden i de net- og informationssystemer, der anvendes til at levere den væsentlige transporttjeneste. Foranstaltningerne skal både være af teknisk og organisatorisk karakter samt tage højde for det aktuelle teknologiske stadie med det formål at sikre et sikkerhedsniveau, der står mål med risikoen for hændelser.

Transport-, bygnings- og boligministeren vil få til opgave at sikre, at operatørerne lever op til deres forpligtigelser. I den forbindelse har der været overvejet to modeller:

- En statslig godkendelsesmodel, hvor Trafik-, Bygge- og Boligstyrelsen efter delegation godkender operatørernes risikostyringsforanstaltninger og fører tilsyn hermed.

- En certificeringsmodel, hvor operatørerne bliver pålagt at blive certificeret efter en international anerkendt standard efter eget valg.

Det bemærkes i den forbindelse, at ministerens beføjelser efter dette lovforslag vil blive delegeret til Trafik-, Bygge og Boligstyrelsen.

En statslig godkendelsesmodel indebærer, at Trafik-, Bygge- og Boligstyrelsen efter delegation udarbejder sikkerhedskrav om foranstaltninger af teknisk og organisatorisk karakter, som pålægges operatøren. Styrelsen skal herefter godkende, at operatøren følger de fastlagte krav, og styrelsen vil løbende skulle føre tilsyn med, at kravene er overholdt.

Trafik-, Bygge- og Boligstyrelsen fører i dag ikke tilsyn med IT- og informationssystemer hos operatørerne. Styrelsen råder derfor ikke over de IT-kompetencer, der vurderes nødvendige for at kunne føre et effektivt tilsyn med operatørernes efterlevelse af lovforslaget. Den statslige godkendelsesmodel forudsætter derfor, at styrelsen enten rekrutterer medarbejdere med særlig kompetence til at håndtere meget specialiserede IT-sikkerhedsopgaver eller køber denne kompetence hos eksterne konsulenter.

Trafik-, Bygge- og Boligstyrelsens godkendelses- og tilsynsvirksomhed på transportområdet er i dag i vid udstrækning brugerfinansieret i form af gebyrer eller afgifter. Ved en statslig godkendelsesmodel vil tilsynet med operatørernes overholdelse af denne lov ligeledes blive brugerfinansieret. Således vil styrelsen skulle opkræve gebyrer fra operatørerne til dækning af udgifterne til såvel sagsbehandlingen i styrelsen som viderefakturering for eventuelle eksterne konsulenter, som det skønnes nødvendigt at inddrage i vurderingen af efterlevelsen af reglerne.

En statslig godkendelsesmodel vil endelig ikke rumme den samme fleksibilitet for operatørerne, som den neden for beskrevne certificeringsmodel, hvor det er operatørerne, der selv vælger, hvilken standard de vil certificeres efter.

Ved certificeringsmodellen udpeges operatører af væsentlige transporttjenester ved en forvaltningsretlig afgørelse, som træffes af Trafik-, Bygge- og Boligstyrelsen, og operatørerne dokumenterer, at de er certificeret i overensstemmelse med en internationalt anerkendt standard for styring af net- og informationssikkerhed.

Ved at stille krav om akkrediteret certificering i henhold til en relevant internationalt anerkendt standard tilvejebringes det nødvendige grundlag for, at arbejdet med sikkerheden i net- og informationssystemer på transportområdet foregår på det højeste internationale niveau, hvilket gavner hele samfundet.

Et krav om certificering i henhold til en relevant internationalt anerkendt standard for styring af sikkerheden i net- og informationssystemer fører til, at de pågældende operatører løbende skal forholde sig til deres overordnede sikkerhedspolitik i forhold til de net- og informationssystemer, der er relevante for den væsentlige transporttjeneste, som operatøren leverer. Operatørerne vil endvidere skulle afdække og håndtere potentielle risici og opståede hændelser, hvilket samlet set fører til, at operatøren træffer konkrete foranstaltninger til at understøtte et højt sikkerhedsniveau.

Metoden med at basere sig på en international anerkendt standard inden for net- og informationssikkerhed tager udgangspunkt i den enkelte institutions risikoprofil og rummer mulighed for, at der implementeres netop de sikkerhedsforanstaltninger og kontrolprocedurer, der er passende for den enkelte operatør. Dermed sikres det, at de sikkerhedskrav, der stilles til de udpegede operatører, er proportionale, og at operatøren ikke pålægges unødige foranstaltninger, men alene skal gennemføre sikkerhedsforanstaltninger og kontrolprocedurer, der står i et passende forhold til den enkelte operatørs tjeneste.

De akkrediterede certificeringsorganer, der beskæftiger sig med certificering efter en internationalt anerkendt standard, har oparbejdet kompetencer på netop dette område og vil kunne vejlede de enkelte operatører i forhold til for eksempel omfanget for certificeringen og gennemførelsen af de relevante foranstaltninger. De certificerende organer vil - for at der skal være vished om deres faglige kompetencer på området - af samme grund skulle have den nødvendige akkreditering af et akkrediteringsorgan.

Trafik-, Bygge- og Boligstyrelsens tilsyn vil bestå i løbende at verificere, at den enkelte udpegede operatør opretholder sin certificering. Dertil kommer, at styrelsen vil afholde de nødvendige møder med det certificerende organ. Det vil være det certificerende organ, der med sin certificering af operatøren giver sikkerhed for, at de nødvendige foranstaltninger til at forhindre, forebygge og håndtere hændelser i operatørens udpegede net- og informationssystemer, er på plads i forhold til dennes standard.

2.1.3. Den foreslåede ordning

Lovforslaget gennemfører NIS-direktivets bestemmelser vedrørende operatører af væsentlige tjenester inden for transport-, bygnings- og boligministerens område for så vidt angår myndighedernes udpegningsproces samt de sikkerhedskrav, som operatørerne skal efterleve, og myndighedernes tilsyn hermed.

Det foreslås, at transport-, bygnings- og boligministeren udpeger operatører af væsentlige transporttjenester. Udpegningen kommer til at foregå ved en konkret forvaltningsretlig afgørelse inden for rammerne af kriterierne i den foreslåede § 3, stk. 2. Det er i den sammenhæng Transport-, Bygnings- og Boligministeriets hensigt at delegere ministerens opgaver i medfør af de foreslåede regler, så det bliver Trafik-, Bygge- og Boligstyrelsen, som på ministerens vegne udpeger operatører af væsentlige transporttjenester.

Med lovforslaget pålægges operatørerne at træffe passende foranstaltninger for at opretholde et hensigtsmæssigt sikkerhedsniveau i de net- og informationssystemer, som operatørerne anvender i forhold til de væsentlige transporttjenester, der har ført til operatørernes udpegning.

Den afvejning, den enkelte operatør skal foretage af, om en given foranstaltning er passende, svarer til den afvejning, som mange af operatørerne allerede i dag foretager af de risici, der kan udfordre net- og informationssystemernes driftssikkerhed. De nye regler er således ikke udtryk for væsentligt ændrede foranstaltninger end dem, som en operatør selv vil træffe for at beskytte sin forretning.

EU-reglerne er i højere grad udtryk for, at der i en globaliseret verden med en forgrenet it-struktur er behov for en mere ensartet håndtering af de risici, der kan opstå og en hurtig håndtering heraf. Det gælder især for de operatører, der integrerer net- og informationssystemer, som en væsentlig del af operatørernes virksomhed.

Der vil blive fastsat regler om de foranstaltninger, som operatørerne skal træffe for at styre og håndtere de risici, der måtte opstå. Det forventes, at der i den forbindelse vil blive stillet krav om akkrediteret certificering i henhold til internationalt anerkendte standarder for styring af sikkerheden i net- og informationssystemer.

Internationalt anerkendte standarder for sikkerheden i net- og informationssystemer er udtryk for, at man på internationalt plan er blevet enige om et niveau for, hvad der forstås ved passende foranstaltninger i relation til styring af risiciene og forebyggelse og minimering af konsekvenserne ved en hændelse i net- og informationssystemer. Det er derfor Transport-, Bygnings- og Boligministeriets vurdering, at operatører af væsentlige transporttjenester med en certificering efter en internationalt anerkendt standard vil kunne dokumentere, at operatøren opfylder lovens krav om styring af risiciene og forebyggelse og minimering af konsekvenserne ved en hændelse. Certificeringen tjener alene som dokumentation for overholdelse af kravene i loven og er ikke en forvaltningsretlig afgørelse.

Transport-, Bygnings- og Boligministeriet finder endvidere, at brugen af standarder stemmer overens med direktivets artikel 19, hvor medlemsstaterne tilskyndes til at benytte europæiske eller internationalt anderkendte standarder og specifikationer, der er relevante for at styre risiciene for sikkerheden i net- og informationssystemer og for at sikre en konvergerende gennemførelse af direktivets krav om, at operatører af væsentlige tjenester træffer netop passende og forholdsmæssige foranstaltninger.

