Bilag 1

Sektorer, delsektorer og enhedskategorier

Bemærkninger til lovforslaget

1. Indledning

Virksomheder og myndigheder, der som kritiske enheder er leverandører af væsentlige tjenester, spiller en afgørende rolle for opretholdelsen af vitale funktioner i det danske samfund.

Det seneste årti har blandt andet budt på terrorhandlinger, en sundhedskrise som følge af covid-19-pandemien og større hybride angreb mod den kritiske infrastruktur. Desuden indebærer klimaforandringerne, at også ekstreme vejrforhold fremover vil udgøre en øget trussel mod den kritiske infrastruktur.

Endelig har Ruslands krig i Ukraine medvirket til at sætte fokus på truslen fra spionage og sabotage mod europæisk kritisk infrastruktur. Politiets Efterretningstjeneste (PET) vurderer, at Rusland udviser en højere risikovillighed i forhold til at gøre brug af hybride virkemidler mod og i Europa, og at der derfor er en skærpet trussel fra fysisk sabotage i Danmark. De russiske efterretningstjenester indhenter løbende oplysninger om kritisk infrastruktur i vestlige lande, herunder Danmark, og det er sandsynligt, at Rusland også har planer for sabotage af kritisk infrastruktur i bl.a. Danmark, som kan aktiveres i tilfælde af en eskalerende konflikt. Af FE's UDSYN 2024 fremgår det, at konsekvenserne af krigen i Ukraine er kommet tættere på Danmark. Det kommer til udtryk ved, at truslen fra russisk sabotage er øget, ikke mindst mod mål med forbindelse til dansk støtte til Ukraine. Rusland har i løbet af Ukraine-krigen udvist en stigende risikovillighed og parathed til at anvende offensive hybride virkemidler i vestlige lande. Dette er f.eks. kommet til udtryk i forbindelse med russisk sabotage mod mål i Vesten. Det er sandsynligt, at Rusland løbende planlægger og forbereder sabotageaktioner mod udvalgte mål i Danmark og i andre europæiske lande.

Udviklingen i trusselsbilledet understreger, at vores samfund er sårbart over for såvel menneskeskabte kriser som naturkatastrofer m.v. Denne sårbarhed øges yderligere af den voksende indbyrdes afhængighed mellem samfundets forskellige sektorer.

Det er derfor af afgørende betydning, at kritiske enheder arbejder struktureret med at forebygge, beskytte sig mod, reagere på, håndtere og sikre genopretning efter kriser og katastrofer for at sikre kontinuitet i samfundsvigtige tjenester og funktioner.

Behovet for at øge samfundets robusthed gør sig gældende på tværs af EU, og det er baggrunden for, at der i EU-regi er taget initiativ til at styrke kritiske enheders modstandsdygtighed. Europa-Parlamentet og Rådet har således vedtaget direktiv (EU) 2022/5557 af 14. december 2022 om kritiske enheders modstandsdygtighed og om ophævelse af Rådets direktiv 2008/114/EF (CER-direktivet).

CER-direktivet ophæver og erstatter Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning og udpegning af europæisk kritisk infrastruktur i energi- og transportsektoren (EPCIP-direktivet). CER-direktivet har til formål at styrke kritiske enheders modstandsdygtighed, så de er bedre i stand til at håndtere risici, som kan føre til forstyrrelse i leveringen af væsentlige tjenester. Direktivet omfatter kritiske enheder inden for en række samfundsvigtige sektorer, som bl.a. omfatter energi, transport, bankvirksomhed, sundhed, drikke- og spildevand, digital infrastruktur og den offentlige forvaltning.

CER-direktivet pålægger bl.a. medlemsstaterne at identificere kritiske enheder, udarbejde nationale strategier for styrkelse af de kritiske enheders modstandsdygtighed og udarbejde risikovurderinger på nationalt niveau. Samtidig stiller CER-direktivet krav om, at medlemsstaterne skal sikre, at kritiske enheder træffer foranstaltninger til at sikre modstandsdygtighed, ligesom direktivet fastsætter en række pligter til at foretage underretning af myndighederne om hændelser, der forstyrrer eller har potentiale til at forstyrre leveringen af væsentlige tjenester. Herudover fastsætter direktivet krav til tilsynet med de kritiske enheders efterlevelse af reguleringen.

Med dette lovforslag foreslås, at direktivet implementeres gennem en hovedlov, som vil skulle finde anvendelse på tværs af de sektorer, der er omfattet af direktivet. Dermed vil der blive skabt en fælles lovgivningsmæssig ramme til gavn for de enheder, der omfattes af lovgivningen, og de myndigheder, der skal anvende lovgivningen.

Der lægges desuden op til, at loven suppleres af bekendtgørelser og i nogle tilfælde sektorspecifikke bekendtgørelser. Der vil således være mulighed for en sektorvis udmøntning af de centrale krav til bl.a. modstandsdygtighedsforanstaltninger, som kan skabe en klarere ramme for de berørte enheder, samtidig med, at der vil kunne tages højde for særlige sektorvise forhold. Anvendelsen af modellen med en tværgående hovedlov, der kan suppleres af bekendtgørelser og sektorvise bekendtgørelser, vil i øvrigt sikre, at der i nødvendigt omfang kan ske hurtig ændring af reglerne på baggrund af eksempelvis ændringer i risiko- og trusselsbilledet for den pågældende sektor.

Anvendelsesområdet for den foreslåede hovedlov omfatter alle de sektorer, der fremgår af lovens bilag med undtagelse af energisektoren. Implementeringen af CER-direktivet for energisektoren sker gennem forslag til lov om styrket beredskab i energisektoren, som blev fremsat af Klima-, Energi- og Forsyningsministeriet den 4. december 2024.

2. Lovforslagets baggrund

2.1. Fra EPCIP-direktivet til CER-direktivet

CER-direktivet ophæver og erstatter EPCIP-direktivet, der indeholdt en procedure for udpegning af europæisk kritisk infrastruktur i energi- og transportsektorerne, hvis forstyrrelse eller ødelæggelse ville få betydelig grænseoverskridende indvirkning på mindst to medlemsstater.

Efter EPCIP-direktivet skulle ejeren eller operatøren af infrastruktur på transport- og energiområdet, der blev udpeget som europæisk kritisk infrastruktur, sikre, at infrastrukturen var beskyttet. Der blev bl.a. stillet krav om, at der skulle udarbejdes en sikkerhedsplan for infrastrukturen, som skulle koordineres med øvrige beredskabsplaner efter anden beredskabslovgivning, og der skulle udnævnes en sikkerhedsofficer og en beredskabskontakt.

Der var ikke udpeget kritisk infrastruktur af europæisk betydning i Danmark efter EPCIP-direktivet.

Europa-Kommissionen gennemførte i 2019 en evaluering af EPCIP-direktivet, som viste, at på grund af den stadig mere indbyrdes forbundne og grænseoverskridende karakter af operationer, der anvender kritisk infrastruktur, er beskyttelsesforanstaltninger vedrørende individuelle aktiver i sig selv utilstrækkelige til at forhindre alle forstyrrelser. Evalueringen viste endvidere, at det var nødvendigt at ændre tilgangen til sikring af, at der tages bedre hensyn til risici, at kritiske enheders rolle og opgaver som leverandører af tjenester, der er væsentlige for det indre markeds funktion, defineres bedre og er sammenhængende, og at der vedtages EU-regler for at styrke kritiske enheders modstandsdygtighed. Det blev i den forbindelse konstateret, at kritiske enheder bør være i stand til at styrke deres evne til at forebygge, beskytte mod, reagere på, modstå, afbøde, absorbere, tilpasse sig til og komme på fode igen efter hændelser, der har potentiale til at forstyrre leveringen af væsentlige tjenester.

Formålet med CER-direktivet er på den baggrund at fastsætte harmoniserede minimumsregler for at sikre leveringen af væsentlige tjenester på det indre marked, styrke kritiske enheders modstandsdygtighed og forberede det grænseoverskridende samarbejde mellem kompetente myndigheder. Det fremgår af CER-direktivets præambelbetragtning nr. 7, at det er vigtigt, at disse regler er fremtidssikrede med hensyn til udformning og gennemførelse, samtidig med at der gives mulighed for den nødvendige fleksibilitet. Det er også afgørende at forbedre kritiske enheders kapacitet til at levere væsentlige tjenester i lyset af en række forskellige risici.

CER-direktivet fastsætter regler om bl.a. identifikation af kritiske enheder, kritiske enheders risikovurdering og modstandsdygtighedsforanstaltninger, kritiske enheders mulighed for at anmode om baggrundskontrol af visse personer, kritiske enheders underretning om hændelser samt regler om tilsyn og håndhævelse. Herudover stiller CER-direktivet visse krav til medlemsstaterne om bl.a. udarbejdelse af nationale strategier og risikovurderinger.

Det følger af artikel 26, stk. 1, i CER-direktivet, at direktivet skulle være gennemført i dansk ret senest den 17. oktober 2024 og træde i kraft senest den 18. oktober 2024. Med den foreslåede bestemmelse i § 18 vil loven dermed træde i kraft den 1. juli 2025, og således lidt over ni måneder efter direktivets implementeringsfrist. Den 28. november 2024 indledte EU-Kommissionen traktatbrudssager mod 23 medlemsstater, herunder Danmark, for ikke at have gennemført CER-direktivet.

2.2. Model for implementering af CER-direktivet

2.2.1. Lovgivningsmodel

Kravene i CER-direktivet finder anvendelse for de 11 sektorer, der er oplistet i direktivets bilag.

Ved implementeringen anser Ministeriet for Samfundssikkerhed og Beredskab det for væsentligt, at direktivets krav målrettes og tilpasses de enkelte sektorers særlige forhold, således at de omfattede enheder ikke pålægges unødvendige byrder. Samtidig er det væsentligt, at der i videst muligt omfang skabes ensartethed og koordination på tværs af de omfattede sektorer, således at kritiske enheder som udgangspunkt identificeres på en ensartet måde, og at kritiske enheder, der opererer i flere sektorer, ikke rammes af modsatrettede krav.

For at tage højde for disse hensyn vil implementeringen af CER-direktivet tage udgangspunkt i sektoransvarsprincippet, således at de enkelte ressortministerier bevarer deres ansvar for sikring af modstandsdygtighed og tilsyn inden for deres respektive sektorer, mens Ministeriet for Samfundssikkerhed og Beredskab tillægges en tværgående koordinerende rolle og får til opgave at facilitere et tæt samarbejde mellem de ressortansvarlige myndigheder. Sektoransvaret videreføres også for så vidt angår forsyningssikkerhed, herunder myndighedernes ansvar for at sikre robuste forsyningskæder til samfundsvigtige funktioner. Ministeriet for Samfundssikkerhed og Beredskab rådgiver og understøtter ressortmyndighedernes arbejde med dette.

Implementeringen af CER-direktivet vil ske ved nærværende forslag til hovedlov, som finder anvendelse på tværs af 10 ud af de 11 sektorer, der er omfattet af direktivets anvendelsesområde. Implementeringen af CER-direktivet for energisektoren sker særskilt gennem forslag til lov om styrket beredskab i energisektoren, som blev fremsat af Klima-, Energi- og Forsyningsministeriet den 4. december 2024, idet der for energisektoren allerede gælder en omfattende sektorspecifik regulering af sikkerhed og beredskab.

Med lovforslaget bemyndiges de relevante ressortministre på visse områder til at fastsætte nærmere regler i bekendtgørelsesform. Muligheden for nærmere udmøntning af visse specifikke krav i bekendtgørelsesform har til formål at give de relevante ressortministre mulighed for at udmønte lovens krav i bekendtgørelser, såfremt særlige sektorspecifikke forhold tilsiger det. Muligheden for at udstede sektorspecifikke bekendtgørelser vil bl.a. sikre, at der i nødvendigt omfang hurtigere kan gennemføres ændringer på baggrund af eksempelvis den teknologiske udvikling eller ændringer i trusselsbilledet inden for en given sektor.

For i videst muligt omfang at sikre ensartethed og koordination på tværs af de enkelte sektorer, vil bl.a. de nærmere regler om krav til kritiske enheders modstandsdygtighedsforanstaltninger og kritiske enheders hændelsesunderretninger skulle fastsættes af vedkommende minister efter forhandling med ministeren for samfundssikkerhed og beredskab.

Ved gennemførelsen tages der således hensyn til, at det er ressortministerierne og de sektoransvarlige myndigheder, der med deres indgående kendskab til forholdene i de enkelte sektorer har de bedste forudsætninger for at vurdere, om der konkret er behov for nærmere udmøntning af lovens krav, således at implementeringen af direktivet udmøntes på den måde, der er mest hensigtsmæssig for at styrke de kritiske enheders modstandsdygtighed i de omfattede sektorer. Samtidig tages der gennem kravet om forhandling med Ministeriet for Samfundssikkerhed og Beredskab hensyn til, at der i videst muligt omfang sikres ensartethed og koordination på tværs af de enkelte sektorer

Herudover lægger Ministeriet for Samfundssikkerhed og Beredskab ved implementeringen af CER-direktivet vægt på, at implementeringen sker i overensstemmelse med regeringens principper for implementering af erhvervsrettet EU-regulering, hvorefter den nationale regulering som udgangspunkt ikke bør gå videre end minimumskravene i EU-reguleringen. Dermed pålægges danske virksomheder ikke flere byrder som følge af implementeringen end andre europæiske virksomheder. Samtidig lægger Ministeriet for Samfundssikkerhed og Beredskab vægt på i videst muligt omfang at foretage en direktivnær implementering.

2.2.2. Myndighedsstruktur

2.2.2.1. Nationale myndigheder og myndighedsansvar

Det følger af CER-direktivets artikel 9, stk. 1, at hver medlemsstat udpeger eller opretter en eller flere kompetente myndigheder, der er ansvarlige for korrekt anvendelse, og hvor det er nødvendigt, håndhævelse af reglerne fastsat i CER-direktivet på nationalt plan.

Som led i implementeringen af direktivet i dansk ret vil ministeren for samfundssikkerhed og beredskab efter forhandling med de relevante ressortministre udpege en eller flere kompetente myndigheder for de enkelte sektorer og delsektorer. Disse vil fremgå af en bekendtgørelse udstedt af Ministeriet for Samfundssikkerhed og Beredskab.

De kompetente myndigheder vil bl.a. have til opgave at føre tilsyn med de kritiske enheders efterlevelse af reglerne, håndhæve reglerne og støtte de kritiske enheder i at øge deres modstandsdygtighed samt underrette Europa-Kommissionen om kritiske enheder, som leverer tjenester til eller i seks eller flere medlemsstater.

Det forudsættes, at der vil være en tæt koordination mellem de kompetente myndigheder på tværs af ministerområder i forbindelse med tilrettelæggelsen af tilsynsarbejdet, således at der i videst muligt omfang anlægges en fælles tilgang. Dette vil særligt være relevant for tilsynet med enheder, der måtte indgå i flere forskellige sektorer, og hvor der potentielt er flere kompetente myndigheder, som skal føre tilsyn med samme enhed. Det er på denne baggrund Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at det i visse tilfælde vil være relevant og hensigtsmæssigt at gennemføre fælles tilsynsbesøg. Det er endvidere Ministeriet for Samfundssikkerhed og Beredskabs vurdering, at der i sådanne tilfælde bør være mulighed for at samarbejde om tilsynsressourcer, eksempelvis i form af et fælles sekretariat, således at de nødvendige kompetencer kan bringes i spil på tværs af ministerområder. Det er samtidig Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at der bør være mulighed for at fastsætte nærmere regler om koordinering, ansvar og udveksling af oplysninger mellem de kompetente myndigheder.

De kompetente myndigheder vil desuden have til opgave at støtte kritiske enheder med at styrke deres modstandsdygtighed. Det berører dog ikke de kritiske enheders eget retlige ansvar for at sikre opfyldelse af forpligtelserne efter direktivet. De kompetente myndigheders støtte til kritiske enheder kan bl.a. omfatte udvikling af metoder, støtte til tilrettelæggelse af øvelser for at afprøve kritiske enheders modstandsdygtighed, og rådgivning og uddannelse af personale i kritiske enheder.

Det følger herudover af CER-direktivets artikel 9, stk. 2, at hver medlemsstat skal udpege eller oprette et centralt kontaktpunkt til at varetage en forbindelsesfunktion med henblik på at sikre grænseoverskridende samarbejde med andre medlemsstaters centrale kontaktpunkter og med Gruppen for Kritiske Enheders Modstandsdygtighed, jf. pkt. 2.2.2.2 nedenfor. Hvis det er relevant, kan en medlemsstat bestemme, at dens centrale kontaktpunkt også udøver en forbindelsesfunktion med Europa-Kommissionen og sikrer samarbejde med tredjelande.

Det forventes, at Styrelsen for Samfundssikkerhed vil varetage opgaven som centralt kontaktpunkt og vil således skulle udøve en forbindelsesfunktion mellem de nationale kompetente myndigheder og andre medlemsstaters kompetente myndigheder, og hvor det er relevant, Europa-Kommissionen. Styrelsen for Samfundssikkerhed vil også kunne bistå de kompetente myndigheder med eventuel dialog med tredjelande.

CER-direktivet forpligter desuden medlemsstaterne til at udarbejde nationale strategier for styrkelse af kritiske enheders modstandsdygtighed og medlemsstatsrisikovurderinger.

Som led i implementeringen af direktivet vil der derfor senest den 17. januar 2026 blive vedtaget en national strategi for styrkelse af kritiske enheders modstandsdygtighed, jf. CER-direktivets artikel 4.

Det følger af CER-direktivets artikel 4, stk. 1, at den nationale strategi skal bygge på relevante eksisterende nationale og sektorspecifikke strategier, planer eller lignende dokumenter, der indeholder strategiske mål og politikforanstaltninger. Strategien skal udarbejdes med henblik på at opnå og opretholde en høj grad af modstandsdygtighed i kritiske enheder, og den skal mindst omfatte de af direktivet omfattede sektorer. Strategien vil mindst skulle indeholde de elementer, der er oplistet i CER-direktivets artikel 4, stk. 2:

»a) strategiske mål og prioriteter med henblik på at styrke kritiske enheders overordnede modstandsdygtighed under hensyntagen til grænseoverskridende og tværsektoriel afhængighed og indbyrdes afhængighed.

b) en forvaltningsramme for at nå de strategiske mål og prioriteter, herunder en beskrivelse af roller og ansvarsområder for de forskellige myndigheder, kritiske enheder og andre parter, der er involveret i gennemførelsen af strategien.

c) en beskrivelse af de foranstaltninger, der er nødvendige for at styrke kritiske enheders overordnede modstandsdygtighed, herunder en beskrivelse af medlemsstatsrisikovurderingen.

d) en beskrivelse af den proces, hvorved kritiske enheder identificeres.

e) en beskrivelse af processen for støtte til kritiske enheder, herunder foranstaltninger til styrkelse af samarbejdet mellem den offentlige sektor på den ene side og den private sektor og offentlige og private enheder på den anden side.

f) en liste over de vigtigste myndigheder og relevante interessenter, ud over kritiske enheder, der er involveret i gennemførelsen af strategien.

g) en politikramme for koordinering mellem de kompetente myndigheder i henhold til CER-direktivet og de kompetente myndigheder i henhold til NIS 2-direktivet med henblik på udveksling af oplysninger om cybersikkerhedsrisici, cybertrusler og cyberhændelser og ikkecyberrisici, -trusler og -hændelser samt udøvelse af tilsynsopgaver.

h) en beskrivelse af allerede indførte foranstaltninger, der har til formål at lette opfyldelsen af forpligtelser i henhold til dette direktivs kapitel III for små og mellemstore virksomheder i den i bilaget til Kommissionens henstilling 2003/361/EF om definitionen af mikrovirksomheder, små og mellemstore virksomheder anvendte betydning, som den pågældende medlemsstat har identificeret som kritiske enheder.«

Den nationale strategi skal ajourføres mindst hvert fjerde år, og den skal meddeles til Europa-Kommissionen inden tre måneder efter, at den er vedtaget.

I Danmark vil der endvidere i overensstemmelse med CER-direktivets artikel 5, senest den 17. januar 2026 være udarbejdet en national risikovurdering (medlemsstatsrisikovurdering) med henblik på at kunne identificere kritiske enheder. Risikovurderingen skal tage højde for de relevante naturlige og menneskeskabte risici, herunder af tværsektoriel eller grænseoverskridende karakter. Risikovurderingen vil således bl.a. skulle tage højde for risikoen for ulykker, naturkatastrofer, folkesundhedskriser samt hybride trusler eller andre antagonistiske trusler, herunder terrorhandlinger.

Det følger af CER-direktivets artikel 5, stk. 1, at Europa-Kommissionen er tillagt beføjelse til senest den 17. november 2023 at vedtage en delegeret retsakt ved at udarbejde en ikke-udtømmende liste over væsentlige tjenester i sektorerne og delsektorerne, der er omfattet af direktivet, og at Europa-Kommissionens liste over væsentlige tjenester skal indgå i medlemsstaternes risikovurdering. Europa-Kommissionen har ved sin delegerede forordning (EU) 2023/2450 af 25. juli 2023 til supplering af Europa-Parlamentets og Rådets direktiv (EU) 2022/2557 opstillet en sådan ikke-udtømmende liste over væsentlige tjenester.

Den nationale risikovurdering vil endvidere skulle leve op til de nærmere krav, der følger af CER-direktivets artikel 5, stk. 2, hvorefter den nationale risikovurdering mindst skal tage hensyn til:

»a) den generelle risikovurdering, som foretages i henhold til artikel 6, stk. 1, i afgørelse nr. 1313/2013/EU om styrkelse af forebyggelse af, opbygning af beredskab til og indsats ved katastrofer i EU.

b) andre relevante risikovurderinger, der foretages i overensstemmelse med kravene i de relevante sektorspecifikke EU-retsakter, herunder Europa-Parlamentets og Rådets forordning (EU) 2017/1938 af 25. oktober 2017 om foranstaltninger til opretholdelse af gasforsyningssikkerheden og om ophævelse af forordning (EU) nr. 994/2010, Europa-Parlamentets og Rådets forordning (EU) 2019/941 af 5. juni 2019 om risikoberedskab i elsektoren og om ophævelse af direktiv 2005/89/EF, Europa-Parlamentets og Rådets direktiv 2007/60/EF af 23. oktober 2007 om vurdering og styring af risikoen for oversvømmelser og Europa-Parlamentets og Rådets direktiv 2012/18/EU af 4. juli 2012 om kontrol med risikoen for større uheld med farlige stoffer og om ændring og efterfølgende ophævelse af Rådets direktiv 96/82/EF.

c) de relevante risici som følge af omfanget af afhængighed mellem de sektorer, der er anført i bilaget, herunder som følge af omfanget af afhængighed af enheder beliggende i andre medlemsstater og tredjelande, og den indvirkning, som en betydelig forstyrrelse i en sektor kan have på andre sektorer, herunder eventuelle betydelige risici for borgerne og det indre marked

d) eventuelle oplysninger om hændelser, der er underrettet om i overensstemmelse med artikel 15.«

Den nationale risikovurdering skal ajourføres mindst hvert fjerde år, og inden tre måneder efter, at den er vedtaget, skal Europa-Kommissionen meddeles relevante oplysninger om risikotyperne identificeret pr. sektor og delsektor omfattet af lovens bilag.

Relevante elementer af den nationale risikovurdering skal desuden stilles til rådighed for de kritiske enheder, da det påhviler enhederne at tage udgangspunkt i risikovurderingen, bl.a. i udarbejdelsen af enhedernes egne risikovurderinger.

2.2.2.2. Samarbejdsforum i EU

Med CER-direktivets artikel 19 etableres i EU-regi samarbejdsforummet Gruppen for Kritiske Enheders Modstandsdygtighed, hvor medlemsstaterne er repræsenteret sammen med Europa-Kommissionen, der virker som formand.

Gruppen for Kritiske Enheders Modstandsdygtighed har bl.a. til opgave at bistå Europa-Kommissionen i at understøtte medlemsstaternes implementering af CER-direktivet, herunder i at styrke kritiske enheders modstandsdygtighed og at identificere bedste praksis i forhold til udarbejdelsen af nationale strategier m.v.

Ministeriet for Samfundssikkerhed og Beredskab er Danmarks repræsentanter i gruppen.

2.3. Sammenhængen med NIS 2-direktivet

CER-direktivet skal ses i sammenhæng med Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen, om ændring af forordning (EU) nr. 910/2014 og om ophævelse af direktiv (EU) 2016/1148 (NIS 2-direktivet).

NIS 2-direktivet har til formål at skabe et højere og mere ensartet cybersikkerhedsniveau på tværs af medlemsstaterne, og direktivet omfatter - ud over sektorerne omfattet af CER-direktivet - også en række yderligere sektorer.

NIS 2-direktivet stiller bl.a. cybersikkerhedskrav til væsentlige og vigtige enheder inden for de omfattede sektorer. Samtidig fastsættes en række oplysnings- og underretningspligter over for myndighederne, herunder underretning ved væsentlige hændelser, samt pligt til at oplyse enhedernes brugere om bl.a. væsentlige hændelser og eventuelle modforholdsregler, som brugerne kan træffe. Direktivet styrker desuden myndighedernes tilsyns- og håndhævelsesbeføjelser og indfører bl.a. mulighed for, at myndighederne midlertidigt kan suspendere personer med ledelsesansvar i enhederne.

Det følger af CER-direktivets artikel 1, stk. 2, at CER-direktivet ikke finder anvendelse på spørgsmål, der er omfattet af NIS 2-direktivet. Med andre ord er cybersikkerhed reguleret særskilt i NIS 2-direktivet og undtages derfor fra CER-direktivets anvendelsesområde. Henset til betydningen af cybersikkerhed for kritiske enheders modstandsdygtighed, er det dog i CER-direktivet forudsat, at der sker en koordineret gennemførelse af CER- og NIS 2-direktiverne.

Sammenhængen mellem NIS 2-direktivet og CER-direktivet understreges desuden af, at enheder, der er identificeret som kritiske enheder i henhold til CER-direktivet, allerede af den grund er omfattet af anvendelsesområdet for NIS 2-direktivet, jf. NIS 2-direktivets artikel 2, stk. 3.

Ministeriet for Samfundssikkerhed og Beredskab fremsætter samtidig med nærværende lovforslag et forslag til lov foranstaltninger til sikring af et højt cybersikkerhedsniveau, som har til formål at gennemføre NIS 2-direktivet på tværs af en række sektorer. Ved implementeringen af henholdsvis NIS 2- og CER-direktiverne anvendes der i vidt omfang samme lovgivningsmodel i form af en hovedlov med tilhørende bekendtgørelser og eventuelle sektorspecifikke bekendtgørelser. Det er Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at der i mange sektorer vil være sammenfald mellem de udpegede kompetente myndigheder efter henholdsvis NIS 2-direktivet og CER-direktivet. Det forudsættes derfor, at myndigheder med opgaver i medfør af de to direktiver også i praksis vil koordinere på tværs.

2.4. EPCIP-direktivet

I Danmark var EPCIP-direktivet implementeret sektorvist i regulering i henholdsvis energi- og transportsektorerne.

I energisektoren omfattede EPCIP-direktivet el-, gas- og oliesektorerne. I disse sektorer var EPCIP-direktivet implementeret ved bekendtgørelse nr. 11 af 7. januar 2011 om identifikation og udpegning af europæisk kritisk infrastruktur på energiområdet og vurdering af behovet for bedre beskyttelse (EPCIP-direktivet). Bekendtgørelsen er udstedt med hjemmel i lov om elforsyning, jf. lovbekendtgørelse nr. 1248 af 24. oktober 2023 med senere ændringer, lov om gasforsyning, jf. lovbekendtgørelse nr. 1100 af 16. august 2023 med senere ændringer, lov om kontinentalsoklen og visse rørledningsanlæg på søterritoriet, jf. lovbekendtgørelser nr. 1189 af 21. september 2018, som ændret ved § 2 i lov nr. 744 af 13. juni 2023, offshoresikkerhedsloven, jf. lovbekendtgørelse nr. 125 af 6. februar 2018, og olieberedskabsloven, lov nr. 354 af 24. april 2012. Bekendtgørelsen fastsætter regler om procedurer for udpegning af europæisk kritisk infrastruktur i energisektoren og beskyttelsesbehovet for sådan infrastruktur. Der er ikke i dag udpeget infrastruktur som europæisk kritisk infrastruktur på energiområdet.

Det bemærkes, at energisektoren ikke er omfattet af nærværende lovforslags anvendelsesområde.

I transportsektorerne omfatter EPCIP-direktivet vej-, jernbane- og havneområderne.

På vejområdet er direktivet implementeret ved bekendtgørelse nr. 7 af 6. januar 2011 om kritisk europæisk infrastruktur på vejområdet (EPCIP-direktivet). Bekendtgørelsen er udstedt med hjemmel i lov om offentlige veje, jf. lovbekendtgørelse nr. 421 af 25. april 2023 med senere ændringer, og lov om private fællesveje, jf. lovbekendtgørelse nr. 422 af 25. april 2023 med senere ændringer. Det følger af bekendtgørelsens § 2, at medlemsstaternes kompetence på vejområdet udøves af Vejdirektoratet. Vejdirektoratet har ikke i dag udpeget infrastruktur på vejområdet som europæisk kritisk infrastruktur

På jernbaneområdet er direktivet implementeret ved bekendtgørelse nr. 1461 af 14. december 2010 om europæisk kritisk infrastruktur på jernbaneområdet (EPCIP-direktivet). Bekendtgørelsen er udstedt med hjemmel i jernbaneloven, jf. lovbekendtgørelse nr. 1091 af 11. august 2023. Det følger af bekendtgørelsens § 2, at medlemsstaternes kompetence på jernbaneområdet udøves af Trafikstyrelsen. Trafikstyrelsen har ikke i dag udpeget infrastruktur på jernbaneområdet som europæisk kritisk infrastruktur.

På havneområdet er direktivet implementeret ved bekendtgørelse nr. 1726 af 22. december 2010 om europæisk kritisk infrastruktur på havneområdet (EPCIP-direktivet). Bekendtgørelsen er udstedt med hjemmel i lov om havne, jf. lovbekendtgørelse nr. 116 af 24. januar 2024. Det følger af bekendtgørelsens § 2, at medlemsstaternes kompetence på havneområdet udøves af Kystdirektoratet. Kystdirektoratet har ikke i dag udpeget infrastruktur på havneområdet som europæisk kritisk infrastruktur.

Det bemærkes, at Transportministeriet særskilt vil forholde sig til eventuel ophævelse af relevante lovbestemmelser samt bekendtgørelser som følge af implementeringen af CER-direktivet.

3. Lovforslagets hovedpunkter

3.1. Identifikation af kritiske enheder

3.1.1. Gældende ret

EPCIP-direktivet fastsatte en procedure for indkredsning og udpegning af europæisk kritisk infrastruktur i energi- og transportsektorerne, hvis forstyrrelse eller ødelæggelse ville få betydelig grænseoverskridende indvirkning på mindst to medlemsstater.

EPCIP-direktivet er i dansk ret implementeret sektorvist i energi- og transportsektorerne, jf. nærmere herom i pkt. 2.4 ovenfor.

Der er ikke udpeget europæisk kritisk infrastruktur i Danmark.

3.1.2 CER-direktivet

Med CER-direktivets artikel 27 ophæves EPCIP-direktivet.

Det følger af CER-direktivets artikel 6, stk. 1, at medlemsstaterne senest den 17. juli 2026 skal identificere kritiske enheder i de sektorer og delsektorer, som er nævnt i bilaget til direktivet.

Af direktivets bilag fremgår følgende sektorer: 1) energi med delsektorerne a) elektricitet, b) fjernvarme og fjernkøling, c) olie, d) gas og e) brint, 2) transport med delsektorerne a) luft, b) jernbane, c) vand, d) vejtransport og e) offentlig transport, 3) bankvirksomhed, 4) finansiel markedsinfrastruktur, 5) sundhed, 6) drikkevand, 7) spildevand, 8) digital infrastruktur, 9) offentlig forvaltning, 10) rummet og 11) produktion, tilvirkning og distribution af fødevarer.

Det fremgår videre af artikel 6, stk. 2, at der ved identifikation af kritiske enheder skal tages hensyn til resultaterne af den nationale risikovurdering og den nationale strategi, samt at det skal indgå, om enheden leverer en eller flere væsentlige tjenester, om enheden opererer og har sin kritiske infrastruktur i den pågældende medlemsstat, samt om en hændelse vil have betydelige forstyrrende virkninger på enhedens levering af en eller flere væsentlige tjenester eller på leveringen af andre væsentlige tjenester i sektorerne omfattet af direktivet, som er afhængige af denne eller disse væsentlige tjenester.

