NIS-loven §§ 7-9
§ 7
En udbyder af en digital tjeneste, der ikke har hovedsæde i EU, men som tilbyder sin tjeneste i Danmark, skal udpege en repræsentant i Danmark eller i et andet EU-land, hvor tjenesten tilbydes.
§ 8
Udbydere af digitale tjenester skal identificere og træffe passende og forholdsmæssige tekniske og organisatoriske foranstaltninger for at styre risiciene i forhold til sikkerheden i de net- og informationssystemer, som de anvender i forbindelse med tjenesten. Under hensyntagen til teknologiens aktuelle stade skal disse foranstaltninger sikre et sikkerhedsniveau for net- og informationssystemer, der står mål med risikoen. Udbyderen skal i den forbindelse inddrage følgende elementer:
- 1) Sikkerhed i systemer og faciliteter.
- 2) Håndtering af hændelser.
- 3) Styring af driftskontinuitet.
- 4) Monitorering, audit og testning.
- 5) Overholdelse af internationale standarder.
Stk. 2.
Udbydere af digitale tjenester skal træffe foranstaltninger for at forebygge og minimere konsekvensen af hændelser, der berører sikkerheden i deres net- og informationssystemer for at sikre kontinuiteten i disse tjenester.
Stk. 3.
Erhvervsstyrelsen kan fastsætte nærmere regler om foranstaltninger efter stk. 1 og 2.
§ 9
Udbydere af digitale tjenester skal hurtigst muligt underrette Erhvervsstyrelsen og Center for Cybersikkerhed om enhver hændelse, der har betydelige konsekvenser for leveringen af deres tjeneste. Underretningen skal indeholde oplysninger, der gør det muligt for Erhvervsstyrelsen og Center for Cybersikkerhed at vurdere de eventuelle grænseoverskridende konsekvenser af hændelsen, jf. dog stk. 3.
Stk. 2.
Med henblik på at fastlægge, om en hændelses konsekvenser er betydelige, skal udbyderen navnlig inddrage følgende kriterier:
- 1) Antallet af brugere, der berøres af hændelsen, navnlig brugere, som er afhængige af tjenesten med henblik på levering af deres egne tjenester.
- 2) Hændelsens varighed.
- 3) Den geografiske udbredelse med hensyn til det område, der er berørt af hændelsen.
- 4) Omfanget af afbrydelsen af tjenestens funktion.
- 5) Omfanget af konsekvenserne for økonomiske og samfundsmæssige aktiviteter.
Stk. 3.
Underretning efter stk. 1 skal kun ske, i det omfang udbyderen af digitale tjenester har adgang til relevante oplysninger, herunder oplysninger omfattet af stk. 2.
Stk. 4.
Erhvervsstyrelsen kan fastsætte nærmere regler om underretning efter stk. 1 og 3 og om kriterierne for fastlæggelse af omfanget af en hændelses konsekvenser efter stk. 2.