Det næste punkt på dagsordenen er:

3) 1. behandling af lovforslag nr. L 141:

Forslag til lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau (NIS 2-loven).

Af ministeren for samfundssikkerhed og beredskab (Torsten Schack Pedersen).

(Fremsættelse 06.02.2025).

Forhandlingen er åbnet, og den første ordfører, der får ordet, er Kasper Roug fra Socialdemokratiet. Værsgo.

Tak for det, formand. Med det her lovforslag foreslås det, at vi skal implementere NIS 2-direktivet. Danmark er jo et af de mest digitaliserede samfund og lande i verden, og det gør os selvfølgelig sårbare, hvis sikkerheden ikke god nok. Med implementeringen af NIS 2-direktivet sikrer vi, at Danmark sammen med Europa skaber et højt og ensartet cybersikkerhedsniveau på tværs af unionslandene.

Konkret sikrer lovforslaget, at myndigheder, virksomheder og organisationer i samfundskritiske sektorer lever op til cybersikkerhedskravet. Derudover sikrer det, at oplysninger og underretninger bliver delt med de rigtige myndigheder, og at myndighederne styrkes i deres tilsynsbeføjelser.

Socialdemokratiet er som tidligere nævnt også optaget af, at Danmark fortsat er et trygt land, og det betyder ikke, at vi kan tage trygheden for givet. Truslen imod vores digitale infrastruktur og cybersikkerhed er steget, og den er løbende stigende. Vi snakker om cyberkriminalitet, cyberaktivisme og destruktive cyberangreb. Det er trusler, som vi skal tage alvorligt, og derfor er direktivet vigtigt. Vi skal i Europa stå sammen og være solidariske, og det er, når vi implementerer NIS 2-direktivet og andre direktiver, at vi med fælles fodslag viser, at vi står sammen. For sådan står vi nemlig allerstærkest, og derfor støtter Socialdemokratiet forslaget.

Tak til ordføreren. Der er ingen spørgsmål, så vi går videre i talerrækken, og den næste på talerstolen er hr. Peter Juel-Jensen fra Venstre.

Tak for det, formand. Lovforslaget implementerer et direktiv fra Europa-Parlamentet og Rådet og har til formål at sikre et højt fælles cybersikkerhedsniveau i hele fællesskabet. Antallet af angreb på det danske samfund stiger, både i antal og i områder, og derfor skal alle sejl sættes til, således at russiske hackere ikke formår at lamme eller ødelægge vitale dele af vores land.

Rækkevidden af dette lovforslag er omfattende. jeg glæder mig derfor over tilgangen til udarbejdelsen af vejledningerne, der ligger bag det her lovforslag, da det er svært og kompliceret stof. Der er derfor nedsat en større arbejdsgruppe, der i sin bredde gerne skulle repræsentere de organisationer, der har interesser inden for området.

Jeg glæder mig også over, at kredsen af partier, der bakker op omkring dette, er bred og stor, da alternativet ikke er til at få øje på. Samme kreds er også enige om en gelinde indfasning, altså at håndhævelsen sker gelinde, således at der ikke udskrives bøder, men at man også som stat har en vejledende rolle.

Venstre støtter forslaget, og så skulle jeg også her hilse fra Radikale Venstre og sige, at de bakker op omkring lovforslaget.

Tak til Venstres ordfører. Der er ikke nogen spørgsmål. Den næste ordfører er hr. Kim Edberg Andersen fra Danmarksdemokraterne. Værsgo.

Jamen lad os finde hårene i suppen i stedet for, for vi er jo ikke uenige i det positive med det her. Jeg kan også trække plastret af og sige, at Danmarksdemokraterne kommer til at stemme for det. Når det så er sagt, er der nogle bekymringer.

Hvad koster det, når man ikke implementerer noget, vi ikke kan få at vide hvad er helt præcist? Hvis man er en virksomhed med mere end 50 ansatte eller med 75 mio. kr. i omsætning, hvad koster det så? Det er den frygt, der er i maven ude i de private virksomheder. Det er jo dem, vi er her for, når vi laver loven. Det er jo fuldstændig rigtigt. Vi har jo set, at cybersikkerheden forsvinder, og vi har behov for det. Det er vi alle sammen enige om. Men nu laver vi en lov, og så hører jeg ministeren sige: Jamen jeg har faktisk ikke tænkt mig sådan lige at gøre det helt store ved det i starten. Men det kan vi jo faktisk ikke sådan rigtig med en lov. Altså, når vi laver en lov, skal man jo også håndhæve den, hvis folk ikke overholder loven.

Der er nogle gråzoner, hvor jeg simpelt hen er i tvivl om, om dem, vi laver loven for, og dem, der skal stå på mål for det, vi laver nu, egentlig ved, hvad det er, de skal stå på mål for. Det skal vi skynde os at komme i mål med, fordi vi laver en lov, der lynhurtigt bliver implementeret. Det eneste, jeg kan sammenligne det med, er GDPR-lovgivningen. Det er samme kompleksitet, det her kommer til at have for de små og mellemstore virksomheder. Hvis ikke man ved, hvad man skal implementere, overimplementerer man. Så kan man sige, at man får meget sikkerhed, men det bliver også meget dyrere. Så der er jo en balancegang.

