kom (2020) 0823 - Bilag 1: Grund- og nærhedsnotat om forslag til direktiv om foranstaltninger til sikring af et højt fælles cybersikkerheds- niveau i hele Unionen

Europaudvalget 2020-21
KOM (2020) 0823 Bilag 1
Offentligt

GRUND- OG NÆRHEDSNOTAT TIL

FOLKETINGETS EUROPAUDVALG

DATO 15.02.2021

Forslag til Rådets Direktiv om FORANSTALTNINGER TIL

SIKRING AF ET HØJT FÆLLES CYBERSIKKERHEDSNIVEAU

I HELE UNIONEN OG OM OPHÆVELSE AF DIREKTIV (EU)

2016/1148 (KOM(2020) 823 final)

Der er tale om et nyt notat.

1. Resumé

Europa-Kommissionen (Kommissionen) har den 16. december 2020

fremsat forslag til direktiv om foranstaltninger til sikring af et højt fælles

cybersikkerhedsniveau i hele Unionen og om ophævelse af direktiv (EU)

2016/1148 (KOM(2020) 823 final). Forslaget er modtaget i dansk sprog-

version den 19. januar 2021. Forslaget (NIS2) bygger på og ophæver

direktiv (EU) 2016/1148 om sikkerhed i net- og informationssystemer

(NIS-direktivet), som er den første EU-retsakt om cybersikkerhed og in-

deholder retlige foranstaltninger, der skal styrke det generelle cybersik-

kerhedsniveau i Unionen. Kommissionen har fremsat NIS2 på baggrund

af en omfattende evaluering af NIS-direktivet gennemført i 2019 og 2020.

NIS2-forslaget tager fat på en række begrænsninger, der ifølge Kommis-

sionen forhindrer NIS-direktivet i at indfri sit fulde potentiale. Forslaget

indebærer derfor en væsentlig udvidelse af direktivets dækningsområde

med flere sektorer herunder den statslige administration. Alle udbydere

af tjenester inden for dækningsområdet omfattes af forslaget (små virk-

somheder og mikrovirksomheder er som udgangspunkt undtaget). Der

lægges op til væsentligt øgede krav til registrering af alle omfattede ud-

bydere, samt væsentligt flere krav til de kompetente myndigheders tilsyn

med udbyderne og udvidede sanktionsmuligheder ved brud på forpligtel-

serne vedrørende styring af cybersikkerhedsrisici og rapportering. Ende-

lig indebærer forslaget udvidede krav til nationale cybersikkerhedsstra-

tegier, krav om national cybersikkerhedskrisestyring, samt flere opgaver

til det nationale centrale kontaktpunkt.

Regeringen ser overordnet positivt på forslaget og ønsket om at højne

cybersikkerheden og trusselsbevidstheden - også i yderligere sektorer,

der ikke traditionelt arbejder med sikkerhed. Udvidelsen af anvendelses-

området, skærpede krav til risikostyring og rapportering samt det forud-

satte myndighedstilsyn må generelt forventes at styrke cyberrobustheden,

men det vurderes at være afgørende, at udvidelsen sker risikobaseret og

kom (2020) 0823 - Bilag 1: Grund- og nærhedsnotat om forslag til direktiv om foranstaltninger til sikring af et højt fælles cybersikkerheds- niveau i hele Unionen

proportionelt med respekt af sektoransvaret. Regeringen vil arbejde for, at

forslaget ikke medfører uforholdsmæssige økonomiske byrder for aktører,

som ikke er direkte afhængige af net- og informationssystemer, og at der

arbejdes risikobaseret mhp. at balancere omkostningsniveau og mer-

værdi. Endelig stillingtagen afventer en nærmere vurdering af de økono-

miske konsekvenser, ikke mindst for nye sektorer, der omfattes af direkti-

vet.

2. Baggrund

Forslaget kan ses som en videreførelse og udvidelse af bestemmelserne i det

nuværende NIS-direktiv fra 2016 (2016/1148 (KOM(2020) 823 final).