2.2. Om operatørernes underretningspligt og myndighedernes videregivelse og offentliggørelse af informationer om hændelser

2.2.1. Gældende ret

For statslige myndigheder er der pr. 1. september 2014 som følge af en regeringsbeslutning etableret en forpligtelse til at underrette Center for Cybersikkerhed i tilfælde af større it-sikkerhedsmæssige hændelser i deres digitale infrastruktur.

Der eksisterer en frivillig ordning for private virksomheder inden for bl.a. transportsektoren til at underrette Center for Cybersikkerhed om større it-sikkerhedsmæssige hændelser i digital infrastruktur, som virksomhederne er ansvarlige for. Ordningen har dog ikke det specifikke fokus på net- og informationssikkerhed, som er formålet med NIS-direktivet og dette lovforslag.

På transportområdet eksisterer der ikke regler, som forpligter operatører, der leverer en tjeneste, der er væsentlig for opretholdelsen af kritiske samfundsmæssige og/eller økonomiske aktiviteter, til at underrette en administrativ myndighed om hændelser i deres net- og informationssystemer, der vil få væsentlige forstyrrende virkninger for leveringen af den nævnte tjeneste.

Der eksisterer heller ikke regler, som giver myndigheder på Transport-, Bygnings- og Boligministeriets område adgang til at videregive eller offentliggøre oplysninger om sådanne hændelser i operatørernes net- og informationssystemer.

2.2.1.1. NIS-direktivet

Efter NIS-direktivets artikel 14, stk. 3, skal operatører af væsentlige tjenester hurtigst muligt foretage en underretning til myndighederne om hændelser, der har væsentlige konsekvenser for kontinuiteten i leveringen af deres tjenester.

Ud over de operatører, der er forpligtet til at underrette myndighederne, skal andre operatører kunne foretage frivillig indberetning efter artikel 20. Den vurdering, som myndigheden skal foretage af frivillige indberetninger, adskiller sig fra den pligtmæssige, idet medlemsstaterne skal prioritere pligtmæssige indberetninger fremfor frivillige indberetninger.

Derudover skal et centralt kontaktpunkt have adgang til at udbrede hændelsesrelaterede informationer til andre centrale kontaktpunkter i de øvrige medlemsstater.

Efter NIS-direktivets artikel 14, stk. 6, skal mindst en myndighed endvidere have mulighed for at offentliggøre informationer om konkrete hændelser, som er modtaget i medfør af underretningspligten. Pågældende myndighed skal dog forud herfor høre den underrettende operatør herom.

2.2.2. Transport-, Bygnings- og Boligministeriets overvejelser

Det er en nødvendig forudsætning for at efterleve direktivets krav, at myndighederne modtager underretningerne, og at det er muligt at videregive oplysningerne i et nærmere bestemt omfang med henblik på at forebygge eller begrænse en hændelse.

I forbindelse med en offentliggørelse af oplysningerne skal den indberettende operatør høres. Ministeriet har i den forbindelse vurderet, at det er vigtigt, at en eventuel offentliggørelse skal ske under hensyntagen til bl.a. operatørens sikkerhed, operatørens kommercielle interesser og fortrolig behandling af de af operatøren angivne oplysninger i forbindelse med dennes underretning.

2.2.3. Den foreslåede ordning

Der foreslås en ordning, hvor operatørerne forpligtes til at underrette transport-, bygnings- og boligministeren og CSIRT om hændelser, der har væsentlige konsekvenser for kontinuiteten af de væsentlige tjenester, som operatørerne leverer. De enkelte operatører skal i deres vurdering af, om en hændelse er omfattet af underretningspligten, lægge vægt på hændelsens alvorlighed, herunder den tidsmæssige udstrækning, antallet af berørte brugere og størrelsen af det område, der påvirkes.

Det foreslås, at der udover underretningspligten også gives mulighed for frivillig underretning i forhold til de operatører, som ikke er operatører af en væsentlig transporttjeneste. Denne underretning vil medvirke til at give myndighederne et mere fuldstændigt billede af en potentiel væsentlig trussel mod net- og informationssystemer.

Der er tale om et område i konstant udvikling, og der vil derfor ikke meningsfyldt kunne ske en fuldstændig udtømmende regulering af underretningen i loven. På den baggrund rummer forslaget hjemmel til, at der kan fastsættes nærmere regler om selve underretningernes form og indhold. Der kan blandt andet fastsættes regler om, at underretningerne skal være digitale, og at underretningerne skal foregå på en nærmere defineret sikker digital platform, som er oprettet til formålet.

Underretningspligten skal primært sikre transport-, bygnings- og boligministeren og CSIRT hurtige oplysninger om hændelser med væsentlige forstyrrende virkninger.

Det foreslås på den baggrund at lade transport-, bygnings- og boligministeren offentliggøre visse oplysninger inden for nærmere fastlagte rammer. En eventuel offentliggørelse skal ske på baggrund af de anbefalinger, som fremgår af Justitsministeriets betænkning nr.1516/2010 om offentlige myndigheders offentliggørelse af kontrolresultater, afgørelser mv. I betænkningen anbefales det, at der inden indførelse af ordninger med systematisk offentliggørelse af oplysning om kontrolresultater, afgørelser m.v. på internettet i ikke-anonymiseret form foretages en vurdering af det konkrete behov for offentliggørelse, om offentliggørelse kan forventes konkret at være særligt indgribende for personen, om der er tungtvejende samfundsmæssige hensyn bag offentliggørelsesordningen, om offentliggørelse strider mod de gældende databeskyttelsesretlige regler og de almindelige regler om tavshedspligt, og om der af retssikkerhedsmæssige grunde er opstillet administrative regler for forvaltningsmyndighedens behandling af de enkelte sager.

Offentliggørelse kan først ske efter en høring af den underrettende operatør. Derudover kan der ikke ske offentliggørelse af oplysninger om tekniske indretninger eller fremgangsmåder eller om drifts- og forretningsforhold eller lignende, hvis den underrettende operatør gør gældende, at disse oplysninger har væsentlig forretningsmæssig betydning for vedkommende operatør. Der kan heller ikke offentliggøres oplysninger, der af transport-, bygnings- og boligministeren vurderes at være af væsentlig betydning for statens sikkerhed eller rigets forsvar, fortrolige informationer, eller oplysninger om enkeltpersoners forhold, herunder navne og adresser.

I tilfælde, hvor der er tale om behandling af personhenførbare oplysninger, vil lovgivningen for databeskyttelse, jf. lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer samt regler udstedt i medfør heraf, finde tilsvarende anvendelse. Reglerne i databeskyttelsesforordningen, jf. forordning (EU) 2016/679 af 27. april 2016, vil finde anvendelse, når disse får virkning den 25. maj 2018.

2.3. Om sanktioner for overtrædelser af lovens bestemmelser

2.3.1. Gældende ret

Der er ingen konkrete regelsæt, der indeholder sanktionerende bestemmelser rettet mod overtrædelse af net- og informationssikkerhedsmæssige krav i Transport-, Bygnings- og Boligministeriets sektorlovgivning. Som angivet under punkt 2.2.1. indeholder sektorlovgivningen heller ikke deciderede krav om underretning af hændelser i net- og informationssikkerhedssystemer, hvorfor der ikke eksisterer sanktioner herfor.

Reglerne i de eksisterende regelsæt, der forpligter operatørerne til at foretage underretninger om hændelser, der ikke retter sig mod hændelser i net- og informationssystemer, sanktioneres med straf.

På luftfartsområdet fremgår hændelsesindberetningspligten af Europa-Parlamentets og rådets forordning (EU) Nr. 376/2014 af 3. april 2014 om indberetning og analyse af samt opfølgning på begivenheder inden for civil luftfart, ændring af Europa-Parlamentets og Rådets forordning (EU) nr. 996/2010 og ophævelse af Europa-Parlamentets og Rådets direktiv 2003/42/EF, Kommissionens forordning (EF) nr. 1321/2007 og Kommissionens forordning (EF) nr. 1330/2007.

Forordningen indeholder bestemmelser om indberetningspligt for operatørerne. Undladelse af at indberette hændelser i henhold til forordningen kan sanktioneres med straf i henhold til luftfartslovens § 149, stk. 11.

2.3.1.1. NIS-direktivet

NIS-direktivets artikel 21 forpligter medlemsstaterne til at fastsætte regler om sanktioner, der skal anvendes i tilfælde af overtrædelser af nationale regler, der er vedtaget efter direktivet, og medlemsstaterne skal ifølge samme bestemmelse træffe alle nødvendige foranstaltninger til at sikre, at sanktionerne gennemføres. Udover, at sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning, stilles der ikke indholdsmæssige krav til medlemsstaternes valg af sanktionsmidler eller den konkrete udformning heraf.

2.3.2. Transport-, Bygnings- og Boligministeriets overvejelser

Ministeriet har overvejet mulighederne for at sanktionere overtrædelser af loven. Da flertallet af forslagets bestemmelser er af mere skønsmæssig karakter, er det ministeriets vurdering, at det ud over almindeligt strafansvar for overtrædelse af enkelte bestemmelser, vil være hensigtsmæssigt at foreslå en fremgangsmåde, hvor operatørerne i udgangspunktet først risikerer et strafansvar, hvis et forvaltningsretligt påbud i medfør af den foreslåede lov eller regler fastsat i medfør heraf ikke efterleves.

