L 143 Forslag til lov om krav til sikkerhed for net- og informationssystemer inden for sundhedssektoren.

Af: Sundhedsminister Ellen Trane Nørby (V)
Udvalg: Sundheds- og Ældreudvalget
Samling: 2017-18
Status: Stadfæstet

Lovforslag som optrykt efter 2. behandling

Optrykt: 26-04-2018

Optrykt: 26-04-2018

Efter afstemningen i Folketinget ved 2. behandling den 26. april 2018

20171_l143_efter_2behandling.pdf
Html-version

Efter afstemningen i Folketinget ved 2. behandling den 26. april 2018

Forslag

til

Lov om krav til sikkerhed for net- og informationssystemer inden for sundhedssektoren1)

Kapitel 1

Lovens anvendelsesområde og definitioner

§ 1. Loven gælder for operatører af væsentlige tjenester inden for sundhedssektoren.

§ 2. I denne lov forstås ved:

1) Operatør af en væsentlig tjeneste: En offentlig eller privat enhed, som er etableret i Danmark, og som opfylder kriterierne i § 3, stk. 1.

2) Net- og informationssystem:

a) Et elektronisk kommunikationsnet i form af en radiofrekvens- eller kabelbaseret teleinfrastruktur, der anvendes til formidling af tjenester,

b) enhver anordning eller gruppe af indbyrdes forbundne eller beslægtede anordninger, hvoraf en eller flere ved hjælp af et program udfører automatisk behandling af digitale data, eller

c) digitale data, som lagres, behandles, fremfindes eller overføres ved brug af elementer i litra a og b med henblik på deres drift, brug, beskyttelse og vedligeholdelse.

3) Sikkerhed i net- og informationssystemer: Evnen for net- og informationssystemer til på et givet sikkerhedsniveau at modstå handlinger, der er til skade for tilgængeligheden, autenticiteten, integriteten eller fortroligheden i forbindelse med lagrede eller overførte eller behandlede data eller de dermed forbundne tjenester, der tilbydes af eller er tilgængelige via disse net- og informati?onssystemer.

4) Hændelse: Enhver begivenhed, der har en egentlig negativ indvirkning på sikkerheden i net- og informati?onssystemer.

Kapitel 2

Operatører af væsentlige tjenester

§ 3. En enhed betragtes som en operatør af en væsentlig tjeneste, hvis

1) enheden leverer en tjeneste, der er væsentlig for opretholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter inden for sundhedssektoren,

2) leveringen af denne tjeneste afhænger af net- og informationssystemer og

3) en hændelse vil få væsentlige forstyrrende virkninger for leveringen af den nævnte tjeneste.

Stk. 2. Operatører af væsentlige tjenester skal registrere sig hos sundhedsministeren.

Stk. 3. Sundhedsministeren fastsætter nærmere regler om kriterierne i stk. 1 og registreringsordningen efter stk. 2.

Kapitel 3

Sikkerhedskrav

§ 4. Operatører af væsentlige tjenester skal træffe passende og forholdsmæssige tekniske og organisatoriske foranstaltninger for at styre risiciene for sikkerheden i net- og informationssystemer, som de anvender til deres aktiviteter, og med disse foranstaltninger sikre et sikkerhedsniveau, der er passende til risikoen.

Stk. 2. Operatører af væsentlige tjenester skal træffe passende foranstaltninger for at forebygge og minimere konsekvensen af hændelser, der berører sikkerheden i net- og informationssystemer, som anvendes til levering af sådanne væsentlige tjenester, med henblik på at sikre kontinuiteten i disse tjenester.

Stk. 3. Sundhedsministeren fastsætter nærmere regler om foranstaltningerne i stk. 1 og 2.

Kapitel 4

Underretningspligt m.v.