Kommissionens konsekvensanalyse af det eksisterende NIS-direktiv kon-

kluderede, at direktivet banede vejen for en betydelig ændring i tilgangen til

cybersikkerhed både institutionelt og lovgivningsmæssigt i mange medlem-

sstater, men at det også har vist sine begrænsninger. Den digitale omstilling

af samfundet (intensiveret af covid-19-krisen) har udvidet trusselsbilledet

og skabt nye udfordringer, som kræver tilpassede og innovative sikkerheds-

løsninger. Antallet af cyberangreb stiger fortsat, og der kommer stadig mere

sofistikerede angreb fra en bred vifte af kilder i og uden for EU. Anvendel-

sesområdet for direktivet er ikke tilstrækkeligt klart, og medlemsstaterne har

for vide skønsbeføjelser. Tilsyn og håndhævelses vurderes at være ineffek-

tiv, ligesom modenheden i forbindelse med vurderingen af cybersikkerheds-

risici varierer for meget, og medlemsstaterne udveksler ikke systematisk

oplysninger med hinanden.

Det er Kommissionens overordnede vurdering, at cybersikkerhed og -mod-

standsdygtighed på tværs af EU ikke kan være effektiv, hvis man vælger en

uensartet tilgang i form af løsrevne initiativer i nationale og regionale siloer.

NIS2 har til formål at styrke cyber sikkerheden og modstandsdygtigheden

yderligere på en ensartet måde på tværs af medlemsstaterne, både i bredden

og i dybden. Samtidig indgår NIS2 som en del af en bredere vifte af allerede

eksisterende retlige instrumenter og af kommende initiativer på EU-plan,

der i fællesskab har til formål at øge offentlige og private enheders mod-

standsdygtighed over for trusler og beredskabskapacitet inden for cyber-

sikkerhed og beskyttelse af kritisk infrastruktur.

I forhold til fysisk sikkerhed supplerer forslaget Kommissionens forslag om

revision af direktiv om kritiske enheders modstandsdygtighed (KOM(2020)

829 final)

, som NIS2-forslaget er nøje afstemt med. Forslaget til direktiv

om kritiske enheders modstandsdygtighed har til formål at styrke kritiske

Kommissionen fremsatte forslaget om direktiv om kritiske enheders modstandsdygtig-

hed (KOM (2020) 829 final) d. 16. december 2020. Forslaget er modtaget i dansk

sprogversion d. 9. februar 2021.

kom (2020) 0823 - Bilag 1: Grund- og nærhedsnotat om forslag til direktiv om foranstaltninger til sikring af et højt fælles cybersikkerheds- niveau i hele Unionen

enheders modstandsdygtighed over for fysiske trusler i en lang række sekto-

rer.

3. Formål og indhold

Kommissionen har den 16. december 2020 fremsat forslag til direktiv om

foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele

Unionen og om ophævelse af direktiv (EU) 2016/1148 (KOM(2020) 823

final). Forslaget er bygget op om en række centrale politikområder, som

er indbyrdes forbundne og har til formål at højne cybersikkerhedsni-

veauet i Unionen.

Genstand og anvendelsesområde (artikel 1 og artikel 2)

Direktivet indeholder a) forpligtelser om, at medlemsstaterne skal ved-

tage en national cybersikkerhedsstrategi, udpege kompetente nationale

myndigheder, centralt kontaktpunkt og CSIRT, b) bestemmelser om, at

medlemsstaterne skal fastsætte forpligtelser om risikostyring og indberet-

ning af cybersikkerhedshændelser for enheder, der benævnes ”væsent-

lige”, og c) bestemmelser om, at medlemsstaterne skal udveksle af oplys-

ninger om cybersikkerhedshændelser.

