Forsvars-, Samfundssikkerheds- og Beredskabsudvalget 2024-25
FOU Alm.del
Offentligt
Ministeriet for
Samfundssikkerhed og Beredskab
Dato:
Kontor:
5. februar 2025
Cyber- og informations-
sikkerhed
Sagsbeh: RPB
Besvarelse af spørgsmål nr. 73 (Alm. del) fra Forsvars-, Samfundssik-
kerheds- og Beredskabsudvalget
Hermed sendes besvarelse af spørgsmål nr. 73 (Alm. del), som Folketingets
Forsvars-, Samfundssikkerheds- og Beredskabsudvalg har stillet til ministe-
ren for samfundssikkerhed og beredskab den 9. december 2024. Spørgsmå-
let er stillet efter ønske fra Alexander Ryle (LA).
Torsten Schack Pedersen
Side 1/3
 FOU, Alm.del - 2024-25 - Endeligt svar på spørgsmål 73: Spm. om, hvorfor muligheden i EU-direktivet for at omfatte kommuner som lokale eller regionale myndigheder ikke er blevet udnyttet i lovforslaget for NIS2, fremlagt den 5. juli 2024
Spørgsmål nr. 73 (Alm. del) fra Folketingets Forsvars-, Samfundssikker-
heds- og Beredskabsudvalg:
”Kan
ministeren redegøre for, hvorfor muligheden i EU-direk-
tivet for at omfatte kommuner som lokale eller regionale myn-
digheder ikke er blevet udnyttet i lovforslaget for NIS2, fremlagt
den 5. juli 2024?”
Svar:
1.
NIS 2-direktivet har til formål at sikre et højt og mere ensartet cybersik-
kerhedsniveau på tværs af EU. Det sker ud fra en risikobaseret tilgang, hvor
de omfattede virksomheder og myndigheder skal sikre, at de gennemfører
cybersikkerhedsforanstaltninger, der bl.a. skal omfatte politikker for risiko-
analyse, håndtering af hændelser og forsyningskædesikkerhed.
2.
Det fremgår af den version af udkastet til NIS 2-lovforslaget, som blev
sendt i offentlig høring i sommeren 2024, at en offentlig forvaltningsenhed
på lokalt plan eller en uddannelsesinstitution efter omstændighederne kunne
blive omfattet af lovens anvendelsesområde, selvom bemyndigelsen i den
foreslåede § 1, stk. 7, ikke var udnyttet. Dette ville eksempelvis kunne være
tilfældet i en situation, hvor en kommune agerer som sundhedstjenesteyder
i overensstemmelse med NIS 2-direktivets bilag. I denne situation ville
kommunen kunne være omfattet af lovens anvendelsesområde på baggrund
af disse aktiviteter, også selvom bemyndigelsen i den foreslåede § 1, stk. 7,
ikke var udnyttet. Denne bestemmelse ville således alene være relevant, hvis
man måtte ønske at omfatte offentlige forvaltningsenheder på lokalt plan
eller uddannelsesinstitutioner som følge af andre aktiviteter eller tjenester
end dem, der er oplistet i direktivets bilag.
3.
Det følger af EU-Kommissionens meddelelse C/2023/6068 af 13. sep-
tember 2023 om retningslinjer for anvendelsen af artikel 4, stk. 1 og 2, i NIS
2-direktivet, at direktivets forpligtelse i artikel 21, stk. 1 om, at væsentlige
og vigtige enheder træffer passende og forholdsmæssige foranstaltninger til
styring af cybersikkerhedsrisici, vedrører alle den pågældende enheds ope-
rationer og tjenester, og ikke kun specifikke it-aktiver eller kritiske tjenester,
som enheden leverer.
Det er på denne baggrund Ministeriet for Samfundssikkerhed og Beredskabs
opfattelse, at formuleringen »i net- og informationssystemer, som disse en-
heder anvender til deres operationer eller til at levere deres tjenester« i NIS
2-direktivets artikel 21, stk. 1, skal forstås som alle de net- og informations-
systemer, som disse enheder anvender til deres operationer, eller til at levere
Side 2/3
 FOU, Alm.del - 2024-25 - Endeligt svar på spørgsmål 73: Spm. om, hvorfor muligheden i EU-direktivet for at omfatte kommuner som lokale eller regionale myndigheder ikke er blevet udnyttet i lovforslaget for NIS2, fremlagt den 5. juli 2024
deres tjenester, og ikke kun specifikke informationsteknologiske (it) aktiver
eller kritiske tjenester, som enheden leverer. I tilfælde hvor en enhed anven-
der flere forskellige typer af net- og informationssystemer, og hvor kun
nogle af disse systemer er omfattet af direktivets bilag, vil samtlige af de
net- og informationssystemer, som enheden anvender til sine operationer,
eller til at levere sine tjenester, således blive underlagt direktivets krav.
Som følge heraf kommer det til at fremgå af udkastet til NIS 2-lovforslag,
som forventes fremsat den 6. februar 2025, at kommunerne
på lige fod
med andre enheder, der er omfattet af lovens anvendelsesområde
ikke
alene vil skulle træffe passende og forholdsmæssige foranstaltninger for at
styre risiciene for sikkerheden i net- og informationssystemer vedrørende de
aktiviteter, der er oplistet i direktivets bilag, men for samtlige af de net- og
informationssystemer, som de anvender til deres operationer, eller til at le-
vere deres tjenester.
4.
Ministeriet for Samfundssikkerhed og Beredskab er i løbende dialog med
KL og relevante myndigheder om betydningen heraf, herunder de nærmere
rammer for kommunernes overholdelse af NIS 2-direktivets krav.
Side 3/3