2.3.3. Den foreslåede ordning

Der foreslås en ordning, hvor undladelse af at foretage underretning efter den foreslåede § 5 og undladelse af at efterkomme påbud kan straffes med bøde, jf. den foreslåede § 13, stk. 1. I regler, der fastsættes i medfør af loven, kan der fastsættes straf i form af bøde.

Der foreslås således en ordning, hvor gerningsindholdet for strafansvar primært hviler på manglende iagttagelse af et forvaltningsretligt påbud.

Da pligtsubjekterne ifølge loven som udgangspunkt er juridiske personer, er det nødvendigt at sikre adgang til at pålægge juridiske personer strafansvar efter reglerne i straffelovens 5. kapitel.

3. Forholdet til databeskyttelseslovgivningen

Den offentlige og private sektor er - indtil den 24. maj 2018 - omfattet af lov nr. 429 af 31. maj 2000 med senere ændringer (herefter persondataloven) og tilhørende bekendtgørelser, når der behandles personoplysninger. Det fremgår bl.a., at der skal træffes fornødne tekniske og organisatoriske foranstaltninger i forbindelse med behandling af personoplysninger. Persondataloven gennemfører Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (herefter databeskyttelsesdirektivet). For så vidt angår den offentlige forvaltning finder bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning med senere ændringer anvendelse (herefter sikkerhedsbekendtgørelsen).

Databeskyttelsesdirektivet ophæves den 25. maj 2018, jf. Europa-Parlamentets og Rådets forordning 2016/679/EU af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (herefter databeskyttelsesforordningen), som finder anvendelse fra den 25. maj 2018.

Justitsministeren har den 25. oktober 2017 fremsat lovforslag L 68 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (herefter forslag til databeskyttelsesloven). I forslag til databeskyttelsesloven, der fastsætter supplerende nationale bestemmelser om behandling af personoplysninger, foreslås det bl.a., at persondataloven ophæves, jf. forslagets § 46, stk. 2. I den forbindelse foreslås sikkerhedsbekendtgørelsen samtidig ophævet.

Efter den 25. maj 2018 vil det være reglerne i databeskyttelsesforordningen, suppleret af lovforslag til databeskyttelsesloven, lov om retshåndhævende myndigheders behandling af personoplysninger samt diverse særregler, der regulerer området for behandling af personoplysninger.

Derudover følger det af forvaltningslovens § 28, stk. 1, jf. lovbekendtgørelse nr. 433 af 22. april 2014, at en forvaltningsmyndighed skal overholde reglerne i persondataloven, når der videregives personoplysninger til en anden forvaltningsmyndighed. Ifølge lovforslag L 69 og L 68, som blev behandlet samlet, er der sket en tilpasning af forvaltningslovens § 28, så der fremover henvises til reglerne i databeskyttelsesforordningen og forslag til databeskyttelsesloven. Desuden fremgår det af forvaltningslovens § 28, stk. 2, at oplysninger af fortrolig karakter, som ikke er personoplysninger, kun må videregives til en anden forvaltningsmyndighed, når den, som oplysningen angår, udtrykkeligt har givet samtykke, når det følger af lov, eller bestemmelser fastsat i henhold til lov, at oplysningen skal videregives, eller det må antages, at oplysningen vil være af væsentlig betydning for myndighedens virksomhed eller for en afgørelse, myndigheden skal træffe.

4. Økonomiske og administrative konsekvenser for det offentlige

Som tilsynsmyndighed skal transport-, bygnings- og boligministeren bruge nye administrative ressourcer på at føre tilsyn med operatører af væsentlige transporttjenester og validere rapporteringer om væsentlige hændelser i operatørernes net- og informationssystemer. I praksis forventes samtlige af lovens hjemlede beføjelser til ministeren delegeret til Trafik-, Bygge- og Boligstyrelsen, der vil fungere som tilsynsmyndighed på området.

Omkostningerne ved varetagelsen af rollen som tilsynsmyndighed forventes at kunne afholdes inden for de eksisterende bevillingsmæssige rammer i Transport-, Bygnings- og Boligministeriet. Det skyldes en forventning om, at antallet af operatører af væsentlige transporttjenester vil være begrænset, og at tilsynet med at operatørerne indfører passende foranstaltninger mv., hovedsageligt vil bestå i en gennemgang af, om de certificerende organer til stadighed vurderer, at operatørerne lever op til betingelserne for at opretholde certifikatet, jf. afsnit 2.1.2. Opgaven kan varetages som et led i de tilsynsopgaver, som styrelsen allerede har på transportområdet.

På samme måde forventes det, at selve arbejdet med håndtering og validering af de indberettede hændelser, herunder etablering af en indberetningsordning, vil forudsætte øgede ressourcer, der vil kunne afholdes inden for de eksisterende bevillingsmæssige rammer i Transport-, Bygnings- og Boligministeriet.

Det er overvejende sandsynligt, at der udpeges en eller flere operatører af væsentlige transporttjenester, som er en del af den offentlige sektor. Der vil i disse tilfælde være visse økonomiske og administrative konsekvenser forbundet med at efterleve lovens bestemmelser og regler udstedt i medfør heraf, herunder særligt et krav om certificering. Også disse udgifter må forventes at kunne blive afholdt indenfor de eksisterende bevillingsmæssige rammer i Transport-, Bygnings- og Boligministeriet.

Såfremt regionale eller kommunale operatører udpeges som operatører af væsentlige transporttjenester og dermed underlægges krav om certificering, vil der kunne være DUT-konsekvenser. Dette vil blive håndteret i forbindelse med en særskilt økonomisk høring, som vil blive fremsendt til Danske Regioner og KL. Det er Transport-, Bygnings- og Boligministeriets forventning, at de operatører, som vil blive udpeget, karakteriseres ved at være særdeles store operatører, der har en dominerende status på hver deres område.

5. Økonomiske og administrative konsekvenser for erhvervslivet m.v.

Det forventes, at der vil være tale om enkelte private operatører, der vil blive udpeget som operatører af væsentlige transporttjenester.

Kravet om, at en operatør af væsentlige transporttjenester skal være certificeret i henhold til en internationalt anerkendt standard, kan afhængigt af certificeringsparatheden hos den enkelte operatør udgøre op til 200.000 kr. i direkte engangsomkostninger og 40.000-100.000 kr. i direkte årlige vedligeholdelsesomkostninger. Hvis der er tale om en operatør, der ikke er certificeringsparat, vil omkostningerne for den enkelte operatør være større. Det vurderes imidlertid, at alle de operatører, der vil kunne komme i betragtning til en udpegning efter loven, i et eller andet omfang er certificeringsparate.

Operatørerne vil endvidere alle være af en ganske betydelig størrelse. Ud fra en forholdsmæssig betragtning forventes det derfor ikke, at de foreslåede regler vil blive oplevet som meget bebyrdende for operatørerne af væsentlige transporttjenester.

Ud over omkostningerne til certificering vil der være begrænsede administrative byrder i forbindelse med den underretning, som operatørerne skal sende til myndighederne. Det forventes, at der vil være et begrænset antal underretninger fra den enkelte operatør på årsbasis. Selve den administrative håndtering af underretningen forventes ikke at overstige 2 timer pr. hændelse.

Efter den foreslåede § 12 får transport-, bygnings- og boligministeren mulighed for at bemyndige Trafik-, Bygge- og Boligstyrelsen eller andre statslige myndigheder til at udøve ministerens beføjelser efter denne lov. I den forbindelse har ministeren også mulighed for at afskære klageadgang til ministeren. Muligheden for at afskære klageadgangen er begrundet i, at de afgørelser, som Trafik-, Bygge- og Boligstyrelsen eller andre myndigheder kommer til at træffe, vil være af en udpræget teknisk karakter, som forudsætter betydelig indsigt i området. Departementet har ikke de faglige forudsætninger for at kunne vurdere de meget tekniske forhold, som karakteriserer dette retsområde, hvorfor rekursadgang er uhensigtsmæssig. En afgørelse vil dog kunne prøves ved domstolene, jf. grundlovens § 63.

6. Administrative konsekvenser for borgerne

Lovforslaget har ingen administrative konsekvenser for borgerne.

7. Miljømæssige konsekvenser

Lovforslaget har ingen miljømæssige konsekvenser.

8. Forholdet til EU-retten

Med forslaget implementeres de dele af Europa-Parlamentets og Rådets direktiv 2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre et høj fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen.

I medfør af NIS-direktivets artikel 25, stk. 1, skal medlemsstaterne senest den 10. maj 2018, have vedtaget og offentliggjort de love og administrative bestemmelser, der er nødvendige for at efterkomme direktivet.

Operatørerne af væsentlige transporttjenester skal dog ikke udpeges før den 9. november 2018.

