NIS-loven
Lov om net- og informationssikkerhed for domænenavnssystemer og visse digitale tjenester
Kapitel 1
Anvendelsesområde og definitioner
- Loven finder anvendelse på operatører af væsentlige tjenester inden for digital infrastruktur og udbydere af digitale tjenester, jf. dog stk. 2.
Stk. 2.
Loven finder ikke anvendelse på udbydere af digitale tjenester i form af mikrovirksomheder eller små virksomheder.
- I denne lov forstås ved:
- 1) Net- og informationssystem:
- a) Et elektronisk kommunikationsnet i form af radiofrekvens- eller kabelbaseret teleinfrastruktur, der anvendes til formidling af tjenester,
- b) enhver anordning eller gruppe af indbyrdes forbundne eller beslægtede anordninger, hvoraf en eller flere ved hjælp af et program udfører automatisk behandling af digitale data, eller
- c) digitale data, som lagres, behandles, fremfindes eller overføres af elementer i litra a og b med henblik på deres drift, brug, beskyttelse og vedligeholdelse.
- 2) Sikkerhed i net- og informationssystemer: Evnen for net- og informationssystemer til på et givet sikkerhedsniveau at modstå handlinger, der er til skade for tilgængeligheden, autenticiteten, integriteten eller fortroligheden i forbindelse med lagrede eller overførte eller behandlede data eller de dermed forbundne tjenester, der tilbydes af eller er tilgængelige via disse net- og informationssystemer.
- 3) Operatør af tjenester: En offentlig eller privat enhed etableret i Danmark, der leverer en DNS-tjeneste eller er administrator af et topdomænenavn.
- 4) Operatør af væsentlige tjenester: En offentlig eller privat enhed etableret i Danmark, der leverer en DNS-tjeneste eller er administrator af et topdomænenavn, og som opfylder kriterierne fastsat i § 3.
- 5) Digital tjeneste: Enhver tjeneste, der normalt ydes mod betaling, og som teleformidles ad elektronisk vej på individuel anmodning fra en tjenestemodtager og er af typen onlinemarkedsplads, onlinesøgemaskine eller cloud computing-tjeneste.
- 6) Udbyder af digitale tjenester: Enhver juridisk person, som udbyder en digital tjeneste, og som har hovedsæde eller en repræsentant i Danmark.
- 7) Hændelse: Enhver begivenhed, der har en egentlig negativ indvirkning på sikkerheden i net- og informationssystemer.
- 8) Risiko: Enhver rimelig identificerbar omstændighed eller begivenhed, der har en potentiel negativ indvirkning på sikkerheden i net- og informationssystemer.
- 9) Repræsentant: Enhver fysisk eller juridisk person, der er etableret i EU, og som udtrykkeligt er udpeget til at handle på vegne af en udbyder af digitale tjenester, som ikke er etableret i EU.
- 10) Domænenavnesystem (DNS): Et hierarkisk opbygget navnesystem i et net, som behandler forespørgsler om domænenavne.
- 11) DNS-tjenesteudbyder: En enhed, som leverer DNS-tjenester på internettet.
- 12) Topdomænenavneadministrator: En enhed, som administrerer og driver registreringen af internetdomænenavne under et særligt topdomæne (TLD).
- 13) Onlinemarkedsplads: En digital tjeneste, som giver forbrugere eller erhvervsdrivende mulighed for at indgå aftaler om køb eller tjenester online med erhvervsdrivende enten på onlinemarkedspladsens websted eller på et websted tilhørende en erhvervsdrivende, som anvender computingtjenester, der udbydes af onlinemarkedspladsen.
- 14) Onlinesøgemaskine: En digital tjeneste, som giver brugerne mulighed for at foretage søgninger på alle websteder eller websteder på et bestemt sprog på grundlag af en forespørgsel om et hvilket som helst emne ved hjælp af et søgeord, en sætning eller andet input, og som fremviser links, hvor der kan findes oplysninger om det ønskede indhold.
- 15) Cloud computing-tjeneste: En digital tjeneste, som giver adgang til en skalerbar og elastisk pulje af delbare it-ressourcer.
- 16) Nationalt centralt kontaktpunkt: En national kompetent enhed med ansvar for at koordinere spørgsmål vedrørende sikkerheden i net- og informationssystemer samt grænseoverskridende samarbejde i EU herom.