Direktivet finder anvendelse på offentlige og private ”væsentlige enhe-

der”, der opererer inden for de sektorer, som er opført i bilag I (energi,

transport, bankvæsen, finansielle markedsinfrastrukturer, sundhed, drik-

kevand, spildevand, digital infrastruktur, offentlig forvaltning og rummet)

og ”vigtige enheder”, der opererer inden for de sektorer, der er opført i

bilag II (post- og kurertjenester, affaldshåndtering, fremstilling, fremstil-

ling og distribution af kemikalier, fødevareproduktion, -forarbejdning og

-distribution, fremstillingsvirksomhed og digitale udbydere).

Det foreslåede anvendelsesområde betyder samlet set både en udvidelse

af direktivets anvendelsesområde i bredden, såvel som i dybden. Således

vil ikke kun nye sektorer indlemmes, men også langt flere virksomheder

end i dag vil betegnes

væsentlige enheder,

som følge heraf. Det hidtidige

princip om særskilt udpegning af udbydere af væsentlige tjenester i be-

stemte sektorer forlades, og der foreslås indført en højere grad af har-

monisering af sikkerheds- og rapporteringsforpligtelser.

Mikrovirksomheder og små enheder som omhandlet i Kommissionens

henstilling 2003/361/EF af 6. maj 2003 er ikke omfattet af direktivets

anvendelsesområde, undtagen udbydere af elektroniske kommunikations-

net eller offentligt tilgængelige elektroniske kommunikationstjenester,

tillidstjenesteudbydere, topdomænenavneregistraturer, DNS-tjeneste-ud-

byder og offentlig forvaltning samt visse andre enheder såsom den eneste

udbyder af en tjeneste i en medlemsstat. Derudover foreslås en mere lem-

pelig ordning for efterfølgende tilsyn for de såkaldt ”vigtige enheder” end

de ”væsentlige enheder”. Hensigten er at minimere og afbalancere den

byrde, der pålægges virksomheder og offentlige myndigheder.

kom (2020) 0823 - Bilag 1: Grund- og nærhedsnotat om forslag til direktiv om foranstaltninger til sikring af et højt fælles cybersikkerheds- niveau i hele Unionen

Nationale rammer for cybersikkerhed (artikel 5-11)

Medlemsstaterne skal vedtage en national cybersikkerhedsstrategi, der

definerer de strategiske mål og passende politiske og reguleringsmæssige

foranstaltninger med henblik på at opnå og opretholde et højt cybersik-

kerhedsniveau.

Direktivet fastlægger også en ramme for koordineret indberetning af sår-

barheder og pålægger medlemsstaterne at udpege CSIRT'er, der skal fun-

gere som betroede formidlere og lette samspillet mellem de underrettende

enheder og producenter eller udbydere af IKT-produkter og -tjenester.

ENISA (EU's Agentur for Cybersikkerhed) skal udvikle og vedligeholde

et europæisk sårbarhedsregister for de konstaterede sårbarheder.

Medlemsstaterne skal indføre nationale rammer for styring af cybersik-

kerhedskriser, bl.a. ved at udpege nationale kompetente myndigheder

med ansvar for håndteringen af væsentlige cybersikkerhedshændelser og

-kriser.

Medlemsstaterne skal også udpege en eller flere nationale kompetente

myndigheder inden for cybersikkerhed til at varetage tilsynsopgaverne i

henhold til dette direktiv og et nationalt centralt kontaktpunkt for cyber-

sikkerhed (SPOC) til at varetage en forbindelsesfunktion for at sikre

grænseoverskridende samarbejde mellem medlemsstaternes myndighe-

der. Medlemsstaterne skal også udpege CSIRT'er.

NIS2-forslaget viderefører og udbygger således NIS-direktivets ramme:

Der er allerede i dag i medfør af NIS etableret nationalt centralt kontakt-

punkt og CSIRT ved Center for Cybersikkerhed, ligesom de sektor-

ansvarlige myndigheder er kompetente myndigheder med ansvar for til-

synet med omfattede operatører og håndteringen af væsentlige cybersik-

kerhedshændelser og -kriser inden for deres respektive ansvarsområder.