9. Hørte myndigheder og organisationer

Et udkast til lovforslag har i perioden fra den 29. november 2017 til den 2. januar 2018 været sendt i høring hos følgende myndigheder og organisationer mv.:

Alstom, Arriva Danmark A/S, Banedanmark, Billund Lufthavn, Bornholmstrafikken Holding A/S, Brancheforeningen, Dansk Luftfart, Captrain Denmark ApS, Center for Cybersikkerhed, CFL Cargo Danmark ApS, Danmarks Rederiforening, Dansk Erhverv, Dansk Flyverlederforening, Dansk Jernbaneforbund, Dansk Industri Transport, Danske Havne, Danske Havnevirksomheder, Brancheforeningen, Danske Regioner, Datatilsynet, DB Cargo Scandinavia A/S, DSB, Erhvervsflyvningens Sammenslutning, Esbjerg Lufthavn, Forsvarets Efterretningstjeneste, Hector Rail AB, Hovedstadens letbane, KL, Kultur- og kirkeministeriet, Københavns Lufthavne A/S, Lokaltog A/S, Metroselskabet, Metroservice A/S, Midjyske Jernbaner A/S, Midtjyllands Lufthavn, Naviair, Nordjyske Jernbaner A/S, Rigsrevisionen, Rådet for digital it-sikkerhed, SJ AB, Sund og Bælt Holding A/S, Søfartsstyrelsen, Sønderborg Lufthavn, Trafikselskaberne i Danmark, Udviklingsselskabet By og Havn I/S, Øresundsbro Konsortiet, Aalborg Lufthavn, Aarhus Letbane, Aarhus Lufthavn.

10. Sammenfattende skema

Bemærkninger til lovforslagets enkelte bestemmelser

Til § 1

Den foreslåede bestemmelse afgrænser lovens anvendelsesområde til at omfatte operatører af væsentlige transporttjenester. Operatørerne er de offentlige eller private enheder i transportsektoren, der af transport-, bygnings- og boligministeren udpeges som operatører af væsentlige transporttjenester.

Til § 2

Den foreslåede bestemmelse i § 2 definerer syv centrale begreber i loven. Definitionerne bygger på de tilsvarende definitioner i NIS-direktivets artikel 4.

Efter det foreslåede nr. 1 defineres en operatør af en væsentlig transporttjeneste som en offentlig eller privat enhed, der udpeges af transport-, bygnings- og boligministeren som operatør af en væsentlig transporttjeneste i medfør af den foreslåede § 3, stk. 1, og som varetager opgaver vedrørende lufttransport, jernbanetransport, søfart inden for transport-, bygnings- og boligministeriets område og vejtransport.

Ved luftfart forstås luftfartsselskaber, lufthavnsdriftsorganer, lufthavne, enheder med tilknyttede anlæg i lufthavne samt trafikledelses- og kontroloperatører, der udøver flyvekontroltjeneste. Ved jernbanetransport forstås infrastrukturforvalter samt jernbanetransport, herunder operatører af servicefaciliteter. Ved søtransport forstås søtransport inden for transport-, bygnings- og boligministeriets område og dermed havnedriftsorganer, herunder deres havnefaciliteter og enheder, der opererer anlæg og udstyr i havne. Ved vejtransport forstås vejmyndigheder, som er ansvarlige for trafikledelse samt operatører af intelligente transportsystemer.

Definitionerne skal forstås i overensstemmelse med bilag II, pkt. 2, i Europa-Parlamentets og Rådets direktiv 2016/1148/EU af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen, hvor de enkelte delsektorer inden for transport er nærmere defineret.

Den foreslåede definition af operatører af væsentlige transporttjenester er tilnærmelsesvist identisk med definitionen af operatører af væsentlige tjenester i NIS-direktivets artikel 4, nr. 4. Forskellen består i, at NIS-direktivets definition er mere generisk. Den skal dække samtlige typer af operatører, mens den foreslåede definition kun vedrører operatører af en væsentlig transporttjeneste inden for transport-, bygnings- og boligministeriets område.

Efter det foreslåede nr. 2 defineres et net- og informationssystem som:

a) Et elektronisk kommunikationsnet, der udgøres af transmissionssystemer og, hvor det er relevant, koblings- og dirigeringsudstyr og andre ressourcer, herunder netelementer, der ikke er aktive, som gør det muligt at overføre signaler ved hjælp af trådforbindelse, radiobølger, lyslederteknik eller andre elektromagnetiske midler, herunder satellitnet, jordbaserede fastnet (kredsløbs- og pakkekoblede, herunder i internettet) og mobilnet, elkabelsystemer, i det omfang de anvendes til transmission af signaler, net, som anvendes til radio- og tv-spredning, samt kabel-tv-net, uanset hvilken type information, der overføres.

b) enhver anordning eller gruppe af indbyrdes forbundne eller beslægtede anordninger, hvoraf en eller flere ved hjælp af et program udfører automatisk behandling af digitale data,

c) digitale data, som lagres, behandles, fremfindes eller overføres ved brug af elementer i litra a og b med henblik på deres drift, brug, beskyttelse og vedligeholdelse.

Den foreslåede definition af net- og informationssystemer er indholdsmæssigt identisk med definitionen af net- og informationssystemer i NIS-direktivets artikel 4, nr. 1. Af hensyn til læsbarheden, er der i stedet for henvisningen til art. 2, litra a) i direktiv 2002/21 EF af 7. marts 2002, foretaget en afskrift af artiklen.

Efter det foreslåede nr. 3 defineres sikkerhed i net- og informationssystemer som evnen for net- og informationssystemer til, på et givet sikkerhedsniveau, at modstå handlinger, der er til skade for tilgængeligheden, autenticiteten, integriteten eller fortroligheden i forbindelse med lagrede eller overførte eller behandlede data eller de dermed forbundne tjenester, der tilbydes af eller er tilgængelige via disse net- og informationssystemer.

Den foreslåede definition af sikkerhed i net- og informationssystemer er indholdsmæssigt identisk med definitionen af sikkerhed i net- og informationssystemer i NIS-direktivets artikel 4, nr. 2.

Efter det foreslåede nr. 4 defineres en hændelse som enhver begivenhed, der har en egentlig negativ indvirkning på sikkerheden i net- og informationssystemer.

Den foreslåede definition af en hændelse svarer til definitionen i NIS-direktivets artikel 4, nr. 7. For at en hændelse anses for indtrådt, skal den relatere sig til sikkerheden i det eller de net- og informationssystemer, der er af afgørende betydning for leveringen af den væsentlige transporttjeneste, der er årsag til, at operatøren er udpeget.

Efter det foreslåede nr. 5 defineres en risiko som enhver rimelig identificerbar omstændighed eller begivenhed, der har en potentiel negativ indvirkning på sikkerheden i net- og informationssystemer.

Den foreslåede definition af risiko svarer til definitionen i NIS-direktivets artikel 4, nr. 9. For at en risiko er omfattet af forslagets bestemmelser, skal den være rimelig identificerbar og have potentiel negativ indvirkning på sikkerheden i net- og informationssystemer.

Efter det foreslåede nr. 6 defineres nationalt centralt kontaktpunkt som en national kompetent enhed med ansvar for at koordinere spørgsmål vedrørende sikkerheden i net- og informationssystemer samt grænseoverskridende samarbejde i EU herom.

Den foreslåede definition af nationalt centralt kontaktpunkt svarer til definitionen i NIS-direktivets artikel 8. I Danmark er det Center for Cybersikkerhed under Forsvarsministeriet, der fremover vil varetage funktionen som nationalt centralt kontaktpunkt.

Efter det foreslåede nr. 7 defineres CSIRT som en national it-beredskabsenhed, der håndterer hændelser, og som har ansvaret for at sikre samarbejdet om sikkerheden i net- og informationssystemer i EU.

Den foreslåede definition udspringer af CSIRT af NIS-direktivets artikel 9 og bilag 1. I Danmark er det Center for Cybersikkerhed under Forsvarsministeriet, der fremover vil varetage funktionen som CSIRT.

Til § 3

I medfør af det foreslåede stk. 1. 1. pkt., udpeger transport-, bygnings- og boligministeren en operatør af en væsentlig transporttjeneste. Bestemmelsen er afgørende for lovforslagets anvendelse, idet lovforslagets pligtsubjekter alene udgøres af de enheder, der af transport-, bygnings- og boligministeren udpeges som operatører af væsentlige transporttjenester. Den første udpegning skal ske senest den 9. november 2018, jf. NIS-direktivets artikel 5, stk. 1. Udpegningen af operatørerne sker ved en forvaltningsretlig afgørelse.

I medfør af det foreslåede stk. 1, 2. pkt., vurderer ministeren løbende, dog mindst hvert andet år, hvilke operatører af væsentlige transporttjenester, der skal udpeges i medfør af det foreslåede 1. pkt.

På den måde sikres det, at loven er i overensstemmelse med NIS-direktivets artikel 5, stk. 5, der forpligter medlemsstaterne til løbende og mindst hvert andet år at ajourføre listen over identificerede operatører på de enkelte områder.

I stk. 2 foreslås det, at transport-, bygnings- og boligministeren i forbindelse med udpegningen efter det foreslåede stk. 1 skal lægge vægt på nedenstående tre kriterier. Bestemmelsen bygger på NIS-direktivets artikel 5, stk. 2, som fastlægger de overordnede kriterier, som skal iagttages, når der udpeges en operatør af væsentlige tjenester.

