Her en tekst til et spritnyt lovforslag, almindeligt dødelige åbenbart endnu ikke må se, men det cirkulerer allerede på Slotsholmen.

Det er ikke noget jeg har fundet på.

phk

UDKAST / Forslag til

Lov om net- og informationssikkerhed

Kapitel 1

Formål og definitioner

§ 1. Lovens formål er at fremme net- og informationssikkerheden i samfundet.

§ 2. I denne lov forstås ved:

1) Net: Elektroniske kommunikationsnet i form af radiofrekvens- eller kabelbaseret teleinfrastruktur, der anvendes til formidling af tjenester.

2) Tjeneste: Elektronisk kommunikationstjeneste, der helt eller delvis består i elektronisk overføring af kommunikation i form af lyd, billeder, tekst eller kombinationer heraf ved hjælp af radio- eller telekommunikationsteknik mellem nettermineringspunkter.

3) Offentligt tilgængelige net og tjenester: Net og tjenester, der stilles til rådighed for en ikke på forhånd afgrænset kreds af slutbrugere eller udbydere.

4) Udbyder: Den, som med et kommercielt formål stiller produkter, net eller tjenester til rådighed for andre.

5) Erhvervsmæssig udbyder: En udbyder, som med et kommercielt formål udbyder produkter, net eller tjenester som sin hovedydelse eller som en ikke-accessorisk del af virksomheden.

Kapitel 2

Informationssikkerhed i offentligt tilgængelige net og tjenester

§ 3. Center for Cybersikkerhed fastsætter regler om minimumskrav til informationssikkerheden for udbydere af offentligt tilgængelige net og tjenester. Reglerne kan omfatte krav om:

1) Passende tekniske og organisatoriske foranstaltninger med henblik på at styre risici for informationssikkerheden i offentligt tilgængelige net og tjenester og opretholde et sikkerhedsniveau, der står i forhold til risici, herunder krav om, at sådanne foranstaltninger gennemføres på baggrund af dokumenterede og ledelsesforankrede processer.

2) Øvrige foranstaltninger med henblik på at sikre informationssikkerheden i net og tjenester i det omfang, det er af væsentlig betydning for statens sikkerhed eller rigets forsvar.

Stk. 2. Center for Cybersikkerhed kan påbyde udbydere af offentligt tilgængelige net og tjenester at inddrage nærmere angivne områder af deres virksomhed samt nærmere angivne trusler mod informationssikkerheden i deres risikostyringsprocesser efter stk. 1, nr. 1.

§ 4. Center for Cybersikkerhed fastsætter regler om oplysnings- og underretningspligter for udbydere. Reglerne kan omfatte krav om:

1) Erhvervsmæssige udbydere af offentligt tilgængelige net og tjenesters afgivelse af oplysninger til Center for Cybersikkerhed om væsentlige dele af udbyderens net og tjenester eller driften heraf.

2) Erhvervsmæssige udbydere af offentligt tilgængelige net og tjenesters underretning af Center for Cybersikkerhed ved påtænkt indgåelse af aftaler vedrørende leverancer af væsentlige dele af udbyderens net og tjenester eller driften heraf. Der kan endvidere stilles krav om, at udbyderne skal indsende et endeligt aftaleudkast til Center for Cybersikkerhed umiddelbart forud for indgåelse af aftalen, og at aftalen først kan indgås op til 10 arbejdsdage efter centerets modtagelse af udkastet.

3) Udbydere af offentligt tilgængelige net og tjenesters underretning af Center for Cybersikkerhed ved brud på informationssikkerheden, der har væsentlige følger for driften af net og tjenester.

4) Udbydere af offentligt tilgængelige net og tjenesters underretning af offentligheden ved brud på informationssikkerheden, der har væsentlige følger for driften af net og tjenester.

Kapitel 3

Elektronisk kommunikation i beredskabssituationer og i andre ekstraordinære situationer

§ 5. Center for Cybersikkerhed fastsætter regler om, at udbydere skal foretage nødvendig planlægning og træffe nødvendige foranstaltninger for i videst muligt omfang at sikre elektronisk kommunikation i beredskabssituationer og i andre ekstraordinære situationer.

Stk. 2. For erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester kan det i regler efter stk. 1 endvidere fastsættes, at udbyderne med henblik på at sikre elektronisk kommunikation i beredskabssituationer og i andre ekstraordinære situationer skal:

1) Udarbejde beredskabsplaner baseret på en dokumenteret og ledelsesforankret risikostyringsproces.

