Fremsat den 7. februar 2018 af sundhedsministeren (Ellen Trane Nørby)

Forslag

til

Lov om krav til sikkerhed for net- og informationssystemer inden for sundhedssektoren1)

Kapitel 1

Lovens anvendelsesområde og definitioner

§ 1. Loven gælder for operatører af væsentlige tjenester inden for sundhedssektoren.

§ 2. I denne lov forstås ved:

1) Operatør af en væsentlig tjeneste: En offentlig eller privat enhed, som er etableret i Danmark, og som opfylder kriterierne i § 3, stk. 1.

2) Net- og informationssystem:

a) Et elektronisk kommunikationsnet i form af en radiofrekvens- eller kabelbaseret teleinfrastruktur, der anvendes til formidling af tjenester,

b) enhver anordning eller gruppe af indbyrdes forbundne eller beslægtede anordninger, hvoraf en eller flere ved hjælp af et program udfører automatisk behandling af digitale data, eller

c) digitale data, som lagres, behandles, fremfindes eller overføres ved brug af elementer i litra a og b med henblik på deres drift, brug, beskyttelse og vedligeholdelse.

3) Sikkerhed i net- og informationssystemer: Evnen for net- og informationssystemer til, på et givet sikkerhedsniveau, at modstå handlinger, der er til skade for tilgængeligheden, autenticiteten, integriteten eller fortroligheden i forbindelse med lagrede eller overførte eller behandlede data eller de dermed forbundne tjenester, der tilbydes af eller er tilgængelige via disse net- og informationssystemer.

4) Hændelse: Enhver begivenhed, der har en egentlig negativ indvirkning på sikkerheden i net- og informationssystemer.

Kapitel 2

Operatører af væsentlige tjenester

§ 3. En enhed betragtes som en operatør af en væsentlig tjeneste, hvis

1) enheden leverer en tjeneste, der er væsentlig for opretholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter inden for sundhedssektoren,

2) leveringen af denne tjeneste afhænger af net- og informationssystemer, og

3) en hændelse vil få væsentlige forstyrrende virkninger for leveringen af den nævnte tjeneste.

Stk. 2. Operatører af væsentlige tjenester skal registrere sig hos sundhedsministeren.

Stk. 3. Sundhedsministeren fastsætter nærmere regler om kriterierne i stk. 1 og registreringsordningen efter stk. 2.

Kapitel 3

Sikkerhedskrav

§ 4. Operatører af væsentlige tjenester skal træffe passende og forholdsmæssige tekniske og organisatoriske foranstaltninger for at styre risiciene for sikkerheden i net- og informationssystemer, som de anvender til deres aktiviteter, og med disse foranstaltninger sikre et sikkerhedsniveau, der er passende til risikoen.

Stk. 2. Operatører af væsentlige tjenester skal træffe passende foranstaltninger for at forebygge og minimere konsekvensen af hændelser, der berører sikkerheden i net- og informationssystemer, som anvendes til levering af sådanne væsentlige tjenester, med henblik på at sikre kontinuiteten i disse tjenester.

Stk. 3. Sundhedsministeren fastsætter nærmere regler om foranstaltningerne i stk. 1 og 2.

Kapitel 4

Underretningspligt m.v.

§ 5. Operatører af væsentlige tjenester skal hurtigst muligt underrette sundhedsministeren og Center for Cybersikkerhed om hændelser, der har væsentlige konsekvenser for kontinuiteten af de væsentlige tjenester, som de leverer. Underretningen skal indeholde oplysninger, der gør det muligt for sundhedsministeren at fastslå eventuelle grænseoverskridende konsekvenser af hændelsen.

Stk. 2. Med henblik på at fastlægge omfanget af en hændelses konsekvenser efter stk. 1 skal operatøren af en væsentlig tjeneste navnlig tage følgende kriterier i betragtning:

1) Antallet af brugere, der berøres af afbrydelsen af den væsentlige tjeneste.

2) Hændelsens varighed.

3) Den geografiske udbredelse med hensyn til det område, der er berørt af hændelsen.

Stk. 3. Tillader omstændighederne det, meddeler sundhedsministeren relevante oplysninger til den underrettende operatør af en væsentlig tjeneste om opfølgningen på dennes underretning, herunder oplysninger der kan støtte en effektiv håndtering af hændelsen.

Stk. 4. Sundhedsministeren kan efter høring af den underrettende operatør af en væsentlig tjeneste oplyse offentligheden om konkrete hændelser, hvis offentlighedens kendskab hertil er nødvendigt for at forebygge en hændelse eller håndtere en igangværende hændelse.

Stk. 5. Sundhedsministeren fastsætter nærmere regler om underretning efter stk. 1, herunder hvilke oplysninger der skal underrettes om, og kriterierne for fastlæggelsen af omfanget af en hændelses konsekvenser efter stk. 2.

§ 6. Sundhedsministeren kan fastsætte regler om, at skriftlig kommunikation til og fra sundhedsministeren om nærmere bestemte forhold, som er omfattet af denne lov eller af regler udstedt i medfør af loven, skal foregå digitalt.

Stk. 2. En digital meddelelse anses for at være kommet rettidigt frem, når den er tilgængelig for adressaten for meddelelsen.

Stk. 3. Sundhedsministeren kan fastsætte regler om digital kommunikation, herunder om anvendelse af bestemte it-systemer, særlige digitale formater og digital signatur el.lign.

Kapitel 5

Tilsyn og påbud

§ 7. Sundhedsministeren fører tilsyn med de forpligtelser, der påhviler operatører af væsentlige tjenester i henhold til denne lov og regler, der er udstedt i medfør af loven.

Stk. 2. Sundhedsministeren kan som led i sit tilsyn kræve, at operatører af væsentlige tjenester stiller oplysninger, der er nødvendige for tilsynet, til rådighed, herunder oplysninger der er nødvendige for at vurdere sikkerheden i deres net- og informationssystemer og dokumentation for den faktiske gennemførelse af sikkerhedspolitikker.

§ 8. Sundhedsministeren kan påbyde operatører af væsentlige tjenester at efterkomme forpligtelser i henhold til denne lov og regler, der er udstedt i medfør af loven.

Kapitel 6

Delegation af beføjelser til Sundhedsdatastyrelsen

§ 9. Sundhedsministeren kan bemyndige Sundhedsdatastyrelsen til at varetage opgaver, der i denne lov er tillagt ministeren.

Kapitel 7

Straf

§ 10. Medmindre højere straf er forskyldt efter den øvrige lovgivning, straffes med bøde den, der undlader at efterkomme sundhedsministerens påbud efter § 8.

Stk. 2. I regler, der fastsættes i medfør af loven, kan der fastsættes straf i form af bøde.

Stk. 3. Der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens 5. kapitel.

Kapitel 8

Ikrafttræden m.v.

§ 11. Loven træder i kraft den 10. maj 2018.

§ 12. Loven gælder ikke for Færøerne og Grønland.

Bemærkninger til lovforslaget

Almindelige bemærkninger

1. Indledning

Lovforslaget har til formål at implementere dele af Europa-Parlamentets og Rådets direktiv 2016/1148/EU af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen (herefter NIS-direktivet) inden for sundhedssektoren.

Den øgede digitalisering af det danske samfund indebærer, at net- og informationssikkerhed spiller en mere afgørende rolle. Dette gælder også for sundhedssektoren. Det er i høj grad en forudsætning for de tjenester, der understøtter behandling og pleje i sundhedssektoren, at sikkerheden fungerer.

Omfanget, hyppigheden og konsekvenserne af sikkerhedshændelser er tiltagende. Det digitale område er således i højere grad blevet et mål for handlinger, som har til formål at ødelægge eller forstyrre driften af digitale systemer. Uanset om hændelserne er tilsigtede eller ej, kan forstyrrelser i sundhedssektoren have alvorlige konsekvenser. En hændelse kan f.eks. være et cyberangreb eller en oversvømmelse af et serverrum, der hindrer tjenester i at fungere, hæmmer en hensigtsmæssig behandling og pleje samt truer patientsikkerheden. Sikkerhedshændelser kan dermed underminere borgernes tillid til sundhedsvæsenet.

Det følger af NIS-direktivet, at tjenester, der leveres til sundhedssektoren, kan være af særlig samfundskritisk karakter. NIS-direktivet har derfor bl.a. til formål at sikre et højt niveau af net- og informationssikkerhed inden for sundhedssektoren, herunder sygehuse, praksissektoren, kommunal pleje m.v.

Ved gennemførelse af NIS-direktivets sikkerheds- og underretningskrav sikres der således i højere grad en beskyttelse af net- og informationssystemer inden for sundhedssektoren med det formål at opretholde driften af et funktionelt sundhedsvæsen, herunder bl.a. behandling og pleje af patienter og borgere.

Implementering af NIS-direktivet i dansk ret inden for sundhedssektoren forudsætter, at der vedtages ny lovgivning, der gør det muligt at fastsætte krav til sikkerhed og underretning for at sikre et højt sikkerhedsniveau for net- og informationssystemer inden for sundhedssektoren. Ifølge NIS-direktivet skal loven træde i kraft den 10. maj 2018.

2. Gældende ret

Der findes ikke en generel og tværgående regulering af krav til sikkerhed og underretning for net- og informationssystemer inden for sundhedssektoren.

Den offentlige og private sektor er - indtil den 24. maj 2018 - omfattet af lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer (herefter persondataloven) og tilhørende bekendtgørelser, når der behandles personoplysninger. Det fremgår bl.a. af persondataloven, at der skal træffes fornødne tekniske og organisatoriske sikkerhedsforanstaltninger i forbindelse med behandling af personoplysninger. Persondataloven gennemfører Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (herefter databeskyttelsesdirektivet). For så vidt angår den offentlige forvaltning finder bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning med senere ændringer anvendelse (herefter sikkerhedsbekendtgørelsen).

Databeskyttelsesdirektivet ophæves den 25. maj 2018, jf. Europa-Parlamentets og Rådets forordning 2016/679/EU af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (herefter databeskyttelsesforordningen), som finder anvendelse fra den 25. maj 2018.

Justitsministeren har den 25. oktober 2017 fremsat lovforslag L 68 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (herefter forslag til databeskyttelsesloven). I forslag til databeskyttelsesloven, der fastsætter supplerende nationale bestemmelser om behandling af personoplysninger, foreslås det bl.a., at persondataloven ophæves, jf. forslagets § 46, stk. 2. I den forbindelse foreslås sikkerhedsbekendtgørelsen samtidig ophævet.

Efter den 25. maj 2018 vil det være reglerne i databeskyttelsesforordningen, suppleret af lovforslag til databeskyttelsesloven, lov om retshåndhævende myndigheders behandling af personoplysninger samt diverse særregler, herunder bl.a. regler i sundhedsloven m.v., der regulerer området for behandling af personoplysninger.

Derudover følger det af § 28, stk. 1, i lovbekendtgørelse nr. 433 af 22. april 2014 (herefter forvaltningsloven), at en forvaltningsmyndighed skal overholde reglerne i persondataloven, når der videregives personoplysninger til en anden forvaltningsmyndighed. Ifølge lovforslag L 69 til L 68, som blev behandlet samlet, er der sket en tilpasning af forvaltningslovens § 28, så der fremover henvises til reglerne i databeskyttelsesforordningen og forslag til databeskyttelsesloven. Desuden fremgår det af forvaltningslovens § 28, stk. 2, at oplysninger af fortrolig karakter, som ikke er person­oplysninger, kun må videregives til en anden forvaltningsmyndighed, når den oplysningen angår udtrykkeligt har givet samtykke, når det følger af lov, eller bestemmelser fastsat i henhold til lov, at oplysningen skal videregives, eller det må antages, at oplysningen vil være af væsentlig betydning for myndighedens virksomhed eller for en afgørelse, myndigheden skal træffe. En oplysning anses som fortrolig, hvis den er af en sådan karakter, at den efter den almindelige opfattelse i samfundet bør kunne forlanges unddraget offentlighedens kendskab. Forvaltningsloven indeholder ikke bestemmelser om adgang til udveksling af ikke-fortrolige oplysninger, og sådanne oplysninger vil som udgangspunkt frit kunne videregives til en anden forvaltningsmyndighed.

Det følger derudover af forvaltningslovens § 27, stk. 1, at den, der virker inden for den offentlige forvaltning, har tavs­hedspligt, jf. straffelovens § 152 og §§ 152 c-152 f, med hensyn til en række oplysninger.

Straffeloven indeholder ikke i øvrigt nogen nærmere angivelse af, hvilke offentlige eller private interesser der kan føre til, at en oplysning må anses for at være fortrolig. En sådan angivelse findes derimod i forvaltningslovens § 27, hvor der er foretaget en opregning af hensyn, som efter en kon­kret vurdering i hvert enkelt tilfælde kan føre til, at en oplysning er fortrolig og dermed undergivet tavshedspligt. Opregningen er ikke udtømmende, men den må antages at dække langt den overvejende del af de hensyn, der kan føre til tavs­hedspligt med hensyn til oplysninger om juridiske personer. I forhold til tavshedspligt med oplysninger om fysiske personer udfyldes og suppleres bestemmelserne i forvaltningslovens § 27 med de centrale bestemmelser i persondataloven.

Det bemærkes endvidere, at forvaltningsmyndigheder i deres virke skal overholde god forvaltningsskik, og at de skal agere inden for de rammer, der kan udledes af de almindelige forvaltningsretlige grundsætninger om proportionalitet og saglighed i forvaltningen. Dette gælder også ved forvaltningsmyndigheders offentliggørelse af oplysninger.

Endelig bemærkes det, at i tilfælde af forvaltningsmyndigheders anvendelse af tvangsindgreb og oplysningspligter uden for strafferetsplejen, f.eks. i tilfælde af kontrol- og tilsynsbesøg, finder lov nr. 442 af 9. juni 2004 om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter med senere ændringer (herefter retssikkerhedsloven) anvendelse, således at denne lovs processuelle regler skal afholdes ved gennemførelsen af tilsynet.

3. Europa-Parlamentets og Rådets direktiv 2016/1148/EU af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen (NIS-direktivet)

NIS-direktivet har til formål at sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i Unionen for at forbedre det indre markeds funktion.

NIS-direktivet fastsætter forpligtelser for alle medlemsstater til at vedtage en national strategi for sikkerhed i net- og informationssystemer. I medfør af NIS-direktivet skal der oprettes en samarbejdsgruppe med henblik på at støtte og lette strategisk samarbejde og udveksling af oplysninger mellem medlemsstaterne samt skabe tillid blandt dem. Endvidere skal der i medfør af NIS-direktivet oprettes et netværk af enheder, der håndterer IT-sikkerhedshændelser (CSIRT-netværk) med henblik på at bidrage til skabelsen af tillid mellem medlemsstaterne og at fremme et hurtigt og effektivt operationelt samarbejde. Yderligere fastsætter direktivet sikkerhedskrav og en underretningspligt for operatører af væsentlige tjenester og for udbydere af digitale tjenester. Endelig fastsætter direktivet forpligtelser for medlemsstaterne til at udpege nationale kompetente myndigheder, centrale kontaktpunkter og CSIRT'er, som pålægges opgaver relateret til sikkerheden i net- og informationssystemer.

Det følger af NIS-direktivet, at behandling af personoplysninger udføres i overensstemmelse med databeskyttelsesdirektivet.

NIS-direktivet er et minimumsdirektiv, hvorfor medlemsstaterne kan vedtage eller bibeholde bestemmelser, som har til formål at nå et højere sikkerhedsniveau for net- og informationssystemer.

3.1. Implementering af NIS-direktivet i dansk ret

NIS-direktivet er et sektorspecifikt direktiv.

Det følger af NIS-direktivet, at hver medlemsstat udpeger en eller flere nationale kompetente myndigheder for sikkerheden i net- og informationssystemer inden for energi-, transport-, bank-, finans- og sundhedssektoren.