Kriteriet i artikel 6, stk. 2, om, hvorvidt en hændelse har væsentlige forstyrrende virkninger, er nærmere beskrevet i CER-direktivets artikel 7, stk. 1. Det følger af bestemmelsen, at der ved stillingtagen til betydningen af en forstyrrende virkning, skal tages hensyn til følgende kriterier: 1) antal brugere, der er afhængige af den væsentlige tjeneste, som udbydes af den berørte enhed, 2) omfanget af andre omfattede sektorers og delsektorers afhængighed af den pågældende væsentlige tjeneste, 3) den indvirkning, som hændelser kunne have med hensyn til omfang og varighed på økonomiske og samfundsmæssige aktiviteter, miljøet, den offentlige sikkerhed eller befolkningens sundhed, 4) enhedens markedsandel på markedet for den berørte væsentlige tjeneste eller de berørte væsentlige tjenester, 5) det geografiske område, der kunne blive berørt af en hændelse, herunder eventuel grænseoverskridende indvirkning, under hensyntagen til den sårbarhed, som er forbundet med den grad af afsondrethed, der kendetegner visse typer af geografiske områder, såsom ø-regioner, afsidesliggende regioner eller bjergområder, og 6) enhedens betydning med hensyn til at opretholde et tilstrækkeligt niveau for den væsentlige tjeneste under hensyntagen til tilgængelighed af alternative måder at levere denne væsentlige tjeneste på.

Medlemsstaterne skal efter CER-direktivets artikel 6, stk. 3, udarbejde en liste over identificerede kritiske enheder.

CER-direktivets artikel 6, stk. 3, fastsætter desuden bl.a., at kritiske enheder inden for én måned efter, at de er identificeret som kritiske, skal underrettes herom, og om de forpligtelser identifikationen medfører. De kritiske enheder skal endvidere underrettes om, fra hvilken dato forpligtelserne finder anvendelse. Efter CER-direktivets artikel 6, stk. 3, finder direktivets kapitel III om kritiske enheders modstandsdygtighed - der bl.a. omhandler kritiske enheders risikovurdering og modstandsdygtighedsforanstaltninger, baggrundskontrol, og enhedernes underretning om hændelser - anvendelse fra 10 måneder efter datoen for underretningen. Det fremgår dog særskilt af CER-direktivets artikel 12, stk. 1, at kritiske enheder inden ni måneder efter datoen for underretningen skal have foretaget deres risikovurdering.

Det følger af CER-direktivets artikel 17, stk. 2, at identificerede kritiske enheder skal underrette den kompetente myndighed, såfremt enheden leverer væsentlige tjenester til eller i seks eller flere EU-medlemsstater. Enhederne skal i den forbindelse oplyse, hvilke væsentlige tjenester de leverer, samt hvilke EU-medlemsstater tjenesterne leveres til eller i. Det følger videre af artikel 17, stk. 3, jf. stk. 2, 2. led, at hvis Europa-Kommissionen på baggrund af en konsultation med de relevante medlemsstater konstaterer, at den berørte enhed leverer væsentlige tjenester til eller i seks eller flere medlemsstater, så underretter den kompetente myndighed enheden om, at den anses for at være en kritisk enhed af særlig europæisk betydning.

Efter CER-direktivets artikel 1, stk. 6, finder direktivet ikke anvendelse på offentlige forvaltningsenheder, som udfører aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder efterforskning, afsløring og retsforfølgning af strafbare handlinger. Der skal således ikke identificeres kritiske enheder blandt sådanne offentlige forvaltningsenheder. Endvidere følger det af CER-direktivets artikel 1, stk. 7, at medlemsstaterne kan beslutte, at artikel 11 og kapitel III, IV og VI helt eller delvist ikke finder anvendelse på specifikke kritiske enheder, der udfører aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder efterforskning, afsløring og retsforfølgning af strafbare handlinger, eller som udelukkende leverer tjenester til de offentlige forvaltningsenheder, der er omhandlet i nærværende artikels stk. 6.

3.1.3. Ministeriet for Samfundssikkerhed og Beredskabs overvejelser

Ministeriet for Samfundssikkerhed og Beredskab har lagt vægt på, at der foretages en direktivnær minimumsimplementering. De sektorer, der foreslås omfattet, jf. lovens bilag, svarer til de sektorer, som er omfattet af bilaget til CER-direktivet. Det bemærkes dog, at energisektoren er undtaget fra lovens anvendelsesområde, da disse er omfattet af lov om styrket beredskab i energisektoren.

Det er Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at CER-direktivets artikel 6, bør implementeres ved, at de ressortansvarlige ministre inden for deres respektive områder skal træffe afgørelse om, hvilke enheder, der skal identificeres som kritiske.

Da de i direktivets artikel 6 nævnte kriterier har forholdsvis kvalitativ og skønspræget karakter, er det ministeriets opfattelse, at ministeren for samfundssikkerhed og beredskab bør have mulighed for i en bekendtgørelse at fastsætte nærmere regler om identifikation af kritiske enheder samt om en væsentlig enheds væsentlige virkning.

I reglerne vil det eksempelvis kunne være relevant at angive, hvilke nærmere forhold, der vil blive inddraget i vurderingen af, om en enhed skal identificeres som kritisk enhed, herunder i lyset af den nationale strategi og -risikovurdering. Endvidere vil det kunne være relevant at angive, hvilke specifikke forhold, der vil blive inddraget i vurderingen af, om en hændelse vil kunne have væsentlig forstyrrende virkning på leveringen af en væsentlig tjeneste, herunder tærskler for antallet af brugere, den kritiske enheds markedsandel og det relevante geografiske område.

Det bemærkes i den forbindelse, at det fremgår af CER-direktivets artikel 7, stk. 2, litra c, at Europa-Kommissionen efter identifikationen af kritiske enheder bl.a. skal oplyses om eventuelle tærskler, der anvendes til at specificere et eller flere af direktivets kriterier i artikel 7, stk. 1. Det synes således specifikt forudsat i direktivet, at det kan være relevant at specificere tærskelværdier for vurderingen af betydningen af en forstyrrende virkning.

Det følger desuden af CER-direktivets artikel 6, stk. 6, at Europa-Kommissionen i samarbejde med medlemsstaterne udarbejder henstillinger og ikke-bindende retningslinjer for at bistå medlemsstaterne med at identificere kritiske enheder. Disse henstillinger og retningslinjer vil i relevant omfang kunne indgå i fastsættelsen af nærmere regler om identifikationen af kritiske enheder.

3.1.4. Den foreslåede ordning

Det foreslås, at loven finder anvendelse på enheder, der er omfattet af enhedskategorierne i lovens bilag, jf. dog den foreslåede § 1, stk. 2-7.

Det foreslås endvidere, at vedkommende minister inden for sit område træffer afgørelse om identifikation af kritiske enheder, der er omfattet af enhedskategorierne i lovens bilag, og opstiller en liste over de kritiske enheder, der er blevet identificeret.

Det foreslås desuden, at vedkommende minister vil kunne træffe afgørelse om afidentificering, såfremt en enhed ikke længere anses for at være en kritisk enhed, eksempelvis fordi enhedens markedsandel er faldet.

Det bemærkes i den forbindelse, at vedkommende minister i overensstemmelse med de almindelige forvaltningsretlige principper om delegation vil kunne beslutte at delegere sin kompetence til en underliggende myndighed, herunder en udpeget kompetent myndighed.

Det foreslås, at der ved identifikation af en kritisk enhed skal lægges vægt på 1) den nationale strategi for styrkelse af kritiske enheders modstandsdygtighed, 2) den nationale risikovurdering med henblik på identifikation af kritiske enheder, 3) om enheden leverer en eller flere væsentlige tjenester, 4) om enheden opererer i og har sin kritiske infrastruktur beliggende på dansk territorium og 5) om en hændelse vil have betydelig forstyrrende virkning på enhedens levering af en eller flere væsentlige tjenester eller på leveringen af andre væsentlige tjenester i de sektorer, der er omfattet af CER-direktivets bilag , som er afhængige af denne eller disse væsentlige tjenester.

Ved fastlæggelse af, om en hændelse vil have betydelig forstyrrende virkning, vil der skulle lægges vægt på en række nærmere oplistede hensyn, herunder antallet af brugere, der er afhængige af den væsentlige tjeneste, som udbydes af den berørte enhed, og omfanget af andre sektorers og delsektorers afhængighed af den pågældende væsentlige tjeneste.

Der vil endvidere skulle lægges vægt på den indvirkning, som hændelser kan have med hensyn til omfang og varighed på økonomiske og samfundsmæssige aktiviteter, miljøet, den offentlige sikkerhed eller befolkningens sundhed, ligesom der vil skulle lægges vægt på enhedens markedsandel på markedet for den eller de berørte væsentlige tjenester, det geografiske område, der kan blive berørt af en hændelse, herunder eventuel grænseoverskridende indvirkning og enhedens betydning med hensyn til at opretholde et tilstrækkeligt niveau for den væsentlige tjeneste under hensyntagen til tilgængelighed af alternative måder at levere denne væsentlige tjeneste på.

Med henblik på at kunne foretage denne vurdering foreslås det, at vedkommende minister kan kræve, at enheder fremlægger materiale og oplysninger, der er nødvendige for stillingtagen til, om en enhed skal identificeres som kritisk.

Det foreslås herudover, at vedkommende minister inden for én måned efter identifikation af en kritisk enhed skal orientere enheden om dens forpligtelser, samt om fra hvilken dato forpligtelserne finder anvendelse. I praksis vil orienteringen om den kritiske enheds forpligtelser typisk fremgå af den afgørelse om identifikation af enheden, som vedkommende minister træffer, og som vil skulle meddeles enheden for at få retsvirkning.

Det foreslås desuden, at ministeren for samfundssikkerhed og beredskab skal kunne fastsætte nærmere regler om identifikation af kritiske enheder, herunder i lyset af den nationale strategi og -risikovurdering samt om hvad der forstås ved en hændelses betydelige forstyrrende virkning i en given sektor. Ministeren for samfundssikkerhed og beredskab vil i den forbindelse bl.a. kunne fastsætte regler for de forhold, der kan inddrages i vurderingen af, om en hændelse vil kunne have væsentlig forstyrrende virkning på leveringen af en væsentlig tjeneste herunder antallet af brugere, den kritiske enheds markedsandel og det relevante geografiske område.

De almindelige forvaltningsretlige regler og principper vil være gældende, idet identifikation af en kritisk enhed vil være en afgørelse i forvaltningsretlig forstand. Det medfører bl.a., at en enhed vil kunne påklage en afgørelse om identifikation eller afidentifikation som kritisk enhed til en højere administrativ myndighed efter de almindelige forvaltningsretlige principper om administrativ rekurs.

I overensstemmelse med direktivets artikel 17 foreslås det, at kritiske enheder, som leverer de samme eller lignende væsentlige tjenester til eller i seks eller flere medlemsstater, betragtes som kritiske enheder af særlig europæisk betydning. Med henblik på at kunne foretage denne vurdering, vil kritiske enheder skulle underrette den kompetente myndighed, såfremt de leverer væsentlige tjenester til eller i seks eller flere EU-medlemsstater. Såfremt en kritisk enhed på den baggrund identificeres som kritisk enhed af særlig europæisk betydning, vil den kompetente myndighed uden unødigt ophold skulle underrette enheden herom, samt om dens forpligtelser efter den foreslåede § 17 og om fra hvilken dato disse forpligtelser finder anvendelse.

Det bemærkes, at der vil være tale om en oplysningspligt omfattet af lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter for så vidt angår enhedens pligt til at fremlægge oplysninger og materiale, der er nødvendig for stillingtagen til, om enheden identificeres som kritisk, og den kritiske enheds pligt til underrette den kompetente myndighed, såfremt den leverer væsentlige tjenester til eller i seks eller flere EU-medlemsstater. Dette indebærer, at retten til ikke at inkriminere sig selv, jf. kapitel 4 i nævnte lov, skal overholdes. Det bemærkes dog, at det af bemærkningerne til § 10 i lov om retssikkerhed ved forvaltningernes anvendelse af tvangsindgreb og oplysningspligter fremgår, at bestemmelsen om forbud mod selvinkriminering ikke er til hindre for, at den mistænkte kan pålægges at give (faktuelle) oplysninger, som er uden betydning for bedømmelsen af, hvorvidt den pågældende har begået en lovovertrædelse, der kan medføre straf. Bestemmelserne vil således ikke være til hinder for at anvende en oplysningspligt til at kræve oplysninger om navn, adresse mv., jf. herved også retsplejelovens § 750, hvorefter enhver på forlangende er forpligtet til over for politiet at opgive navn, adresse og fødselsdato. Der henvises til Folketingstidende 2003-04, tillæg A, side 3097. Der vil med de foreslåede bestemmelser være tale om oplysningspligter, som beskrevet ovenfor. Det er derfor Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at kapitel 4 i lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter alene vil være relevant i praksis i yderst sjældne tilfælde.

Der henvises i øvrigt til bemærkningerne til de foreslåede §§ 1, 3 og 4.

3.2. Kritiske enheders risikovurdering og modstandsdygtighedsforanstaltninger

3.2.1. Gældende ret

EPCIP-direktivets artikel 5 fastsatte krav om, at operatørerne skulle udarbejde en sikkerhedsplan for deres del af den europæiske kritiske infrastruktur i energi- og transportsektorerne, hvis forstyrrelse eller ødelæggelse ville få betydelig grænseoverskridende indvirkning på mindst to medlemsstater.

Kravene til sikkerhedsplanen omfattede overordnet en forpligtelse til at identificere vigtige aktiver, gennemføre en risikoanalyse og etablere relevante sikkerhedsforanstaltninger til sikring af den kritiske infrastruktur.

Sikkerhedsplanerne skulle indsendes til medlemsstaterne, som i medfør af EPCIP-direktivets artikel 7, stk. 1, udarbejdede generelle risiko- og sårbarhedsanalyser for hver sektor.

EPCIP-direktivet var i dansk ret implementeret sektorvist i energi- og transportsektorerne, jf. nærmere herom i pkt. 2.4 ovenfor.

Efter § 24 i beredskabsloven, jf. lovbekendtgørelse nr. 314 af 3. april 2017, gælder der en forpligtelse for de enkelte ministre til inden for deres område hver især at planlægge for opretholdelse og videreførelse af samfundets funktioner i tilfælde af større ulykker og katastrofer.

Bestemmelserne i beredskabsloven om beredskabsplanlægning inden for den civile sektor er af generel karakter. De forudsættes suppleret med lovgivning inden for de enkelte ministerområder for at regulere særlige beredskabsmæssige forhold m.v. på de pågældende områder. Det påhviler således efter den nuværende beredskabslovgivning de enkelte ministre i overensstemmelse med sektoransvaret at sikre, at lovgivning inden for de respektive ministerområder indeholder de fornødne bestemmelser til regulering af beredskabsmæssige forhold m.v. Heri indgår en pligt til inden for den enkelte ministers område at vurdere behovet for beredskabsplanlægning for enheder, der er nødvendige for opretholdelse og videreførelse af samfundets funktion.

Derudover kan vedkommende minister efter beredskabslovens § 28, stk. 1, pålægge offentlige myndigheder og offentlige og private virksomheder at yde bistand ved planlægningen eller udførelsen af opgaver inden for beredskabet.

3.2.2 CER-direktivet

CER-direktivets artikel 12 indeholder overordnet en forpligtelse for kritiske enheder til at foretage en risikovurdering for at vurdere alle relevante risici, der kan forstyrre leveringen af enhedens væsentlige tjenester. Risikovurderingen skal foretages inden for ni måneder efter enhedens identifikation som kritisk enhed, når det er nødvendigt efterfølgende, og mindst hvert fjerde år.

Det følger af CER-direktivets artikel 12, stk. 2, at kritiske enheders risikovurderinger bl.a. skal bygge på den nationale risikovurdering og tage højde for alle relevante naturlige og menneskeskabte risici, der kan føre til en hændelse. Derudover skal risikovurderingen tage hensyn til den gensidige afhængighed, der kan bestå mellem den pågældende kritiske enhed og andre kritiske enheder i samme eller andre sektorer i andre medlemsstater og i tredjelande.

Har en kritisk enhed allerede foretaget andre risikovurderinger eller udarbejdet dokumenter i henhold til forpligtelser i andre retsakter, der er relevante for dens risikovurdering, følger det af CER-direktivets artikel 2, stk. 2, kan den kritiske enhed anvende sådanne vurderinger og dokumenter til at opfylde forpligtelsen til at foretage en risikovurdering.

Kritiske enheders risikovurderinger skal sammen med den nationale risikovurdering efter CER-direktivets artikel 13, stk. 1, danne grundlaget for kritiske enheders passende og forholdsmæssige tekniske, sikkerhedsmæssige og organisatoriske foranstaltninger for at sikre deres modstandsdygtighed.

Modstandsdygtighedsforanstaltningerne skal efter direktivets artikel 13, stk. 1, litra a - f omfatte foranstaltninger, der er nødvendige for at a) forhindre hændelser i at indtræffe under behørig hensyntagen til katastroferisikoreduktions- og klimatilpasningsforanstaltninger, b) sikre tilstrækkelig fysisk beskyttelse af enhedens lokaler og kritiske infrastruktur under behørig hensyntagen til f.eks. hegn, barrierer, værktøjer og rutiner til overvågning af perimetre, detektionsudstyr og adgangskontrol, c) reagere på, modstå og afbøde følgerne af hændelser under behørig hensyntagen til gennemførelsen af risiko- og krisestyringsprocedurer og -protokoller samt varslingsrutiner, d) sikre genopretning efter hændelser under behørig hensyntagen til forretningskontinuitetsforanstaltninger og identifikation af alternative forsyningskæder for at genoptage leveringen af væsentlige tjenester, e) sikre passende medarbejdersikkerhedsstyring under behørig hensyntagen til foranstaltninger såsom fastsættelse af kategorier af personale, der udøver kritiske funktioner, fastlæggelse af adgangsrettigheder til lokaler, kritisk infrastruktur og følsomme oplysninger, fastlæggelse af procedurer for baggrundskontrol og udpegelse af kategorier af personer, som er forpligtet til at gennemgå sådan baggrundskontrol, samt fastlæggelse af passende uddannelseskrav og kvalifikationer, og f) øge bevidstheden blandt det relevante personale om de foranstaltninger, der er omhandlet i litra a - e, under behørig hensyntagen til uddannelseskurser, informationsmateriale og øvelser.

I relation til bestemmelsens litra e om fastsættelse af kategorier af personale, som udøver kritiske funktioner, følger det af direktivet, at kritiske enheder skal tage hensyn til eksterne tjenesteudbyderes personale.

CER-direktivets artikel 13, stk. 2, indebærer herudover, at kritiske enheder skal beskrive de foranstaltninger, som de træffer, i en plan for modstandsdygtighed eller i et eller flere dokumenter, der svarer til en plan for modstandsdygtighed, og anvende denne plan i praksis. Har kritiske enheder udarbejdet dokumenter eller truffet foranstaltninger i henhold til forpligtelser i andre retsakter, der er relevante for foranstaltningerne omhandlet i stk. 1, kan de anvende disse dokumenter og foranstaltninger til at opfylde de krav, der er fastsat heri.

Det følger af direktivets artikel 6, stk. 4, at bl.a. reglerne om modstandsdygtighedsforanstaltninger finder anvendelse fra ti måneder efter datoen for enhedens modtagelse af underretning om at være identificeret som kritisk enhed.

Det følger af direktivets artikel 13, stk. 6, at Europa-Kommissionen vedtager gennemførelsesretsakter med henblik på at fastsætte de nødvendige tekniske og metodiske specifikationer vedrørende anvendelsen af de i artikel 13, stk. 1, omhandlende modstandsdygtighedsforanstaltninger.

3.2.3. Ministeriet for Samfundssikkerhed og Beredskabs overvejelser

Det er Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at CER-direktivets krav om kritiske enheders risikovurdering og modstandsdygtighedsforanstaltninger bør implementeres således, at direktivets krav skrives ind i loven, således at der skabes en fælles ramme for kritiske enheders risikovurdering og modstandsdygtighedsforanstaltninger på tværs af de sektorer, der er omfattet af lovens anvendelsesområde.

Det er endvidere Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at de ansvarlige ressortministre bør bemyndiges til efter forhandling med ministeren for samfundssikkerhed og beredskab at konkretisere lovens generelle krav om risikovurderinger og modstandsdygtighedsforanstaltninger, såfremt særlige sektorspecifikke hensyn tilsiger dette. En sådan konkretisering bør ske i bekendtgørelsesform med henblik på at sikre, at der løbende og smidigt kan ske en tilpasning af kravene i takt med udviklingen i trusselsbilledet eller eventuelle delegerede retsakter, som Europa-Kommissionen måtte vedtage.

Det er Ministeriet for Samfundssikkerhed og Beredskabs vurdering, at den nærmere konkretisering i bekendtgørelser skal ske efter forhandling med ministeren for samfundssikkerhed og beredskab, navnlig for i videst muligt omfang at sikre ensartethed under hensyn til de sektorspecifikke forhold.

3.2.4. Den foreslåede ordning

Det foreslås for det første, at kritiske enheder skal foretage en risikovurdering med henblik på at vurdere alle relevante risici, der kan forstyrre leveringen af deres væsentlige tjenester.

Det foreslås, at risikovurderingen i overensstemmelse med CER-direktivet skal foretages på grundlag af den nationale risikovurdering og andre relevante informationskilder, og den skal tage højde for alle relevante naturlige og menneskeskabte risici, der kan føre til en hændelse.

Risikovurderingen skal endvidere tage hensyn til det omfang, hvorvidt andre sektorer, anført i direktivets bilag, afhænger af den væsentlige tjeneste, der leveres af den kritiske enhed. Derudover skal den kritiske enheds risikovurdering tage hensyn til, hvorvidt den kritiske enhed er afhængig af væsentlige tjenester, der leveres af enheder i sådanne andre sektorer, herunder i nabomedlemsstater eller tredjelande.

Risikovurderingen skal efter den foreslåede § 5, stk. 3, 1. pkt. være foretaget ni måneder efter, den kritiske enhed har modtaget en orientering i medfør af § 3, stk. 5, 1. pkt. Risikovurderingen skal opdateres, når det er nødvendigt, og mindst hvert fjerde år.

Ved gennemførelse af en risikovurdering vil kritiske enheder skulle anlægge en bred vurdering af, hvilke risici der kan være relevante for den pågældende kritiske enhed. Ud over den nationale risikovurdering vil enheden i relevant omfang også skulle inddrage andre informationskilder.

Det foreslås i den forbindelse, at vedkommende minister efter forhandling med ministeren for samfundssikkerhed og beredskab inden for sit område kan fastsætte nærmere regler om kritiske enheders risikovurdering, således at der under hensyntagen til sektorspecifikke forhold kan ske en konkretisering af kravene til enhedernes risikovurdering.

Med henblik på at sikre, at der ikke fastsættes indbyrdes modsatrettede regler, vil en ressortministers eventuelle fastsættelse af regler om risikovurderinger inden for sektoren skulle ske efter forhandling med ministeren for samfundssikkerhed og beredskab. Dette skal også ses som led i Ministeriet for Samfundssikkerhed og Beredskabs koordinerende rolle, hvor ministeriet skal sikre en tæt koordination og samarbejde mellem tilsynsmyndighederne, herunder i forhold til tilsyn og håndhævelse. Der henvises herom til afsnit 2.2.1 samt bemærkningerne til det foreslåede § 13, stk. 2.

Det foreslås for det andet, at kritiske enheder skal træffe passende og forholdsmæssige tekniske, sikkerhedsmæssige og organisatoriske foranstaltninger for at sikre deres modstandsdygtighed.

Foranstaltningerne vil skulle træffes på grundlag af den nationale risikovurdering og den kritiske enheds egen risikovurdering.

I overvejelserne om, hvilke foranstaltninger det er nødvendigt at træffe, vil det skulle indgå, hvilke foranstaltninger der er nødvendige for at forhindre hændelser i at indtræffe, for at sikre tilstrækkelig fysisk beskyttelse af enhedens lokaler og kritiske infrastruktur og for at reagere på, modstå og afbøde følgerne af eller sikre genopretning efter hændelser.

Det vil endvidere skulle indgå hvilke foranstaltninger, der er nødvendige for at sikre passende medarbejdersikkerhedsstyring eller for at øge bevidstheden blandt det relevante personale om de modstandsdygtighedsforanstaltninger, der i øvrigt er truffet. Det bemærkes, at den kompetente myndighed som led i sin generelle vejledningsforpligtelse over for enheder, vil kunne yde vejledning til omfattede enheder vedrørende foranstaltninger.

Det foreslås endvidere, at kritiske enheder skal have og anvende en plan eller lignende for modstandsdygtighed, som beskriver, hvilke foranstaltninger den kritiske enhed har truffet for at sikre sin modstandsdygtighed.

Modstandsdygtighedsforanstaltningerne og planen for modstandsdygtighed vil efter den foreslåede § 3, stk. 5, 2. pkt., skulle være gennemført ti måneder efter, at den kritiske enhed har modtaget en orientering om at være identificeret som en kritisk enhed.

Endelig foreslås det, at vedkommende minister efter forhandling med ministeren for samfundssikkerhed og beredskab kan fastsætte nærmere regler om kritiske enheders modstandsdygtighedsforanstaltninger, hvis sektorspecifikke forhold tilsiger dette. Kravene vil herved løbende kunne tilpasses i forhold til de sektorspecifikke forhold, som gør sig gældende på de respektive ministerområder. Sektoransvaret er således også fortsat gældende.

Med henblik på at sikre, at der ikke fastsættes indbyrdes modsatrettede regler, vil en ressortministers eventuelle fastsættelse af regler om modstandsdygtighedsforanstaltninger inden for sektoren skulle ske efter forhandling med ministeren for samfundssikkerhed og beredskab. Dette skal også ses som led i Ministeriet for Samfundssikkerhed og Beredskabs koordinerende rolle, hvor ministeriet skal sikre en tæt koordination og samarbejde mellem tilsynsmyndighederne, herunder i forhold til tilsyn og håndhævelse. Der henvises herom til afsnit 2.2.1 samt bemærkningerne til det foreslåede § 13, stk. 2.

Såfremt Europa-Kommissionens gennemførelsesretsakter om anvendelsen af modstandsdygtighedsforanstaltninger foreligger på tidspunktet for udstedelsen af bekendtgørelserne, vil bekendtgørelserne skulle tage højde for indholdet af de tekniske og metodiske specifikationer, der fremgår heraf. Såfremt gennemførelsesretsakterne først foreligger på et senere tidspunkt, vil bekendtgørelserne i relevant omfang skulle justeres på baggrund heraf, således at det sikres, at de er i overensstemmelse med de rammer, der måtte følge af Europa-Kommissionens retsakter. Såfremt gennemførelsesretsakterne måtte regulere området fuldt ud, vil allerede udstedte bekendtgørelser i givet fald skulle ophæves.

Der henvises i øvrigt til bemærkningerne til de foreslåede §§ 5 og 6.

3.3. Kritiske enheders hændelsesunderretninger

3.3.1. Gældende ret

EPCIP-direktivet fastsatte i artikel 6, at ejere og operatører af europæisk kritisk infrastruktur skulle udpege en sikkerhedsforbindelsesofficer, der fungerede som kontaktpunkt i forbindelse med sikkerhedsmæssige spørgsmål mellem ejeren og operatøren af den europæiske kritiske infrastruktur og medlemsstatens relevante myndighed.

Endvidere fremgik det bl.a. af EPCIP-direktivet, at hver medlemsstat indførte en passende kommunikationsmekanisme mellem medlemsstatens relevante myndighed og sikkerhedsforbindelsesofficeren eller tilsvarende med henblik på at udveksle relevante oplysninger om de identificerede risici og trusler i forbindelse med den pågældende europæiske kritiske infrastruktur.

Direktivet indeholdt derimod ikke en forpligtelse for ejere og operatører til at underrette myndighederne om hændelser.

EPCIP-direktivet er i dansk ret implementeret sektorvist i energi- og transportsektorerne, jf. nærmere herom i pkt. 2.4 ovenfor.

3.3.2. CER-direktivet

Det følger af CER-direktivets artikel 15, stk. 1, at medlemsstaterne skal sikre, at kritiske enheder uden unødigt ophold underretter den kompetente myndighed om hændelser, der i betydelig grad forstyrrer eller har potentiale til i betydelig grad at forstyrre leveringen af væsentlige tjenester. Det fremgår endvidere af bestemmelsen, at medlemsstaterne sikrer, at kritiske enheder, med mindre det operationelt ikke er muligt, indgiver en første underretning senest 24 timer, efter at være blevet opmærksom på en hændelse, efterfulgt, hvor det er relevant, af en detaljeret rapport senest en måned derefter.

For at fastslå en forstyrrelses omfang skal der ifølge direktivets artikel 15, stk. 1, lægges vægt på a) antallet og andelen af brugere, der er berørt af forstyrrelsen, b) forstyrrelsens varighed og c) det geografiske område, der er berørt af forstyrrelsen, idet der tages hensyn til, om det er et geografisk isoleret område.

Det følger videre af CER-direktivets artikel 15, stk. 2, at underretninger om hændelser skal indeholde alle de tilgængelige oplysninger, der er nødvendige for, at den kompetente myndighed kan forstå hændelsens art, årsag og mulige konsekvenser, herunder alle tilgængelige oplysninger, der er nødvendige for at fastslå hændelsens eventuelle grænseoverskridende indvirkning.

Det følger desuden af CER-direktivets artikel 15, stk. 4, at så snart som muligt efter modtagelse af en underretning som omhandlet i artikel 15, stk. 1, giver den kompetente myndighed den berørte kritiske enhed relevante opfølgende oplysninger, herunder oplysninger, som kunne understøtte en effektiv reaktion fra denne kritiske enhed på den pågældende hændelse.

Det følger endvidere af artiklen, at den kompetente myndighed kan orientere offentligheden om en hændelse, hvis det vil være i offentlighedens interesse.

3.3.3. Ministeriet for Samfundssikkerhed og Beredskabs overvejelser

For så vidt angår vurderingen af, hvilke oplysninger der skal indgå i en underretning, opfatter Ministeriet for Samfundssikkerhed og Beredskab det som hensigtsmæssigt, at der gives mulighed for at fastsætte nærmere sektorvise regler om, hvilke oplysninger der skal indgå i en underretning, da det kan være vanskeligt for de kritiske enheder at vurdere, hvilke oplysninger der er nødvendige at medtage i en underretning.

Det er således Ministeriet for Samfundssikkerhed og Beredskabs vurdering, at de ressortansvarlige ministre bør bemyndiges til at fastsætte nærmere regler om vurderingen af en forstyrrelses omfang. Dermed vil der kunne fastsættes nærmere sektorspecifikke kriterier, som gør det muligt at præcisere over for de omfattede kritiske enheder, hvornår de er forpligtet til at underrette om en hændelse.

Det er endvidere Ministeriet for Samfundssikkerhed og Beredskabs vurdering, at den nærmere konkretisering i bekendtgørelser skal ske efter forhandling med ministeren for samfundssikkerhed og beredskab, navnlig for i videst muligt omfang at sikre ensartethed under hensyn til de sektorspecifikke forhold.

I overensstemmelse med CER-direktivet, er det Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at den kompetente myndighed bør kunne orientere offentligheden om en hændelse, hvis offentliggørelse vil være i offentlighedens interesse.

Det er Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at det vil skulle sikres, at offentligheden i givet fald informeres på en måde, som ikke kompromitterer fortrolige oplysninger, herunder kommercielt fortrolige oplysninger.

Det bemærkes, at loven ikke ændrer på de dataansvarliges forpligtelser til anmeldelse af overtrædelser af brud på persondatasikkerheden efter de databeskyttelsesretlige regler.

Ministeriet for Samfundssikkerhed og Beredskab bemærker i forlængelse heraf, at det af databeskyttelsesforordningens artikel 4, nr. 12, følger, at »brud på persondatasikkerheden« er defineret som et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet. Det forudsættes således fortsat, at væsentlige hændelser, som tillige udgør et brud på persondatasikkerheden, anmeldes af den dataansvarlige for behandlingen af de pågældende personoplysninger, der er omfattet af bruddet på persondatasikkerheden, til Datatilsynet uden unødig forsinkelse og om muligt senest 72 timer efter, at denne er blevet bekendt med bruddet på persondatasikkerheden, »medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder«

3.3.4. Den foreslåede ordning

Det foreslås, at en kritisk enhed skal underrette den relevante kompetente myndighed om hændelser, der i betydelig grad forstyrrer eller har potentiale til i betydelig grad at forstyrre leveringen af væsentlige tjenester.

