Forsvarsudvalget 2019-20
FOU Alm.del Bilag 105
Offentligt
2228728_0001.png
Juli 2020
Udkast
Forslag
til
Lov om ændring af lov om net- og informationssikkerhed
(Implementering af direktivet om oprettelse af en europæisk kodeks for elektronisk kommu-
nikation for så vidt angår sikkerhed i net og tjenester)
1
§1
I lov nr. 1567 af 15. december 2015 om net- og informationssikkerhed foretages følgende
ændringer:
1.
Lovens
titel
affattes således:
»Lov om sikkerhed i net og tjenester«.
2.
Fodnoten
til lovens titel affattes således:
»Loven indeholder bestemmelser, der gennemfører dele af Europa-Parlamentets og Rådets
direktiv 2018/1972/EU af 11. december 2018 om oprettelse af en europæisk kodeks for
elektronisk kommunikation (omarbejdning), EU-Tidende 2018, nr. L 321, side 36.«
3.
I
§ 1
ændres »net- og informationssikkerheden i samfundet« til: »sikkerheden i net og
tjenester«.
4.
§ 2
affattes således:
Ȥ
2.
I denne lov forstås ved:
1) Elektronisk kommunikationsnet: Radiofrekvens- eller kabelbaseret teleinfrastruktur, der
anvendes til formidling af tjenester.
2) Elektronisk kommunikationstjeneste: Tjeneste, der helt eller delvis består i elektronisk
overførsel af kommunikation i form af lyd, billeder, tekst eller kombinationer heraf ved
hjælp af radio- eller telekommunikationsteknik mellem nettermineringspunkter.
3) Offentligt tilgængelige elektroniske kommunikationsnet og -tjenester: Elektroniske kom-
munikationsnet og -tjenester, der stilles til rådighed for en ikke på forhånd afgrænset
kreds af slutbrugere eller udbydere.
4) Udbyder: Den, der med et kommercielt formål stiller produkter, elektroniske kommuni-
kationsnet eller -tjenester til rådighed for andre. Begrebet omfatter ikke udbydere af NU-
IK-tjenester, jf. nr. 6.
5) Erhvervsmæssig udbyder: En udbyder, der med et kommercielt formål udbyder produk-
ter, elektroniske kommunikationsnet eller -tjenester som sin hovedydelse eller som en
Loven implementerer dele af Europa-Parlamentets og Rådets direktiv 2018/1972/EU af 11.
december 2018 om oprettelse af en europæisk kodeks for elektronisk kommunikation (om-
arbejdning), EU-Tidende 2018, nr. L 321, side 36.
1
Side 1 af 45
 FOU, Alm.del - 2019-20 - Bilag 105: Udkast til lovforslag om ændring af lov om net- og informationssikkerhed (Implementering af EU's telekodeks), fra forsvarsministeren
ikke accessorisk del af virksomheden. Begrebet omfatter ikke udbydere af NUIK-
tjenester, jf. nr. 6.
6) Udbyder af NUIK-tjeneste: Udbyder af en nummeruafhængig interpersonel kommunikati-
onstjeneste i form af en tjeneste, som normalt ydes mod betaling, og som muliggør di-
rekte interpersonel og interaktiv informationsudveksling via elektroniske kommunikati-
onsnet mellem et afgrænset antal personer, hvor de personer, der indleder eller deltager
i kommunikationen, bestemmer, hvem modtageren eller modtagerne skal være. Omfat-
tet er ikke tjenester, der blot muliggør interpersonel og interaktiv kommunikation som en
mindre støttefunktion, der er tæt knyttet til en anden tjeneste. Tjenesten etablerer ikke
forbindelse til offentligt tildelte nummerressourcer, dvs. et eller flere numre i nationale
eller internationale nummerplaner, eller muliggør ikke kommunikation med et eller flere
numre i nationale eller internationale nummerplaner.
7) Sikkerhed i net og tjenester: Elektroniske kommunikationsnets og -tjenesters evne til på
et givet fortrolighedsniveau at modstå handlinger, der er til skade for tilgængeligheden,
autenticiteten, integriteten eller fortroligheden af disse net og tjenester, lagrede eller
overførte eller behandlede data eller de dermed forbundne tjenester, der tilbydes af eller
er tilgængelige via disse net eller -tjenester.
8) Sikkerhedshændelse: En begivenhed, der har en faktisk negativ indvirkning på sikkerhe-
den i net og -tjenester.«
5.
I
overskriften
til kapitel 2 ændres »Informationssikkerhed« til: »Sikkerhed«.
6.
§ 3, stk. 1,
affattes således:
»Center for Cybersikkerhed fastsætter regler om minimumskrav til sikkerhed i net og tje-
nester for udbydere af offentligt tilgængelige elektroniske kommunikationsnet og -tjenester
og udbydere af NUIK-tjenester. Reglerne kan omfatte krav om passende tekniske, processu-
elle og organisatoriske foranstaltninger med henblik på risikostyring i forhold til sikkerhed i
net og tjenester og opretholdelse af et passende sikkerhedsniveau, herunder krav om, at
sådanne foranstaltninger gennemføres på baggrund af dokumenterede og ledelsesforankre-
de processer.«
7.
I
§ 3, stk. 2,
ændres »offentligt tilgængelige net og tjenester« til: »offentligt tilgængelige
elektroniske kommunikationsnet og -tjenester«, og »informationssikkerheden« ændres til:
»sikkerheden i net og tjenester«.
8.
I
§ 3
indsættes efter stk. 2 som nyt stykke:
»Stk.
3.
Center for Cybersikkerhed kan påbyde udbydere af offentligt tilgængelige elektro-
niske kommunikationsnet og -tjenester og udbydere af NUIK-tjenester at træffe konkrete
foranstaltninger, der er nødvendige for at afhjælpe en sikkerhedshændelse eller hindre en
sådan i at forekomme, når en betydelig trussel er identificeret. Centeret fastsætter nærmere
regler herom.«
Stk. 3 bliver herefter stk. 4.
9.
I
§ 3, stk. 4,
ændres »offentligt tilgængelige net og tjenester« til: »offentligt tilgængelige
elektroniske kommunikationsnet og -tjenester«, og »informationssikkerheden i offentligt
tilgængelige net og tjenester« ændres til: »sikkerheden i net og tjenester«.
10.
I
§ 4, 1. pkt.,
indsættes efter »for udbydere«: »og udbydere af NUIK-tjenester«.
Side 2 af 45
 FOU, Alm.del - 2019-20 - Bilag 105: Udkast til lovforslag om ændring af lov om net- og informationssikkerhed (Implementering af EU's telekodeks), fra forsvarsministeren
11.
I
§ 4, nr. 1
og
2,
ændres »offentligt tilgængelige net og tjenesters« til: »offentligt til-
gængelige elektroniske kommunikationsnet og -tjenesters«.
12.
§ 4, nr. 3,
affattes således:
»3) Udbydere af offentligt tilgængelige elektroniske kommunikationsnet og -tjenesters og
udbydere af NUIK-tjenesters underretning af Center for Cybersikkerhed uden unødigt ophold
om sikkerhedshændelser, der har haft væsentlig indvirkning på driften af net eller tjene-
ster.«
13.
§ 4, nr. 4,
affattes således:
»4) Udbydere af offentligt tilgængelige elektroniske kommunikationsnet og -tjenesters og
udbydere af NUIK-tjenesters underretning af offentligheden ved sikkerhedshændelser, der
har haft væsentlig indvirkning på driften af net eller tjenester.«
14.
I
§ 4
indsættes som nr. 5:
»5) Udbydere af offentligt tilgængelige elektroniske kommunikationsnet og -tjenesters og
udbydere af NUIK-tjenesters informering af deres potentielt berørte brugere om mulige be-
skyttelsesforanstaltninger eller afhjælpende foranstaltninger, som brugerne kan træffe i til-
fælde af en særlig og betydelig trussel om en sikkerhedshændelse i udbyderens net eller
tjenester. Der kan endvidere stilles krav om, at de pågældende udbydere skal informere
deres brugere om selve truslen.«
15.
I
§ 5, stk. 2,
ændres »offentligt tilgængelige net og tjenester« til: »offentligt tilgængeli-
ge elektroniske kommunikationsnet og -tjenester«.
16.
Efter § 5 indsættes:
Ȥ
5 a.
Center for Cybersikkerhed fastsætter regler om, at udbydere, som i medfør af te-
leloven skal udsende offentlige advarsler om overhængende eller truende alvorlige nødsitua-
tioner og katastrofer, skal træffe alle nødvendige foranstaltninger til at sikre uafbrudt trans-
mission af advarslerne.«
17.
I
§ 6, stk. 1,
ændres »informationssikkerhed« til: »sikkerhed i net og tjenester«.
18.
I
§ 6, stk. 2,
ændres »offentligt tilgængelige net« til: »offentligt tilgængelige elektroni-
ske kommunikationsnet«.
19.
I
§ 9, stk. 2,
ændres »udbydere« til: »udbydere og udbydere af NUIK-tjenester«, og
»informationssikkerhed« ændres til: »sikkerhed i net og tjenester«.
20.
I
§ 9, stk. 5,
ændres »udbydere« til: »udbydere og udbydere af NUIK-tjenester«.
21.
I
§ 9, stk. 6
og
7,
ændres »informationssikkerheden« til: »sikkerheden i net og tjene-
ster«.
22.
I
§ 10, stk. 1, nr. 1,
ændres »§ 3, stk. 2 og 3,« til »§ 3, stk. 2, 3 og 4«, og »§ 3, stk. 1
og 3,« ændres til: »§ 3, stk. 1, 3 og 4«. Efter »§ 5, stk. 1, 2 og 3,« indsættes: »§ 5 a,«.
23.
I
§ 10, stk. 2, nr. 1,
ændres »den udbyder« til: »den udbyder eller udbyder af NUIK-
tjenester«.
Side 3 af 45
 FOU, Alm.del - 2019-20 - Bilag 105: Udkast til lovforslag om ændring af lov om net- og informationssikkerhed (Implementering af EU's telekodeks), fra forsvarsministeren
24.
I
§ 12, stk. 1
og
2,
ændres »udbydere« til: »udbydere og udbydere af NUIK-tjenester«,
og »Det Europæiske Agentur for Net- og Informationssikkerhed« ændres til »Den Europæi-
ske Unions Agentur for Cybersikkerhed«.
25.
I
§ 13
ændres »informationssikkerhed og beredskab på teleområdet« til: »sikkerhed i
net og tjenester«.
26.
I
§ 14, stk. 1, nr. 1,
ændres »§ 3, stk. 2 eller 3« til: »§ 3, stk. 2, 3 eller 4«.
27.
I
§ 14, stk. 2,
ændres »§ 3, stk. 1 eller 3« til: »§ 3, stk. 1, 3 eller 4«, og efter »§ 5, stk.
1, 2 eller 3,« indsættes: »§ 5 a,«.
§2
Loven træder i kraft den 21. december 2020.
Side 4 af 45
 FOU, Alm.del - 2019-20 - Bilag 105: Udkast til lovforslag om ændring af lov om net- og informationssikkerhed (Implementering af EU's telekodeks), fra forsvarsministeren
Bemærkninger til lovforslaget
Almindelige bemærkninger
Indholdsfortegnelse
1. Indledning
2. Lovforslagets baggrund
3. Lovforslagets hovedindhold
3.1. Indførelse af særskilt definition af udbydere af NUIK-tjenester
3.1.1. Gældende ret
3.1.2. Forsvarsministeriets overvejelser
3.1.3. Den foreslåede ordning
3.2. Sikkerhedskrav og underretningspligter
3.2.1. Gældende ret
3.2.2. Forsvarsministeriets overvejelser
3.2.3. Den foreslåede ordning
3.3. Påbud om konkrete foranstaltninger
3.3.1. Gældende ret
3.3.2. Forsvarsministeriets overvejelser
3.3.3. Den foreslåede ordning
3.4. Informering af brugere om beskyttelsesforanstaltninger m.v.
3.4.1. Gældende ret
3.4.2. Forsvarsministeriets overvejelser
3.4.3. Den foreslåede ordning
3.5. Uafbrudt transmission af offentlige advarsler
3.5.1. Gældende ret
3.5.2. Forsvarsministeriets overvejelser
3.5.3. Den foreslåede ordning
4. Økonomiske konsekvenser og implementeringskonsekvenser for det offentlige
5. Økonomiske og administrative konsekvenser for erhvervslivet m.v.
6. Administrative konsekvenser for borgerne
7. Miljømæssige konsekvenser
8. Forholdet til EU-retten
9. Hørte myndigheder og organisationer m.v.
10. Sammenfattende skema
Side 5 af 45
 FOU, Alm.del - 2019-20 - Bilag 105: Udkast til lovforslag om ændring af lov om net- og informationssikkerhed (Implementering af EU's telekodeks), fra forsvarsministeren
1. Indledning
Europa-Parlamentet og Rådet har vedtaget direktiv 2018/1972/EU af 11. december 2018 om
oprettelse af en europæisk kodeks for elektronisk kommunikation (herefter EU’s telekodeks).
EU’s telekodeks samler og reviderer fire centrale EU-direktiver
på teleområdet.
Med EU’s telekodeks forenkles
EU-reguleringens nuværende struktur, så der skabes en mere
sammenhængende regulering af elektroniske kommunikationsnet og -tjenester. Samtidig
tages der med EU’s telekodeks højde for den samfundsmæssige udvikling, hvor forbrugere
og virksomheder i stadig stigende grad anvender digitale, internetbaserede tjenester frem
for traditionelle teletjenester. På den baggrund indebærer revisionen også, at disse digitale,
internetbaserede tjenester bliver omfattet af relevante dele af telereguleringen.
Klima-, Energi-
og Forsyningsministeriet har det overordnede ressortansvar for EU’s teleko-
deks.
EU’s telekodeks
indeholder dog også bestemmelser om sikkerheden i net og tjenester,
der henhører under Forsvarsministeriets ressortansvar. Dette lovforslag har til formål at im-
plementere EU’s telekodeks på Forsvarsministeriets
område.
EU’s telekodeks regulerer –
som noget nyt
internetbaserede kommunikationstjenester, der
ikke anvender numre til dirigering af opkald, beskeder, mails eller lignende. Det vil oftest
være tale-, video- eller beskedtjenester, herunder eksempelvis kommercielle alternativer til
sms-beskeder, hvor to eller flere kan kommunikere sammen over internettet, men uden at
anvende almindelige telefonnumre.
Lovforslaget indebærer, at der foreslås krav om sikkerhed i net og tjenester til denne nye
kategori af udbydere af digitale, internetbaserede tjenester. Udbyderne betegnes
i EU’s tele-
kodeks som udbydere af nummeruafhængige interpersonelle kommunikationstjenester (her-
efter: Udbydere af NUIK-tjenester).
Lovforslaget skal navnlig ses i sammenhæng med et samtidigt lovforslag fra Klima-, Energi-
og Forsyningsministeriet, der implementerer EU’s telekodeks for så vidt angår bl.a. den sek-
torspecifikke konkurrenceregulering på teleområdet, administration af radiofrekvenser, ad-
ministration af telefonnumre, særlige forbrugerrettigheder på teleområdet og forsyningspligt
på kommunikationstjenester. Nærværende lovforslag har endvidere en vis sammenhæng
med et andet, samtidigt lovforslag på Forsvarsministeriets område, der implementerer EU’s
telekodeks for så vidt angår etablering af mobilbaseret varsling.
2. Baggrunden for lovforslaget
Forsvarets Efterretningstjenestes Center for Cybersikkerhed varetager Forsvarsministeriets
myndighedsopgaver i relation til informationssikkerhed og beredskab på teleområdet.
I lov nr. 1567 af 15. december 2015 om net- og informationssikkerhed er fastsat den over-
ordnede ramme for de informationssikkerheds- og beredskabskrav, der stilles til udbydere af
net og tjenester (herefter: Teleudbydere). Lovens bestemmelser om informationssikkerheds-
og beredskabskrav er primært udformet som bemyndigelser, der er udmøntet administrativt
af Center for Cybersikkerhed i fire bekendtgørelser. Loven indeholder desuden en række
tilsyns- og håndhævelsesbestemmelser.
Visse dele af net- og informationssikkerhedsloven og de bekendtgørelser, der er udstedt
Side 6 af 45
 FOU, Alm.del - 2019-20 - Bilag 105: Udkast til lovforslag om ændring af lov om net- og informationssikkerhed (Implementering af EU's telekodeks), fra forsvarsministeren
med hjemmel i loven, bygger på EU-regulering. Lovgivningen implementerer således be-
stemmelser i Europa-Parlamentets og Rådets direktiv 2002/21/EF af 7. marts 2002 om fæl-
les rammebestemmelser for elektroniske kommunikationsnet og -tjenester (rammedirekti-
vet), som senest ændret ved Europa-Parlamentets og Rådets direktiv 2009/140/EF af 25.
november 2009. De centrale bestemmelser i den henseende er rammedirektivets artikel 13
a og b, der stiller krav om, at der fastsættes sikkerhedskrav og underretningspligter for ud-
bydere af offentlige kommunikationsnet eller offentligt tilgængelige elektroniske kommuni-
kationstjenester. Lovgivningen implementerer endvidere rammedirektivets artikel 5 om til-
syn og artikel 21 a om sanktioner.
Herudover implementerer lovgivningen artikel 23, 1. pkt., i Europa-Parlamentets og Rådets
direktiv 2002/22/EF af 7. marts 2002 om forsyningspligt og brugerrettigheder i forbindelse
med elektroniske kommunikationsnet og -tjenester (forsyningspligtdirektivet), som ændret
ved Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25. november 2009, der fast-
sætter krav til sikring af tilgængeligheden af offentligt tilgængelige telefonitjenester i tilfælde
af netsvigt som følge af katastrofesituationer eller i force majeure-situationer.
Den nævnte EU-retlige regulering udstikker alene rammerne for medlemsstaternes krav til
og tilsyn med informationssikkerhed og beredskab i telesektoren, og reguleringen pålægger
medlemsstaterne at sikre, at teleudbydere træffer såkaldte passende foranstaltninger og
foretager underretninger til tilsynsmyndigheden.
I december 2018
blev EU’s telekodeks vedtaget af
Europa-Parlamentet og Rådet.