- 17) CSIRT: En national it-beredskabsenhed, der håndterer hændelser, og som har ansvar for at sikre samarbejdet om sikkerheden i net- og informationssystemer i EU.
- 18) Mikrovirksomheder og små virksomheder: Enheder, som opfylder definitionen som værende mikrovirksomheder eller små virksomheder i Kommissionens henstilling 2003/361/EF af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder.
Kapitel 2
Operatører af væsentlige tjenester
- En enhed skal betragtes som en operatør af en væsentlig tjeneste, hvis
- 1) enheden leverer en tjeneste, der er væsentlig for opretholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter,
- 2) leveringen af tjenesten afhænger af net- og informationssystemer og
- 3) en hændelse vil få væsentlige forstyrrende virkninger for leveringen af tjenesten.
Stk. 2.
Erhvervsministeren udarbejder og opdaterer en liste over væsentlige tjenester.
Stk. 3.
Erhvervsministeren kan fastsætte nærmere regler for afgrænsningen af kriterierne i stk. 1.
- Operatører af væsentlige tjenester skal træffe passende og forholdsmæssige tekniske og organisatoriske foranstaltninger for at styre risiciene for sikkerheden i net- og informationssystemer, som de anvender til deres aktiviteter. Under hensyntagen til teknologiens aktuelle stade skal disse foranstaltninger sikre et sikkerhedsniveau for net- og informationssystemer, der står mål med risikoen.
Stk. 2.
Operatører af væsentlige tjenester skal træffe passende foranstaltninger for at forebygge og minimere konsekvensen af hændelser, der berører sikkerheden i net- og informationssystemer, som anvendes til levering af væsentlige tjenester, med henblik på at sikre kontinuiteten i disse tjenester.
Stk. 3.
Erhvervsministeren kan fastsætte nærmere regler om foranstaltninger efter stk. 1 og 2.
- Operatører af væsentlige tjenester skal hurtigst muligt underrette Erhvervsstyrelsen og Center for Cybersikkerhed om hændelser, der har væsentlige konsekvenser for kontinuiteten af de væsentlige tjenester, som de leverer. Underretningen skal indeholde oplysninger, der gør det muligt for Erhvervsstyrelsen og Center for Cybersikkerhed at fastslå eventuelle grænseoverskridende konsekvenser af hændelsen.
Stk. 2.
Med henblik på at fastlægge omfanget af en hændelses konsekvenser efter stk. 1 skal operatøren navnlig inddrage følgende kriterier:
- 1) Antallet af brugere, der berøres af afbrydelsen af den væsentlige tjeneste.
- 2) Hændelsens varighed.
- 3) Den geografiske udbredelse med hensyn til det område, der er berørt af hændelsen.
Stk. 3.
Er en operatørs levering af en væsentlig tjeneste afhængig af en tredjepartsudbyder af digitale tjenester, skal operatøren underrette Erhvervsstyrelsen og Center for Cybersikkerhed om alle de væsentlige konsekvenser for den væsentlige tjenestes kontinuitet, som følger af en hændelse hos den pågældende udbyder.
Stk. 4.
Erhvervsministeren kan fastsætte nærmere regler om underretning efter stk. 1 og 3 og om kriterierne for fastlæggelse af omfanget af en hændelses konsekvenser efter stk. 2.
- Erhvervsstyrelsen kan videregive oplysninger til Center for Cybersikkerhed om hændelser, der er nødvendige for Center for Cybersikkerhed til opfyldelse af dets lovbestemte opgaver som nationalt centralt kontaktpunkt og som CSIRT.
Stk. 2.
Erhvervsstyrelsen kan videregive relevante oplysninger til den underrettende operatør af væsentlige tjenester om opfølgningen på underretningen, herunder oplysninger, der kan støtte en effektiv håndtering af hændelsen.
Stk. 3.
Erhvervsstyrelsen kan efter høring af den underrettende operatør af væsentlige tjenester oplyse offentligheden om konkrete hændelser, hvis offentlighedens kendskab hertil er nødvendigt for at forebygge en hændelse eller håndtere en igangværende hændelse.