2) Planlægge og deltage i øvelsesaktiviteter.

Stk. 3. Center for Cybersikkerhed koordinerer og prioriterer beredskabsaktørernes behov for samfundsvigtig elektronisk kommunikation i beredskabssituationer og i andre ekstraordinære situationer. Center for Cybersikkerhed kan fastsætte regler om, at erhvervsmæssige udbydere skal sikre, at de foretagne prioriteringer gennemføres i net og tjenester.

Stk. 4. I beredskabssituationer og i andre ekstraordinære situationer kan Center for Cybersikkerhed påbyde erhvervsmæssige udbydere uden unødigt ophold at iværksætte nærmere angivne sikkerhedsforanstaltninger i tilfælde af en hændelse eller trussel, der i betydeligt omfang påvirker eller vurderes at ville kunne påvirke udbuddet af net og tjenester negativt.

Kapitel 4

Sikkerhedsgodkendelse

§ 6. Efter indstilling fra en udbyder sikkerhedsgodkender sikkerhedsmyndigheden udbyderens medarbejdere og repræsentanter for udbyderen, når de pågældende som led i deres konkrete opgaveløsning for udbyderen skal behandle klassificerede informationer eller andre informationer, der er særligt beskyttelsesværdige i relation til informationssikkerhed eller beredskab.

Stk. 2. Erhvervsmæssige udbydere af offentligt tilgængelige net er forpligtede til at sikre, at medarbejdere eller repræsentanter for udbyderen, der varetager kontakten til Center for Cybersikkerhed i relation til beredskabet i henhold til § 5, stk. 2, i fornødent omfang sikkerhedsgodkendes efter stk. 1.

Stk. 3. Udbydere, hvis medarbejdere eller repræsentanter sikkerhedsgodkendes efter stk. 1, skal sikre overholdelse af sikkerhedsmyndighedens anvisninger om behandling af klassificerede informationer.

Stk. 4. Udbydere, hvis medarbejdere eller repræsentanter sikkerhedsgodkendes efter stk. 1, skal uden ugrundet ophold underrette sikkerhedsmyndigheden, når sikkerhedsgodkendte personer ikke længere varetager de opgaver for udbyderen, som lå til grund for sikkerhedsgodkendelsen.

Stk. 5. Sikkerhedsmyndigheden kan tilbagekalde en sikkerhedsgodkendelse, når betingelserne for sikkerhedsgodkendelse ikke længere er til stede.

Stk. 6. Center for Cybersikkerhed fastsætter regler om sikkerhedsgodkendelse af udbyderes medarbejdere eller repræsentanter for udbydere, der har adgang til udstyr eller systemer, som benyttes i forbindelse med indgreb i meddelelseshemmeligheden.

Kapitel 5

Aktindsigt i underretninger m.v.

§ 7. Det kan i regler udstedt i medfør af § 4 fastsættes, at underretninger efter § 4, nr. 1-3, er undtaget fra aktindsigt efter lov om offentlighed i forvaltningen og partsaktindsigt efter forvaltningsloven.

§ 8. Myndigheder og virksomheder kan underrette Center for Cybersikkerhed om hændelser, der negativt påvirker eller vurderes at ville kunne påvirke tilgængelighed, integritet eller fortrolighed af data, informationssystemer, digitale netværk eller digitale tjenester.

Stk. 2. Underretninger efter stk. 1 er undtaget fra aktindsigt efter lov om offentlighed i forvaltningen og partsaktindsigt efter forvaltningsloven.

Kapitel 6

Tilsyn m.v.

§ 9. Center for Cybersikkerhed påser overholdelsen af § 6, stk. 2, og regler, der er udstedt i medfør af §§ 3-5 og § 6, stk. 6.

Stk. 2. Center for Cybersikkerhed kan som led i sit tilsyn kræve, at udbydere fremlægger alle de oplysninger og det materiale, der er nødvendige for centerets tilsynsvirksomhed, herunder til afgørelse af, om et forhold falder ind under denne lovs bestemmelser.

Stk. 3. Center for Cybersikkerhed kan stille krav om, hvordan og i hvilken form oplysninger og materiale efter stk. 2 skal afgives.

Stk. 4. Center for Cybersikkerhed kan af udbydere afkræve skriftlige udtalelser og redegørelser om faktiske forhold.