Det, vi mangler i Danmarksdemokraterne, er tjeklisten, pixibogen og sikkerheden for, at man som virksomhed, når man har gjort det, man tænker skal til, ikke får et klap med bødehammeren bagefter, hvor de siger, at der er et eller andet komma et eller andet sted, som man har overset, fordi man ikke rigtig har kunnet få det at vide.

Så jeg har været lidt i tænkeboks. Kunne man bede om, at man ligesom på skatteområdet kan skrive til ministeriet og få et bindende svar fra myndighederne om, at man er nået i mål, sådan at når tilsynet kommer derud, får man i hvert fald ikke en stor bøde, fordi man jo har gjort det, man kunne, og man jo har gjort det rigtige? For selvfølgelig skal man komme efter folk, som med vilje ikke har tænkt sig at overholde loven. Men jeg tror, der er mange gråzoner her, og det gør ondt i maven på folk.

Jeg har selv siddet i en mellemstor virksomhed, dengang vi indførte den mest fantastiske lov nogen sinde, nemlig GDPR, hvor jeg blev nødt til at læse 1.500 sider fra Europa-Kommissionen, for det eneste, jeg vidste med sikkerhed, var, at man i medierne sagde, at hvis ikke jeg overholdt det, fik vi en bøde på 6 pct. af omsætningen. Det kan man ikke overleve. Så får man ondt i maven som selvstændig, og det er den ondt i maven, som vi skal være bedre til at undgå.

Det er hurtigt, det her. Det er marts måned lige om lidt. Foråret er lige omkring hjørnet, og selv om glæden er stor for den solskinsstråle af en minister, vi har fået på området, er det kort tid, at man om 4 måneder skal implementere noget, som vi ikke rigtig selv er helt sikre på endnu. Det er det, der er håret i suppen for mig. Ellers er jeg fuldstændig enig. Selvfølgelig skal vi have en høj cybersikkerhed. Det er meget vigtigt, og det er også vigtigere nu, end det har været længe. Jeg tror også godt, at det private erhvervsliv er klar til at imødekomme det og også finde pengene til det. Selvfølgelig er det træls at skulle bruge penge på det her, men det er jo endnu mere træls at blive lagt ned digitalt.

Men der er jo også en regning til kommuner og regioner, hvor vi nok også lige skal have øje for det. Jeg sidder selv i et regionsråd, og så mange penge har vi ikke at rutte med. Så hvis det koster 300 mio. kr. at implementere derude – lad os sige, at 100 mio. kr. er til regionen – skal nordjyderne finde 10 mio. kr. Så der skal vi nok som Folketing lige have fundet pengene, næste gang der er forhandlinger. Når vi pålægger dem noget, om end nødvendigt, er det en udgift, og så skal vi bare huske, at vi ikke tager den fra kerneopgaven, som nu engang i i hvert fald regionen er sundhed.

Så det er hårene i suppen. Jeg håber, at ministeren er klar på at lave nogle bindende svar. Det ville også klæde ministeren at få lov til at skrive under på sådan nogle og sende dem ud til folk, så man med stor tryghed i stemmen kan sige: Ikke nok med, at jeg læser den vejledning, vi er blevet lovet at få samtidig med loven, har jeg såmænd også et brev fra Torsten, der siger, at jeg har gjort det, jeg skal, og derfor kan I ikke give mig en bøde. Tak for ordet.

Tak. Jeg skal gøre ordførerne klar på, at vi taler i tredjeperson herinde og ikke omtaler ministeren med fornavn. Der er simpelt hen kommet et spørgsmål, så værsgo til hr. Søren Søndergaard fra Enhedslisten.

Hørte jeg ordføreren åbne op for en overvejelse om, at man måske placerer dele af Center for Cybersikkerheds arbejde under en civilmyndighed, sådan at der kan komme en betydelig tættere sammenhæng med det private erhvervsliv og erhvervsorganisationerne?

Ordføreren.

Det hørte spørgeren med sikkerhed ikke, for jeg brugte ikke nogen af de fine, lange meget højt lixtal-ord overhovedet. Jeg er ret tryg ved, hvor det ligger. Det, jeg ikke er tryg ved, er, at vi, hvis vi påfører nogen en regning eller noget besvær, så ikke helt ved, hvad det er for noget besvær, vi pålægger dem. Så nej, det hørte ordføreren ikke, men jeg er i hvert fald sikker på, at ordføreren blev glad, dengang han troede, at jeg sagde det, men det mener jeg altså ikke at jeg sagde i min tale.

Spørgeren.

Men glæden varede åbenbart så kort. Jeg vil bare spørge ordføreren, om ordføreren slet ikke har hørt det problem fra private aktører og private virksomheder, at de ikke synes, at samarbejdet er tæt nok. Det er jo lige præcis det, ordføreren forholder sig til. Jo, vi skal pålægge virksomhederne en høj cybersikkerhed, for konsekvenserne af, at den ikke er der, både for dem og for samfundet, er enorme, men de skal selvfølgelig også have maksimal hjælp til det, og vi skal sikre, at oplysningerne flyder og samarbejdet er godt og der er en myndighed, der også taler deres sprog.