Samarbejde (artikel 12-16)

Ved direktivet videreføres den samarbejdsgruppe, der skal støtte og lette

det strategiske samarbejde og udvekslingen af oplysninger mellem med-

lemsstaterne og udvikle tillid. Der videreføres også det CSIRT-netværk,

der skal bidrage til udviklingen af tillid mellem medlemsstaterne og

fremme et hurtigt og effektivt operationelt samarbejde.

Med direktivet oprettes et europæisk netværk af cybersikkerhedsorganisa-

tioner (EU-CyCLONe), der skal støtte den koordinerede håndtering af

væsentlige cybersikkerhedshændelser og -kriser og sikre regelmæssig

udveksling af oplysninger mellem medlemsstaterne og EU-institutio-

nerne.

kom (2020) 0823 - Bilag 1: Grund- og nærhedsnotat om forslag til direktiv om foranstaltninger til sikring af et højt fælles cybersikkerheds- niveau i hele Unionen

ENISA skal i samarbejde med Kommissionen hvert andet år udsende en

rapport om cybersikkerhedssituationen i Unionen.

Kommissionen skal etablere et evalueringssystem, der giver mulighed for

regelmæssige

peer-evalueringer

af medlemsstaternes politikker for cyber-

sikkerhed.

Forpligtelser vedrørende risikostyring og rapportering i forbindelse med

cybersikkerhed (artikel 17-23)

I henhold til direktivet skal medlemsstaterne fastsætte bestemmelser om,

at ledelsesorganer i alle enheder, der er omfattet af anvendelsesområdet,

skal godkende de risikohåndteringsforanstaltninger vedrørende cybersik-

kerhed, der træffes af de respektive enheder, og følge specifik cybersik-

kerhedsrelateret uddannelse.

Medlemsstaterne skal sikre, at enheder inden for anvendelsesområdet

træffer passende og forholdsmæssige tekniske og organisatoriske foran-

staltninger for at håndtere de cybersikkerhedsrisici, der er forbundet med

sikkerheden i net- og informationssystemer. De skal også sikre, at enhe-

der, både væsentlige og vigtige, underretter de nationale kompetente

myndigheder eller CSIRT'erne om enhver cybersikkerhedshændelse, der

har en væsentlig indvirkning på leveringen af den tjeneste, de udbyder.

Som noget nyt, foreslås det også, at omfattede virksomheder skal indbe-

rette hændelser, som potentielt kunne have haft væsentlige konsekvenser.

Kommissionen kan vedtage gennemførelsesretsakter med henblik på at

fastlægge mere detaljerede sikkerhedskrav samt i forbindelse med indbe-

retning af væsentlige hændelser. Kommissionen tillægges endvidere be-

føjelser til at vedtage delegerede retsakter med henblik på at supplere

sikkerhedskravene for at tage hensyn til nye cybertrusler, den teknologi-

ske udvikling eller sektorspecifikke særtræk.

Topdomænenavneregistraturer og enheder, der leverer domænenavnsre-

gistreringstjenester for topdomænet, indsamler og vedligeholder nøjagtige

og fuldstændige oplysninger om domænenavnsregistrering samt offent-

liggør domæneregistreringsdata, som ikke er personoplysninger. Desuden

er sådanne enheder forpligtet til at give lovlige adgangssøgende effektiv

adgang til registreringsdata.

Kompetence og registrering (artikel 24 og 25)

Som hovedregel anses væsentlige og vigtige enheder for at være under-

lagt jurisdiktionen i den medlemsstat, hvor de leverer deres tjenester.

Visse typer af enheder (udbydere af DNS-tjenester, topdomænenavnere-

gistraturer, udbydere af cloud computing-tjenester, udbydere af datacen-

tertjenester og udbydere af indholdsleveringsnetværk samt visse digitale

udbydere) anses dog som udgangspunkt for at være underlagt jurisdiktio-

kom (2020) 0823 - Bilag 1: Grund- og nærhedsnotat om forslag til direktiv om foranstaltninger til sikring af et højt fælles cybersikkerheds- niveau i hele Unionen

nen i den medlemsstat, hvor foranstaltninger til styring af cybersikker-

hedsrisici træffes.