Direktivet vil blive implementeret individuelt i de enkelte sektorer, som er omfattet af direktivet, hvilket vil sikre, at der ved implementeringen fastsættes målrettede sikkerhedskrav, der er nøje tilpasset de enkelte sektorers særlige forhold.

NIS-direktivet har et bredt anvendelsesområde, men forudsætningen for en målrettet og erhvervsvenlig direktivimplementering, hvor danske virksomheder ikke pålægges unødvendige byrder, er, at nye lovgivningskrav nøje tilpasses de enkelte sektorer. Ved implementeringen af NIS-direktivet videreføres sektoransvaret derfor, således at de enkelte ressortmyndigheder inden for eget område fortsat har ansvaret for at fastsætte og håndhæve de nødvendige regler om sikkerhed for net- og informationssystemer.

Derudover er det vurderet hensigtsmæssigt, at Center for Cybersikkerhed varetager funktionen som henholdsvis natio­nalt centralt kontaktpunkt og Computer Security Incident Response Team (herefter CSIRT). Disse funktioner indebærer bl.a. monitorering af hændelser på nationalt plan, tidlig varsling, advarsler, meddelelser og formidling af information til relevante interessenter om risici og hændelser, reaktion på hændelser, udarbejdelse af dynamiske risiko- og hændelsesanalyser og situationsrapporter, deltagelse i CSIRT-netværket, etablering af samarbejde med den private sektor, fremme anvendelsen af fælles eller standardiserede procedurer for håndtering af hændelser og risici og fremme anvendelsen af fælles eller standardiserede systemer til klassificering af hændelser, risici og oplysninger.

Følgende afsnit gennemgår NIS-direktivets artikler, der er relevante for implementeringen af direktivet på Sundheds- og Ældreministeriets område.

3.2. Identificering af operatører af væsentlige tjenester

Det følger af NIS-direktivet, at medlemsstaterne senest den 9. november 2018 skal identificere operatører af væsentlige tjenester inden for de respektive sektorer. I forbindelse med identificeringen af operatører af væsentlige tjenester skal det indgå, om en enhed leverer en tjeneste, der er væsentlig for opretholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter, om leveringen af denne tjeneste afhænger af net- og informationssystemer, og om en hændelse vil få væsentlige forstyrrende virkninger for leveringen af den nævnte tjeneste.

Hver medlemsstat skal udarbejde en liste over væsentlige tjenester inden for de af direktivet omfattede sektorer med henblik på at identificere operatører af væsentlige tjenester.

3.3. Sikkerhedskrav for operatører af væsentlige tjenester

Medlemsstaterne skal i henhold til NIS-direktivet sikre, at operatører af væsentlige tjenester træffer passende og forholdsmæssige tekniske og organisatoriske foranstaltninger for at sikre et højt sikkerhedsniveau i deres net- og informationssystemer, som de anvender til deres aktiviteter. Sikkerhedsforanstaltningerne skal tage højde for det aktuelle teknologiske stade med det formål at sikre et sikkerhedsniveau, der er passende til risikoen. Medlemsstaterne skal desuden sikre, at operatører af væsentlige tjenester træffer passende foranstaltninger for at forebygge og minimere konsekvensen af hændelser, der berører sikkerheden i deres net- og informationssystemer med henblik på at opretholde kontinuiteten i deres væsentlige tjenester.

3.4. Underretningspligt for operatører af væsentlige tjenester og offentliggørelse af hændelser

Ifølge NIS-direktivet skal medlemsstaterne sikre, at operatører af væsentlige tjenester hurtigst muligt foretager en underretning til den kompetente myndighed eller CSIRT om hændelser, der har væsentlige konsekvenser for kontinuiteten af deres væsentlige tjenester. Underretningen skal indeholde oplysninger, der gør det muligt for den kompetente myndighed eller CSIRT at fastslå eventuelle grænseoverskridende konsekvenser af hændelsen. Vurderes hændelsen at have konsekvenser for kontinuiteten af væsentlige tjenester i andre medlemsstater oplyser den kompetente myndighed eller CSIRT den eller de øvrige berørte medlemsstater om hændelsen. Underretningen til de berørte medlemsstater skal ske under overholdelse af krav om fortrolighed og sikkerhed. Ved fastlæggelsen af omfanget af en hændelses konsekvenser skal en operatør af en væsentlig tjeneste hovedsageligt tage hensyn til antallet af brugere, der berøres af afbrydelsen af den væsentlige tjeneste, hændelsens varighed og den geografiske udbredelse med hensyn til det område, der er berørt af hændelsen. Yderligere skal der tages hensyn til antallet af patienter under operatørens pleje pr. år.

I henhold til NIS-direktivet kan den kompetente myndighed eller CSIRT efter høring af operatøren af den væsentlige tjeneste offentliggøre konkrete hændelser, hvis offentlighedens kendskab hertil er nødvendigt for at forebygge en hændelse eller håndtere en igangværende hændelse. Offentliggørelsen skal ske under hensyntagen til bl.a. operatørens kommercielle interesser.

3.5. Tilsyn og påbud

Direktivet foreskriver, at medlemsstaterne skal sikre, at de kompetente myndigheder har de nødvendige beføjelser og midler til at vurdere, hvorvidt operatører af væsentlige tjenester opfylder deres forpligtelser i henhold til direktivet. De kompetente myndigheder skal have beføjelser og midler til at pålægge operatørerne at levere de oplysninger, der er nødvendige for at vurdere sikkerheden i deres net- og informationssystemer, herunder dokumenterede sikkerhedspolitikker og dokumentation for den faktiske gennemførelse af sikkerhedspolitikker. Den kompetente myndigheds anmodning om oplysninger eller dokumentation skal indeholde en beskrivelse af formålet med anmodningen samt en angivelse af de oplysninger, der kræves. Med henblik på at afhjælpe påviste mangler, kan den kompetente myndighed udstede påbud til operatører af væsentlige tjenester efter myndighedens vurdering af de indhentede oplysninger.

4. Sundheds- og Ældreministeriets overvejelser og den foreslåede ordning

Lovforslaget er et udtryk for en direktivnær implementering af NIS-direktivet. I 2015 besluttede regeringen fem principper for implementering af EU-regulering, som har til formål at sikre, at ny EU-regulering ikke overimplementeres, medmindre væsentlige hensyn taler herfor. Et af principperne fastsætter, at den nationale regulering som udgangspunkt ikke bør gå videre end minimumskravene i EU-reguleringen. Derfor stilles der med lovforslaget ikke streng­ere krav til sikkerhed og underretning for operatører af væsentlige tjenester, end NIS-direktivet foreskriver.

Lovforslaget har til formål at øge beskyttelsen af net- og informationssystemer inden for sundhedssektoren med det formål at kunne opretholde driften af et funktionelt sundhedsvæsen, herunder behandling og pleje af patienter og borgere. Lovforslaget regulerer således ikke behandling af personoplysninger. Det fremgår i den forbindelse af NIS-direktivets artikel 2, stk. 1, at behandling af personoplysninger i henhold til NIS-direktivet udføres i overensstemmelse med databeskyttelsesdirektivet.

4.1. Identificering af operatører af væsentlige tjenester

Det foreslås, at der i lovforslaget indsættes bestemmelser om lovens anvendelsesområde og definitioner af lovens centrale begreber. De foreslåede definitioner af lovens centrale begreber implementerer NIS-direktivets artikel 4, nr. 1, 2, 4 og 7.

Ifølge lovforslaget skal en offentlig eller privat enhed, som er etableret i Danmark, betragtes som en operatør af en væsentlig tjeneste, hvis den pågældende enhed for det første leverer en tjeneste, der er væsentlig for opretholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter inden for sundhedssektoren. For det andet skal den tjeneste, som enheden leverer, afhænge af net- og informationssystemer. Endelig er det et krav, at en hændelse vil få væsentlige forstyrrende virkninger for leveringen af pågældende enheds tjeneste. Den foreslåede ordning om identificering af operatører af væsentlige tjenester implementerer NIS-direktivets artikel 5, stk. 2, litra a-c.

Med henblik på at understøtte identificeringen af operatører af væsentlige tjenester foreslås det, at operatører af væsentlige tjenester skal lade sig registrere hos sundhedsministeren.

Det bemærkes, at en ikke-registreret enhed, som opfylder lovforslagets kriterier for at være en operatør af en væsentlig tjeneste, vil være underlagt lovforslagets forpligtelser.

Endelig foreslås det, at sundhedsministeren fastsætter nærmere regler om kriterierne for identificering af operatører af væsentlige tjenester og registreringsordningen.

4.2. Sikkerhedskrav for operatører af væsentlige tjenester

Det følger af NIS-direktivet, at operatører af væsentlige tjenester skal træffe risikobaserede sikkerhedsforanstaltninger.

Det foreslås derfor, at operatører af væsentlige tjenester skal træffe passende og forholdsmæssige tekniske og organisatoriske foranstaltninger for at styre risiciene for sikkerheden i net- og informationssystemer, som anvendes til deres aktiviteter med henblik på at sikre et sikkerhedsniveau, der er passende til risikoen. Den foreslåede ordning implementerer NIS-direktivets artikel 14, stk. 1.

Det foreslås endvidere, at operatører af væsentlige tjenester skal træffe passende foranstaltninger for at forebygge og minimere konsekvensen af hændelser, der berører sikkerheden i deres net- og informationssystemer med henblik på at sikre kontinuiteten i operatørernes væsentlige tjenester. Den foreslåede ordning implementerer NIS-direktivets artikel 14, stk. 2.

Sundheds- og Ældreministeriet har vurderet det hensigtsmæssigt, at operatører af væsentlige tjenester kun underlægges proportionale krav, der ikke er unødvendigt byrdefulde. Med den foreslåede ordning overlades operatører af væsentlige tjenester derfor et skøn med hensyn til selv at bestemme indholdet af deres risikostyringsforanstaltninger under hensyntagen til de risici, som operatørerne er udsat for, det aktuelle trusselsbillede og teknologiens aktuelle stade.

Ifølge cyber- og informationssikkerhedsstrategien 2015-16 skal den internationale standard for informationssikkerhed, ISO27001, være implementeret af statslige myndigheder primo 2016. Derudover fremgår det af Den fællesoffentlige digitaliseringsstrategi 2016-2020, at regioner og kommuner skal følge principperne i ISO27001.

Sundheds- og Ældreministeriet har vurderet, at ISO27001-standarden er i overensstemmelse med NIS-direktivets formål, hvorfor den foreslåede ordning medfører mindre forpligtelser for myndigheder og de private aktører, der følger ISO27001-standarden.

Endelig foreslås det, at sundhedsministeren fastsætter nærmere regler om sikkerhedsforanstaltninger.

Det bemærkes, at de med lovforslaget foreslåede sikkerhedskrav vil finde anvendelse, uanset om der behandles personoplysninger i de pågældende net- og informationssystemer. I det omfang der behandles personoplysninger, vil sikkerhedskravene i den til enhver tid gældende lovgivning om behandling af personoplysninger i øvrigt skulle følges.

4.3. Underretningspligt for operatører af væsentlige tjenester og offentliggørelse af hændelser

Det følger af NIS-direktivet, at en operatør af en væsentlig tjeneste skal underrette den kompetente myndighed eller CSIRT i tilfælde af en hændelse, der har væsentlige konsekvenser for kontinuiteten af den væsentlige tjeneste.

Sundheds- og Ældreministeriet har vurderet det hensigtsmæssigt, at der sker en parallel underretning til henholdsvis sundhedsministeren og Center for Cybersikkerhed. På denne måde vil sundhedsministeren og Center for Cybersikkerhed få mulighed for hurtigt at reagere på en hændelse af grænseoverskridende karakter.

Derfor foreslås det, at operatører af væsentlige tjenester skal underrette sundhedsministeren og Center for Cybersikkerhed om hændelser, der har væsentlige konsekvenser for kontinuiteten af de tjenester, som de leverer. Operatøren af en væsentlig tjeneste skal foretage denne underretning hurtigst muligt. Underretningen vil skulle indeholde oplysninger, der gør det muligt for sundhedsministeren at klarlægge eventuelle grænseoverskridende konsekvenser af hændelsen. Den foreslåede ordning implementerer NIS-direktivets artikel 14, stk. 3.

Med henblik på at fastlægge om en hændelse har væsentlige konsekvenser for kontinuiteten af en væsentlig tjeneste, foreslås det, at operatøren skal inddrage forhold som antallet af brugere, der berøres af afbrydelsen af den væsentlige tjeneste, hændelsens varighed og den geografiske udbredelse med hensyn til det område, der er berørt af hændelsen. Den foreslåede ordning implementerer NIS-direktivets artikel 14, stk. 4, litra a-c.

For at understøtte en effektiv håndtering af hændelsen foreslås det, at sundhedsministeren meddeler relevante oplysninger til den underrettende operatør om opfølgningen på dennes underretning, hvis omstændighederne tillader det. Den foreslåede ordning implementerer NIS-direktivets artikel 14, stk. 5.

Yderligere forslås det, at sundhedsministeren - efter høring af den underrettende operatør - kan oplyse offentligheden om konkrete hændelser, hvis offentlighedens kendskab hertil er nødvendigt for at forebygge en hændelse eller håndtere en igangværende hændelse. Den foreslåede ordning implementerer NIS-direktivets artikel 14, stk. 6.

Ved oplysning af offentligheden skal forstås, at sundhedsministeren kan gøre oplysningerne tilgængelige for en ubestemt kreds af modtagere, herunder f.eks. på en hjemmeside.

Det bemærkes, at sundhedsministeren ved oplysning af offentligheden skal overholde god forvaltningsskik, og at ministeren skal agere inden for de rammer, der kan udledes af de almindelige forvaltningsretlige grundsætninger om proportionalitet og saglighed i forvaltningen.

Såfremt den pågældende oplysning af offentligheden indebærer oplysning af personoplysninger, vil oplysningen bl.a. skulle overholde reglerne i databeskyttelsesforordningen, forslag til databeskyttelsesloven og lov om retshåndhævende myndigheders behandling af personoplysninger.

Endelig forslås det, at sundhedsministeren fastsætter nærmere regler om underretning og kriterierne for fastlæggelsen af omfanget af en hændelses konsekvenser.

4.4. Digital kommunikation

Sundheds- og Ældreministeriet har vurderet det hensigtsmæssigt at etablere den nødvendige hjemmel til at kunne pålægge operatører af væsentlige tjenester at anvende digital kommunikation gennem en fællesoffentlig indberetningsløsning på tværs af sektorerne til brug for operatører af væsentlige tjenesters underretning af hændelser.

Det foreslås, at sundhedsministeren bemyndiges til at kunne fastsætte regler om, at skriftlig kommunikation skal foregå digitalt. Det er hensigten, at udmøntningen af denne bestemmelse vil skulle understøtte den førnævnte fællesoffentlige indberetningsløsning, der vil skulle udvikles og anvendes på tværs af sektorerne. En digital meddelelse vil skulle anses for at være kommet frem, når den er tilgængelig for adressaten.

Endelig foreslås det, at sundhedsministeren kan fastsætte regler om digital kommunikation, herunder hvilke it-systemer og digitale formater der skal anvendes.

4.5. Tilsyn og påbud

Det foreslås, at sundhedsministeren fører tilsyn med de forpligtelser, der påhviler operatører af væsentlige tjenester i henhold til loven og regler udstedt i medfør af loven. Sundhedsministeren vil som led i sit tilsyn kunne kræve, at operatører af væsentlige tjenester stiller oplysninger, der er nødvendige for at vurdere sikkerheden i deres net- og informationssystemer, herunder dokumenterede sikkerhedspolitikker, og dokumentation for den faktiske gennemførelse af sikkerhedspolitikker til rådighed. Den foreslåede ordning implementerer NIS-direktivets artikel 15, stk. 2, litra a-b.