Stk. 5. Center for Cybersikkerhed kan stille krav om, at udbydere skal foranstalte en uafhængig sikkerhedsrevision og stille resultaterne heraf til rådighed for Center for Cybersikkerhed.

Stk. 6. Center for Cybersikkerhed kan til enhver tid mod behørig legitimation uden retskendelse få adgang til udbyderes lokaliteter med henblik på indsamling af oplysninger. Udbydere skal endvidere sikre, at Center for Cybersikkerhed efter anmodning får adgang til teleinfrastruktur, der benyttes af udbyderne.

Stk. 7. Såfremt en udbyders elektroniske infrastruktur efter stk. 6, 2. pkt., drives af en underleverandør eller samarbejdspartner, skal udbyderen sikre, at Center for Cybersikkerhed efter anmodning kan få adgang til teleinfrastrukturen i overensstemmelse med stk. 6.

§ 10. Center for Cybersikkerhed kan hos udbydere indsamle oplysninger med henblik på at videregive disse til Europa-Kommissionen eller nationale tilsynsmyndigheder i andre EU-medlemsstater, sådan at disse kan opfylde deres opgaver i forhold til traktatmæssige forpligtelser eller forpligtelser i henhold til den gældende fællesskabsret og EU-retten.

Stk. 2. Center for Cybersikkerhed orienterer de udbydere, der er indhentet oplysninger fra, forud for videregivelse af oplysningerne til Europa-Kommissionen eller nationale tilsynsmyndigheder i andre EU-medlemsstater.

Stk. 3. Oplysninger, der modtages eller stammer fra nationale tilsynsmyndigheder i andre EUmedlemsstater, behandles som fortrolige, hvis den afgivende nationale tilsynsmyndighed betragter oplysningerne som forretningshemmeligheder i henhold til EU-regler eller nationale regler.

Kapitel 7

EU-retsakter

§ 11. Center for Cybersikkerhed kan fastsætte regler, som er nødvendige for at anvende retsakter udstedt af Den Europæiske Union vedrørende informationssikkerhed og beredskab på teleområdet, herunder regler om sanktioner i form af bøder for manglende overholdelse af retsakterne.

Kapitel 8

Straffebestemmelser

§ 12. Med bøde straffes den, der:

1) Overtræder § 6, stk. 2-4.

2) Undlader at efterkomme Center for Cybersikkerheds krav efter § 9, stk. 2, 4 og 5.

3) Hindrer Center for Cybersikkerhed i at få adgang efter § 9, stk. 6 og 7.

Stk. 2. I regler, der udfærdiges i medfør §§ 3-5 og § 6, stk. 6, kan fastsættes straf af bøde for overtrædelse af bestemmelserne i reglerne.

Stk. 3. Der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens 5. kapitel.

Kapitel 9

Ikrafttræden m.v.

§ 13. Loven træder i kraft den 1. september 2015, jf. dog stk. 2.

Stk. 2. § 9, stk. 7, træder i kraft den 1. september 2016.

§ 14. I lov om elektroniske kommunikationsnet og -tjenester, jf. lovbekendtgørelse nr. 128 af 7. februar 2014, foretages følgende ændringer:

§ 8 a, § 20, stk. 3, § 62, § 63, § 64 a og § 66 a ophæves. § 73, stk. 3, ophæves. Stk. 4 og 5 bliver herefter stk. 3 og 4. I § 73, stk. 5, der bliver stk. 4, udgår », Forsvarsministeriet«. § 75 a, stk. 5, og § 75 b, stk. 2, ophæves. I § 75 c, stk. 1, ændres »jf. § 75 a, stk. 1, 4 og 5,« til: »jf. § 75 a, stk. 1 og 4,«. I § 75 c, stk. 2, udgår »og forsvarsministeren« og »for deres respektive områder«. § 76, stk. 2, ophæves. Stk. 3 bliver herefter stk. 2. I § 79, stk. 1, udgår », Forsvarsministeriet«. I § 81, stk. 1, nr. 1, ændres »§ 31, stk. 4-7, § 35 eller § 63, stk. 2, 3 og 5« til: »§ 31, stk. 4-7, eller § 35«. I § 81, stk. 2, ændres »§ 8, stk. 1, § 8 a, stk. 1, og §§ 9, 13 b, 13 c, 61 og 62« til: »§ 8, stk.1, og §§ 9, 13 b, 13 c og 61«.

§ 15. Loven gælder ikke for Færøerne og Grønland.