Dette skal sikre, at sådanne enheder ikke stilles over for en lang række

forskellige retlige krav, eftersom de i særlig høj grad leverer tjenesteydel-

ser på tværs af grænserne. ENISA skal oprette og føre et register over den

sidstnævnte type enheder.

Udveksling af oplysninger (artikel 26 og 27)

Medlemsstaterne fastsætter regler, der gør det muligt for enheder at del-

tage i udveksling af cybersikkerhedsrelaterede oplysninger inden for

rammerne af specifikke ordninger for udveksling af cybersikkerhedsop-

lysninger i overensstemmelse med artikel 101 i TEUF.

Desuden tillader medlemsstaterne enheder, der ikke er omfattet af dette

direktiv, frivilligt at foretage underretninger om væsentlige hændelser,

cybertrusler eller nærvedhændelser.

Tilsyn og håndhævelse (artikel 28-34)

De kompetente myndigheder skal føre tilsyn med de enheder, der er om-

fattet af direktivet, og navnlig sikre, at de overholder kravene til sikker-

hed og underretning om hændelser. Der skelnes mellem en forudgående

tilsynsordning for væsentlige enheder og en ordning for efterfølgende

tilsyn med vigtige enheder, idet det senere kræves, at de kompetente

myndigheder træffer foranstaltninger, når de får forelagt dokumentation

for eller tegn på, at en vigtig enhed ikke opfylder kravene til sikkerhed og

underretning om hændelser.

Direktivet pålægger også medlemsstaterne at sikre, at de kompetente

myndigheder har beføjelse til at pålægge eller anmode f.eks. domstolene

om pålæggelse af administrative bøder til væsentlige og vigtige enheder

og fastsætter visse maksimumsbøder. Det vil skulle afklares nærmere,

hvordan direktivets bestemmelser om at give kompetente myndigheder

beføjelse til at pålægge eller anmode om at pålægge administrative bøder,

nærmere skal forstås.

Medlemsstaterne skal samarbejde og bistå hinanden efter behov, når en-

heder leverer tjenesteydelser i mere end én medlemsstat, eller når en en-

heds hovedvirksomhed eller dens repræsentant er beliggende i en bestemt

medlemsstat, mens dens net- og informationssystemer er beliggende i en

eller flere andre medlemsstater.

5. Europa-Parlamentets udtalelser

Europa-Parlamentet er i henhold til den almindelige lovgivningsprocedure

(TEUF art. 294) medlovgiver. Der foreligger endnu ikke en udtalelse.

kom (2020) 0823 - Bilag 1: Grund- og nærhedsnotat om forslag til direktiv om foranstaltninger til sikring af et højt fælles cybersikkerheds- niveau i hele Unionen

Det er Europa-Parlamentets udvalg for industri, forskning og energi (ITRE),

der behandler forslaget.

6. Nærhedsprincippet

Det er Kommissionens vurdering, at modstandsdygtigheden over for cyber-

trusler i hele Unionen ikke er effektiv, hvis der gribes ind på en uensartet

måde gennem nationale eller regionale siloer. NIS-direktivet afhjalp til dels

denne mangel ved at fastlægge en ramme for net- og informationssystemer-

nes sikkerhed på nationalt plan og EU-plan.

Ifølge Kommissionen har medlemsstaternes uens implementering peget på,

at den eksisterende NIS-direktiv er begrænset ift. at kunne indfri målet om

et højt fælles cyber- og informationssikkerhedsniveau, herunder som følge

af det nuværende direktivs anvendelsesområde. Siden covid-19-krisen er

den europæiske økonomi desuden blevet endnu mere afhængig af net- og

informationssystemer end nogensinde før, og sektorer og tjenester er i sti-

gende grad indbyrdes forbundne.