Det forventes, at sundhedsministeren vil kunne gennemføre sit tilsyn fysisk såvel som skriftligt. Ved fysiske tilsyn vil sundhedsministeren skulle udføre sit tilsyn i overensstemmelse med retssikkerhedsloven, således at denne lovs processuelle regler skal afholdes ved gennemførelsen af tilsynet, herunder bl.a. retssikkerhedslovens § 5 om underretning og § 10 om retten til ikke at inkriminere sig selv m.v.

Desuden foreslås det, at sundhedsministeren kan påbyde operatører af væsentlige tjenester at efterkomme forpligtelser i henhold til denne lov og regler, der er udstedt i medfør af loven. Den foreslåede ordning implementerer NIS-direktivets artikel 15, stk. 3.

Det bemærkes, at hvis der sker behandling af personoplysninger, er Datatilsynet tilsynsmyndighed.

4.6. Delegation til Sundhedsdatastyrelsen

Det foreslås, at sundhedsministeren kan bemyndige Sundhedsdatastyrelsen til at varetage opgaver, der efter denne lov er tillagt ministeren.

Sundheds- og Ældreministeriet har vurderet det hensigtsmæssigt, at sundhedsministeren bemyndiger Sundhedsdatastyrelsen til at varetage opgaver, der i denne lov er tillagt ministeren, da styrelsen i forvejen har opgaver vedrørende bl.a. digitalisering, sundhedsdata og it-arkitektur i sundhedsvæsenet, herunder opgaver vedrørende informationssikkerhed.

Det betyder, at Sundhedsdatastyrelsen vil skulle varetage de opgaver, der efter denne lov er tillagt ministeren.

I det omfang Sundhedsdatastyrelsen selv er en operatør af en væsentlig tjeneste, vil sundhedsministeren dog selv skulle varetage de opgaver, der i denne lov er tillagt ministeren, herunder bl.a. føre tilsyn med Sundhedsdatastyrelsen.

4.7. Videregivelse af oplysninger til andre myndigheder

Sundheds- og Ældreministeriet har vurderet, at sundhedsministeren vil kunne få behov for - i forbindelse med sikkerhedshændelser - at videregive fortrolige oplysninger til andre myndigheder, f.eks. Center for Cybersikkerhed der varetager funktionen som CSIRT.

Der eksisterer ikke i gældende ret en specifik regulering af videregivelse af oplysninger på tværs af sektorer i forbindelse med underretninger om hændelser fra operatører af væsentlige tjenester. Det vurderes dog, at videregivelsen af oplysninger til andre myndigheder kan ske inden for rammerne af gældende ret som anført i afsnit 2.

Videregivelse af fortrolige oplysninger skal ske på baggrund af en konkret vurdering af, om videregivelsen er af væsentlig betydning for, at sundhedsministeren kan varetage de opgaver, som er tillagt ministeren i henhold til denne lov, herunder for en afgørelse som ministeren skal træffe.

Sundhedsministeren skal i tilfælde af videregivelse af fortrolige oplysninger konkret vurdere, om betingelserne for videregivelse er opfyldt i det enkelte tilfælde.

Det bemærkes, at lovforslaget ikke regulerer videregivelse af personoplysninger. Såfremt sundhedsministeren vil få behov for at videregive personoplysninger, skal videregivelsen ske i overensstemmelse med gældende ret, herunder regler­ne i databeskyttelsesforordningen, forslag til databeskyttelsesloven, lov om retshåndhævende myndigheders behandling af personoplysninger og forvaltningsloven.

4.8. Straf

Det følger af NIS-direktivet, at der skal fastsættes regler om sanktioner, der skal anvendes i de tilfælde, hvor der sker overtrædelse af regler, der er vedtaget i medfør af direktivet. Sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have en afskrækkende virkning.

Det foreslås på den baggrund, at den der underlader at efterkomme sundhedsministerens påbud straffes med bøde, medmindre højere straf er forskyldt efter den øvrige lovgivning.

Det foreslås endvidere, at der i regler, der fastsættes i medfør af loven kan fastsættes straf i form af bøde.

Endelig foreslås det, at der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens 5. kapitel.

Der henvises i øvrigt til bemærkningerne til lovforslagets §§ 8 og 10.

5. Økonomiske og administrative konsekvenser for det offentlige

Stat, regioner og kommuner, der er operatører af væsentlige tjenester, skal underrette sundhedsministeren om hændelser, der har væsentlige konsekvenser for kontinuiteten af deres væsentlige tjenester samt lade sig registrere som operatører af væsentlige tjenester.

Lovforslaget vurderes ikke at medføre økonomiske og administrative konsekvenser af betydning for regioner og kommuner.

Sundhedsministeren skal udarbejde samt revidere og ajourføre listen over væsentlige tjenester, føre tilsyn med og modtage underretninger fra operatører af væsentlige tjenester samt være i dialog med Center for Cybersikkerhed herom.

Lovforslaget vurderes at medføre, at sundhedsministeren vil skulle varetage nye opgaver, herunder bl.a. føre tilsyn med samt modtage underretninger om hændelser fra operatører af væsentlige tjenester.

6. Økonomiske og administrative konsekvenser for erhvervslivet m.v.

De økonomiske konsekvenser for erhvervslivet m.v. vil afhænge af operatører af væsentlige tjenesters eksisterende sikkerhedsniveau. Det vurderes, at lovforslaget medfører ikke-væsentlige økonomiske konsekvenser for erhvervslivet.

For så vidt angår administrative konsekvenser vil operatører af væsentlige tjenester skulle lade sig registrere hos sundhedsministeren og underrette sundhedsministeren om hændelser, der har væsentlige konsekvenser for leveringen af de pågældende væsentlige tjenester. Operatører af væsentlige tjenester vil desuden, efter anmodning fra sundhedsministeren, skulle levere oplysninger til brug for ministerens tilsyn. Det vurderes, at lovforslaget vil medføre ikke-væsentlige administrative konsekvenser for erhvervslivet. Endelig vurderes det, at kun et begrænset antal virksomheder vil blive omfattet af den nye regulering.

7. Administrative konsekvenser for borgerne

Lovforslaget har ingen administrative konsekvenser for borgerne.

8. Miljømæssige konsekvenser

Lovforslaget har ingen miljømæssige konsekvenser.

9. Forholdet til EU-retten

Loven og de bekendtgørelser, der vil blive udstedt i medfør af loven, gennemfører dele af Europa-Parlamentets og Rådets direktiv 2016/1148/EU af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen.

Lovforslaget er et udtryk for en direktivnær implementering af NIS-direktivet. I 2015 besluttede regeringen fem principper for implementering af EU-regulering, som har til formål at sikre, at ny EU-regulering ikke overimplementeres, medmindre væsentlige hensyn taler herfor. Et af principperne fastsætter, at den nationale regulering som udgangspunkt ikke bør gå videre end minimumskravene i EU-reguleringen. Derfor stilles der med lovforslaget ikke strengere krav til sikkerhed og underretning for operatører af væsentlige tjenester, end NIS-direktivet foreskriver.

10. Hørte myndigheder og organisationer

Et udkast til lovforslag har i perioden fra den 18. oktober 2017 til den 15. november 2017 været sendt i høring hos følgende myndigheder og organisationer m.v.:

3F, Ansatte Tandlægers Organisation, Brancheforeningen for Private Hospitaler og Klinikker, Danmarks Apotekerforening, Danmarks Optikerforening, Dansk Erhverv, Dansk Industri, Dansk IT - Råd for IT-og persondatasikkerhed, Dansk Kiropraktor Forening, Dansk Psykolog Forening, Dansk Psykoterapeutforening, Dansk Socialrådgiverforening, Dansk Standard, Dansk Sygeplejeråd, Dansk Tandplejerforening, Danske Bandagister, Danske Bioanalytikere, Danske Dental Laboratorier, Danske Fodterapeuter, Danske Fysioterapeuter, Danske Patienter, Danske Regioner, Datatilsynet, De Offentlige Tandlæger, Den Danske Dyrlægeforening, Ergoterapeutforeningen, Farmakonomforeningen, FOA, Forbrugerrådet, Foreningen af Kliniske Diætister, Foreningen af Speciallæger, Forsikring & Pension, Færøernes Landsstyre, Grønlands Selvstyre, Jordemoderforeningen, KL, Konkurrence- og Forbrugerstyrelsen, Københavns Universitet, Landsforeningen af Kliniske Tandteknikere, Lægeforeningen, Lægemiddelstyrelsen, Organisationen af Lægevidenskabelige Selskaber, Patienterstatningen, Praktiserende Lægers Organisation, Praktiserende Tandlægers Organisation, Psykolognævnet, Radiograf Rådet, Region Hovedstaden, Region Midtjylland, Region Nordjylland, Region Sjælland, Region Syddanmark, Rigsadvokaten, Rigsombudsmanden på Færøerne, Rigsombudsmanden på Grønland, Rigspolitiet, Roskilde Universitet, Rådet for Digital Sikkerhed, Socialpædagogernes Landsforbund, Statens Serum Institut, Styrelsen for Patientsikkerhed, Sundhedsdatastyrelsen, Sundhedsstyrelsen, Sundhedsstyrelsen, Strålebeskyttelse, Syddanmarks Universitet, Tandlægeforeningen, Tandlægeforeningens Tandskadeerstatning, Yngre Læger, Ældresagen, Aalborg Universitet, Aarhus Universitet.

Bemærkninger til lovforslagets enkelte bestemmelser

Til § 1

Det foreslås, at loven gælder for operatører, der leverer væsentlige tjenester inden for sundhedssektoren.

Den foreslåede ordning angiver lovens anvendelsesområde.

Ved sundhedssektoren skal bl.a. forstås institutioner og funktioner, der har til formål at fremme befolkningens sundhed samt at forebygge og behandle sygdom, lidelse og funktionsbegrænsning for den enkelte.

Behandling af personoplysninger i henhold til lovforslaget udføres i overensstemmelse med databeskyttelsesforordningen, forslag til databeskyttelsesloven og lov om retshåndhævende myndigheders behandling af personoplysninger.

Til § 2

Det foreslås at indsætte definitioner på en række af de centrale begreber, som anvendes i den foreslåede lov.

Med nr. 1 defineres en operatør af en væsentlig tjeneste som en offentlig eller privat enhed, som er etableret i Danmark, og som opfylder kriterierne i § 3, stk. 1.

Denne definition svarer til definitionen i NIS-direktivets artikel 4, nr. 4.

Med nr. 2 defineres net- og informationssystemer som a) et elektronisk kommunikationsnet i form af en radiofrekvens- eller kabelbaseret teleinfrastruktur, der anvendes til formidling af tjenester, b) enhver anordning eller gruppe af indbyrdes forbundne eller beslægtede anordninger, hvoraf en eller flere ved hjælp af et program udfører automatisk behandling af digitale data, eller c) digitale data, som lagres, behandles, fremfindes eller overføres ved brug af elementer i litra a og b med henblik på deres drift, brug, beskyttelse og vedligeholdelse.

Denne definition svarer til definitionen i NIS-direktivets artikel 4, nr. 1.

Med nr. 3 defineres sikkerhed i net- og informationssystemer som evnen for net- og informationssystemer til, på et givet sikkerhedsniveau, at modstå handlinger, der er til skade for tilgængeligheden, autenticiteten, integriteten eller fortroligheden i forbindelse med lagrede eller overførte eller behandlede data eller de dermed forbundne tjenester, der tilbydes af eller er tilgængelige via disse net- og informationssystemer.

Denne definition svarer til definitionen i NIS-direktivets artikel 4, nr. 2.

Med nr. 4 defineres en hændelse som enhver begivenhed, der har en egentlig negativ indvirkning på sikkerheden i net- og informationssystemer.

Denne definition svarer til definitionen i NIS-direktivets artikel 4, nr. 7.

Til § 3

Til stk. 1

I gældende ret findes der ikke nogen definition af begrebet operatør af en væsentlig tjeneste inden for sundhedssektoren.

Det foreslås, at en enhed betragtes som en operatør af en væsentlig tjeneste, hvis enheden leverer en tjeneste, der er væsentlig for opretholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter inden for sundhedssektoren, leveringen af denne tjeneste afhænger af net- og informationssystemer, og en hændelse vil få væsentlige forstyrrende virkninger for leveringen af den nævnte tjeneste.

Den foreslåede ordning implementerer NIS-direktivets artikel 5, stk. 2, litra a-c.

I vurderingen af, hvorvidt en hændelse vil få væsentlige forstyrrende virkninger for leveringen af en væsentlig tjeneste, vil faktorer som antallet af brugere, der er afhængige af tjenesten til private eller erhvervsmæssige formål, herunder bl.a. antallet af patienter og borgere under operatørens virke pr. år, og hændelsens betydning for patientsikkerheden f.eks. kunne indgå.

Til stk. 2

Det foreslås, at operatører af væsentlige tjenester skal registrere sig hos sundhedsministeren.

Det er hensigten, at en operatør af en væsentlig tjeneste skal lade sig registrere via en hjemmeside.

En registrering vil ikke have betydning for, om en enhed er omfattet af lovforslagets definition og kriterier. Det betyder, at en ikke-registreret enhed, som opfylder lovforslagets kriterier for at være en operatør af en væsentlig tjeneste, vil være underlagt de forpligtelser, der følger af lovforslaget.

Til stk. 3

Det foreslås, at sundhedsministeren fastsætter nærmere regler om kriterierne i stk. 1 og registreringsordningen efter stk. 2.

Det er hensigten, at sundhedsministeren udsteder en bekendtgørelse, der præciserer kriterierne for at være en operatør af en væsentlig tjeneste.

Det forventes, at begrebet kritiske samfundsmæssige eller økonomiske aktiviteter inden for sundhedssektoren vil blive præciseret i bekendtgørelsen. Derudover forventes det, at det i bekendtgørelsen vil blive præciseret, hvilke momenter, der skal inddrages i vurderingen af, om en hændelse har væsentlige forstyrrende virkninger for leveringen af den væsentlige tjeneste.

Desuden forventes det, at der til bekendtgørelsen vil blive udarbejdet et bilag, som f.eks. angiver grænseværdier for, hvornår en hændelse vil få væsentlige forstyrrende virkninger for leveringen af en væsentlig tjeneste.

Det er endvidere hensigten, at sundhedsministeren ved bekendtgørelse vil fastsætte regler om registreringsordningen.

Det forventes, at der ved bekendtgørelse udstedes regler om de oplysninger, som en operatør af en væsentlig tjeneste skal meddele sundhedsministeren i forbindelse med registreringen, f.eks. kontaktoplysninger, oplysninger der er nødvendige for vurderingen af, om der leveres en tjeneste, der er væsentlig for opretholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter inden for sundhedssektoren, oplysninger der er nødvendige for vurderingen af, om leveringen af tjenesten afhænger af net- og informationssystemer, oplysninger der er nødvendige for vurderingen af, om en hændelse vil få væsentlige forstyrrende virkninger for leveringen af tjenesten samt oplysninger om, hvorvidt en operatør af en væsentlig tjeneste anvender en underleverandør.

Det bemærkes, at udmøntningen af bemyndigelsesbestemmelsen vil skulle ske inden for rammerne af NIS-direktivet.

Til § 4

Til stk. 1

Det foreslås, at operatører af væsentlige tjenester skal træffe passende og forholdsmæssige tekniske og organisatoriske foranstaltninger for at styre risiciene for sikkerheden i net- og informationssystemer, som de anvender til deres aktiviteter og med disse foranstaltninger sikre et sikkerhedsniveau, der er passende til risikoen.

Den foreslåede ordning implementerer NIS-direktivets artikel 14, stk. 1.

Det er hensigten, at de trufne sikkerhedsforanstaltninger så vidt muligt vil skulle basere sig på internationale sikkerhedsgodkendte standarder, f.eks. ISO27001.