EU’s tele-
kodeks samler og reviderer de fire centrale EU-direktiver på teleområdet, herunder bl.a.
rammedirektivet og forsyningspligtdirektivet, der ikke er opdateret siden 2009. Formålet
med revisionen er bl.a. at skabe de reguleringsmæssige rammer for udbredelsen af 5G-
netværk samt tage højde for den samfundsmæssige udvikling, hvor forbrugere og virksom-
heder i stadig stigende grad anvender digitale, internetbaserede tjenester frem for traditio-
nelle teletjenester.
EU’s telekodeks
har derfor til formål at sikre, at disse digitale, internet-
baserede tjenester også bliver omfattet af bl.a. passende informationssikkerhedskrav.
Som en væsentlig nyskabelse udvider
EU’s telekodeks
således kredsen af forpligtede i relati-
on til bl.a. sikkerheden i net og tjenester. Fremadrettet rettes kravene således ikke blot mod
teleudbydere i traditionel forstand (udbydere af offentligt tilgængelige net og tjenester),
men også mod udbydere af NUIK-tjenester.
Herudover videreføres de eksisterende informationssikkerhedskrav og underretningspligter
med visse justeringer. Desuden indføres
i EU’s telekodeks
en bestemmelse med inspiration
fra Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om databeskyttelse
inden for elektronisk kommunikation (e-databeskyttelsesdirektivet), som ændret ved Euro-
pa-Parlamentets og Rådets direktiv 2009/136/EF af 25. november 2009, om udbyderes og
udbydere af NUIK-tjenesters pligt til at informere brugere om eventuelle beskyttelsesforan-
staltninger eller afhjælpende foranstaltninger, som de kan træffe i tilfælde af en særlig og
betydelig trussel om en sikkerhedshændelse. Det er hensigten, at den lignende bestemmelse
i e-databeskyttelsesdirektivet ophæves i forbindelse med en forventet kommende revision af
direktivet.
Vedtagelsen af
EU’s telekodeks
indebærer, at der er behov for tilpasninger af den nuværen-
de net- og informationssikkerhedslovgivning med henblik på implementering af direktivet.
Direktivet skal være implementeret i dansk ret senest den 21. december 2020.
Side 7 af 45
 FOU, Alm.del - 2019-20 - Bilag 105: Udkast til lovforslag om ændring af lov om net- og informationssikkerhed (Implementering af EU's telekodeks), fra forsvarsministeren
Forsvarsministeriet lægger vægt på, at implementering af EU’s telekodeks sker i overens-
stemmelse med regeringens principper for implementering af erhvervsrettet EU-regulering,
hvorefter den nationale regulering som udgangspunkt ikke bør gå videre end minimumskra-
vene i EU-reguleringen. Sikkerhedskrav og underretningspligter m.v. bør således nøje følge
direktivets krav, så der ikke sker en overimplementering.
3. Lovforslagets hovedindhold
3.1. Indførelse af særskilt definition af udbydere af NUIK-tjenester
3.1.1. Gældende ret
Der er i lov nr. 1567 af 15. december 2015 om net- og informationssikkerhed fastsat regler
om informationssikkerhedskrav og underretningspligter for de udbydere af offentligt tilgæn-
gelige net og tjenester, der er omfattet af rammedirektivets sikkerhedsbestemmelser i arti-
kel 13 a og 13 b.
En udbyder er i net- og informationssikkerhedslovens § 2, nr. 4, defineret som den, der med
et kommercielt formål stiller produkter, net eller tjenester til rådighed for andre. Offentligt
tilgængelige net og tjenester er i lovens § 2, nr. 3, defineret som net og tjenester, der stilles
til rådighed for en ikke på forhånd afgrænset kreds af slutbrugere eller udbydere.
Ved en tjeneste forstås efter lovens § 2, nr. 2, en elektronisk kommunikationstjeneste, der
helt eller delvis består i elektronisk overførsel af kommunikation i form af lyd, billeder, tekst
eller kombinationer heraf ved hjælp af radio- eller telekommunikationsteknik mellem net-
termineringspunkter. Bestemmelsen hviler på rammedirektivets artikel 2, litra c. Definitio-
nen er i øvrigt indholdsmæssigt identisk med definitionen af en elektronisk kommunikations-
tjeneste i § 2, nr. 7, i lov om elektroniske kommunikationsnet og -tjenester (teleloven), jf.
lovbekendtgørelse nr. 128 af 7. februar 2014 med senere ændringer.
Elektroniske kommunikationstjenester mellem personer, der er baseret på en eksisterende
internetforbindelse, og som ikke anvender numre fra den danske nummerplan, er ikke om-
fattet af den nuværende definition af en tjeneste i net- og informationssikkerhedslovens
eller telelovens
forstand.
3.1.2. Forsvarsministeriets overvejelser
Forpligtelserne i artikel 40 og 41 i
EU’s
telekodeks vedrørende sikkerhedskrav og underret-
ninger m.v. er rettet mod en bredere kreds af udbydere end de hidtidige regler i rammedi-
rektivet. Det skyldes, at definitionen af en offentligt tilgængelig elektronisk kommunikations-
tjeneste i EU’s telekodeks
som noget nyt også omfatter nummeruafhængige, interpersonelle
kommunikationstjenester, jf. artikel 2, nr. 4-7.
Som led i en implementering af EU’s telekodeks på Forsvarsministeriets område vurderes
der derfor at være behov for, at der i lovgivningen fastsættes sikkerhedskrav og underret-
ningspligter m.v. over for disse udbydere af NUIK-tjenester.
Side 8 af 45
 FOU, Alm.del - 2019-20 - Bilag 105: Udkast til lovforslag om ændring af lov om net- og informationssikkerhed (Implementering af EU's telekodeks), fra forsvarsministeren
3.1.3. Den foreslåede ordning
Det foreslås, at der i loven indføres en definition af udbydere af nummeruafhængige, inter-
personelle kommunikationstjenester (udbydere af NUIK-tjenester), således at der kan fast-
sættes særskilte krav for disse udbydere. Dette skal ses i lyset af, at udbydere af NUIK-
tjenester ikke på alle punkter kan sidestilles med de traditionelle teleudbydere, og at der
derfor på visse punkter er behov for at kunne sondre mellem kravene til de forskellige typer
af udbydere.
For at tydeliggøre sondringen mellem de nye udbydere af NUIK-tjenester og de traditionelle
teleudbydere, som i forvejen var omfattet af loven, foreslås visse sproglige justeringer af de
øvrige definitioner i lovens § 2, nr. 1-5. Disse justeringer har ingen selvstændig indholds-
mæssig betydning.
3.2. Sikkerhedskrav og underretningspligter
3.2.1. Gældende ret
Det følger af net- og informationssikkerhedslovens § 3, stk. 1, at Center for Cybersikkerhed
fastsætter regler om minimumskrav til informationssikkerhed for udbydere af offentligt til-
gængelige net og tjenester. Reglerne kan omfatte krav om passende tekniske, processuelle
og organisatoriske foranstaltninger med henblik på risikostyring i forhold til informationssik-
kerhed i offentligt tilgængelige net og tjenester og opretholdelse af et passende informati-
onssikkerhedsniveau, herunder krav om, at sådanne foranstaltninger gennemføres på bag-
grund af dokumenterede og ledelsesforankrede processer.
Bestemmelsen implementerer rammedirektivets artikel 13 a, stk. 1 og 2.
Der er med hjemmel i bestemmelsen fastsat nærmere regler i bekendtgørelse nr. 567 af 1.
juni 2016 om informationssikkerhed og beredskab i net og tjenester.
Udbydere af offentligt tilgængelige net og tjenester er desuden i medfør af net- og informa-
tionssikkerhedslovens § 4, nr. 3 og 4, der er udmøntet i bekendtgørelse nr. 1256 af 27. no-
vember 2019 om oplysnings- og underretningspligter vedrørende net- og informationssik-
kerhed, forpligtet til at foretage underretning af henholdsvis Center for Cybersikkerhed og
offentligheden ved brud på informationssikkerheden, der har væsentlige følger for driften af
net eller tjenester.
Bestemmelserne i net- og informationssikkerhedslovens § 4, nr. 3 og 4, implementerer
rammedirektivets artikel 13 a, stk. 3.
3.2.2. Forsvarsministeriets overvejelser
Som led i en implementering
af EU’s telekodeks på Forsvarsministeriets område,
finder For-
svarsministeriet, at der er behov for at tilpasse bestemmelserne i net- og informationssik-
kerhedslovens § 3, stk. 1, og § 4, nr. 3 og 4, på baggrund af ændringerne i EU’s telekodeks
artikel 40, stk. 1 og 2.
Side 9 af 45
 FOU, Alm.del - 2019-20 - Bilag 105: Udkast til lovforslag om ændring af lov om net- og informationssikkerhed (Implementering af EU's telekodeks), fra forsvarsministeren
For så vidt angår sikkerhedskrav, implementerer § 3, stk. 1, i net- og informationssikker-
hedsloven rammedirektivets artikel 13 a, stk. 1 og 2, om sikkerhedskrav. Disse bestemmel-
ser er
i EU’s telekodeks
sammenføjet og videreført i artikel 40, stk. 1, med visse justeringer.
Justeringerne har primært sproglig karakter, men af mere indholdsmæssig betydning foreta-
ges der en tilføjelse vedrørende kryptering i artikel 40, stk. 1. Det følger af rammedirektivet
i dag, at der bl.a. skal træffes passende og forholdsmæssige tekniske foranstaltninger, her-
under navnlig foranstaltninger for at forhindre og minimere virkningen af sikkerhedshændel-
ser. I
EU’s telekodeks
præciseres det, at der navnlig skal træffes foranstaltninger, herunder
kryptering, hvis det er relevant, for at forhindre og minimere virkningen af sikkerhedshæn-
delser.
Der er allerede i dag i medfør af § 3, stk. 1, i net- og informationssikkerhedsloven hjemmel
til at fastsætte krav om bl.a. passende tekniske foranstaltninger med henblik på risikosty-
ring. Fremhævelsen af kryptering i EU’s telekodeks som en mulig, relevant foranstaltning må
efter Forsvarsministeriets opfattelse ses som et ønske om at fremme kryptering i relevant
omfang, hvilket således bør være omfattet af hjemlen i § 3, stk. 1, i net- og informationssik-
kerhedsloven fremadrettet.
Som det fremgår af afsnit 3.1.2, indebærer udvidelsen af kredsen af pligtsubjekter, at der
bl.a. skal fastsættes sikkerhedskrav over for udbydere af NUIK-tjenester. Det fremgår af
direktivets betragtning 95, at eftersom udbyderne af NUIK-tjenester normalt ikke udøver
egentlig kontrol over transmissionen af signaler via net, kan risikoen i forbindelse med disse
tjenester i visse henseender anses for at være lavere end i forbindelse med traditionelle
elektroniske kommunikationstjenester. Det er på den baggrund forudsat, at omfanget og
styrken af sikkerhedskrav, der fastsættes over for udbydere af NUIK-tjenester, skal afspejle
de faktiske sikkerhedsrisici forbundet med disse tjenester, og at der dermed kan være for-
skel på reguleringen af nummerafhængige og nummeruafhængige kommunikationstjenester.
Samtidig må der efter Forsvarsministeriets opfattelse ved fastsættelsen af sikkerhedskrav
også lægges vægt på NUIK-tjenesternes stigende samfundsmæssige betydning. Hensigten
med at udvide reguleringen til at omfatte denne type tjenester er således at styrke forbru-
gerbeskyttelsen ved at øge informationssikkerheden på tværs af tjenester, således at valget
af tjeneste ikke er afgørende for, hvor sikker kommunikationen er.
Forsvarsministeriet finder på den baggrund, at hjemlen i § 3, stk. 1, i net- og informations-
sikkerhedsloven bør udvides til at omfatte udbydere af NUIK-tjenester, men at de krav, der
fastsættes i medfør af bemyndigelsen overfor henholdsvis de traditionelle teleudbydere og
udbyderne af NUIK-tjenester bør afspejle forskellene i tjenesternes karakter. På den tekni-
ske side vil det forhold, at udbyderne af NUIK-tjenester benytter internetudbydernes net,
men uden at have kontrol over nettene, i praksis betyde, at sikkerhedskrav, der vedrører
driften af disse net, ikke vil være relevante at rette mod udbydere af NUIK-tjenester. Udby-
derne af NUIK-tjenester kan derimod have egen teknisk infrastruktur, herunder forbindelser
til internetudbydernes net, som kan blive omfattet af sikkerhedskrav. I lighed med de tradi-
tionelle teleudbydere vil det i vidt omfang være relevant, at der overfor udbydere af NUIK-
tjenester stilles sikkerhedskrav af mere administrativ karakter, herunder eksempelvis pro-
cessuelle og organisatoriske krav relateret til risikostyring.
For så vidt angår underretningspligt er rammedirektivets artikel 13 a, stk. 3,
i EU’s teleko-
deks videreført i artikel 40, stk. 2, med visse justeringer.
Side 10 af 45
 FOU, Alm.del - 2019-20 - Bilag 105: Udkast til lovforslag om ændring af lov om net- og informationssikkerhed (Implementering af EU's telekodeks), fra forsvarsministeren
Der er navnlig tale om, at artikel 40, stk. 2, i
EU’s telekodeks anvender begrebet ”sikker-
hedshændelser” som kriterium
for underretningspligten, i modsætning til det hidtidige be-
greb ”brud på sikkerheden eller tab af integritet” i rammedirektivets artikel 13 a, stk. 3. Der
angives endvidere en række yderligere kriterier, som kan tages i betragtning ved vurderin-
gen af omfanget af en sikkerhedshændelses indvirkning. Samtidig tilføjes et krav om, at
underretning skal ske uden unødigt ophold.
Endelig betyder udvidelsen af kredsen af pligtsubjekter i EU's telekodeks, at udbydere af
NUIK-tjenester også skal være omfattet af underretningspligterne i § 4, nr. 3 og 4, i net- og
informationssikkerhedsloven.
3.2.3. Den foreslåede ordning
Det foreslås, at bestemmelserne i net- og informationssikkerhedslovens § 3, stk. 1, og § 4,
nr. 3 og 4, videreføres med en række tilpasninger på baggrund af ændringerne i artikel 40,
stk. 1 og 2, i
EU’s telekodeks.
Det foreslås, at bestemmelsen i lovens § 3, stk. 1, om krav til sikkerhed i net og tjenester
fremadrettet også skal gælde for udbydere af NUIK-tjenester. Dermed bemyndiges Center
for Cybersikkerhed til at fastsætte nærmere regler, som overfor udbydere af NUIK-tjenester
stiller krav om passende tekniske, processuelle og organisatoriske foranstaltninger med
henblik på risikostyring i forhold til sikkerheden i net og tjenester og opretholdelse af et pas-
sende sikkerhedsniveau. Det kan bl.a. omfatte krav om, at sådanne foranstaltninger gen-
nemføres på baggrund af dokumenterede og ledelsesforankrede processer.
Dette svarer i vidt omfang til ordningen for de traditionelle teleudbydere, om end der over
for udbydere af NUIK-tjenester vil være hjemmel til, at der kan stilles andre og eventuelt
færre krav end til de traditionelle teleudbydere, henset til, at tjenesterne ikke på alle punk-
ter er sammenlignelige.
For så vidt angår underretningspligter, foreslås det, at lovens § 4, nr. 3 og 4, fremadrettet
også skal gælde for udbydere af NUIK-tjenester. Derudover foreslås det, at der foretages
visse tekniske justeringer af bestemmelserne for så vidt angår kriterierne for underretnings-
pligterne. Det foreslås således, at Center for Cybersikkerhed bemyndiges til at fastsætte
nærmere regler om, at udbydere af offentligt tilgængelige elektroniske kommunikationsnet
og -tjenester og udbydere af NUIK-tjenester skal underrette Center for Cybersikkerhed uden
unødigt ophold om sikkerhedshændelser, der har haft væsentlig indvirkning på driften af net
eller tjenester. Det foreslås endvidere, at Center for Cybersikkerhed bemyndiges til at fast-
sætte nærmere regler om, at de pågældende udbydere skal underrette offentligheden om
sikkerhedshændelser, der har haft væsentlig indvirkning på driften af net eller tjenester.
Som i dag indebærer dette, at udbyderne efter påbud skal underrette offentligheden, eller at
Center for Cybersikkerhed kan foretage underretning af offentligheden, hvis det godtgøres,
at dette er i offentlighedens interesse.
I overensstemmelse med artikel 2, nr. 42, i EU's telekodeks forstås en sikkerhedshændelse
som en begivenhed, der har en faktisk negativ indvirkning på sikkerheden i elektroniske
kommunikationsnet og -tjenester. Det foreslås i den forbindelse, at der indsættes en defini-
tion af en sikkerhedshændelse i lovens § 2.
Side 11 af 45
 FOU, Alm.del - 2019-20 - Bilag 105: Udkast til lovforslag om ændring af lov om net- og informationssikkerhed (Implementering af EU's telekodeks), fra forsvarsministeren
3.3. Påbud om konkrete foranstaltninger
3.3.1. Gældende ret
Det følger af net- og informationssikkerhedslovens § 3, stk. 2, at Center for Cybersikkerhed
kan påbyde udbydere af offentligt tilgængelige net og tjenester at inddrage nærmere angiv-
ne områder af deres virksomhed og nærmere angivne trusler mod informationssikkerheden i
deres risikostyringsprocesser efter stk. 1.
Det følger desuden af net- og informationssikkerhedslovens § 3, stk. 3, at såfremt det er af
væsentlig samfundsmæssig betydning, kan Center for Cybersikkerhed påbyde udbydere af
offentligt tilgængelige net og tjenester at træffe konkrete foranstaltninger med henblik på at
sikre informationssikkerheden i offentligt tilgængelige net og tjenester. Bestemmelsen er
nærmere udmøntet i bekendtgørelse nr. 567 af 1. juni 2016 om informationssikkerhed og
beredskab i net og tjenester.
3.3.2. Forsvarsministeriets overvejelser
Som led i implementeringen
af EU’s telekodeks
finder Forsvarsministeriet, at der er behov
for at indsætte en ny bestemmelse i § 3 med henblik på implementering af artikel 41, stk. 1,
i EU’s telekodeks.