Ordføreren.

Jo, men jeg tror ikke, at man behøver at flytte det, bare fordi man har et ønske om, at alle offentlige myndigheder lærer at tale et sprog, som ganske almindelige mennesker ude i virksomhederne kan forstå. Det behøver man ikke at flytte ressortet eller ansvaret, eller hvor vi laver tingene henne, for. Der bør man nok sige til dem, der har ansvaret nu: I har ansvaret, men vi forventer, I taler et forståeligt sprog til de mennesker, som I pålægger byrder.

Igen vil jeg sige, at ministeren jo er en ny minister, og jeg har kæmpe tiltro til, at folk fra Nordjylland holder, hvad de siger, og ministeren har lovet mig, at der kommer meget, meget fornuftige vejledninger ud samtidig med loven.

Tak til ordføreren for Danmarksdemokraterne. Der er ikke flere spørgsmål. Vi går videre i talerrækken, den næste ordfører er hr. Sigurd Agersnap fra Socialistisk Folkeparti. Værsgo.

Tak for ordet, formand. Jeg skulle igen hilse fra vores ordfører, Anne Valentina Berthelsen, der desværre ikke kunne være her. Men truslerne mod vores sikkerhed og cybertruslen mod vores sikkerhed vokser, og derfor er det afgørende, at vi styrker beskyttelsen af den kritiske infrastruktur. Det er en opgave, vi er haltet noget efter med, men som vi nu er på vej til håndtere. Der er stadig væk en opfattelse af, at det ikke er helt lige så vigtigt som andre typer forsvar, men det er der i den grad behov for at få gjort op med.

Med dette lovforslag implementeres NIS 2-direktivet, og det gør sammen med CER-direktivet, at vi får en helhedsorienteret tilgang til cybersikkerhed og til at sikre modstandsdygtigheden i kritisk infrastruktur. Samtidig er det vigtigt med det her direktiv, fordi samarbejdet i EU er afgørende for at stå imod de stadig mere avancerede angreb, vi bliver udsat for. I samspillet mellem de to direktiver kan det være med til at sikre en stærkere og mere koordineret beskyttelse af vores samfund, og det er vi glade for i SF. Det mener vi er på tide, og derfor kan vi støtte forslaget.

Tak til ordføreren. Der er ikke stillet spørgsmål. Den næste på talerstolen er hr. Carsten Bach fra Liberal Alliance.

Tak for det, formand. Som med det foregående lovforslag er vi jo stadig væk i Liberal Alliance så heldige, at vi har så stor en folketingsgruppe, at vi kan have en helt selvstændig it- og digitaliseringsordfører, nemlig hr. Alexander Ryle, min gode kollega, som har klædt mig på til at tage behandlingen af det her lovforslag i Folketingssalen. Det er jeg meget glad for, for hr. Alexander Ryle er en meget grundig kollega.

Derfor er det også sådan, at der fra Liberal Alliances side bliver lagt vægt på, at cyberangreb er en reel trussel imod virksomheder, myndigheder og borgernes hverdag, sådan som vores sikkerhedspolitiske situation og sikkerheden i Europa er skruet sammen for nuværende. Derfor er en stærk cybersikkerhed afgørende for at beskytte vores samfund.

NIS2-loven her er et vigtigt skridt i den retning. Den implementerer NIS2-direktivet, som har til formål at sikre et højt og mere ensartet cybersikkerhedsniveau på tværs af EU. Det sker ud fra en risikobaseret tilgang, hvor de omfattede virksomheder og myndigheder skal sikre, at de gennemfører cybersikkerhedsforanstaltninger, der bl.a. skal omfatte politikker for risikoanalyse, håndtering af hændelser og forsyningskædesikkerhed. Loven skærper kravene på tværs af flere sektorer med undtagelse af tele-, energi- og finanssektorerne, hvor direktivet implementeres særskilt. Samtidig udvides kredsen af virksomheder og organisationer, der skal leve op til skærpede sikkerhedsforanstaltninger. Det er både fornuftigt og nødvendigt og endda også på tide.

Cyberangreb kan have vidtrækkende konsekvenser for forsyningssikkerheden, økonomien og borgernes sikkerhed, og derfor skal vi styrke vores digitale forsvar. Men vi skal samtidig sikre, at byrderne ved implementering af NIS2 ikke bliver unødigt tunge for små og mellemstore virksomheder. Ligesom med det tidligere forslag om CER-direktivet synes vi i Liberal Alliance, det er positivt, at der med lovforslaget tages udgangspunkt i en minimumsimplementering. Det er vigtigt for Danmarks konkurrenceevne.

Selv om lovforslaget har været længe undervejs og burde være trådt i kraft for måneder siden, er der stadig væsentlige uklarheder. Det bør præciseres, hvilke virksomheder der reelt er omfattet, og det skal være muligt at få et bindende svar på, om en virksomhed er underlagt NIS2 eller ej. Derudover bør der udarbejdes vejledningsmateriale, som supplerer lovens definitioner og krav.