For at vurdere en forstyrrelses omfang skal en kritisk enhed navnlig lægge vægt på 1) antallet og andelen af brugere, der er berørt af forstyrrelsen, 2) forstyrrelsens varighed, 3) og det geografiske område, der er berørt af forstyrrelsen, idet der tages hensyn til, om det er et geografisk isoleret område.

Det foreslås i den forbindelse, at vedkommende minister efter forhandling med ministeren for samfundssikkerhed og beredskab kan fastsætte nærmere regler om de kriterier, der skal tages i betragtning ved vurderingen af en hændelses potentielt forstyrrende virkninger.

Formålet med reglerne vil være at kunne præcisere lovens krav, eksempelvis ved fastsættelse af kvantitative eller i øvrigt objektivt konstaterbare kriterier. Det foreslås, at reglerne fastsættes sektorvist, hvis der måtte vise sig behov herfor, for at kunne tage højde for særlige sektorvise forhold. Det forudsættes i alle tilfælde, at de kompetente myndigheder i relevant omfang vil skulle yde vejledning til enheder om vurderingen af en hændelses potentielt forstyrrende virkninger.

Det foreslås, at underretninger om hændelser til den kompetente myndighed skal indeholde alle tilgængelige oplysninger, der er nødvendige for, at den kompetente myndighed kan forstå hændelsens art, årsag og mulige konsekvenser, herunder alle tilgængelige oplysninger, der er nødvendige for at fastslå hændelsens eventuelle grænseoverskridende indvirkning.

Det foreslås endvidere, at underretning af de kompetente myndigheder skal ske senest 24 timer efter, at den kritiske enhed er blevet opmærksom på hændelsen. Efter anmodning fra den kompetente myndighed skal den kritiske enhed senest en måned efter hændelsen sende en detaljeret rapport til den kompetente myndighed.

Endelig foreslås det, at den kompetente myndighed snarest muligt efter modtagelse af en underretning giver den berørte kritiske enhed relevante opfølgende oplysninger, herunder oplysninger som kan understøtte en effektiv reaktion fra den kritiske enhed på den pågældende tjeneste, og at den kompetente myndighed kan orientere offentligheden om en hændelse, hvis det vil være i offentlighedens interesse.

Det vil være op til den kompetente myndighed at tage stilling til formen for orientering til offentligheden. Orienteringen kan således ske på den måde, som den kompetente myndighed finder bedst egnet under hensyn til den berørte kritiske enhed, hændelsens karakter, den geografiske udstrækning, den forventede betydning for bestemte dele af offentligheden m.v.

En kompetent myndighed skal ved overvejelse om orientering af offentligheden om en hændelse sikre, at de hensyn til fortrolighed, der fremgår af forvaltningslovens § 27 om offentligt ansattes tavshedspligt, iagttages. Dette omfatter bl.a. hensynet til enkeltpersoners private forhold, forretningshemmeligheder samt hensynet til forebyggelse, efterforskning og forfølgning af lovovertrædelser. Skyldes en hændelse strafbare forhold eller mistanke herom, må en kompetent myndigheds opfølgende oplysninger ikke vanskeliggøre eller forhindre efterforskningen.

Det bemærkes, at der vil være tale om en oplysningspligt omfattet af lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter. Dette indebærer, at retten til ikke at inkriminere sig selv, jf. kapitel 4 i nævnte lov, skal overholdes. Det bemærkes dog, at det af bemærkningerne til § 10 i lov om retssikkerhed ved forvaltningernes anvendelse af tvangsindgreb og oplysningspligter fremgår, at bestemmelsen om forbud mod selvinkriminering ikke er til hindre for, at den mistænkte kan pålægges at give (faktuelle) oplysninger, som er uden betydning for bedømmelsen af, hvorvidt den pågældende har begået en lovovertrædelse, der kan medføre straf. Bestemmelsen vil således ikke være til hinder for at anvende en oplysningspligt til at kræve oplysninger om navn, adresse mv., jf. herved også retsplejelovens § 750, hvorefter enhver på forlangende er forpligtet til over for politiet at opgive navn, adresse og fødselsdato. Der henvises til Folketingstidende 2003-04, tillæg A, side 3097. Der vil med den foreslåede bestemmelse være tale om oplysningspligt, hvorved den kritiske enhed skal underrette den kompetente myndighed om hændelser, der i betydelig grad forstyrrer eller har potentiale til i betydelig grad at forstyrre leveringen af enhedens væsentlige tjenester. Det er derfor Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at kapitel 4 i lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter alene vil være relevant i praksis i yderst sjældne tilfælde.

Der henvises i øvrigt til bemærkningerne til de foreslåede §§ 7 og 8.

3.4 Baggrundskontrol

3.4.1 Gældende ret

EPCIP-direktivet indeholdt ikke regler, der gav mulighed for at foretage baggrundskontrol af personer i kritiske enheder.

På luftfartsområdet er der i Europa-Parlamentet og Rådets forordning (EF) nr. 300/2008 af 11. marts 2008 om fælles bestemmelser om sikkerhed inden for civil luftfart og om ophævelse af forordning (EF) nr. 2320/2002 fastsat regler om baggrundskontrol af visse personer, der udfører funktioner inden for luftfartssikkerhed.

Lov om luftfart, jf. lovbekendtgørelse nr. 118 af 31. januar 2024 (luftfartsloven) fastsætter regler for luftfartssikkerhed. Loven gennemfører dele af forordning nr. 300/2008, herunder reglerne om baggrundskontrol.

Det fremgår af luftfartslovens § 1 a, at transportministeren kan fastsætte sådanne forskrifter, som er nødvendige for at gennemføre de af Den Europæiske Union udstedte direktiver om luftfart, eller som er nødvendige for at anvende de af Den Europæiske Union udstedte forordninger på luftfartsområdet, herunder droneområdet. Det følger endvidere af luftfartslovens § 70, stk. 1, 2. pkt., at transportministeren kan fastsætte regler om, at der kun til personer, der er godkendt af politiet, kan udstedes en generel adgangshjemmel til lufthavnens afspærrede område.

Det følger endvidere af luftfartslovens § 70 a, stk. 2, at transportministeren efter forhandling med justitsministeren kan fastsætte regler om, at personer, som udfører sikkerhedskontrol eller har adgang til klassificerede regler eller sikkerhedsplaner i virksomheder, som er sikkerhedsgodkendt efter de forordninger om sikkerhed inden for civil luftfart, der er udstedt af Den Europæiske Union, skal sikkerhedsgodkendes af Trafikstyrelsen. Bemyndigelserne i luftfartslovens §§ 1 a, 70, stk.1, 2. pkt., 32 og 70 a, stk. 2, er bl.a. udmøntet ved bekendtgørelse nr. 2567 af 14. december 2021 om udvidet baggrundskontrol og sikkerhedsgodkendelse af personer, som har funktioner inden for luftfartssikkerhed (security)

Bekendtgørelsen stiller krav om, at nogle ansatte i luftfartssektoren enten skal gennemgå udvidet baggrundskontrol eller sikkerhedsgodkendes, afhængigt af deres ansættelse. Bekendtgørelsen finder anvendelse på personer, der udfører funktioner, har adgange eller rettigheder inden for luftfartssikkerhed (security), jf. bekendtgørelsens § 1. Det følger af bestemmelsens § 3, at en udvidet baggrundskontrol skal 1) fastslå en persons identitet på grundlag af dokumentation, 2) omfatte strafferegistre i alle personens bopælslande for mindste de foregående fem år, 3) omfatte personens beskæftigelse, uddannelse og eventuelle afbrydelser i mindst de foregående fem år og 4) omfatte efterretninger og andre relevante oplysninger, som de kompetente nationale myndigheder råder over, og som efter deres vurdering kan være relevante for en persons egnethed til at arbejde i en funktion, som kræver en udvidet baggrundskontrol.

Ansøgninger om udvidet baggrundskontrol inden for luftfartssikkerhed indgives i dag til politiet ved hjælp af elektronisk ansøgningsblanket, jf. bekendtgørelsens § 8. Før ansøgningen indgives, skal arbejdsgiveren, lufthavnen eller luftfartsselskabet have gennemført ID- og CV-kontrol med et tilfredsstillende resultat, jf. bekendtgørelsens § 8, stk. 3.

Politiet har ansvaret for sagsbehandlingen af ansøgninger om udvidet baggrundskontrol, herunder at indhente og kontrollere strafferegisteroplysninger, kontrollere efterretninger og alle andre relevante oplysninger, som politiet råder over, samt at foretage en vurdering af alle de lovovertrædelser og terrorhandlinger, der henvises til i forordningens bilag, jf. bekendtgørelsens §§ 10-12. Det følger af bekendtgørelsens § 14, at politidirektøren for Midt- og Vestjyllands Politi på baggrund af oplysningerne træffer afgørelser om, hvorvidt en person har gennemgået en udvidet baggrundskontrol med et tilfredsstillende resultat og om tilbagekaldelse af en afgørelse om udvidet baggrundskontrol.

3.4.2 CER-direktivet

CER-direktivets artikel 14 indeholder krav om baggrundskontrol for visse personer. Det fremgår af således af CER-direktivets artikel 14, at medlemsstaterne angiver på hvilke betingelser en kritisk enhed i behørigt begrundede tilfælde og under hensyntagen til medlemsstatsrisikovurderingen har tilladelse til at indgive anmodning om baggrundskontrol af personer, der: a) varetager følsomme opgaver i eller til fordel for en kritisk enhed, navnlig vedrørende den kritiske enheds modstandsdygtighed, b) er bemyndiget til at få direkte adgang eller fjernadgang til en kritisk enheds lokaler, oplysninger eller kontrolsystemer, herunder i forbindelse med den kritiske enheds sikkerhed, c) overvejes ansat i stillinger, der hører under kriterierne i litra a eller b.

Baggrunden for kravet om baggrundskontrol fremgår af CER-direktivets præambelbetragtning nr. 32. Det følger således af direktivets præambel betragtning nr. 32, at risikoen for, at ansatte i kritiske enheder eller deres kontrahenter misbruger for eksempel deres adgangsret inden for den kritiske enheds organisation til at skade eller forvolde skade, giver anledning til stigende bekymring.

Det følger desuden af artikel 14, stk. 2, at anmodninger om baggrundskontrol skal vurderes inden for en rimelig frist og behandles i overensstemmelse med national ret og nationale procedurer samt relevant og gældende EU-ret, herunder databeskyttelsesforordningen (forordning (EU) 2016/679) og retshåndhævelsesdirektivet (Europa-Parlamentets og Rådets direktiv (EU) 2016/680). Baggrundskontrol skal ifølge artikel 14, stk. 2, 2. pkt., være forholdsmæssig og strengt begrænset til, hvad der er nødvendig, og må udelukkende foretages med henblik på at vurdere en potentiel sikkerhedsrisiko for den berørte kritiske enhed. Det følger af artikel 14, stk. 3, at en baggrundskontrol, som minimum skal a) bekræfte identiteten af den person, der er genstand for baggrundskontrollen, og b) kontrollere strafferegistrene for den pågældende person for så vidt angår lovovertrædelser, der ville være relevant for en bestemt stilling.

Det følger ligeledes af artikel 14, stk. 3, at når medlemsstater foretager baggrundskontrol, skal de anvende det europæiske informationssystem vedrørende strafferegistre i overensstemmelse med procedurerne i rammeafgørelse 2009/315/RIA og, hvor det er relevant og finder anvendelse, forordning (EU) 2019/816 med henblik på indhentning af oplysninger fra andre medlemsstaters strafferegistre. De centrale myndigheder omhandlet i artikel 3, stk. 1, i rammeafgørelse 2009/315/RIA og i art. 3, nr. 5), i forordning (EU) 2019/816, besvarer anmodninger om sådanne oplysninger inden for ti arbejdsdage efter datoen for modtagelsen af anmodningen i overensstemmelse med artikel 8, stk. 1, i rammeafgørelse 2009/315/RIA.

3.4.3. Ministeriet for Samfundssikkerhed og Beredskabs overvejelser

Det er Ministeriet for Samfundssikkerhed og Beredskabs vurdering, at der bør foretages en direktivnær implementering af CER-direktivets regler om baggrundskontrol.

Det er endvidere Ministeriet for Samfundssikkerhed og Beredskabs vurdering, at denne lov alene bør fastsætte den overordnede ramme for regler om baggrundskontrol, således at den nærmere udmøntning sker i sektorspecifikke bekendtgørelser.

Dette skal navnlig ses i lyset af, at CER-direktivets artikel 14, stk. 1, angiver, at der ved fastsættelse af betingelser for indgivelse af ansøgninger om baggrundskontrol skal tages hensyn til den nationale risikovurdering. Det er på denne baggrund Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at den nærmere fastsættelse af betingelser for indgivelse af ansøgninger om baggrundskontrol bør ske i sektorspecifikke bekendtgørelser, således at der ved fastsættelse af de nærmere betingelser kan tages hensyn til sektorspecifikke forhold.

Det er samtidig vigtigt, at der i vidst muligt omfang sikres ensartethed og koordination på tværs af de enkelte sektorer. Det er på den baggrund Ministeriet for Samfundssikkerhed og Beredskabs vurdering, at der ved fastsættelse af betingelse for baggrundskontrol bør tages udgangspunkt i samme overordnede model for baggrundskontrol, herunder navnlig samme grundbetingelser, som kan tilpasses de enkelte sektorer. På den måde sikres, at der fastsættes et ensartet minimumsniveau for baggrundskontrol på tværs af de sektorer, der er omfattet af denne lovs anvendelsesområde.

Det er på den baggrund Ministeriet for Samfundssikkerhed og Beredskabs vurdering, at de nærmere regler om krav til baggrundskontrol fastsættes af vedkommende minister efter forhandling med justitsministeren.

Ved gennemførelsen tages der således hensyn til, at det er ressortministerierne og de sektoransvarlige myndigheder, der med deres indgående kendskab til forholdene i de enkelte sektorer har de bedste forudsætninger for at vurdere, om der konkret er behov for nærmere udmøntning af lovens krav, således at implementeringen af direktivet udmøntes på den måde, der er mest hensigtsmæssig for sektoren.

Hertil kommer, at brugen af bekendtgørelser sikrer, at der i nødvendigt omfang hurtigere kan gennemføres ændringer på baggrund af eksempelvis ændringer i trusselsbilledet inden for en givne sektor.

3.4.4 Den foreslåede ordning

Det foreslås, at der foretages en direktivnær implementering af CER-direktivets artikel 9.

Med den foreslåede § 9 lægges der således op til, at vedkommende minister efter forhandling med justitsministeren fastsætter regler om, på hvilke betingelser virksomheder kan få foretaget baggrundskontrol af personer inden for eget ressortområde.

Den foreslåede ordning medfører, at vedkommende minister efter forhandling med justitsministeren fastsætter nærmere regler, der sammen med bestemmelsen vil skulle udmønte den nærmere ordning for gennemførelse af CER-direktivet artikel 14 om baggrundskontrol inden for eget ressortområde.

Kravet om forhandling skal navnlig ses i lyset af behovet for i videst muligt omfang at sikre en ensartet udmøntning af reglerne om baggrundskontrol på tværs af de sektorer, der er omfattet af dennes lovs anvendelsesområde. Kravet om, at forhandlingen skal ske med justitsministeren skal ses i lyset af, at det efter gældende ret på luftfartsområdet er politiet, der bidrager til udførelsen af baggrundskontrol.

Det er udgangspunktet for implementeringen af CER-direktivets bestemmelse om baggrundskontrol, at baggrundskontrollen 1) skal bekræfte identiteten af den person, der er genstand for baggrundskontrollen og 2) kontrollere strafferegistrene for den pågældende person for så vidt angår lovovertrædelser, der ville være relevante for en bestemt stilling, jf. direktivets artikel 14, stk. 3. Det er desuden udgangspunktet, at baggrundskontrollen skal være forholdsmæssig og strengt begrænset til, hvad der er nødvendigt. Den nærmere fastlæggelse af en model for baggrundskontrol vil ske ved bekendtgørelse efter forhandling med justitsministeren.

Afgørelser om, hvorvidt en person har gennemgået en baggrundskontrol med et tilfredsstillende resultat og om tilbagekaldelse af en afgørelse om baggrundskontrol, vil skulle træffes af den kompetente myndighed. Den kompetente myndigheds afgørelser træffes på baggrund af oplysninger om den pågældende person, som politiet tilvejebringer.

Der henvises i øvrigt til bemærkningerne til den foreslåede § 9.

3.5. Tilsyn og håndhævelse

3.5.1. Gældende ret

EPCIP-direktivet indeholdt ikke generelle regler om tilsyn og håndhævelse.

3.5.2. CER-direktivet

Der er i CER-direktivets artikel 21 fastsat bestemmelser om tilsyn og håndhævelse.

Medlemsstaterne forpligtes efter artikel 21, stk. 1, til at sikre, at deres kompetente myndigheder har beføjelser og midler til at foretage inspektioner på stedet af den kritiske infrastruktur og af de lokaler, som den kritiske enhed anvender til at levere sine væsentlige tjenester.

Det følger endvidere af artikel 21, stk. 1, at de kompetente myndigheder skal kunne udøve eksternt tilsyn med de modstandsdygtighedsforanstaltninger, som kritiske enheder har foretaget. De kompetente myndigheder skal også kunne foretage eller kræve revision af kritiske enheder.

Det er herudover fastsat i artikel 21, stk. 2, at medlemsstaterne skal sikre, at de kompetente myndigheder, hvor det er nødvendigt, har beføjelser og midler til at forlange, at enheder, der er omfattet af NIS 2-direktivet, og som er identificeret som kritiske enheder efter CER-direktivet, inden for en rimelig tidsfrist giver de oplysninger, der er nødvendige for at vurdere, hvorvidt de kritiske enheders modstandsdygtighedsforanstaltninger opfylder kravene hertil, og giver dokumentation for den faktiske gennemførelse af foranstaltningerne, herunder resultaterne af en revision foretaget af en uafhængig og kvalificeret revisor udvalgt af den kritiske enhed og foretaget på dennes regning. En kompetent myndighed skal, når der anmodes om oplysninger, angive formålet dermed og hvilke oplysninger, der kræves.

En kompetent myndighed kan efter artikel 21, stk. 3, på baggrund af tilsynsforanstaltninger eller vurderingen af de oplysninger, en kritisk enhed har meddelt, pålægge en kritisk enhed at træffe de nødvendige og forholdsmæssige foranstaltninger for at afhjælpe enhver konstateret overtrædelse inden for en rimelig frist, der fastsættes af de kompetente myndigheder. Enhederne kan endvidere pålægges at give de kompetente myndigheder oplysninger om de trufne foranstaltninger. Påbuddene skal navnlig tage hensyn til overtrædelsens grovhed.

Direktivet fastsætter i artikel 21, stk. 4, at der skal være passende beskyttelsesforanstaltninger for sikring af enhedernes rettigheder og legitime interesser ved de kompetente myndigheders udøvelse af deres beføjelser.

3.5.3. Ministeriet for Samfundssikkerhed og Beredskabs overvejelser

Det foreslås, at der fastsættes regler om de kompetente myndigheders tilsyns- og håndhævelsesforanstaltninger som i deres indhold svarer til CER-direktivets artikel 21.

Som nærmere beskrevet ovenfor oplister CER-direktivet de beføjelser, de kompetente myndigheder har til rådighed med henblik på at vurdere, om de kritiske enheder opfylder forpligtelserne i direktivet. Endvidere angives også, at de kompetente myndigheder har mulighed for at pålægge enhederne at afhjælpe konstaterede overtrædelser af direktivet. Et sådant påbud skal tage hensyn til overtrædelsens grovhed.

I overensstemmelse med CER-direktivets præambel nr. 40, bør de kompetente myndigheder under udstedelsen af et påbud ikke kræve foranstaltninger, der går ud over, hvad der er nødvendigt og rimeligt for at sikre, at den kritiske enhed opfylder forpligtelserne. Der skal navnlig tages hensyn til overtrædelsens alvor og den kritiske enheds økonomiske formåen.

For effektivt at kunne konstatere, om kritiske enheder i praksis f.eks. har gennemført passende modstandsdygtighedsforanstaltninger, er det efter Ministeriet for Samfundssikkerhed og Beredskabs opfattelse nødvendigt, at de kompetente myndigheder som led i et tilsyn har adgang til den kritiske infrastruktur og lokaler uden retskendelse.

3.5.4. Den foreslåede ordning

Det foreslås, at den kompetente myndighed med henblik på at vurdere, om en kritisk enhed opfylder sine forpligtelser i henhold til denne lov og regler fastsat i medfør heraf, uden retskendelse og mod behørig legitimation kan foretage inspektioner på stedet af den kritiske infrastruktur og af de lokaler, som den kritiske enhed anvender til at levere sine væsentlige tjenester, og at den kompetente myndighed kan foretage en audit af en kritisk enhed eller stille krav om, at enheden får et kvalificeret uafhængigt organ til at foretage denne, og at resultaterne heraf stilles til rådighed for den kompetente myndighed.

Den foreslåede bestemmelse indebærer, at der skal være adgang til kontrol på stedet uden retskendelse og mod behørig legitimation. For effektivt at kunne konstatere, om kritiske enheder i praksis f.eks. har gennemført passende modstandsdygtighedsforanstaltninger, er det således nødvendigt, at de kompetente myndigheder som led i et tilsyn har adgang til den kritiske infrastruktur og de lokaler, som den kritiske enhed anvender til at levere sine væsentlige tjenester. Det vil i den forbindelse f.eks. kunne indgå, hvilken type af kritisk enhed, der føres tilsyn med, tilsynets karakter og omfang.

Den foreslåede bestemmelse vil betyde, at de kompetente myndigheder som led i et tilsyn kan foretage kontrol på stedet til enhver tid. Det forudsættes dog almindeligvis, at den kompetente myndighed forinden et evt. besøg vil varsle den kritiske enhed herom.

Det foreslås herudover, at den kompetente myndighed kan kræve at få udleveret oplysninger, der er nødvendige for at vurdere, hvorvidt de modstandsdygtighedsforanstaltninger, den berørte enhed har indført, opfylder kravene dertil, og kræve at få adgang til data, dokumenter og oplysninger, der er nødvendige for udførelsen af tilsynsopgaven, samt kræve at få udleveret dokumentation for faktisk gennemførelse af modstandsdygtighedsforanstaltninger, herunder resultaterne af en audit.

Det foreslås i den forbindelse, at den kompetente myndighed skal angive formålet med de stillede krav og præcisere, hvilke oplysninger der kræves udleveret, og at den kompetente myndighed kan stille nærmere krav til, hvordan og i hvilken form en kritisk enhed skal afgive de pågældende oplysninger og materiale.

Derudover foreslås det, at en kompetent myndighed på baggrund af et tilsynsbesøg eller modtagne oplysninger kan påbyde en kritisk enhed at træffe nødvendige og forholdsmæssige foranstaltninger for at afhjælpe en konstateret overtrædelse af loven eller regler fastsat i medfør af loven.

Det bemærkes i den forbindelse, at der ved udstedelse af et påbud navnlig skal tages hensyn til overtrædelsens grovhed. Et påbud til en kritisk enhed vil være en afgørelse i forvaltningsretlig forstand, og en kritisk enhed vil kunne påklage en afgørelse om påbud til højere administrativ myndighed efter de almindelige forvaltningsretlige principper om administrativ rekurs.

De almindelige regler om domstolsprøvelse af forvaltningsafgørelser vil endvidere finde anvendelse, og en kritisk enhed vil dermed have adgang til at få prøvet afgørelsen ved domstolene.

Der henvises til lovforslagets §§ 14 og 15 og bemærkningerne hertil.

4. Forholdet til databeskyttelsesforordningen og databeskyttelsesloven

Efter den foreslåede bestemmelse i § 3, stk. 1, skal vedkommende minister føre en liste over udpegede enheder. Bestemmelsen indebærer, at vedkommende minister fører en liste med bl.a. navne på de udpegede enheder. Det vil ikke kunne udelukkes, at en enkeltmandsvirksomhed vil kunne udpeges som kritisk enhed. Der vil derfor kunne blive behandlet almindelige personoplysninger i form af navn på virksomheden.

Den foreslåede bestemmelse i § 3, stk. 4, indeholder bemyndigelse til, at vedkommende minister kan kræve, at enheder fremlægger materiale og oplysninger, der er nødvendige for stillingtagen til, hvorvidt en enhed skal identificeres som kritisk. Bestemmelsen indebærer bl.a., at enheder, som er omfattet af bestemmelsen vil være forpligtet til at indsende oplysninger til vedkommende minister. Oplysningerne kan indeholde almindelige personoplysninger om f.eks. navne på den kritiske enhed eller medarbejderes navne. Det bemærkes i den forbindelse, at det ikke kan udelukkes, at en enkeltmandsvirksomhed udpeges som kritisk enhed.

Der kan desuden indgå almindelige personoplysninger i de oplysninger, som enheder efter lovforslaget skal indgive til de kompetente myndigheder i medfør af lovforslagets § 7, hvorefter kritiske enheder skal udpege en kontaktperson og meddele relevante kontaktoplysninger til den relevante kompetente myndighed. Dette vil eksempelvis være navne og telefonnumre på den pågældende medarbejder, der udpeges som kontaktperson.

Derudover kan der indgå almindelige personoplysninger i en kritisk enheds underretning om hændelser efter lovforslagets § 8, stk. 1, hvorefter kritiske enheder skal underrette den relevante kompetente myndighed om hændelser, der i betydelig grad forstyrrer eller har potentiale til i betydelig grad at forstyrre leveringen af enhedens væsentlige tjenester. Af bestemmelsens stk. 3, fremgår det, at underretninger skal indeholde alle tilgængelige oplysninger, der er nødvendige for, at den kompetente myndighed kan forstå hændelsens art, årsag og mulige konsekvenser, herunder alle tilgængelige oplysninger der er nødvendige for at fastslå hændelsens eventuelle grænseoverskridende indvirkning. I en kritisk enheds underretning om en hændelse kan der således f.eks. indgå almindelige personoplysninger, herunder navne og e-mailadresser, i forbindelse med en redegørelse for hændelsens faktiske forløb, eller ved at der vedlægges e-mails eller andet materiale, der belyser hændelsens forløb, karakter eller håndtering.

Efter lovforslagets § 9 kan vedkommende minister inden for sit område efter forhandling med justitsministeren fastsætte nærmere regler om, på hvilke betingelser kritiske enheder kan få foretaget baggrundskontrol af personer med henblik på at vurdere en potentiel sikkerhedsrisiko for enheden. Baggrundskontrollen kan angå personer, der 1) varetager følsomme opgaver i eller til fordel for en kritisk enhed, navnlig vedrørende den kritiske enheds modstandsdygtighed, 2) er bemyndiget til at få direkte adgang eller fjernadgang til en kritisk enheds lokaler, oplysninger eller kontrolsystemer, herunder i forbindelse med den kritiske enheds sikkerhed, eller 3) overvejes ansat i stillinger, der indebærer opgavevaretagelse som nævnt ovenfor. Baggrundskontrollen vil i medfør af CER-direktivets artikel 14, stk. 2, mindst skulle bekræfte identiteten af den person, der er genstand for baggrundskontrollen, og omfatte en kontrol af strafferegistre for den pågældende person for lovovertrædelser, der er relevante for en bestemt stilling. Gennemførelse af baggrundskontrol vurderes på den baggrund at medføre behandling af almindelige personoplysninger og personoplysninger vedrørende straffedomme og lovovertrædelser. Gennemførelsen af baggrundskontrol vil ikke medføre behandling af følsomme personoplysninger.

Efter den foreslåede § 10, kan de relevante myndigheder videregive oplysninger til andre myndigheder og institutioner i Den Europæiske Union for at varetage de opgaver, som følger af loven eller regler udstedt i medfør af loven. Myndighederne vil i den forbindelse kunne videregive oplysninger om f.eks. navn på den kritiske enhed. Det kan i den forbindelse ikke udelukkes, at enkeltmandsvirksomheder udpeges som kritiske enheder. Der vil endvidere kunne videregives navn på medarbejder mv. i forbindelse med forberedelse af rådgivende besøg.

Anvendelse af tilsynsbeføjelserne i medfør af de foreslåede bestemmelser i §§ 14 og 16 vil kunne medføre behandling af almindelige personoplysninger. Det er Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at de oplysninger, der måtte blive behandlet i denne forbindelse, vil være oplysninger om den kritiske enheds medarbejdere, herunder kontaktoplysninger på enhedens kontaktpersoner, ligesom der eksempelvis kan være tale om oplysninger om, hvilke medarbejdere der har adgangsrettigheder til den kritiske enheds lokaler og kritiske infrastruktur.

Det er vurderingen, at behandling af almindelige personoplysninger i forbindelse med overholdelse af de foreslåede bestemmelser i lovforslagets § 3, stk. 4, om enheders fremlæggelse af materiale og oplysninger, §§ 7-9 om kritiske enheders oplysning om en kontaktperson, om kritiske enheders underretning om hændelser og om baggrundskontrol, § 10 om videregivelse af oplysninger til udenlandske myndigheder samt §§ 14 og 16 om adgang til og gennemførelse af tilsyn for private virksomheder vil kunne ske i medfør af databeskyttelsesforordningens artikel 6, stk. 1, litra c og e, jf. stk. 2 og 3.

Det følger således af artikel 6, stk. 1, litra c, at behandling er lovlig, hvis den er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige. Danmark har en EU-retlig forpligtelse til at gennemføre CER-direktivets regler i dansk ret.

Herudover følger det af litra e, at behandling er lovlig, hvis den er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.

For så vidt angår offentlige myndigheders behandling af personoplysninger, følger det af CER-direktivet, at myndighederne pålægges en række nye myndighedsopgaver. Det skyldes, at lovforslaget har til formål at understøtte den kritiske infrastruktur og dermed opretholdelse af vitale funktioner i det danske samfund. Det er Ministeriet for Samfundssikkerhed og Beredskabs vurdering, at der dermed er tale om myndighedsudøvelse omfattet af databeskyttelsesforordningens artikel 6, stk. 1, litra e, jf. stk. 2 og 3.

For så vidt angår private virksomheders behandling af personoplysninger sker dette idet CER-direktivet medfører forpligtelser for udpegede kritiske enheder med henblik på at forebygge, beskytte sig mod, reagere på, håndtere og sikre genopretning efter kriser og katestrofer for at sikre kontinuitet i samfundsvigtige tjenester og funktioner. Behandlingen af personoplysninger vurderes på den bagrund af være en opgave i samfundets interesse, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra e, jf. stk. 2, og 3.

Det er vurderingen, at behandlingen af personoplysninger om strafbare forhold efter den foreslåede § 9 kan ske inden for rammerne af databeskyttelsesforordningens artikel 10. Det er således vurderingen, at den foreslåede bestemmelser giver passende garantier for registreredes rettigheder og friheder. Der lægges i den forbindelse vægt på, at baggrundskontrollen alene vil blive udført i behørigt begrundende tilfælde og alene på baggrund af samtykke fra den registrerede. Der vil endvidere ikke blive indhentet flere oplysninger end nødvendigt for at udføre baggrundskontrollen.

Det er endelig vurderingen, at den foreslåede bestemmelse kan rummes inden for rammerne af databeskyttelsesforordningens artikel 10, 1. pkt., jf. artikel 6, stk. 1, litra c og e. For en nærmere gennemgang af artikel 6, stk. 1, litra c og e, som hjemmelsgrundlag, henvises til ovenfor.

Det er Ministeriet for Samfundssikkerhed og Beredskabs vurdering, at behandlingen af personoplysninger i medfør af de foreslåede bestemmelser i lovforslaget er proportional og ikke går videre, end hvad der er nødvendigt for at opfylde Danmarks EU-retlige forpligtelser til implementering af CER-direktivet.

Ministeriet for Samfundssikkerhed og Beredskab skal afslutningsvis bemærke, at det forudsættes, at de øvrige bestemmelser i databeskyttelsesforordningen og databeskyttelsesloven, herunder de grundlæggende principper i databeskyttelsesforordning artikel 5 også iagttages, når der behandles personoplysninger i medfør af de foreslåede bestemmelser. Det betyder, at personoplysninger skal være tilstrækkelige, relevante og begrænset til, hvad der nødvendigt i forhold til de formål, hvortil de behandles.