Som eksempler på passende og forholdsmæssige tekniske og organisatoriske foranstaltninger kan bl.a. nævnes udarbejdelse af politikker og retningslinjer for net- og informationssikkerhed, etablering af intern organisering til styring af informationssikkerhed, sikring af medarbejderes bevidsthed om og efterlevelse af informationssikkerhed, udarbejdelse af retningslinjer for adgangsstyring og procedurer for brugeradgang, procedurer for hindring af uautoriseret adgang til net- og informationssystemer, foranstaltninger til beskyttelse mod malware, foranstaltninger til monitorering af hændelser og procedurer eller kontroller for gennemgang af informationssikkerhed.

Det er ikke hensigten, at operatører af væsentlige tjenester skal pålægges uforholdsmæssigt store økonomiske og administrative byrder. Under hensyntagen til teknologiens aktuelle stade vil sikkerhedsforanstaltningerne skulle være passende til den risiko, der er forbundet med leveringen af den pågældende væsentlige tjeneste.

Den foreslåede ordning skal ses i sammenhæng med den foreslåede bestemmelse i § 4, stk. 2. Begge bestemmelser har til formål at fremme en risikostyringskultur, hvor der foretages risikovurderinger og gennemføres sikkerhedsforanstaltninger.

Til stk. 2

Det foreslås, at operatører at væsentlige tjenester skal træffe passende foranstaltninger for at forebygge og minimere konsekvensen af hændelser, der berører sikkerheden i net- og informationssystemer, som anvendes til levering af sådanne væsentlige tjenester, med henblik på at sikre kontinuiteten i disse tjenester.

Den foreslåede ordning implementerer NIS-direktivets artikel 14, stk. 2.

Som eksempler på passende foranstaltninger til at forebygge og minimere konsekvensen af hændelser kan bl.a. nævnes udarbejdelse af politikker og retningslinjer for net- og informationssikkerhed, sikring af medarbejderes bevidsthed om og efterlevelse af informationssikkerhed, procedurer for hindring af uautoriseret adgang til net- og informationssystemer, foranstaltninger til beskyttelse mod malware og foranstaltninger til monitorering af hændelser.

Det er ikke hensigten, at operatører af væsentlige tjenester skal pålægges uforholdsmæssigt store økonomiske og administrative byrder. Derfor vil foranstaltningerne skulle være passende til den risiko, der er forbundet med leveringen af den pågældende tjeneste.

Den foreslåede ordning skal ses i sammenhæng med den foreslåede bestemmelse i § 4, stk. 1. Begge bestemmelser har til formål at fremme en risikostyringskultur, hvor der foretages risikovurderinger og gennemføres sikkerhedsforanstaltninger.

Til stk. 3

Det foreslås, at sundhedsministeren fastsætter nærmere regler om foranstaltningerne i stk. 1 og 2.

Det er hensigten, at sundhedsministeren udsteder en bekendtgørelse, der nærmere præciserer mulige sikkerhedsforanstaltninger, f.eks. foranstaltninger der sikrer væsentlige tjenesters fortrolighed, integritet, tilgængelighed og robusthed.

Derudover er det hensigten, at bekendtgørelsen vil blive suppleret med en vejledning om sikkerhedsforanstaltninger til sikring af et højt sikkerhedsniveau i net- og informationssystemer.

Det bemærkes, at forpligtelsen til at træffe passende sikkerhedsforanstaltninger efter den foreslåede stk. 1 og stk. 2 vil gælde uanset udstedelsen af regler herom.

Det bemærkes endvidere, at såfremt der behandles personoplysninger, vil operatøren af en væsentlig tjeneste derudover skulle overholde de sikkerhedskrav, der følger af persondataloven og - for offentlige myndigheder - sikkerhedsbekendtgørelsen. Fra den 25. maj 2018, hvor databeskyttelsesforordningen finder anvendelse, vil en operatør af en væsentlig tjeneste, såfremt der behandles personoplysninger, skulle overholde de sikkerhedskrav, der følger af forordningen.

Det bemærkes yderligere, at udmøntningen af bemyndigelsesbestemmelsen vil skulle ske inden for rammerne af NIS-direktivet.

Til § 5

Til stk. 1

Det foreslås, at operatører af væsentlige tjenester hurtigst muligt skal underrette sundhedsministeren og Center for Cybersikkerhed om hændelser, der har væsentlige konsekvenser for kontinuiteten af de væsentlige tjenester, som de leverer. Det foreslås endvidere, at underretningen skal indeholde oplysninger, der gør det muligt for sundhedsministeren at klarlægge eventuelle grænseoverskridende konsekvenser af hændelsen.

Den foreslåede ordning implementerer NIS-direktivets artikel 14, stk. 3.

Det bemærkes, at Center for Cybersikkerhed varetager funktionen som CSIRT i Danmark. Der henvises i den forbindelse til bemærkningerne i afsnit 3.1.

Den foreslåede ordning betyder, at den pågældende operatør af en væsentlig tjeneste, under hensyntagen til arbejdet med at minimere konsekvenserne af hændelsen, vil skulle foretage en underretning til sundhedsministeren, så snart operatøren har erkendt, at hændelsen har væsentlige konsekvenser for kontinuiteten af den væsentlige tjeneste, der leveres.

Den foreslåede ordning betyder endvidere, at underretningen til sundhedsministeren bl.a. vil skulle indeholde oplysninger, der gør ministeren i stand til at vurdere, om hændelsen har konsekvenser for andre medlemslande. Det vil f.eks. være oplysninger om den geografiske udbredelse med hensyn til det område, der er berørt af hændelsen.

Det bemærkes, at operatører af væsentlige tjenester vil skulle være særligt opmærksomme på at få underrettet hurtigt i tilfælde af hændelser, der har grænseoverskridende konsekvenser.

Derudover bemærkes det, at såfremt en operatør af en væsentlig tjeneste er afhængig af en udbyder af digitale tjenester, vil operatøren skulle underrette om en hændelse, der berører udbyderen, såfremt hændelsen har væsentlige konsekvenser for kontinuiteten af operatørens levering af den væsentlige tjeneste. Denne forpligtelse følger af NIS-direktivets artikel 16, stk. 5. Dermed sikres det, at sundhedsministeren får kendskab til hændelser og mangler i sikkerheden hos udbydere af digitale tjenester, der har en negativ indvirkning på en operatørs levering af sin væsentlige tjeneste.

En digital udbyder skal forstås som enhver juridisk person, som udbyder en digital tjeneste af følgende type: En onlinemarkedsplads, en onlinesøgemaskine eller en cloud computing-tjeneste. Denne definition bygger på NIS-direktivets artikel 4, nr. 6, og NIS-direktivets bilag III.

En operatør af en væsentlig tjeneste kan f.eks. være afhængig af en udbyder af en digital tjeneste på baggrund af et kontraktforhold.

Til stk. 2

Det foreslås, at operatøren af en væsentlig tjeneste navnlig skal tage følgende kriterier i betragtning med henblik på at fastlægge omfanget af en hændelses konsekvenser efter stk. 1: 1) Antallet af brugere, der berøres af afbrydelsen af den væsentlige tjeneste, 2) hændelsens varighed og 3) den geografiske udbredelse med hensyn til det område, der er berørt af hændelsen.

Den foreslåede ordning implementerer NIS-direktivets artikel 14, stk. 4.

Ved antallet af brugere der berøres af afbrydelsen af den væsentlige tjeneste, kan det bl.a. inddrages, hvor mange borgere og sundhedspersoner, der er omfattet af den pågældende tjeneste. Herunder bør det inddrages, om de pågældende borgere og sundhedspersoner er afhængige af tjenesten, og om tjenesten kan opnås på anden vis. Særligt bør det inddrages, om hændelsen påvirker sundhedspersoners udlevering og indhentning af oplysninger til brug for pleje og behandling.

Med henblik på fastlæggelse af en hændelses varighed kan det bl.a. inddrages, om det er muligt at opretholde tjenesten i tilstrækkeligt omfang uden adgang til net- og informationssystemer. Derudover kan det inddrages, hvor lang tid der skønnes at kunne gå, før afbrydelsen af tjenesten vil have negative konsekvenser for opretholdelsen af et funktionelt sundhedsvæsen, herunder bl.a. behandling og pleje af patienter og borgere.

I forbindelse med vurderingen af den geografiske udbredelse med hensyn til det område, der er berørt af hændelsen, kan det bl.a. inddrages, hvor stort et geografisk område den væsentlige tjeneste dækker.

Det bemærkes, at det er hensigten, at der skal foretages en samlet vurdering af ovenstående kriterier.

Til stk. 3

Det foreslås, at såfremt omstændighederne tillader det, meddeler sundhedsministeren relevante oplysninger til den underrettende operatør af en væsentlig tjeneste om opfølgningen på dennes underretning, herunder oplysninger der kan støtte en effektiv håndtering af hændelsen.

Den foreslåede ordning implementerer NIS-direktivets artikel 14, stk. 5.

Det er hensigten med den foreslåede ordning at sikre, hvis omstændighederne tillader det, at en operatør af en væsentlig tjeneste får en tilbagemelding, der kan understøtte operatørens videre arbejde med at begrænse hændelsen.

Til stk. 4

Det foreslås, at sundhedsministeren efter høring af den underrettende operatør af en væsentlig tjeneste kan oplyse offentligheden om konkrete hændelser, hvis offentlighedens kendskab hertil er nødvendigt for at forebygge en hændelse eller håndtere en igangværende hændelse.

Den foreslåede ordning implementerer NIS-direktivets artikel 14, stk. 5.

Hensigten med den foreslåede ordning er, at sundhedsministeren, inden oplysning af offentligheden om en konkret hændelse, bl.a. vil kunne høre operatøren af en væsentlig tjeneste over sagens faktiske omstændigheder.

Den foreslåede ordning indebærer, at sundhedsministeren skal foretage en afvejning af offentlighedens interesse i at blive informeret om de pågældende trusler over for operatørens interesse i ikke at lide kommerciel skade.

Det er hensigten, under hensyntagen til hændelsens karakter, at offentliggørelse f.eks. vil kunne ske på en hjemmeside eller i en pressemeddelelse.

Det bemærkes, at en beslutning om offentliggørelse af en hændelse ikke er en afgørelse i forvaltningslovens forstand, dog skal forvaltningsmyndigheder i deres virke overholde god forvaltningsskik og agere inden for de rammer, der kan udledes af de almindelige forvaltningsretlige grundsætninger om proportionalitet og saglighed i forvaltningen.

Såfremt der sker offentliggørelse af personoplysninger, vil offentliggørelsen derudover bl.a. skulle overholde reglerne i databeskyttelsesforordningen, forslag til databeskyttelsesloven og lov om retshåndhævende myndigheders behandling af personoplysninger.

Til stk. 5

Det foreslås, at sundhedsministeren fastsætter nærmere regler om underretning efter stk. 1, herunder hvilke oplysninger der skal underrettes om, og kriterierne for fastlæggelsen af omfanget af en hændelses konsekvenser efter stk. 2.

Det er hensigten, at sundhedsministeren udsteder en bekendtgørelse, der nærmere præciserer, hvilke oplysninger en underretning vil skulle indeholde, f.eks. kontaktoplysninger, oplysninger om konsekvenserne af hændelsen og de foranstaltninger, som operatøren af en væsentlig tjeneste har truffet eller vil træffe til afværgelse af hændelsen.

Endelig er det hensigten, at en operatør af en væsentlig tjeneste vil skulle foretage en underretning til sundhedsministeren, så snart operatøren har erkendt, at hændelsen har væsentlige konsekvenser for kontinuiteten af den væsentlige tjeneste, der leveres.

Det bemærkes, at i tilfælde af brud på persondatasikkerheden, vil der fra den 25. maj 2018, hvor databeskyttelsesforordningen finder anvendelse, skulle ske anmeldelse af brud på persondatasikkerheden til den relevante tilsynsmyndighed, dvs. Datatilsynet, uden unødig forsinkelse og om muligt senest 72 timer efter at den dataansvarlige er blevet bekendt med bruddet, jf. forordningens artikel 33, stk. 1.

Til § 6

Til stk. 1

Det foreslås, at sundhedsministeren kan fastsætte regler om, at skriftlig kommunikation til og fra sundhedsministeren om nærmere bestemte forhold, som er omfattet af denne lov eller af regler udstedt i medfør af loven, skal foregå digitalt.

Hensigten med den foreslåede ordning er at sikre en let og tilgængelig indberetningsløsning.

En udmøntning af bemyndigelsesbestemmelsen vil pålægge operatører af væsentlige tjenester en pligt til at anvende en digital indberetningsløsning.

Til stk. 2

Det foreslås, at en digital meddelelse anses for at være kommet frem, når den er tilgængelig for adressaten for meddelelsen.

En digital meddelelse anses for at være kommet rettidigt frem, hvis meddelelsen er kommet frem inden kontortids ophør.

Hensigten med den foreslåede ordning er at sikre en ensartet retsvirkning af afsendelse af digital kommunikation som med fysisk post.

Forslaget indebærer, at meddelelser til eller fra sundhedsministeren, der sendes på den foreskrevne digitale måde, anses for at være kommet frem til sundhedsministeren på det tidspunkt, hvor meddelelsen er tilgængelig digitalt for ministeren.

Dermed er der tale om samme retsvirkning som ved fysisk post, der anses for at være kommet frem, når den pågældende meddelelse m.v. er lagt i adressatens fysiske postkasse. En meddelelse vil således normalt anses for at være kommet frem, når meddelelsen er tilgængelig digitalt for adressaten, således at vedkommende har mulighed for at behandle meddelelsen. Dette tidspunkt vil normalt blive registreret automatisk i adressatens it-system.

Til stk. 3

Det foreslås, at sundhedsministeren kan fastsætte regler om digital kommunikation, herunder om anvendelse af bestemte it-systemer, særlige digitale formater og digital signatur el.lign.

Den foreslåede bestemmelse indebærer, at det kan gøres obligatorisk for operatører af væsentlige tjenester at anvende bestemte internetløsninger, herunder selvbetjeningsløsninger.

Bestemmelsen indebærer endvidere, at skriftlige henvendelser til sundhedsministeren om forhold, som er omfattet af et krav om digital kommunikation, ikke anses for behørigt modtaget af sundhedsministeren, hvis de indsendes på anden vis end den foreskrevne digitale måde.

Hvis en operatør af en væsentlig tjeneste retter henvendelse til sundhedsministeren på anden måde end den foreskrevne digitale måde, eksempelvis ved brev, følger det af den almindelige vejledningspligt, at sundhedsministeren skal vejlede om reglerne på området, herunder om pligten til at kommunikere digitalt.

Herudover indebærer bestemmelsen, at der kan fastsættes regler om, at en operatør af en væsentlig tjeneste, som retter henvendelse til sundhedsministeren, skal oplyse en e-mail­adresse, som operatøren kan kontaktes på i forbindelse med behandlingen af en konkret sag eller henvendelse til sundhedsministeren. I den forbindelse kan der også pålægges den pågældende operatør af en væsentlig tjeneste en pligt til at underrette sundhedsministeren om en eventuel ændring af e-mailadressen, inden den konkrete sag afsluttes eller henvendelsen besvares, medmindre e-mails automatisk bliver videresendt til den nye e-mailadresse.

Muligheden for at blive fritaget for pligten til digital kommunikation tænkes navnlig anvendt, hvor det er påkrævet at anvende en dansk digital signatur, men hvor der er tale om en operatør af en væsentlig tjeneste med hjemsted i udlandet, som ikke kan få udstedt en dansk digital signatur. Det bemærkes i den forbindelse, at fritagelsesmuligheden er stærkt begrænset, idet der er tale om kommunikation om erhvervsforhold.