Det foreslåede kriterie nr. 1 er, at enheden leverer en transporttjeneste, der er væsentlig for opretholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter. Med dette kriterie lægges der vægt på, at operatøren leverer en transporttjeneste, der er af kritisk betydning for mobiliteten i Danmark, og at afbrydelsen heraf vil have væsentlige samfundsmæssige eller økonomiske konsekvenser. Et element i denne vurdering kan være, om operatøren leverer en unik tjeneste eller om tjenesten inden for en relativ kort tidshorisont kan erstattes af andre transporttjenester.

Transport-, bygnings- og boligministeren vil forud for en eventuel udpegning af en operatør, der leverer en grænseoverskridende tjenesteydelse, indgå i dialog med de europæiske medlemslande, hvor tjenesteydelsen leveres. Denne dialog skal hjælpe med at vurdere operatørens kritiske karakter med hensyn til grænseoverskridende konsekvenser. Dialogen med eventuelle øvrige medlemslande vil skulle foregå inden for rammerne af forvaltningslovens § 28 om videregivelse af oplysninger til en anden forvaltningsmyndighed.

Det foreslåede kriterie nr. 2 er, at leveringen af transporttjenesten afhænger af net- og informationssystemer. Med dette kriterie præciseres det, at transporttjenesten skal være afhængig af net- og informationssystemer for at være relevant i forhold til en udpegning af operatører som følge af dette lovforslag.

Det foreslåede kriterie nr. 3 er, at en hændelse vil få væsentlige forstyrrende virkning for leveringen af den nævnte transporttjeneste. I vurderingen af dette kriterie er det særligt de forhold, der er anført i NIS-direktivets artikel 6, stk. 1, der skal indgå. Det drejer sig blandt andet om antallet af brugere af tjenesten, andre sektorers afhængighed af tjenesten, konsekvenserne af en hændelse, operatørens markedsandele, den geografiske udbredelse af effekten af en hændelse og den pågældende operatørs betydning for at opretholde et tilstrækkeligt tjenesteniveau under hensyn til alternative måder, som tjenesten kan leveres på. Der vil i det enkelte tilfælde være tale om en konkret vurdering, og særlige sektorspecifikke forhold ved den pågældende transportform kan være relevante at inddrage.

I medfør af det foreslåede stk. 3 kan transport-, bygnings- og boligministeren fastsætte nærmere regler om udpegningen af en operatør af en væsentlig transporttjeneste og tilbagekaldelse af udpegningen, herunder fastsætte regler om de kriterier, der skal lægges vægt på ved udpegningen af en operatør, tidsbegrænsning på udpegningen m.v.

Den foreslåede bestemmelse giver således transport-, bygnings- og boligministeren mulighed for at fastsætte regler, der præciserer de i det foreslåede stk. 2 omhandlede kriterier for udpegningen af operatører af væsentlige transporttjenester, herunder kriterier, der relaterer sig til NIS-direktivets art. 6. Der vil endvidere kunne fastsættes regler om selve udpegningen. Der kan eksempelvis være behov for en nærmere præcisering af, hvad der præcist kvalificeres som en væsentlig tjeneste inden for dele af transportsektoren.

Der vil endvidere kunne fastsættes nærmere regler om tilbagekaldelse af udpegningen af operatører, der ikke længere opfylder forudsætningerne for udpegningen.

Til § 4

Den foreslåede § 4 gennemfører de dele af NIS-direktivets artikel 14, der angår sikkerhedskrav for operatørerne samt dele af artikel 15 om gennemførelse og håndhævelse.

I medfør af det foreslåede stk. 1, 1. pkt., skal operatører af væsentlige transporttjenester træffe passende og forholdsmæssige tekniske og organisatoriske foranstaltninger for at styre risiciene for sikkerheden i net- og informationssystemer, som de anvender til den del af deres aktiviteter, hvor en hændelse vil få væsentlig forstyrrende virkning for leveringen af den nævnte transporttjeneste.

Formålet hermed er at understøtte en net- og informationssikkerhedsmæssig risikostyringskultur, idet operatørerne af væsentlige transporttjenester forpligtes til at træffe passende og forholdsmæssige tekniske og organisatoriske foranstaltninger for at styre risiciene for sikkerheden i de net- og informationssystemer, som er nødvendige for at udøve den væsentlige transporttjeneste.

Er der net- og informationssystemer, som understøtter dele af operatørens virksomhed, hvor et nedbrud ikke vil have betydning for leveringen af den væsentlige transporttjeneste, vil denne del ikke skulle omfattes af de foranstaltninger, der træffes.

I praksis vil operatøren skulle styre disse risici ved systematisk anvendelse af ledelsespolitikker, procedurer og praksis. Dermed vil operatøren kontinuerligt og struktureret gennemgå sit system og dets funktioner for at identificere, hvilke uønskede tilstande eller farer der kan opstå, hvad årsagerne hertil er, hvor ofte de opstår, hvilke konsekvenser de kan have samt, hvilke barrierer der kan opstilles for, at operatøren kan have farerne under kontrol.

De foranstaltninger, der træffes, skal være passende. Det forventes ikke, at operatørerne træffer ensartede foranstaltninger, da de faktiske omstændigheder, der gør sig gældende for den enkelte operatør, formentlig vil være forskellige. Det er derfor ikke muligt at foretage en entydig beskrivelse af, hvornår en foranstaltning er passende. Operatøren skal ved vurderingen af, om en foranstaltning er passende, vurdere den konkrete risiko for, at en given hændelse vil indtræffe, og alvorligheden af de konsekvenser hændelsen i givet fald vil få for udøvelsen af den væsentlige transporttjeneste.

Relevante risikostyringsforanstaltninger omfatter dispositioner, der er egnet til at identificere risici for hændelser, forebygge, opdage og håndtere hændelser, samt begrænse omfanget af de konsekvenser, som en hændelse kan have for leveringen af den væsentlige transporttjeneste. Sikkerheden i net- og informationssystemer omfatter lagrede, overførte og behandlede data.

Det er forventningen, at operatører af væsentlige transporttjenester i transportsektoren kan opfylde kravet om at træffe passende foranstaltninger ved en certificeringsordning, jf. bemærkningerne til det foreslåede stk. 3.

I medfør af det foreslåede stk. 1, 2. pkt., skal foranstaltningerne sikre et sikkerhedsniveau for net- og informationssystemer, der er proportionale med risiciene.

Formålet med bestemmelsen er at sikre, at de foranstaltninger, der træffes af operatøren, er proportionale med den konkrete risiko, som operatøren står overfor. Derudover skal foranstaltninger, der træffes, være under hensyntagen til teknologiens aktuelle stadie, idet teknologien er i konstant fremdrift og derfor kræver, at foranstaltningerne følger med den globaliserede og teknologiske verden.

I medfør af det foreslåede stk. 2 skal operatører af væsentlige transporttjenester træffe passende foranstaltninger for at forebygge og minimere konsekvensen af en hændelse, der kan have en negativ indvirkning på de net- og informationssystemer, som anvendes til levering af en væsentlig transporttjeneste.

Formålet er efter NIS-direktivet at sikre kontinuitet i den væsentlige transporttjeneste, som de leverer. Foranstaltningerne skal således rette sig mod de anvendte net- og informationssystemer og skal samtidig medvirke til, at operatøren til stadighed kan levere den væsentlige transporttjeneste, selvom der sker en hændelse, der kan have en negativ indvirkning på de net- og informationssystemer, som anvendes til levering af en væsentlig transporttjeneste. Operatørerne bør på den baggrund som minimum indarbejde kompenserende foranstaltninger i deres beredskabsplanlægning, der bl.a. kan bidrage til at isolere udbredelsen af en hændelse i de net- og informationssystemer, der er relevante for leveringen af den væsentlige transporttjeneste.

Det er forventningen, at operatører af væsentlige transporttjenester i transportsektoren kan opfylde kravet om at træffe passende foranstaltninger ved en certificeringsordning, jf. bemærkningerne til det foreslåede stk. 3.

Det fremgår af det foreslåede stk. 3, 1. pkt., at transport-, bygnings- og boligministeren fastsætter nærmere regler om foranstaltninger efter de foreslåede stk. 1 og 2., herunder om sagernes behandling, tidsfrister mv.

Formålet er, at ministeren vil kunne fastsætte nærmere regler om de foranstaltninger, som operatørerne skal træffe for at styre risiciene for sikkerheden i net- og informationssystemerne og for at forebygge og minimere konsekvenserne af hændelser, der kan have negativ indvirkning på sikkerheden i de anvendte net- og informationssystemer.

I det omfang det måtte blive relevant, vil bestemmelsen kunne anvendes til at fastsætte nærmere regler om myndighedernes sagsbehandling, tidsfrister mv.