Virksomhederne er fortsat usikre på, hvordan de nye krav til leverandørstyring skal fortolkes, og den korte implementeringsfrist øger i stor grad risikoen for overimplementering stik imod intentionen. I praksis kan det betyde, at virksomheder i frygt for ikke at overholde reglerne stiller uforholdsmæssig stramme krav til deres leverandører frem for at vælge en risikobaseret tilgang.

Det samme gælder kommunerne, som efter lang tids tovtrækkeri endelig er blevet omfattet af loven. Men med så kort tid til implementering risikerer vi yderligere overimplementering, da kommunerne får ekstremt kort tid til at etablere en klar strategi for deres underleverandører. Ministeriet bør derfor hurtigst muligt udarbejde konkrete vejledninger og gå i tæt dialog med kommunerne, så implementeringen bliver både effektiv og ensartet.

Erhvervslivet har gentagne gange advaret mod den alt for korte implementeringsperiode, som risikerer at gøre NIS2 til en bureaukratisk complianceøvelse frem for en reel styrkelse af cybersikkerheden. Det er dog positivt, at ministeren i et skriftligt svar til min gode kollega, hr. Alexander Ryle, er blødt en smule op og svarer, at det vil være naturligt ikke at hive bødeblokken frem som det første i de kommende tilsyn. Tak for den tilkendegivelse, men virksomhederne har brug for mere end vage udmeldinger; de har brug for klarhed. Derfor bør ministeren snarest muligt tydeliggøre tilsynsmyndighedernes tilgang til den første periode efter lovens ikrafttrædelse.

Vi mangler desuden svar på flere spørgsmål om lovens anvendelsesområde, herunder om virksomhederne kan omgå kravene gennem selskabskonstruktioner. Det ser vi frem til at drøfte nærmere i udvalgsbehandlingen.

Selv om det på nogle punkter kan virke, som om ministeren har sovet lidt i timen, bakker vi overordnet set op om lovforslaget. Men cybersikkerhed handler ikke kun om skærpede krav; det handler også om klarhed og smidig implementering. Tak for ordet.

Tak til ordføreren. Jeg skal gøre opmærksom på, vores it driller, så hvis medlemmerne har et spørgsmål, må de gerne lige gøre sig bemærket heroppe, og så noterer vi, at I har noget at sige. Men der er ikke stillet spørgsmål til ordføreren for Liberal Alliance, og derfor går vi videre i talerrækken, og den næste er fru Charlotte Bagge Hansen fra Moderaterne. Værsgo.

Tak for ordet, formand. Hold nu op, man får jo helt præstationsangst med sådan en fornem tale, som min kollega fra Liberal Alliance vi har holdt. Den her bliver kort og præcis.

Cybertruslen vokser. Vi er sårbare i Danmark, og det er et problem, vi skal tage alvorligt. Lovforslag nr. L 141 skal beskytte vores samfund. Loven skal sikre, at de kritiske sektorer – det er virksomheder og myndigheder – er rustet mod angreb. Det handler om sikkerhed; det handler om stabilitet. Reglerne skal være klare, de skal være til at forstå, og virksomhederne skal have al den vejledning, de har brug for, for at det virker første gang. Og ikke mindst skal de have tid til at tilpasse sig. Det er et vigtigt, og det er et nødvendigt skridt. Vi skal passe på Danmark og danskerne. Moderaterne bakker op om forslaget. Tak for ordet.

Tak til Moderaternes ordfører. Der er ikke stillet spørgsmål, så vi fortsætter i talerrækken. Og den næste på talerstolen er hr. Rasmus Jarlov fra Det Konservative Folkeparti.

I effektiviseringens navn holder jeg kun én tale, som gælder for alle de tre lovforslag, som vi behandler i dag – L 140, L 141 og L 142 – og som alle sammen handler om cybersikkerhed. Vores kommentar til de tre lovforslag er den samme. Vi synes, det er meget positivt, at der bliver taget skridt for at øge cybersikkerheden i Danmark. Det er nødvendigt med de meget alvorlige trusler, vi står over for.

Der virker til at være ét stort problem, som vi håber at regeringen vil tage sig af, og det er, det er meget ukonkret, hvad de virksomheder, som er omfattet af reglerne, skal gøre for at leve op til reglerne. Vi havde en teknisk gennemgang i sidste uge i Forsvarsudvalget, hvor vi fik gennemgået meget minutiøst, hvem der er omfattet af loven. Det ligger meget fast, kan vi forstå, og det er jo fint, for så er der en masse mennesker, der ved, om de er omfattet af loven eller ikke er omfattet af loven. Men de mennesker, som er omfattet af loven, har ét ønske, og det er at vide, hvad de skal gøre for at overholde loven. Det fik vi ikke nogen særlig gode svar på, og det er der ikke nogen særlig gode svar på i lovforslaget, og det er et lovgivningsmæssigt meget stort problem. Det er dårlig lovgivning, når man ikke klart kan få svar på, hvad man skal gøre for at overholde loven. Det skaber nervøsitet og en usikkerhed og angst for virksomheder, for næsten alle vil jo gerne overholde loven og gøre, hvad de kan, men det er meget problematisk, hvis de ikke kan få at vide, hvad det er.