Det forhold at en operatør af en væsentlig tjenestes computere ikke fungerer, at operatøren har mistet koden til sin digitale signatur, eller at der opstår lignende hindringer, som det er op til operatøren at overvinde, kan ikke føre til fritagelse for pligten til digital kommunikation. I så fald må den pågældende operatør af en væsentlig tjeneste eksempelvis anmode en rådgiver om at varetage kommunikationen på operatørens vegne.

Til § 7

Til stk. 1

Det foreslås, at sundhedsministeren fører tilsyn med de forpligtelser, der påhviler operatører af væsentlige tjenester i henhold til denne lov og regler, der er udstedt i medfør af loven.

Det er hensigten, at sundhedsministeren løbende vil kunne gennemføre tilsyn med udvalgte operatører af væsentlige tjenester. Sundhedsministeren vil kunne gennemføre et tilsyn af egen drift eller på baggrund af en underretning om en hændelse.

Det forventes, at sundhedsministeren kan gennemføre sit tilsyn fysisk såvel som skriftligt. Ved fysiske tilsyn vil sundhedsministeren skulle udføre sit tilsyn i overensstemmelse med retssikkerhedsloven, således at denne lovs processuelle regler skal afholdes ved gennemførelsen af tilsynet, herunder bl.a. retssikkerhedslovens § 5 om underretning og § 10 om retten til ikke at inkriminere sig selv m.v.

Det bemærkes, at hvis der sker behandling af personoplysninger, er Datatilsynet tilsynsmyndighed.

Til stk. 2

Det foreslås, at sundhedsministeren som led i sit tilsyn kan kræve, at operatører af væsentlige tjenester stiller oplysninger, der er nødvendige for tilsynet, til rådighed, herunder oplysninger der er nødvendige for at vurdere sikkerheden i deres net- og informationssystemer og dokumentation for den faktiske gennemførelse af sikkerhedspolitikker.

Som eksempel på oplysninger, der er nødvendige for at vurdere sikkerheden i net- og informationssystemer, kan nævnes risikovurderinger, den tilgrundliggende dokumentation for operatørens valg af de foretagne tekniske og organisatoriske foranstaltninger og en operatør af en væsentlig tjenestes sikkerheds- eller beredskabspolitik i tilfælde af hændelser, der vil få væsentlige konsekvenser for kontinuiteten af de væsentlige tjenester, som operatøren leverer.

Som eksempel på dokumentation for den faktiske gennemførelse af sikkerhedspolitikker kan nævnes resultaterne af en sikkerhedsaudit, f.eks. resultaterne af en sikkerhedsaudit udført af en kvalificeret auditør.

Det bemærkes, at oplysninger og dokumentation skal forstås i vid forstand og omfatter bl.a. fysiske dokumenter og elektroniske oplysninger.

Til § 8

Det foreslås, at sundhedsministeren kan påbyde operatører af væsentlige tjenester at efterkomme forpligtelser i henhold til denne lov og regler, der er udstedt i medfør af loven.

Det betyder, at sundhedsministeren vil kunne udstede påbud om, at en operatør af en væsentlig tjeneste f.eks. skal afhjælpe en påvist mangel i operatørens tekniske eller organisatoriske sikkerhedsforanstaltninger, herunder f.eks. mangler i den risikovurdering, der ligger til grund for de valgte tekniske eller organisatoriske sikkerhedsforanstaltninger.

Det forventes, at sundhedsministeren særligt vil udstede påbud i tilfælde af manglende overholdelse af sikkerhedskravene anført i lovforslagets § 4.

Dog vil sundhedsministeren også kunne udstede påbud i tilfælde af, at operatører af væsentlige tjenester ikke efterkommer lovforslagets øvrige krav, f.eks. kravet om registrering og kravet om underretning i tilfælde hændelser, der har væsentlige konsekvenser for kontinuiteten af de væsentlige tjenester, som operatørerne leverer.

Sundhedsministeren vil kunne meddele henstillinger, forinden der meddeles påbud.

Udstedelse af påbud skal i øvrigt ske i overensstemmelse med de forvaltningsretlige regler, herunder bl.a. reglerne om partshøring, begrundelse og klagevejledning.

Til § 9

Det foreslås, at sundhedsministeren kan bemyndige Sundhedsdatastyrelsen til at varetage opgaver, der i denne lov er tillagt ministeren.

Sundheds- og Ældreministeriet har vurderet det hensigtsmæssigt, at sundhedsministeren bemyndiger Sundhedsdatastyrelsen til at varetage opgaver, der i lovforslaget er tillagt ministeren, da Sundhedsdatastyrelsen i forvejen har opgaver vedrørende bl.a. digitalisering, sundhedsdata og it-arkitektur i sundhedsvæsenet, herunder opgaver vedrørende informationssikkerhed.

Dermed vil Sundhedsdatastyrelsen skulle varetage samt­lige opgaver, som sundhedsministeren skal varetage i henhold til lovforslaget.

I det omfang Sundhedsdatastyrelsen selv er en operatør af en væsentlig tjeneste, vil sundhedsministeren dog selv skulle varetage de opgaver, der i lovforslaget er tillagt ministeren, herunder bl.a. føre tilsyn med Sundhedsdatastyrelsen.

Til § 10

Til stk. 1

Efter den forslåede ordning skal den, der uagtsomt eller forsætteligt undlader at efterkomme sundhedsministerens påbud efter lovforslagets § 8, kunne straffes med bøde.

Bestemmelsen implementerer NIS-direktivets artikel 21, der bestemmer, at der skal fastættes sanktioner, der skal anvendes i tilfælde af overtrædelse af regler, der er vedtaget i medfør af direktivet.

Det betyder, at det gøres muligt at straffe overtrædelse af lovforslagets § 8, hvorefter sundhedsministeren kan påbyde operatører af væsentlige tjenester at efterkomme forpligtelser i henhold til loven og regler, der er udstedt i medfør af loven.

Sanktionerne skal være effektive, stå i rimeligt forhold til overtrædelsen og have en afskrækkende virkning.

Den foreslåede ordning vil bl.a. gøre det muligt at straffe manglende efterlevelse af påbud om at overholde sikkerhedskravene anført i den foreslåede bestemmelse i § 4, stk. 1, der fastsætter, at operatører af væsentlige tjenester skal træffe passende og forholdsmæssige tekniske og organisatoriske foranstaltninger for at styre risiciene for sikkerheden i net- og informationssystemer, som anvendes til deres aktiviteter og med disse foranstaltninger sikre et sikkerhedsniveau, der er passende til risikoen.

Derudover vil lovforslaget gøre det muligt at straffe mang­lende efterlevelse af påbud om at overholde sikkerhedskravene anført i den foreslåede bestemmelse i § 4, stk. 2, der fastsætter, at operatører af væsentlige tjenester skal træffe passende foranstaltninger for at forebygge og minimere konsekvensen af hændelser, der berører sikkerheden i net- og informationssystemer, som anvendes til levering af sådanne væsentlige tjenester, med henblik på at sikre kontinuiteten i disse tjenester.

Til stk. 2

Det foreslås, at der i regler, der fastsættes i medfør af loven, kan fastsætte straf i form af bøde.

Til stk. 3

Det foreslås, at der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens 5. kapitel.

Til § 11

Det foreslås, at loven træder i kraft den 10. maj 2018.

Det foreslåede ikrafttrædelsestidspunkt følger af NIS-direktivets artikel 25, stk. 1, hvorefter medlemsstaterne skal vedtage og offentliggøre de love og administrative bestemmelser, der er nødvendige for at efterkomme direktivet, senest den 9. maj 2018. Det følger endvidere af artiklen, at disse love og bestemmelser skal anvendes fra den 10. maj 2018. Det foreslås derfor, at loven træder i kraft den 10. maj 2018.

Til § 12

Det foreslås, at loven ikke gælder for Færøerne og Grønland.

Baggrunden for den foreslåede ordning er, at Grønland har overtaget sundhedsvæsenet i Grønland, og Færøerne har overtaget de relevante dele af sundhedsområdet på Færøerne.

Bilag 1

EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV (EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen

EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR -

under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 114,

under henvisning til forslag fra Europa-Kommissionen,

efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale parlamenter,

under henvisning til udtalelse fra Det Europæiske Økonomiske og Sociale Udvalg,1)

efter den almindelige lovgivningsprocedure2), og ud fra følgende betragtninger:

3) Europa-Parlamentets og Rådets direktiv 2002/21/EF af 7. marts 2002 om fælles rammebestemmelser for elektroniske kommunikationsnet og -tjenester (rammedirektivet) (EFT L 108 af 24.4.2002, s. 33).

4) Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014 af 23. juli 2014 om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked og om ophævelse af direktiv 1999/93/EF (EUT L 257 af 28.8.2014, s. 73).

5) Rådets afgørelse 2013/488/EU af 23. september 2013 om reglerne for sikkerhedsbeskyttelse af EU's klassificerede informationer (EUT L 274 af 15.10.2013, s. 1).

6) EUT C 352 af 7.10.2014, s. 4.

7) Europa-Parlamentets og Rådets forordning (EU) nr. 526/2013 af 21. maj 2013 om Den Europæiske Unions Agentur for Net- og Informationssikkerhed (ENISA) og om ophævelse af forordning (EF) nr. 460/2004 (EUT L 165 af 18.6.2013, s. 41).

8) Europa-Parlamentets og Rådets forordning (EU) nr. 1025/2012 af 25. oktober 2012 om europæisk standardisering, om ændring af Rådets direktiv 89/686/EØF og 93/15/EØF og Europa-Parlamentets og Rådets direktiv 94/9/EF, 94/25/EF, 95/16/EF, 97/23/EF, 98/34/EF, 2004/22/EF, 2007/23/EF, 2009/23/EF og 2009/105/EF og om ophævelse af Rådets beslutning 87/95/EØF og Europa-Parlamentets og Rådets afgørelse nr. 1673/2006/EF (EUT L 316 af 14.11.2012, s. 12).

9) Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar 2011 om de generelle regler og principper for, hvordan medlemsstaterne skal kontrollere Kommissionens udøvelse af gennemførelsesbeføjelser (EUT L 55 af 28.2.2011, s. 13).

10) Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT L 281 af 23.11.1995, s. 31).

11) Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger (EFT L 8 af 12.1.2001, s. 1).

12) Europa-Parlamentets og Rådets forordning (EF) nr. 1049/2001 af 30. maj 2001 om aktindsigt i Europa-Parlamentets, Rådets og Kommissionens dokumenter (EFT L 145 af 31.5.2001, s. 43).

13) EUT C 32 af 4.2.2014, s. 19.

VEDTAGET DETTE DIREKTIV:

KAPITEL I

GENERELLE BESTEMMELSER

Artikel 1

Genstand og anvendelsesområde

1. Dette direktiv fastsætter foranstaltninger med henblik på at opnå et højt fælles sikkerhedsniveau for net- og informationssystemer i Unionen for at forbedre det indre markeds funktion.

2. Direktivet:

a) fastsætter forpligtelser for alle medlemsstater til at vedtage en national strategi for sikkerhed i net- og informationssystemer

b) nedsætter en samarbejdsgruppe med henblik på at støtte og lette strategisk samarbejde og udveksling af oplysninger mellem medlemsstaterne og at skabe tillid blandt dem

c) opretter et netværk af enheder, der håndterer IT-sikkerhedshændelser (»CSIRT-netværk«), med henblik på at bidrage til skabelsen af tillid mellem medlemsstaterne og at fremme et hurtigt og effektivt operationelt samarbejde

d) fastsætter sikkerhedskrav og underretningspligt for operatører af væsentlige tjenester og for udbydere af digitale tjenester

e) fastsætter forpligtelser for medlemsstaterne til at udpege nationale kompetente myndigheder, centrale kontaktpunkter og CSIRT'er, som pålægges opgaver relateret til sikkerheden i net- og informationssystemer

3. De sikkerhedskrav og den underretningspligt, der er fastsat i dette direktiv, anvendes ikke for virksomheder, som er omfattet af kravene i artikel 13a og 13b i direktiv 2002/21/EF, eller for tillidstjenesteudbydere, som er omfattet af kravene i artikel 19 i forordning (EU) nr. 910/2014.

4. Dette direktiv berører ikke Rådets direktiv 2008/114/EF14) og Europa-Parlamentets og Rådets direktiv 2011/93/EU15) og 2013/40/EU16).

5. Oplysninger, der er fortrolige i henhold til EU-regler og nationale regler, som f.eks. regler om forretningshemmeligheder, udveksles med forbehold af artikel 346 i TEUF kun med Kommissionen og andre relevante myndigheder, hvis en sådan udveksling er nødvendig for anvendelsen af dette direktiv. De udvekslede oplysninger begrænses til, hvad der er relevant og forholdsmæssigt under hensyn til formålet med udvekslingen. En sådan udveksling af oplysninger skal sikre de nævnte oplysningers fortrolighed og beskytte sikkerheden og kommercielle interesser hos operatører af væsentlige tjenester og udbydere af digitale tjenester.

6. Dette direktiv berører ikke de tiltag, som iværksættes af medlemsstaterne med henblik på at sikre deres centrale statslige funktioner, navnlig for at værne om den nationale sikkerhed, herunder foranstaltninger til beskyttelse af oplysninger, hvis udbredelse efter medlemsstaternes opfattelse ville stride mod deres væsentlige sikkerhedsinteresser, og opretholde lov og orden, navnlig for at tillade efterforskning, afsløring og retsforfølgelse af strafbare handlinger.

7. Når en sektorspecifik EU-retsakt stiller krav om, at operatører af væsentlige tjenester og udbydere af digitale tjenester enten skal sikre sikkerheden i deres net- og informationssystemer eller underrette om hændelser, forudsat at sådanne krav har mindst samme virkning som forpligtelserne i dette direktiv, anvendes de pågældende bestemmelser i den nævnte sektorspecifikke EU-retsakt.

Artikel 2

Behandling af personoplysninger

1. Behandling af personoplysninger i henhold til nærværende direktiv udføres i overensstemmelse med direktiv 95/46/EF.

2. Behandling af personoplysninger i EU-institutioner og -organer i henhold til nærværende direktiv gennemføres i overensstemmelse med forordning (EF) nr. 45/2001.

Artikel 3

Minimumsharmonisering

Uden at dette berører artikel 16, stk. 10, og deres forpligtelser i henhold til EU-retten, kan medlemsstaterne vedtage eller bibeholde bestemmelser, som har til formål at nå et højere sikkerhedsniveau for net- og informationssystemer.