Artikel 41, stk. 1, i
EU’s telekodeks
fastsætter således som noget nyt, at medlemsstaterne
skal sikre, at de kompetente myndigheder har beføjelse til at pålægge udbydere af offentlige
elektroniske kommunikationsnet eller offentligt tilgængelige elektroniske kommunikations-
tjenester bindende instrukser, bl.a. om, hvilke foranstaltninger der er nødvendige for at af-
hjælpe en sikkerhedshændelse eller hindre en sådan i at forekomme, når en betydelig trus-
sel er blevet identificeret.
Forpligtelsen i artikel 41, stk. 1,
i EU’s telekodeks
vurderes på væsentlige punkter at adskille
sig fra bestemmelserne i lovens § 3, stk. 2 og 3. Det skyldes
for så vidt angår den gæl-
dende § 3, stk. 2
navnlig, at bestemmelsen ikke giver mulighed for at påbyde udbyderne
at træffe konkrete foranstaltninger, men blot påbyde, at udbyderne skal inddrage bestemte
områder af deres virksomhed og bestemte trusler i deres risikostyringsprocesser. For så vidt
angår den gældende § 3, stk. 3, skyldes det navnlig, at det efter bestemmelsen er en betin-
gelse for udstedelse af påbud om konkrete foranstaltninger, at dette er af væsentlig sam-
fundsmæssig betydning, hvilket ikke er en betingelse i artikel 41, stk. 1,
i EU’s telekodeks.
Derimod er der i artikel 41, stk. 1, krav om, at der i forhold til muligheden for at give bin-
dende instrukser om forebyggende foranstaltninger skal være identificeret en betydelig trus-
sel. Den gældende bestemmelse i § 3, stk. 3, har således et anderledes anvendelsesområde
end artikel 41, stk. 1, i EU’s telekodeks.
3.3.3. Den foreslåede ordning
Det foreslås, at der i § 3 indsættes en ny bestemmelse som stk. 3, hvorefter Center for Cy-
bersikkerhed kan påbyde udbydere af offentligt tilgængelige kommunikationsnet og -
tjenester og udbydere af NUIK-tjenester at træffe konkrete foranstaltninger, der er nødven-
dige for at afhjælpe en sikkerhedshændelse eller hindre en sådan i at forekomme, når en
betydelig trussel er identificeret. Centeret foreslås bemyndiget til at fastsætte nærmere reg-
ler herom.
Side 12 af 45
 FOU, Alm.del - 2019-20 - Bilag 105: Udkast til lovforslag om ændring af lov om net- og informationssikkerhed (Implementering af EU's telekodeks), fra forsvarsministeren
Den foreslåede bestemmelse vil have til formål at implementere
artikel 41, stk. 1, i EU’s te-
lekodeks.
Den foreslåede nye bestemmelse skal sikre, at der tages de nødvendige skridt til at håndtere
en sikkerhedshændelse eller en betydelig trussel om en sikkerhedshændelse. Bestemmelsen
vil således for det første kunne tages i anvendelse, hvis en sikkerhedshændelse er indtrådt,
og hvis den pågældende udbyder samtidigt ikke af egen drift træffer de nødvendige foran-
staltninger til at afhjælpe denne.
Bestemmelsen vil for det andet kunne tages i anvendelse, hvis der ikke på baggrund af bl.a.
sikkerhedskravene fastsat i medfør af lovens § 3, stk. 1, herunder kravene til risikostyring,
opnås en tilstrækkelig sikkerhed for, at det undgås, at en identificeret trussel, der vurderes
som betydelig, fører til en sikkerhedshændelse.
3.4. Informering af brugere om beskyttelsesforanstaltninger m.v.
3.4.1. Gældende ret
Det følger af net- og informationssikkerhedslovens § 4, nr. 3 og 4, at udbydere af offentligt
tilgængelige net og tjenester skal underrette Center for Cybersikkerhed, og i visse tilfælde
offentligheden, ved brud på informationssikkerheden, der har væsentlige følger for driften af
net eller tjenester. Loven pålægger ikke udbydere at informere deres brugere om trusler om
en sikkerhedshændelse eller mulige foranstaltninger, som brugerne kan træffe for at beskyt-
te sig mod en trussel om en sikkerhedshændelse.
På Erhvervsministeriets område er det i medfør af telelovens § 8, stk. 4, i bekendtgørelse nr.
462 af 23. maj 2016 om persondatasikkerhed i forbindelse med udbud af offentlige elektro-
niske kommunikationstjenester fastsat, at udbydere af offentlige elektroniske kommunikati-
onstjenester skal informere deres slutbrugere, hvis der er særlig risiko for brud på personda-
tasikkerheden, jf. bekendtgørelsens § 4. Hvis risikoen ligger uden for de foranstaltninger,
der skal træffes af udbyderen efter bekendtgørelsen, skal udbyderen tillige informere slut-
brugerne om, hvordan hændelsen i givet fald kan forebygges. Udbyderen skal herunder an-
give de omkostninger, der sandsynligvis vil være forbundet hermed.
Bekendtgørelsens § 4 implementerer artikel 4, stk. 2, i e-databeskyttelsesdirektivet. E-
databeskyttelsesdirektivet supplerer de generelle EU-regler om beskyttelse af persondata og
fastsætter særlige regler om databeskyttelse og privatlivsbeskyttelse på området for elek-
tronisk kommunikation.
E-databeskyttelsesdirektivet er i øjeblikket under revision.
3.4.2. Forsvarsministeriets overvejelser
Som led i implementeringen
af EU’s telekodeks
finder Forsvarsministeriet, at der er behov
for at indføre en ny bestemmelse, som skal gennemføre artikel 40, stk. 3, i EU’s telekodeks.
Det følger af
EU’s telekodeks artikel 40, stk. 3,
at udbydere af offentlige elektroniske kom-
munikationsnet eller offentligt tilgængelige elektroniske kommunikationstjenester, herunder
NUIK-tjenester, jf. direktivets artikel 2, nr. 4-7, i tilfælde af en særlig og betydelig trussel
Side 13 af 45
 FOU, Alm.del - 2019-20 - Bilag 105: Udkast til lovforslag om ændring af lov om net- og informationssikkerhed (Implementering af EU's telekodeks), fra forsvarsministeren
om en sikkerhedshændelse i sådanne net og tjenester skal informere de af deres brugere,
der potentielt er berørt af en sådan trussel, om eventuelle mulige beskyttelsesforanstaltnin-
ger eller afhjælpende foranstaltninger, som brugerne kan træffe. Hvis det er hensigtsmæs-
sigt, skal udbyderne ligeledes informere deres brugere om selve truslen.
Bestemmelsen er ny i forhold til de hidtidige regler i rammedirektivet, og den er indsat efter
inspiration fra e-databeskyttelsesdirektivet.
Forpligtelsen i EU’s telekodeks har dog et andet
fokus og anvendelsesområde end forpligtelsen i e-databeskyttelsesdirektivet, herunder som
den kommer til udtryk i bekendtgørelsen om persondatasikkerhed i forbindelse med udbud
af offentlige elektroniske kommunikationstjenester.
En central forskel er navnlig, at hvor forpligtelsen i EU’s telekodeks vedrører information
om
beskyttelsesforanstaltninger i tilfælde af trusler om en sikkerhedshændelse, vedrører forplig-
telsen i den eksisterende telelovgivning information om risiko for brud på persondatasikker-
heden. Mens en sikkerhedshændelse er knyttet til tab af tilgængelighed, autenticitet, integri-
tet og fortrolighed i net og tjenester, er brud på persondatasikkerheden knyttet til tilintetgø-
relse, tab, ændring, ubeføjet videregivelse af eller adgang til persondata i forbindelse med
udbuddet af en offentlig elektronisk kommunikationstjeneste.
3.4.3. Den foreslåede ordning
Det foreslås, at der i § 4 indsættes et nyt nr. 5, hvor der indføres en forpligtelse for udbyde-
re af offentligt tilgængelige elektroniske kommunikationsnet og -tjenester og udbydere af
NUIK-tjenester til at informere deres brugere om mulige beskyttelsesforanstaltninger m.v.,
som brugerne kan træffe i tilfælde af en særlig og betydelig trussel om en sikkerhedshæn-
delse.
Det foreslås, at Center for Cybersikkerhed fastsætter nærmere regler herom.
Bestemmelsen vil have til formål at implementere artikel 40, stk. 3, i
EU’s telekodeks.
3.5. Uafbrudt transmission af offentlige advarsler
3.5.1. Gældende ret
Der er ikke i dag et mobilbaseret varslingssystem i Danmark, og der er derfor heller ikke
pligt for teleudbydere til at sikre uafbrudt transmission af offentlige advarsler.
3.5.2. Forsvarsministeriets overvejelser
Som led i implementeringen
af EU’s telekodeks
finder Forsvarsministeriet, at der er behov
for at indføre en ny bestemmelse, som skal gennemføre
den del af artikel 108, 2. pkt., i EU’s
telekodeks, der vedrører uafbrudt transmission af offentlige advarsler.
Det er i medfør af EU’s telekodeks artikel 110 et krav, at udbydere af mobile nummerbase-
rede interpersonelle kommunikationstjenester (mobiloperatører) skal udsende offentlige ad-
varsler, når offentlige varslingssystemer om overhængende eller truende alvorlige nødsitua-
tioner og katastrofer i et nærmere afgrænset område allerede er etableret.
Side 14 af 45
 FOU, Alm.del - 2019-20 - Bilag 105: Udkast til lovforslag om ændring af lov om net- og informationssikkerhed (Implementering af EU's telekodeks), fra forsvarsministeren
Bestemmelsen vil blive implementeret ved en ændring af teleloven, da forpligtelsen har nær
sammenhæng med eksisterende forpligtelser i teleloven i relation til bl.a. alarm- og bered-
skabsforhold. Der henvises til dette lovforslag.
Det følger imidlertid også
af EU’s telekodeks artikel 108, 2. pkt., at medlemsstaterne
bl.a.
skal sikre, at udbydere af talekommunikationstjenester træffer alle nødvendige foranstalt-
ninger til at sikre uafbrudt transmission af offentlige advarsler. Bestemmelsen forstås som
vedrørende uafbrudt transmission af de offentlige advarsler, som er nævnt i direktivets arti-
kel 110.
Forsvarsministeriet vurderer, at bestemmelsen mest hensigtsmæssigt kan implementeres i
lov om net- og informationssikkerhed, da der er tale om sikkerhedsmæssige foranstaltnin-
ger.
3.5.3. Den foreslåede ordning
Det foreslås, at der som ny § 5 a indsættes en bestemmelse om, at Center for Cybersikker-
hed kan fastsætte regler om, at udbydere, som i medfør af teleloven skal udsende offentlige
advarsler om overhængende eller truende alvorlige nødsituationer og naturkatastrofer, skal
træffe alle nødvendige foranstaltninger til at sikre uafbrudt transmission af advarslerne.
Forpligtelsen til at udsende offentlige advarsler i medfør af teleloven forventes at påhvile de
såkaldte mobiloperatører, som omfatter udbydere af elektroniske kommunikationstjenester i
mobilnet og udbydere af mobilnet.
Den foreslåede bestemmelse i § 5 a indebærer, at mobiloperatørerne efter nærmere regler
herom skal sikre, at transmissionen af offentlige advarsler til enhver tid kan opretholdes,
herunder også i beredskabssituationer og andre ekstraordinære situationer. Henset til, at de
offentlige advarsler har til formål at underrette befolkningen om overhængende eller truende
alvorlige nødsituationer og katastrofer, er det særlig vigtigt at sikre pålideligheden af de sy-
stemer, der anvendes til transmission af offentlige advarsler.
Udbydere af offentligt tilgængelige net og tjenester, herunder mobiloperatører, er allerede i
dag i medfør af bestemmelser i net- og informationssikkerhedslovens §§ 3 og 5 underlagt en
række sikkerheds- og beredskabsforpligtelser med henblik på at sikre en robust teleinfra-
struktur, herunder også i beredskabssituationer og andre ekstraordinære situationer.
Der kan således i medfør af lovens § 3, stk. 1, over for udbydere af offentligt tilgængelige
net og tjenester stilles krav om passende tekniske, processuelle og organisatoriske foran-
staltninger med henblik på risikostyring i forhold til informationssikkerhed i offentligt tilgæn-
gelige net og tjenester og opretholdelse af et passende informationssikkerhedsniveau, her-
under krav om, at sådanne foranstaltninger gennemføres på baggrund af dokumenterede og
ledelsesforankrede processer.
Det følger endvidere af lovens § 5, stk. 1, at udbydere efter nærmere regler herom skal fo-
retage nødvendig planlægning og træffe nødvendige foranstaltninger for i videst muligt om-
fang at sikre elektronisk kommunikation i beredskabssituationer og i andre ekstraordinære
situationer.
Side 15 af 45
 FOU, Alm.del - 2019-20 - Bilag 105: Udkast til lovforslag om ændring af lov om net- og informationssikkerhed (Implementering af EU's telekodeks), fra forsvarsministeren
Der kan med hjemmel i bestemmelsen i § 5, stk. 1, bl.a. stilles krav om, at udbyderne i de-
res beredskabsplanlægning skal tage stilling til fremskaffelse af det nødvendige reserveud-
styr, adgang til den nødvendige eksterne hjælp, indgåelse af relevante serviceaftaler, samt
behovet for medarbejdertilkaldeplaner i beredskabssituationer og i andre ekstraordinære
situationer. Der kan endvidere stilles krav til sikring af redundans i nettene og om nød-
strømsforsyning.
Den foreslåede nye bestemmelse har til formål at sikre, at mobiloperatørerne
ud over hvad
der allerede følger af bestemmelserne i net- og informationssikkerhedsloven
planlægger
og træffer foranstaltninger for opretholdelsen af uafbrudt transmission af offentlige advars-
ler, herunder som led i en risikovurdering og beredskabsplanlægning sikrer udstyr og syste-
mer, som anvendes i forbindelse med transmission af offentlige advarsler.
4. Økonomiske konsekvenser og implementeringskonsekvenser for det offentlige
Lovforslaget indebærer, at Center for Cybersikkerhed i et vist omfang skal varetage yderli-
gere opgaver. Det drejer sig navnlig om, at der med lovforslaget fastsættes sikkerhedskrav
og underretningspligter m.v. for udbydere af NUIK-tjenester, og at Center for Cybersikker-
hed, som er myndighed for informationssikkerhed og beredskab i telesektoren, vil skulle føre
tilsyn med udbydernes overholdelse af reglerne. Det forventes, at der vil være visse admini-
strative meromkostninger forbundet hermed, men at disse kan håndteres inden for eksiste-
rende bevillingsmæssige rammer.
Lovforslaget vurderes at være i overensstemmelse med principperne for digitaliseringsklar
lovgivning. Det bemærkes navnlig i relation til den foreslåede ændring af lovens § 4, nr. 3,
om udbydernes underretning af Center for Cybersikkerhed om sikkerhedshændelser, at den
eksisterende, digitale selvbetjeningsløsning på virk.dk også fremadrettet forventes anvendt
til underretninger efter den justerede bestemmelse. Dermed anvendes eksisterende offentlig
it-infrastruktur til digital kommunikation mellem virksomhederne og Center for Cybersikker-
hed.
5. Økonomiske og administrative konsekvenser for erhvervslivet m.v.
Der foretages med lovforslaget en direktivnær implementering af EU’s telekodeks. Imple-
menteringen omfatter således alene de minimumsforpligtelser, der følger af direktivet.
Det vurderes samlet, at lovforslaget har øvrige efterlevelseskonsekvenser for erhvervslivet
på væsentligt mindre end 10. mio. kr. Det vurderes endvidere samlet, at lovforslaget har
administrative konsekvenser for erhvervslivet på mindre end 4 mio. kr.
5.1. Økonomiske og administrative konsekvenser for udbydere af offentligt tilgængelige
elektroniske kommunikationsnet og -tjenester
Med lovforslaget foretages en række tekniske justeringer af den eksisterende regulering af
informationssikkerheden i telesektoren på baggrund af EU’s telekodeks. For så vidt angår de
traditionelle teleudbydere, der er omfattet af reguleringen i dag, foretages der med lov-
forslaget kun ganske få ændringer af eksisterende krav og ganske få tilføjelser af nye krav,
som kan indebære merudgifter for disse udbydere. Udgifterne forventes at have et meget
begrænset omfang.
Side 16 af 45
 FOU, Alm.del - 2019-20 - Bilag 105: Udkast til lovforslag om ændring af lov om net- og informationssikkerhed (Implementering af EU's telekodeks), fra forsvarsministeren
Den foreslåede definition af sikkerhed i net og tjenester, der bl.a. omfatter sikring af auten-
ticitet, vil kunne medføre behov for justering af eksisterende sikkerhedstiltag og derfor i be-
grænset omfang indebære økonomiske og administrative konsekvenser for de traditionelle
teleudbydere. Der kan endvidere fastsættes justerede eller yderligere minimumskrav i med-
før af lovens § 3, stk. 1, med henblik på gennemførelse af artikel 40, stk. 1, i EU’s teleko-
deks, hvilket i et begrænset omfang kan have økonomiske og administrative konsekvenser.
Herudover kan det medføre begrænsede økonomiske og administrative merudgifter, såfremt
der i medfør af den foreslåede nye bestemmelse i § 3, stk. 3, gives påbud vedrørende nød-
vendige foranstaltninger for at afhjælpe en sikkerhedshændelse eller hindre en sådan i at
forekomme, når en betydelig trussel er identificeret.
Efter den foreslåede § 5 a, skal udbyderne efter nærmere regler herom træffe alle nødven-
dige foranstaltninger for at sikre uafbrudt transmission af offentlige advarsler. Det er beslut-
tet, at staten afholder udgifterne forbundet med etablering og drift af et mobilbaseret offent-
ligt varslingssystem. Staten vil således også afholde dokumenterede udgifter forbundet med
krav i medfør af den foreslåede bestemmelse, som ikke allerede følger af de gældende §§ 3
og 5 i lov om net- og informationssikkerhed.