Det minder alt for meget om GDPR, hvor det også var utrolig uklart, hvad man skulle gøre som virksomhed. Det førte så til en hel industri af konsulenter, som begyndte at slå sig op på at fortælle folk, hvad loven gik ud på, for regeringen gad ikke at fortælle det. Af myndighederne kunne man ikke få at vide, hvad det var, man skulle gøre, og så var der en masse af selvbestaltede konsulenter, der begyndte at holde meget store og dyre kurser om, hvordan man skal overholde lovgivningen. Men det var jo for det meste gætværk, for der var ikke noget facit for det.

Det samme sker nu her. Der er også NIS2-konsulenter, der begynder at slå sig op og holde arrangementer og kurser af nøjagtig samme karakter. Den industri bør slås ihjel. Den bør slås ihjel, ved at regeringen klart og tydeligt fortæller, hvad virksomheder skal gøre for at leve op til lovgivningen, så der ikke er behov for nogen, der står og opdigter, hvad man skal gøre.

Vi er med på, at kravene kan ændre sig undervejs – at det kan være forskellige ting, man skal gøre forskellige steder – men så må man skrive det. Man kan jo godt skrive, at der f.eks. skal laves en plan for, hvordan man beskytter sine sendemaster i telesektoren, og at den plan skal godkendes af myndighederne. Det er fleksibelt, men det er stadig væk konkret, for så ved man, at kravet er, at man skal lave den plan, og at den skal godkendes af telemyndighederne. Den grad af konkretisering er der behov for, og det bør ske, inden loven træder i kraft. Vi kan ikke være bekendt at vedtage noget lovgivning og sige, at nu er I om fattet af nogle regler, men I kan ikke få at vide, hvad reglerne er. Det er vores største kritikpunkt, og jeg vil bemærke, at det er en kritik, som også går igen og igen i alle høringssvar. Jeg håber, at regeringen og embedsværket tager det på sig, så der kan være en høj grad af kvalitet i den lovgivning, som vi laver herinde, i stedet for at vi kaster en hel masse usikkerhed ud over en masse virksomheder. Tak.

Tak til ordføreren. Der er ingen spørgsmål. Den næste på talerstolen er hr. Søren Søndergaard fra Enhedslisten. Værsgo.

Hvor L 140 pålagde virksomheder og myndigheder og en række sektorer – transport, sundhed, drikkevand osv. – at identificere risici og gennemføre beredskabsplaner og sikre drift under cyberangreb, udvider det forslag, vi behandler nu, L 141, sikkerhedskravene til flere sektorer end i dag, skærper kravene til risikostyring, hændelsesrapportering og ledelsesansvar og giver myndighederne større sanktionsmuligheder. Det støtter vi også, med henvisning til hvad jeg sagde i min forrige tale. Det har jeg ikke noget behov for at gå tættere ind i.

Men jeg har tre små bemærkninger. For det første sagde ministeren i vores diskussioner om, om det var minimumsimplementering, eller hvad det var, af de to direktiver, der ligger til grund, at der jo netop var tale om, at man skulle leve op til passende forholdsregler. Og det er klart, at så kan man jo godt minimumsimplementere, hvis man løbende kan udvide det med passende forholdsregler. Det må forstås på den måde, at det kan man så gøre løbende.

Den anden ting handler om omkostningerne. Jeg tror, det er vigtigt at fastholde, at det allerallerdyreste vil være at lade være med at indføre det her; altså, det vil være ikke at gennemføre nogle strenge krav til cybersikkerhed, både når vi snakker om offentlige institutioner, og når vi snakker om private institutioner. Det vil være det allerdyreste. Og det er klart, at der er nogle af de virksomheder, der har været udsat for det, der ikke rigtig vil fortælle, hvor meget de har betalt, eller hvor meget det har kostet dem, men det har været rasende dyrt.

Det fører mig så frem til det tredje punkt. Jeg deler faktisk den bekymring, der kom fra Danmarksdemokraterne, og den bekymring, der kom fra Det Konservative Folkeparti, nemlig hvordan vi sikrer, at det her ikke bliver et nyt system, hvor der er en masse krav, som folk ikke rigtig kan finde ud af, og hvor de skal ansætte nogen til ligesom at fortælle, hvordan det hænger sammen. Der må det sikres, at der er en offentlig myndighed, der ned i detaljen fortæller folk, hvad de skal gøre, og som også er i stand til at hjælpe dem undervejs. Vi må have sådan en myndighed, og det kræver et tæt samarbejde mellem den myndighed og så de berørte virksomheder. Det er nødvendigt. Og det er klart, at vi også under udvalgsbehandlingen sammen med andre gode kræfter vil bore ud, hvordan vi sikrer det, for det er helt afgørende. Risikoen er jo, at vi vedtager det her, og at det koster en masse virksomheder en hel masse penge, og at der så er nogle, der opgiver det eller ikke gør det ordentligt, og så kommer der alligevel et kæmpeproblem, fordi der kommer nogle angreb, der spreder sig. Så det er vi meget indstillet på at diskutere videre i udvalgsbehandlingen.