5. Økonomiske konsekvenser og implementeringskonsekvenser for det offentlige

Efter lovforslaget vil statslige myndigheder kunne blive identificeret som kritiske enheder. Lovforslaget forventes på denne baggrund at medføre merudgifter og negative implementeringskonsekvenser for de statslige myndigheder, der måtte blive identificeret som kritiske enheder, da de i lighed med identificerede kritiske enheder i private virksomheder vil være omfattet af lovens forpligtelser.

Lovens forpligtelser omfatter bl.a., at kritiske enheder skal udarbejde en risikovurdering, jf. den foreslåede § 5, og at kritiske enheder skal træffe passende og forholdsmæssige tekniske, sikkerhedsmæssige og organisatoriske foranstaltninger for at sikre enhedens modstandsdygtighed, jf. den foreslåede § 6.

Kritiske enheder vil endvidere, såfremt der indtræder hændelser, der i betydelig grad forstyrrer eller har potentiale til at forstyrre leveringen af enhedens væsentlige tjenester, jf. den foreslåede § 8, skulle underrette den kompetente myndighed.

De ovenfor nævnte forpligtelser, som kritiske enheder vil skulle opfylde, kan ved behov nærmere udmøntet i sektorspecifikke bekendtgørelser. Da de nærmere økonomiske konsekvenser således vil afhænge af det nærmere indhold af bekendtgørelserne, vil de økonomiske konsekvenser først kunne opgøres endeligt i forbindelse med udstedelse af bekendtgørelserne. Samtidig er det på nuværende tidspunkt uvist, hvor mange statslige myndigheder, der vil blive omfattet af den foreslåede lov, idet identificering af de kritiske enheder skal ske på baggrund af en national strategi og risikovurdering, som først gennemføres frem mod 2026. De økonomiske og administrative konsekvenser vil desuden afhænge af de pågældende myndigheders eksisterende modstandsdygtighedsniveau og udviklingen i trusselsbilledet i samfundet.

Ud over konsekvenserne forbundet med, at statslige myndigheder kan udpeges som kritiske enheder efter lovforslaget, vil der være konsekvenser forbundet med løsningen af de myndighedsopgaver, der følger af direktivet.

Det forventes, at Styrelsen for Samfundssikkerhed vil varetage opgaven som centralt kontaktpunkt, ligesom der i de sektorer, som er omfattet af lovens anvendelsesområde, vil skulle udpeges kompetente myndigheder, som skal varetage forskellige myndighedsopgaver.

Blandt myndighedsopgaverne er identifikation af kritiske enheder, ligesom de kompetente myndigheder skal føre tilsyn med lovens overholdelse og varetage opgaver i forbindelse med kritiske enheders underretninger om hændelser. Der vil desuden være tværgående opgaver forbundet med bl.a. baggrundskontrol af relevant personale hos enhederne.

Der vil herudover skulle udarbejdes en national strategi for kritiske enheders modstandsdygtighed, udarbejdes en national risikovurdering samt varetages visse tværgående koordinerende opgaver. Den nationale strategi og -risikovurdering vil blive udarbejdet af Ministeriet for Samfundssikkerhed og Beredskab på styrelsesniveau og Justitsministeriet, herunder Rigspolitiet og Politiets Efterretningstjeneste (PET).

Hertil kommer, at Rigspolitiet forventes at skulle tilvejebringe oplysninger om den pågældende person i forbindelse med behandlingen af ansøgninger om baggrundskontrol.

De statsfinansielle konsekvenser som følge af de øgede aktiviteter skønnes - med betydelig usikkerhed - at udgøre 18-31 mio. kr. årligt. Usikkerheden skyldes navnlig, at udgifterne afhænger af det nærmere indhold af de kommende bekendtgørelser, samt at det er uvist, hvor mange enheder der vil blive identificeret som kritiske enheder.

Det er Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at lovforslaget er i overensstemmelse med principperne for digitaliseringsklar lovgivning.

Det er endvidere Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at princip nr. 1 om enkle og klare regler er iagttaget, idet det i lovforslaget - inden for direktivets rammer - klart fremgår, hvilke forpligtelser der påhviler identificerede kritiske enheder, og hvilke beføjelser en kompetent myndighed har i sit tilsyn med enhedernes efterlevelse af deres forpligtelser.

Det er desuden Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at lovforslaget er udarbejdet i overensstemmelse med princip nr. 2, da lovforslagets § 12 indfører hjemmel til at fastsætte regler om digital kommunikation.

Derudover er det Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at lovforslaget er i overensstemmelse med princip nr. 5 om tryg og sikker databehandling, da lovforslaget indeholder en grundig beskrivelse af forholdet til databeskyttelsesretten.

Endelig er det Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at princip nr. 6 om anvendelse af offentlig infrastruktur er iagttaget, idet der i forbindelse med kritiske enheders forpligtelse til at underrette om visse hændelser forudsættes anvendt digitale selvbetjeningsløsninger såsom Virk.dk. Dermed anvendes eksisterende offentlig it-infrastruktur til digital kommunikation mellem kritiske enheder og de kompetente myndigheder.

Det er Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at de øvrige principper ikke er relevante for lovforslaget.

6. Økonomiske og administrative konsekvenser for erhvervslivet m.v.

Lovforslaget indebærer, at loven vil finde anvendelse på virksomheder, der er omfattet af enhedskategorierne i CER-direktivets bilag, og som identificeres som kritiske enheder. Lovens anvendelsesområde og identifikationen af kritiske enheder er nærmere beskrevet i henholdsvis lovens §§ 1 og 3 og de specielle bemærkninger hertil.

Lovforslaget forventes at medføre negative erhvervsøkonomiske konsekvenser. Bl.a. vil kritiske enheder skulle overholde oplysnings- og underretningsforpligtelserne i lovforslagets foreslåede § 4, stk. 2, og §§ 7-8. Derudover vil kritiske enheder skulle foretage en risikovurdering efter den foreslåede § 5 og træffe modstandsdygtighedsforanstaltninger efter den foreslåede § 6. Forpligtelserne er nærmere beskrevet i de nævnte bestemmelser og bemærkninger hertil.

Det er ikke muligt på nuværende tidspunkt at estimere de erhvervsøkonomiske konsekvenser ved lovforslaget, da der er betydelig usikkerhed om både effekterne af de kommende krav og populationen. Gennemførelsen af CER-direktivet i dansk ret vurderes dog - samlet set - at medføre væsentlige erhvervsøkonomiske konsekvenser.

Lovforslaget giver i en række bestemmelser hjemmel til udstedelse af bekendtgørelser, som indebærer erhvervsøkonomiske konsekvenser for erhvervslivet, jf. lovforslagets § 3, stk. 4, § 5, stk. 1, § 6, stk. 1-3, § 8, § 9 og § 14. Virksomheder skal bl.a. udarbejde en risikovurdering, træffe foranstaltninger til at sikre enhedernes modstandsdygtighed, herunder udarbejde en plan for modstandsdygtighed, indgive underretninger ved hændelser, og udlevere oplysninger i forbindelse med tilsynsbesøg, hvilket forventes konkretiseret yderligere i sektorspecifikke bekendtgørelser.

Det er på nuværende tidspunkt uvist, hvor mange danske virksomheder, der vil blive omfattet af den foreslåede lov, idet identificering af de kritiske enheder skal ske på baggrund af en national strategi og risikovurdering, som først gennemføres frem mod 2026. De økonomiske og administrative konsekvenser vil desuden afhænge af de pågældende virksomheders eksisterende modstandsdygtighedsniveau og udviklingen i trusselsbilledet i samfundet. Der vil blive foretaget en egentlig kvantificering af de erhvervsøkonomiske konsekvenser i 2026.

7. Administrative konsekvenser for borgerne

Lovforslaget vurderes ikke at have administrative konsekvenser for borgerne.

8. Klimamæssige konsekvenser

Lovforslaget forventes ikke at have klimamæssige konsekvenser.

9. Miljø- og naturmæssige konsekvenser

Lovforslaget vurderes ikke at have miljø eller naturmæssige konsekvenser.

10. Forholdet til EU-retten

Lovforslaget og de bekendtgørelser, der vil blive udstedt i medfør af loven, gennemfører Europa-Parlamentets og Rådets direktiv (EU) 2022/2557 af 14. december 2022 om kritiske enheders modstandsdygtighed og om ophævelse af Rådets direktiv 2008/114/EF (CER-direktivet).

Det følger af artikel 26, stk. 1, i CER-direktivet, at direktivet skulle være gennemført i dansk ret senest den 17. oktober 2024 og træde i kraft senest den 18. oktober 2024. Med den foreslåede bestemmelse i § 18 vil loven dermed træde i kraft den 1. juli 2025, og således lidt over ni måneder efter direktivets implementeringsfrist. Den 28. november 2024 indledte EU-Kommissionen traktatbrudssager mod 23 medlemsstater, derunder Danmark for ikke at have gennemført CER-direktivet.

11. Hørte myndigheder og organisationer m.v.

Et udkast til lovforslag har i perioden fra den 5. juli 2024 til den 22. august 2024 (48 dage) været sendt i høring hos følgende myndigheder og organisationer mv.:

Advokatrådet, ATP, Bestyrelsesforeningen, Danish Care, Danish Cloud, Community, Danmarks Apotekerforening, Dansk Arbejdsgiverforening, Danske, Beredskaber, Dansk Erhverv, Dansk Industri, Dansk IT, Dansk Kollektiv Trafik, Dansk Luftfart, Dansk Selskab for Patientsikkerhed, Danske Advokater, Danske Havne, Danske Maritime, Danske Rederier, Danske Regioner, Danske Shipping- og Havnevirksomheder, Danske Vandværker, DANVA, Dataetisk Råd, Datatilsynet, Den Danske Dommerforening, DiaLab, Dansk Diagnostika- og Laboratorieforening, Domstolsstyrelsen, Erhvervsflyvningens Sammenslutning, Finans Danmark, Færøernes Landsstyre via Rigsombudsmanden på Færøerne, GTS-foreningen, Industriforeningen for Generiske og Biosimilære Lægemidler, Institut for Menneskerettigheder, IT-politisk forening, Justitia, Kommunernes Landsforening, Landbrug og Fødevarer, Lægemiddelindustriforeningen, Medicoindustrien, Naalakkersuisut via Rigsombudsmanden på Grønland, Pharmadanmark, Præsidenten for Vestre Landsret, Præsidenten for Østre Landsret, Retspolitisk Forening, Samtlige byretspræsidenter, SMVdanmark, Statsadvokaten i København, Statsadvokaten i Viborg og Teleindustrien.

12. Sammenfattende skema

Bemærkninger til lovforslagets enkelte bestemmelser

Til § 1

Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning og udpegning af europæisk kritisk infrastruktur og vurdering af behovet for at beskytte den bedre (EPCIP-direktivet) fastsatte en procedure for indkredsning og udpegning af europæisk kritisk infrastruktur i energi- og transportsektorerne, hvis forstyrrelse eller ødelæggelse ville få betydelig grænseoverskridende indvirkning på mindst to medlemsstater og en fælles fremgangsmåde til vurdering af behovet for at beskytte denne type infrastruktur med henblik på at bidrage til beskyttelsen af mennesker.

EPCIP-direktivet er i dansk ret implementeret sektorvist i energi- og transportsektorerne. For en nærmere gennemgang af den sektorvise implementering af EPCIP-direktivet henvises til pkt. 2.4 i lovforslagets bemærkninger.

Efter § 24 i beredskabsloven, jf. lovbekendtgørelse nr. 314 af 3. april 2017, gælder der en forpligtelse for de enkelte ministre til, inden for deres område, hver især at planlægge for opretholdelse og videreførelse af samfundets funktioner i tilfælde af større ulykker og katastrofer.

I EU-retten om finansielle tjenesteydelser fastsættes omfattende krav til finansielle enheder om at håndtere alle risici, som de står over for, herunder operationelle risici, og for at sikre forretningskontinuitet.

Det drejer sig om Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 af 26. juni 2013 om tilsynsmæssige krav til kreditinstitutter og om ændring af forordning (EU) nr. 648/2012, Europa-Parlamentets og Rådets direktiv (EU) 2013/36 af 26. juni 2013 om adgang til at udøve virksomhed som kreditinstitut og om tilsyn med kreditinstitutter og investeringsselskaber, om ændring af direktiv 2002/87/EF og om ophævelse af direktiv 2006/48/EF og 2006/49/EF, som er gennemført i dansk ret ved lov om finansiel virksomhed, jf. lovbekendtgørelse nr. 406 af 29. marts 2022, og Europa-Parlamentets og Rådets direktiv (EU) 2014/65 af 15. maj 2014 om markeder for finansielle instrumenter og om ændring af direktiv 2002/92/EF og direktiv 2011/61/EU, som er gennemført i dansk ret ved lov om kapitalmarkeder, jf. lovbekendtgørelse nr. 41 af 13. januar 2023, lov om finansiel virksomhed, jf. lovbekendtgørelse nr. 406 af 29. marts 2022, og lov om finansielle rådgivere, investeringsrådgivere og boligkreditformidlere, jf. lovbekendtgørelse nr. 2016 af 1. november 2021.

Det følger af den foreslåede § 1, stk. 1, at loven finder anvendelse på enheder, der er omfattet af enhedskategorierne i lovens bilag, jf. dog stk. 2-7.

Det foreslåede vil indebære, at lovens anvendelsesområde, med undtagelse af energisektoren, jf. den foreslåede § 1, stk. 5, vil følge af lovens bilag. Det vil derved være følgende sektorer: 2) transport med delsektorerne a) luft, b) jernbane, c) vand, d) vejtransport og e) offentlig transport, 3) bankvirksomhed, 4) finansiel markedsinfrastruktur, 5) sundhed, 6) drikkevand, 7) spildevand, 8) digital infrastruktur, 9) offentlig forvaltning, 10) rummet og 11) produktion, tilvirkning og distribution af fødevarer, der er omfattet af lovens anvendelsesområde.

Det foreslåede anvendelsesområde vil dermed omfatte 10 ud af 11 af de sektorer, der er omfattet af CER-direktivets anvendelsesområde.

Vedrørende afgrænsningen af offentlig forvaltningsenhed under den centrale forvaltning som defineret af en medlemsstat i overensstemmelse med national ret, bemærkes, at det følger af, CER-direktivets artikel 2, nr. 10, litra a - d, at en offentlig forvaltningsenhed er en enhed, der er anerkendt som sådan i en medlemsstat i overensstemmelse med national ret, med undtagelse af retsvæsenet, parlamenter og centralbanker, som a) er oprettet med henblik på at opfylde almennyttige formål og ikke har industriel eller kommerciel karakter, b) har status som juridisk person, eller ved lov er berettiget til at handle på vegne af en anden enheden med status som juridisk person, c) overvejende finansieret af staten, regionale myndigheder eller af andre offentligretlige organer, er underlagt ledelsesmæssig kontrol af disse myndigheder eller organer, eller har et administrations-, ledelses- eller tilsynsorgan, hvor mere end halvdelen af medlemmerne udpeges af staten, regionale myndigheder eller andre offentligretlige organer, og d) har beføjelse til at rette administrative eller lovgivningsmæssige afgørelser til fysiske eller juridiske personer, der påvirker deres rettigheder i forbindelse med grænseoverskridende bevægelighed for personer, varer, tjenester eller kapital.

De fire kriterier i litra a - d er kumulative, mens kriterie c indeholder tre alternative betingelser, hvoraf mindst én skal være opfyldt.

Det følger af CER-direktivets bilag vedrørende sektor, delsektorer og enhedskategorier, nr. 9, at omfattet af direktivet er enheder, som er en offentlig forvaltningsenhed under den centrale forvaltning som defineret i overensstemmelse med national ret.

Offentlige forvaltningsmyndigheder under den centrale forvaltning er ikke et fast defineret begreb i dansk forvaltningsret. Det bemærkes dog, at forvaltningsloven, offentlighedsloven, retssikkerhedsloven og ombudsmandsloven anvender begrebet "den offentlige forvaltning".

Efter disse fire tværgående forvaltningslove er det afgørende for, om lovene finder anvendelse på det pågældende organ, om organet kan karakteriseres som en forvaltningsmyndighed i organisatorisk og formel forstand. Væsentlige kriterier vil i denne forbindelse være, jf. Niels Fenger, Forvaltningsret (2018), 1. udgave, s. 113: 1) om organet er oprettet ved lov eller på privat initiativ, 2) om organet er placeret i et over/underordnelsesforhold til en forvaltningsmyndighed, 3) om organets drift finansieres ved offentlig bevillig eller private midler og 4) om der ved lov er fastsat regler med hensyn til anvendelse af bevilgede midler.

I særlige tilfælde, hvor anvendelse af ovenstående organisatoriske kriterier giver anledning til tvivl om organets karakter som en forvaltningsmyndighed, kan der desuden tages hensyn til, om organet udøver offentlige funktioner. Organets eventuelle benævnelse som "råd", "institut" eller lignende vil derimod ikke være afgørende for, om det omfattes af begrebet den offentlige forvaltning og de fire love, jf. Niels Fenger, Forvaltningsret (2018), 1. udgave, s. 113.

Uden for den forvaltningsretslige definition af "den offentlige forvaltning" falder bl.a. Folketinget og visse organer med organisatorisk tilknytning til Folketinget, Rigsrevisionen, Folketingets Ombudsmand, domstolene, udenlandske myndigheder og internationale organisationer. Institutioner, foreninger og selskaber mv. oprettet på privatretligt grundlag vil ligeledes som det klare udgangspunkt ikke være omfattet af begrebet "den offentlige forvaltning". Statslige (og kommunale) institutioner, der er organiseret i selskabsform, vil heller ikke umiddelbart være en del af den offentlige forvaltning, jf. Niels Fenger, Forvaltningsret (2018), 1. udgave, s. 113 f.

Ved den centrale forvaltning forstås herefter organer på statsligt niveau, der opfylder ovenstående afgrænsning.

Omfattet af lovens anvendelsesområde vil være enheder, som er statslige myndigheder, og som opfylder betingelserne for at blive anset som offentlige forvaltningsenheder. Dette betyder, at f.eks. departementer, styrelser og institutioner som f.eks. Udbetaling Danmark må anses som omfattet af loven.

Derimod vil en række uddannelses- og kulturinstitutioner næppe være tilstrækkeligt myndighedsudøvende til at udgøre offentlige forvaltningsenheder, jf. afgrænsningen ovenfor, idet de ikke vil opfylde kravet i NIS 2-direktivets artikel 6, nr. 35, litra c, eller er uden statslig organisatorisk placering.

Det følger af det foreslåede stk. 2, at loven ikke finder anvendelse på forhold omfattet af lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau (NIS 2-loven).

Den foreslåede bestemmelse medfører, at forhold, der omfattes af NIS 2-loven, ikke omfattes af loven.

Den foreslåede bestemmelse vil gennemføre CER-direktivets artikel 1, stk. 2, som fastsætter, at direktivet ikke finder anvendelse på spørgsmål, der er omfattet af NIS 2-direktivet, jf. dog CER-direktivets artikel 8. CER-direktivets artikel 8 fastsætter en særlig ordning for kritiske enheder i sektorerne bankvirksomhed, finansiel markedsinfrastruktur og digital infrastruktur, jf. den foreslåede § 1, stk. 6.

Formålet med bestemmelsen er at sikre mod dobbeltregulering. En kritisk enhed, der er omfattet af NIS 2-loven, og som har fastsat passende foranstaltninger for at styre risici i forhold til net- og informationssystemer, vil dermed ikke også skulle fastsætte modstandsdygtighedsforanstaltninger for disse systemer i medfør af CER-loven. Derimod vil den kritiske enhed skulle opfylde krav og forpligtelser, som følger af CER-loven, som ligger ud over krav og forpligtelser i NIS 2-loven.

Det følger af det foreslåede stk. 3, at loven ikke finder anvendelse på offentlige forvaltningsenheder, som udfører deres aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder efterforskning, afsløring og retsforfølgning af strafbare handlinger.

Den foreslåede bestemmelse indebærer, at offentlige forvaltningsenheder, som udfører deres aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder efterforskning, afsløring og retsforfølgning af strafbare handlinger, ikke vil være omfattet af loven.

Den foreslåede bestemmelse vil således indebære, at loven ikke finder anvendelse for bl.a. Politiets Efterretningstjeneste og Forsvarets Efterretningstjeneste samt retshåndhævende myndigheder, herunder politiet, anklagemyndighed og domstolene.

Den foreslåede bestemmelse vil gennemføre CER-direktivets artikel 1, stk. 6, hvorefter CER-direktivet ikke finder anvendelse på offentlige forvaltningsenheder, som udfører deres aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder efterforskning, afsløring og retsforfølgning af strafbare handlinger.

Den foreslåede bestemmelse skal forstås i overensstemmelse med CER-direktivets præambelbetragtning nr. 11, 1. led, som bl.a. beskriver, at offentlige forvaltningsenheder, hvis aktiviteter kun er marginalt relateret til disse opregnede områder, bør være omfattet af CER-direktivets anvendelsesområde, og at enheder med reguleringsbeføjelser i CER-direktivets forstand ikke anses for at udføre aktiviteter inden for retshåndhævelse. Sådanne myndigheder er derfor ikke på dette grundlag udelukket fra direktivets anvendelsesområde. Det beskrives endvidere i præambelbetragtningen, at offentlige forvaltningsenheder, som er eller måtte blive etableret i fællesskab med et tredjeland i overensstemmelse med en international aftale, samt medlemsstaternes diplomatiske og konsulære missioner i tredjelande, heller ikke er omfattet af CER-direktivet. Som en konsekvens heraf vil disse forvaltningsenheder ikke være omfattet af nærværende lov.

Det følger af det foreslåede stk. 4, at vedkommende minister kan træffe afgørelse om helt eller delvist at undtage specifikke kritiske enheder, der udfører aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger, eller som udelukkende leverer tjenester til offentlige forvaltningsenheder, der er omfattet af stk. 3, fra bestemmelserne i §§ 4-9 og 14-16.

Den foreslåede bestemmelse vil indebære, at vedkommende minister vil kunne undtage nærmere bestemte kritiske enheder fra de foreslåede §§ 4-9 om kritiske enheders risikovurdering, modstandsdygtighedsforanstaltninger, hændelsesunderretninger og baggrundskontrol, samt fra de foreslåede §§ 14-16 om tilsyn og håndhævelse.

Den foreslåede bestemmelse vil gennemføre CER-direktivets artikel 1, stk. 7, hvorefter medlemsstaterne kan beslutte, at artikel 11 (samarbejde mellem medlemsstaterne) og kapitel III (om kritiske enheders modstandsdygtighed), IV (om kritiske enheder af særlig europæisk betydning) og VI (om tilsyn og håndhævelse) helt eller delvist ikke finder anvendelse på specifikke kritiske enheder, der udfører aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder efterforskning, afsløring og retsforfølgning af strafbare handlinger, eller som udelukkende leverer tjenester til de offentlige forvaltningsenheder, der er omhandlet i direktivets artikel 1, stk. 6, som foreslås gennemført i det foreslåede § 1, stk. 4.

Bestemmelsen skal forstås i overensstemmelse med CER-direktivets præambelbetragtning nr. 11, 2. led, hvori det bl.a. anføres, at i betragtning af medlemsstaternes ansvar for at varetage national sikkerhed og forsvar bør medlemsstater kunne beslutte, at kritiske enheders forpligtelser fastsat i CER-direktivet helt eller delvist ikke finder anvendelse på disse kritiske enheder, hvis de tjenester, som de leverer, eller de aktiviteter, som de udfører, hovedsageligt vedrører områderne national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder efterforskning, afsløring og retsforfølgning af strafbare handlinger. Kritiske enheder, hvis tjenester eller aktiviteter kun er marginalt relaterede til disse områder, bør dog ifølge samme præambelbetragtning stadig være omfattet af CER-direktivets anvendelsesområde.

Den foreslåede bestemmelse vil omfatte enheder, der ikke allerede er undtaget fra lovens anvendelsesområde, jf. den foreslåede § 1, stk. 3, som undtager offentlige forvaltningsenheder, der udfører aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger. Der vil således typisk være tale om private virksomheder, der selvstændigt udfører aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse. I Danmark er der ikke tradition for, at private virksomheder selvstændigt udfører aktiviteter inden for national sikkerhed m.v., og derfor forventes denne del af den foreslåede bestemmelse at have et begrænset anvendelsesområde.

Bestemmelsen vil også omfatte enheder, der udelukkende leverer tjenester til offentlige forvaltningsenheder, som udfører aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger, der derfor vil kunne undtages fra de pågældende foreslåede bestemmelser.

Det er Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at det forhold, at en enhed »udelukkende leverer tjenester« til forvaltningsenheder, der udfører de ovenfor nævnte aktiviteter, indebærer, at de tjenester, som enheden leverer, eksklusivt skal leveres til offentlige forvaltningsenheder, der udfører disse aktiviteter. Såfremt en enhed både leverer tjenesten til offentlige forvaltningsenheder, der udfører de nævnte aktiviteter, og til andre aktører, eksempelvis private virksomheder eller offentlige forvaltningsenheder, som ikke udfører aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger, vil enheden ikke kunne undtages fra bestemmelserne i de foreslåede §§ 4-9 og §§ 14-16.

Det følger af det foreslåede stk. 5, at loven ikke finder anvendelse på enheder i det omfang, de er omfattet af lov om styrket beredskab i energisektoren.

Den foreslåede bestemmelse medfører, at enheder i det omfang, de er omfattet af lov om styrket beredskab i energisektoren, ikke vil være omfattet af loven.

Baggrunden for bestemmelsen er, at CER-direktivet gennemføres ved særskilt regulering for energisektoren.

I tilfælde, hvor en enhed både indgår i energisektoren og andre sektorer, som er oplistet i lovens bilag, vil enheden fortsat være omfattet af denne lovs anvendelsesområde for så vidt angår enhedens aktiviteter i disse sektorer.

Det følger af det foreslåede stk. 6, at §§ 4-9 og 14-16 ikke finder anvendelse på kritiske enheder i sektorerne bankvirksomhed, finansiel markedsinfrastruktur og digital infrastruktur i lovens bilag 3., 4. og 8.pkt.

Efter den foreslåede bestemmelse vil de pågældende sektorer ikke være omfattet af de foreslåede regler om kritiske enheders risikovurdering, modstandsdygtighedsforanstaltninger, hændelsesunderretninger og mulighed for baggrundskontrol samt de foreslåede regler om tilsyn og håndhævelse. Herudover vil disse sektorer ikke være omfattet af de foreslåede regler om kritiske enheder af særlig europæisk betydning.

Herved bliver disse sektorer i praksis alene omfattet af reglerne om identifikation af kritiske enheder samt myndighedernes støtte til kritiske enheder, ligesom den nationale strategi og risikovurdering vil omfatte disse sektorer.

Den foreslåede bestemmelse vil gennemføre CER-direktivets artikel 8, som fastsætter, at medlemsstaterne skal sikre, at artikel 11 (om samarbejde mellem medlemsstaterne), kapitel III (om kritiske enheders modstandsdygtighed), kapitel IV (om kritiske enheder af særlig europæisk betydning) og kapitel VI (om tilsyn og håndhævelse) ikke finder anvendelse på kritiske enheder, som de har identificeret i sektorerne bankvirksomhed, finansiel markedsinfrastruktur og digital infrastruktur. Efter artiklen kan medlemsstaterne vedtage eller opretholde bestemmelser i national ret for at opnå et højere niveau for disse kritiske enheders modstandsdygtighed, forudsat at disse bestemmelser er i overensstemmelse med gældende EU-ret.

Baggrunden for artikel 8 beskrives i CER-direktivets præambelbetragtning nr. 20 og 21.

Præambelbetragtning nr. 20 omhandler sektoren for digital infrastruktur og beskriver bl.a., at i henhold til NIS 2-direktivet skal enheder, der tilhører sektoren for digital infrastruktur, og som kunne betragtes som kritiske enheder efter CER-direktivet, træffe passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at styre risiciene for sikkerheden i net- og informationssystemer samt underrette om væsentlige hændelser og cybertrusler. Det fremgår videre af denne præambelbetragtning, at eftersom kravene i NIS 2-direktivet mindst svarer til de tilsvarende forpligtelser i CER-direktivet, bør forpligtelserne i CER-direktivets artikel 11 og kapitel III, IV og VI ikke finde anvendelse på enheder, der tilhører sektoren for digital infrastruktur.

Præambelbetragtning nr. 21 omhandler enheder i den finansielle sektor og beskriver bl.a., at der i EU-retten om finansielle tjenesteydelser er fastsat omfattende krav til finansielle enheder om at håndtere alle risici, som de står over for, herunder operationelle risici, og sikre forretningskontinuitet. Der henvises i den forbindelse bl.a. til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og om ændring af forordning (EF) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 og (EU) 2016/1011 (DORA-forordningen), som fastsætter krav til finansielle enheder om at styre risici i forbindelse med informations- og kommunikationsteknologi (IKT), herunder vedrørende beskyttelse af fysisk IKT-infrastruktur.

Det fremgår videre af præambelbetragtningen, at eftersom disse enheders modstandsdygtighed derfor er fuldt ud dækket, bør artikel 11 og kapitel III, IV og VI i CER-direktivet ikke finde anvendelse på disse enheder for at undgå dobbeltarbejde og unødvendige administrative byrder.

Det bemærkes i den forbindelse, at CER-direktivet, NIS 2-direktivet og DORA-forordningen blev offentliggjort som en samlet pakke, og at de tre EU-retsakter således har en tæt sammenhæng med hinanden.

Det følger af det foreslåede stk. 7, at vedkommende minister kan træffe afgørelse om, at loven helt eller delvist ikke finder anvendelse på kritiske enheder, hvor sektorspecifikke EU-retsakter og eventuel national gennemførelse heraf har mindst samme virkning som de tilsvarende forpligtelser efter denne lov og regler udstedt i medfør af denne lov.

Bestemmelsen vil indebære, at det vil være op til vedkommende minister at bestemme, om - og i givet fald i hvilket omfang - der skal gøres undtagelse fra hele eller dele af nærværende lov med henvisning til sektorspecifikke EU-retsakter og eventuel national implementering heraf. Det skal ses i lyset af, at undtagelsen fra CER-direktivet forudsætter, at medlemsstaterne har anerkendt forpligtelserne i de sektorspecifikke EU-retsakter som havende mindst samme virkning som de tilsvarende forpligtelser, der følger af CER-direktivet. Den pågældende minister kan eksempelvis bestemme, at kritiske enheder fortsat vil skulle foretage hændelsesunderretning efter nærværende lov, men at reglerne om kritiske enheders modstandsdygtighedsforanstaltninger ikke finder anvendelse.

Den foreslåede bestemmelse vil gennemføre CER-direktivets artikel 1, stk. 3, hvoraf det følger, at hvor bestemmelser i sektorspecifikke EU-retsakter kræver, at kritiske enheder træffer foranstaltninger for at styrke deres modstandsdygtighed, og hvor disse krav er anerkendt af medlemsstaterne som svarende mindst til de tilsvarende forpligtelser, der er fastsat i CER-direktivet, finder de relevante bestemmelser i CER-direktivet, herunder bestemmelsen om tilsyn og håndhævelse i direktivets kapitel VI, ikke anvendelse.

Der henvises i øvrigt til pkt. 2.2.2.1 og 3.1.3 i lovforslagets bemærkninger.

Til § 2

Den foreslåede bestemmelse i § 2 indeholder definitioner af lovens otte centrale begreber.

Definitionerne bygger på de tilsvarende definitioner i artikel 2, nr. 2-7, i CER-direktivet.

Den foreslåede bestemmelse svarer indholdsmæssigt til de relevante dele af CER-direktivets artikel 2 og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Det følger af det foreslåede nr. 1, at der ved »centralt kontaktpunkter« forstås den myndighed, der udøver forbindelsesfunktionen for at sikre grænseoverskridende samarbejde mellem de danske myndigheder, myndigheder i andre medlemsstater i Den Europæiske Union og Den Europæiske Unions institutioner, samt for at sikre tværsektorielt samarbejde mellem de nationale kompetente myndigheder.