Kommissionen begrunder på den baggrund en EU-indsats, der går videre

end det nuværende NIS-direktivs foranstaltninger i: i) cybertruslen og ud-

fordringernes stadig mere grænseoverskridende karakter, ii) potentialet i

Unionens indsats med hensyn til at forbedre og fremme effektive og koor-

dinerede nationale politikker og iii) bidraget fra samordnede og samar-

bejdsbaserede politiske tiltag til effektiv beskyttelse af personoplysninger

og privatlivets fred.

På det foreliggende grundlag er det regeringens vurdering, at nærhedsprin-

cippet er overholdt.

7. Gældende dansk ret

Implementeringen af det nugældende NIS-direktiv er gennemført via en

række love og bekendtgørelser inden for de nuværende involverede respek-

tive ministerområder. Implementeringen er sket efter sektoransvarsprincip-

pet, hvorefter de sektoransvarlige myndigheder er kompetente myndigheder

i direktivets forstand og har implementeret direktivet i relevant lovgivning

på deres områder. Denne decentrale hjemlige implementering har først og

fremmest fokus på det eksisterende direktivs forpligtelser for “operatører af

væsentlige tjenester” og “udbydere af digitale tjenester”. Begge begreber

forlades med NIS2.

I det følgende opridses den nationale lovgivning iht. det nugældende direk-

tiv inden for de respektive ressortministerier.

Erhvervsministeriets område

Lov om net- og informationssikkerhed for domænenavnssystemer og visse

kom (2020) 0823 - Bilag 1: Grund- og nærhedsnotat om forslag til direktiv om foranstaltninger til sikring af et højt fælles cybersikkerheds- niveau i hele Unionen

digitale tjenester

(LOV nr. 436 af 437 af 08/05/2018), stiller krav om sik-

kerhed og underretningspligt for topdomænenavnsadministratorer, DNS-

tjenesteudbyder (DNS – Domænenavnesystem), udbydere af onlinemar-

kedspladser, udbydere af onlinesøgemaskine og udbydere af cloud compu-

ting-tjenester. Loven stiller desuden disse krav for den finansielle sektor.

Bekendtgørelse om sikkerhed i net- og informationssystemer af betydning

for skibes sikkerhed og deres sejlads

(BEK nr. 46 af 16/01/2019) fastsætter

bestemmelser og stiller krav til maritime operatører om sikkerhed i net- og

informationssystemer, som anvendes i leveringen af maritime tjenester.

Forsvarsministeriets område

Lov om sikkerhed i net- og informationssystemer for operatører af væsent-

lige internetudvekslingspunkter m.v.

(LOV nr. 437 af 08/05/2018) stiller

krav om sikkerhed og underretningspligt for internetudvekslingspunkter

(Internet Exchange Points – IXP), som alene er de udbydere, der angår in-

formationssikkerhed under Forsvarsministeriet.

Herudover skaber loven forudsætningerne for, at Center for Cybersikkerhed

kan varetage funktionerne som beredskabsenhed, der skal håndtere it-sik-

kerhedshændelser (CSIRT), og som nationalt centralt kontaktpunkt.

Klima-, Energi og Forsyningsministeriets område

Net- og informationssikkerhedsdirektivet

er inden for energisektoren ble-

vet implementeret ved § 85 c i lov om elforsyning og § 15 b i lov om na-

turgasforsyning, hvor ministeren bemyndiges til at udstede nærmere reg-

ler. Disse bemyndigelser er udmøntet i bekendtgørelse nr. 820 af 14. au-

gust 2019 om it-beredskab i el- og naturgassektorerne. NIS-direktivet er

ligeledes implementeret i bekendtgørelse nr. 424 af 25. april 2018 om

beredskab for oliesektoren.