Artikel 4

Definitioner

I dette direktiv forstås ved:

1) »net- og informationssystem«:

a) et elektronisk kommunikationsnet som omhandlet i artikel 2, litra a), i direktiv 2002/21/EF

c) enhver anordning eller gruppe af indbyrdes forbundne eller beslægtede anordninger, hvoraf en eller flere ved hjælp af et program udfører automatisk behandling af digitale data, eller

2) »sikkerhed i net- og informationssystemer«: net- og informationssystemers evne til, på et givet sikkerhedsniveau, at modstå handlinger, der er til skade for tilgængeligheden, autenticiteten, integriteten eller fortroligheden i forbindelse med lagrede eller overførte eller behandlede data eller de dermed forbundne tjenester, der tilbydes af eller er tilgængelige via disse net- og informationssystemer

3) »national strategi for sikkerheden i net- og informationssystemer«: en ramme for strategiske mål og prioriteter for sikkerheden i net- og informationssystemer på nationalt plan

4) »operatør af væsentlige tjenester«: en offentlig eller privat enhed af en type som omhandlet i bilag II, der opfylder kriterierne i artikel 5, stk. 2

5) »digital tjeneste«: en tjeneste som omhandlet i artikel 1, stk. 1, litra b), i Europa-Parlamentets og Rådets direktiv (EU) 2015/153517), som er af en type, der er opført i bilag III

6) »udbyder af digitale tjenester«: enhver juridisk person, som udbyder en digital tjeneste

7) »hændelse«: enhver begivenhed, der har en egentlig negativ indvirkning på sikkerheden i net- og informationssystemer

8) »håndtering af hændelser«: alle procedurer til støtte for detektering, analyse og begrænsning af en hændelse samt reaktionen derpå

9) »risiko«: enhver rimeligt identificerbar omstændighed eller begivenhed, der har en potentiel negativ indvirkning på sikkerheden i net- og informationssystemer

10) »repræsentant«: enhver fysisk eller juridisk person, der er etableret i Unionen, og som udtrykkeligt er udpeget til at handle på vegne af en udbyder af digitale tjenester, som ikke er etableret i Unionen, og som en national kompetent myndighed eller en CSIRT kan henvende sig til i stedet for udbyderen af digitale tjenester, for så vidt angår de forpligtelser, der påhviler den nævnte udbyder af digitale tjenester i medfør af dette direktiv

11) »standard«: en standard som omhandlet i artikel 2, nr. 1), i forordning (EU) nr. 1025/2012

12) »specifikation«: en teknisk specifikation som omhandlet i artikel 2, nr. 4), i forordning (EU) nr. 1025/2012

13) »internetudvekslingspunkt (IXP)«: en netfacilitet, som muliggør sammenkobling af mere end to uafhængige autonome systemer, hovedsageligt med henblik på at lette udvekslingen af internettrafik; et IXP leverer kun sammenkobling til autonome systemer; et IXP forudsætter ikke, at internettrafik, som bevæger sig mellem et givent par af deltagende autonome systemer, bevæger sig gennem et eventuelt tredje autonomt system, og det hverken ændrer eller forstyrrer en sådan trafik

14) »domænenavnesystem (DNS)«: et hierarkisk opbygget navnesystem i et net, som behandler forespørgsler vedrørende domænenavne

15) »DNS-tjenesteudbyder«: en enhed, som leverer DNS-tjenester på internettet.

16) »topdomænenavneadministrator«: en enhed, som administrerer og driver registreringen af internetdomænenavne under et særligt topdomæne (TLD)

17) »onlinemarkedsplads«: en digital tjeneste, som giver forbrugere og/eller erhvervsdrivende som defineret i henholdsvis artikel 4, stk. 1, litra a) og b), i Europa-Parlamentets og Rådets direktiv 2013/11/EU18) mulighed for at indgå aftaler om køb eller tjenester online med erhvervsdrivende enten på onlinemarkedspladsens websted eller på et websted tilhørende en erhvervsdrivende, som anvender computing-tjenester, der udbydes af onlinemarkedspladsen

18) »onlinesøgemaskine«: en digital tjeneste, som giver brugerne mulighed for at foretage søgninger på principielt alle websteder eller websteder på et bestemt sprog på grundlag af en forespørgsel om et hvilket som helst emne ved hjælp af et søgeord, en sætning eller andet input, og som fremviser links, hvor der kan findes oplysninger om det ønskede indhold

19) »cloud computing-tjeneste«: en digital tjeneste, som giver adgang til en skalerbar og elastisk pulje af delbare IT-ressourcer

Artikel 5

Identificering af operatører af væsentlige tjenester

1. Senest den 9. november 2018 identificerer medlemsstaterne for hver sektor og delsektor, som er omhandlet i bilag II, de operatører af væsentlige tjenester, der er etableret på deres område.

2. De i artikel 4, nr. 4), omhandlede kriterier for identificering af operatører af væsentlige tjenester er følgende:

a) en enhed leverer en tjeneste, der er væsentlig for opretholdelsen af kritiske samfundsmæssige og/eller økonomiske aktiviteter

b) leveringen af denne tjeneste afhænger af net- og informationssystemer, og

c) en hændelse ville få væsentlige forstyrrende virkninger for leveringen af den nævnte tjeneste.

3. Med henblik på stk. 1 udarbejder hver medlemsstat en liste over de i stk. 2, litra a), omhandlede tjenester.

4. Med henblik på stk. 1 hører disse medlemsstater hinanden, hvis en enhed leverer en tjeneste, der er omhandlet i stk. 2, litra a), i to eller flere medlemsstater. Denne høring skal finde sted, inden der træffes afgørelse om identificering.

5. Medlemsstaterne tager regelmæssigt og mindst hvert andet år efter den 9. maj 2018 listen over identificerede operatører af væsentlige tjenester op til revision og ajourfører den, hvis det er relevant.

6. Samarbejdsgruppens rolle skal i overensstemmelse med de i artikel 11 omhandlede opgaver være at støtte medlemsstaterne i at anvende en ensartet tilgang, når operatører af væsentlige tjenester identificeres.

7. Med henblik på den i artikel 23 omhandlede revision og senest den 9. november 2018 og herefter hvert andet år forelægger medlemsstaterne Kommissionen de oplysninger, som er nødvendige for, at Kommissionen kan vurdere gennemførelsen af dette direktiv, navnlig ensartetheden i medlemsstaternes fremgangsmåder ved identificeringen af operatører af væsentlige tjenester. Disse oplysninger skal som minimum omfatte:

a) nationale foranstaltninger, som gør det muligt at identificere operatører af væsentlige tjenester

b) den i stk. 3 omhandlede liste over tjenester

c) det antal af operatører af væsentlige tjenester, som er identificeret for hver sektor, der er omhandlet i bilag II, og en angivelse af deres betydning i forhold til den pågældende sektor

d) tærskler, hvis sådanne findes, til fastlæggelse af det relevante forsyningsniveau ved henvisning til antallet af brugere, der er afhængige af denne tjeneste, jf. artikel 6, stk. 1, litra a), eller til vigtigheden af den pågældende operatør af væsentlige tjenester, jf. artikel 6, stk. 1, litra f).

For at bidrage til at levere sammenlignelige oplysninger kan Kommissionen under størst mulig hensyntagen til udtalelsen fra ENISA vedtage passende tekniske retningslinjer for kriterier for de oplysninger, som er omhandlet i dette stykke.

Artikel 6

Væsentlig forstyrrende virkning

1. Ved fastlæggelsen af betydningen af en forstyrrende virkning, jf. artikel 5, stk. 2, litra c), tager medlemsstaterne som minimum hensyn til følgende tværsektorielle forhold:

a) antal af brugere, der er afhængige af de tjenester, som udbydes af den pågældende enhed

b) afhængighed i andre sektorer som omhandlet i bilag II af den tjeneste, der leveres af den nævnte enhed

c) de konsekvenser, som hændelser kan have med hensyn til omfang og varighed på økonomiske og samfundsmæssige aktiviteter eller den offentlige sikkerhed

d) den nævnte enheds markedsandel

e) den geografiske udbredelse med hensyn til det område, som kunne berøres af en hændelse

f) enhedens betydning med henblik på at opretholde et tilstrækkeligt tjenesteniveau under hensyntagen til tilgængelige alternative måder til levering af denne tjeneste.

2. Med henblik på at fastslå, hvorvidt en hændelse vil have en væsentlig forstyrrende virkning, tager medlemsstaterne endvidere, hvis det er relevant, hensyn til sektorspecifikke forhold.

KAPITEL II

NATIONALE RAMMER FOR SIKKERHEDEN I NET- OG INFORMATIONSSYSTEMER

Artikel 7

National strategi for sikkerheden i net- og informationssystemer

1. Hver medlemsstat vedtager en national strategi for sikkerheden i net- og informationssystemer, som fastlægger de strategiske mål og passende politiske og lovgivningsmæssige foranstaltninger med henblik på at nå og opretholde et højt sikkerhedsniveau i net- og informationssystemer, og som mindst omfatter de i bilag II omhandlede sektorer og de i bilag III omhandlede tjenester. Den nationale strategi for sikkerheden i net- og informationssystemer skal navnlig behandle følgende emner:

a) målene og de prioriterede områder i den nationale strategi for sikkerhed i net- og informationssystemer

b) en styringsmæssig ramme for at nå målene og de prioriterede områder i den nationale strategi for sikkerhed i net- og informationssystemer, herunder de statslige organers og andre relevante aktørers roller og ansvar

c) fastlæggelse af foranstaltninger vedrørende beredskab, reaktion og genopretning, herunder samarbejde mellem den offentlige og den private sektor

d) en angivelse af teoretiske og praktiske uddannelsesprogrammer og oplysningsprogrammer i forbindelse med den nationale strategi for sikkerhed i net- og informationssystemer

e) en angivelse af forsknings- og udviklingsplaner relateret til den nationale strategi for sikkerhed i net- og informationssystemer

f) en risikovurderingsplan til brug ved identifikation af risici

g) en liste over de forskellige aktører, der er involveret i gennemførelse af den nationale strategi for sikkerhed i net- og informationssystemer.

2. Medlemsstaterne kan anmode ENISA om bistand til at udvikle nationale strategier for sikkerhed i net- og informationssystemer.

3. Medlemsstaterne meddeler deres nationale strategier for sikkerhed i net- og informationssystemer til Kommissionen senest tre måneder efter vedtagelsen heraf. Medlemsstaterne kan i forbindelse hermed udelukke elementer i strategien, der vedrører national sikkerhed.

Artikel 8

Nationale kompetente myndigheder og centralt kontaktpunkt

1. Hver medlemsstat udpeger en eller flere nationale kompetente myndigheder for sikkerheden i net- og informationssystemer (»kompetent myndighed«), som mindst omfatter de i bilag II omhandlede sektorer og de i bilag III omhandlede tjenester. Medlemsstaterne kan tildele en eller flere eksisterende myndigheder denne rolle.

2. De kompetente myndigheder fører tilsyn med anvendelsen af dette direktiv på nationalt plan.

3. Hver medlemsstat udpeger et nationalt centralt kontaktpunkt for sikkerheden i net- og informationssystemer (»centralt kontaktpunkt«). Medlemsstaterne kan tildele en eksisterende myndighed denne rolle. Hvis en medlemsstat kun udpeger én kompetent myndighed, fungerer denne kompetente myndighed ligeledes som det centrale kontaktpunkt.

4. Det centrale kontaktpunkt udgør et forbindelsesled til at sikre grænseoverskridende samarbejde mellem medlemsstaternes myndigheder og de relevante myndigheder i andre medlemsstater samt den samarbejdsgruppe, der er omhandlet i artikel 11, og det i artikel 12 omhandlede CSIRT-netværk.

5. Medlemsstaterne sikrer, at de kompetente myndigheder og de centrale kontaktpunkter har tilstrækkelige ressourcer til på en effektiv måde at udføre de opgaver, som de pålægges, og dermed opfylde målene i dette direktiv. Medlemsstaterne sikrer et effektivt og sikkert samarbejde mellem de udpegede repræsentanter i samarbejdsgruppen.

6. De kompetente myndigheder og det centrale kontaktpunkt konsulterer og samarbejder, hvor det er passende og i henhold til national ret, med de relevante nationale retshåndhævende myndigheder og de nationale databeskyttelsesmyndigheder.

7. Hver medlemsstat underretter straks Kommissionen om udpegelsen af den kompetente myndighed og det centrale kontaktpunkt, deres opgaver og enhver senere ændring heraf. Hver medlemsstat offentliggør sin udpegelse af den kompetente myndighed og det centrale kontaktpunkt. Kommissionen offentliggør listen over udpegede centrale kontaktpunkter.

Artikel 9

Enheder, der håndterer IT-sikkerhedshændelser (»CSIRT'er«)

1. Hver medlemsstat udpeger en eller flere CSIRT'er, der skal opfylde kravene i bilag I, punkt 1, og som mindst omfatter de i bilag II omhandlede sektorer og de i bilag III omhandlede tjenester, og som er ansvarlige for at håndtere hændelser og risici i overensstemmelse med en nøje fastlagt proces. En CSIRT kan oprettes som en del af en kompetent myndighed.

2. Medlemsstaterne sikrer, at CSIRT'erne har tilstrækkelige ressourcer til effektivt at udføre deres opgaver som fastlagt i bilag I, punkt 2.

Medlemsstaterne sikrer et effektivt og sikkert samarbejde mellem deres CSIRT'er i det CSIRT-netværk, der er omhandlet i artikel 12.

3. Medlemsstaterne sikrer, at deres CSIRT'er har adgang til en passende, sikker og robust kommunikations- og informationsinfrastruktur på nationalt plan.

4. Medlemsstaterne oplyser Kommissionen om deres CSIRT'ers kompetenceområde og de vigtigste elementer i procedurerne for håndtering af hændelser.

5. Medlemsstaterne kan anmode ENISA om bistand til at udvikle nationale CSIRT'er.

Artikel 10

Samarbejde på nationalt plan

1. Hvis den samme medlemsstats kompetente myndighed, centrale kontaktpunkt og CSIRT er adskilte enheder, samarbejder de med hensyn til opfyldelsen af de forpligtelser, der er fastlagt i dette direktiv.

2. Medlemsstaterne sikrer, at enten de kompetente myndigheder eller CSIRT'erne modtager underretninger om hændelser, som fremsendes i henhold til dette direktiv. Hvis en medlemsstat beslutter, at CSIRT'er ikke skal modtage underretninger, skal CSIRT'erne, i det omfang det er nødvendigt, for at de kan udføre deres opgaver, have adgang til oplysninger om hændelser, der er underrettet af operatører af væsentlige tjenester i henhold til artikel 14, stk. 3 og 5, eller af udbydere af digitale tjenester i henhold til artikel 16, stk. 3 og 6.

3. Medlemsstaterne sikrer, at de kompetente myndigheder eller CSIRT'erne oplyser de centrale kontaktpunkter om underretninger om hændelser fremsendt i henhold til dette direktiv.

Senest den 9. august 2018 og derefter en gang om året forelægger det centrale kontaktpunkt samarbejdsgruppen en sammenfattende rapport om de underretninger, som det har modtaget, herunder antallet af underretninger og arten af de underrettede hændelser, samt de tiltag, der er iværksat i overensstemmelse med artikel 14, stk. 3 og 5, og artikel 16, stk. 3 og 5.

KAPITEL III

SAMARBEJDE

Artikel 11

Samarbejdsgruppe

1. For at støtte og lette strategisk samarbejde og udvekslingen af oplysninger mellem medlemsstaterne samt for at skabe tillid samt med henblik på at opnå et højt fælles sikkerhedsniveau i net- og informationssystemer i Unionen oprettes der herved en samarbejdsgruppe.

Samarbejdsgruppen udfører sine opgaver på grundlag af toårige arbejdsprogrammer som omhandlet i stk. 3, andet afsnit.

2. Samarbejdsgruppen består af repræsentanter fra medlemsstaterne, Kommissionen og ENISA.

Samarbejdsgruppen kan, hvis det er relevant, indbyde repræsentanter fra de relevante interessenter til at deltage i arbejdet.

Sekretariatsopgaverne varetages af Kommissionen.

3. Samarbejdsgruppen har følgende opgaver:

a) at give strategisk vejledning om aktivitet terne i det CSIRT-netværk, som oprettes i medfør af artikel 12

b) at udveksle bedste praksis for udveksling af oplysninger vedrørende underretning om hændelser, jf. artikel 14, stk. 3 og 5, og artikel 16, stk. 3 og 6

c) at udveksle bedste praksis mellem medlemsstaterne og i samarbejde med ENISA bistå medlemsstaterne med kapacitetsopbygning for at sikre sikkerheden i net- og informationssystemer

d) at drøfte medlemsstaternes kapaciteter og beredskab og på frivillig basis evaluere nationale strategier for sikkerheden i net- og informationssystemer og CSIRT'ers effektivitet samt identificere bedste praksis

e) at udveksle oplysninger og bedste praksis for oplysning og uddannelse

f) at udveksle oplysninger og bedste praksis for forskning og udvikling i forbindelse med sikkerheden i net- og informationssystemer

g) hvis det er relevant, at udveksle erfaringer om forhold vedrørende sikkerheden i net- og informationssystemer med Unionens relevante institutioner, organer, kontorer og agenturer

h) at drøfte de i artikel 19 omhandlede standarder og specifikationer med repræsentanter fra de relevante europæiske standardiseringsorganisationer

i) at indsamle oplysninger om bedste praksis i forbindelse med risici og hændelser

j) årligt at gennemgå de sammenfattende rapporter som omhandlet i artikel 10, stk. 3, andet afsnit

k) at drøfte det arbejde, som er udført med hensyn til øvelser vedrørende sikkerheden i net- og informationssystemer, teoretiske uddannelsesprogrammer og praktisk uddannelse, herunder det arbejde, som er udført af ENISA

l) med ENISA's bistand at udveksle bedste praksis med hensyn til medlemsstaternes identificering af operatører af væsentlige tjenester, herunder i forbindelse med en grænseoverskridende afhængighed vedrørende risici og hændelser

m) at drøfte metoder til rapportering af underretning om hændelser som omhandlet i artikel 14 og 16.