Bestemmelsen er baseret på CER-direktivets artikel 9, stk. 2, hvorefter hver medlemsstat udpeger eller opretter et centralt kontaktpunkt til at varetage en forbindelsesfunktion med henblik på at sikre grænseoverskridende samarbejde med de andre medlemsstaters centrale kontaktpunkter og Gruppen for Kritiske Enheders Modstandsdygtighed omhandlet i artikel 19 (»centralt kontaktpunkter«). Bestemmelsen er endvidere baseret på præambel nr. 23, hvoraf det bl.a. fremgår, at det centrale kontaktpunkt har ansvar for at koordinere spørgsmål vedrørende kritiske enheders modstandsdygtighed og grænseoverskridende samarbejde på EU-plan samt at det centrale kontaktpunkt bør holde kontakt med og koordinere kommunikationen, hvor det er relevant, med sin medlemsstats kompetente myndigheder, med andre medlemsstaters centrale kontaktpunkter og med Gruppen for Kritiske Enheders Modstandsdygtighed.

Det forventes, at Styrelsen for Samfundssikkerhed vil varetage opgaven som centralt kontaktpunkt.

Det følger af det foreslåede nr. 2, at der ved »hændelse« forstås en begivenhed, der har potentiale til i betydelig grad at forstyrre, eller som forstyrrer, leveringen af en væsentlig tjeneste.

Bestemmelsen er baseret på CER-direktivets artikel 2, nr. 3, hvorefter der ved »hændelse« forstås en begivenhed, der har potentiale til i betydelig grad at forstyrre, eller som forstyrrer, leveringen af en væsentlig tjeneste, herunder når den påvirker de nationale systemer, der sikrer retsstatsprincippet.

Det følger af det foreslåede nr. 3, at der ved »kritisk enhed« forstås en offentlig eller privat enhed, som er blevet identificeret efter § 3.

Bestemmelsen er baseret på CER-direktivets artikel 2, nr. 1, hvorefter en »kritisk enhed« skal forstås som en offentlig eller privat enhed, som er blevet identificeret af en medlemsstat i overensstemmelse med artikel 6 som tilhørende en af kategorierne anført i tredje kolonne i tabellen i bilaget.

Det følger af det foreslåede nr. 4, at der ved »kritisk infrastruktur« forstås et aktiv, en facilitet, udstyr, et netværk eller et system, eller en del af et aktiv, en facilitet, udstyr, et netværk eller et system, som er nødvendig(t) for leveringen af en væsentlig tjeneste.

Bestemmelsen er baseret på CER-direktivets artikel 2, nr. 4, hvorefter der ved »kritisk infrastruktur« forstås et aktiv, en facilitet, udstyr, et netværk eller et system, eller en del af et aktiv, en facilitet, udstyr, et netværk eller et system, som er nødvendig(t) for leveringen af en væsentlig tjeneste.

Det følger af det foreslåede, nr. 5, at der ved »modstandsdygtighed« forstås en kritisk enheds evne til at forebygge, beskytte mod, reagere på, modstå, afbøde, absorbere, tilpasse sig og sikre genopretning efter en hændelse.

Bestemmelsen er baseret på CER-direktivets artikel 2, nr. 2, hvorefter der ved »modstandsdygtighed« forstås en kritisk enheds evne til at forebygge, beskytte mod, reagere på, modstå, afbøde, absorbere, tilpasse sig og komme på fode igen efter en hændelse.

Det følger af det foreslåede, nr. 6, at der ved »risiko« forstås potentialet for tab eller forstyrrelse som følge af en hændelse, der skal udtrykkes som en kombination af størrelsen af et sådant tab eller en sådan forstyrrelse og sandsynligheden for, at hændelsen indtræffer.

Bestemmelsen er baseret på CER-direktivets artikel 2, nr. 6, hvorefter der ved »risiko« forstås potentialet for tab eller forstyrrelse som følge af en hændelse, der skal udtrykkes som en kombination af størrelsen af et sådant tab eller en sådan forstyrrelse og sandsynligheden for, at hændelsen indtræffer.

Det følger af det foreslåede, nr. 7, at der ved »risikovurdering« forstås den samlede proces med henblik på at bestemme arten og omfanget af en risiko ved at identificere og analysere potentielle relevante trusler, sårbarheder og farer, der kunne føre til en hændelse, og ved at evaluere det potentielle tab eller den potentielle forstyrrelse af leveringen af en væsentlig tjeneste forårsaget af denne hændelse.

Bestemmelsen er baseret på CER-direktivets artikel 2, nr. 7, hvorefter der ved »risikovurdering« forstås den samlede proces med henblik på at bestemme arten og omfanget af en risiko ved at identificere og analysere potentielle relevante trusler, sårbarheder og farer, der kunne føre til en hændelse, og ved at evaluere den potentielle tab eller den potentielle forstyrrelse af leveringen af en væsentlig tjeneste forårsaget af denne hændelse.

Det følger af det foreslåede nr. 8, at der ved »væsentlig tjeneste« forstås en tjeneste, der er afgørende for opretholdelsen af vitale samfundsmæssige funktioner, økonomiske aktiviteter, folkesundhed, offentlig sikkerhed eller miljøet.

Bestemmelsen er baseret på CER-direktivets artikel 2, nr. 5, hvorefter der ved »væsentlig tjeneste« forstås en tjeneste, der er afgørende for opretholdelsen af vitale samfundsmæssige funktioner, økonomiske aktiviteter, folkesundhed og offentlig sikkerhed eller miljøet.

Til § 3

EPCIP-direktivet fandt anvendelse for energi- og transportsektorerne.

Direktivets artikel 4 fastsatte nærmere regler om udpegning af europæisk kritisk infrastruktur.

Dette er gennemført i bekendtgørelse nr. 7 af 6. januar 2011 om kritisk europæisk infrastruktur på vejområdet (EPCIP-direktivet), bekendtgørelse nr. 1461 af 14. december 2010 om europæisk kritisk infrastruktur på jernbaneområdet (EPCIP-direktivet) og bekendtgørelse nr. 1726 af 22. december 2010 om europæisk kritisk infrastruktur på havneområdet (EPCIP-direktivet) for så vidt angår transportsektoren. For en nærmere gennemgang heraf henvises til pkt. 2.4.

Det følger af den foreslåede § 3, stk. 1, at vedkommende minister træffer afgørelse om identifikation og afidentifikation af kritiske enheder, der er omfattet af enhedskategorierne i lovens bilag, og opstiller en liste over de kritiske enheder, der er blevet identificeret. Listen over identificerede kritiske enheder skal gennemgås og ajourføres, hvor det er nødvendigt, dog mindst hvert fjerde år.

Den foreslåede bestemmelse vil indebære, at vedkommende minister træffer afgørelse om identifikation og afidentifikation af kritiske enheder, der er omfattet af enhedskategorierne i lovens bilag, ligesom vedkommende minister vil skulle opstille en liste over de identificerede kritiske enheder. Listen over identificerede kritiske enheder vil skulle gennemgås og ajourføres, hvor det er nødvendigt, dog mindst hvert fjerde år.

Den foreslåede bestemmelse vil gennemføre artikel 6, stk. 1, i CER-direktivet, hvoraf det fremgår, at hver medlemsstat senest den 17. juli 2026 skal have identificeret kritiske enheder for de sektorer og delsektorer, der er anført i bilaget til CER-direktivet.

Om baggrunden for artikel 6, stk. 1, beskrives det i CER-direktivets præambelbetragtning nr. 8, at medlemsstaterne for at opnå en høj grad af modstandsdygtighed bør identificere kritiske enheder, som vil være underlagt specifikke krav og specifikt tilsyn, og som vil ydes særlig støtte og vejledning over for alle relevante risici.

Det følger af CER-direktivets artikel 6, stk. 3, at medlemsstaterne skal føre en liste over identificerede kritiske enheder, og efter artikel 6, stk. 5, skal listen, hvor det er nødvendigt og under alle omstændigheder mindst hvert fjerde år, gennemgås og i relevant omfang ajourføres. Vedkommende minister er derfor forpligtet til at revidere oversigten over udpegede enheder, når det er nødvendigt og mindst én gang hvert fjerde år.

Hvis disse ajourføringer fører til identifikation af yderligere kritiske enheder, finder CER-direktivets artikel 6, stk. 3 og 4, om underretning om identifikation, anvendelse for de yderligere kritiske enheder.

Det følger desuden af CER-direktivets artikel 6, stk. 5, at medlemsstaterne sikrer, at enheder, der ikke længere identificeres som kritiske enheder som følge af en ajourføring, rettidigt underrettes herom og om, at de ikke længere er omfattet af forpligtelserne i henhold til CER-direktivets kapitel III (om kritiske enheders modstandsdygtighed) fra datoen for modtagelsen af denne orientering.

Det bemærkes, at vedkommende minister i overensstemmelse med de almindelige forvaltningsretlige principper om delegation kan beslutte at delegere sin kompetence til en underliggende myndighed, herunder en udpeget kompetent myndighed.

Identifikation og afidentifikation af en kritisk enhed vil være en afgørelse i forvaltningsretlig forstand. Det medfører, at de almindelige forvaltningsretlige regler og principper vil være gældende. Det medfører også, at en enhed inden for de almindelige forvaltningsretlige principper om administrativ rekurs vil have adgang til at påklage en afgørelse om identifikation og afidentifikation som kritisk enhed.

Identifikationen af en kritisk enhed vil ske ved, at vedkommende minister træffer en afgørelse herom, som vil skulle meddeles enheden for at få retsvirkning. Underretningen af den kritiske enhed vil derfor ske som led i meddelelsen af afgørelsen om identifikation. I praksis vil orienteringen om den kritiske enheds forpligtelser, samt om fra hvilken dato forpligtelserne finder anvendelse, typisk fremgå af afgørelsen om identifikation.

Det følger af det foreslåede stk. 2, at der ved identifikation af kritiske enheder lægges vægt på følgende: 1) den nationale strategi for styrkelse af kritiske enheders modstandsdygtighed, 2) den nationale risikovurdering med henblik på identifikation af kritiske enheder, 3) om enheden leverer en eller flere væsentlige tjenester, 4) om enheden opererer i og har sin kritiske infrastruktur beliggende på dansk territorium og 5) om en hændelse vil have betydelig forstyrrende virkning, jf. stk. 3, på enhedens levering af en eller flere væsentlige tjenester eller på leveringen af andre væsentlige tjenester i sektorer omfattet af CER-direktivet, som er afhængige af denne eller disse væsentlige tjenester.

Det foreslåede i nr. 1, vil indebære, at der ved identifikation af kritiske enheder vil blive lagt vægt på den nationale strategi for styrkelse af kritiske enheders modstandsdygtighed.

Det fremgår af CER-direktivets artikel 4, stk. 1, at hver medlemsstat senest den 17. januar 2026 vedtager en strategi for styrkelse af kritiske enheders modstandsdygtighed. For så vidt angår den nationale strategi og -risikovurdering henvises til pkt. 2.2.2.1 i lovforslagets bemærkninger.

Det foreslåede i nr. 2, vil medføre, at der ved identifikation af kritiske enheder vil blive lagt vægt på den nationale risikovurdering med henblik på identifikation af kritiske enheder.

Det følger af CER-direktivets artikel 5, stk. 1, den nationale risikovurdering skal være foretaget senest den 17. januar 2026. For så vidt angår den nationale strategi og -risikovurdering henvises til pkt. 2.2.2.1 i lovforslagets bemærkninger.

Det foreslåede i nr. 3, vil indebære, at der ved identifikation af kritiske enheder vil blive lagt vægt på enheden leverer en eller flere væsentlige tjenester.

Der henvises i den forbindelse til den foreslåede § 2, nr. 8, hvoraf det fremgår, at en væsentlig tjeneste er en tjeneste, der er afgørende for opretholdelsen af vitale samfundsmæssige funktioner, økonomiske aktiviteter, folkesundhed, offentlig sikkerhed eller miljøet.

Det foreslåede i nr. 4, vil medføre, at der ved identifikation af kritiske enheder vil blive lagt vægt på om enheden opererer i og har sin kritiske infrastruktur beliggende på dansk territorium.

Det bemærkes i den forbindelse, at den danske sprogversions gengivelse af direktivets kriterier for identificering af kritiske enheder omtaler, hvorvidt »enheden opererer og dens kritiske infrastruktur er beliggende på denne medlemsstats område«. Den engelske sprogversion anvender derimod »territory«.

Henset til, at der vurderes at være en indholdsmæssig forskel på »område« og »territory«, har Ministeriet for Samfundssikkerhed og Beredskab i nærværende lovforslag lagt sig op ad den engelske sprogversion. Det indebærer, at der ved identificering af kritiske enheder bl.a. vil skulle lægges vægt på, om enheden opererer i og har sin kritiske infrastruktur beliggende på dansk territorium.

Dette skal i øvrigt også forstås i lyset af territorialbestemmelsen i den foreslåede § 19, hvorefter loven ikke gælder for Færøerne og Grønland, men ved kongelig anordning helt eller delvist kan sættes i kraft for Færøerne og Grønland med de ændringer, som de henholdsvis færøske og grønlandske forhold tilsiger.

I overensstemmelse med direktivets forudsætninger, som udtrykt i præambelbetragtning nr. 16, vil en enhed skulle anses for at operere på en medlemsstats område (forstået som territorium), hvor den udfører de aktiviteter, der er nødvendige for den eller de pågældende væsentlige tjenester, og hvor enhedens kritiske infrastruktur, som anvendes til at levere den eller de pågældende tjenester, er beliggende. Hvis der ikke er nogen enhed, der opfylder disse kriterier i en medlemsstat, bør den pågældende medlemsstat ikke være forpligtet til at identificere en kritisk enhed i den tilsvarende sektor eller delsektor.

Det foreslåede i nr. 5, vil indebære, at der ved identifikation af kritiske enheder vil blive lagt vægt på om en hændelse vil have betydelig forstyrrende virkning, jf. stk. 3, på enhedens levering af en eller flere væsentlige tjenester eller på leveringen af andre væsentlige tjenester i sektorer omfattet af CER-direktivet, som er afhængige af denne eller disse væsentlige tjenester.

For vurderingen af, om en hændelse vil have betydelig forstyrrende virkning, henvises til bemærkningerne til § 3, stk. 3.

Den foreslåede bestemmelse gennemfører CER-direktivets artikel 6, stk. 2, hvoraf det fremgår, at når en medlemsstat identificerer kritiske enheder, tager den hensyn til resultaterne af dens medlemsstatsrisikovurdering og dens strategi og anvender alle følgende kriterier: a) enheden leverer en eller flere væsentlige tjenester, b) enheden opererer og dens kritiske infrastruktur er beliggende på denne medlemsstats område, og c) en hændelse vil have betydelige forstyrrende virkninger som fastslået i overensstemmelse med artikel 7, stk. 1, (om betydelige forstyrrende virkninger) på enhedens levering af en eller flere væsentlige tjenester eller på leveringen af andre væsentlige tjenester i sektorerne anført i direktivets bilag, som er afhængige af denne eller disse væsentlige tjenester.

Den foreslåede bestemmelse vil indebære, at de opregnede elementer alle skal inddrages, når vedkommende minister skal træffe afgørelse om, hvorvidt en enhed skal identificeres som kritisk.

Det følger af det foreslåede stk. 3, at ved fastlæggelse af, om en hændelse vil have betydelig forstyrrende virkning, jf. stk. 2, nr. 5, lægges der vægt på følgende: 1) antal brugere, der er afhængige af den væsentlige tjeneste, som udbydes af den berørte enhed, 2) omfanget af andre sektorers og delsektorers afhængighed af den pågældende væsentlige tjeneste, 3) den indvirkning, som hændelser kan have med hensyn til omfang og varighed på økonomiske og samfundsmæssige aktiviteter, miljøet, den offentlige sikkerhed eller befolkningens sundhed, 4) enhedens markedsandel på markedet for den eller de berørte væsentlige tjenester, 5) det geografiske område, der kan blive berørt af en hændelse, herunder eventuel grænseoverskridende indvirkning, 6) enhedens betydning med hensyn til at opretholde et tilstrækkeligt niveau for den væsentlige tjeneste under hensyntagen til tilgængelighed af alternative måder at levere denne væsentlige tjeneste på.

Den foreslåede bestemmelse vil indebære, at der ved vurderingen af, om en hændelse vil have betydelig forstyrrende virkning, vil blive lagt vægt på kriterierne opstillet i nr. 1-6.

Den foreslåede bestemmelse vil gennemføre CER-direktivets artikel 7, stk. 1, hvoraf det fremgår, at medlemsstaterne ved fastlæggelsen af betydningen af en forstyrrende virkning, skal tage hensyn til følgende kriterier: 1) Antal brugere, der er afhængige af den væsentlige tjeneste, som udbydes af den berørte enhed, 2) omfanget af andre i bilaget anførte sektorers og delsektorers afhængighed af den pågældende væsentlige tjeneste, 3) den indvirkning som hændelser kunne have med hensyn til omfang og varighed på økonomiske og samfundsmæssige aktiviteter, miljøet, den offentlige sikkerhed eller befolkningens sundhed, 4) enhedens markedsandel på markedet for den berørte væsentlige tjeneste eller de berørte væsentlige tjenester, 5) det geografiske område, der kunne blive berørt af en hændelse, herunder eventuel grænseoverskridende indvirkning, under hensyntagen til den sårbarhed, som er forbundet med den grad af afsondrethed, der kendetegner visse typer af geografiske områder, såsom ø-regioner, afsidesliggende regioner eller bjergområder, 6) enhedens betydning med hensyn til at opretholde et tilstrækkeligt niveau for den væsentlige tjeneste under hensyntagen til tilgængelighed af alternative måder at levere denne væsentlige tjeneste på.

Baggrunden for artikel 7, stk. 1, beskrives i CER-direktivets præambelbetragtning nr. 18, hvoraf bl.a. fremgår, at der bør fastlægges kriterier for bestemmelse af betydningen af en forstyrrende virkning som følge af en hændelse, og at disse kriterier bør være baseret på kriterierne i Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen (NIS 1-direktivet). Det fremgår videre, at større kriser, såsom covid-19-pandemien, har vist, hvor vigtigt det er at sørge for forsyningskædesikkerhed, og hvordan forstyrrelse heraf kan have negativ økonomisk og samfundsmæssig indvirkning inden for en lang række sektorer og på tværs af grænserne. Medlemsstaterne bør derfor også i det omfang, det er muligt, overveje virkningerne på forsyningskæden, når de fastslår i hvilket omfang andre sektorer og delsektorer afhænger af de væsentlige tjenester, der udbydes af en kritisk enhed.

Den foreslåede bestemmelse vil indebære, at de opregnede kriterier alle skal inddrages, når vedkommende minister skal vurdere, om en hændelse vil have betydelige forstyrrende virkninger på enhedens levering af en eller flere væsentlige tjenester eller på leveringen af andre væsentlige tjenester i sektorer omfattet af CER-direktivet, som er afhængige af denne eller disse væsentlige tjenester. Ud over de sektorer, der omfattes af nærværende lovforslag, vil dette også omfatte energisektoren, som reguleres særskilt.

Det følger af det foreslåede stk. 4, at vedkommende minister kan kræve, at en enhed fremlægger materiale og oplysninger, der er nødvendige for stillingtagen til, om denne skal identificeres som kritisk.

Den foreslåede bestemmelse vil medføre, at vedkommende minister til brug for vurderingen af, hvorvidt en enhed skal identificeres som en kritisk enhed, vil kunne kræve, at enheder fremlægger materiale og oplysninger, der er nødvendige for stillingtagen til, om den pågældende enhed skal identificeres som kritisk.

Dette vil eksempelvis kunne omfatte oplysninger om, hvorvidt enheden leverer en eller flere væsentlige tjenester, eller om enheden opererer i og har sin kritiske infrastruktur beliggende i Danmark.

Det vil også kunne omfatte oplysninger og materiale, der kan belyse antal brugere, der er afhængige af den væsentlige tjeneste, som udbydes af den berørte enhed.

Det bemærkes, at der vil være tale om en oplysningspligt omfattet af lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter for så vidt angår enhedens pligt til at fremlægge oplysninger og materiale, der er nødvendig for stillingtagen til, om enheden identificeres som kritisk. Dette indebærer, at retten til ikke at inkriminere sig selv, jf. kapitel 4 i nævnte lov, skal overholdes. Det bemærkes dog, at det af bemærkningerne til § 10 i lov om retssikkerhed ved forvaltningernes anvendelse af tvangsindgreb og oplysningspligter fremgår, at bestemmelsen om forbud mod selvinkriminering ikke er til hindre for, at den mistænkte kan pålægges at give (faktuelle) oplysninger, som er uden betydning for bedømmelsen af, hvorvidt den pågældende har begået en lovovertrædelse, der kan medføre straf. Bestemmelsen vil således ikke være til hinder for at anvende en oplysningspligt til at kræve oplysninger om navn, adresse mv., jf. herved også retsplejelovens § 750, hvorefter enhver på forlangende er forpligtet til over for politiet at opgive navn, adresse og fødselsdato. Der henvises til Folketingstidende 2003-04, tillæg A, side 3097. Der vil med den foreslåede bestemmelse være tale om oplysningspligt, som beskrevet ovenfor. Det er derfor Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at kapitel 4 i lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter alene vil være relevant i praksis i yderst sjældne tilfælde.

Det følger af det foreslåede stk. 5, at vedkommende minister inden for én måned efter identifikation efter stk. 1, orienterer den kritiske enhed om dennes forpligtelser, og om fra hvilken dato forpligtelserne finder anvendelse. Lovens §§ 6-9 finder herefter anvendelse ti måneder efter, at den kritiske enhed har modtaget en sådan orientering.

Den foreslåede bestemmelse vil for det første indebære, at ministeren inden én måned efter identifikation skal orientere den kritiske enhed om lovens forpligtelser, og om fra hvilken dato forpligtelserne finder anvendelse.

Der stilles ikke særlige krav til orienteringens form. Det er derfor op til den enkelte minister at tilrettelægge sagsgangen og administrationen, men under forudsætning af, at orienteringen finder sted inden for en måned efter, at enheden er identificeret som kritisk enhed.

Den foreslåede bestemmelse vil gennemføre CER-direktivets artikel 6, stk. 3 og 5. Af CER-direktivets artikel 6, stk. 3 følger det bl.a., at hver medlemsstat sikrer, at identificerede kritiske enheder inden for en måned efter denne identifikation underrettes om, at de er blevet identificeret som kritiske enheder.

Den foreslåede bestemmelse vil for det andet indebære, at lovens §§ 6-9 finder anvendelse ti måneder efter, at den kritiske enhed har modtaget en sådan orientering.

Det bemærkes i den forbindelse, at det følger af CER-direktivets artikel 6, stk. 3, at direktivets kapitel III om kritiske enheders modstandsdygtighed - der bl.a. omhandler kritiske enheders risikovurdering og modstandsdygtighedsforanstaltninger, baggrundskontrol, og enhedernes underretning om hændelser finder anvendelse fra ti måneder efter datoen for underretningen om, at enheden er identificeret som kritisk enhed. Det fremgår dog særskilt af CER-direktivets artikel 12, stk. 1, at kritiske enheder inden ni måneder efter datoen for underretningen skal have foretaget deres risikovurdering.

For så vidt angår kritiske enheder i sektorerne bankvirksomhed, finansiel markedsinfrastruktur og digital infrastruktur følger det endvidere af CER-direktivets artikel 6, stk. 3, at medlemsstaten skal orientere disse enheder om, at de ikke har forpligtelser i henhold til CER-direktivets kapitel III om kritiske enheders modstandsdygtighed og kapitel IV om kritiske enheder af særlig europæisk betydning, medmindre andet er fastsat i national ret.

Det følger af det foreslåede stk. 6, at ministeren for samfundssikkerhed og beredskab kan fastsætte nærmere regler om identifikation af kritiske enheder efter stk. 1, og hvad der forstås ved en hændelses betydelige forstyrrende virkninger efter stk. 3 i en given sektor.

Den foreslåede bestemmelse vil indebære, at der kan fastsættes nærmere regler om identifikation af kritiske enheder. Anvendelsen af modellen med en tværgående hovedlov, der suppleres af bekendtgørelser, vil i øvrigt sikre, at der i nødvendigt omfang kan ske hurtig ændring af reglerne på baggrund af eksempelvis ændringer i risiko- og trusselsbilledet.

De nærmere regler vil skulle udarbejdes inden for den ramme, som de foreslåede stk. 2 og 3 udgør. Der vil i den forbindelse f.eks. kunne fastsættes bestemmelser om de kompetente myndigheders nærmere tilrettelæggelse af proceduren med at identificere kritiske enheder. Der vil endvidere kunne fastsættes bestemmelser, som angiver, hvilke specifikke forhold, herunder antallet af brugere, den kritiske enheds markedsandel og det relevante geografiske område, der kan inddrages i vurderingen af, om en hændelse vil kunne have væsentlig forstyrrende virkning på leveringen af en væsentlig tjeneste.

Der henvises i øvrigt til pkt. 3.1 i lovforslagets bemærkninger.

Til § 4

EPCIP-direktivet fastsatte en procedure og nærmere kriterier for indkredsning af potentiel europæisk kritisk infrastruktur og eventuel efterfølgende udpegning af den europæiske kritiske infrastruktur som sådan.

Det fulgte af artikel 3, stk. 1, i EPCIP-direktivet, at hver medlemsstat indkredser den potentielle europæiske kritiske infrastruktur, som opfyldte nærmere fastsatte tværgående og sektorbaserede kriterier og var i overensstemmelse med definitionerne for »kritisk infrastruktur« og »europæisk kritisk infrastruktur« i EPCIP-direktivets artikel 2, litra a og b. I direktivets bilag III var fastsat en nærmere procedure for medlemsstaternes indkredsning af europæisk kritisk infrastruktur.

Det fulgte af EPCIP-direktivets artikel 2, litra b, at der ved »europæisk kritisk infrastruktur« forstås kritisk infrastruktur, der befandt sig i medlemsstaterne, og hvis afbrydelse eller ødelæggelse ville få betydelige konsekvenser for to eller flere medlemsstater.

EPCIP-direktivet fastsatte herefter en høringsmekanisme, hvorefter medlemsstaterne efter indkredsning af potentiel europæisk kritisk infrastruktur underrettede og indledte drøftelser med de øvrige medlemsstater, som kunne blive berørt i betydelig grad af en potentiel europæisk kritisk infrastruktur. På baggrund af drøftelsen og nærmere aftale herom, kunne den medlemsstat, på hvis område en potentiel europæisk kritisk infrastruktur var beliggende, derefter udpege den som europæisk kritisk infrastruktur. Medlemsstaten skulle herefter underrette ejeren eller operatøren af infrastrukturen om dens udpegning som europæisk kritisk infrastruktur.

EPCIP-direktivet er i dansk ret implementeret sektorvist for energi- og transportsektorerne, som var de to sektorer, der er omfattet af direktivet. For en nærmere gennemgang af den sektorvise implementering af EPCIP-direktivet henvises til pkt. 2.4 i lovforslagets bemærkninger.

Det følger af den foreslåede § 4, stk. 1, at enheder betragtes som kritiske enheder af særlig europæisk betydning, hvis 1) enheden er identificeret som kritisk enhed efter § 3, 2) enheden leverer de samme eller lignende væsentlige tjenester til eller i seks eller flere EU-medlemsstater, og 3) enheden gennem den relevante kompetente myndighed har modtaget en underretning fra Kommissionen om at den anses som en kritisk enhed af særlig europæisk betydning.

Det foreslåede vil indebære, at en enhed vil blive betragtet som en kritisk enhed af europæisk karakter, hvis enheden er identificeret som en kritisk enhed efter § 3, hvis enheden leverer de samme eller lignende tjenester til eller i seks eller flere EU-medlemsstater og hvis enheden gennem den relevante kompetente myndighed har modtaget en underretning fra Kommissionen om at den anses som en kritisk enhed af særlig europæisk betydning.

Betingelserne er således kumulative.

Den foreslåede bestemmelse i § 4, stk. 1, vil gennemføre artikel 17, stk. 1 i CER-direktivet, hvorefter en enhed betragtes som en kritisk enhed af særlig europæisk betydning, hvor den a) er blevet identificeret som en kritisk enhed i henhold til direktivets artikel 6, stk. 1, b) leverer de samme eller lignende væsentlige tjenester til eller i seks eller flere medlemsstater, og c) er blevet underrettet i henhold til direktivets artikel 17, stk. 3.

Baggrunden for CER-direktivets artikel 17, stk. 1, beskrives i præambelbetragtning nr. 35, hvoraf det fremgår, at selv om kritiske enheder generelt opererer som en del af et stadig mere sammenkoblet net af tjenester og infrastruktur og ofte leverer væsentlige tjenester i mere end én medlemsstat, er nogle kritiske enheder af særlig betydning for Unionen og dens indre marked, fordi de leverer væsentlige tjenester til eller i seks eller flere medlemsstater og derfor vil kunne drage fordel af specifik støtte på EU-plan.

Det er således en forudsætning efter den foreslåede bestemmelse, at den pågældende enhed leverer de samme eller lignende væsentlige tjenester til eller i seks eller flere EU-medlemsstater. Enheden vil skulle underrette den kompetente myndighed efter det foreslåede stk. 2, jf. nedenfor, såfremt den leverer væsentlige tjenester til eller i seks eller flere medlemsstater.

For at vurdere, om der leveres de samme eller lignende væsentlige tjenester, vil den konsultationsprocedure, som reguleres i direktivets artikel 17, stk. 2, og 3, skulle følges. Konsultationsproceduren indebærer overordnet, at Europa-Kommissionen konsulterer den pågældende kritiske enhed samt de kompetente myndigheder i de medlemsstater, hvor enheden har oplyst at levere væsentlige tjenester, med henblik på at undersøge, om den kritiske enhed leverer de samme eller lignende væsentlige tjenester i eller til seks eller flere EU-medlemsstater. Europa-Kommissionen vil på den baggrund konstatere, om den pågældende kritiske enhed er at betragte som en kritisk enhed af væsentlig europæisk betydning. En enhed vil således først betragtes som en kritisk enhed af særlig europæisk betydning, når Europa-Kommissionen har konstateret dette.

Det bemærkes i øvrigt, at det i lovforslagets § 1, stk. 6, i overensstemmelse med CER-direktivets artikel 8, foreslås, at for kritiske enheder i sektorerne bankvirksomhed, finansiel markedsinfrastruktur og digital infrastruktur finder de foreslåede §§ 4-9 og 14-16 ikke anvendelse. Kritiske enheder i disse sektorer vil således ikke kunne identificeres som kritiske enheder af særlig europæisk betydning i medfør af den foreslåede bestemmelse. Der henvises i øvrigt til bemærkningerne til den foreslåede § 1, stk. 6.

Det følger af den foreslåede nr. 1, at enheder betragtes som kritiske enheder af særlig europæisk betydning, hvis enheden er udpeget som kritisk efter den foreslåede § 3.

Den foreslåede bestemmelse vil gennemføre artikel 17, stk. 1, litra a i CER-direktivet og skal fortolkes i overensstemmelse med direktivet.

For så vidt angår de nærmere regler for udpegning af kritiske enheder henvises der til bemærkningerne til den foreslåede § 3.

Det følger af den foreslåede nr. 2, at enheder betragtes som kritiske enheder af særlig europæisk betydning, hvis de leverer de samme eller lignende væsentlige tjenester til eller i seks eller flere EU-medlemsstater.

Den foreslåede bestemmelse gennemfører artikel 17, stk. 1, litra b i CER-direktivet, og skal fortolkes i overensstemmelse med direktivet.

Det følger af den foreslåede nr. 3, at enheder betragtes som kritiske enheder af særlig europæisk betydning, hvis enheden gennem sin kompetente myndighed har modtaget en underretning fra Kommissionen om udpegning som kritisk enhed af særlig europæisk betydning.

Den foreslåede bestemmelse gennemfører artikel 17, stk. 1, litra c i CER-direktivet, og skal fortolkes i overensstemmelse med direktivet.

Det følger af det foreslåede stk. 2, at kritiske enheder skal underrette den relevante kompetente myndighed, såfremt de leverer væsentlige tjenester til eller i seks eller flere EU-medlemsstater. Enhederne skal i den forbindelse oplyse, hvilke væsentlige tjenester de leverer, samt hvilke EU-medlemsstater tjenesterne leveres til eller i.

Den foreslåede bestemmelse vil indebære, at enheder skal underrette den relevante kompetente myndighed, hvis enheden leverer væsentlige tjenester til eller i seks eller flere EU-medlemsstater. Enheden vil i den forbindelse skulle oplyse, hvilke væsentlige tjenester den leverer, samt hvilke EU-medlemsstater tjenesterne leveres til eller i.