I medfør af det foreslåede stk. 3, 2. pkt., kan ministeren endvidere fastsætte regler, hvor der stilles krav om, at dokumentation for, at der er truffet de nødvendige foranstaltninger efter de foreslåede stk. 1 og 2, skal ske ved akkrediteret certificering efter en internationalt anerkendt standard for styring af sikkerheden i net- og informationssystemer.

Net- og informationssikkerhedsområdet er i løbende udvikling. Med bemyndigelsesbestemmelsen i det foreslåede stk. 3 skabes de nødvendige rammer for, at de danske regler matcher den teknologiske udvikling i transportsektoren, og at sikkerheden i operatørernes net- og informationssystemer er på et højt internationalt niveau.

Bemyndigelsen forventes udmøntet i et krav om, at en udpeget operatør, skal være certificeret af et akkrediteret certificeringsorgan i henhold til en internationalt anerkendt standard vedrørende sikkerheden i net- og informationssystemer. Internationalt anerkendte standarder for sikkerheden i net- og informationssystemer er udtryk for, at man på internationalt plan er blevet enige om et niveau for, hvad der forstås ved passende foranstaltninger i relation til styring af risiciene og forebyggelse og minimering af konsekvenserne ved en hændelse sikkerheden i net- og informationssystemer.

Operatøren dokumenterer med certificeringen over for transport-, bygnings- og boligministeren, at operatøren i forhold til en international anerkendt standard har truffet passende og forholdsmæssige tekniske og organisatoriske foranstaltninger for at styre risiciene og forebygge og minimere konsekvenserne ved en hændelse, hvilket kræves efter de foreslåede stk. 1 og 2.

Certificeringen tjener som dokumentation for overholdelse af kravene i loven.

Med kravet om certificering leves der endvidere op til direktivets krav i artikel 15 om dokumentation for den faktiske gennemførelse af operatørens sikkerhedspolitikker ved en kvalificeret auditør, som i dette tilfælde vil være det akkrediterede certificeringsorgan.

Der vil i reglerne blive lagt op til, at operatøren som udgangspunkt selv kan beslutte, hvilken internationalt anerkendt standard for sikkerheden i net- og informationssystemer, der skal ligge til grund for certificeringen. Det kan f.eks. være standarder, der er udarbejdet af den Internationale Organisation for Standardisering (ISO), eller harmoniserede europæiske standarder. Ved operatørens valg af informationssikkerhedsstandard kan operatøren se på, om standarden tager udgangspunkt i den enkelte operatørs risikoprofil og sikrer implementering af netop de sikkerhedsforanstaltninger og kontrolprocedurer, der er passende for den enkelte operatør.

Brugen af standarder fremgår i øvrigt af direktivets artikel 19, hvor medlemsstaterne tilskyndes til at benytte europæiske eller internationalt anderkendte standarder og specifikationer, der er relevante for at styre risiciene for sikkerheden i net- og informationssystemer og for at sikre en konvergerende gennemførelse af direktivets krav om, at operatører af væsentlige tjenester træffer passende og forholdsmæssige foranstaltninger. I det omfang, der fra EU's side på et senere tidspunkt måtte blive stillet krav om anvendelse af en vis nærmere defineret standard, herunder en harmoniseret standard, kan det blive nødvendigt at fastsætte nye regler herom i medfør af denne bemyndigelsesbestemmelse.

I medfør af det foreslåede stk. 3, 3. pkt., kan ministeren endelig fastsætte regler om de informationer, som transport-, bygnings- og boligministeren skal modtage om valg af certificeringsordning.

Til § 5

Lovforslagets § 5 gennemfører dele af artikel 14 i NIS-direktivet ved at forpligte operatørerne til at underrette transport-, bygnings- og boligministeren og CSIRT i tilfælde af hændelser med væsentlige konsekvenser for kontinuiteten af de væsentlige tjenester, som operatørerne leverer.

Det følger af det foreslåede stk. 1, at operatører af væsentlige transporttjenester hurtigst muligt skal underrette transport-, bygnings- og boligministeren og CSIRT om hændelser, der har væsentlige konsekvenser for kontinuiteten af de væsentlige transporttjenester, som de leverer. Operatøren skal underrette myndighederne, så snart operatøren har de nødvendige oplysninger til at konkludere, at hændelsen er omfattet af underretningspligten. Der vil således være situationer, hvor operatøren tidligt i processen kan konstatere, at der er tale om en underretningspligtig hændelse. Der vil imidlertid også være situationer, hvor det først på et meget sent tidspunkt i forløbet er muligt at konstatere, at der er tale om en underretningspligtig hændelse, fordi det på trods af de foranstaltninger, der er truffet, ikke har været muligt at opdage hændelsen.

Underretningspligten er først opfyldt, når både transport-, bygnings- og boligministeren og CSIRT har modtaget underretningen. Forpligtelsen til at underrette såvel transport-, bygnings- og boligministeren som CSIRT skal sikre, at CSIRT kan varetage opgaverne med at sikre samarbejdet om sikkerheden i net- og informationssystemer i EU.

Efter det foreslåede stk. 2 skal operatøren ved vurderingen af, om en hændelse har væsentlige konsekvenser for kontinuiteten af de væsentlige transporttjenester, navnlig tage nedenstående tre kriterier i betragtning.

Det foreslåede kriterie nr. 1 er antallet af brugere, der berøres af afbrydelsen af den væsentlige transporttjeneste. Antallet af berørte brugere er et helt centralt kriterie, da et mindre nedbrud ikke vil have samme væsentlighed for kritiske samfundsmæssige eller økonomiske aktiviteter.

Det foreslåede kriterie nr. 2 er hændelsens varighed. Hændelsens forventede eller faktiske varighed er også helt centralt for vurderingen af effekten, da en længere varighed vil have større effekt.

Det foreslåede kriterie nr. 3 er den geografiske udbredelse med hensyn til det område, der er berørt af hændelsen. Den geografiske udbredelse af hændelsen har betydning, da en mindre geografisk udbredelse ikke vil have samme væsentlighed for kritiske samfundsmæssige eller økonomiske aktiviteter.

Der vil med hjemmel i den foreslåede § 7, stk. 1, kunne fastsættes nærmere regler om vurderingen af, om en hændelse er omfattet af underretningspligten, herunder en vægtning af kriterierne.

Til § 6

Det fremgår af det foreslåede stk. 1, 1. pkt., at operatører af øvrige transporttjenester på frivillig basis kan foretage underretning til transport-, bygnings- og boligministeren og CSIRT om hændelser, der har væsentlige konsekvenser for udøvelsen af de transporttjenester, som de leverer.

Det foreslåede stk. 1, 1. pkt. gennemfører således NIS-direktivets art. 20 ved at sikre, at de offentlige eller private enheder i transportsektoren, der er etableret i Danmark, og som ikke er udpeget efter den foreslåede § 3, stk. 1, har ret til at foretage underretninger om hændelser på frivillig basis. En sådan frivillig underretning giver myndighederne bedre mulighed for at opbygge viden om hændelser i transportsektoren, hvilket kan udgøre værdifulde bidrag til at danne et klarere sektorspecifikt trusselsbillede.

En operatør på transportområdet, der ikke er forpligtet til at underrette myndighederne om hændelser, skal foretage samme vurdering efter forslagets § 5, stk. 2, som en underretningspligtig operatør, før der sker underretning.

Det fremgår af det foreslåede stk. 1, 2. pkt., at transport-, bygnings- og boligministeren er forpligtet til at behandle frivillige underretninger på samme måde, som pligtmæssige underretninger behandles. Hvis der opstår behov for at prioritere mellem behandlingen af frivillige eller pligtmæssige underretninger, bør ministeren prioritere pligtmæssige underretninger først.

Til § 7

Efter den foreslåede bestemmelse kan transport-, bygnings- og boligministeren fastsætte regler om underretninger efter de foreslåede §§ 5 og 6, herunder fastsætte nærmere regler om indholdet af en underretning, vurderingen af, om en hændelse er omfattet af underretningspligten, vægtning af kriterierne i det foreslåede § 5, stk. 2, samt om underretninger og anden skriftlig kommunikation til og fra ministeren om nærmere bestemte forhold, som er omfattet af denne lov eller regler udstedt i medfør heraf, skal foregå digitalt.

Det er hensigten med bestemmelsen, at der vil kunne fastsættes nærmere regler om indholdet af en underretning, herunder hvilke oplysninger en underretning vil skulle indeholde, f.eks. kontaktoplysninger, konsekvenser af hændelsen og de foranstaltninger, som operatøren har truffet eller vil træffe til afværgelse af hændelsen. Derudover forventes det, at operatøren vil skulle underrette om, hvorvidt hændelsen har haft grænseoverskridende karakter og/eller har berørt flere sektorer. Endelig vil der kunne fastsættes nærmere regler om, hvorvidt en hændelse skal anses som værende omfattet af indberetningspligten samt om vægtningen af kriterierne i det foreslåede § 5, stk.2, herunder hvilke elementer i de enkelte kriterier, der skal tillægges særlig vægt.