Tak til Enhedslistens ordfører. Den næste på talerstolen er hr. Alex Ahrendtsen fra Dansk Folkeparti. Værsgo.

Tak, formand. Lovforslaget handler om at sikre Danmarks digitale grænser. Vi skal kunne stole på vores net og data, og vi skal værne om borgernes oplysninger. Vi skal også have fuld kontrol over de trusler, der kommer udefra. I Dansk Folkeparti vil vi forsvare Danmark mod hackere og kriminelle og fremmede magter. Det kræver klare regler, det kræver konsekvens, og det kræver selvfølgelig vilje til at beskytte det, vi holder af. Det er alt sammen noget, som lovforslaget er med til at sikre, og derfor stemmer vi ja.

Tak til ordføreren. Så byder vi velkommen til ministeren for samfundssikkerhed og beredskab på talerstolen.

Tak for ordet, og tak til alle Folketingets partier for opbakningen. Som nævnt står vi som samfund over for et trusselsbillede, der er ganske anderledes end for bare få år siden, og det stiller selvfølgelig krav til, at vi ruster Danmark bedre til at modstå cyberangreb.

I Styrelsen for Samfundssikkerheds vurdering af cybertruslen mod Danmark fra 2024 står det klart, at trusselsbilledet er alvorligt, og at det løbende udvikler sig. I vurderingen fra juni blev truslesniveuaet fra destruktive cyberangreb mod Danmark hævet til middel. Niveauet blev hævet, fordi det er sandsynligt, at Rusland er blevet mere risikovillig i forhold til at bruge hybride virkemidler med destruktive effekter, og de destruktive angreb kan have vidt forskellige konsekvenser, alt efter hvad og hvor de rammer. Der kan eksempelvis være tale om angreb mod kritisk infrastruktur, hvor hensigten er at skabe alvorlige og omfattende konsekvenser for samfundsvigtige funktioner. På nuværende tidspunkt er det dog primært mindre omfattende destruktive angreb, trusselsniveauet relaterer sig til.

Cyberangrebene påvirker jo ikke kun cyberdomænet, men også den fysiske verden. Det oplevede vi bl.a. tilbage i december, da prorussiske cyberaktivister udførte et angreb mod et dansk vandværk. Angrebet efterlod de lokale borgere uden drikkevand i hanen i flere timer. Det konkret angreb havde – heldigvis – en begrænset effekt, men det er tydeligt, at vi ser ind i et trusselsbillede, som er markant anderledes, end det var for bare få år siden, og at vi skal være bedre forberedt. For konsekvenserne kan være ganske, ganske store, ikke kun for dem, der rammes direkte, men også for samfundet, eksempelvis hvis det betyder, at tjenester, som benyttes bredt i samfundet, bliver afbrudt.

Lovforslaget, vi behandler, har til formål at implementere NIS 2-direktivet i dansk ret for samtlige de sektorer, der omfattes af direktivets anvendelsesområde, dog med undtagelse af tele-, finans- og energisektorerne. For de tre sektorer implementeres direktivet særskilt, da der på disse områder allerede eksisterer en omfattende regulering af cybersikkerheden. Mit ministerium har også ansvaret for den særskilte implementering for telesektoren, og det kommer vi tilbage til under det næste punkt på dagsordenen.

Med lovforslaget stilles der krav om, at væsentlige og vigtige enheder skal træffe passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger til styring af risiciene for sikkerheden i net- og informationssystemer. Foranstaltningerne skal træffes ud fra en risikobaseret tilgang, som bl.a. omfatter foranstaltninger til håndteringen af hændelser, politikker for brug af kryptering og foranstaltninger om personalesikkerhed. Med kravet om foranstaltninger tages der et vigtigt skridt på vejen for at sikre en øget cybersikkerhed omkring vores kritiske it-systemer. I forbindelse med kravene til foranstaltninger har der været rejst spørgsmål om, hvorvidt man kan gøre brug af eksisterende standarder. Relevante internationale standarder kan benyttes som led i opfyldelsen af direktivets krav om foranstaltninger. Virksomheder og myndigheder, som i dag bruger internationale standarder på området, vil derfor være godt på vej til en opfyldelse af lovforslagets krav. Det er dog vigtigt at sige, at en enkelt enhed ikke kan anses for at opfylde direktivets krav alene ved at være eksempelvis ISO 27.001-certificeret.