Den foreslåede bestemmelse vil gennemføre CER-direktivets artikel 17, stk. 2, 1. led, hvorefter medlemsstaterne sikrer, at en kritisk enhed efter den i direktivets artikel 6, stk. 3, omhandlede underretning oplyser sin kompetente myndighed, hvis den leverer væsentlige tjenester til eller i seks eller flere medlemsstater. I så fald sikrer medlemsstaterne, at den kritiske enhed oplyser sin kompetente myndighed om de væsentlige tjenester, den leverer til eller i disse medlemsstater, og om de medlemsstater, hvortil eller hvori den leverer sådanne væsentlige tjenester. Medlemsstaterne underretter uden unødigt ophold Europa-Kommissionen om identiteten af sådanne kritiske enheder samt om de oplysninger, de leverer i henhold til nærværende stykke.

Det vil indledningsvist være op til de kritiske enheder at vurdere, om de leverer væsentlige tjenester til eller i seks eller flere EU-medlemsstater og derfor er omfattet af underretningspligten. En væsentlig tjeneste er defineret i den foreslåede § 2, nr. 8, som en tjeneste, der er afgørende for opretholdelsen af vitale samfundsmæssige funktioner, økonomiske aktiviteter, folkesundhed, offentlig sikkerhed eller miljøet.

Det indgår i kriterierne for identifikation af kritiske enheder efter den foreslåede § 3, stk. 2, om enheden leverer en eller flere væsentlige tjenester. Kritiske enheder, der er identificeret som sådan, forudsættes således i forbindelse med identifikationen at være gjort bekendt med, hvilke af deres tjenester, der af den relevante kompetente myndighed betragtes som væsentlige tjenester. Såfremt kritiske enheder er i tvivl om, hvorvidt de måtte levere væsentlige tjenester til eller i seks eller flere EU-medlemsstater, vil de kunne søge rådgivning hos den relevante kompetente myndighed.

Det bemærkes, at der vil være tale om en oplysningspligt omfattet af lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter for så vidt angår den kritiske enheds pligt til underrette den kompetente myndighed, såfremt den leverer væsentlige tjenester til eller i seks eller flere EU-medlemsstater. Dette indebærer, at retten til ikke at inkriminere sig selv, jf. kapitel 4 i nævnte lov, skal overholdes. Det bemærkes dog, at det af bemærkningerne til § 10 i lov om retssikkerhed ved forvaltningernes anvendelse af tvangsindgreb og oplysningspligter fremgår, at bestemmelsen om forbud mod selvinkriminering ikke er til hindre for, at den mistænkte kan pålægges at give (faktuelle) oplysninger, som er uden betydning for bedømmelsen af, hvorvidt den pågældende har begået en lovovertrædelse, der kan medføre straf. Bestemmelsen vil således ikke være til hinder for at anvende en oplysningspligt til at kræve oplysninger om navn, adresse mv., jf. herved også retsplejelovens § 750, hvorefter enhver på forlangende er forpligtet til over for politiet at opgive navn, adresse og fødselsdato. Der henvises til Folketingstidende 2003-04, tillæg A, side 3097. Der vil med den foreslåede bestemmelse være tale om oplysningspligt, som beskrevet ovenfor. Det er derfor Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at kapitel 4 i lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter alene vil være relevant i praksis i yderst sjældne tilfælde.

Det følger af det foreslåede stk. 3, at den relevante kompetente myndighed uden unødigt ophold underretter en kritisk enhed om, at den anses som en kritisk enhed af særlig europæisk betydning, om dens forpligtelser efter § 16, herunder fra hvilken dato disse finder anvendelse.

Den foreslåede bestemmelse vil medføre, at den kompetente myndighed uden unødig ophold skal underrettet en kritisk enhed om, at den er identificeret som en kritisk enhed af særlig europæisk betydning og om den kritiske enheds forpligtelser efter § 16, herunder fra hvilken dato forpligtelserne finder anvendelse.

Den foreslåede bestemmelse vil gennemføre CER-direktivets artikel 17, stk. 3, som fastslår, at såfremt Europa-Kommissionen på grundlag af de i direktivets artikel 17, stk. 2, omhandlede konsultationer konstaterer, at den pågældende kritiske enhed leverer væsentlige tjenester til eller i seks eller flere medlemsstater, så underretter Europa-Kommissionen gennem den kompetente myndighed den pågældende kritiske enhed om, at den anses for at være en kritisk enhed af særlig europæisk betydning, og oplyser den kritiske enhed om dens forpligtelser i henhold til direktivets kapitel om kritiske enheder af særlig europæisk betydning og om, fra hvilken dato disse forpligtelser finder anvendelse. Når Europa-Kommissionen således har oplyst den kompetente myndighed om sin beslutning om at betragte en kritisk enhed som en kritisk enhed af særlig europæisk betydning, videresender den kompetente myndighed uden unødigt ophold denne underretning til den pågældende kritiske enhed.

I overensstemmelse med artikel 17, stk. 3, skal den relevante kritiske enhed uden unødigt ophold underrettes om, at den betragtes som en kritisk enhed af særlig europæisk betydning.

Den kompetente myndighed vil endvidere skulle underrette den kritiske enhed om dens forpligtelser som kritisk enhed af særlig europæisk betydning. Det følger således af den foreslåede § 16, at kritiske enheder af særlig europæisk betydning skal give rådgivende EU-delegationer adgang til oplysninger, systemer og faciliteter, der vedrører leveringen af deres væsentlige tjenester, og som er nødvendige for at gennemføre den pågældende rådgivende aktivitet. Der henvises til de specielle bemærkninger til den foreslåede § 16.

Den foreslåede bestemmelse i lovforslagets § 4, stk. 3, vil derudover medføre, at den kompetente myndighed skal underrette den kritiske enhed om, fra hvilken dato forpligtelserne finder anvendelse. Det følger af CER-direktivets artikel 17, stk. 4, at forpligtelserne i direktivets kapitel IV om kritiske enheder af særlig europæisk betydning, som foreslås gennemført i nærværende lovforslags §§ 4 og 16, finder anvendelse på den relevante kritiske enhed fra datoen for modtagelse af underretningen om, at den er identificeret som en kritisk enhed af særlig europæisk betydning.

Der henvises i øvrigt til pkt. 3.1 i lovforslagets bemærkninger.

Til § 5

Det fulgte af artikel 7, stk. 1, i Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning og udpegning af europæisk kritisk infrastruktur og vurdering af behovet for at beskytte den bedre (EPCIP-direktivet), at hver medlemsstat skulle foretage en trusselsvurdering i forbindelse med undersektorerne af europæisk kritisk infrastruktur senest et år efter, at den kritiske infrastruktur på dens område var blevet udpeget som europæisk kritisk infrastruktur inden for de pågældende undersektorer.

Der påhvilede ikke ejere eller operatører af europæisk kritisk infrastruktur en tilsvarende forpligtelse til at foretage en trusselsvurdering.

EPCIP-direktivet er i dansk ret implementeret sektorvist for energi- og transportsektorerne, som var de to sektorer, der var omfattet af direktivet. For en nærmere gennemgang af den sektorvise implementering af EPCIP-direktivet henvises til pkt. 2.4 i lovforslagets bemærkninger.

Det følger af den foreslåede § 5, stk. 1, at kritiske enheder skal foretage en risikovurdering med henblik på at vurdere alle relevante risici, der kan forstyrre leveringen af deres væsentlige tjenester.

Den foreslåede bestemmelse vil indebære, at den kritiske enhed skal foretage en risikovurdering med henblik på at vurdere alle relevante risici, der kan forstyrre leveringen af deres væsentlige tjenester.

Den foreslåede bestemmelse vil gennemføre den del af artikel 12, stk. 1, i CER-direktivet, hvorefter medlemsstaterne skal sikre, at kritiske enheder foretager en risikovurdering for at vurdere alle relevante risici, der kunne forstyrre leveringen af deres væsentlige tjenester (»kritiske enheders risikovurderinger«).

Ved risikovurdering forstås den samlede proces med henblik på at bestemme arten og omfanget af en risiko ved at identificere og analysere potentielle relevante trusler, sårbarheder og farer, der kunne føre til en hændelse, og ved at evaluere det potentielle tab eller den potentielle forstyrrelse af leveringen af en væsentlig tjeneste forårsaget af denne hændelse jf. lovforslagets § 2, nr. 7.

Baggrunden for CER-direktivets artikel 12, stk. 1, beskrives i præambelbetragtning nr. 28, hvor det anføres, at kritiske enheder bør have en omfattende forståelse af de relevante risici, som de er eksponeret for, og en pligt til at analysere disse risici.

Det bemærkes i øvrigt, at det i lovforslagets § 1, stk. 6, i overensstemmelse med CER-direktivets artikel 8, foreslås, at for kritiske enheder i sektorerne bankvirksomhed, finansiel markedsinfrastruktur og digital infrastruktur finder de foreslåede §§ 4-9 og 14-16 ikke anvendelse. Kritiske enheder i disse sektorer vil således ikke være omfattet af bestemmelsen om kritiske enheders risikovurdering. Der henvises til de specielle bemærkninger til den foreslåede § 1, stk. 6.

Det følger af det foreslåede stk. 2, at risikovurderingen skal foretages på grundlag af den nationale risikovurdering og andre relevante informationskilder, og den skal tage højde for alle relevante naturlige og menneskeskabte risici, der kan føre til en hændelse. Risikovurderingen skal tage hensyn til, i hvilket omfang andre sektorer nævnt i lovens bilag afhænger af den kritiske enheds væsentlige tjeneste. Risikovurderingen skal endvidere tage hensyn til, i hvilket omfang den kritiske enhed afhænger af væsentlige tjenester, der leveres af enheder i lovens bilag, herunder i andre lande.

Den foreslåede bestemmelse vil gennemføre de dele af CER-direktivets artikel 12, stk. 1, der fastsætter, at kritiske enheder skal foretage en risikovurdering på grundlag af medlemsstatsrisikovurderinger og andre relevante informationskilder.

Bestemmelsen vil desuden gennemføre direktivets artikel 12, stk. 2, hvoraf det følger, at kritiske enheders risikovurderinger skal tage højde for alle relevante naturlige og menneskeskabte risici, der kunne føre til en hændelse, herunder af tværsektoriel eller grænseoverskridende karakter, ulykker, naturkatastrofer, folkesundhedskriser og hybride trusler og andre antagonistiske trusler, herunder terrorhandlinger som fastsat i Europa-Parlamentets og Rådets direktiv (EU) 2017/541 af 15. marts 2017 om bekæmpelse af terrorisme m.v. (terrordirektivet). Det fremgår endvidere af bestemmelsen, at en kritisk enheds risikovurdering skal tage hensyn til det omfang, andre sektorer anført i direktivets bilag afhænger af den væsentlige tjeneste, der leveres af den kritiske enhed, og det omfang den kritiske enhed afhænger af væsentlige tjenester, der leveres af andre enheder i sådanne andre sektorer, herunder i nabomedlemsstater og tredjelande, hvor det er relevant.

Det er Ministeriet for Samfundssikkerhed og Beredskabs vurdering, at direktivets opremsning af nabomedlemsstater og tredjelande svarer til andre lande.

I overensstemmelse med direktivets artikel 12, stk. 1, vil kritiske enheder skulle foretage deres risikovurdering på grundlag af den nationale risikovurdering, der vil blive udarbejdet af Ministeriet for Samfundssikkerhed og Beredskab på styrelsesniveau og Justitsministeriet i overensstemmelse med CER-direktivets artikel 5, stk. 1. Det forudsættes, at relevante elementer af den nationale risikovurdering gøres offentligt tilgængelig eller på anden vis kommunikeres til identificerede kritiske enheder.

Kritiske enheder vil endvidere skulle inddrage andre relevante informationskilder i forbindelse med risikovurderingen. Andre relevante informationskilder vil efter omstændighederne kunne omfatte eksempelvis Politiets Efterretningstjenestes og Forsvarets Efterretningstjenestes trussels- og risikovurderinger, Beredskabsstyrelsens Nationale Risikobillede samt mere sektorspecifikke produkter. Der henvises i øvrigt til bemærkningerne til den foreslåede stk. 4.

Efter den foreslåede bestemmelse skal de kritiske enheders risikovurdering tage højde for alle relevante naturlige og menneskeskabte risici. Naturlige og menneskeskabte risici vil i overensstemmelse med direktivets præambelbetragtning nr. 15 bl.a. omfatte tværsektorielle eller grænseoverskridende risici, som vil kunne påvirke leveringen af væsentlige tjenester. Det kan f.eks. være ulykker, naturkatastrofer, folkesundhedskriser såsom pandemier, forsyningskriser og hybride trusler eller andre antagonistiske trusler, herunder terrorhandlinger, kriminel infiltration og sabotage.

I overensstemmelse med direktivets artikel 12, stk. 2, 2. led, kan en kritisk enhed, der har foretaget andre risikovurderinger eller udarbejdet dokumenter i henhold til forpligtelser i andre retsakter, der er relevante for dens risikovurdering, anvende disse vurderinger og dokumenter til at opfylde de krav, der er fastsat i artiklen. Det fremgår videre af direktivets artikel 12, stk. 2, 2. led, at ved udøvelse af sine tilsynsfunktioner kan den kompetente myndighed erklære, at en kritisk enheds eksisterende risikovurdering, som behandler de risici og det omfang af afhængighed, der er omhandlet i artikel 12, helt eller delvist opfylder forpligtelserne efter artiklen.

Baggrunden for artikel 12, stk. 2, 2. led, beskrives i CER-direktivets præambelbetragtning nr. 28, hvoraf det bl.a. fremgår, at hvor kritiske enheder har foretaget andre risikovurderinger eller udarbejdet dokumenter i henhold til forpligtelser i andre retsakter, der er relevante for deres risikovurdering, bør de kunne anvende disse vurderinger og dokumenter til at opfylde kravene i CER-direktivet vedrørende kritiske enheders risikovurdering. Det fremgår videre, at en kompetent myndighed bør kunne erklære, at en eksisterende risikovurdering foretaget af en kritisk enhed, der behandler de relevante risici og det relevante omfang af afhængighed, helt eller delvist opfylder forpligtelserne i dette direktiv.

Det følger af det foreslåede stk. 3, at risikovurderingen nævnt i stk. 1 skal være foretaget ni måneder efter, at den kritiske enhed har modtaget en underretning i medfør af § 3, stk. 5, 1. pkt. Risikovurderingen skal opdateres, når det er nødvendigt, og mindst hvert fjerde år.

Den foreslåede bestemmelse vil indebære, at den kritiske enhed er forpligtet til at have foretaget en risikovurdering ni måneder efter at have modtaget underretning om at være blevet identificeret som en kritisk enhed, ligesom den kritiske enhed er forpligtet til, når det er nødvendigt, og mindst hvert fjerde år, at opdatere risikovurderingen.

Den foreslåede bestemmelse vil gennemføre den del af CER-direktivets artikel 12, stk. 1, hvorefter medlemsstaterne skal sikre, at kritiske enheder foretager en risikovurdering inden for ni måneder efter underretningen om at være identificeret som kritisk enhed, når det er nødvendigt efterfølgende, og mindst hvert fjerde år.

Den foreslåede bestemmelse skal ses i sammenhæng med den foreslåede § 3, stk. 5, 1. pkt. hvorefter enheden i forbindelse med underretningen om at være identificeret som kritisk enhed samtidig skal underrettes om dens forpligtelser, og om fra hvilken dato forpligtelserne finder anvendelse. Det vil således bl.a. fremgå af denne underretning, at risikovurderingen skal være gennemført ni måneder efter identifikationen som kritisk enhed, og at den skal opdateres, når det er nødvendigt, og mindst hvert fjerde år.

Det følger af det foreslåede stk. 4, at vedkommende minister efter forhandling med ministeren for samfundssikkerhed og beredskab kan fastsætte nærmere regler om kritiske enheders risikovurdering.

Den foreslåede bestemmelse vil medføre, at vedkommende minister efter forhandling med ministeren for samfundssikkerhed og beredskab vil kunne fastsætte nærmere regler om kritiske enheders risikovurdering.

Bemyndigelsen vil kunne benyttes til at fastsætte nærmere regler om kritiske enheders risikovurdering inden for de enkelte sektorer, og derved sikre, at særlige sektorspecifikke forhold indgår i risikovurderingen. Eksempelvis kan der være sektorer, hvor særlige beredskabsplaner, nationale og internationale rapporter vil være naturlige at inddrage i forbindelse med en risikovurdering. Bemyndigelsen forventes kun anvendt i de tilfælde sektorspecifikke forhold gør dette påkrævet.

Der henvises i øvrigt til pkt. 3.2 i lovforslagets bemærkninger.

Til § 6

Det fulgte af Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning og udpegning af europæisk kritisk infrastruktur og vurdering af behovet for at beskytte den bedre (EPCIP-direktivet), at operatørerne skulle udarbejde en sikkerhedsplan for deres del af den europæiske kritiske infrastruktur i energi- og transportsektorerne, hvis forstyrrelse eller ødelæggelse ville få betydelig grænseoverskridende indvirkning på mindst to medlemsstater. Kravene til sikkerhedsplanen omfattede overordnet en forpligtelse til at identificere vigtige aktiver, gennemføre en risikoanalyse og etablere relevante sikkerhedsforanstaltninger til sikring af den kritiske infrastruktur.

EPCIP-direktivet var i dansk ret implementeret sektorvist for energi- og transportsektorerne, som var de to sektorer, der var omfattet af direktivet.

For en nærmere gennemgang af den sektorvise implementering af EPCIP-direktivet henvises til pkt. 2.4 i lovforslagets bemærkninger.

Kritiske enheder i luftfarts- og søtransportsektoren skal i henhold til Europa-Parlamentets og Rådets forordning (EF) nr. 300/2008 og (EF) nr. 725/2004 og Europa-Parlamentets og Rådets direktiv 2005/65/EF træffe en række foranstaltninger med henblik på at forebygge hændelser forårsaget af ulovlige handlinger og modstå og afbøde følgerne af sådanne hændelser.

Efter § 24 i beredskabsloven, jf. lovbekendtgørelse nr. 314 af 3. april 2017, gælder der en forpligtelse for de enkelte ministre til, inden for deres område, hver især at planlægge for opretholdelse og videreførelse af samfundets funktioner i tilfælde af større ulykker og katastrofer.

Det følger af den foreslåede § 6, stk. 1, at kritiske enheder skal træffe passende og forholdsmæssige tekniske, sikkerhedsmæssige og organisatoriske foranstaltninger for at sikre enhedernes modstandsdygtighed på grundlag af den nationale risikovurdering og den kritiske enheds egen risikovurdering, herunder foranstaltninger, der er nødvendige for at 1) forhindre hændelser i at indtræffe under behørig hensyntagen til katastroferisikoreduktions- og klimatilpasningsforanstaltninger, 2) sikre tilstrækkelig fysisk beskyttelse af enhedens lokaler og kritiske infrastruktur under behørig hensyntagen til f.eks. hegn, barrierer, værktøjer og rutiner til overvågning af perimetre, detektionsudstyr og adgangskontrol, 3) reagere på, modstå og afbøde følgerne af hændelser under behørig hensyntagen til gennemførelsen af risiko- og krisestyringsprocedurer, risiko- og krisestyringsprotokoller samt varslingsrutiner, 4) sikre genopretning efter hændelser under behørig hensyntagen til foranstaltninger vedrørende forretningskontinuitet og identifikation af alternative forsyningskæder for at genoptage leveringen af væsentlige tjenester, 5) sikre passende medarbejdersikkerhedsstyring under behørig hensyntagen til foranstaltninger såsom fastsættelse af kategorier af eget og eksternt personale, der udøver kritiske funktioner, fastlæggelse af adgangsrettigheder til lokaler, kritisk infrastruktur og følsomme oplysninger, fastsættelse af procedurer for baggrundskontrol jf. § 9 og udpegelse af kategorier af personer, som er forpligtet til at gennemgå en sådan baggrundskontrol, samt fastlæggelse af passende uddannelseskrav og kvalifikationer og 6) øge bevidstheden blandt det relevante personale om de foranstaltninger og hensyn, der er beskrevet i nr. 1-5, under behørig hensyntagen til kurser, informationsmateriale og øvelser.

Den foreslåede bestemmelse gennemfører artikel 13, stk. 1, i CER-direktivet, hvoraf følger, at medlemsstaterne skal sikre, at kritiske enheder træffer passende og forholdsmæssige tekniske, sikkerhedsmæssige og organisatoriske foranstaltninger for at sikre deres modstandsdygtighed på grundlag af de relevante oplysninger, som medlemsstaterne har givet om medlemsstatsrisikovurderingen, og af resultaterne af de kritiske enheders risikovurderinger.

Modstandsdygtighedsforanstaltninger omfatter efter direktivets artikel 13, stk. 1, 1. led, foranstaltninger, der er nødvendige for at a) forhindre hændelser i at indtræffe under behørig hensyntagen til katastroferisikoreduktions- og klimatilpasningsforanstaltninger, b) sikre tilstrækkelig fysisk beskyttelse af deres lokaler og kritiske infrastruktur under behørig hensyntagen til f.eks. hegn, barrierer, værktøjer og rutiner til overvågning af perimetre, detektionsudstyr og adgangskontrol, c) reagere på, modstå og afbøde følgerne af hændelser under behørig hensyntagen til gennemførelsen af risiko- og krisestyringsprocedurer og -protokoller samt varslingsrutiner, d) sikre genopretning efter hændelser under behørig hensyntagen til forretningskontinuitetsforanstaltninger og identifikation af alternative forsyningskæder for at genoptage leveringen af væsentlige tjenester, e) sikre passende medarbejdersikkerhedsstyring under behørig hensyntagen til foranstaltninger såsom fastsættelse af kategorier af personale, der udøver kritiske funktioner, fastlæggelse af adgangsrettigheder til lokaler, kritisk infrastruktur og følsomme oplysninger, fastsættelse af procedurer for baggrundskontrol i overensstemmelse med direktivets artikel 14 og udpegelse af kategorier af personer, som er forpligtet til at gennemgå sådan baggrundskontrol, samt fastlæggelse af passende uddannelseskrav og kvalifikationer, og f) øge bevidstheden blandt det relevante personale om de foranstaltninger, der er omhandlet i litra a -e, under behørig hensyntagen til uddannelseskurser, informationsmateriale og øvelser.

Det følger endvidere af artikel 13, stk. 1, 2. led, at medlemsstaterne i forbindelse med medarbejdersikkerhedsstyringen omhandlet i litra e skal sikre, at kritiske enheder tager hensyn til eksterne tjenesteudbyderes personale, når der fastsættes kategorier af personale, som udøver kritiske funktioner.

I overensstemmelse med forudsætningen i direktivets præambelbetragtning nr. 29 vil kritiske enheder skulle træffe passende tekniske, sikkerhedsmæssige og organisatoriske foranstaltninger, der står i et rimeligt forhold til de risici, som de står over for, for at forebygge, beskytte mod, reagere på, modstå, afbøde, absorbere, tilpasse sig til og komme på fode igen efter en hændelse. Mens kritiske enheder bør træffe disse foranstaltninger i overensstemmelse med direktivet, bør sådanne foranstaltningers nærmere enkeltheder og omfang afspejle de forskellige risici, som hver kritisk enhed har identificeret som led i sin risikovurdering, og de særlige forhold, der gør sig gældende for en sådan enhed, på en passende og forholdsmæssig måde.

Det følger af artikel 13, stk. 2, 2. led, at hvis kritiske enheder har truffet foranstaltninger i henhold til forpligtelser i andre retsakter, der er relevante for foranstaltningerne omhandlet i direktivets artikel 13, stk. 1, kan de anvende disse foranstaltninger til at opfylde kravene. Den kompetente myndighed vil under udøvelsen af sine tilsynsforpligtelser kunne vurdere, om eksisterende modstandsdygtighedsforanstaltninger er i overensstemmelse med stk. 1.

I overensstemmelse med den foreslåede § 3, stk. 5, vil bl.a. krav om modstandsdygtighedsforanstaltninger finde anvendelse ti måneder efter, at den kritiske enhed har modtaget en orientering efter den foreslåede § 3, stk. 1.

Det foreslås i stk. 2, at kritiske enheder skal have og anvende en plan for modstandsdygtighed, der beskriver, hvilke foranstaltninger der er truffet i henhold til stk. 1.

Det foreslåede vil indebære, at den kritiske enhed skal have og anvende en plan for modstandsdygtighed, der beskriver, hvilke foranstaltninger der er truffet i henhold til stk. 1.

Den foreslåede bestemmelse gennemfører CER-direktivets artikel 13, stk. 2, 1. og 2. pkt., hvoraf følger, at medlemsstaterne skal sikre, at kritiske enheder har indført og anvender en plan for modstandsdygtighed eller et eller flere tilsvarende dokumenter, der beskriver de trufne foranstaltninger. Kritiske enheder, der har udarbejdet dokumenter eller truffet foranstaltninger i henhold til forpligtelser i andre retsakter, som er relevante for foranstaltningerne efter CER-direktivet, kan anvende disse dokumenter og foranstaltninger.

I overensstemmelse med direktivets forudsætninger, som udtrykt i præambelbetragtning nr. 30, 1. pkt., vil kritiske enheder skulle beskrive de foranstaltninger, som de træffer, med en detaljeringsgrad, der i tilstrækkelig grad når målene om effektivitet og ansvarlighed, i en plan for modstandsdygtighed eller i et eller flere dokumenter, der svarer til en plan for modstandsdygtighed, og anvende denne plan i praksis.

Som forudsat i direktivets artikel 13, stk. 2, 2. pkt., vil kritiske enheder ikke nødvendigvis i medfør af den foreslåede bestemmelse skulle udarbejde en ny plan for modstandsdygtighed, men kan i relevant omfang henvise til allerede foreliggende dokumenter, som måtte være udarbejdet i henhold til forpligtelser i anden regulering. I denne forbindelse kan relevante dokumenter eksempelvis omfatte enhedens generelle beredskabsplan, hændelsesspecifikke delplaner, eller indsatsplaner m.v.

Det foreslås i stk. 3, at vedkommende minister efter forhandling med ministeren for samfundssikkerhed og beredskab kan fastsætte nærmere regler om kritiske enheders modstandsdygtighedsforanstaltninger.

Den foreslåede bestemmelse indebærer, at der i sektorspecifikke bekendtgørelser kan fastsættes nærmere regler om de foranstaltninger, som kritiske enheder inden for de omfattede sektorer skal træffe. Reglerne vil kunne stille sektorspecificerede krav til de foranstaltninger, som enhederne skal træffe i medfør af den foreslåede bestemmelse i stk. 1.

Denne bemyndigelsesbestemmelse forudsættes alene anvendt i de tilfælde, hvor sektorspecifikke hensyn gør sig gældende.

Der vil således i sektorspecifikke bekendtgørelser kunne stilles konkretiserede krav til de foranstaltninger, som kritiske enheder inden for de omfattede sektorer skal træffe i medfør af den foreslåede bestemmelse i stk. 1. Anvendelsen af modellen med en tværgående hovedlov, der suppleres af sektorvise bekendtgørelser vil i øvrigt sikre, at der i nødvendigt omfang kan ske hurtig ændring af reglerne på baggrund af eksempelvis ændringer i risiko- og trusselsbilledet. Der henvises i øvrigt til pkt. 3.2.3 og 3.2.4 i lovforslagets bemærkninger.

Ved gennemførelsen tages der således hensyn til, at det er ressortministerierne og de sektoransvarlige myndigheder, der med deres indgående kendskab til forholdene i de enkelte sektorer har de bedste forudsætninger for at vurdere, om der konkret er behov for nærmere udmøntning af lovens krav, således at implementeringen af direktivet udmøntes på den måde, der er mest hensigtsmæssig for sektoren.

Det bemærkes, at det følger af CER-direktivets artikel 13, stk. 6, at Europa-Kommissionen vedtager gennemførelsesretsakter med henblik på at fastsætte de nødvendige tekniske og metodiske specifikationer vedrørende anvendelsen af de i artikel 13, stk. 1, omhandlende modstandsdygtighedsforanstaltninger.

Såfremt Europa-Kommissionens gennemførelsesretsakter om anvendelsen af modstandsdygtighedsforanstaltninger foreligger på tidspunktet for udstedelsen af bekendtgørelserne, vil disse skulle tage højde for indholdet af de tekniske og metodiske specifikationer, der fremgår heraf. Såfremt gennemførelsesretsakterne først foreligger på et senere tidspunkt, vil bekendtgørelserne i relevant omfang skulle justeres på baggrund heraf, således at det sikres, at de er i overensstemmelse med de rammer, der måtte følge af Europa-Kommissionens retsakter. Såfremt gennemførelsesretsakterne måtte regulere området fuldt ud, vil allerede udstedte bekendtgørelser i givet fald skulle ophæves.

Det bemærkes i øvrigt, at det i lovforslagets § 1, stk. 6, i overensstemmelse med CER-direktivets artikel 8, foreslås, at for kritiske enheder i sektorerne bankvirksomhed, finansiel markedsinfrastruktur og digital infrastruktur finder de foreslåede §§ 4-9 og 14-16 ikke anvendelse. Kritiske enheder i disse sektorer vil således ikke være omfattet af bestemmelserne om kritiske enheders modstandsdygtighed. Der henvises til de specielle bemærkninger til den foreslåede § 1, stk. 6.

Der henvises i øvrigt til pkt. 3.2 i lovforslagets bemærkninger.

Til § 7

Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning og udpegning af europæisk kritisk infrastruktur og vurdering af behovet for at beskytte den bedre (EPCIP-direktivet) fastsatte i artikel 6, at ejere og operatører af europæisk kritisk infrastruktur skulle udpege en sikkerhedsforbindelsesofficer, som fungerede som kontaktpunkt i forbindelse med sikkerhedsmæssige spørgsmål mellem ejeren eller operatøren af den europæiske kritiske infrastruktur og medlemsstatens relevante myndighed.

Endvidere fremgik det af EPCIP-direktivet bl.a., at hver medlemsstat indførte en passende kommunikationsmekanisme mellem medlemsstatens relevante myndighed og sikkerhedsforbindelsesofficeren eller tilsvarende med henblik på at udveksle relevante oplysninger om de identificerede risici og trusler i forbindelse med den pågældende europæiske kritiske infrastruktur.

EPCIP-direktivet er i dansk ret implementeret sektorvist for energi- og transportsektorerne, som var de to sektorer, der er omfattet af direktivet.

For en nærmere gennemgang af den sektorvise implementering af EPCIP-direktivet henvises til pkt. 2.4 i lovforslagets bemærkninger.

Det følger af den foreslåede § 7, at kritiske enheder skal udpege en kontaktperson og meddele dennes relevante kontaktoplysninger til den relevante kompetente myndighed. Den kritiske enhed skal underrette den kompetente myndighed om ændringer i kontaktoplysningerne.

Den foreslåede bestemmelse indebærer, at den enkelte kritiske enhed skal give den relevante kompetente myndighed meddelelse om, hvilken person der varetager opgaven som kontaktperson. Det skal af meddelelsen til den kompetente myndighed fremgå, hvilke kontaktoplysninger, herunder f.eks. navn, e-mail og telefonnummer, den pågældende person har. Eventuelle ændringer i kontaktinformation skal meddeles til den relevante kompetente myndighed.

Den foreslåede bestemmelse vil gennemføre artikel 13, stk. 3, i CER-direktivet, hvoraf følger, at medlemsstaterne sikrer, at hver kritisk enhed udpeger en forbindelsesofficer eller tilsvarende som kontaktpunkt for de kompetente myndigheder.

I overensstemmelse med den foreslåede § 3, stk. 5, vil bl.a. kravet om meddelelse af kontaktperson og kontaktoplysninger finde anvendelse ti måneder efter, at den kritiske enhed har modtaget en orientering efter den foreslåede § 3, stk. 1.

Til § 8

Der var ikke i Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning og udpegning af europæisk kritisk infrastruktur og vurdering af behovet for at beskytte den bedre (EPCIP-direktivet) fastsat forpligtelser for ejere og operatører af europæisk kritisk infrastruktur til at underrette myndighederne om hændelser.

Det følger af den foreslåede § 8, stk. 1, at kritiske enheder skal underrette den relevante kompetente myndighed om hændelser, der i betydelig grad forstyrrer eller har potentiale til i betydelig grad at forstyrre leveringen af enhedens væsentlige tjenester.

Den foreslåede bestemmelse vil indebære, at den kritiske enhed er forpligtet til at underrette den kompetente myndighed om hændelser, der i betydelig grad forstyrrer eller har potentiale til i betydelig grad at forstyrre leveringen af den pågældende kritiske enheds egne væsentlige tjenester.

Den foreslåede underretningsforpligtelse omfatter således ikke hændelser, der mere generelt kan forstyrre eller har potentiale til at forstyrre leveringen af væsentlige tjenester.