Senest den 9. februar 2018 og derefter hvert andet år udarbejder samarbejdsgruppen et arbejdsprogram vedrørende tiltag, der skal iværksættes for at gennemføre dens mål og opgaver, og som skal være i overensstemmelse med målene i dette direktiv.

4. Med henblik på den i artikel 23 omhandlede revision og senest den 9. august 2018 og derefter hver 18. måned udarbejder samarbejdsgruppen en rapport om de erfaringer, der er gjort med det strategiske samarbejde i medfør af denne artikel.

5. Kommissionen vedtager gennemførelsesretsakter, der fastsætter proceduremæssige ordninger, som er nødvendige for samarbejdsgruppens funktion. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 22, stk. 2.

Med henblik på første afsnit forelægger Kommissionen det første udkast til gennemførelsesretsakt for det i artikel 22, stk. 1, omhandlede udvalg senest den 9. februar 2017.

Artikel 12

CSIRT-netværket

1. Med henblik på at bidrage til skabelsen af tillid mellem medlemsstaterne og at fremme et hurtigt og effektivt operationelt samarbejde oprettes der herved et netværk af nationale CSIRT'er.

2. CSIRT-netværket består af repræsentanter fra medlemsstaternes CSIRT'er og CERT-EU. Kommissionen deltager i CSIRT-netværket som observatør. ENISA varetager sekretariatsopgaverne og støtter aktivt samarbejdet mellem CSIRT'erne.

3. CSIRT-netværket har følgende opgaver:

a) at udveksle oplysninger om CSIRT'ers tjenester, aktiviteter og samarbejdsmuligheder

b) på anmodning af en CSIRT-repræsentant fra en medlemsstat, som potentielt er berørt af en hændelse, at udveksle og drøfte oplysninger, der ikke er kommercielt følsomme, vedrørende denne hændelse og dermed forbundne risici; en medlemsstats CSIRT kan dog nægte at bidrage til denne drøftelse, hvis der er risiko for skade på efterforskningen af hændelsen

c) at udveksle ikkefortrolige oplysninger om de enkelte hændelser og stille til dem rådighed på frivillig basis

d) på anmodning af en repræsentant for en medlemsstats CSIRT at drøfte og, når det er muligt, identificere en samordnet reaktion på en hændelse, som er identificeret inden for den samme medlemsstats jurisdiktion

e) at yde medlemsstater støtte i at håndtere grænseoverskridende hændelser med udgangspunkt i frivillig gensidig bistand

f) at drøfte, undersøge og identificere yderligere former for operationelt samarbejde, herunder i forhold til:

i) kategorier af risici og hændelser

ii) tidlige varslinger

iii) gensidig bistand

iv) principper og retningslinjer for koordination, når medlemsstaterne reagerer på grænseoverskridende risici og hændelser

g) at oplyse samarbejdsgruppen om sine aktiviteter og om yderligere former for operationelt samarbejde som drøftet i henhold til litra f) og anmode om vejledning i forbindelse hermed

h) at drøfte erfaringer fra øvelser vedrørende sikkerheden i net- og informationssystemer, herunder fra øvelser, der afholdes af ENISA

i) på anmodning af en given CSIRT at drøfte denne CSIRT's kapaciteter og beredskab

j) at udstede retningslinjer for at lette konvergensen mellem operationel praksis med hensyn til anvendelsen af bestemmelserne i denne artikel vedrørende operationelt samarbejde.

4. Med henblik på den i artikel 23 omhandlede revision og senest den 9. august 2018 og derefter hver 18. måned udarbejder CSIRT-netværket en rapport om de erfaringer, der er gjort med det operationelle samarbejde, herunder konklusioner og anbefalinger, i medfør af denne artikel. Rapporten forelægges ligeledes for samarbejdsgruppen.

5. CSIRT-netværket fastlægger sin egen forretningsorden.

Artikel 13

Internationalt samarbejde

Unionen kan i overensstemmelse med artikel 218 i TEUF indgå internationale aftaler med tredjelande eller internationale organisationer, som giver disse mulighed for og tilrettelægger deres deltagelse i nogle af samarbejdsgruppens aktiviteter. En sådan aftale skal tage hensyn til behovet for at sikre tilstrækkelig beskyttelse af oplysninger.

KAPITEL IV

SIKKERHED I NET- OG INFORMATIONSSYSTEMER FOR OPERATØRER AF VÆSENT­LIGE TJENESTER

Artikel 14

Sikkerhedskrav og underretning om hændelser

1. Medlemsstaterne sikrer, at operatører af væsentlige tjenester træffer passende og forholdsmæssige tekniske og organisatoriske foranstaltninger for at styre risiciene for sikkerheden i net- og informationssystemer, som de anvender til deres aktiviteter. Under hensyntagen til teknologiens aktuelle stade skal disse foranstaltninger sikre et sikkerhedsniveau for net- og informationssystemer, der står i forhold til risikoen.

2. Medlemsstaterne sikrer, at operatører af væsentlige tjenester træffer passende foranstaltninger for at forebygge og minimere konsekvensen af hændelser, der berører sikkerheden i net- og informationssystemer, som anvendes til levering af sådanne væsentlige tjenester, med henblik på at sikre kontinuiteten i disse tjenester.

3. Medlemsstaterne sikrer, at operatører af væsentlige tjenester hurtigst muligt foretager en underretning til den kompetente myndighed eller CSIRT af hændelser, der har væsentlige konsekvenser for kontinuiteten af de væsentlige tjenester, som de leverer. Underretningerne skal indeholde oplysninger, der gør det muligt for den kompetente myndighed eller CSIRT at fastslå eventuelle grænseoverskridende konsekvenser af hændelsen. Underretning gør ikke den underrettende part til genstand for et øget ansvar.

4. Med henblik på at fastlægge omfanget af en hændelses konsekvenser tages navnlig følgende kriterier i betragtning:

a) antallet af brugere, der berøres af afbrydelsen af den væsentlige tjeneste

b) hændelsens varighed

c) den geografiske udbredelse med hensyn til det område, der er berørt af hændelsen.

5. På grundlag af oplysningerne i den underretning, der er givet af operatøren af væsentlige tjenester, oplyser den kompetente myndighed eller CSIRT den eller de øvrige berørte medlemsstater herom, hvis hændelsen har væsentlige konsekvenser for kontinuiteten i de væsentlige tjenester i denne medlemsstat. I den forbindelse sikrer den kompetente myndighed eller CSIRT i overensstemmelse med EU-retten eller national lovgivning, der er i overensstemmelse med EU-retten, sikkerheden og de kommercielle interesser for operatøren af væsentlige tjenester samt fortrolig behandling af de oplysninger, der er givet i dennes underretning.

Hvis omstændighederne tillader det, leverer den kompetente myndighed eller CSIRT relevante oplysninger til den underrettende operatør af væsentlige tjenester vedrørende opfølgningen af dennes underretning, som f.eks. oplysninger, der kan støtte en effektiv håndtering af hændelsen.

På den kompetente myndigheds eller CSIRT's anmodning videresender de centrale kontaktpunkter de underretninger, der er omhandlet i første afsnit, til centrale kontaktpunkter i andre berørte medlemsstater.

6. Efter høring af den underrettende operatør af væsentlige tjenester kan den kompetente myndighed eller CSIRT'en oplyse offentligheden om konkrete hændelser, hvis offentlighedens kendskab hertil er nødvendigt for at forebygge en hændelse eller håndtere en igangværende hændelse.

7. Kompetente myndigheder, der handler sammen inden for samarbejdsgruppen, kan udarbejde og vedtage retningslinjer om de omstændigheder, hvorunder operatører af væsentlige tjenester har pligt til at underrette om hændelser, herunder om kriterier for fastlæggelse af omfanget af en hændelses konsekvenser som omhandlet i stk. 4.

Artikel 15

Gennemførelse og håndhævelse

1. Medlemsstaterne sikrer, at de kompetente myndigheder har de nødvendige beføjelser og midler til at vurdere, hvorvidt operatører af væsentlige tjenester opfylder deres forpligtelser i medfør af artikel 14 og virkningerne heraf på net- og informationssystemers sikkerhed.

2. Medlemsstaterne sikrer, at de kompetente myndigheder har beføjelser og midler til at pålægge operatører af væsentlige tjenester at levere:

a) de oplysninger, der nødvendige for at vurdere sikkerheden i deres net- og informationssystemer, herunder dokumenterede sikkerhedspolitikker

b) dokumentation for den faktiske gennemførelse af sikkerhedspolitikker, som f.eks. resultaterne af en sikkerhedsaudit udført af den kompetente myndighed eller en kvalificeret auditør og i sidstnævnte tilfælde stille resultaterne heraf, herunder den tilgrundliggende dokumentation, til rådighed for den kompetente myndighed.

Når der anmodes om sådanne oplysninger eller sådan dokumentation, angiver de kompetente myndigheder formålet med anmodningen og anfører, hvilke oplysninger der kræves.

3. Efter vurderingen af oplysninger eller resultaterne af sikkerhedsaudit, jf. stk. 2, kan den kompetente myndighed udstede påbud til operatører af væsentlige tjenester for at afhjælpe de påviste mangler.

4. Den kompetente myndighed indgår i et tæt samarbejde med databeskyttelsesmyndigheder, når de håndterer hændelser, som medfører brud på persondatasikkerheden.

KAPITEL V

SIKKERHED I NET- OG INFORMATIONSSYSTEMER FOR UDBYDERE AF DIGITALE TJENESTER

Artikel 16

Sikkerhedskrav og underretning om hændelser

1. Medlemsstaterne sikrer, at udbydere af digitale tjenester identificerer og træffer passende og forholdsmæssige tekniske og organisatoriske foranstaltninger for at styre risiciene i forhold til sikkerheden i net- og informationssystemer, som de anvender i forbindelse med tjenester, der er omhandlet i bilag III, i Unionen. Under hensyntagen til teknologiens aktuelle stade skal disse foranstaltninger sikre et sikkerhedsniveau for net- og informationssystemer, der står i forhold til risikoen, under hensyntagen til følgende elementer:

a) systemers og faciliteters sikkerhed

b) håndtering af hændelser

c) styring af driftskontinuitet

d) monitorering, audit og testning

e) overholdelse af internationale standarder.

2. Medlemsstaterne sikrer, at udbydere af digitale tjenester træffer foranstaltninger for at forebygge og minimere konsekvensen af hændelser, der berører sikkerheden i deres net- og informationssystemer, for så vidt angår de tjenester, der er omhandlet i bilag III, og som udbydes i Unionen, for at sikre kontinuiteten i disse tjenester.

3. Medlemsstaterne sikrer, at udbydere af digitale tjenester hurtigst muligt foretager en underretning til den kompetente myndighed eller CSIRT af enhver hændelse, der har betydelige konsekvenser for leveringen af en tjeneste som omhandlet i bilag III, som de udbyder i Unionen. Underretninger skal indeholde oplysninger, der gør det muligt for den kompetente myndighed eller CSIRT at fastslå betydningen af eventuelle grænseoverskridende konsekvenser. Underretningen gør ikke den underrettende part genstand for et øget ansvar.

4. Med henblik på at fastlægge, om en hændelses konsekvenser er betydelige, tages navnlig følgende kriterier i betragtning:

a) antallet af brugere, der berøres af hændelsen, navnlig brugere, som er afhængige af tjenesten med henblik på levering af deres egne tjenester

b) hændelsens varighed

c) den geografiske udbredelse med hensyn til det område, der er berørt af hændelsen

d) omfanget af afbrydelsen af tjenestens funktion

e) omfanget af konsekvenserne for økonomiske og samfundsmæssige aktiviteter.

Forpligtelsen til at underrette om en hændelse finder kun anvendelse, hvis udbyderen af digitale tjenester har adgang til de oplysninger, der er nødvendige for at vurdere en hændelses konsekvenser i henhold til de i første afsnit omhandlede kriterier.

5. Når en operatør af væsentlige tjenester er afhængig af en tredjepartsudbyder af digitale tjenester vedrørende leveringen af en tjeneste, der er væsentlig for opretholdelsen af kritiske samfundsmæssige og økonomiske aktiviteter, underretter operatøren af væsentlige tjenester om alle væsentlige konsekvenser for de væsentlige tjenesters kontinuitet som følge af en hændelse, der berører den pågældende udbyder.

6. Hvis det er relevant, og navnlig hvis den hændelse, der er omhandlet i stk. 3, berører to eller flere medlemsstater, informerer den kompetente myndighed eller CSIRT de øvrige berørte medlemsstater. De kompetente myndigheder, CSIRT'erne og de centrale kontaktpunkter sikrer i den forbindelse i overensstemmelse med EU-retten eller national lovgivning, der er i overensstemmelse med EU-retten, den digitale tjenesteudbyders sikkerhed og kommercielle interesser samt fortrolig behandling af de givne oplysninger.

7. Efter høring af udbyderen af de digitale tjenester kan den kompetente myndighed eller CSIRT og, hvis det er relevant, myndighederne eller CSIRT'erne i andre berørte medlemsstater oplyse offentligheden om konkrete hændelser eller kræve, at udbyderen af digitale tjenester gør det, hvis offentlighedens kendskab hertil er nødvendigt for at forebygge en hændelse eller håndtere en igangværende hændelse, eller hvis offentliggørelse af hændelsen i øvrigt er i offentlighedens interesse.

8. Kommissionen vedtager gennemførelsesretsakter for at fastsætte en yderligere specifikation af de elementer, der er omhandlet i nærværende artikels stk. 1, og de kriterier, der er opført i stk. 4. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 22, stk. 2, senest den 9. august 2017.

9. Kommissionen kan vedtage gennemførelsesretsakter, der fastsætter formater og procedurer for underretningspligten. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 22, stk. 2.

10. Medlemsstaterne må ikke indføre yderligere sikkerhedskrav eller underretningspligt for udbydere af digitale tjenester, jf. dog artikel 1, stk. 6.

11. Kapitel V finder ikke anvendelse på mikrovirksomheder og små virksomheder som defineret i Kommissionens henstilling 2003/361/EF19).

Artikel 17

Gennemførelse og håndhævelse

1. Medlemsstaterne sikrer, at de kompetente myndigheder om nødvendigt griber ind ved hjælp af efterfølgende tilsynsforanstaltninger, når det kan dokumenteres, at en udbyder af digitale tjenester ikke opfylder kravene i artikel 16. Denne dokumentation kan indgives af en kompetent myndighed i en anden medlemsstat, hvor tjenesten leveres.

2. Med henblik på stk. 1 tillægges de kompetente myndigheder de fornødne beføjelser og midler til at pålægge udbydere af digitale tjenester at:

a) forelægge de oplysninger, der er nødvendige for at vurdere sikkerheden af deres net- og informationssystemer, herunder dokumenterede sikkerhedspolitikker

b) afhjælpe mangler i opfyldelsen af de krav, der er fastsat i artikel 16.