Det kan i et vist omfang have administrative konsekvenser for de traditionelle teleudbydere,
at udbyderne som noget nyt efter regler, der udstedes i medfør af den foreslåede § 4, nr. 5,
skal informere deres brugere om eventuelle beskyttelsesforanstaltninger i tilfælde af en sær-
lig og betydelig trussel om en sikkerhedshændelse. Den foreslåede justering af underret-
ningspligterne i lovens § 4, nr. 3 og 4, kan endvidere i begrænset omfang have administrati-
ve konsekvenser i det omfang der skal foretages flere underretninger end hidtil, og henset
til, at underretning skal ske uden unødigt ophold.
5.2. Økonomiske og administrative konsekvenser for udbydere af NUIK-tjenester
Lovforslaget indebærer, at der indføres sikkerhedskrav og underretningspligter m.v. for ud-
bydere af NUIK-tjenester, der ikke tidligere har været omfattet af net- og informationssik-
kerhedsreguleringen.
Klima-, Energi- og Forsyningsministeriet anslår, at der vil være i størrelsesordenen 10-20
danske internetbaserede kommunikationstjenester, der vil kunne blive omfattet af definitio-
nen.
Der kan således være økonomiske og administrative konsekvenser, herunder omstillingskon-
sekvenser, forbundet med disse udbyderes efterlevelse af de nye krav. De præcise omkost-
ninger vil afhænge af udbydernes eksisterende sikkerhedsniveau og udviklingen i trusselsbil-
ledet i samfundet, men det forventes, at omkostningerne vil være beskedne. Dette skal bl.a.
ses i lyset af erfaringerne med de samme krav, der allerede i dag gælder for de traditionelle
teleudbydere.
5.3. Agil erhvervsrettet regulering
Forsvarsministeriet vurderer, at visse af principperne for agil erhvervsrettet regulering er
relevante for lovforslaget, og at lovforslaget er i overensstemmelse med principperne.
Der vurderes at være tale om enkel og formålsbestemt regulering. Der anvendes i lovforsla-
get i vidt omfang bemyndigelser for at sikre, at kravene løbende kan tilpasses. Der er dog
Side 17 af 45
 FOU, Alm.del - 2019-20 - Bilag 105: Udkast til lovforslag om ændring af lov om net- og informationssikkerhed (Implementering af EU's telekodeks), fra forsvarsministeren
ikke tale om meget specifikke detailkrav. Udbyderne vil således i ganske vidt omfang have
metodefrihed med hensyn til, hvordan kravene nærmere gennemføres. Der kan bl.a. stilles
krav om, at udbyderne overholder relevante og anerkendte internationale standarder, men
uden at udbyderne pålægges at anvende en bestemt standard.
Der vurderes endvidere at være tale om teknologineutral regulering. Der stilles således ikke
med lovforslaget direkte eller indirekte krav om anvendelse af bestemte teknologier.
I relation til den foreslåede ændring af lovens § 4, nr. 3, bemærkes det i øvrigt, at den eksi-
sterende, digitale selvbetjeningsløsning på virk.dk også fremadrettet forventes anvendt til
udbydernes underretning af Center for Cybersikkerhed om sikkerhedshændelser. Dermed vil
virksomhederne fortsat have én fælles portal til foretagelse af underretninger til forskellige
myndigheder, herunder Center for Cybersikkerhed, hvilket vurderes at understøtte bruger-
venligheden.
6. Administrative konsekvenser for borgerne
Lovforslaget vurderes ikke at have administrative konsekvenser for borgerne.
7. Miljømæssige konsekvenser
Lovforslaget vurderes ikke at have miljømæssige konsekvenser.
8. Forholdet til EU-retten
Lovforslaget
og bekendtgørelser, der vil blive udstedt i medfør af de foreslåede bemyndi-
gelser
gennemfører dele af Europa-Parlamentets og Rådets direktiv 2018/1972/EU om
oprettelse af en europæisk kodeks for elektronisk kommunikation.
Det bemærkes, at net- og informationssikkerhedsloven i dag gennemfører dele af Europa-
Parlamentets og Rådets direktiv 2002/21/EF af 7. marts 2002 om fælles rammebestemmel-
ser for elektroniske kommunikationsnet og -tjenester (rammedirektivet), som senest ændret
ved Europa-Parlamentets og Rådets direktiv 2009/140/EF af 25. november 2009, samt Eu-
ropa-Parlamentets og Rådets direktiv 2002/22/EF af 7. marts 2002 om forsyningspligt og
brugerrettigheder i forbindelse med elektroniske kommunikationsnet og -tjenester (forsy-
ningspligtdirektivet), som ændret ved Europa-Parlamentets og Rådets direktiv 2009/136/EF
af 25. november 2009.
EU’s telekodeks sammenskriver,
reviderer og ophæver de underliggende direktiver, herun-
der bl.a. rammedirektivet og forsyningspligtdirektivet. Det fastslås i EU’s telekodeks, at for-
pligtelsen til at gennemføre direktivet i national ret kun bør omfatte de bestemmelser, hvori
der er foretaget indholdsmæssige ændringer i forhold til de ophævede direktiver, jf. betragt-
ning nr. 325. Det følger endvidere af artikel 124, stk. 1, at henvisninger i gældende love og
administrative bestemmelser til de direktiver, der ophæves ved EU’s telekodeks, gælder
som
henvisninger til EU’s telekodeks.
På den baggrund foreslår Forsvarsministeriet kun ændringer i net- og informationssikker-
hedsloven
og de bekendtgørelser, der i dag udmønter loven
i
det omfang EU’s teleko-
deks indeholder indholdsmæssigt nye eller ændrede bestemmelser i forhold til rammedirek-
tivet og forsyningspligtdirektivet, sådan som disse er implementeret i net- og informations-
Side 18 af 45
 FOU, Alm.del - 2019-20 - Bilag 105: Udkast til lovforslag om ændring af lov om net- og informationssikkerhed (Implementering af EU's telekodeks), fra forsvarsministeren
2228728_0019.png
sikkerhedslovgivningen i dag. De bestemmelser, som implementerer rammedirektivet og
forsyningspligtdirektivet, og som ikke ændres med lovforslaget, vil fremadrettet implemen-
tere EU’s telekodeks.
Det drejer sig om den gældende § 5, stk. 1, og § 12, stk. 3.
Der henvises i øvrigt
til sammenligningstabellen i bilag XII til EU’s telekodeks.
Forsvarsministeriet lægger vægt
på, at implementering af EU’s telekodeks sker i overens-
stemmelse med regeringens principper for implementering af erhvervsrettet EU-regulering,
hvorefter den nationale regulering som udgangspunkt ikke bør gå videre end minimumskra-
vene i EU-reguleringen.
9. Hørte myndigheder og organisationer m.v.
Et udkast til lovforslag har i perioden fra den […] til den […] været sendt i høring hos følgen-
de myndigheder og organisationer m.v.:
Advokatrådet, Amnesty International, Bauer Media, Borch Teknik, Cibicom, Danmarks Radio,
Dansk Beredskabskommunikation, Dansk Energi, Dansk Erhverv, Dansk Industri (DI),
DANSK IT, Dansk Kabel TV, Danske Advokater, Danske Regioner, Datatilsynet, Den Danske
Dommerforening, DI Digital, Domstolsstyrelsen, Fibia, Forenede Danske Antenneanlæg,
GLOBALCONNECT, Hi3G Denmark, HORESTA, Institut for Menneskerettigheder, IT-Branchen,
IT-Politisk Forening, Justitia, KL, Norlys, Præsidenten for Vestre Landsret, Præsidenten for
Østre Landsret, Retspolitisk Forening, Rigsrevisionen, Rådet for Digital Sikkerhed, samtlige
byretspræsidenter, TDC, TeleDCIS, Teleindustrien (TI), Telenor, Telia Company Danmark,
TT-Netværket, TV 2 DTT og Waoo.
10. Sammenfattende skema
Positive konsekven-
ser/mindreudgifter
(hvis ja, angiv omfang/Hvis
nej, anfør »Ingen«)
Økonomiske konsekvenser for Ingen.
stat, kommuner og regioner
Implementeringskonsekvenser Ingen.
for stat, kommuner og regio-
ner
Negative konsekven-
ser/merudgifter
(hvis ja, angiv om-
fang/Hvis nej, anfør »In-
gen«)
Ingen.
Lovforslaget indebærer, at
Center for Cybersikkerhed
i et vist omfang skal vare-
tage yderligere opgaver,
herunder tilsyn med udby-
derne af NUIK-tjenesters
overholdelse af reglerne.
Det forventes, at der vil
være visse administrative
meromkostninger forbun-
det hermed, men at disse
kan håndteres inden for
eksisterende bevillings-
mæssige rammer.
Side 19 af 45
 FOU, Alm.del - 2019-20 - Bilag 105: Udkast til lovforslag om ændring af lov om net- og informationssikkerhed (Implementering af EU's telekodeks), fra forsvarsministeren
2228728_0020.png
Økonomiske konsekvenser for Ingen.
erhvervslivet
Det vurderes samlet, at
lovforslaget har økonomi-
ske konsekvenser for er-
hvervslivet på væsentligt
mindre end 10. mio. kr.
Det vurderes samlet, at
lovforslaget har admini-
strative konsekvenser for
erhvervslivet på mindre
end 4 mio. kr.
Ingen.
Ingen.
Administrative konsekvenser
for erhvervslivet
Ingen.
Administrative konsekvenser
for borgerne
Miljømæssige konsekvenser
Forholdet til EU-retten
Ingen.
Ingen.
Lovforslaget
og bekendtgørelser, der vil blive udstedt i
medfør af loven
gennemfører dele af Europa-
Parlamentets og Rådets direktiv 2018/1972/EU om op-
rettelse af en europæisk kodeks for elektronisk kommu-
nikation.
Ja
Nej
X
Er i strid med de principper
for implementering
af erhvervsrettet EU-
regulering/
Går videre end minimumskrav
i EU-regulering
(sæt X)
Bemærkninger til lovforslagets enkelte bestemmelser
Til § 1
Til nr. 1
Det foreslås, at lovens titel ændres fra ”Lov om net- og informationssikkerhed” til ”Lov om
sikkerhed i net og tjenester”. Forslaget er en konsekvens af forslaget om at anvende begre-
bet ”sikkerhed i net og tjenester”, som introduceres med EU’s telekodeks, og som er define-
ret i den foreslåede § 2, nr. 7. Der henvises herom til bemærkningerne til lovforslagets § 1,
nr. 4.
Til nr. 2
Det fremgår af den gældende fodnote til lov om net- og informationssikkerhed, at loven in-
deholder bestemmelser, der gennemfører dele af Europa-Parlamentets og Rådets direktiv
2002/21/EF af 7. marts 2002 om fælles rammebestemmelser for elektroniske kommunikati-
onsnet og -tjenester (rammedirektivet), EU-Tidende 2002, nr. L 108, side 33, som senest
ændret ved Europa-Parlamentets og Rådets direktiv 2009/140/EF af 25. november 2009,
samt Europa-Parlamentets og Rådets direktiv 2002/22/EF af 7. marts 2002 om forsynings-
pligt og brugerrettigheder i forbindelse med elektroniske kommunikationsnet og -tjenester
Side 20 af 45
 FOU, Alm.del - 2019-20 - Bilag 105: Udkast til lovforslag om ændring af lov om net- og informationssikkerhed (Implementering af EU's telekodeks), fra forsvarsministeren
(forsyningspligtdirektivet), EU-Tidende 2002, nr. L 108, side 51, som ændret ved Europa-
Parlamentets og Rådets direktiv 2009/136/EF af 25. november 2009.
EU’s telekodeks ophæver og erstatter bl.a. rammedirektivet og forsyningspligtdirektivet,
som på Forsvarsministeriets område er implementeret i den gældende net- og informations-
sikkerhedslov. Som konsekvens af ophævelsen af de to direktiver, foreslås fodnoten til loven
ændret, således at fodnoten blot henviser til EU’s telekodeks.
Med forslaget vil det fremgå af fodnoten til loven, at loven indeholder bestemmelser, der
gennemfører dele af Europa-Parlamentets og Rådets direktiv 2018/1972/EU af 11. december
2018 om oprettelse af en europæisk kodeks for elektronisk kommunikation (omarbejdning),
EU-Tidende 2018, nr. L 321, side 36.
Til nr. 3
Det fremgår af den gældende § 1, at lovens formål er at fremme net- og informationssikker-
heden i samfundet.
Det følger af den foreslåede ændring af § 1, at ”net-
og informationssikkerheden i samfun-
det” ændres til ”sikkerheden i net og tjenester”. Forslaget er en konsekvens af forslaget om
at anvende begrebet ”sikkerhed i net og tjenester”, som introduceres med EU’s telekodeks,
og som er defineret i den foreslåede § 2, nr. 7. Der tilsigtes ikke indholdsmæssige ændringer
af lovens formål ud over, hvad der følger af anvendelsen af det nye sikkerhedsbegreb.
Loven anvender således i dag begrebet informationssikkerhed, hvilket forstås som sikring af
tilgængelighed, fortrolighed og integritet i net og tjenester. Med definitionen af sikkerhed i
net og tjenester udvides sikkerhedsområdet til
ud over tilgængelighed, fortrolighed og in-
tegritet
også at omfatte autenticitet. Der henvises herom til bemærkningerne til lovforsla-
gets § 1, nr. 4.
Til nr. 4
Den gældende § 2 definerer i dag fem centrale begreber i loven. Definitionerne bygger på de
tilsvarende definitioner i lov om elektroniske kommunikationsnet og -tjenester (teleloven),
jf. lovbekendtgørelse nr. 128 af 7. februar 2014 med senere ændringer.
Det følger af den foreslåede nyaffattelse af lovens § 2, at der foretages en række sproglige
ændringer af de fem nuværende definitioner i den gældende § 2, nr. 1-5. Der foreslås end-
videre tre nye definitioner som § 2, nr. 6-8. De foreslåede ændringer af bestemmelsen skal
ses i lyset af en række definitoriske ændringer i EU’s telekodeks.
Efter den foreslåede § 2,
nr. 1,
defineres
”elektronisk
kommunikationsnet” som radiofre-
kvens- eller kabelbaseret teleinfrastruktur, der anvendes til formidling af tjenester. Definiti-
onen af et elektronisk kommunikationsnet svarer til den gældende definition i loven, og der
foretages således kun en sproglig justering for at tydeliggøre sondringen mellem de traditio-
nelle teletjenester, som er omfattet af den gældende lov, og de NUIK-tjenester, som bliver
omfattet af loven i medfør af den foreslåede § 2, nr. 6, om udbydere af NUIK-tjenester.
Side 21 af 45
 FOU, Alm.del - 2019-20 - Bilag 105: Udkast til lovforslag om ændring af lov om net- og informationssikkerhed (Implementering af EU's telekodeks), fra forsvarsministeren
Definitionen er fortsat indholdsmæssigt identisk med definitionen af elektroniske kommuni-
kationsnet i telelovens § 2, nr. 4, og bestemmelsen skal fortolkes i overensstemmelse med
denne bestemmelses forarbejder og relevante praksis.
Efter den foreslåede § 2,
nr. 2,
defineres
”elektronisk
kommunikationstjeneste” som en tje-
neste, der helt eller delvis består i elektronisk overførsel af kommunikation i form af lyd,
billeder, tekst eller kombinationer heraf ved hjælp af radio- eller telekommunikationsteknik
mellem nettermineringspunkter.
Definitionen af en elektronisk kommunikationstjeneste svarer til den gældende definition i
loven, og der foretages således kun en sproglig justering for at tydeliggøre sondringen mel-
lem de traditionelle teletjenester, som er omfattet af den gældende lov, og de NUIK-
tjenester, som bliver omfattet af loven i medfør af den foreslåede § 2, nr. 6, om udbydere af
NUIK-tjenester.
Definitionen af en elektronisk kommunikationstjeneste er fortsat indholdsmæssigt identisk
med definitionen af en elektronisk kommunikationstjeneste i telelovens § 2, nr. 7, og be-
stemmelsen skal fortolkes i overensstemmelse med denne bestemmelses forarbejder og
relevante praksis.
Begrebet nettermineringspunkt skal forstås i overensstemmelse med definitionen heraf i
telelovens § 2, nr. 6, hvorefter et nettermineringspunkt defineres som den fysiske eller logi-
ske grænseflade i et elektronisk kommunikationsnet, der udgør en slutbrugers tilslutning til
dette.
Efter den foreslåede § 2,
nr. 3,
defineres
”offentligt
tilgængelige elektroniske kommunikati-
onsnet og -tjenester” som elektroniske kommunikationsnet og -tjenester, der stilles til rå-
dighed for en ikke på forhånd afgrænset kreds af slutbrugere eller udbydere. Definitionen
svarer til den gældende definition i loven, idet der blot foretages visse sproglige justeringer
som konsekvens af ændrede formuleringer i de foreslåede § 2, nr. 1 og 2.
Definitionen svarer som hidtil til definitionen af såvel offentlige elektroniske kommunikati-
onsnet i telelovens § 2, nr. 5, som offentlig elektronisk kommunikationstjeneste i telelovens
§ 2, nr. 8, og den foreslåede § 2, nr. 3, skal fortolkes i overensstemmelse med disse be-
stemmelsers forarbejder og relevante praksis. Begrebet slutbruger skal forstås i overens-
stemmelse med definitionen heraf i telelovens § 2, nr. 3.
En
”udbyder”
defineres i den foreslåede § 2,
nr. 4,
som den, der med et kommercielt formål
stiller produkter, elektroniske kommunikationsnet eller -tjenester til rådighed for andre. De-
finitionen er fortsat indholdsmæssigt identisk med den tilsvarende definition i telelovens § 2,
nr. 1, og skal fortolkes i overensstemmelse med denne bestemmelses forarbejder og rele-
vante praksis. Der foreslås dog indsat en tydeliggørelse af, at begrebet ikke omfatter udby-
dere af NUIK-tjenester, jf. den foreslåede § 2, nr. 6.
Om indførelsen af en særskilt definition af udbydere af NUIK-tjenester henvises der i øvrigt
til afsnit 3.1 i de almindelige bemærkninger.
En
”erhvervsmæssig
udbyder” defineres i den foreslåede § 2,
nr. 5,
som en udbyder, der
med et kommercielt formål udbyder produkter, elektroniske kommunikationsnet eller -
Side 22 af 45
 FOU, Alm.del - 2019-20 - Bilag 105: Udkast til lovforslag om ændring af lov om net- og informationssikkerhed (Implementering af EU's telekodeks), fra forsvarsministeren
tjenester som sin hovedydelse eller som en ikke accessorisk del af virksomheden. Begrebet
omfatter ikke udbydere af NUIK-tjenester, jf. den foreslåede nr. 6.