Kapitel 3
Udbydere af digitale tjenester
- En udbyder af en digital tjeneste, der ikke har hovedsæde i EU, men som tilbyder sin tjeneste i Danmark, skal udpege en repræsentant i Danmark eller i et andet EU-land, hvor tjenesten tilbydes.
- Udbydere af digitale tjenester skal identificere og træffe passende og forholdsmæssige tekniske og organisatoriske foranstaltninger for at styre risiciene i forhold til sikkerheden i de net- og informationssystemer, som de anvender i forbindelse med tjenesten. Under hensyntagen til teknologiens aktuelle stade skal disse foranstaltninger sikre et sikkerhedsniveau for net- og informationssystemer, der står mål med risikoen. Udbyderen skal i den forbindelse inddrage følgende elementer:
- 1) Sikkerhed i systemer og faciliteter.
- 2) Håndtering af hændelser.
- 3) Styring af driftskontinuitet.
- 4) Monitorering, audit og testning.
- 5) Overholdelse af internationale standarder.
Stk. 2.
Udbydere af digitale tjenester skal træffe foranstaltninger for at forebygge og minimere konsekvensen af hændelser, der berører sikkerheden i deres net- og informationssystemer for at sikre kontinuiteten i disse tjenester.
Stk. 3.
Erhvervsstyrelsen kan fastsætte nærmere regler om foranstaltninger efter stk. 1 og 2.
- Udbydere af digitale tjenester skal hurtigst muligt underrette Erhvervsstyrelsen og Center for Cybersikkerhed om enhver hændelse, der har betydelige konsekvenser for leveringen af deres tjeneste. Underretningen skal indeholde oplysninger, der gør det muligt for Erhvervsstyrelsen og Center for Cybersikkerhed at vurdere de eventuelle grænseoverskridende konsekvenser af hændelsen, jf. dog stk. 3.
Stk. 2.
Med henblik på at fastlægge, om en hændelses konsekvenser er betydelige, skal udbyderen navnlig inddrage følgende kriterier:
- 1) Antallet af brugere, der berøres af hændelsen, navnlig brugere, som er afhængige af tjenesten med henblik på levering af deres egne tjenester.
- 2) Hændelsens varighed.
- 3) Den geografiske udbredelse med hensyn til det område, der er berørt af hændelsen.
- 4) Omfanget af afbrydelsen af tjenestens funktion.
- 5) Omfanget af konsekvenserne for økonomiske og samfundsmæssige aktiviteter.
Stk. 3.
Underretning efter stk. 1 skal kun ske, i det omfang udbyderen af digitale tjenester har adgang til relevante oplysninger, herunder oplysninger omfattet af stk. 2.
Stk. 4.
Erhvervsstyrelsen kan fastsætte nærmere regler om underretning efter stk. 1 og 3 og om kriterierne for fastlæggelse af omfanget af en hændelses konsekvenser efter stk. 2.
- Erhvervsstyrelsen kan videregive oplysninger til Center for Cybersikkerhed om hændelser, der er nødvendige for Center for Cybersikkerhed til opfyldelse af dets lovbestemte opgaver som nationalt centralt kontaktpunkt og CSIRT.
Stk. 2.
Erhvervsstyrelsen kan efter høring af udbyderen af digitale tjenester oplyse offentligheden om konkrete hændelser eller kræve, at udbyderen af digitale tjenester oplyser offentligheden om dem, hvis offentlighedens kendskab hertil er nødvendigt for at forebygge en hændelse eller håndtere en igangværende hændelse, eller hvis offentliggørelse i øvrigt er i offentlighedens interesse.
Kapitel 4
Kommunikation
- Erhvervsstyrelsen kan fastsætte regler om, at skriftlig kommunikation til og fra styrelsen om forhold, som er omfattet af denne lov eller regler udstedt i medfør af denne lov, skal foregå digitalt.
Stk. 2.
Erhvervsstyrelsen kan fastsætte nærmere regler om digital kommunikation, herunder om anvendelse af bestemte it-systemer, særlige digitale formater og digital signatur el.lign.
Stk. 3.
En digital meddelelse anses for at være kommet frem, når den er tilgængelig for adressaten for meddelelsen.