Der har helt forståeligt også været et stort fokus på spørgsmålet om NIS 2-lovens håndhævelse hos erhvervslivet og andre interessenter, særlig i den første tid efter at reglerne er trådt i kraft. Jeg har, som flere har bemærket det, tidligere sagt – og det vil jeg gerne gentage her i dag – at det i mine øjne vil være naturligt, at tilsynsmyndighederne ikke hiver bødeblokken frem som det første, men at de i stedet har fokus på vejledning. Lovforslaget kommer til at få stor betydning for både erhvervslivet og for myndighederne, og derfor har det været afgørende for mig, at processen for implementeringsarbejdet bliver så god som muligt. Det er også en af årsagerne til, at vi førstebehandler lovforslaget i dag, og der har også allerede i den tid, hvor jeg som minister har haft ansvaret for lovforslaget, været en tæt, tæt dialog med en lang række interessenter for at sørge for, at vi skærer lovforslaget så præcist til som muligt. En vellykket implementering af direktiverne på tværs af sektorer kræver også en tæt koordinering og en inddragelse af de forskellige myndigheder, virksomheder og brancheorganisationer, og det er en opgave, som mit ministerium i høj grad har taget på sig.

Noget af det mest efterspurgte, både i ministeriets dialog, men det har jo også været udtrykt i ordførertalerne i dag, har været et vejledningsmateriale, som kan understøtte med den praktiske anvendelse af lovens krav. Der er derfor nedsat en arbejdsgruppe med 17 interesseorganisationer, som løbende bliver inddraget i foråret, mens vejledningerne udarbejdes. For vejledningsmaterialet skal foreligge senest samtidig med lovens ikrafttræden. Jeg har nemlig også tidligere været med til, at vejledningerne er kommet, lang tid efter at lovgivningen er trådt i kraft, og det er ikke optimalt. Så derfor har det været mit meget, meget klare ønske fra den første dag, at vi skal have vejledningsmaterialet klar, senest når loven træder i kraft, og efter en ikrafttræden vil mit ministerium også bistå de relevante kompetente myndigheder, så der sker en tæt koordination og et tæt samarbejde mellem tilsynsmyndighederne.

I forhold til kommunerne vil de kommende NIS 2-regler gælde for en lang række kritiske sektorer som bl.a. sundhedssektoren. På det område løser kommunerne jo bl.a. opgaver, og det betyder, at kommunerne vil være omfattet af lovens anvendelsesområde på baggrund af disse aktiviteter, og det er ministeriets vurdering, at virksomheder og myndigheder vil være omfattet af NIS 2-reglerne i deres helhed, hvis bare nogle af aktiviteterne er omfattet af en kritisk sektor. For kommunerne betyder det konkret, at samtlige deres systemer som udgangspunkt vil være omfattet af loven. Som det fremgår af lovforslaget, har det ikke været muligt endeligt at kvantificere lovforslagets økonomiske konsekvenser, men vi kommer selvfølgelig ikke udenom, at det har store økonomiske konsekvenser for både virksomheder og myndigheder, som er omfattet af anvendelsesområdet.

Men det er jo altså vigtigt at understrege, at det også er i virksomhederne, myndighedernes og i vores samfunds interesse, at cybersikkerhedsniveauet øges. Virksomhederne kan lide store økonomisk tab, hvis de ikke er rustede godt nok til at håndtere et cyberangreb, hvis virksomhedens aktiviteter simpelt hen bliver lukket ned, eller hvis hele deres datagrundlag forsvinder, og vi har som samfund så stor en digital afhængighed, at det er vigtigt, at vi løfter indsatsen. Jeg er også pinligt bevidst om, at det er en stor regning, lovforslaget medfører, men alternativet er jo ikke at gøre ingenting. For så står man både i den enkelte virksomhed, den enkelte berørte myndighed eller hos os som samfund med et økonomisk tab, der kan være markant større og med voldsomme konsekvenser for vores brede samfundssikkerhed. Vi kan bare se i andre lande, hvad forskellige cyberangreb har haft af konsekvenser.

Så det understreger, at jovist, det her lovforslag kommer med en pris, men at det også har en klar effekt, og at det er med til at øge vores samlede samfundsrobusthed, og det er årsagen til, at vi tager det her så alvorligt. Jeg lytter jo også til de bemærkninger og kommentarer, som forskellige ordførere er kommet med, og lad mig bare for en god ordens skyld lige prøve at adressere et par stykker af dem ud over det, jeg allerede har sagt. Det følger af direktivet, at det er virksomhederne og enhederne selv, der vurderer, om man er omfattet af lovens anvendelsesområde, og det er sådan set det, der står i direktivet, som vi fører videre, og så har jeg understreget, at vi skal sørge for, at der bliver udarbejdet grundige vejledninger, og at de kompetente myndigheder også skal være klar til at vejlede og hjælpe virksomhederne med forståelsen af anvendelsesområdet, så det bliver så let at håndtere som overhovedet muligt. Tak for ordet.

Tak til ministeren. Jeg skal fortsat gøre opmærksom på, at der er problemer med at trykke sig ind til korte bemærkninger. Så hvis ordførerne ønsker ordet, må man gerne lige markere, og den første, der har gjort det, er hr. Kim Edberg Andersen fra Danmarksdemokraterne. Værsgo.