3. Hvis en udbyder af digitale tjenester har sit hjemsted eller en repræsentant i en medlemsstat, men dets net- og informationssystemer er beliggende i en eller flere andre medlemsstater, samarbejder den kompetente myndighed i den medlemsstat, hvor hjemstedet eller repræsentanten befinder sig, og de kompetente myndigheder i de pågældende andre medlemsstater og bistår hinanden efter behov. En sådan bistand og et sådant samarbejde kan omfatte udveksling af oplysninger mellem de berørte kompetente myndigheder og anmodninger om at gennemføre de tilsynsforanstaltninger, der er omhandlet i stk. 2.

Artikel 18

Jurisdiktion og territorialitet

1. Med henblik på dette direktiv anses en udbyder af digitale tjenester for at høre under den medlemsstats jurisdiktion, hvor den har sit hjemsted. En udbyder af digitale tjenester anses for at have sit hjemsted i en medlemsstat, hvis dens hovedkontor er placeret i den pågældende medlemsstat.

2. En udbyder af digitale tjenester, som ikke er etableret i Unionen, men som tilbyder tjenester som omhandlet i bilag III i Unionen, udpeger en repræsentant i Unionen. Repræsentanten skal være etableret i en af de medlemsstater, hvor tjenesterne tilbydes. En udbyder af digitale tjenester anses for at høre under den medlemsstats jurisdiktion, hvor repræsentanten er etableret.

3. Udpegelsen af en repræsentant af udbyderen af digitale tjenester berører ikke eventuelle retlige skridt mod selve udbyderen af digitale tjenester.

KAPITEL VI

STANDARDISERING OG FRIVILLIG UNDERRETNING

Artikel 19

Standardisering

1. For at sikre en konvergerende gennemførelse af artikel 14, stk. 1 og 2, og artikel 16, stk. 1 og 2, tilskynder medlemsstaterne til at benytte europæiske eller internationalt anerkendte standarder og specifikationer, der er relevante for sikkerheden i net- og informationssystemer, uden at de påtvinger eller forskelsbehandler til fordel for anvendelse af en bestemt type teknologi.

2. ENISA udarbejder i samarbejde med medlemsstaterne vejledning og retningslinjer om de tekniske områder, der skal overvejes i forbindelse med stk. 1, samt om allerede eksisterende standarder, herunder medlemsstaternes nationale standarder, hvilket vil give mulighed for at dække disse områder.

Artikel 20

Frivillig underretning

1. Med forbehold af artikel 3 kan enheder, som ikke er blevet identificeret som operatører af væsentlige tjenester og ikke er udbydere af digitale tjenester, på frivillig basis underrette om hændelser, der har væsentlige konsekvenser for kontinuiteten af de tjenester, som de leverer.

2. Når medlemsstaterne behandler underretninger, handler de efter proceduren i artikel 14. Medlemsstaterne kan prioritere behandling af obligatoriske underretninger før frivillige underretninger. Frivillige underretninger behandles udelukkende, når en sådan behandling ikke udgør en uforholdsmæssig stor eller unødvendig byrde for de berørte medlemsstater.

Frivillig underretning må ikke medføre, at den underrettende enhed pålægges nogen forpligtelser, som den ikke ville være omfattet af, hvis den ikke havde indgivet denne underretning.

KAPITEL VII

AFSLUTTENDE BESTEMMELSER

Artikel 21

Sanktioner

Medlemsstaterne fastsætter regler om sanktioner, der skal anvendes i tilfælde af overtrædelser af de nationale regler, der er vedtaget i medfør af dette direktiv, og træffer alle nødvendige foranstaltninger til at sikre, at de gennemføres. Sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning. Medlemsstaterne giver senest den 9. maj 2018 Kommissionen meddelelse om disse regler og foranstaltninger, og underretter den straks om alle senere ændringer, der berører dem.

Artikel 22

Udvalgsprocedure

1. Kommissionen bistås af udvalget for sikkerhed i net- og informationssystemer. Dette udvalg er et udvalg som omhandlet i forordning (EU) nr. 182/2011.

2. Når der henvises til dette stykke, finder artikel 5 i forordning (EU) nr. 182/2011 anvendelse.

Artikel 23

Revision

1. Senest den 9. maj 2019 forelægger Kommissionen Europa-Parlamentet og Rådet en rapport med en vurdering af ensartetheden i medlemsstaternes tilgange i forbindelse med identificeringen af operatører af væsentlige tjenester.

2. Kommissionen tager regelmæssigt dette direktivs funktion op til revision og forelægger en rapport for Europa-Parlamentet og Rådet. Til dette formål og med henblik på yderligere at fremme det strategiske og operationelle samarbejde tager Kommissionen højde for rapporterne fra samarbejdsgruppen og CSIRT-netværket om de erfaringer, der er gjort på strategisk og operationelt plan. I sin revision vurderer Kommissionen også listerne i bilag II og III samt ensartetheden i forbindelse med identificeringen af operatører af væsentlige tjenester og tjenester i de sektorer, der er omhandlet i bilag II. Den første rapport forelægges senest den 9. maj 2021.

Artikel 24

Overgangsforanstaltninger

1. Uden at det berører artikel 25 og med henblik på at give medlemsstaterne flere muligheder for passende samarbejde under gennemførelsesperioden påbegynder samarbejdsgruppen og CSIRT-netværket deres opgaver, jf. henholdsvis artikel 11, stk. 3, og artikel 12, stk. 3, senest den 9. februar 2017.

2. I perioden fra den 9. februar 2017 til den 9. november 2018 og med henblik på at støtte medlemsstaterne i at anvende en ensartet tilgang, når operatører af væsentlige tjenester identificeres, drøfter samarbejdsgruppen processen, indholdet og typen af nationale foranstaltninger, som gør det muligt at identificere operatører af væsentlige tjenester inden for en bestemt sektor i overensstemmelse med kriterierne i artikel 5 og 6. Efter anmodning fra en medlemsstat drøfter samarbejdsgruppen også denne medlemsstats konkrete udkast til nationale foranstaltninger, som gør det muligt at identificere operatører af væsentlige tjenester inden for en bestemt sektor i overensstemmelse med kriterierne i artikel 5 og 6.

3. Senest den 9. februar 2017 og med henblik på denne artikel sikrer medlemsstaterne en passende repræsentation i samarbejdsgruppen og CSIRT-netværket.

Artikel 25

Gennemførelse

1. Medlemsstaterne vedtager og offentliggør senest den 9. maj 2018 de love og administrative bestemmelser, der er nødvendige for at efterkomme dette direktiv. De meddeler straks Kommissionen herom.

De anvender disse love og bestemmelser fra den 10. maj 2018.

Disse love og bestemmelser skal ved vedtagelsen indeholde en henvisning til dette direktiv eller skal ved offentliggørelsen ledsages af en sådan henvisning. Medlemsstaterne fastsætter de nærmere regler for henvisningen.

2. Medlemsstaterne meddeler Kommissionen teksten til de vigtigste nationale retsforskrifter, som de udsteder på det område, der er omfattet af dette direktiv.

Artikel 26

Ikrafttræden

Dette direktiv træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

Artikel 27

Adressater

Dette direktiv er rettet til medlemsstaterne.

Udfærdiget i Strasbourg, den 6. juli 2016.

På Europa-Parlamentets vegne

M. SCHULZ

Formand

På Rådets vegne

I. KORCOK

Formand

Bilag I

KRAV TIL DE ENHEDER, DER HÅNDTERER IT-SIKKERHEDSHÆNDELSER (CSIRT'er), OG DERES OPGAVER

Kravene til CSIRT'er og deres opgaver skal være tilstrækkeligt og klart defineret og understøttet af national politik og/eller regulering. De skal omfatte følgende:

1) Krav til CSIRT'er:

a) CSIRT'er skal sikre et højt tilgængelighedsniveau for deres kommunikationstjenester ved at undgå svage punkter (»single points of failure«) og for til enhver tid at have flere muligheder for at blive kontaktet og til at kontakte andre. Desuden skal kommunikationskanalerne være tydeligt angivet og kendt af samarbejdspartnere.

b) CSIRT'ers lokaler og de underliggende informationssystemer skal være placeret i sikrede områder.

c) Driftskontinuitet:

i) CSIRT'er skal være udstyret med et passende system til at administrere og videresende anmodninger, så overdragelser lettes

ii) CSIRT'er skal have tilstrækkeligt personale til at sikre tilgængelighed døgnet rundt

iii) CSIRT'er skal råde over en infrastruktur, hvis driftskontinuitet er sikret. Med henblik herpå skal redundante systemer og backuparbejdsområder være til rådighed

d) CSIRT'er skal, hvis de ønsker det, have mulighed for at deltage i internationale samarbejdsnetværk.

2) CSIRT'ers opgaver:

a) CSIRT'ers opgaver skal som minimum omfatte følgende:

i) monitorering af hændelser på nationalt plan

ii) tidlig varsling, advarsler, meddelelser og formidling af information til relevante interessenter om risici og hændelser

iii) at reagere på hændelser

iv) udarbejdelse af dynamiske risiko- og hændelsesanalyser og situationsrapporter

v) deltagelse i CSIRT-netværket

b) CSIRT'er skal etablere et samarbejde med den private sektor.

c) For at lette samarbejdet fremmer CSIRT'er vedtagelse og anvendelse af fælles eller standardiseret praksis for:

i) procedurer for håndtering af hændelser og risici

ii) systemer til klassificering af hændelser, risici og oplysninger.

Bilag II

TYPER AF ENHEDER MED HENBLIK PÅ ARTIKEL 4, NR. 4)

1) Europa-Parlamentets og Rådets direktiv 2009/72/EF af 13. juli 2009 om fælles regler for det indre marked for elektricitet og om ophævelse af direktiv 2003/54/EF (EUT L 211 af 14.8.2009, s. 55).

2) Europa-Parlamentets og Rådets direktiv 2009/73/EF af 13. juli 2009 om fælles regler for det indre marked for naturgas og om ophævelse af direktiv 2003/55/EF (EUT L 211 af 14.8.2009, s. 94).

3) Europa-Parlamentets og Rådets forordning (EF) nr. 300/2008 af 11. marts 2008 om fælles bestemmelser om sikkerhed inden for civil luftfart og om ophævelse af forordning (EF) nr. 2320/2002 (EUT L 97 af 9.4.2008, s. 72).

4) Europa-Parlamentets og Rådets forordning (EF) nr. 300/2008 af 11. marts 2008 om fælles bestemmelser om sikkerhed inden for civil luftfart og om ophævelse af forordning (EF) nr. 2320/2002 (EUT L 97 af 9.4.2008, s. 72).

5) Europa-Parlamentets og Rådets forordning (EU) nr. 1315/2013 af 11. december 2013 om Unionens retningslinjer for udvikling af det transeuropæiske transportnet og om ophævelse af afgørelse nr. 661/2010/EU (EUT L 348 af 20.12.2013, s. 1).

6) Europa-Parlamentets og Rådets forordning (EF) nr. 549/2004 af 10. marts 2004 om rammerne for oprettelse af et fælles europæisk luftrum (»rammeforordningen«) (EUT L 96 af 31.3.2004, s. 1).

7) Europa-Parlamentets og Rådets direktiv 2012/34/EU af 21. november 2012 om oprettelse af et fælles europæisk jernbaneområde (EUT L 343 af 14.12.2012, s. 32).

8) Europa-Parlamentets og Rådets forordning (EF) nr. 725/2004 af 31. marts 2004 om bedre sikring af skibe og havnefaciliteter (EUT L 129 af 29.4.2004, s. 6).

9) Europa-Parlamentets og Rådets direktiv 2002/59/EF af 27. juni 2002 om oprettelse af et trafikovervågnings- og trafikinformationssystem for skibsfarten i Fællesskabet og om ophævelse af Rådets direktiv 93/75/EØF (EFT L 208 af 5.8.2002, s. 10).

10) Europa-Parlamentets og Rådets direktiv 2005/65/EF af 26. oktober 2005 om bedre havnesikring (EUT L 310 af 25.11.2005, s. 28).

11) Kommissionens delegerede forordning (EU) 2015/962 af 18. december 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2010/40/EU for så vidt angår tilrådighedsstillelse af EU-dækkende tidstro trafikinformationstjenester (EUT L 157 af 23.6.2015, s. 21).

12) Europa-Parlamentets og Rådets direktiv 2010/40/EU af 7. juli 2010 om rammerne for indførelse af intelligente transportsystemer på vejtransportområdet og for grænsefladerne til andre transportformer (EUT L 207 af 6.8.2010, s. 1).

13) Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 af 26. juni 2013 om tilsynsmæssige krav til kreditinstitutter og investeringsselskaber og om ændring af forordning (EU) nr. 648/2012 (EUT L 176 af 27.6.2013, s. 1).

14) Europa-Parlamentets og Rådets direktiv 2014/65/EU af 15. maj 2014 om markeder for finansielle instrumenter og om ændring af direktiv 2002/92/EF og direktiv 2011/61/EU (EUT L 173 af 12.6.2014, s. 349).

15) Europa-Parlamentets og Rådets forordning (EU) nr. 648/2012 af 4. juli 2012 om OTC-derivater, centrale modparter og transaktionsregistre (EUT L 201 af 27.7.2012, s. 1).

16) Europa-Parlamentets og Rådets direktiv 2011/24/EU af 9. marts 2011 om patientrettigheder i forbindelse med grænseoverskridende sundhedsydelser (EUT L 88 af 4.4.2011, s. 45).

17) Rådets direktiv 98/83/EF af 3. november 1998 om kvaliteten af drikkevand (EFT L 330 af 5.12.1998, s. 32).

Bilag III

TYPER AF DIGITALE TJENESTER MED HENBLIK PÅ ARTIKEL 4, NR. 5)

1. Onlinemarkedsplads

2. Onlinesøgemaskine

3. Cloud computing-tjeneste.

1) Loven indeholder bestemmelser, der gennemfører dele af Europa-Parlamentets og Rådets direktiv 2016/1148/EU af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen, EU-Tidende 2016, nr. L 194, side 1.

1) EUT C 271 af 19.9.2013, s. 133.

2) Europa-Parlamentets holdning af 13.3.2014 (endnu ikke offentliggjort i EUT) og Rådets førstebehandlingsholdning af 17.5.2016 (endnu ikke offentliggjort i EUT). Europa-Parlamentets holdning af 6.7.2016 (endnu ikke offentliggjort i EUT).

14) Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning og udpegning af europæisk kritisk infrastruktur og vurdering af behovet for at beskytte den bedre (EUT L 345 af 23.12.2008, s. 75).

15) Europa-Parlamentets og Rådets direktiv 2011/93/EU af 13. december 2011 om bekæmpelse af seksuelt misbrug og seksuel udnyttelse af børn og børnepornografi og om erstatning af Rådets rammeafgørelse 2004/68/RIA (EUT L 335 af 17.12.2011, s. 1).

16) Europa-Parlamentets og Rådets direktiv 2013/40/EU af 12. august 2013 om angreb på informationssystemer og om erstatning af Rådets rammeafgørelse 2005/222/RIA (EUT L 218 af 14.8.2013, s. 8).

17) Europa-Parlamentets og Rådets direktiv (EU) 2015/1535 af 9. september 2015 om en informationsprocedure med hensyn til tekniske forskrifter samt forskrifter for informationssamfundets tjenester (EUT L 241 af 17.9.2015, s. 1).

18) Europa-Parlamentets og Rådets direktiv 2013/11/EU af 21. maj 2013 om alternativ tvistbilæggelse i forbindelse med tvister på forbrugerområdet og om ændring af forordning (EF) nr. 2006/2004 og direktiv 2009/22/EF (direktiv om ATB på forbrugerområdet) (EUT L 165 af 18.6.2013, s. 63).

19) Kommissionens henstilling 2003/361/EF af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder (EUT L 124 af 20.5.2003, s. 36).