Underretning vil skulle ske til den kompetente myndighed for den sektor, som den tjeneste, der i betydelig grad forstyrres eller potentielt kan blive forstyrret af hændelsen, leveres i. Såfremt enheden leverer tjenester i flere sektorer, som påvirkes eller potentielt påvirkes af hændelsen, skal enheden underrette de kompetente myndigheder i alle de pågældende sektorer. Det forventes, at underretningerne af de forskellige relevante myndigheder vil skulle foretages via en fælles digital indgang, såsom Virk.dk. Dette vil sikre, at de berørte enheder alene skal foretage én samlet underretning, som derefter fordeles til de relevante myndigheder. Der henvises i øvrigt til den foreslåede § 12 og bemærkningerne hertil.

I overensstemmelse med den foreslåede § 3, stk. 5, vil underretningsforpligtelserne finde anvendelse ti måneder efter, at den kritiske enhed har modtaget en orientering efter den foreslåede § 3, stk. 1.

Den foreslåede bestemmelse vil gennemføre dele af CER-direktivets artikel 15, stk. 1, 1. pkt., hvorefter medlemsstaterne sikrer, at kritiske enheder uden unødigt ophold underretter den kompetente myndighed om hændelser, der i betydelig grad forstyrrer eller har potentiale til i betydelig grad at forstyrre leveringen af væsentlige tjenester.

Det følger af det foreslåede stk. 2, at ved vurdering af en forstyrrelses omfang indgår navnlig 1) antallet og andelen af brugere, der er berørt af forstyrrelsen, 2) forstyrrelsens varighed og 3) det geografiske område, der er berørt af forstyrrelsen, idet der tages hensyn til, om det er et geografisk isoleret område

Den foreslåede bestemmelse indebærer, at den kritiske enhed ud fra de tre oplistede kriterier vil skulle foretage en konkret vurdering af, om en hændelse kan siges at forstyrre leveringen af tjenester i betydelig grad.

Det bemærkes, at de oplistede kriterier vil kunne uddybes nærmere i sektorspecifikke bekendtgørelser. Der henvises til bemærkningerne til det foreslåede stk. 7 nedenfor.

Den foreslåede bestemmelse gennemfører CER-direktivets artikel 15, stk. 1, 3. pkt., som fastsætter, at med henblik på at fastslå en forstyrrelses omfang tages navnlig følgende kriterier i betragtning: a) antallet og andelen af brugere, der er berørt af forstyrrelsen, b) forstyrrelsens varighed og c) det geografiske område, der er berørt af forstyrrelsen, idet der tages hensyn til, om det er et geografisk isoleret område.

Det bemærkes, at der vil være tale om en oplysningspligt omfattet af lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter. Dette indebærer, at retten til ikke at inkriminere sig selv, jf. kapitel 4 i nævnte lov, skal overholdes. Det bemærkes dog, at det af bemærkningerne til § 10 i lov om retssikkerhed ved forvaltningernes anvendelse af tvangsindgreb og oplysningspligter fremgår, at bestemmelsen om forbud mod selvinkriminering ikke er til hindre for, at den mistænkte kan pålægges at give (faktuelle) oplysninger, som er uden betydning for bedømmelsen af, hvorvidt den pågældende har begået en lovovertrædelse, der kan medføre straf. Bestemmelsen vil således ikke være til hinder for at anvende en oplysningspligt til at kræve oplysninger om navn, adresse mv., jf. herved også retsplejelovens § 750, hvorefter enhver på forlangende er forpligtet til over for politiet at opgive navn, adresse og fødselsdato. Der henvises til Folketingstidende 2003-04, tillæg A, side 3097. Der vil med den foreslåede bestemmelse være tale om oplysningspligt, hvorved den kritiske enhed skal underrette den kompetente myndighed om hændelser, der i betydelig grad forstyrrer eller har potentiale til i betydelig grad at forstyrre leveringen af enhedens væsentlige tjenester. Det er derfor Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at kapitel 4 i lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter alene vil være relevant i praksis i yderst sjældne tilfælde.

Det følger af det foreslåede stk. 3, at underretninger efter stk. 1, skal indeholde alle tilgængelige oplysninger, der er nødvendige for, at den kompetente myndighed kan forstå hændelsens art, årsag og mulige konsekvenser, herunder alle tilgængelige oplysninger, der er nødvendige for at fastslå hændelsens eventuelle grænseoverskridende indvirkning.

Den foreslåede bestemmelse gennemfører CER-direktivets artikel 15, stk. 2, som fastsætter, at underretninger som omhandlet i artikel 15, stk. 1, 1. led, skal indeholde alle tilgængelige oplysninger, der er nødvendige for, at den kompetente myndighed kan forstå hændelsens art, årsag og mulige konsekvenser, herunder alle tilgængelige oplysninger, der er nødvendige for at fastslå hændelsens eventuelle grænseoverskridende indvirkning. Det fastsættes endvidere, at sådanne underretninger ikke medfører et øget ansvar for kritiske enheder.

Den kompetente myndighed, der modtager en underretning, vil i overensstemmelse med CER-direktivets artikel 15, stk. 3, via det centrale kontaktpunkt skulle orientere andre berørte medlemsstater om en hændelse, hvis den pågældende hændelse har eller vil kunne have grænseoverskridende indvirkning.

Hvor en hændelse har eller kan have betydelig indvirkning på kontinuiteten i leveringen af væsentlige tjenester til eller i seks eller flere medlemsstater, vil den kompetente myndighed i overensstemmelse med CER-direktivets artikel 15, stk. 1, 3. pkt., skulle underrette Europa-Kommissionen herom.

Det følger af det foreslåede stk. 4, at underretning skal ske uden unødigt ophold og, medmindre det operationelt ikke er muligt, senest 24 timer efter, at den kritiske enhed er blevet opmærksom på hændelsen. Den kritiske enhed skal på anmodning fra den kompetente myndighed sende en detaljeret rapport til den kompetente myndighed senest en måned efter hændelsen.

Den foreslåede bestemmelse vil gennemføre CER-direktivets artikel 15, stk. 1, 1. og 2. pkt., hvoraf det fremgår, at medlemsstaterne sikrer, at kritiske enheder uden unødigt ophold underretter den kompetente myndighed om hændelser, der i betydelig grad forstyrrer eller har potentiale til i betydelig grad at forstyrre leveringen af væsentlige tjenester. Medlemsstaterne sikrer, at kritiske enheder, med mindre det operationelt ikke er muligt, indgiver en første underretning senest 24 timer efter at være blevet opmærksom på en hændelse, efterfulgt, hvor det er relevant, af en detaljeret rapport senest en måned derefter.

Baggrunden for artikel 15, stk. 1, 1. pkt., beskrives i CER-direktivets præambelbetragtning nr. 33, hvoraf det bl.a. fremgår, at der bør oprettes en mekanisme til underretning om visse hændelser for at gøre det muligt for de kompetente myndigheder at reagere hurtigt og hensigtsmæssigt på hændelser og danne sig et samlet overblik over indvirkningen, arten, årsagen og de mulige konsekvenser af hændelser, som kritiske enheder håndterer. Kritiske enheder bør uden unødigt ophold underrette de kompetente myndigheder om hændelser, der i betydelig grad forstyrrer eller har potentiale til i betydelig grad at forstyrre leveringen af væsentlige tjenester.

Det beskrives endvidere i præambelbetragtning nr. 33, at den første underretning kun bør indeholde de oplysninger, der er strengt nødvendige for at gøre den kompetente myndighed opmærksom på hændelsen og give den kritiske enhed mulighed for at søge bistand, hvis det er nødvendigt. En sådan underretning bør, hvor det er muligt, angive den formodede årsag til hændelsen. Den detaljerede rapport, som i relevant omfang sendes senest en måned efter hændelsen, bør supplere den første underretning og give et mere fuldstændigt overblik over hændelsen.

Det følger af det foreslåede stk. 5, at den kompetente myndighed snarest muligt efter modtagelse af en underretning efter stk. 1, giver den berørte kritiske enhed relevante opfølgende oplysninger, herunder oplysninger, som kan understøtte en effektiv reaktion fra den kritiske enhed på den pågældende hændelse.

Den foreslåede bestemmelse vil gennemføre CER-direktivets artikel 15, stk. 4, 1. pkt., som fastsætter, at så snart som muligt efter modtagelse af en underretning som omhandlet i artikel 15, stk. 1, giver den kompetente myndighed den berørte kritiske enhed relevante opfølgende oplysninger, herunder oplysninger, som kunne understøtte en effektiv reaktion fra denne kritiske enhed på den pågældende hændelse.

De opfølgende oplysninger, som den kompetente myndighed oplyser den berørte enhed om, vil f.eks. kunne angå mulige afværgeforanstaltninger eller anden relevant viden, som den kompetente myndighed er i besiddelse af. Derimod er det ikke et krav, at den kompetente myndighed skal tilvejebringe oplysninger fra tredjemand.

Efterforskes en hændelse som et strafbart forhold, vil den kompetente myndighed skulle tage højde for, at de opfølgende oplysninger ikke må vanskeliggøre eller forhindre efterforskningen.

Det følger af det foreslåede stk. 6, at den kompetente myndighed kan orientere offentligheden om en hændelse, hvis det vil være i offentlighedens interesse.

Den foreslåede bestemmelse vil gennemføre CER-direktivets artikel 15, stk. 4, 2. pkt., hvoraf det fremgår, at medlemsstaterne orienterer offentligheden om en hændelse, hvor de vurderer, at det vil være i offentlighedens interesse at gøre det.

Den foreslåede bestemmelse indebærer, at den kompetente myndighed kan orientere offentligheden om en væsentlig hændelse, hvis orienteringen er i offentlighedens interesse. Hvorvidt offentliggørelse af den væsentlige hændelse er i offentlighedens interesse vil afhænge af en konkret vurdering af sagens nærmere omstændigheder, herunder om offentliggørelse er nødvendig for at forebygge eller håndtere den væsentlige hændelse.

Det vil være op til den kompetente myndighed at tage stilling til formen for orienteringen. Orientering af offentligheden kan således ske på den måde, som den kompetente myndighed finder bedst egnet under hensyn til den berørte kritiske enhed, hændelsens karakter, den geografiske udstrækning, den forventede betydning for bestemte dele af offentligheden m.v.

Den kompetente myndighed skal ved overvejelse om orientering af offentligheden om en hændelse sikre, at de hensyn til fortrolighed, der fremgår af forvaltningslovens § 27 om offentligt ansattes tavshedspligt, iagttages. Dette omfatter bl.a. hensynet til enkeltpersoners private forhold, forretningshemmeligheder samt hensynet til forebyggelse, efterforskning og forfølgning af lovovertrædelser.

Rammer en væsentlig hændelse flere sektorer, eller har en væsentlig hændelse potentiale til at ramme flere sektorer, forudsættes det, at der sker en koordinering mellem de relevante kompetente myndigheder forud for en eventuel offentliggørelse.

Det følger af det foreslåede stk. 7, at vedkommende minister efter forhandling med ministeren for samfundssikkerhed og beredskab kan fastsætte nærmere regler om vurderingen af en forstyrrelses omfang efter stk. 2, og de oplysninger, der skal indgå i en underretning efter stk. 3.

Den foreslåede bestemmelse vil medføre, at vedkommende minister ved behov har mulighed for at præcisere, hvilke elementer en kritisk enhed skal inddrage i vurderingen af en forstyrrelses omfang.

Henset til, at kriterierne for, hvornår en hændelse anses for at være væsentlig efter det foreslåede stk. 2, vil have forholdsvis kvalitativ og skønspræget karakter, er det efter Ministeriet for Samfundssikkerhed og Beredskabs opfattelse hensigtsmæssigt, at der kan fastsættes nærmere sektorspecifikke regler, som præciserer, herunder eventuelt kvantificerer, hvilke elementer der kan indgå i vurderingen af en forstyrrelses omfang.

Det er Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at der er behov for, at det i bekendtgørelser kan præciseres, hvilke oplysninger en underretning vil skulle indeholde, jf. det foreslåede stk. 3.

De regler, der kan fastsættes i medfør af det foreslåede stk. 7, vil således supplere de foreslåede bestemmelser i stk. 2 og 3.

Der henvises i øvrigt til pkt. 3.3 i lovforslagets bemærkninger.

Til § 9

På luftfartsområdet er der i Europa-Parlamentet og Rådets forordning (EF) nr. 300/2008 af 11. marts 2008 om fælles bestemmelser om sikkerhed inden for civil luftfart og om ophævelse af forordning (EF) nr. 2320/2002 bl.a. fastsat regler om udvidet baggrundskontrol og sikkerhedsgodkendelse af visse personer, der udfører funktioner inden for luftfartssikkerhed.

Det følger af den foreslåede § 9, at vedkommende minister efter forhandling med justitsministeren fastsætter nærmere regler om, på hvilke betingelser kritiske enheder i behørigt begrundede tilfælde og under hensyn til den nationale risikovurdering hos den kompetente myndighed kan få foretaget baggrundskontrol af personer, der opfylder én af følgende betingelser 1) Personen varetager følsomme opgaver i eller til fordel for en kritisk enhed, navnlig vedrørende den kritiske enheds modstandsdygtighed, 2) Personen er bemyndiget til at få direkte adgang eller fjernadgang til en kritisk enheds lokaler, oplysninger eller kontrolsystemer herunder i forbindelse med den kritiske enheds sikkerhed eller 3) Personen overvejes ansat i stillinger, der indebærer opgavevaretagelse efter nr. 1 eller bemyndigelse efter nr. 2.

Den foreslåede bestemmelse indebærer, at vedkommende minister efter forhandling med justitsministeren vil skulle fastsætte nærmere regler om, på hvilke betingelser kritiske enheder kan få foretaget baggrundskontrol af personer, der opfylder én af de tre oplistede betingelser.

Den foreslåede bestemmelse vil gennemføre CER-direktivets artikel 14, stk. 1.

Det fremgår af CER-direktivets præambelbetragtning nr. 32, at risikoen for, at ansatte i kritiske enheder eller deres kontrahenter misbruger for eksempel deres adgangsret inden for den kritiske enheds organisation til at skade og forvolde skade, giver anledning til stigende bekymring. Derfor bør medlemsstaterne angive de betingelser, på hvilke kritiske enheder i behørigt begrundende tilfælde og under hensyntagen til medlemsstatsrisikovurderinger har tilladelse til at indgive anmodninger om baggrundskontrol af personer, der tilhører specifikke kategorier af deres personale.

Den foreslåede bemyndigelsesbestemmelse skal ses i lyset af, at CER-direktivet lægger op til, at anmodninger om baggrundskontrol alene kan indgives i behørigt begrundede tilfælde og under hensyn til den nationale risikovurdering. Behovet for baggrundkontrol for personer ansat i den enkelte kritiske enhed, vil således afhænge af den nationale risikovurdering og vil på den baggrund være divergerende for kritiske enheder.

Det er på den baggrund Ministeriet for Samfundssikkerhed og Beredskabs vurdering, at de nærmere betingelser for baggrundskontrol bør fastsættes af vedkommende minister efter forhandling med justitsministeren.

Det bemærkes i den forbindelse, at gennemførelse af baggrundskontrol vil ske på grundlag af en anmodning fra en kritisk enhed og forudsætter, at den pågældende person har meddelt samtykke dertil.

Det forudsættes i øvrigt, at udstedelse af nærmere regler og den efterfølgende administration af ordningen vil ske i overensstemmelse med kravene i CER-direktivets artikel 14, stk. 2 og 3.

Det fremgår bl.a. af CER-direktivets artikel 14, stk. 2, at anmodninger om baggrundskontrol skal vurderes inden for en rimelig frist og behandles i overensstemmelse med national ret og nationale procedurer samt relevant og gældende EU-ret, herunder EU-regulering om beskyttelse af personoplysninger. Baggrundskontrollen skal være forholdsmæssig og strengt begrænset til, hvad der er nødvendigt, og den skal udelukkende foretages med henblik på at vurdere en potentiel sikkerhedsrisiko for den berørte kritiske enhed.

CER-direktivets artikel 14, stk. 3, fastsætter bl.a., at baggrundskontrollen mindst skal bekræfte identiteten af den person, som er genstand for baggrundskontrollen, og at der skal foretages en kontrol af strafferegistre for den pågældende person for lovovertrædelser, der er relevante for en bestemt stilling.

I overensstemmelse med den foreslåede § 3, stk. 5, vil reglerne om baggrundskontrol finde anvendelse ti måneder efter, at den kritiske enhed har modtaget en orientering efter den foreslåede § 3, stk. 1.

Afgørelser om, hvorvidt en person har gennemgået en baggrundskontrol med et tilfredsstillende resultat og om tilbagekaldelse af en afgørelse om baggrundskontrol, vil skulle træffes af den kompetente myndighed på baggrund af oplysninger om den pågældende person, som politiet tilvejebringer. De almindelige forvaltningsretlige regler og principper vil være gældende, idet afgørelse om baggrundskontrol vil være en afgørelse i forvaltningsretslig forstand. Det medfører bl.a. at en afgørelse om baggrundskontrol vil kunne påklages til en højere administrativ myndighed efter de almindelige forvaltningsretlige principper om administrativ rekurs.

Til § 10

Det følger af den foreslåede § 10, at de relevante myndigheder kan videregive oplysninger til andre medlemsstaters myndigheder og til institutioner i Den Europæiske Union for at varetage de opgaver, som følger af denne lov eller regler udstedt i medfør af loven.

Den foreslåede bestemmelse indebærer, at de kompetente myndigheder og det centrale kontaktpunkt som led i den nationale gennemførelse af direktivet, kan videregive oplysninger til andre medlemsstater eller EU-institutioner, hvis det er nødvendigt for at sikre overholdelsen af forpligtelserne i CER-loven. Bestemmelsen vil således sikre, at de danske myndigheder i alle tilfælde vil kunne leve op til forpligtelserne i CER-loven.

Det følger af CER-direktivets artikel 15, stk. 3, at på grundlag af oplysninger leveret af en kritisk enhed i en underretning om en hændelse, orienterer den relevante kompetente myndighed via det centrale kontaktpunkt andre berørte medlemsstaters centrale kontaktpunkter, hvis hændelsen har eller kunne have betydelig indvirkning på kritiske enheder og kontinuiteten i leveringen af væsentlige tjenester til eller i en eller flere andre medlemsstater. Det følger af samme bestemmelse, at centrale kontaktpunkter, der fremsender og modtager sådanne oplysninger, i overensstemmelse med EU-retten eller national ret skal behandle disse oplysninger på en måde, der respekterer deres fortrolighed og beskytter den berørte kritiske enheds sikkerhed og kommercielle interesser.

Efter bestemmelsen i CER-direktivets artikel 15, stk. 3, vil det centrale kontaktpunkt således i relevant omfang skulle videregive oplysninger, som er modtaget i hændelsesunderretninger, til øvrige berørte medlemsstater.

På baggrund af CER-direktivets artikel 17, stk. 2, skal myndighederne endvidere videregive oplysninger til Europa-Kommissionen om identiteten af kritiske enheder, som leverer væsentlige tjenester til eller i seks eller flere medlemsstater, samt om de oplysninger, som enhederne leverer i henhold til den foreslåede bestemmelse i § 4, stk. 2.

Efter bestemmelsen i CER-direktivets artikel 18, stk. 3, skal Kommissionen endvidere efter anmodning modtage en række oplysninger fra en medlemsstat, der har identificeret en kritisk enhed af særlig europæisk betydning, herunder de relevante dele af den kritiske enheds risikovurdering, en oversigt over relevante modstandsdygtighedsforanstaltninger, der er truffet, samt tilsyns- og håndhævelsestiltag.

Til § 11

Videregivelse af oplysninger, der ville stride mod væsentlige interesser af hensyn til den nationale sikkerhed, offentlige orden eller forsvar reguleres, bl.a. i forvaltningslovens regler om tavshedspligt og videregivelse af oplysninger, straffelovens regler om tavshedspligt, samt cirkulære nr. 10338 af 17. december 2014 om sikkerhedsbeskyttelse af information af fælles interesse for landene i NATO eller EU, andre klassificerede informationer samt informationer af sikkerhedsmæssig beskyttelsesinteresse i øvrigt (sikkerhedscirkulæret).

Det følger af den foreslåede § 11, stk. 1, at de forpligtelser, der er fastsat i denne lov eller i regler udstedt i medfør af loven, ikke omfatter meddelelse af oplysninger, hvis videregivelse ville stride mod væsentlige interesser af hensyn til den nationale sikkerhed, offentlige sikkerhed eller forsvar.

Den foreslåede bestemmelse vil gennemføre artikel 1, stk. 8, i CER-direktivet, som fastsætter, at de forpligtelser, der er fastsat i CER-direktivet, ikke omfatter meddelelse af oplysninger, hvis videregivelse ville stride mod væsentlige interesser med hensyn til medlemsstaternes nationale sikkerhed, offentlig sikkerhed eller forsvar.

Baggrunden for artikel 1, stk. 8, beskrives i CER-direktivets præambelbetragtning nr. 11, in fine, hvoraf det fremgår, at ingen medlemsstat bør være forpligtet til at meddele oplysninger, hvis videregivelse vil stride mod væsentlige interesser med hensyn til dens nationale sikkerhed, og at EU-regler eller nationale regler om beskyttelse af klassificerede informationer og hemmeligholdelsesaftaler er relevante.

Under hensyn til bestemmelsen i CER-direktivets artikel 1, stk. 6 (om at direktivet ikke finder anvendelse på offentlige forvaltningsenheder, der udfører aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse), og den foreslåede bestemmelse i § 1, stk. 4 (om undtagelse af specifikke enheder, der udfører aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse m.v.), er det Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at den foreslåede bestemmelse i § 11, stk. 1, for enheders vedkommende vil have et yderst begrænset anvendelsesområde.

Bestemmelsen vil desuden alene vedrøre meddelelse af oplysninger, som efter en konkret vurdering vil stride mod væsentlige interesser med hensyn til den nationale sikkerhed, offentlige sikkerhed eller forsvar. Bestemmelsen vil således eksempelvis ikke medføre, at en enhed mere generelt kan undlade at efterkomme oplysningsforpligtelserne over for de kompetente myndigheder, herunder som led i myndighedernes tilsyn. Det er Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at det kun vil være i yderst sjældne tilfælde, at videregivelse af en enheds oplysninger til den relevante kompetente myndighed vil stride mod væsentlige interesser af hensyn til den nationale sikkerhed, offentlige sikkerhed eller forsvar.

Bestemmelsen vil desuden alene vedrøre meddelelsen af oplysninger, som efter en konkret vurdering vil stride mod væsentlige interesser med hensyn til den nationale sikkerhed, offentlige sikkerhed eller forsvar. Bestemmelsen vil således eksempelvis ikke medføre, at en virksomhed mere generelt kan undlade at efterkomme oplysningsforpligtelserne over for de kompetente myndigheder, herunder som et led i myndighedernes tilsyn.

Det følger af det foreslåede stk. 2, at oplysninger, der modtages eller hidrører fra myndigheder i andre EU-medlemsstater, behandles som fortrolige, såfremt de relevante myndigheder er blevet oplyst om at den afgivende myndighed betragter oplysningerne som fortrolige i henhold til EU-regler eller nationale regler.

Den foreslåede bestemmelse vil bl.a. medføre, at oplysninger, som de danske myndigheder modtager i medfør af CER-direktivets artikel 15, stk. 3, vil blive behandlet med den fornødne fortrolighed.

Den foreslåede bestemmelse vil finde anvendelse, uanset om oplysningerne modtages direkte fra den pågældende nationale myndighed eller via andre, herunder Europa-Kommissionen.

Det følger således af CER-direktivets artikel 15, stk. 3, at på grundlag af oplysninger leveret af en kritisk enhed i en underretning om en hændelse, orienterer den relevante kompetente myndighed via det centrale kontaktpunkt andre berørte medlemsstaters centrale kontaktpunkter, hvis hændelsen har eller kunne have betydelig indvirkning på kritiske enheder og kontinuiteten i leveringen af væsentlige tjenester til eller i en eller flere andre medlemsstater. Det følger videre, at centrale kontaktpunkter, der fremsender og modtager sådanne oplysninger, i overensstemmelse med EU-retten eller national ret skal behandle sådanne på en måde, der respekterer deres fortrolighed og beskytter den berørte kritiske enheds sikkerhed og kommercielle interesser.

Det følger desuden af CER-direktivets artikel 1, stk. 4, at oplysninger, der er fortrolige i henhold til EU-regler eller nationale regler, såsom regler om forretningshemmeligheder, kun udveksles med Europa-Kommissionen og andre relevante myndigheder i overensstemmelse med CER-direktivet, hvor denne udveksling er nødvendig for anvendelsen af direktivet. De udvekslede oplysninger begrænses til, hvad der er relevant og forholdsmæssigt under hensyntagen til formålet med udvekslingen. Udvekslingen af oplysninger skal bevare de pågældende oplysningers fortrolighed og beskytte de kritiske enheders sikkerhed og kommercielle interesser, samtidig med at medlemsstaternes sikkerhed respekteres.

Til § 12

Det følger af den foreslåede § 12, at ministeren for samfundssikkerhed og beredskab kan fastsætte regler om digital kommunikation, herunder om anvendelsen af bestemte it-systemer, særlige digitale formater og digital signatur samt fritagelse fra digital kommunikation eller lignende.

Den foreslåede bestemmelse indebærer, at det kan gøres obligatorisk for enheder at anvende bestemte it-systemer, herunder selvbetjeningsløsninger.

Den foreslåede bestemmelse skal ses i lyset af forvaltningslovens § 32 a, hvoraf det følger, at vedkommende minister kan fastsætte regler om ret til at anvende digital kommunikation ved henvendelser til den offentlige forvaltning og om nærmere vilkår herfor, herunder fravige formkrav i lovgivningen, der hindrer anvendelsen af digital kommunikation.

Der vil med hjemmel i bestemmelsen kunne fastsættes regler om, hvem der omfattes af pligten til at kommunikere digitalt, om hvilke forhold, og på hvilken måde.

Bestemmelsen forventes navnlig anvendt til at fastsætte regler om, hvordan kritiske enheder skal foretage underretninger om hændelser i medfør af den foreslåede § 8. Det kan også være relevant at fastsætte regler om, hvordan kritiske enheder af særlig europæisk betydning skal underrette og oplyse om væsentlige tjenester i medfør af den foreslåede § 4, stk. 2. Der vil eksempelvis kunne fastsættes regler om anvendelse af bestemte digitale internetløsninger, såsom Virk.dk.

Der kan med hjemmel i bestemmelsen fastsættes regler om, at skriftlige henvendelser til myndighederne, herunder de kompetente myndigheder m.v., om forhold, som er omfattet af et krav om digital kommunikation, ikke anses for behørigt modtaget af myndighederne, hvis de indsendes på anden vis end den foreskrevne digitale måde.

Hvis en enhed retter henvendelse til en myndighed på anden måde end den foreskrevne digitale måde, eksempelvis ved brev, følger det af den almindelige vejledningspligt, jf. forvaltningslovens § 7, at myndigheden skal vejlede om reglerne på området, herunder om pligten til at kommunikere digitalt.

Der kan desuden fastsættes regler om fritagelse for pligten til digital kommunikation. Fritagelsesmuligheden tænkes navnlig anvendt, hvor det er påkrævet at anvende en dansk digital signatur, men der er tale om en virksomhed med hjemsted i udlandet, og som dermed ikke kan få udstedt en dansk digital signatur. Det bemærkes i den forbindelse, at fritagelsesmuligheden er stærkt begrænset, idet der er tale om kommunikation om erhvervsforhold, og idet virksomheder med hjemsted i udlandet kun i begrænset omfang vil høre under dansk jurisdiktion.

Det forhold, at en enheds computere ikke fungerer, at enheden har mistet koden til sin digitale signatur, eller at der opstår lignende hindringer, som det er op til virksomheden at overvinde, vil ikke kunne føre til fritagelse for pligten til digital kommunikation. I så fald må den pågældende enhed eksempelvis anmode en rådgiver om at varetage kommunikationen på virksomhedens vegne.

Der kan efter bestemmelsen også fastsættes regler om, at en digital meddelelse anses for at være kommet frem til adressaten for meddelelsen på det tidspunkt, hvor meddelelsen er tilgængelig digitalt for adressaten. Dermed er der tale om samme retsvirkning som ved fysisk post, der anses for at være kommet frem, når den pågældende meddelelse m.v. er lagt i adressatens fysiske postkasse. En meddelelse vil normalt anses for at være kommet frem, når meddelelsen er tilgængelig digitalt for adressaten, således at vedkommende har mulighed for at behandle meddelelsen. Dette tidspunkt vil normalt blive registreret automatisk i adressatens it-system.

Til § 13

Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning og udpegning af europæisk kritisk infrastruktur og vurdering af behovet for at beskytte den bedre (EPCIP-direktivet) stillede ikke krav om, at der udpeges en kompetent myndighed.

Det følger af den foreslåede stk. 1, at ministeren for samfundssikkerhed og beredskab fastsætter efter forhandling med vedkommende minister regler om, hvilken myndighed der skal varetage funktionen som kompetent myndighed inden for en given sektor eller delsektor som nævnt i lovens bilag.

Den foreslåede bestemmelse indebærer, at ministeren for samfundssikkerhed og beredskab efter forhandling med vedkommende minister ved bekendtgørelse kan fastsætte regler om, hvilken myndighed eller hvilke myndigheder, der skal varetage funktionen som kompetent myndighed inden for de enkelte sektorer.

Dermed vil der hurtigt og smidigt kunne ske justeringer, såfremt der måtte ske ændringer i arbejdsfordelingen mellem myndigheder, samtidig med, at det vil være tydeligt for enhederne, hvilken myndigheds tilsyn, de er underlagt. Der vil kunne blive udpeget en eller flere kompetente myndigheder inden for en given sektor eller delsektor.

Som led i implementeringen af direktivet vil det påhvile ministeren for samfundssikkerhed og beredskab efter forhandling med de relevante ressortministerier at oprette eller udpege kompetente myndigheder for de enkelte sektorer i lovens bilag.

Efter CER-direktivets artikel 9, stk. 1, 1. led, skal hver medlemsstat udpege eller oprette en eller flere kompetente myndigheder, der er ansvarlige for korrekt anvendelse og, hvor det er nødvendigt, håndhævelse af reglerne fastsat i CER-direktivet på nationalt plan.

De kompetente myndigheder vil bl.a. have til opgave at føre tilsyn med de kritiske enheders efterlevelse af reglerne, håndhæve reglerne og støtte de kritiske enheder i at øge deres modstandsdygtighed samt underrette Europa-Kommissionen om kritiske enheder, som leverer tjenester til eller i seks eller flere medlemsstater.

Der henvises i øvrigt til pkt. 2.2.2.1 i lovforslagets bemærkninger.

Det foreslås i stk. 2, at ministeren for samfundssikkerhed og beredskab kan fastsætte nærmere regler om koordinering, ansvar, fordeling af opgaver og udveksling af oplysninger mellem de kompetente myndigheder og Ministeriet for Samfundssikkerhed og Beredskab, herunder i forhold til hændelsesunderretning efter § 8, videregivelse af oplysninger efter §§ 10 og 11, digital kommunikation og gennemførelsesretsakter efter kapitel 3 og tilsyn og håndhævelse efter dette kapitel.

Den foreslåede bestemmelse medfører, at ministeren for samfundssikkerhed og beredskab har mulighed for at fastsætte nærmere regler om ansvarsfordelingen og samarbejdet mellem de kompetente myndigheder.

Bemyndigelsesbestemmelsen skal ses i lyset af, at Ministeriet for Samfundssikkerhed og Beredskab har en koordinerende rolle i forbindelse med implementeringen af CER-direktivet. Heri ligger bl.a., at ministeriet og Styrelsen for Samfundssikkerhed har ansvaret for at varetage en række tværgående, rådgivende og koordinerende funktioner, herunder i forhold til at sikre vejledning om udmøntningen af direktivets krav og forpligtelser på tværs af ressortministerierne.

Bemyndigelsesbestemmelsen skal endvidere give Ministeriet for Samfundssikkerhed og Beredskab mulighed for at fastsætte nærmere regler med henblik på at modtage oplysninger fra de kompetente myndigheder vedrørende bl.a. hændelsesunderretninger med henblik på at kunne orientere Kommissionen og Gruppen for Kritiske Enheders Modstandsdygtighed herom. Denne orienteringsforpligtelse følger af CER-direktivets artikel 9, stk. 3.