- Erhvervsstyrelsen kan fastsætte regler om, at styrelsen kan udstede afgørelser og andre dokumenter efter denne lov eller regler udstedt i medfør af denne lov uden underskrift, med maskinelt eller på tilsvarende måde gengivet underskrift eller under anvendelse af en teknik, der sikrer entydig identifikation af den, som har udstedt afgørelsen eller dokumentet. Sådanne afgørelser og dokumenter sidestilles med afgørelser og dokumenter med personlig underskrift.
- Hvor det efter denne lov eller regler udstedt i medfør af denne lov er krævet, at et dokument, som er udstedt af andre end Erhvervsstyrelsen, skal være underskrevet, kan dette krav opfyldes ved anvendelse af en teknik, der sikrer entydig identifikation af den, som har udstedt dokumentet, jf. dog stk. 2. Sådanne dokumenter sidestilles med dokumenter med personlig underskrift.
Stk. 2.
Erhvervsstyrelsen kan fastsætte nærmere regler om fravigelse af underskriftskrav. Det kan herunder bestemmes, at krav om personlig underskrift ikke kan fraviges for visse typer af dokumenter.
Kapitel 5
Tilsyn, påbud, offentliggørelse og klage
- Erhvervsstyrelsen fører tilsyn med overholdelsen af denne lov og de regler, der er udstedt i medfør af loven.
Stk. 2.
Erhvervsstyrelsen kan kræve, at operatører af tjenester og udbydere af digitale tjenester afgiver de oplysninger, der er nødvendige for styrelsens tilsyn efter denne lov.
Stk. 3.
Erhvervsstyrelsen kan som led i sit tilsyn med operatører af væsentlige tjenester kræve dokumentation af operatørerne for den faktiske gennemførelse af sikkerhedspolitikker.
Stk. 4.
Erhvervsstyrelsen kan som led i sit tilsyn udstede påbud til operatører af væsentlige tjenester og udbydere af digitale tjenester om at afhjælpe mangler i opfyldelsen af de krav, der fremgår af henholdsvis §§ 4 og 5 og §§ 7-9 og regler, som fastsættes i medfør af § 4, stk. 3, § 5, stk. 4, § 8, stk. 3 eller § 9, stk. 4.
- Erhvervsstyrelsen offentliggør på sin hjemmeside helt eller delvis afgørelser efter § 14, stk. 4. Afgørelser vedrørende fysiske personer offentliggøres i anonymiseret form.
Stk. 2.
Afgørelser vedrørende en juridisk person offentliggøres med identiteten på den juridiske person, medmindre offentliggørelsen af identiteten vil være til skade for en igangværende strafferetlig efterforskning eller offentliggørelsen vil forvolde uforholdsmæssig stor skade, f.eks. for den juridiske person, afgørelsen vedrører, investorer eller andre.
Stk. 3.
Anonymisering af identiteten på en juridisk person sker efter 2 år regnet fra og med datoen for offentliggørelse.
- Erhvervsstyrelsens afgørelser efter § 14, stk. 2-4, kan ikke indbringes for anden administrativ myndighed.
Kapitel 6
Straf
- Medmindre højere straf er forskyldt efter den øvrige lovgivning, straffes med bøde den, der
- 1) undlader at efterkomme Erhvervsstyrelsens krav efter § 14, stk. 2 eller 3, eller
- 2) undlader at efterkomme Erhvervsstyrelsens påbud efter § 14, stk. 4.
Stk. 2.
I regler, der udstedes i medfør af § 3, stk. 3, § 4, stk. 3, § 5, stk. 4, § 8, stk. 3, eller § 9, stk. 4, kan der fastsættes straf af bøde.
Stk. 3.
Der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens 5. kapitel.
Kapitel 7
Ikrafttræden
- Loven træder i kraft den 10. maj 2018.
Kapitel 8
Ændringer i anden lovgivning
- I lov om finansiel virksomhed, jf. lovbekendtgørelse nr. 1140 af 26. september 2017, som bl.a. ændret ved § 1 i lov nr. 667 af 8. juni 2017, § 1 i lov nr. 1547 af 19. december 2017 og § 45 i lov nr. 41 af 22. januar 2018 og senest ved § 2 i lov nr. 375 af 1. maj 2018, foretages følgende ændringer: