Modtager
Ministeriet for Samfundssikkerhed og Beredskab
Høring over udkast til forslag til lov om sikkerhed og beredskab i telesektoren
Ved e-mail af 12. december 2024 har Ministeriet for Samfundssikkerhed og Beredskab anmodet om Advokatrådets bemærkninger til ovennævnte udkast.
Advokatrådet har følgende generelle bemærkninger:
Advokatrådet finder generelt, at lovforslaget fastsætter en hensigtsmæssig ramme for en – generelt set ordlydsnær – implementering af NIS 2-direktivet i forhold til telesektoren.
Advokatrådet finder dog, at navnlig de mest centrale definitioner i lovforslaget, som i praksis vil have en væsentlig betydning for fastlæggelsen af de omfattede teleudbyderes strafbelagte forpligtelser, med fordel kan søges yderligere uddybet. Eksempelvis er det centrale begreb »hændelse« defineret som en begivenhed, der bringer tilgængeligheden, autenticiteten, integriteten eller fortroligheden af lagrede, overførte eller behandlede data eller af de tjenester, der tilbydes af eller er tilgængelige via net- og informationssystemer, i fare.
Advokatrådet bemærker i den forbindelse, at det ikke står entydigt klart, f.eks. hvornår en fare, i definitionens forstand, konkret er aktualiseret, herunder om definitionen alene omfatter konkrete farer eller om også abstrakte farer, f.eks. at en central leverandør kommer i økonomiske vanskeligheder, er omfattet af definitionen. Med fordel kan denne definition præciseres gennem konkrete eksempler, der både demonstrerer tilfælde, hvor fare er, og ikke er, aktualiseret i praksis.
Endvidere finder Advokatrådet, at hvor lovforslaget fastsætter hjemmel for udstedelsen af administrative forskrifter, der fastsætter omfanget af omfattede teleudbyderes forpligtelser, bør sådanne forskrifter i videst muligt omfang fastsætte krav, der er entydige og dermed egnede til at sikre klare retlige rammer for udbyderne såvel som et hensigtsmæssigt grundlag for Center for Cybersikkerhed (CFCS) tilsynsvirksomhed.
Det anbefales navnlig, at adgangen i lovforslagets § 5, stk. 3, til at fastsætte nærmere regler om krav til foranstaltninger efter lovforslagets § 5, stk. 1, benyttes til mere konkret at afgrænse, præcist hvilke forpligtelser den enkelte teleudbyder er underlagt. Dette vil bl.a. være relevant i forhold til kravet i § 5, stk. 1, nr. 4, om forsyningskædesikkerhed, idet de sikkerhedskrav en teleudbyder stiller til en leverandør i praksis reguleres i aftaleforholdet mellem udbyderen og leverandøren. Hvis det f.eks. ikke fastsættes nærmere, hvilke krav, der skal stilles til leverandøren, om udbyderne skal føre tilsyn hermed og med hvilken frekvens mv., vil dette bl.a. gøre det vanskeligt for parterne at fastlægge, hvilke forhold, der konkret skal reguleres i deres indbyrdes aftalerelation for at efterleve lovgivningens krav.
Advokatrådet har følgende bemærkninger vedrørende retssikkerhedsmæssige forhold:
Strafansvar for fysiske personer
Det fremgår af lovforslagets generelle bemærkninger, at det er Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at NIS 2-direktivets krav om, at nærmere bestemte fysiske personer kan drages til ansvar for tilsidesættelse af deres forpligtelser efter direktivet, ikke synes at stille krav, der går videre end det, der allerede følger af de gældende regler.
Det anføres endvidere, at et eventuelt strafansvar for fysiske personer dermed vil følge det almindelige udgangspunkt i særlovgivningen, hvorefter der i tillæg til den juridiske person efter nærmere retningslinjer kan rejses tiltale mod en fysisk person, såfremt denne har handlet forsætligt eller groft uagtsomt. Bøder vil i givet fald skulle udmåles i overensstemmelse med direktivets forudsætninger om størrelsen heraf.
Advokatrådet bemærker i den forbindelse, at efter lovforslagets § 6, stk. 1, skal de foranstaltninger, som en væsentlig eller en vigtig teleudbyder træffer på baggrund af forpligtelserne i § 5, stk. 1 og 2, være godkendt af teleudbyderens ledelsesorgan. Ledelsesorganet skal endvidere føre tilsyn med foranstaltningernes gennemførelse og sikre, at foranstaltningerne har den fornødne effekt.
Efter § 6, stk. 2, skal medlemmerne af ledelsesorganet i en væsentlig eller vigtig teleudbyder endvidere deltage i relevante kurser om styring af informationssikkerhedsrisici og tilskynde til at tilsvarende kurser tilbydes til udbyderens øvrige ansatte.
Overtrædelser af § 6, er strafbelagt, jf. lovforslagets § 33, stk. 1, nr. 1.
Dette rejser spørgsmålet om, hvilken ansvarsnorm, der konkret vil finde anvendelse i tilfælde af, at f.eks. en bestyrelse eller direktion som helhed, eller enkelte medlemmer heraf, har overtrådt kravene i § 6. Ud fra lovforslagets udformning er det Advokatrådets forståelse, at vurderingen af det strafferetlige ansvar for medlemmerne af ledelsesorganet skal finde sted ud fra en traditionel strafferetlig vurdering, upåvirket af f.eks. normerne for bestyrelsesansvar mv. Advokatrådet skal dog opfordre til, at det i lovforslaget behandles nærmere, om f.eks. et medlem af ledelsesorganet, der ikke konkret har ansvar for, eller indblik i, cybersikkerhedsmæssige forhold hos teleudbyderen, kan holdes strafferetlig ansvarlig, såfremt medlemmet har deltaget i beslutninger eller dispositioner som medlem af ledelsesorganet, der efterfølgende viser sig at have ført til en overtrædelse af kravene i § 6.
Suspensions- og forbudsordning
I overensstemmelse med NIS 2-direktivets artikel 32, stk. 5, fastsætter lovforslagets § 23 en ordning, hvorefter CFCS, i tilfælde hvor håndhævelsesforanstaltninger pålagt i medfør af § 26, nr. 1-6, har vist sig at være utilstrækkelige, kan fastsætte en frist, inden for hvilken den væsentlige teleudbyder skal foretage de nødvendige tiltag for at afhjælpe manglerne eller opfylde CFCS’s krav.
Er tiltagene ikke foretaget inden for den fastsatte frist, kan CFCS efter bestemmelsen træffe afgørelse om:
1) Midlertidigt at suspendere en certificering eller godkendelse vedrørende dele af eller alle de relevante tjenester, teleudbyderen leverer, eller aktiviteter, der udføres af teleudbyderen.
2) Midlertidigt at forbyde enhver fysisk person med ledelsesansvar på niveau med administrerende direktør eller den juridiske repræsentant hos udbyderen at udøve ledelsesfunktioner i den pågældende teleudbyder.
Det fremgår af lovforslagets bemærkninger, at det vil være en forudsætning for anvendelse af suspensions- og forbudsordningen, at mindre indgribende midler i form af anvendte håndhævelsesforanstaltninger har vist sig utilstrækkelige.
Det er Advokatrådets forståelse, at det anførte indebærer, at en teleudbyder, og relevante fysiske personer, alene vil kunne gøres til genstand for suspensions- og forbudsordningen, såfremt CFCS forudgående, ved en konkret afgørelse, har fastlagt en frist, inden for hvilken en række nærmere opregnede tiltag, skal være implementeret, og det konstateres, at teleudbyderen konkret ikke har efterlevet denne afgørelse. Det lægges i den forbindelse til grund, at en sådan afgørelse kan påklages til Ministeriet for Samfundssikkerhed og Beredskab, ligesom afgørelsen vil kunne indbringes for domstolene. Det lægges endvidere til grund, at en efterfølgende anvendelse af suspensions- og forbudsordningen vil være begrænset til forhold, der var angivet i afgørelsen, der fastsatte fristen over for teleudbyderen.
På denne baggrund giver lovforslagets regulering af suspensions- og forbudsordningen ikke Advokatrådet anledning til bemærkninger.
Endelig har Advokatrådet følgende bemærkninger vedrørende lovtekniske forhold:
Lovforslagets § 12
Lovforslagets § 12, stk. 2, fastsætter, at teleudbydere uden unødigt ophold oplyser modtagerne af deres tjenester, som potentielt er berørt af en væsentlig hændelse, om eventuelle foranstaltninger eller modforholdsregler, som modtagerne kan træffe som reaktion på den pågældende hændelse. Hvor det er relevant, skal udbyderne også informere de pågældende modtagere om den væsentlige hændelse.
Det fremgår af de specielle bemærkninger til bestemmelsen, at den svarer indholdsmæssigt til bestemmelsen i NIS 2-direktivets artikel 23, stk. 2, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger, dog med den ændring, at kravet om underretning ikke alene gælder for væsentlige og vigtige teleudbydere, men for samtlige teleudbydere, der er omfattet af nærværende lov.
Hertil bemærkes det, at NIS 2-direktivets artikel 23, stk. 2, fastsætter, at væsentlige og vigtige enheder uden unødigt ophold meddeler modtagerne af deres tjenester, som potentielt er berørt af en væsentlig cybertrussel, eventuelle foranstaltninger eller modforholdsregler, som disse modtagere kan træffe som reaktion på den pågældende trussel. Hvor det er relevant, skal enhederne også informere de pågældende modtagere om selve den væsentlige cybertrussel.
Artikel 23, stk. 2, ses således at anvende begrebet ”væsentlig cybertrussel”, jf. definitionen i artikel 6, nr. 11, og lovforslagets § 2, nr. 15. Henset til, at det fremgår af lovforslagets bemærkninger, at bestemmelsen svarer til, og skal forstås og anvendes i overensstemmelse med direktivets artikel 23, stk. 2, skal Advokatrådet opfordre til, at bestemmelsens ordlyd genbesøges.
Forholdet til lov om Center for Cybersikkerhed
Det fremgår af lovforslagets generelle bemærkninger, at Center for Cybersikkerhed ved implementeringen af NIS 1-direktivet blev udpeget som CSIRT i Danmark, og opgaven har hidtil været varetaget som en del af netsikkerhedstjenesten i Center for Cybersikkerhed.
Det fremgår endvidere, at med den kongelige resolution af 29. august 2024 er Center for Cybersikkerhed, bortset fra bl.a. netsikkerhedstjenesten, blevet overdraget til Ministeriet for Samfundssikkerhed og Beredskab. Det betyder, at ansvaret for CSIRT-funktionen indtil videre forbliver på Forsvarsministeriets område. Med nærværende lovforslag lægges der op til, at bl.a. hændelser skal indberettes til både Center for Cybersikkerhed og CSIRT’en. Det forudsættes på den baggrund, at der vil være et tæt samarbejde mellem Center for Cybersikkerhed og CSIRT’en. En nærmere fastlæggelse af rammerne for samarbejdet vil kunne ske i en samarbejdsaftale.
Advokatrådet bemærker i den forbindelse, at CFCS’s virksomhed generelt er reguleret ved lov om Center for Cybersikkerhed (CFCS-loven), jf. lovbekendtgørelse nr. 836 af 7. august 2019. Henset til, at CFCS-lovens kapitel 3, 4 og 7 alene regulerer netsikkerhedstjenestens virksomhed, lægges det til grund, at CFCS’s deling af oplysninger med netssikkerhedstjenesten, fremover skal anses som en ekstern videregivelse af oplysninger, der skal vurderes efter CFCS-lovens kapitel 6. CFCS-lovens kapitel 6 regulerer imidlertid alene behandling af personoplysninger.
På denne baggrund – og henset til det anførte i lovforslaget om, at der fortsat ikke er endelig klarhed om den varige ressortmæssige placering af netsikkerhedstjenesten – skal Advokatrådet opfordre til, at de retlige rammer for CFCS’s fremadrettede samarbejde med netsikkerhedstjenesten behandles nærmere i lovforslaget. Det bør i den forbindelse bl.a. behandles, under hvilke betingelser oplysninger – herunder oplysninger, der ikke udgør personoplysninger – som CFCS indsamler som led i sin tilsynsvirksomhed, kan deles med netsikkerhedstjenesten.
Med venlig hilsen
Andrew Hjuler Crichton
Generalsekretær