Tak for det. Vi kan jo se problemstillingerne, og man må jo ikke håbe, at kommunikationsevnen i det danske Folketing bliver omfattet af kritisk infrastruktur. For så har vi jo allerede nu en ballade. Jeg er jo kommet til København, og det er ligesom med burgermetoden, hvor man skal sige noget pænt først, altså at det var en god lang tale, og så kommer indholdet, og ministeren siger jo ikke rigtig noget alligevel. For hele Folketinget har jo af deres gode hjerte, mavefølelser og intentioner sagt til ministeren, at lad os få loven til at træde i kraft. Men der er jo nogle problemstillinger med, hvad loven egentlig indebærer, og det siger ministeren så at man har tænkt sig at løse med en vejledning. Men hvis man kan lave en vejledning, der forklarer alle virksomheder, hvad de skal gøre for at overholde loven, så er man jo i mål, og så ved de, hvad den indebærer.

Jeg er bekymret for, at vejledningerne, om end intentionen bag ved dem er god, bliver noget, som de egentlig ikke kan bruge til noget. For når man sidder derude i den anden ende, et sted, hvor man har ansvaret for at implementere lovgivningen – og langt de fleste virksomheder vil gerne gøre det her – så har man behov for, om ikke en facitliste, så i hvert fald nogle meget klare regler. Og vi kan ikke få dem, når loven træder i kraft. Hvor hurtigt kan ministeren sikre danske virksomheder det?

Ministeren.

Det, at ordføreren står på gulvet ved pulten, hvor der normalt afvikles § 20-spørgsmål, er jo sådan set et godt eksempel på, at systemet har såkaldt redundans, altså at der, hvis det, der er det primære, ikke virker, så er en backupløsning, som sørger for, at tingene kan afvikles. Det er faktisk måske også en god lære, når man taler cybersikkerhed, at man sørger for, at der er backupsystemer, og at man, hvis der er noget, der bliver påvirket, i de situationer har noget andet, der træder til.

Som sagt gentager jeg meget gerne, at jeg er meget, meget optaget af, at vi har en tæt dialog. Det har der også været i de seneste måneder, og det vedbliver der også at være i den kommende tid, også i forhold til at udarbejde vejledningerne. Som sagt har det været helt afgørende for mig fra den første dag at sige, at de skal ligge klar, senest når loven træder i kraft. Man skal måske også være påpasselig med at tro, at man kan lave sådan en ensartet tjekliste. For det bliver jo nok svært at forestille sig, at virksomhederne, hvis de opererer i forskellige risikomiljøer, kan sidde med den samme tjekliste. Der er jo også, hvis man tror, at man kan lave sådan en autoritativ tjekliste, og at alt så er i orden, en fare for, at den er overfyldt.

Derfor er der brug for, at vi har så tæt og konstruktiv en dialog med de forskellige aktører på området som muligt. Derfor er der selvfølgelig også behov for både klare vejledninger og en stærk vejledende indsats fra myndighederne, når virksomhederne skal agere inden for regelsættet.

Ordføreren.

Jeg deler jo ikke det der regeringssynspunkt, altså at man siger, at det med at tage bødeblokken op ikke er det første, de gør. Så er mit kendskab til myndighederne sådan, at de godt kan finde på at gøre det som det næste. Det er jo det, der er mavesmerten, altså når man som virksomhed sidder og man egentlig ikke aner, hvad det er, man skal gøre for ikke at få bødeblokken næste gang. For vi kan jo heller ikke lave en lov, som vi ikke har tænkt os at håndhæve, og ministeren siger jo, at han vil gøre det lempeligt i starten, og at han vil håndhæve den så lempeligt, som man nu kan tillade sig det. Men der kommer jo en håndhævelse på et tidspunkt, hvis man ikke kommer i mål, og det er jo nok også det, som jeg deler med Det Konservative Folkeparti, altså at vi har behov for at hjælpe vores virksomheder med at komme i mål. For hvis vi ikke gør det, kommer man til at få ondt i maven over det her. Bødeblokken herinde skulle jo også have været oppe mange gange, for det her system er jo ofte faldet ud.

Ministeren.

Jeg mener det alvorligt, når jeg siger, at jeg synes, det ville være besynderligt, også når det er ny lovgivning, hvis myndighederne skulle hive bødeblokken op som det første. Der er en række øvrige håndhævelsesforanstaltninger i direktivet, som det vil være helt naturligt at gribe til i begyndelsen, og det er påbud og forbud. Så skal vi også sørge for, at der er adgang til en god vejledning. Jeg har jo, tror jeg også, sammen med alle her i Folketinget kun det ønske, at vi får lavet regler, som reelt løfter vores cybersikkerhed, som beskytter vores virksomheder, og som beskytter vores samfund, og som er så lette – i anførselstegn – som muligt. For det er ikke nogen let opgave, og det er noget, der er dynamisk, og som udvikler sig, når virksomhederne og myndighederbe agerer i det.

Tak til ministeren for samfundssikkerhed og beredskab. Der er ikke stillet flere spørgsmål.

Da der ikke er flere, der har bedt om ordet, er forhandlingerne sluttet.

Jeg foreslår, at lovforslaget henvises til Forsvars-, Samfundssikkerheds- og Beredskabsudvalget. Hvis ingen gør indsigelse, betragter jeg dette som vedtaget.

Det er vedtaget.