Der vil endvidere kunne fastsættes nærmere regler om, at underretninger og anden skriftlig kommunikation til og fra ministeren om nærmere bestemte forhold, som er omfattet af denne lov eller regler udstedt i medfør heraf, skal foregå digitalt, herunder at underretningerne skal foregå på en given digital platform i et nærmere bestemt format. På denne måde sikres det, at der kan tages der højde for den udvikling, der må forventes på området, f.eks. hvis det vurderes at være nemmere for de underrettende operatører, at underretningen kan ske digitalt.

Til § 8

Med den foreslåede § 8 gennemføres dele af artikel 14 i NIS-direktivet.

Med bestemmelsen foreslås det, at transport-, bygnings- og boligministeren kan videregive oplysninger til CSIRT om hændelser, der er nødvendige for CSIRT til opfyldelse af dets lovbestemte opgaver som nationalt centralt kontaktpunkt og CSIRT.

Formålet med bestemmelsen er at sikre, at Center for Cybersikkerhed, i dets rolle som nationalt centralt kontaktpunkt og CSIRT, får adgang til oplysninger om hændelser, der er nødvendige for at opfylde dets lovbestemte rolle. Det omhandler eksempelvis oplysninger om hændelser, som efter Center for Cybersikkerheds vurderinger, har væsentlige konsekvenser for andre europæiske medlemsstater. Bestemmelsen skal anvendes i overensstemmelse med forvaltningslovens § 28 og under iagttagelse af de grundlæggende principper om saglighed og proportionalitet.

Til § 9

Med den foreslåede § 9 gennemføres NIS-direktivets artikel 14, stk. 6.

Med stk. 1 foreslås det, at transport-, bygnings- og boligministeren efter høring af den underrettende operatør kan oplyse offentligheden om konkrete hændelser, hvis offentlighedens kendskab hertil er nødvendigt for at forebygge en hændelse eller håndtere en igangværende hændelse.

Forslaget om offentliggørelse af oplysninger om hændelser, som ovenfor beskrevet, er udarbejdet med baggrund i de anbefalinger, som fremgår af Justitsministeriets betænkning nr. 1516/2010 om offentlige myndigheders offentliggørelse af kontrolresultater, afgørelser m.v. I betænkningen anbefales det, at der inden indførelse af ordninger med systematisk offentliggørelse af oplysning om kontrolresultater, afgørelser m.v. på internettet i ikke-anonymiseret form foretages en vurdering af det konkrete behov for offentliggørelse, om offentliggørelse kan forventes konkret at være særligt indgribende for personen, om der er tungtvejende samfundsmæssige hensyn bag offentliggørelsesordningen, om offentliggørelse strider mod de gældende databeskyttelsesretlige regler og de almindelige regler om tavshedspligt, og om der af retssikkerhedsmæssige grunde er opstillet administrative regler for forvaltningsmyndighedens behandling af de enkelte sager.

Offentliggørelse vil imidlertid alene kunne gennemføres efter høring af den operatør, som har foretaget underretningen om en hændelse, og transport-, bygnings- og boligministeren vil foretage en afvejning af på den ene side offentlighedens interesse i at blive informeret om trusler m.v. som en hændelse udgør, og på den anden side operatørens evt. ønsker om at tilbageholde visse oplysninger af hensyn til f.eks. mulig kommerciel skade samt skade for omdømmet for den pågældende operatør. Det vil særligt være i offentlighedens interesse at få oplysninger om en hændelse, som kan have betydning for at forebygge en gentagelse af hændelsen eller kan bidrage i forbindelse med håndtering af en igangværende hændelse.

Transport-, bygnings- og boligministeren vil alene offentliggøre navnet på den berørte operatør, såfremt transport-, bygnings- og boligministeren vurderer, at det er nødvendigt for at forebygge eller håndtere en igangværende hændelse. Såfremt det samme resultat kan nås med en anonymiseret offentliggørelse, som alene omfatter den konkrete hændelse, vil dette prioriteres.

I tilfælde, hvor en hændelse berører flere sektorer, bør orienteringen af offentligheden foretages af CSIRT i koordination med transport-, bygnings- og boligministeren.

CSIRT's adgang til at offentliggøre hændelser reguleres i reglerne, der implementerer NIS-direktivet for CSIRT. Som anført i bemærkningerne til den foreslåede § 2, nr. 6, er det i Danmark Center for Cybersikkerhed, der fremover vil varetage funktionen som CSIRT. Således er Center for Cybersikkerheds adgang til at offentliggøre hændelser, herunder hændelser fra andre sektorer, reguleret i forsvarsministerens lov vedrørende internetudvekslingspunkter.

Det foreslås i stk. 2, at oplysninger til offentligheden efter det foreslåede stk. 1 ikke må indeholde nedenstående oplysninger.

Det foreslås med nr. 1, at oplysninger til offentligheden ikke må omfatte tekniske indretninger, fremgangsmåder, drifts- og forretningsforhold el. lign. for så vidt den underrettende operatør gør gældende, at disse oplysninger har væsentlig forretningsmæssig betydning for operatøren. Hensynet med dette er at yde en beskyttelse af forretningsfølsomme oplysninger.

Det foreslås med nr. 2, at oplysninger til offentligheden ikke omfatter, hvad der af transport-, bygnings- og boligministeren vurderes at være af væsentlig betydning for statens sikkerhed eller rigets forsvar.

Det foreslås med nr. 3, at oplysninger til offentligheden ikke omfatter fortrolige informationer.

Det foreslås med nr. 4, at oplysninger til offentligheden ikke omfatter enkeltpersoners forhold.

Offentliggørelsen må under alle omstændigheder ikke indeholde fortrolige oplysninger omfattet af § 27, stk. 1, i forvaltningsloven.

I tilfælde, hvor der er tale om behandling af personhenførbare oplysninger, vil lovgivningen for databeskyttelse, jf. lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer samt regler udstedt i medfør heraf, finde tilsvarende anvendelse. Reglerne i databeskyttelsesforordningen, jf. forordning (EU) 2016/679 af 27. april 2016, vil finde anvendelse, når disse får virkning den 25. maj 2018.

Til § 10

Denne bestemmelse gennemfører dele af NIS-direktivets artikel 15 og har til formål at sikre, at der føres et tilsyn med, at operatørerne af væsentlige tjenester overholder lovens regler om sikkerhed i net- og informationssystemer. Til brug for tilsynet har transport-, bygnings- og boligministeren mulighed for at anmode om de oplysninger, der er nødvendige for at vurdere, om sikkerheden i net- og informationssystemerne lever op til de krav, der følger af denne lov eller regler udstedt i medfør af loven.

I stk. 1 foreslås det, at transport-, bygnings- og boligministeren fører tilsyn med, at en operatør af en væsentlig transporttjeneste overholder denne lov samt regler udstedt i medfør heraf. Til brug for tilsynet skal operatører af væsentlige tjenester på anmodning fra transport-, bygnings- og boligministeren afgive de oplysninger, der er nødvendige for tilsynet.

Som nævnt er det forventningen, at operatører af væsentlige transporttjenester i transportsektoren kan opfylde kravene om at træffe passende foranstaltninger, jf. den foreslåede § 4, ved at lade sig certificere. Ved en sådan certificering dokumenterer operatørernes efterlevelse i overensstemmelse med en internationalt anerkendt standard for styring af net- og informationssikkerhed. De certificerende organer vil - for at der skal være vished om deres faglige kompetencer på området - af samme grund skulle have den nødvendige akkreditering af et akkrediteringsorgan. Der henvises til afsnit 2.1.2.2 i de almindelige bemærkninger.

Transport-, bygnings- og boligministerens tilsyn, som forventes delegeret til Trafik-, Bygge- og Boligstyrelsen, vil således primært bestå i løbende at verificere, at den enkelte udpegede operatør opretholder sin certificering. Dertil kommer, at styrelsen vil afholde de nødvendige møder med det certificerende organ. Det vil være det certificerende organ, der med sin certificering af operatøren giver sikkerhed for, at de nødvendige foranstaltninger til at forhindre, forebygge og håndtere hændelser i operatørens udpegede net- og informationssystemer, er på plads.

Efter det foreslåede stk. 2 kan transport-, bygnings- og boligministeren påbyde, at forhold, der strider mod de foreslåede §§ 4 og 5 og de regler, der er fastsat i medfør af loven, samt EU-forordninger på net- og informationssikkerhedsområdet på transportområdet, bringes i orden straks eller inden en nærmere angivet frist. Bestemmelsen implementerer NIS-direktivets artikel 15, stk. 3.

Påbudsbestemmelsen skal anvendes med henblik på at sikre, at operatørerne opfylder bestemmelserne i loven, bekendtgørelser udstedt i medfør heraf samt EU-forordninger på net- og informationssikkerhedsområdet på transportområdet.