§ 5. Operatører af væsentlige tjenester skal hurtigst muligt underrette sundhedsministeren og Center for Cybersikkerhed om hændelser, der har væsentlige konsekvenser for kontinuiteten af de væsentlige tjenester, som de leverer. Underretningen skal indeholde oplysninger, der gør det muligt for sundhedsministeren at fastslå eventuelle grænseoverskridende konsekvenser af hændelsen.

Stk. 2. Med henblik på at fastlægge omfanget af en hændelses konsekvenser efter stk. 1 skal operatøren af en væsentlig tjeneste navnlig tage følgende kriterier i betragtning:

1) Antallet af brugere, der berøres af afbrydelsen af den væsentlige tjeneste.

2) Hændelsens varighed.

3) Den geografiske udbredelse med hensyn til det område, der er berørt af hændelsen.

Stk. 3. Tillader omstændighederne det, meddeler sundhedsministeren relevante oplysninger til den underrettende operatør af en væsentlig tjeneste om opfølgningen på dennes underretning, herunder oplysninger, der kan støtte en effektiv håndtering af hændelsen.

Stk. 4. Sundhedsministeren kan efter høring af den underrettende operatør af en væsentlig tjeneste oplyse offentligheden om konkrete hændelser, hvis offentlighedens kendskab hertil er nødvendigt for at forebygge en hændelse eller håndtere en igangværende hændelse.

Stk. 5. Sundhedsministeren fastsætter nærmere regler om underretning efter stk. 1, herunder hvilke oplysninger der skal underrettes om, og kriterierne for fastlæggelsen af omfanget af en hændelses konsekvenser efter stk. 2.

§ 6. Sundhedsministeren kan fastsætte regler om, at skriftlig kommunikation til og fra sundhedsministeren om nærmere bestemte forhold, som er omfattet af denne lov eller af regler udstedt i medfør af loven, skal foregå digitalt.

Stk. 2. En digital meddelelse anses for at være kommet frem, når den er tilgængelig for adressaten for meddelelsen.

Stk. 3. Sundhedsministeren kan fastsætte regler om digital kommunikation, herunder om anvendelse af bestemte it-systemer, særlige digitale formater og digital signatur el.lign.

Kapitel 5

Tilsyn og påbud

§ 7. Sundhedsministeren fører tilsyn med de forpligtelser, der påhviler operatører af væsentlige tjenester i henhold til denne lov og regler, der er udstedt i medfør af loven.

Stk. 2. Sundhedsministeren kan som led i sit tilsyn kræve, at operatører af væsentlige tjenester stiller oplysninger, der er nødvendige for tilsynet, til rådighed, herunder oplysninger, der er nødvendige for at vurdere sikkerheden i deres net- og informationssystemer, og dokumentation for den faktiske gennemførelse af sikkerhedspolitikker.

§ 8. Sundhedsministeren kan påbyde operatører af væsentlige tjenester at efterkomme forpligtelser i henhold til denne lov og regler, der er udstedt i medfør af loven.

Kapitel 6

Delegation af beføjelser til Sundhedsdatastyrelsen

§ 9. Sundhedsministeren kan bemyndige Sundhedsdatastyrelsen til at varetage opgaver, der i denne lov er tillagt ministeren.

Kapitel 7

Straf

§ 10. Medmindre højere straf er forskyldt efter den øvrige lovgivning, straffes med bøde den, der undlader at efterkomme sundhedsministerens påbud efter § 8.

Stk. 2. I regler, der fastsættes i medfør af loven, kan der fastsættes straf i form af bøde.

Stk. 3. Der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens 5. kapitel.

Kapitel 8

Ikrafttræden m.v.

§ 11. Loven træder i kraft den 10. maj 2018.

§ 12. Loven gælder ikke for Færøerne og Grønland.

Officielle noter

1) Loven indeholder bestemmelser, der gennemfører dele af Europa-Parlamentets og Rådets direktiv 2016/1148/EU af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen, EU-Tidende 2016, nr. L 194, side 1.