Om indførelsen af en særskilt definition af udbydere af NUIK-tjenester, henvises der i øvrigt
til afsnit 3.1 i de almindelige bemærkninger.
Definitionen svarer til den gældende definition i loven, idet der blot foretages visse sproglige
justeringer som konsekvens af ændrede formuleringer i de foreslåede § 2, nr. 1 og 2. Der
foreslås endvidere indsat en tydeliggørelse af, at begrebet ikke omfatter udbydere af NUIK-
tjenester, jf. den foreslåede § 2, nr. 6.
Definitionen er fortsat indholdsmæssigt identisk med den tilsvarende definition i telelovens §
2, nr. 2, og skal fortolkes i overensstemmelse med denne bestemmelses forarbejder og rele-
vante praksis.
I definitionerne af udbydere og erhvervsmæssige udbydere af elektroniske kommunikations-
net eller -tjenester benyttes
i overensstemmelse med de tilsvarende definitioner i telelo-
ven
begrebet
”produkter”,
som dækker over fysiske genstande, der ikke falder ind under
definitionen af et elektronisk kommunikationsnet eller en elektronisk kommunikationstjene-
ste. Sådanne produkter kan eksempelvis være mobiltelefoner.
Det bemærkes i den forbindelse, at loven alene vedrører krav til sikkerhed i net og tjenester
og beredskab i net og tjenester, hvorimod produkter ikke i øvrigt reguleres i loven.
En
”udbyder
af NUIK-tjenester” defineres i den foreslåede § 2,
nr. 6,
som en udbyder af en
nummeruafhængig interpersonel kommunikationstjeneste i form af en tjeneste, som normalt
ydes mod betaling, og som muliggør direkte interpersonel og interaktiv informationsudveks-
ling via elektroniske kommunikationsnet mellem et afgrænset antal personer, hvor de per-
soner, der indleder eller deltager i kommunikationen, bestemmer, hvem modtageren eller
modtagerne skal være. Omfattet er ikke tjenester, der blot muliggør interpersonel og inter-
aktiv kommunikation som en mindre støttefunktion, der er tæt knyttet til en anden tjeneste.
Tjenesten etablerer ikke forbindelse til offentligt tildelte nummerressourcer, dvs. et eller fle-
re numre i nationale eller internationale nummerplaner, eller muliggør ikke kommunikation
med et eller flere numre i nationale eller internationale nummerplaner.
Den foreslåede definition er ny og implementerer artikel 2, nr. 7, i
EU’s telekodeks. Definiti-
onen af en NUIK-tjeneste svarer indholdsmæssigt til den tilsvarende definition, der foreslås
indsat i telelovens § 2, nr. 20, ved Klima-, Energi- og Forsyningsministeriets samtidige lov-
forslag om ændring af teleloven og andre love. Til forskel fra den foreslåede definition i tele-
loven, der angår en ”nummeruafhængig, interpersonel kommunikationstjeneste”, foreslås
det i nærværende lov blot
at anvende begrebet ”udbyder af NUIK-tjenester”. Bestemmelsen
skal fortolkes i overensstemmelse med forarbejderne til den foreslåede bestemmelse i tele-
loven og den relevante praksis, der måtte udvikle sig i medfør heraf.
Forslaget skal ses i lyset af, at det nu ophævede rammedirektiv og forsyningspligtdirektiv
regulerede udbydere af elektroniske kommunikationstjenester, som nærmere defineret i
teleloven og § 2, nr. 4, jf. § 2, nr. 2, i net- og informationssikkerhedsloven, herunder inter-
netbaserede kommunikationstjenester, der anvender numre til dirigering (traditionelle udby-
dere af elektroniske kommunikationstjenester), hvorimod EU’s teledirektiv også regulerer
Side 23 af 45
 FOU, Alm.del - 2019-20 - Bilag 105: Udkast til lovforslag om ændring af lov om net- og informationssikkerhed (Implementering af EU's telekodeks), fra forsvarsministeren
internetbaserede kommunikationstjenester, der ikke anvender numre til dirigering af opkald,
beskeder, mails eller lignende.
Der henvises i øvrigt til afsnit 3.1 i de almindelige bemærkninger.
I den foreslåede § 2,
nr. 7,
defineres
”sikkerhed
i net og tjenester” som elektroniske kom
munikationsnets og -tjenesters evne til på et givet fortrolighedsniveau at modstå handlinger,
der er til skade for tilgængeligheden, autenticiteten, integriteten eller fortroligheden af disse
net og tjenester, lagrede eller overførte eller behandlede data eller de dermed forbundne
tjenester, der tilbydes af eller er tilgængelige via disse net eller -tjenester.
Definitionen er ny og implementerer artikel 2, nr. 21, i
EU’s telekodeks.
Loven anvender i dag begrebet informationssikkerhed, hvilket forstås som sikring af tilgæn-
gelighed, fortrolighed og integritet i net og tjenester. Med definitionen af sikkerhed i net og
tjenester udvides sikkerhedsområdet til
ud over tilgængelighed, fortrolighed og integritet
også at omfatte autenticitet. Autenticitet forstås i denne sammenhæng som det forhold, at
data og informationssystemer m.v. er, hvad de foregiver at være. Begrebet handler således
om ægthed eller originalitet.
Eftersom der er indholdsmæssig forskel på det hidtidige begreb ”informationssikkerhed” og
begrebet ”sikkerhed i net og tjenester” som defineret i EU’s telekodeks, foreslås det, at
der
generelt anvendes
begrebet ”sikkerhed i net og tjenester”. Dette har bl.a. betydning for de
sikkerhedsforpligtelser, der følger af loven, idet de fremadrettet vil omfatte både tilgænge-
lighed, fortrolighed, integritet og autenticitet.
I den foreslåede § 2,
nr. 8,
defineres en
”sikkerhedshændelse”
som en begivenhed, der har
en faktisk negativ indvirkning på sikkerheden i net og tjenester.
Definitionen er ny og implementerer artikel 2, nr. 42, i
EU’s telekodeks.
Begrebet ”sikkerhedshændelse” erstatter begrebet ”brud på informationssikkerheden”, der
indgår i underretningsforpligtelserne i lovens § 4, nr. 3 og 4.
En sikkerhedshændelse efter den foreslåede § 2, nr. 8, adskiller sig fra den type hændelse,
der er omfattet af lovens § 8, stk. 1. Efter den gældende § 8, stk. 1, der ikke foreslås æn-
dret, kan myndigheder og virksomheder underrette Center for Cybersikkerhed om hændel-
ser, der negativt påvirker eller vurderes at ville kunne påvirke tilgængelighed, integritet eller
fortrolighed af data, informationssystemer, digitale netværk eller digitale servicer. Med
”hændelse” i lovens § 8, stk. 1, forstås således fortsat en sikkerhedshændelse som omfattet
af lov om Center for Cybersikkerhed, og ikke en sikkerhedshændelse efter den foreslåede §
2, nr. 8.
Begrebet sikkerhedshændelse efter den foreslåede § 2, nr. 8, adskiller sig endvidere fra den
type hændelse, der er omfattet af den gældende § 5, stk. 4. Efter den gældende § 5, stk. 4,
der ikke foreslås ændret, kan Center for Cybersikkerhed i beredskabssituationer og i andre
ekstraordinære situationer påbyde erhvervsmæssige udbydere uden unødigt ophold at
iværksætte nærmere angivne sikkerhedsforanstaltninger i tilfælde af en hændelse eller en
trussel, der i betydeligt omfang påvirker eller kan påvirke udbuddet af net eller tjenester
negativt.
Side 24 af 45
 FOU, Alm.del - 2019-20 - Bilag 105: Udkast til lovforslag om ændring af lov om net- og informationssikkerhed (Implementering af EU's telekodeks), fra forsvarsministeren
Bestemmelsen i lovens § 5, stk. 4, omfatter således også hændelser, der
kan
påvirke ud-
buddet af net eller tjenester negativt, hvorimod en sikkerhedshændelse efter den foreslåede
§ 2, nr. 8, forstås som en begivenhed, der har en faktisk negativ indvirkning på sikkerheden
i net og tjenester.
Om underretninger om sikkerhedshændelser henvises der i øvrigt til afsnit 3.2 i de alminde-
lige bemærkninger.
Til nr. 5
Overskriften til lovens gældende
kapitel 2 er ”Informationssikkerhed i net og tjenester”. Det
følger af den foreslåede ændring af overskriften, at denne bliver ”Sikkerhed i net og tjene-
ster”.
Det foreslås således, at ”informationssikkerhed” i overskriften til kapitel 2 ændres til ”sikker-
hed”. Forslaget er en konsekvens af forslaget om at anvende begrebet ”sikkerhed i net og
tjenester”, som introduceres med EU’s telekodeks, og som er defineret i den foreslåede § 2,
nr. 7. Der henvises til bemærkningerne til lovforslagets § 1, nr. 4.
Til nr. 6
Det fremgår af den gældende § 3, stk. 1, at Center for Cybersikkerhed fastsætter regler om
minimumskrav til informationssikkerhed for udbydere af offentligt tilgængelige net og tjene-
ster. Reglerne kan omfatte krav om passende tekniske, processuelle og organisatoriske for-
anstaltninger med henblik på risikostyring i forhold til informationssikkerhed i net og tjene-
ster og opretholdelse af et passende informationssikkerhedsniveau, herunder krav om, at
sådanne foranstaltninger gennemføres på baggrund af dokumenterede og ledelsesforankre-
de processer.
Bestemmelsen implementerer i dag rammedirektivets artikel 13 a, stk. 1 og 2.
Det følger af den foreslåede nyaffattelse af § 3,
stk. 1,
at Center for Cybersikkerhed fastsæt-
ter regler om minimumskrav til sikkerhed i net og tjenester for udbydere af offentligt til-
gængelige elektroniske kommunikationsnet og -tjenester og udbydere af NUIK-tjenester.
Reglerne kan omfatte krav om passende tekniske, processuelle og organisatoriske foran-
staltninger med henblik på risikostyring i forhold til sikkerhed i net og tjenester og oprethol-
delse af et passende sikkerhedsniveau, herunder krav om, at sådanne foranstaltninger gen-
nemføres på baggrund af dokumenterede og ledelsesforankrede processer.
Bestemmelsen justeres med henblik på implementering af artikel 40, stk. 1, i
EU’s teleko-
deks.
Forslaget indebærer således, at formuleringen ”informationssikkerhed i offentligt tilgængeli-
ge net og tjenester” i bestemmelsen erstattes af begrebet ”sikkerhed i net og tjenester”,
hvilket er en konsekvens af den foreslåede § 2, nr. 7. Forslaget indebærer endvidere, at be-
stemmelsen rettes mod udbydere af offentligt tilgængelige elektroniske kommunikationsnet
og -tjenester, hvilket er en sproglig justering som konsekvens af de foreslåede § 2, nr. 3 og
4, samt mod udbydere af NUIK-tjenester, som defineret i den foreslåede § 2, nr. 6. Der er
tale om en udvidelse af kredsen af pligtsubjekter som følge af, at EU’s telekodeks,
modsat
Side 25 af 45
 FOU, Alm.del - 2019-20 - Bilag 105: Udkast til lovforslag om ændring af lov om net- og informationssikkerhed (Implementering af EU's telekodeks), fra forsvarsministeren
rammedirektivet, stiller sikkerhedskrav til udbydere af internetbaserede kommunikationstje-
nester, der ikke anvender numre til dirigering af opkald, beskeder, mails eller lignende.
Der kan med hjemmel i bestemmelsen fastsættes krav om, at udbydere af offentligt tilgæn-
gelige elektroniske kommunikationsnet og -tjenester og udbydere af NUIK-tjenester skal
håndtere sikkerheden i net og tjenester gennem dokumenterede og ledelsesforankrede pro-
cesser, herunder risikostyringsprocesser. Den foreslåede bemyndigelse forudsættes
som
for de traditionelle teleudbydere i dag
anvendt til administrativt at fastsætte regler med
nærmere krav til processerne. Der kan således administrativt stilles krav om, at processerne
skal fastlægges og gennemføres efter en relevant og anerkendt international standard eller
tilsvarende.
Herudover kan bemyndigelsen anvendes til at fastsætte krav om, at de omfattede udbyderes
risikostyring på informationssikkerhedsområdet skal tage højde for informationssikkerheds-
aspekter ved indgåelse og gennemførelse af aftaler med tredjemand om leverance af hard-
ware, firmware eller software samt aftaler om varetagelse af driftsopgaver, der er væsentli-
ge for udbydernes virke, eller som i øvrigt har betydning for sikkerheden i udbydernes net
og tjenester. Driftsopgaver skal forstås bredt og omfatter bl.a. vedligehold og driftsovervåg-
ning. Der kan endvidere med hjemmel i bestemmelsen stilles nærmere krav til udbydernes
håndtering af leverancer m.v. fra tredjemand, herunder om at udbyderne skal have doku-
menterede procedurer til verificering af, at konfigurationen af det leverede hardware, firm-
ware eller software ikke udgør en trussel mod informationssikkerheden, samt krav om, at
der fastsættes dokumenterede procedurer for udbydernes kontrol med leverandørers drift af
det leverede hardware, firmware eller software.
Med hjemmel i bestemmelsen kan der desuden stilles krav om, at udbydere skal sikre, at
kun autoriserede (eventuelt sikkerhedsgodkendte) personer får adgang til nærmere bestem-
te dele af udbydernes infrastruktur, herunder f.eks. centrale dele af udbydernes net. Der kan
i den forbindelse stilles krav om, at udbyderne skal fastsætte interne retningslinjer for, hvil-
ke medarbejdere hos udbyderne og deres eventuelle leverandører, som må have adgang til
udbydernes infrastruktur, ligesom der kan stilles nærmere krav til udbydernes adgangskon-
trol.
Det er forudsat i EU’s telekodeks,
at de omfattede udbydere skal træffe foranstaltninger for
at beskytte sikkerheden i deres net og tjenester og for at forhindre eller minimere virkningen
af sikkerhedshændelser.
I den forbindelse konstateres det i betragtning 94, at sikkerhedsforanstaltningerne som mi-
nimum bør tage hensyn til alle relevante aspekter af de følgende elementer:
vedrørende nets og faciliteters sikkerhed: fysisk og miljømæssig sikkerhed, forsy-
ningssikkerhed, kontrol af adgang til net og netintegritet;
vedrørende håndtering af sikkerhedshændelser: procedurer for håndtering af sikker-
hedshændelser, kapacitet til detektering af sikkerhedshændelser, underretning om og
meddelelse af sikkerhedshændelser;
vedrørende styring af driftskontinuitet: strategi for tjenesters kontinuitet og bered-
skabsplaner, katastrofeberedskabskapacitet;
vedrørende monitorering, audit og testning: monitorerings- og logningspolitikker,
øvelsesberedskabsplaner, testning af net og tjenester, sikkerhedsvurdering og kontrol
med overholdelse;
Side 26 af 45
 FOU, Alm.del - 2019-20 - Bilag 105: Udkast til lovforslag om ændring af lov om net- og informationssikkerhed (Implementering af EU's telekodeks), fra forsvarsministeren
samt overholdelse af internationale standarder.
Det fremhæves endvidere i artikel 40, stk. 1, i EU’s telekodeks, at det kan være relevant at
anvende kryptering som foranstaltning til at forhindre og minimere virkningen af sikker-
hedshændelser.
Der er i vidt omfang tale om foranstaltninger, som allerede i dag er omfattet af bemyndigel-
sen i § 3, stk. 1. Det forudsættes, at den nærmere udmøntning af bemyndigelsen sker under
hensyntagen til de relevante fortolkningsbidrag i EU’s telekodeks.
Der vil
i overensstemmelse med EU’s telekodeks
kunne være forskel på de krav, som fast-
sættes over for henholdsvis de traditionelle teleudbydere
hvilket i vidt omfang vil være en
videreførelse af de nuværende krav
og de krav, som fastsættes over for udbydere af NU-
IK-tjenester. Det skyldes bl.a., at udbyderne af NUIK-tjenester som udgangspunkt ikke udø-
ver egentlig kontrol over transmissionen af signaler via telenettene, og at sikkerhedskrav
relateret til driften af disse net derfor ikke vil være relevante at rette mod udbydere af NU-
IK-tjenester.
Der henvises i øvrigt til afsnit 3.1 og 3.2 i de almindelige bemærkninger.
Til nr. 7
Det fremgår af den gældende § 3, stk. 2, at Center for Cybersikkerhed kan påbyde udbydere
af offentligt tilgængelige net og tjenester at inddrage nærmere angivne områder af deres
virksomhed og nærmere angivne trusler mod informationssikkerheden i deres risikostyrings-
processer efter stk. 1.
Der foreslås visse begrebsmæssige ændringer af § 3,
stk. 2.
Det foreslås således, at ”offent-
ligt
tilgængelige net og tjenester” ændres til ”offentligt tilgængelige elektroniske kommuni-
kationsnet og -tjenester”. Forslaget er en konsekvens af den foreslåede ændring af § 2, nr.
3. Der henvises herom til bemærkningerne til § 1, nr. 4.
Derudover foreslås
”informationssikkerheden” ændret til ”sikkerheden i net og tjenester”.
Forslaget er en konsekvens af
forslaget om at anvende begrebet ”sikkerhed i net og tjene-
ster, som introduceres med EU’s telekodeks, og som er defineret i
den foreslåede § 2, nr. 7.
Til nr. 8
Det følger af forslaget om at indsætte en ny bestemmelse som § 3,
stk. 3,
at Center for Cy-
bersikkerhed kan påbyde udbydere af offentligt tilgængelige kommunikationsnet og -
tjenester og udbydere af NUIK-tjenester at træffe konkrete foranstaltninger, der er nødven-
dige for at afhjælpe en sikkerhedshændelse eller hindre en sådan i at forekomme, når en
betydelig trussel er identificeret. Centeret vil være bemyndiget til at fastsætte nærmere reg-
ler herom.
Med indsættelsen af en ny bestemmelse som stk. 3 i lovens § 3, bliver det nuværende stk. 3
til stk. 4.