For så vidt angår påbud om at bringe forhold, der strider mod loven, i orden tænkes blandt andet på forpligtelsen i medfør af det foreslåede § 5, stk. 1, til hurtigst muligt at underrette transport-, bygnings- og boligministeren og CSIRT om hændelser, der har væsentlige konsekvenser for kontinuiteten af de væsentlige transporttjenester, som de leverer, forpligtelsen i medfør af det foreslåede § 4, stk. 1, til at træffe passende og forholdsmæssige tekniske og organisatoriske foranstaltninger for at styre risiciene for sikkerheden i net- og informationssystemer, som de anvender til den del af deres aktiviteter, hvor en hændelse vil få væsentlig forstyrrende virkning for leveringen af den nævnte transporttjeneste, og forpligtelsen i medfør af det foreslåede § 4, stk. 2, til at træffe passende foranstaltninger for at forebygge og minimere konsekvensen af hændelser, der kan have en negativ indvirkning på de net- og informationssystemer, som anvendes til levering af en væsentlig transporttjeneste.

Derudover tænkes for så vidt angår påbud om at bringe forhold, der strider mod regler fastsat i medfør af loven, i orden, blandt andet på mulighed for at give udpegede operatører, der ikke har ladet sig certificere i overensstemmelse med en internationalt anerkendt standard for styring af net- og informationssikkerhed, påbud om at lade sig certificere, hvis der er stillet krav herom.

Endelig tænkes for så vidt angår påbud om at bringe forhold, der strider mod EU-forordninger, i orden, på fremtidige EU-forordninger på net- og informationssikkerhedsområdet på transportområdet.

Efter det foreslåede stk. 3 kan transport-, bygnings- og boligministeren fastsætte nærmere regler om det tilsyn, der skal føres med overholdelse af loven samt med de regler, der er udstedt i medfør af loven.

Området er i løbende udvikling, hvorfor det er sandsynligt, at behovet for at kunne fastsætte regler om tilsynet vil kunne ændre sig. Bestemmelsen kan blandt andet anvendes til at fastsætte regler om, hvor ofte operatørerne skal fremsende dokumentation for certificering og det tilsyn, der føres med underretningerne.

Til § 11

Med den foreslåede bestemmelse kan transport-, bygnings- og boligministeren fastsætte regler, som er nødvendige for at gennemføre de direktiver, som Den Europæiske Union udsteder vedrørende sikkerhed i net- og informationssystemer på transportområdet, herunder regler om tilsyn, påbud m.v., eller som er nødvendige for at anvende de forordninger, som Den Europæiske Union udsteder vedrørende sikkerhed i net- og informationssystemer på transportområdet.

Formålet med bestemmelsen er at sikre en smidig og dynamisk adgang til at foretage løbende tilpasninger til et retsområde, som må forventes at være under kraftig udvikling den kommende tid.

Det er hensigten, at bestemmelsen hovedsageligt skal anvendes til administrativ implementering af EU-direktiver. Al implementering, som typisk vil blive gennemført ved bekendtgørelser, på grundlag af den foreslåede bestemmelse, vil blive gennemført inden for rammerne af gældende lovgivning. Det betyder, at transport-, bygnings- og boligministeren ikke administrativt vil kunne gennemføre implementering af EU-retsakter, hvis en sådan implementering vil stride mod gældende lovgivning. I den situation vil der forud for implementeringens gennemførelse blive foretaget nødvendige tilpasninger af gældende ret, som sikrer konformitet med EU-retten. Der vil med andre ord blive fremsat nødvendige lovforslag herom for Folketinget.

Hensynet bag den foreslåede generelle bemyndigelsesbestemmelse er således hovedsageligt, at transport-, bygnings- og boligministeren administrativt vil kunne implementere EU-regler af f.eks. mere teknisk karakter, der ikke strider mod gældende lovgivning, og som - under hensyntagen til EU-reglernes indholdsmæssige væsentlighed - ikke kan berettige implementering via Folketingets lovbehandling.

Til § 12

Efter det foreslåede stk. 1 kan transport-, bygnings- og boligministeren bemyndige Trafik-, Bygge- og Boligstyrelsen eller andre statslige myndigheder til at udøve ministerens beføjelser efter denne lov.

Bestemmelsen fastslår hermed hensigten om, at transport-, bygnings- og boligministeren delegerer de opgaver og beføjelser, som er tillagt ministeren efter dette lovforslag, til Trafik-, Bygge- og Boligstyrelsen, ligesom beføjelserne efter bestemmelsen også ville kunne delegeres til en anden statslig myndighed i det omfang, at det vil være relevant. Der er tale om et meget teknisk og fagligt tungt område, som mest hensigtsmæssigt lader sig varetage af Trafik-, Bygge- og Boligstyrelsen, der på en række områder allerede varetager lignende opgaver. Det forventes, at delegation af ministerens beføjelser vil blive indarbejdet i den delegationsbekendtgørelse for Trafik-, Bygge- og Boligstyrelsens opgaver, der løbende revideres og udstedes af ministeren.

Efter det foreslåede stk. 2 kan transport-, bygnings- og boligministeren fastsætte regler om adgangen til at klage over afgørelser, der træffes i henhold til denne lov eller forskrifter udstedt i medfør heraf, herunder om klagefrister samt afskæring af klageadgang.

Muligheden for at afskære klageadgangen er begrundet i, at de afgørelser, som Trafik-, Bygge- og Boligstyrelsen kommer til at træffe efter ministerens delegation, vil være af en udpræget teknisk karakter, som forudsætter betydelig indsigt i området. Departementet har ikke de faglige forudsætninger for at kunne vurdere de meget tekniske forhold, som karakteriserer dette retsområde, hvorfor rekursadgang er uhensigtsmæssig. Departementet vil ikke kunne foretage en realitetsbehandling af eventuelle klager over Trafik-, Bygge- og Boligstyrelsens beslutning om offentliggørelse efter § 9, idet beslutningen er udtryk for faktisk forvaltningsvirksomhed.

Bestemmelsen berører dog ikke den almindelige adgang til at få prøvet afgørelser ved domstolene, jf. grundlovens § 63.

Til § 13

Efter den foreslåede § 13 gennemføres artikel 21 i NIS-direktivet, der forpligter medlemsstaterne til at fastsætte sanktioner for overtrædelse af de nationale regler, der vedtages i medfør af NIS-direktivet. Der stilles krav om, at sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have præventiv virkning.

Det fremgår af det foreslåede stk. 1, at medmindre strengere straf er forskyldt efter anden lovgivning, straffes med bøde den, der undlader at følge et af nedenstående to forhold.

Forhold nr. 1 er, at transport-, bygnings- og boligministeren og CSIRT hurtigst muligt underrettes om hændelser, der har væsentlige konsekvenser for kontinuiteten af de væsentlige transporttjenester, som de leverer. Hensynet bag bestemmelsen er, at motivere operatørerne til at underrette om hændelser, der kan have væsentlige konsekvenser for kontinuiteten af de væsentlige transporttjenester. Ud over at sikre myndighedernes kendskab til hændelser, der kan have betydning for den underrettende operatørs transporttjenester, kan underretningerne også have betydning for hele sektoren eller på tværs af sektorer. Ved vurderingen af, om en underretning er sket hurtigst muligt, er det afgørende, at der lægges vægt på, hvornår det tidligst har været muligt for operatøren at vurdere, om der reelt var tale om en underretningspligtig hændelse.

Forhold nr. 2 er, at transport-, bygnings- og boligministerens påbud udstedt i henhold til det foreslåede § 10, stk. 2, regler fastsat i medfør af loven eller EU-forordninger vedrørende net- og informationssikkerhed på transportområdet, efterkommes. Formålet hermed er at sikre en efterlevelse af transport-, bygnings- og boligministerens påbud til gavn for net- og informationssikkerheden i transportsektoren.

Med stk. 2 foreslås det, at der i regler, der fastsættes i medfør af loven, kan fastsættes straf i form af bøde.

Transport-, bygnings- og boligministeren bemyndiges således med det foreslåede stk. 2 til at fastsætte regler om bødestraf for overtrædelse af forskrifter, som udstedes med hjemmel i dette lovforslag, herunder også for undladelse af at efterkomme påbud udstedt i medfør af forskrifterne.

Således påtænkes i forskrifter, der udstedes i medfør af loven, fastsat bødestraf til udpegede operatører for at undlade at efterkomme påbud om at lade sig certificere i overensstemmelse med en internationalt anerkendt standard for styring af net- og informationssikkerhed.

Efter det foreslåede stk. 3 kan der pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens 5. kapitel.

Sammenholdt med det foreslåede stk. 2 indebærer bestemmelsen, at der også i regler, som udstedes i medfør af loven, kan fastsættes regler, der pålægger juridiske personer strafansvar.

Til § 14

Efter den foreslåede § 14 træder loven i kraft den 10. maj 2018.

Loven med de til loven forudsatte bekendtgørelser skal senest træde i kraft den 10. maj 2018, da det er medlemsstaternes gennemførelsesfrist efter NIS-direktivets artikel 25, stk. 1.

Til § 15

Efter den foreslåede § 15 gælder loven ikke for Færøerne og Grønland, men kan ved kongelig anordning helt eller delvis sættes i kraft for Færøerne og Grønland med de ændringer, som de henholdsvis færøske og grønlandske forhold tilsiger.

1 Loven indeholder bestemmelser, der gennemfører dele af Europa-Parlamentets og Rådets direktiv 2016/1148/EU af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen, EU-Tidende 2016, nr. L 194, side 1.