Til § 14

Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning og udpegning af europæisk kritisk infrastruktur og vurdering af behovet for at beskytte den bedre (EPCIP-direktivet) indeholdt ikke generelle regler om tilsyn og håndhævelse.

Det fulgte imidlertid af EPCIP-direktivets artikel 5, stk. 2, at hver enkelt medlemsstat kontrollerer, at alle udpegede europæiske kritiske infrastrukturer, der var beliggende på dens område, havde en sikkerhedsplan for operatører eller havde iværksat tilsvarende foranstaltninger, der dækkede de punkter, der var opstillet i direktivets bilag II.

Af EPCIP-direktivets artikel 5, stk. 3, 1. pkt., fremgik yderligere, at hvis en medlemsstat konstaterede, at der ikke var udarbejdet en sådan sikkerhedsplan for operatører eller tilsvarende, sikrer den ved hjælp af hensigtsmæssige foranstaltninger, at sikkerhedsplanen for operatører eller tilsvarende udarbejdes og dækkede de punkter, der var opstillet i direktivets bilag II.

EPCIP-direktivet er i dansk ret implementeret sektorvist for energi- og transportsektorerne, som er de to sektorer, der er omfattet af direktivet.

For en nærmere gennemgang af den sektorvise implementering af EPCIP-direktivet henvises til lovforslagets pkt. 2.4.

Det følger af det foreslåede stk. 1, at den kompetente myndighed på sit område fører tilsyn med kritiske enheders overholdelse af denne lov og regler udstedt i medfør af loven. Den kompetente myndighed kan som led i dette tilsyn 1) uden retskendelse og mod behørig legitimation foretage inspektioner på stedet af den kritiske infrastruktur og de lokaler, som den kritiske enhed anvender til at levere sine væsentlige tjenester, 2) foretage en audit af en kritisk enhed eller stille krav om, at enheden får et kvalificeret, uafhængigt organ til at foretage denne, og at resultaterne heraf stilles til rådighed for den kompetente myndighed, 3) kræve at få udleveret oplysninger, der er nødvendige for at vurdere, hvorvidt de modstandsdygtighedsforanstaltninger, som den berørte enhed har indført, opfylder kravene i § 6, 4) kræve at få adgang til data, dokumenter og oplysninger, der er nødvendige for udførelsen af tilsynsopgaven og 5) kræve at få udleveret dokumentation for faktisk gennemførelse af modstandsdygtighedsforanstaltninger, herunder resultaterne af en audit.

Det følger af CER-direktivets artikel 21, stk. 1, at medlemsstaterne med henblik på at vurdere, om de enheder, som medlemsstaterne har identificeret som kritiske enheder i henhold til artikel 6, stk. 1, opfylder forpligtelserne i CER-direktivet, sikrer, at de kompetente myndigheder har beføjelser og midler til a) at foretage inspektioner på stedet af den kritiske infrastruktur og de lokaler, som den kritiske enhed anvender til at levere sine væsentlige tjenester, og eksternt tilsyn med de modstandsdygtighedsforanstaltninger, som kritiske enheder har truffet, og b) at foretage eller kræve revision af kritiske enheder.

Det følger videre af CER-direktivets artikel 21, stk. 2, 1. pkt., at medlemsstaterne sikrer, at de kompetente myndigheder har beføjelser og midler til, hvor det er nødvendigt for udførelsen af deres opgaver i henhold til CER-direktivet, at kræve, at enhederne i henhold til NIS 2-direktivet, som medlemsstaterne har identificeret som kritiske enheder i henhold til CER-direktivet, inden for en rimelig tidsfrist, der fastsættes af disse myndigheder, giver a) de oplysninger, der er nødvendige for at vurdere, hvorvidt de foranstaltninger, der træffes af disse enheder for at sikre deres modstandsdygtighed, opfylder kravene i artikel 13, og b) dokumentation for faktisk gennemførelse af disse foranstaltninger, herunder resultaterne af en revision foretaget af en uafhængig og kvalificeret revisor udvalgt af denne enhed og foretaget på dennes regning.

Baggrunden for artikel 21, stk. 1, og stk. 2, 1. pkt., er beskrevet i CER-direktivets præambelbetragtning nr. 40, hvoraf det bl.a. fremgår, at medlemsstaterne bør sikre, at deres kompetente myndigheder har visse specifikke beføjelser til at sikre en korrekt anvendelse og håndhævelse af direktivet i forbindelse med kritiske enheder, når disse enheder hører under deres jurisdiktion som fastsat i direktivet.

Det bemærkes, at anvendelsen af de forskellige tilsynsforanstaltninger, som opregnes i den foreslåede § 14, stk. 1, vil ske efter en konkret vurdering af omstændighederne i hver enkelt sag. Valget af tilsynsforanstaltninger skal ske i overensstemmelse med det forvaltningsretlige proportionalitetsprincip.

Det foreslås i nr. 1, at den kompetente myndighed som led i sit tilsyn uden retskendelse og mod behørig legitimation kan foretage inspektioner på stedet af den kritiske infrastruktur og de lokaler, som den kritiske enhed anvender til at levere sine væsentlige tjenester, og eksternt tilsyn med de foranstaltninger, som kritiske enheder har truffet i overensstemmelse med § 6.

Efter den foreslåede bestemmelse vil den kompetente myndighed som led i sit tilsyn uden retskendelse og mod behørig legitimation kunne foretage inspektioner på stedet af den kritiske infrastruktur og de lokaler, som den kritiske enhed anvender til at levere sine væsentlige tjenester.

Den foreslåede bestemmelse indebærer, at der skal være adgang til kontrol på stedet uden retskendelse og mod behørig legitimation. For effektivt at kunne konstatere om kritiske enheder i praksis har gennemført de passende modstandsdygtighedsforanstaltninger, er det således nødvendigt, at de kompetente myndigheder som led i et tilsyn har adgang til den kritiske infrastruktur og de lokaler som den kritiske enhed anvender til at levere sine væsentlige tjenester. Det vil i den forbindelse f.eks. kunne indgå, hvilken type kritiske enhed, der føres tilsyn med, tilsynets karakter og omfang.

Den foreslåede bestemmelse vil betyde, at de kompetente myndigheder som led i et tilsyn kan foretage kontrol på stedet til enhver tid. Det forudsættes dog almindeligvis, at den kompetente myndighed forinden et evt. besøg vil varsle den kritiske enhed herom.

Det er Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at der ved CER-direktivets anvendelse af »på stedet« forstås en enheds lokaler, hvorfra enheden driver sine aktiviteter, samt arbejdssteder uden for enhedens lokaler. Det vil således efter bestemmelsen være muligt for de kompetente myndigheder at foretage tilsyn på enhedens forretningssteder.

Det bemærkes, at det af CER-direktivets artikel 21, stk.1, litra a, fremgår, at der kan foretages »eksternt tilsyn«. Dette er en formulering, der efter Ministeriet for Samfundssikkerhed og Beredskabs opfattelse kan give anledning til fortolkningstvivl. I den engelske sprogversion af CER-direktivet anvendes formuleringen »off-site supervision«. Efter Ministeriet for Samfundssikkerhed og Beredskabs opfattelse udgør eksternt tilsyn, forstået som off-site supervision, et tilsyn fra en kompetent myndighed uden fysisk tilstedeværelse på stedet, men eksempelvis udført på skriftligt grundlag.

Den kompetente myndigheds tilsyn vil efter den foreslåede bestemmelse kunne gennemføres ved fysiske tilsynsbesøg eller på administrativt grundlag.

Et administrativt tilsyn på skriftligt grundlag vil således kunne baseres på de dele af den foreslåede bestemmelse, hvorefter de kompetente myndigheder kan kræve at få relevante oplysninger fra enhederne.

Det foreslås i nr. 2, at den kompetente myndighed som led i sit tilsyn kan foretage en audit af en kritisk enhed eller stille krav om, at enheden får et kvalificeret, uafhængigt organ til at foretage denne, og at resultaterne heraf stilles til rådighed for den kompetente myndighed.

Den foreslåede bestemmelse implementerer CER-direktivets artikel 21, stk. 1, litra b, hvorefter den kompetente myndighed bør have beføjelse til at foretage eller kræve revision af kritiske enheder.

Det er Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at CER-direktivet skal forstås således, at den kompetente myndighed bør have beføjelse til at foretage en audit af den kritiske enhed, eller kræve, at enheden får et kvalificeret organ til at foretage denne. Det forudsættes, at resultaterne af det kvalificerede, uafhængige organs audit stilles til rådighed for den kompetente myndighed.

Det foreslås i nr. 3, at den kompetente myndighed som led i sit tilsyn kan kræve at få udleveret oplysninger, der er nødvendige for at vurdere, hvorvidt de modstandsdygtighedsforanstaltninger, som den berørte enhed har indført, opfylder kravene i § 6.

Efter den foreslåede bestemmelse vil den kompetente myndighed som led i sit tilsyn kunne kræve at få udleveret oplysninger, der er nødvendige for at vurdere, hvorvidt de modstandsdygtighedsforanstaltninger, som den berørte enhed har indført, opfylder kravene i § 6.

Bestemmelsen implementerer CER-direktivets artikel 21, stk. 2, litra a, hvorefter den kompetente myndighed bør have beføjelse til de oplysninger, der er nødvendige for at vurdere, hvorvidt de foranstaltninger, der træffes af disse enheder for at sikre deres modstandsdygtighed.

Det foreslås i nr. 4, at den kompetente myndighed som led i sit tilsyn kan kræve at få adgang til data, dokumenter og oplysninger, der er nødvendige for udførelsen af tilsynsopgaven.

Efter den foreslåede bestemmelse vil de kompetente myndigheder som led i deres tilsyn kunne kræve at få adgang til data, dokumenter og oplysninger, der er nødvendige for udførelsen af tilsynsopgaven.

Den foreslåede bestemmelse implementerer CER-direktivets artikel 21, stk. 2, litra a, hvorefter den kompetente myndighed kan kræve, at enhederne i henhold til NIS 2-direktivet, som medlemsstaterne har identificeret som kritiske enheder, skal udlevere de oplysninger, der er nødvendige for at vurdere, hvorvidt de foranstaltninger, der træffes af disse enheder for at sikre deres modstandsdygtighed, opfylder kravene i artikel 13.

Det bemærkes, at de kompetente myndigheder i medfør af den foreslåede bestemmelse kan kræve relevante oplysninger fra enhederne. Det indebærer også, at en kompetent myndighed kan kræve at få udleveret nødvendige oplysninger til afgørelse af, om et forhold er omfattet af loven eller regler udstedt i medfør af loven.

Det foreslås i nr. 5, at den kompetente myndighed som led i sit tilsyn kan kræve at få udleveret dokumentation for faktisk gennemførelse af modstandsdygtighedsforanstaltninger, herunder resultaterne af en audit.

Efter den foreslåede bestemmelse vil den kompetente myndighed kunne kræve at få udleveret dokumentation for faktisk gennemførelse af modstandsdygtighedsforanstaltninger, herunder resultaterne af en audit.

Den foreslåede bestemmelse implementerer CER-direktivets artikel 21, stk. 2, litra b, hvorefter den kompetente myndighed kan kræve, at enhederne i henhold til NIS 2-direktivet, som medlemsstaterne har identificeret som kritiske enheder, skal udlevere dokumentation for faktisk gennemførelse af disse foranstaltninger, herunder resultaterne af en revision foretaget af en uafhængig og kvalificeret revisor udvalgt af denne enhed og foretaget på dennes regning.

Det er Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at for så vidt angår de foreslåede bestemmelser i nr. 3, 4 og 5 og den del af bestemmelsen i nr. 2, der vedrører, at der kan stilles krav om, at enheden får et kvalificeret, uafhængigt organ til at foretage audit, og at resultaterne heraf stilles til rådighed for den kompetente myndighed, vil være tale om oplysningspligter omfattet af lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter. Dette indebærer bl.a., at kapitel 4 (om retten til ikke at inkriminere sig selv mv.) vil gælde i tilfælde, hvor der måtte være en konkret mistanke om, at en enhed har begået en overtrædelse af lovgivningen, der kan medføre straf. Der henvises i øvrigt til kapitel 4 i lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter og bemærkningerne hertil. Der henvises til Folketingstidende 2003-04, tillæg A, s. 3075-3078 og side 3096-3099.

Det følger af det foreslåede stk. 2, at ved anvendelsen af tiltagene i stk. 1, nr. 3-5, skal den kompetente myndighed angive formålet med tiltaget og præcisere, hvilke oplysninger der kræves udleveret.

Den foreslåede bestemmelse indebærer, at den kompetente myndighed ved udøvelsen af sin tilsynsmyndighed skal kunne redegøre nærmere for formålet med det valgte tiltag.

Den foreslåede bestemmelse vil gennemføre CER-direktivets artikel 21, stk. 2, 2. pkt., hvoraf det fremgår, at når der anmodes om disse oplysninger, angiver de kompetente myndigheder formålet med kravet og anfører, hvilke oplysninger der kræves.

Det følger af det foreslåede stk. 3, at den kompetente myndighed kan stille krav til, hvordan og i hvilken form oplysningerne og materialet nævnt i stk. 1, nr. 3-5, skal afgives.

Den foreslåede bestemmelse indebærer, at den kompetente myndighed i forbindelse med, at der stilles krav om udlevering af oplysninger, adgang til data og dokumentation for faktisk gennemførelse af modstandsdygtighedsforanstaltninger efter de foreslåede bestemmelser i stk. 1, nr. 3-5, samtidig kan forlange, at oplysningerne m.v. udleveres på en bestemt måde og i en bestemt form.

Der vil eksempelvis kunne stilles krav om anvendelse af bestemte skemaer, eller at der skal foretages indtastninger på en hjemmeside.

Det bemærkes, at almindelige forvaltningsretlige principper om proportionalitet og fastsættelse af tidsfrister for afgivelse af oplysninger m.v. vil være normerende for en kompetent myndigheds anmodning om oplysninger m.v.

Der henvises i øvrigt til pkt. 3.4 i lovforslagets bemærkninger.

Til § 15

Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning og udpegning af europæisk kritisk infrastruktur og vurdering af behovet for at beskytte den bedre (EPCIP-direktivet) indeholdt ikke generelle regler om tilsyn og håndhævelse.

Det fulgte imidlertid af EPCIP-direktivets artikel 5, stk. 2, at hver enkelt medlemsstat kontrollerede, at alle udpegede europæiske kritiske infrastrukturer, der var beliggende på dens område, havde en sikkerhedsplan for operatører eller havde iværksat tilsvarende foranstaltninger, der dækkede de punkter, der var opstillet i direktivets bilag II.

Af EPCIP-direktivets artikel 5, stk. 3, 1. pkt., fremgik yderligere, at hvis en medlemsstat konstaterede, at der ikke var udarbejdet en sådan sikkerhedsplan for operatører eller tilsvarende, sikrer den ved hjælp af hensigtsmæssige foranstaltninger, at sikkerhedsplanen for operatører eller tilsvarende udarbejdes og dækkede de punkter, der var opstillet i direktivets bilag II.

EPCIP-direktivet er i dansk ret implementeret sektorvist for energi- og transportsektorerne, som var de to sektorer, der er omfattet af direktivet.

For en nærmere gennemgang af den sektorvise implementering af EPCIP-direktivet henvises til pkt. 2.4 i lovforslagets bemærkninger.

Det følger af den foreslåede § 15, at den kompetente myndighed kan påbyde en kritisk enhed at træffe nødvendige og forholdsmæssige foranstaltninger for at afhjælpe en konstateret overtrædelse af loven eller regler fastsat i medfør af loven.

Den foreslåede bestemmelse indebærer, at den kompetente myndighed ved påbud vil kunne angive, hvilke nærmere foranstaltninger enheden skal træffe i tilfælde af, at en kritisk enhed eksempelvis ikke lever op til de krav, der er fastsat i loven om udarbejdelse af risikovurderinger eller om modstandsdygtighedsforanstaltninger.

Den foreslåede bestemmelse vil gennemføre artikel 21, stk. 3, i CER-direktivet, hvoraf det fremgår, at uden at det berører muligheden for at pålægge sanktioner i overensstemmelse med CER-direktivets artikel 22, kan de kompetente myndigheder efter de i CER-direktivets artikel 21, stk. 1, omhandlede tilsynsforanstaltninger eller vurderingen af de i CER-direktivets artikel 21, stk. 2, omhandlede oplysninger pålægge de berørte kritiske enheder at træffe de nødvendige og forholdsmæssige foranstaltninger for at afhjælpe enhver konstateret overtrædelse af dette direktiv inden for en rimelig frist, der fastsættes af disse myndigheder, og give disse myndigheder oplysninger om de trufne foranstaltninger.

Ved den kompetente myndigheds valg om at anvende håndhævelsesforanstaltninger over for en kritisk enhed, herunder om der bør udstedes et påbud efter den foreslåede bestemmelse, vil den kompetente myndighed navnlig skulle tage hensyn til overtrædelsens grovhed.

Det følger bl.a. af CER-direktivets artikel 21, stk. 4, at medlemsstaterne skal sikre, at håndhævelsesbeføjelser kun kan udøves med forbehold af passende beskyttelsesforanstaltninger. Disse beskyttelsesforanstaltninger skal navnlig sikre, at en sådan udøvelse finder sted på en objektiv, gennemsigtig og forholdsmæssig måde, og at de berørte kritiske enheders rettigheder og legitime interesser såsom beskyttelse af forretningshemmeligheder garanteres behørigt, herunder deres ret til at blive hørt, til et forsvar og til effektive retsmidler ved en uafhængig domstol.

CER-direktivets artikel 21, stk. 4, skal læses i lyset af præambelbetragtning nr. 40, hvorefter medlemsstaterne bl.a., når de udsteder påbud, ikke bør kræve foranstaltninger, der går ud over, hvad der er nødvendigt og rimeligt for at sikre, at den pågældende kritiske enhed opfylder forpligtelserne, navnlig under hensyntagen til overtrædelsens alvor og den pågældende kritiske enheds økonomiske formåen.

Disse beskyttelsesforanstaltninger sikres ved, at et påbud efter den foreslåede § 15 vil være omfattet af forvaltningslovens almindelige regler, herunder bestemmelserne i kapitel 3 (om vejledning og repræsentation m.v.), kapitel 5 (om partshøring), kapitel 6 (om begrundelse m.v.) og kapitel 7 (om klagevejledning).

Derudover vil der være mulighed for at påklage afgørelsen i medfør af det almindelige ulovbestemte princip om administrativ rekurs, ligesom afgørelsen vil kunne indbringes for domstolene.

Det forudsættes endvidere, at de kompetente myndigheder efter henholdsvis CER-direktivet og NIS 2-direktivet samarbejder i overensstemmelse med forudsætningerne i CER-direktivets artikel 21, stk. 5, som uddybet i præambelbetragtning nr. 40, in fine. Det beskrives heri, at de kompetente myndigheder ved vurderingen af, om en kritisk enhed opfylder sine forpligtelser som fastsat i CER-direktivet, bør kunne anmode de kompetente myndigheder i henhold til NIS 2-direktivet om at udøve deres tilsyns- og håndhævelsesbeføjelser over for en enhed i henhold til nævnte direktiv, som er identificeret som kritisk enhed i henhold til CER-direktivet. De kompetente myndigheder i henhold til CER-direktivet og de kompetente myndigheder i henhold til NIS 2-direktivet bør samarbejde og udveksle oplysninger med henblik herpå.

Der henvises i øvrigt til pkt. 3.4 i lovforslagets bemærkninger.

Til § 16

Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning og udpegning af europæisk kritisk infrastruktur og vurdering af behovet for at beskytte den bedre (EPCIP-direktivet) indeholdt ikke bestemmelser om rådgivende EU-delegationer.

Det følger af den foreslåede § 16, at kritiske enheder af særlig europæisk betydning, jf. § 4, skal give rådgivende EU-delegationer adgang til oplysninger, systemer og faciliteter, der vedrører levering af deres væsentlige tjenester, og som er nødvendige for at gennemføre den pågældende rådgivende aktivitet.

Den foreslåede bestemmelse vil medføre, at kritiske enheder af særlig europæisk betydning skal give rådgivende EU-delegationer adgang til de(t) af EU-delegationen efterspurgte oplysninger, systemer og faciliteter, således at EU-delegationen kan gennemføre rådgivende aktivitet.

En rådgivende EU-delegation vil bestå af eksperter fra den medlemsstat, hvor den kritiske enhed af særlig europæisk betydning er beliggende, eksperter fra de medlemsstater, hvortil eller hvori den væsentlige tjeneste leveres og repræsentanter fra Europa-Kommissionen. Dette følger af CER-direktivets artikel 18, stk. 5.

Rådgivende missioner gennemføres i overensstemmelse med gældende national ret i den medlemsstat, hvor de finder sted.

Bestemmelsen finder ikke anvendelse for andre landes delegationer.

Den foreslåede bestemmelse vil gennemføre artikel 18, stk. 7, i CER-direktivet, hvoraf det fremgår, at medlemsstaterne sikrer, at kritiske enheder af særlig europæisk betydning giver rådgivende missioner adgang til oplysninger, systemer og faciliteter, der vedrører levering af deres væsentlige tjenester, og som er nødvendige for at gennemføre den pågældende rådgivende mission.

CER-direktivets artikel 18, stk. 7, skal ses i lyset af CER-direktivets artikel 18, stk. 1 og 2, hvoraf det følger, at efter anmodning fra en medlemsstat, som har identificeret en kritisk enhed af særlig europæisk betydning, tilrettelægger Europa-Kommissionen en rådgivende mission for at vurdere de foranstaltninger, som denne kritiske enhed har truffet for at opfylde sine forpligtelser om modstandsdygtighedsforanstaltninger. Under forudsætning af at den medlemsstat, som har identificeret den pågældende kritiske enhed, samtykker, kan en rådgivende mission endvidere tilrettelægges på Europa-Kommissionens initiativ eller efter anmodning fra en eller flere medlemsstater.

Såfremt en enhed ikke giver adgang til lokaler eller infrastruktur, vil det kunne straffes med bøde i medfør af den foreslåede § 17. Den foreslåede bestemmelse indebærer således ikke, at der gives adgang til lokaler og infrastruktur uden retskendelse.

Der henvises i øvrigt til bemærkningerne til den foreslåede § 4.

Til § 17

Det var i Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning og udpegning af europæisk kritisk infrastruktur og vurdering af behovet for at beskytte den bedre (EPCIP-direktivet) ikke reguleret, hvordan overtrædelser af nationale regler, der var udstedt i medfør af EPCIP-direktivet, skulle sanktioneres.

Det følger af den foreslåede stk. 1, at med bøde straffes den, der; 1) overtræder § 4, stk. 2, § 5, stk. 1, 2 eller 3, 2. pkt., § 6, stk. 1 eller 2, § 7, § 8, stk. 1, 3 eller 4 eller § 16, 2) undlader at efterkomme krav efter § 3, stk. 4, eller § 14, stk. 1, nr. 2-5, eller stk. 3, 3) undlader at efterkomme påbud efter § 15, og 4) hindrer den kompetente myndighed i at føre tilsyn efter § 14, stk. 1, nr. 1 eller 2.

Det foreslåede vil for det første indebære, at der efter stk. 1, nr. 1, kan straffes for ikke at underrette den relevante kompetente myndighed, såfremt den kritiske enhed leverer væsentlige tjenester til eller i seks eller flere EU-medlemsstater jf. § 4, stk. 2.

Den kritiske enhed vil for det andet efter stk. 1, nr. 1, kunne straffes for ikke at foretage en risikovurdering med henblik på at vurdere alle relevante risici, der kan forstyrre leveringen af deres væsentlige tjenester, jf. § 5, stk. 1, ligesom den kritiske enhed efter stk. 1. nr. 1, vil kunne straffes for ikke at have inddraget de i § 5, stk. 2 nævnte hensyn ved udarbejdelsen af risikovurderingen, jf. § 5, stk. 2 og den kritiske enhed vil endvidere efter stk. 1, nr. 1, kunne straffes for ikke at opdatere risikovurderingen, når det er nødvendigt, og mindst hvert fjerde år, jf. § 5, stk. 3, 2. pkt.

Det foreslåede vil for det tredje indebære, at den kritiske enhed der undlader at træffe passende og forholdsmæssige tekniske, sikkerhedsmæssige og organisatoriske foranstaltninger for at sikre enhedernes modstandsdygtighed, kan straffes efter stk. 1, nr. 1, jf. § 6, stk. 1. Det samme vil være tilfældet, hvis den kritiske enhed ikke har og anvender en plan for modstandsdygtighed, jf. § 6, stk. 2.

Der vil som det fjerde tillige kunne straffes efter stk. 1, nr. 1, hvis den kritiske enhed ikke udpeger en kontaktperson og dennes relevante kontaktoplysninger meddeles til den kompetente myndighed samt hvis den kritiske enhed ikke underretter den kompetente myndighed om ændringer i kontaktoplysningerne, jf. § 7.

Der vil for det femte kunne straffes efter stk. 1, nr. 1, hvis ikke der til den relevante kompetente myndighed underrettes om hændelser, der i betydelig grad eller har potentiale til i betydelig grad at forstyrre leveringen af enhedens væsentlige tjenester, jf. § 8, stk. 1.

Det foreslåede vil for det sjette indebære, at den kritiske enhed vil kunne straffes efter stk. 1, nr. 1, hvis underretningen efter § 8, stk. 1, ikke indeholder alle tilgængelige oplysninger, der er nødvendige for, at den kompetente myndighed kan forstå hændelsens art, årsag og mulige konsekvenser, herunder alle tilgængelige oplysninger, der er nødvendige for at fastslå hændelsens eventuelle grænseoverskridende indvirkning, jf. § 8, stk. 3.

Det foreslåede vil for det syvende indebære, at der efter stk. 1, nr. 1, kan straffes for ikke uden unødigt ophold og, med mindre det operationelt ikke er muligt, senest 24 timer efter, at den kritiske enhed er blevet opmærksom på hændelsen, foretager underretning. Det vil endvidere kunne straffes, hvis den kritiske enhed ikke på anmodning fra den kompetente myndighed sender en detaljeret rapport til den kompetente myndighed senest én måned efter hændelsen, jf. § 8, stk. 4.

Det foreslåede vil for det ottende indebære, at kritiske enheder af særlig europæisk karakter efter stk. 1, nr. 1, vil kunne straffes hvis denne ikke giver rådgivende EU-delegationer adgang til oplysninger, systemer og faciliteter, der vedrører levering af deres væsentlige tjenester, og som er nødvendige for at gennemføre den pågældende rådgivende aktivitet, jf. § 16.

Den foreslåede § 1, nr. 2, vil for det første indebære, at den kritiske enhed kan straffes, hvis enheden undlader at fremlægge materiale og oplysninger til vedkommende minister, der er nødvendige for stillingtagen til, hvorvidt denne skal identificeres som kritisk, jf. § 3, stk. 4.

Det foreslåede vil for det andet indebære, at en kritisk enhed efter stk. 1, nr. 2, kan straffes for at forhindre den kompetente myndighed i at udføre tilsyn efter § 14, stk. 1, nr. 2-5.

Det foreslåede vil for det tredje indebære, at den kritiske enhed efter stk. 1, nr. 2, kan straffes for at undlade at efterkomme den kompetente myndigheds krav til, hvordan og i hvilken form oplysningerne og materialet nævnt i stk. 1, nr. 3-5, skal afgives, jf. § 14, stk. 3.

Det foreslåede vil for det fjerde indebære, at den kritiske enhed efter stk. 1, nr. 3, kan straffes for at undlade at efterkomme påbud fra den kompetente myndighed om at træffe nødvendige og forholdsmæssige foranstaltninger for at afhjælpe en konstateret overtrædelse af loven eller regler fastsat i medfør af loven, jf. § 15.

Det foreslåede vil for det femte indebære, at den kritiske enhed efter stk. 1, nr. 4, kan straffes for ikke, mod behørig legitimation og med det formål at foretage inspektioner på stedet af den kritiske infrastruktur og de lokaler, som den kritiske enhed anvender til at levere sine væsentlige tjenester, at give den kompetente myndighed adgang, jf. § 14, stk. 1, nr. 1. Den kritiske enhed kan endvidere efter stk. 1, nr. 4, straffes for at hindre at der foretages audit af denne og at resultaterne heraf stilles til rådighed for den kompetente myndighed, jf. § 14, stk. 1, nr. 2.

Den foreslåede bestemmelse gennemfører artikel 22, 1. og 2. pkt., i CER-direktivet, hvoraf følger, at medlemsstaterne fastsætter regler om sanktioner, der skal anvendes i tilfælde af overtrædelser af de nationale foranstaltninger, der er vedtaget i medfør af dette direktiv, og træffer alle nødvendige foranstaltninger for at sikre, at de gennemføres. Sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning.

Den fastsatte bøde skal i overensstemmelse med CER-direktivets artikel 22, 2. pkt., være effektiv, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning.

Det bemærkes, at manglende efterlevelse af bestemmelsen i § 14, stk. 1, nr. 2, vil kunne straffes efter både § 17, stk. 1, nr. 2 og 4. Baggrunden er, at de kompetente myndigheder efter den pågældende bestemmelse enten kan stille krav om, at enhederne foretager en audit, eller selv kan foretage en audit hos de berørte enheder. En enhed vil således efter omstændighederne kunne straffes for at undlade at efterkomme et krav fra en kompetent myndighed efter nr. 2, eller for at hindre de kompetente myndigheder i at føre tilsyn efter nr. 4.

Det bemærkes, at fastsættelsen af straffen fortsat vil bero på domstolenes konkrete vurdering i det enkelte tilfælde af samtlige omstændigheder i sagen, og de angivne strafniveauer vil kunne fraviges i op- eller nedadgående retning, hvis der i den konkrete sag foreligger skærpende eller formildende omstændigheder, jf. herved de almindelige regler om straffens fastsættelse i straffelovens 10. kapitel.

Det følger af det foreslåede stk. 2, at der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens 5. kapitel.

Den foreslåede bestemmelse indebærer, at selskaber m.v. (juridiske personer) kan pålægges strafansvar for overtrædelse af denne lov eller regler udstedt i medfør af loven efter reglerne i straffelovens kapitel 5.

Det følger af det foreslåede stk. 3, at der i regler udstedt i medfør af loven kan fastsættes straf i form af bøde for overtrædelse af regler udstedt i medfør af loven.

Med bestemmelsen bemyndiges vedkommende minister til at fastsætte straf i form af bøde for overtrædelse af bestemmelser i regler, som udfærdiges i medfør af § 3, stk. 6, § 5, stk. 4, § 6, stk. 3, § 8, stk. 7, § 9 og § 12.

Til § 18

Bestemmelsen fastsætter tidspunktet for lovens ikrafttræden.

Det foreslås, at loven træder i kraft den 1. juli 2025.

Det følger af artikel 26, stk. 1, i CER-direktivet, at direktivet skal være implementeret i dansk ret senest den 17. oktober 2024 og træde i kraft senest den 18. oktober 2024. Med den foreslåede bestemmelse vil loven træde i kraft lidt over 8 måneder efter direktivets implementeringsfrist.

Det er Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at denne lov bør evalueres fire år efter lovens ikrafttræden.

Senest 4 år efter lovens ikrafttræden udarbejder ministeren for samfundssikkerhed og beredskab en rapport om erfaringerne med loven, som oversendes til Folketinget. Evalueringen vil bl.a. skulle omfatte offentlige myndigheders efterlevelse af loven.

Til brug for rapporten vil der blive indhentet bidrag fra de kompetente myndigheder og erhvervslivet. Den samlede rapport vil blive sendt til Folketinget.

Til § 19

Det foreslås i § 19, at loven ikke gælder for Færøerne og Grønland, men kan ved kongelig anordning helt eller delvist sættes i kraft for Færøerne og Grønland med de ændringer, som de henholdsvis færøske og grønlandske forhold tilsiger. Lovens bestemmelser kan sættes i kraft på forskellige tidspunkter.

Bestemmelsen vedrører lovens territoriale gyldighed og indebærer, at loven ikke gælder for Færøerne og Grønland, men at loven ved kongelig anordning helt eller delvist kan sættes i kraft for Færøerne og Grønland med de ændringer, som de henholdsvis færøske og grønlandske forhold tilsiger.

Loven vil alene kunne sættes helt eller delvist i kraft for Færøerne og Grønland for så vidt angår sektorer eller delsektorer inden for retsområder, som ikke er overtaget af de grønlandske og færøske myndigheder.

Lovens bestemmelser vil kunne sættes i kraft på forskellige tidspunkter.