Bestemmelsen implementerer artikel 41, stk. 1, i EU’s telekodeks.
Side 27 af 45
 FOU, Alm.del - 2019-20 - Bilag 105: Udkast til lovforslag om ændring af lov om net- og informationssikkerhed (Implementering af EU's telekodeks), fra forsvarsministeren
Den foreslåede nye bestemmelse skal sikre, at der tages de nødvendige skridt til at håndtere
en sikkerhedshændelse eller en betydelig trussel om en sikkerhedshændelse.
Der kan på den baggrund med hjemmel i bestemmelsen fastsættes regler om, at Center for
Cybersikkerhed, når en sikkerhedshændelse er indtrådt, kan påbyde udbyderen eller udby-
deren af NUIK-tjenester at træffe konkrete foranstaltninger, der er nødvendige for at af-
hjælpe sikkerhedshændelsen. Det er således en forudsætning for at anvende bestemmelsen
i tilfælde af en sikkerhedshændelse, at den pågældende udbyder ikke i rette tid og af egen
drift træffer de nødvendige foranstaltninger. Det vil afhænge af sikkerhedshændelsens ka-
rakter, hvilke foranstaltninger der er nødvendige for at afhjælpe denne.
Der kan endvidere med hjemmel i bestemmelsen fastsættes regler om, at Center for Cyber-
sikkerhed, når en betydelig trussel om en sikkerhedshændelse er identificeret, kan påbyde
udbyderen eller udbyderen af NUIK-tjenester at træffe konkrete foranstaltninger, der er
nødvendige for at hindre sikkerhedshændelsen i at forekomme.
Det vil eksempelvis kunne påbydes, at den pågældende udbyder iværksætter foranstaltnin-
ger, som er omfattet af minimumskravene i lovens § 3, stk. 1, hvis dette ikke i forvejen er
sket eller hvis det ikke er sket i det fornødne omfang. Den pågældende udbyder kan eksem-
pelvis efter omstændighederne og i relevant omfang pålægges at sikre, at leverancer af
hardware, firmware eller software, der kan udgøre en sårbarhed i den pågældende udbyders
net eller tjeneste, skal undersøges for sårbarheder, samt at foretage logisk og fysisk ad-
gangskontrol til nærmere angivne systemer eller udstyr og sikre sporbarhed heraf.
Der henvises i øvrigt til afsnit 3.3 i de almindelige bemærkninger.
Til nr. 9
Det fremgår af den gældende § 3, stk. 3, at såfremt det er af væsentlig samfundsmæssig
betydning, kan Center for Cybersikkerhed påbyde udbydere af offentligt tilgængelige net og
tjenester at træffe konkrete foranstaltninger med henblik på at sikre informationssikkerhe-
den i offentligt tilgængelige net og tjenester. Centeret fastsætter nærmere regler herom.
Det følger af den foreslåede ændring af § 3, stk. 3, der fremadrettet bliver
stk. 4,
at såfremt
det er af væsentlig samfundsmæssig betydning, kan Center for Cybersikkerhed påbyde ud-
bydere af offentligt tilgængelige elektroniske kommunikationsnet og -tjenester at træffe
konkrete foranstaltninger med henblik på at sikre sikkerheden i net og tjenester. Centeret
fastsætter nærmere regler herom.
Det foreslås således, at
formuleringen ”informationssikkerheden i offentligt tilgængelige net
og tjenester” i bestemmelsen erstattes af
det nye
begreb ”sikkerheden i net og tjenester”,
hvilket er en konsekvens af den foreslåede § 2, nr. 7. Det foreslås endvidere, at bestemmel-
sen rettes mod udbydere af offentligt tilgængelige elektroniske kommunikationsnet og -
tjenester, hvilket er en sproglig justering som konsekvens af de foreslåede § 2, nr. 3 og 4.
Der henvises til bemærkningerne til lovforslagets § 1, nr. 4.
Der er i vidt omfang tale om en videreførelse af den nuværende ordning. Det EU-retlige be-
greb ”sikkerheden i net og tjenester” indebærer
dog sammenlignet med det nuværende be-
greb ”informationssikkerheden”, at der også kan fastsættes påbud med henblik på sikring af
Side 28 af 45
 FOU, Alm.del - 2019-20 - Bilag 105: Udkast til lovforslag om ændring af lov om net- og informationssikkerhed (Implementering af EU's telekodeks), fra forsvarsministeren
autenticiteten i net og tjenester. Dette vurderes at indebære en meget beskeden udvidelse
af bestemmelsens anvendelsesområde.
Til nr. 10
Det følger af den gældende § 4, 1. pkt., at Center for Cybersikkerhed fastsætter regler om
oplysnings- og underretningspligter for udbydere.
Det følger af den foreslåede ændring af lovens § 4,
1. pkt.,
at udbydere af NUIK-tjenester
omfattes af bestemmelsen, således at Center for Cybersikkerheds bemyndigelse til at fast-
sætte regler om oplysnings- og underretningspligter omfatter både udbydere og udbydere af
NUIK-tjenester.
Forslaget er en konsekvens af, at udbydere af NUIK-tjenester er omfattet af de underret-
ningsforpligtelser, der følger af artikel 40, stk. 2 og 3, i
EU’s telekodeks,
som implementeres
ved de foreslåede ændringer af lovens § 4, nr. 3-5.
Der henvises herom til bemærkningerne til lovforslagets § 1, nr. 4, og afsnit 3.2 i de almin-
delige bemærkninger.
Til nr. 11
Center for Cybersikkerhed er i medfør af den gældende § 4, nr. 1, bemyndiget til at fastsæt-
te regler med krav om erhvervsmæssige udbydere af offentligt tilgængelige net og tjene-
sters afgivelse af oplysninger til Center for Cybersikkerhed om væsentlige dele af udbyde-
rens net eller tjenester eller driften heraf.
Center for Cybersikkerhed er endvidere i medfør af den gældende § 4, nr. 2, bemyndiget til
at fastsætte regler med krav om erhvervsmæssige udbydere af offentligt tilgængelige net og
tjenesters underretning af centeret ved påtænkt indgåelse af visse typer aftaler.
Det følger af den foreslåede ændring af § 4,
nr. 1
og
2,
at ”offentligt
tilgængelige net og
tjenesters”
ændres til ”offentligt tilgængelige elektroniske kommunikationsnet og
-
tjenesters”.
Forslaget er en konsekvens af
den foreslåede ændring af § 2, nr. 3. Der henvi-
ses herom til bemærkningerne til lovforslagets § 1, nr. 4.
Til nr. 12
Center for Cybersikkerhed er i medfør af den gældende § 4, nr. 3, bemyndiget til at fastsæt-
te regler med krav om udbydere af offentligt tilgængelige net og tjenesters underretning af
centeret ved brud på informationssikkerheden, der har væsentlige følger for driften af net
eller tjenester.
Det følger af den foreslåede nyaffattelse af § 4,
nr. 3,
at Center for Cybersikkerhed med
hjemmel i bestemmelsen kan fastsætte regler med krav om, at udbydere af offentligt til-
gængelige elektroniske kommunikationsnet og -tjenester og udbydere af NUIK-tjenester skal
underrette Center for Cybersikkerhed uden unødigt ophold om sikkerhedshændelser, der har
haft væsentlig indvirkning på driften af net eller tjenester.
Side 29 af 45
 FOU, Alm.del - 2019-20 - Bilag 105: Udkast til lovforslag om ændring af lov om net- og informationssikkerhed (Implementering af EU's telekodeks), fra forsvarsministeren
Formålet med bestemmelsen er at implementere ændringerne i artikel 40, stk. 2, i
EU’s tele-
kodeks, sammenholdt med den hidtidige bestemmelse i rammedirektivets artikel 13 a, stk.
3.
Sammenholdt med den gældende § 4, nr. 3, er det nyt, at udbydere af NUIK-tjenester om-
fattes af underretningspligten. Samtidig anvendes begrebet ”sikkerhedshændelser” i stedet
for det hidtidige ”brud på informationssikkerheden”. Forslaget er en konsekvens af den fore-
slåede § 2, nr. 8. Det fastslås endvidere, at underretning skal ske uden unødigt ophold.
De nærmere krav til underretningspligten vil blive udmøntet i en bekendtgørelse. Der vil i
den forbindelse blive lagt vægt på eventuelle udtalelser og retningslinjer fra Den Europæiske
Unions Agentur for Cybersikkerhed (herefter ENISA),
som i EU’s telekodeks har til opgave at
fremme harmonisering på tværs af medlemsstaterne, eller fra Kommissionen.
Ved fastlæggelsen af omfanget af en sikkerhedshændelses indvirkning vil der bl.a.
direkte
eller indirekte
kunne lægges vægt på antallet af brugere, der berøres af sikkerhedshæn-
delsen, varigheden af sikkerhedshændelsen, den geografiske udbredelse med hensyn til det
område, der er berørt af sikkerhedshændelsen, i hvilket omfang nettets eller tjenestens
funktionsdygtighed påvirkes, og omfanget af indvirkningen på økonomiske og samfunds-
mæssige aktiviteter.
Center for Cybersikkerhed underretter i relevant omfang kompetente myndigheder i andre
medlemsstater og ENISA om modtagne underretninger.
Underretningerne skal danne grundlag for en årlig forelæggelse af en sammenfattende rap-
port for Kommissionen og ENISA om de underretninger, som Center for Cybersikkerhed har
modtaget efter bestemmelsen, og de foranstaltninger, der er truffet, herunder om underret-
ning af offentligheden i medfør af den foreslåede § 4, nr. 4.
Der henvises i øvrigt til afsnit 3.2 i de almindelige bemærkninger.
Til nr. 13
Center for Cybersikkerhed er i medfør af den gældende § 4, nr. 4, bemyndiget til at fastsæt-
te regler med krav om udbydere af offentligt tilgængelige net og tjenesters underretning af
offentligheden ved brud på informationssikkerheden, der har væsentlige følger for driften af
net eller tjenester.
Det følger af den foreslåede nyaffattelse af § 4,
nr. 4,
at Center for Cybersikkerhed med
hjemmel i bestemmelsen kan fastsætte regler med krav om, at udbydere af offentligt til-
gængelige elektroniske kommunikationsnet og -tjenester og udbydere af NUIK-tjenester
efter påbud skal underrette offentligheden ved sikkerhedshændelser, der har haft væsentlig
indvirkning på driften af net eller tjenester. Det forudsættes, at det godtgøres, at det er i
offentlighedens interesse, at sikkerhedshændelsen offentliggøres.
Der kan endvidere med hjemmel i den foreslåede bestemmelse fastsættes regler om, at
Center for Cybersikkerhed kan offentliggøre en sikkerhedshændelse, som centeret har fået
underretning om i medfør af den foreslåede § 4, nr. 4, såfremt det er i offentlighedens inte-
resse, at sikkerhedshændelsen offentliggøres.
Side 30 af 45
 FOU, Alm.del - 2019-20 - Bilag 105: Udkast til lovforslag om ændring af lov om net- og informationssikkerhed (Implementering af EU's telekodeks), fra forsvarsministeren
Sammenholdt med den gældende § 4, nr. 4, er det nyt, at udbydere af NUIK-tjenester om-
fattes af underretningspligten. Samtidig anvendes begrebet ”sikkerhedshændelser” i stedet
for det hidtidige ”brud på informationssikkerheden”, hvilket er en konsekvens af den foreslå-
ede § 2, nr. 8.
Formålet med bestemmelsen er at implementere ændringerne i artikel 40, stk. 2, i
EU’s tele-
kodeks, sammenholdt med den hidtidige bestemmelse i rammedirektivets artikel 13 a, stk.
3.
Der henvises i øvrigt til afsnit 3.2 i de almindelige bemærkninger.
Til nr. 14
Der foreslås indsat et nyt § 4,
nr. 5,
der indebærer, at Center for Cybersikkerhed kan fast-
sætte regler om, at udbydere af offentligt tilgængelige elektroniske kommunikationsnet og -
tjenester og udbydere af NUIK-tjenester skal informere deres potentielt berørte brugere om
mulige beskyttelsesforanstaltninger eller afhjælpende foranstaltninger, som brugerne kan
træffe i tilfælde af en særlig og betydelig trussel om en sikkerhedshændelse i udbyderens
net eller tjenester. Der kan endvidere stilles krav om, at de pågældende udbydere skal in-
formere deres brugere om selve truslen.
Bestemmelsen implementerer EU’s telekodeks artikel 40, stk. 3, der er ny sammenholdt
med rammedirektivet.
Bestemmelsen indebærer, at de omfattede udbyderes potentielt berørte brugere i tilfælde af
særlige og betydelige trusler skal informeres om, hvordan de kan sikre deres kommunikati-
on, f.eks. ved at anvende bestemte typer software eller krypteringsteknologier. Kravet om
informering af brugerne fritager ikke udbyderne for deres forpligtelser til for egen regning at
træffe passende og øjeblikkelige foranstaltninger for at afhjælpe sikkerhedstrusler og genop-
rette nettet eller tjenestens normale sikkerhedsniveau. Informationen skal stilles gratis til
rådighed for brugerne.
Der henvises i øvrigt til afsnit 3.4 i de almindelige bemærkninger.
Til nr. 15
Der er i den gældende § 5, stk. 2, fastsat regler om, at erhvervsmæssige udbydere af of-
fentligt tilgængelige net og tjenester skal udarbejde beredskabsplaner samt planlægge og
deltage i øvelsesaktiviteter.
Det følger af den foreslåede ændring af § 5,
stk. 2,
at ”offentligt
tilgængelige net og tjene-
ster” ændres til ”offentligt tilgængelige
elektroniske kommunikationsnet og -tjenester”.
For-
slaget er en konsekvens af den foreslåede ændring af § 2, nr. 3. Der henvises herom til be-
mærkningerne til lovforslagets § 1, nr. 4.
Til nr. 16
Der foreslås indsat en ny bestemmelse som § 5 a. Der vil med hjemmel i bestemmelsen
kunne fastsættes regler om, at udbydere, som i medfør af teleloven skal udsende offentlige
Side 31 af 45
 FOU, Alm.del - 2019-20 - Bilag 105: Udkast til lovforslag om ændring af lov om net- og informationssikkerhed (Implementering af EU's telekodeks), fra forsvarsministeren
advarsler om overhængende eller truende alvorlige nødsituationer og katastrofer, skal træffe
alle nødvendige foranstaltninger til at sikre uafbrudt transmission af advarslerne.
Den foreslåede bestemmelse implementerer den del af artikel 108, 2. pkt., i
EU’s telekodeks,
hvorefter medlemsstaterne sikrer, at udbydere af talekommunikationstjenester træffer alle
nødvendige foranstaltninger til at sikre uafbrudt transmission af offentlige advarsler.
Den pågældende del af bestemmelsen i artikel 108, 2. pkt., i
EU’s telekodeks
skal ses i
sammenhæng med artikel 110, der pålægger medlemsstater, der allerede har etableret of-
fentlige varslingssystemer, at sørge for, at udbydere af mobile nummerbaserede interperso-
nelle kommunikationstjenester udsender offentlige advarsler til berørte slutbrugere (mobil-
baseret varsling).
Forpligtelsen i artikel 110 vil blive implementeret ved en ændring af teleloven, da forpligtel-
sen har nær sammenhæng med eksisterende forpligtelser i teleloven i relation til bl.a.
alarm- og beredskabsforhold. Det mobilbaserede varslingssystem, der etableres i medfør af
artikel 110 i EU’s telekodeks, skal være i brug senest den 21. juni
2022.
Det forventes, at forpligtelsen til at udsende offentlige advarsler, der indføres i teleloven, vil
påhvile de såkaldte mobiloperatører, som omfatter udbydere af elektroniske kommunikati-
onstjenester i mobilnet og udbydere af mobilnet.
Den foreslåede bestemmelse i § 5 a har til formål at sikre, at mobiloperatørerne træffer alle
nødvendige foranstaltninger for at undgå, at udstyr og systemer, der anvendes i forbindelse
med transmission af offentlige advarsler, afbrydes. Mobiloperatørerne vil i forlængelse af
eksisterende forpligtelser til at sikre en robust teleinfrastruktur i medfør af lovens § 3, stk.
1, og § 5, stk. 1, skulle planlægge og sørge for opretholdelsen af uafbrudt transmission af
offentlige advarsler, herunder i relation til udstyr og systemer, der anvendes til transmission
af offentlige advarsler, bl.a. tage stilling til fremskaffelse af det nødvendige reserveudstyr,
og sikring af redundans og nødstrømsforsyning.
Der henvises i øvrigt til afsnit 3.5 i de almindelige bemærkninger.
Til nr. 17
Det følger af den gældende § 6, stk. 1, at en udbyder skal indstille medarbejdere og repræ-
sentanter for udbyderen til sikkerhedsgodkendelse hos sikkerhedsmyndigheden, når de på-
gældende som led i deres konkrete opgaveløsning for udbyderen skal behandle klassificere-
de informationer eller andre informationer, der er særligt beskyttelsesværdige i relation til
informationssikkerhed eller beredskab.
Det følger af den foreslåede ændring af § 6,
stk. 1,
at ”informationssikkerhed” i lovens
§ 6,
stk. 1, ændres til ”sikkerhed i net og tjenester”. Forslaget er en konsekvens af forslaget om
at
anvende begrebet ”sikkerhed
i net og tjenester”,
som introduceres med EU’s telekodeks,
og som defineres i den foreslåede § 2, nr. 7. Der henvises herom til bemærkningerne til lov-
forslagets § 1, nr. 4.
Side 32 af 45
 FOU, Alm.del - 2019-20 - Bilag 105: Udkast til lovforslag om ændring af lov om net- og informationssikkerhed (Implementering af EU's telekodeks), fra forsvarsministeren
Til nr. 18
Det følger af den gældende § 6, stk. 2, at erhvervsmæssige udbydere af offentligt tilgænge-
lige net skal sikre, at medarbejdere eller repræsentanter for udbyderen, der varetager kon-
takten til Center for Cybersikkerhed i relation til beredskabet i henhold til regler, der er ud-
stedt i medfør af § 5, stk. 2, i fornødent omfang sikkerhedsgodkendes efter stk. 1.
Med den foreslåede ændring af § 6,
stk. 2,
ændres
”offentligt tilgængelige net” til ”offentligt
tilgængelige elektroniske kommunikationsnet”. Forslaget er en konsekvens af
den foreslåede
ændring af § 2, nr. 3. Der henvises herom til bemærkningerne til lovforslagets § 1, nr. 4.
Til nr. 19
Det følger af den gældende § 9, stk. 2, at Center for Cybersikkerhed som led i sit tilsyn kan
kræve, at udbydere fremlægger alle de oplysninger og det materiale om informationssikker-
hed, beredskab og sikkerhedsgodkendelse, der er nødvendige for centerets tilsynsvirksom-
hed, herunder til afgørelse af, om et forhold falder ind under denne lov eller regler, der er
udstedt i medfør af loven.
Det følger af den foreslåede ændring af § 9,
stk. 2,
at ”udbydere” ændres til ”udbydere og
udbydere af NUIK-tjenester”.
Med bestemmelsen sikres det, at Center for Cybersikkerheds
eksisterende adgang til de oplysninger, der er nødvendige til gennemførelse af centerets
tilsynsvirksomhed i relation til udbydere, udvides til også at gælde udbydere af NUIK-
tjenester.
Den gældende bestemmelse implementerer rammedirektivets
artikel 5, stk. 1, der i EU’s
telekodeks er videreført som artikel 20, stk. 1. I overensstemmelse med ændringerne i EU’s
telekodeks vil bestemmelsen fremadrettet omfatte både de traditionelle teleudbydere og
udbyderne af NUIK-tjenester.
Det foreslås endvidere
som konsekvens af den foreslåede § 2, nr. 7, at ”informationssikker-
hed” ændres til ”sikkerhed i net og tjenester”.
For så vidt angår de udbydere, der er omfattet af loven i dag, er der tale om en videreførelse
af den gældende ordning, idet begrebet
”sikkerhed i net og tjenester” dog indebærer en vis
ændring af ordningens rammer, navnlig henset til, at sikring af autenticitet særskilt kan give
anledning til at kræve oplysninger og materiale herom, hvis det har betydning for centerets
tilsynsvirksomhed.
Der henvises i øvrigt til bemærkningerne til den foreslåede § 2, nr. 7, jf. lovforslagets § 1,
nr. 4.
Til nr. 20
Det følger af den gældende § 9, stk. 5, at Center for Cybersikkerhed kan stille krav om, at
udbydere skal foranstalte en uafhængig sikkerhedsrevision og stille resultaterne heraf til
rådighed for centeret.
Det følger af den foreslåede ændring af § 9,
stk. 5,
at ”udbydere” ændres til ”udbydere og
udbydere af NUIK-tjenester”.
Bestemmelsen indebærer, at Center for Cybersikkerheds eksi-
Side 33 af 45
 FOU, Alm.del - 2019-20 - Bilag 105: Udkast til lovforslag om ændring af lov om net- og informationssikkerhed (Implementering af EU's telekodeks), fra forsvarsministeren
sterende mulighed for at kræve, at udbydere skal foranstalte en uafhængig sikkerhedsrevi-
sion og stille resultaterne heraf til rådighed for centeret, udvides til også at gælde udbydere
af NUIK-tjenester.
Den gældende bestemmelse implementerer rammedirektivets artikel 13 b, stk. 2, litra b, der
i EU’s telekodeks er videreført som artikel 41, stk. 2, litra b. I overensstemmelse med æn-
dringerne i EU’s telekodeks vil bestemmelsen fremadrettet omfatte både de traditionelle te-
leudbydere og udbyderne af NUIK-tjenester.
Til nr. 21
Det følger af den gældende § 9, stk. 6, at såfremt det er nødvendigt af hensyn til informati-
onssikkerheden, har Center for Cybersikkerhed efter et skriftligt varsel på mindst syv ar-
bejdsdage uden retskendelse mod behørig legitimation adgang til udbyderes forretningsloka-
ler med henblik på at påse overholdelsen af loven og regler, der er udstedt i medfør af lo-
ven. Center for Cybersikkerhed kan ikke i forbindelse med adgang til forretningslokaler tilgå
kommunikation til, fra eller mellem udbyderens kunder.
Efter den gældende § 9, stk. 7, har Center for Cybersikkerhed, såfremt det er nødvendigt af
hensyn til informationssikkerheden, efter et skriftligt varsel på mindst syv arbejdsdage uden
retskendelse mod behørig legitimation adgang til forretningslokaler hos udbyderes samar-
bejdspartnere, leverandører eller underleverandører med henblik på at påse overholdelsen af
loven og regler, der er udstedt i medfør af loven, i relation til outsourcet aktivitet. Center for
Cybersikkerhed kan ikke i forbindelse med adgang til forretningslokaler tilgå kommunikation
til, fra eller mellem udbyderens kunder.
Det foreslås, at ”informationssikkerheden” i § 9,
stk. 6
og
7,
ændres til ”sikkerheden i net og
tjenester”. Forslaget er en konsekvens af forslaget om
at
anvende begrebet ”sikkerhed
i net
og tjenester”,
som introduceres med EU’s telekodeks, og som er defineret i den foreslåede
§
2, nr. 7. Der henvises herom til bemærkningerne til lovforslagets § 1, nr. 4.
Til nr. 22
Det følger af den gældende § 10, stk. 1, nr. 1, at Center for Cybersikkerhed i ikke-
anonymiseret form kan offentliggøre påbud meddelt i medfør af § 3, stk. 2 og 3, og § 5, stk.
4, og afgørelser truffet i medfør af regler, der er udstedt i medfør af § 3, stk. 1 og 3, § 4, §
5, stk. 1, 2 og 3, og § 6, stk. 6.
Det følger af den foreslåede ændring af § 10,
stk. 1, nr. 1,
at Center for Cybersikkerhed og-
så i ikke-anonymiseret form kan offentliggøre påbud efter den foreslåede nye § 3, stk. 3, om
påbud om konkrete foranstaltninger for at afhjælpe en sikkerhedshændelse eller hindre en
sådan i at forekomme, samt afgørelser truffet i medfør af regler, der er udstedt i medfør af
den nye § 3, stk. 3, samt den nye § 5 a om sikring af uafbrudt transmission af offentlige
advarsler om overhængende eller truende alvorlige nødsituationer og katastrofer.
Der foreslås i den forbindelse en konsekvensrettelse som følge af, at den gældende § 3, stk.
3, fremadrettet vil blive stk. 4.
Side 34 af 45
 FOU, Alm.del - 2019-20 - Bilag 105: Udkast til lovforslag om ændring af lov om net- og informationssikkerhed (Implementering af EU's telekodeks), fra forsvarsministeren
Til nr. 23
Der er i den gældende § 10, stk. 2, fastsat regler om, at Center for Cybersikkerheds offent-
liggørelse af påbud og afgørelser m.v. efter stk. 1 ikke må indeholde visse oplysninger. Efter
§ 10, stk. 2, nr. 1, må offentliggørelse således ikke indeholde oplysninger om tekniske ind-
retninger eller fremgangsmåder eller om drifts- eller forretningsforhold eller lignende, for så
vidt det er af væsentlig økonomisk betydning for den udbyder, som oplysningerne angår.
Med den foreslåede ændring af § 10,
stk. 2, nr. 1,
ændres
”den udbyder” til ”den udbyder
eller udbyder af NUIK-tjenester”.
Center for Cybersikkerhed kan i medfør af lovens § 10, stk. 1, i ikke-anonymiseret form bl.a.
offentliggøre henholdsvis påbud, som er meddelt i medfør af visse af lovens bestemmelser,
og afgørelser, som er truffet efter bekendtgørelser, som er fastsat i medfør af visse af lovens
bestemmelser. Der er tale om bestemmelser, som med lovforslaget vil omfatte både udby-
dere og udbydere af NUIK-tjenester, jf. lovforslagets § 1, nr. 6, 8 og 16, der henholdsvis
ændrer § 3, stk. 1, og indsætter nye bestemmelser i § 3, stk. 3, og § 5 a. Det bemærkes i
den forbindelse, at den gældende § 3, stk. 3, bliver stk. 4 i medfør af lovforslagets § 1, nr.
8.
Med bestemmelsen sikres det på den baggrund, at offentliggørelse efter § 10, stk. 1, ikke
må indeholde oplysninger vedrørende tekniske indretninger eller fremgangsmåder eller om
drifts- eller forretningsforhold el.lign., for så vidt det er af væsentlig økonomisk betydning
for den udbyder eller den udbyder af NUIK-tjenester, som oplysningerne angår.
Til nr. 24
Det følger af den gældende § 12, stk. 1, at Center for Cybersikkerhed hos udbydere kan
indsamle oplysninger med henblik på at videregive disse til Kommissionen, Det Europæiske
Agentur for Net- og Informationssikkerhed eller nationale tilsynsmyndigheder i andre EU-
medlemsstater i det omfang, det er nødvendigt for, at disse kan opfylde deres opgaver i for-
hold til traktatmæssige forpligtelser eller forpligtelser i henhold til den gældende EU-ret.
Efter den gældende § 12, stk. 2, orienterer Center for Cybersikkerhed de udbydere, der er
indsamlet oplysninger fra, forud for videregivelse af oplysningerne til Kommissionen, Det
Europæiske Agentur for Net- og Informationssikkerhed eller nationale tilsynsmyndigheder i
andre EU-medlemsstater.
Det følger af den foreslåede ændring af § 12,
stk. 1
og
2,
at ”udbydere” ændres til ”udbyde-
re og udbydere af NUIK-tjenester”.
Herudover foreslås
”Det
Europæiske Agentur for Net- og Informationssikkerhed” ændret til
”Den Europæiske Unions Agentur for Cybersikkerhed”. Dette skyldes, at ENISA –
som det
fortsat forkortes
har skiftet navn.
Med de foreslåede ændringer af bestemmelserne i stk. 1 og 2 sikres det, at der gælder
samme regler for udbydere og udbydere af NUIK-tjenester i relation til udveksling af oplys-
ninger mellem Center for Cybersikkerhed og Kommissionen, ENISA og nationale tilsynsmyn-
digheder i andre EU-medlemsstater.
Side 35 af 45
 FOU, Alm.del - 2019-20 - Bilag 105: Udkast til lovforslag om ændring af lov om net- og informationssikkerhed (Implementering af EU's telekodeks), fra forsvarsministeren
Bestemmelserne i § 12, stk. 1 og 2, implementerer artikel 20, stk. 2,
i EU’s telekodeks.
Der-
udover implementerer § 12, stk. 1, artikel 40, stk. 2, i EU’s telekodeks.
Til nr. 25
Det følger af den gældende § 13, at Center for Cybersikkerhed kan fastsætte regler, som er
nødvendige for at gennemføre retsakter udstedt af Kommissionen vedrørende informations-
sikkerhed og beredskab på teleområdet, herunder regler om sanktioner i form af bøder for
manglende overholdelse af retsakterne.
Med den foreslåede ændring af § 13, ændres
”informationssikkerhed og beredskab på tele-
området” til ”sikkerhed i net og tjenester”, hvilket er en konsekvens af den foreslåede § 2,
nr. 7.
Med forslaget videreføres Center for Cybersikkerheds hjemmel til at fastsætte regler, som er
nødvendige for at gennemføre retsakter udstedt af Kommissionen om sikkerhed i net og tje-
nester. Bemyndigelsen kan benyttes til at gennemføre retsakter, som Kommissionen i med-
før af artikel 40, stk. 5, i EU’s telekodeks vedtager med henblik på at udmønte foranstaltnin-
ger og underretningspligter efter artikel 40, stk. 1 og 2.
Center for Cybersikkerhed er med bestemmelsen endvidere fortsat bemyndiget til at fast-
sætte regler om straf i form af bøde for overtrædelse af bestemmelser indeholdt i retsakter
udstedt af Kommissionen vedrørende sikkerhed i net og tjenester. Derved sikres en effektiv
gennemførelse af retsakterne.
Til nr. 26
Det er i den gældende § 14, stk. 1, nr. 1, fastsat, at undladelse af at efterkomme Center for
Cybersikkerheds påbud efter lovens § 3, stk. 2 eller 3, eller § 5, stk. 4, kan straffes med
bøde.
Det følger af den foreslåede ændring af § 14,
stk. 1, nr. 1,
at det også vil kunne straffes
med bøde at undlade at efterkomme Center for Cybersikkerheds påbud efter den foreslåede
nye § 3, stk. 3, om påbud om konkrete foranstaltninger for at afhjælpe en sikkerhedshæn-
delse eller hindre en sådan i at forekomme. Der foreslås endvidere en konsekvensrettelse
som følge af, at den gældende § 3, stk. 3, fremadrettet bliver stk. 4.
Bestemmelsen implementerer herefter artikel 29 i EU’s telekodeks om fastsættelse af sank-
tioner.
Til nr. 27
Center for Cybersikkerhed er i medfør af den gældende § 14, stk. 2, bemyndiget til at fast-
sætte straf i form af bøde for overtrædelse af bestemmelser i regler, som udfærdiges i med-
før af lovens § 3, stk. 1 eller 3, § 4, § 5, stk. 1, 2 eller 3, eller § 6, stk. 6. Bestemmelsen
implementerer artikel 21 a i rammedirektivet.
Det følger af den foreslåede ændring af § 14,
stk. 2,
at Center for Cybersikkerhed også be-
myndiges til at fastsætte straf i form af bøde for overtrædelse af bestemmelser i regler, der
udfærdiges i medfør af de foreslåede nye bestemmelser i henholdsvis § 3, stk. 3, om påbud
Side 36 af 45
 FOU, Alm.del - 2019-20 - Bilag 105: Udkast til lovforslag om ændring af lov om net- og informationssikkerhed (Implementering af EU's telekodeks), fra forsvarsministeren
om konkrete foranstaltninger for at afhjælpe en sikkerhedshændelse eller hindre en sådan i
at forekomme, og § 5 a om sikring af uafbrudt transmission af offentlige advarsler om over-
hængende eller truende alvorlige nødsituationer og katastrofer.
Der foreslås endvidere en konsekvensrettelse som følge af, at den gældende § 3, stk. 3,
fremadrettet bliver stk. 4.
Bestemmelsen implementerer herefter artikel 29 i
EU’s telekodeks om fastsættelse af sank-
tioner.
Til § 2
Det foreslås, at loven træder i kraft den 21. december 2020.
Det bemærkes, at lov om net- og informationssikkerhed ikke gælder for Færøerne og Grøn-
land, hvilket dermed heller ikke vil være tilfældet for denne ændringslov.
Side 37 af 45
 FOU, Alm.del - 2019-20 - Bilag 105: Udkast til lovforslag om ændring af lov om net- og informationssikkerhed (Implementering af EU's telekodeks), fra forsvarsministeren
Bilag 1
Lovforslaget sammenholdt med gældende lov
Gældende formulering
Lovforslaget
§1
I lov nr. 1567 af 15. december 2015 om
net- og informationssikkerhed foretages
følgende ændringer:
1.
Lovens
titel
affattes således:
»Lov om sikkerhed i net og tjene-
ster«.
2.
Fodnoten
til lovens titel affattes således:
»Loven indeholder bestemmelser, der gen-
nemfører dele af Europa-Parlamentets og
Rådets direktiv 2018/1972/EU af 11. de-
cember 2018 om oprettelse af en europæisk
kodeks for elektronisk kommunikation (om-
arbejdning), EU-Tidende 2018, nr. L 321,
side 36.«
Lov om net- og informationssikkerhed
Fodnoten.
Loven indeholder bestemmelser,
der gennemfører dele af Europa-Parlamentets
og Rådets direktiv 2002/21/EF af 7. marts
2002 om fælles rammebestemmelser for elek-
troniske kommunikationsnet og -tjenester
(rammedirektivet), EU-Tidende 2002, nr. L
108, side 33, som senest ændret ved Europa-
Parlamentets og Rådets direktiv 2009/140/EF
af 25. november 2009, samt Europa-
Parlamentets og Rådets direktiv 2002/22/EF
af 7. marts 2002 om forsyningspligt og bru-
gerrettigheder i forbindelse med elektroniske
kommunikationsnet og -tjenester (forsynings-
pligtdirektivet), EU-Tidende 2002, nr. L 108,
side 51, som ændret ved Europa-Parlamentets
og Rådets direktiv 2009/136/EF af 25. no-
vember 2009.
§ 1.
Lovens formål er at fremme net- og
informationssikkerheden i samfundet.
3.
I
§ 1
ændres »net- og informationssik-
kerheden i samfundet« til: »sikkerheden i
net og tjenester«.
4.
§ 2
affattes således:
Ȥ
2.
I denne lov forstås ved:
1) Elektronisk kommunikationsnet: Radio-
frekvens- eller kabelbaseret teleinfra-
struktur, der anvendes til formidling af
tjenester.
2) Elektronisk
kommunikationstjeneste:
Tjeneste, der helt eller delvis består i
elektronisk overførsel af kommunikation
i form af lyd, billeder, tekst eller kombi-
nationer heraf ved hjælp af radio- eller
telekommunikationsteknik mellem net-
§ 2.
I denne lov forstås ved:
1) Net: Elektroniske kommunikationsnet i
form af radiofrekvens- eller kabelbaseret
teleinfrastruktur, der anvendes til formid-
ling af tjenester.
2) Tjeneste: Elektronisk kommunikationstje-
neste, der helt eller delvis består i elektro-
nisk overførsel af kommunikation i form af
lyd, billeder, tekst eller kombinationer
heraf ved hjælp af radio- eller telekommu-
nikationsteknik mellem netterminerings-
Side 38 af 45
 FOU, Alm.del - 2019-20 - Bilag 105: Udkast til lovforslag om ændring af lov om net- og informationssikkerhed (Implementering af EU's telekodeks), fra forsvarsministeren
punkter.
3) Offentligt tilgængelige net og tjenester:
Net og tjenester, der stilles til rådighed for
en ikke på forhånd afgrænset kreds af
slutbrugere eller udbydere.
4) Udbyder: Den, der med et kommercielt
formål stiller produkter, net eller tjenester
til rådighed for andre.
5) Erhvervsmæssig udbyder: En udbyder, der
med et kommercielt formål udbyder pro-
dukter, net eller tjenester som sin hoved-
ydelse eller som en ikke accessorisk del af
virksomheden.
3)
4)
5)
6)
7)
termineringspunkter.
Offentligt
tilgængelige
elektroniske
kommunikationsnet og -tjenester: Elek-
troniske
kommunikationsnet
og
-
tjenester, der stilles til rådighed for en
ikke på forhånd afgrænset kreds af slut-
brugere eller udbydere.
Udbyder: Den, der med et kommercielt
formål stiller produkter, elektroniske
kommunikationsnet eller -tjenester til
rådighed for andre. Begrebet omfatter
ikke udbydere af NUIK-tjenester, jf. nr.
6.
Erhvervsmæssig udbyder: En udbyder,
der med et kommercielt formål udbyder
produkter, elektroniske kommunikati-
onsnet eller -tjenester som sin hoved-
ydelse eller som en ikke accessorisk del
af virksomheden. Begrebet omfatter ik-
ke udbydere af NUIK-tjenester, jf. nr. 6.
Udbyder af NUIK-tjeneste: Udbyder af
en
nummeruafhængig
interpersonel
kommunikationstjeneste i form af en
tjeneste, som normalt ydes mod beta-
ling, og som muliggør direkte interper-
sonel og interaktiv informationsudveks-
ling via elektroniske kommunikationsnet
mellem et afgrænset antal personer,
hvor de personer, der indleder eller del-
tager i kommunikationen, bestemmer,
hvem modtageren eller modtagerne skal
være. Omfattet er ikke tjenester, der
blot muliggør interpersonel og interaktiv
kommunikation som en mindre støtte-
funktion, der er tæt knyttet til en anden
tjeneste. Tjenesten etablerer ikke for-
bindelse til offentligt tildelte nummer-
ressourcer, dvs. et eller flere numre i
nationale eller internationale nummer-
planer, eller muliggør ikke kommunika-
tion med et eller flere numre i nationale
eller internationale nummerplaner.
Sikkerhed i net og tjenester: Elektroni-
ske kommunikationsnets og -tjenesters
evne til på et givet fortrolighedsniveau
at modstå handlinger, der er til skade
for tilgængeligheden, autenticiteten, in-
tegriteten eller fortroligheden af disse
net og tjenester, lagrede eller overførte
Side 39 af 45
 FOU, Alm.del - 2019-20 - Bilag 105: Udkast til lovforslag om ændring af lov om net- og informationssikkerhed (Implementering af EU's telekodeks), fra forsvarsministeren
eller behandlede data eller de dermed
forbundne tjenester, der tilbydes af eller
er tilgængelige via disse net eller -
tjenester.
8) Sikkerhedshændelse: En begivenhed,
der har en faktisk negativ indvirkning på
sikkerheden i net og -tjenester.«
Kapitel 2
Informationssikkerhed i net og tjenester
5.
I
overskriften
til kapitel 2 ændres »In-
formationssikkerhed« til: »Sikkerhed«.
6.
§ 3, stk. 1,
affattes således:
»Center for Cybersikkerhed fastsætter
regler om minimumskrav til sikkerhed i net
og tjenester for udbydere af offentligt til-
gængelige elektroniske kommunikationsnet
og -tjenester og udbydere af NUIK-
tjenester. Reglerne kan omfatte krav om
passende tekniske, processuelle og organi-
satoriske foranstaltninger med henblik på
risikostyring i forhold til sikkerhed i net og
tjenester og opretholdelse af et passende
sikkerhedsniveau, herunder krav om, at
sådanne foranstaltninger gennemføres på
baggrund af dokumenterede og ledelsesfor-
ankrede processer.«
7.
I
§ 3, stk. 2,
ændres »offentligt tilgæn-
gelige net og tjenester« til: »offentligt til-
gængelige elektroniske kommunikationsnet
og -tjenester«, og »informationssikkerhe-
den« ændres til: »sikkerheden i net og tje-
nester«.
§ 3.
Center for Cybersikkerhed fastsætter
regler om minimumskrav til informationssik-
kerhed for udbydere af offentligt tilgængelige
net og tjenester. Reglerne kan omfatte krav
om passende tekniske, processuelle og orga-
nisatoriske foranstaltninger med henblik på
risikostyring i forhold til informationssikkerhed
i offentligt tilgængelige net og tjenester og
opretholdelse af et passende informationssik-
kerhedsniveau, herunder krav om, at sådanne
foranstaltninger gennemføres på baggrund af
dokumenterede og ledelsesforankrede proces-
ser.
Stk. 2.
Center for Cybersikkerhed kan på-
byde udbydere af offentligt tilgængelige net
og tjenester at inddrage nærmere angivne
områder af deres virksomhed og nærmere
angivne trusler mod informationssikkerheden i
deres risikostyringsprocesser efter stk. 1.
8.
I
§ 3
indsættes efter stk. 2 som nyt
stykke:
»Stk.
3.
Center for Cybersikkerhed kan
påbyde udbydere af offentligt tilgængelige
elektroniske
kommunikationsnet
og
-
tjenester og udbydere af NUIK-tjenester at
træffe konkrete foranstaltninger, der er
nødvendige for at afhjælpe en sikkerheds-
hændelse eller hindre en sådan i at fore-
komme, når en betydelig trussel er identifi-
ceret. Centeret fastsætter nærmere regler
herom.«
Stk. 3 bliver herefter stk. 4.
Side 40 af 45
 FOU, Alm.del - 2019-20 - Bilag 105: Udkast til lovforslag om ændring af lov om net- og informationssikkerhed (Implementering af EU's telekodeks), fra forsvarsministeren
Stk. 3.
Såfremt det er af væsentlig sam-
fundsmæssig betydning, kan Center for Cy-
bersikkerhed påbyde udbydere af offentligt
tilgængelige net og tjenester at træffe kon-
krete foranstaltninger med henblik på at sikre
informationssikkerheden i offentligt tilgænge-
lige net og tjenester. Centeret fastsætter
nærmere regler herom.
§ 4.
Center for Cybersikkerhed fastsætter
regler om oplysnings- og underretningspligter
for udbydere. Reglerne kan omfatte krav om:
1) Erhvervsmæssige udbydere af offentligt
tilgængelige net og tjenesters afgivelse af
oplysninger til Center for Cybersikkerhed
om væsentlige dele af udbyderens net el-
ler tjenester eller driften heraf.
2) Erhvervsmæssige udbydere af offentligt
tilgængelige net og tjenesters underret-
ning af Center for Cybersikkerhed ved på-
tænkt indgåelse af aftaler om leverancer,
der vedrører væsentlige dele af udbyde-
rens net eller tjenester eller driften heraf.
Der kan endvidere stilles krav om, at ud-
byderne skal indsende et endeligt aftale-
udkast til Center for Cybersikkerhed umid-
delbart forud for indgåelse af aftalen, og
at aftalen først kan indgås op til 10 ar-
bejdsdage efter centerets modtagelse af
dette udkast.
3) Udbydere af offentligt tilgængelige net og
tjenesters underretning af Center for Cy-
bersikkerhed ved brud på informationssik-
kerheden, der har væsentlige følger for
driften af net eller tjenester.
9.
I
§ 3, stk. 4,
ændres »offentligt tilgæn-
gelige net og tjenester« til: »offentligt til-
gængelige elektroniske kommunikationsnet
og -tjenester«, og »informationssikkerhe-
den i offentligt tilgængelige net og tjene-
ster« ændres til: »sikkerheden i net og tje-
nester«.
10.
I
§ 4, 1. pkt.,
indsættes efter »for ud-
bydere«: »og udbydere af NUIK-tjenester«.
11.
I
§ 4, nr. 1 og 2,
ændres »offentligt
tilgængelige net og tjenesters« til: »offent-
ligt tilgængelige elektroniske kommunikati-
onsnet og -tjenesters«.
12.
§ 4, nr. 3,
affattes således:
»3) Udbydere af offentligt tilgængelige
elektroniske
kommunikationsnet
og
-
tjenesters og udbydere af NUIK-tjenesters
underretning af Center for Cybersikkerhed
uden unødigt ophold om sikkerhedshændel-
ser, der har haft væsentlig indvirkning på
driften af net eller tjenester.«
13.
§ 4, nr. 4,
affattes således:
»4) Udbydere af offentligt tilgængelige
elektroniske
kommunikationsnet
og
-
tjenesters og udbydere af NUIK-tjenesters
underretning af offentligheden ved sikker-
hedshændelser, der har haft væsentlig ind-
virkning på driften af net eller tjenester.«
14.
I
§ 4
indsættes som nr. 5:
»5) Udbydere af offentligt tilgængelige
elektroniske
kommunikationsnet
og
-
4) Udbydere af offentligt tilgængelige net og
tjenesters underretning af offentligheden
ved brud på informationssikkerheden, der
har væsentlige følger for driften af net el-
ler tjenester.
Side 41 af 45
 FOU, Alm.del - 2019-20 - Bilag 105: Udkast til lovforslag om ændring af lov om net- og informationssikkerhed (Implementering af EU's telekodeks), fra forsvarsministeren
tjenesters og udbydere af NUIK-tjenesters
informering af deres potentielt berørte bru-
gere om mulige beskyttelsesforanstaltnin-
ger eller afhjælpende foranstaltninger, som
brugerne kan træffe i tilfælde af en særlig
og betydelig trussel om en sikkerhedshæn-
delse i udbyderens net eller tjenester. Der
kan endvidere stilles krav om, at de pågæl-
dende udbydere skal informere deres bru-
gere om selve truslen.«
§ 5. ---
Stk. 2.
For erhvervsmæssige udbydere af
offentligt tilgængelige net og tjenester kan
det i regler efter stk. 1 endvidere fastsættes,
at udbyderne med henblik på at sikre elektro-
nisk kommunikation i beredskabssituationer
og i andre ekstraordinære situationer skal
1.
udarbejde beredskabsplaner baseret på en
dokumenteret og ledelsesforankret risiko-
styringsproces og
2.
planlægge og deltage i øvelsesaktiviteter.
Stk. 3-4. ---
15.
I
§ 5, stk. 2,
ændres »offentligt tilgæn-
gelige net og tjenester« til: »offentligt til-
gængelige elektroniske kommunikationsnet
og -tjenester«.
16.
Efter § 5 indsættes:
Ȥ
5 a.
Center for Cybersikkerhed fast-
sætter regler om, at udbydere, som i med-
før af teleloven skal udsende offentlige ad-
varsler om overhængende eller truende
alvorlige nødsituationer og katastrofer, skal
træffe alle nødvendige foranstaltninger til at
sikre uafbrudt transmission af advarslerne.«
§ 6.
En udbyder skal indstille medarbejdere
og repræsentanter for udbyderen til sikker-
hedsgodkendelse hos sikkerhedsmyndighe-
den, når de pågældende som led i deres kon-
krete opgaveløsning for udbyderen skal be-
handle klassificerede informationer eller andre
informationer, der er særligt beskyttelsesvær-
dige i relation til informationssikkerhed eller
beredskab.
Stk. 2.
Erhvervsmæssige udbydere af of-
fentligt tilgængelige net skal sikre, at medar-
bejdere eller repræsentanter for udbyderen,
der varetager kontakten til Center for Cyber-
sikkerhed i relation til beredskabet i henhold
til regler, der er udstedt i medfør af § 5, stk.
2, i fornødent omfang sikkerhedsgodkendes
efter stk. 1.
17.
I
§ 6, stk. 1,
ændres »informationssik-
kerhed« til: »sikkerhed i net og tjenester«.
18.
I
§ 6, stk. 2,
ændres »offentligt tilgæn-
gelige net« til: »offentligt tilgængelige elek-
troniske kommunikationsnet«.
Side 42 af 45
 FOU, Alm.del - 2019-20 - Bilag 105: Udkast til lovforslag om ændring af lov om net- og informationssikkerhed (Implementering af EU's telekodeks), fra forsvarsministeren
Stk. 3-6. ---
§ 9. ---
Stk. 2.
Center for Cybersikkerhed kan som
led i sit tilsyn kræve, at udbydere fremlægger
alle de oplysninger og det materiale om in-
formationssikkerhed, beredskab og sikker-
hedsgodkendelse, der er nødvendige for cen-
terets tilsynsvirksomhed, herunder til afgørel-
se af, om et forhold falder ind under denne
lov eller regler, der er udstedt i medfør af lo-
ven.
Stk. 3-4. ---
Stk. 5.
Center for Cybersikkerhed kan stille
krav om, at udbydere skal foranstalte en uaf-
hængig sikkerhedsrevision og stille resultater-
ne heraf til rådighed for centeret.
Stk. 6.
Såfremt det er nødvendigt af hensyn
til informationssikkerheden, har Center for
Cybersikkerhed efter et skriftligt varsel på
mindst 7 arbejdsdage uden retskendelse mod
behørig legitimation adgang til udbyderes for-
retningslokaler med henblik på at påse over-
holdelsen af loven og regler, der er udstedt i
medfør af loven. Center for Cybersikkerhed
kan ikke i forbindelse med adgang til forret-
ningslokaler tilgå kommunikation til, fra eller
mellem udbyderens kunder.
Stk. 7.
Såfremt det er nødvendigt af hensyn
til informationssikkerheden, har Center for
Cybersikkerhed efter et skriftligt varsel på
mindst 7 arbejdsdage uden retskendelse mod
behørig legitimation adgang til forretningslo-
kaler hos udbyderes samarbejdspartnere, le-
verandører eller underleve-randører med
henblik på at påse overholdelsen af loven og
regler, der er udstedt i medfør af loven, i rela-
tion til outsourcet aktivitet. Center for Cyber-
sikkerhed kan ikke i forbindelse med adgang
til forretningslokaler tilgå kommunikation til,
fra eller mellem udbyderens kunder.
§ 10.
Center for Cybersikkerhed kan i ikke-
anonymiseret form offentliggøre:
1) Påbud meddelt i medfør af § 3, stk. 2 og
3, og § 5, stk. 4, og afgørelser truffet i
medfør af regler, der er udstedt i medfør
af § 3, stk. 1 og 3, § 4, § 5, stk. 1, 2 og 3,
og § 6, stk. 6.
19.
I
§ 9, stk. 2,
ændres »udbydere« til:
»udbydere og udbydere af NUIK-tjenester«,
og »informationssikkerhed« ændres til:
»sikkerhed i net og tjenester«.
20.
I
§ 9, stk. 5,
ændres »udbydere« til:
»udbydere og udbydere af NUIK-tjenester«.
21.
I
§ 9, stk. 6
og
7,
ændres »informati-
onssikkerheden« til: »sikkerheden i net og
tjenester«.
22.
I
§ 10, stk. 1, nr. 1,
2 og 3,« til »§ 3, stk. 2,
stk. 1 og 3,« ændres til:
4«. Efter »§ 5, stk. 1, 2
»§ 5 a,«.
ændres »§ 3, stk.
3 og 4«, og »§ 3,
Ȥ 3, stk. 1, 3 og
og 3,« indsættes:
Side 43 af 45
 FOU, Alm.del - 2019-20 - Bilag 105: Udkast til lovforslag om ændring af lov om net- og informationssikkerhed (Implementering af EU's telekodeks), fra forsvarsministeren
2-4) ---
Stk. 2.
Offentliggørelse efter stk. 1 må ikke
indeholde
1) oplysninger om tekniske indretninger eller
fremgangsmåder eller om drifts- eller for-
retningsforhold el.lign., for så vidt det er
af væsentlig økonomisk betydning for den
udbyder, som oplysningerne angår,
2-5) ---
Stk. 3. ---
§ 12.
Center for Cybersikkerhed kan hos
udbydere indsamle oplysninger med henblik
på at videregive disse til Kommissionen, Det
Europæiske Agentur for Net- og Informations-
sikkerhed eller nationale tilsynsmyndigheder i
andre EU-medlemsstater, i det omfang det er
nødvendigt, for at disse kan opfylde deres
opgaver i forhold til traktatmæssige forpligtel-
ser eller forpligtelser i henhold til den gæl-
dende EU-ret.
Stk. 2.
Center for Cybersikkerhed orienterer
de udbydere, der er indsamlet oplysninger fra,
forud for videregivelse af oplysningerne til
Kommissionen, Det Europæiske Agentur for
Net- og Informationssikkerhed eller nationale
tilsynsmyndigheder
i
andre
EU-
medlemsstater.
Stk. 3. ---
§ 13.
Center for Cybersikkerhed kan fast-
sætte regler, som er nødvendige for at gen-
nemføre retsakter udstedt af Kommissionen
vedrørende informationssikkerhed og bered-
skab på teleområdet, herunder regler om
sanktioner i form af bøder for manglende
overholdelse af retsakterne.
§ 14.
Med bøde straffes, medmindre stren-
gere straf er forskyldt efter den øvrige lovgiv-
ning, den, der
1) undlader at efterkomme Center for Cyber-
sikkerheds påbud efter § 3, stk. 2 eller 3,
eller § 5, stk. 4,
2) ---
Stk. 2.
I regler, som udfærdiges i medfør af
§ 3, stk. 1 eller 3, § 4, § 5, stk. 1, 2 eller 3,
eller § 6, stk. 6, kan der fastsættes straf i
form af bøde for overtrædelse af bestemmel-
23.
I
§ 10, stk. 2, nr. 1,
ændres »den ud-
byder« til: »den udbyder eller udbyder af
NUIK-tjenester«.
24.
I
§ 12, stk. 1
og
2,
ændres »udbydere«
til: »udbydere og udbydere af NUIK-
tjenester« , og »Det Europæiske Agentur
for Net- og Informationssikkerhed« ændres
til »Den Europæiske Unions Agentur for
Cybersikkerhed«.
25.
I
§ 13
ændres »informationssikkerhed
og beredskab på teleområdet« til: »sikker-
hed i net og tjenester«.
26.
I
§ 14, stk. 1, nr. 1,
ændres »§ 3, stk.
2 eller 3« til: »§ 3, stk. 2, 3 eller 4«.
27.
I
§ 14, stk. 2,
indsættes efter »§ 5, stk.
1, 2 eller 3,«: »§ 5 a,«.
Side 44 af 45
 FOU, Alm.del - 2019-20 - Bilag 105: Udkast til lovforslag om ændring af lov om net- og informationssikkerhed (Implementering af EU's telekodeks), fra forsvarsministeren
serne i reglerne.
Stk. 3. ---
Side 45 af 45