Disse stiller krav om sikkerhed, beredskab og underretningspligt for virk-

somheder med el-produktionsbevilling, virksomheder med netbevilling, el-

og naturgas-transmissionsoperatører, balanceansvarlige virksomheder, virk-

somheder som holder olieberedskabslagre i Danmark og virksomheder som

har naturgaslagre i Danmark.

Miljøministeriets område

Direktivet er implementeret på drikkevandsområdet med bkg. nr. 429 af

04/05/2018 om krav til sikkerheden i visse vandforsyningers net- og in-

formationssystemer.

Sundhedsministeriets område

kom (2020) 0823 - Bilag 1: Grund- og nærhedsnotat om forslag til direktiv om foranstaltninger til sikring af et højt fælles cybersikkerheds- niveau i hele Unionen

Lov om krav til sikkerhed for net- og informationssystemer inden for

sundhedssektoren

(LOV nr. 440 af 08/05/2018) stiller krav om sikkerhed

og underretningspligt for operatører af væsentlige tjenester inden for

sundhedssektoren.

Bekendtgørelse om operatører af væsentlige tjenester

(BEK 458 af

09/05/2018) opstiller kriterier for identifikation af operatører af væsent-

lige tjenester i sundhedssektoren og definerer krav til deres sikkerheds-

foranstaltninger, registrering og underretningspligt.

Bekendtgørelse om

delegation af opgaver fra sundhedsministeren til Sundhedsdatastyrelsen

(BEK 459 af 09/05/2018) delegerer NIS-opgaver til Sundhedsdatastyrel-

sen, herunder bl.a. tilsyn med operatører af væsentlige tjenester.

Transportministeriets område

Lov om sikkerhed i net- og informationssystemer i transportsektoren (Lov

nr. 441 af 8. maj 2018) samt bekendtgørelse om sikkerhed i net- og infor-

mationssystemer i transportsektoren (Bekendtgørelse nr. 1042 af 6. august

2018) implementerer det nuværende NIS-direktiv i transportsektoren.

Derudover eksisterer der i sektoren EU-sektorlovgivning, som har til formål

at sikre et højt cybersikkerhedsniveau. En række nye cybersikkerhedsregler

inden for civil luftfart træder desuden i kraft i de kommende år, herunder

forordning (EU) nr. 2019/1583 inden for security-området (i 2021), og i

2022 følger nye EU-regler inden for safety-området.

8. Konsekvenser

Lovgivningsmæssige konsekvenser

Implementering af direktivet vil kræve ændring i den ovennævnte lovgiv-

ning i sektorerne, ligesom det vil skulle etableres lovhjemmel i nye sektorer.

Økonomiske konsekvenser

Forslaget vurderes at have statsfinansielle konsekvenser samt erhvervsø-

konomiske konsekvenser. Disse kan ikke nærmere kvantificeres på nuvæ-

rende tidspunkt. Fra dansk side udestår således en nærmere vurdering af

de statsfinansielle konsekvenser samt de erhvervsøkonomiske konse-

kvenser herunder administrative konsekvenser og øvrige efterlevelses-

konsekvenser, herunder særligt i de nye sektorer.

De administrative konsekvenser består i, at danske virksomheder i for-

bindelse med implementeringen af direktivet i dansk ret vil blive pålagt

potentielt væsentlige administrative byrder. Det skyldes, at der i direkti-

vet sker en udvidelse af definitionen af væsentlige udbydere og krav i

forhold til i dag, hvilket betyder, at flere virksomheder fremadrettet vil

blive omfattet af definitionen og de administrative krav det medfører. De

administrative byrder indebærer bl.a. tilsyn, registrerings- og rapporte-

kom (2020) 0823 - Bilag 1: Grund- og nærhedsnotat om forslag til direktiv om foranstaltninger til sikring af et højt fælles cybersikkerheds- niveau i hele Unionen

ringsforpligtelser, idet virksomhederne skal indberette hændelser, og evt.

certificering.

De administrative konsekvenser ved ovenstående kan ikke nærmere

kvantificeres på nuværende tidspunkt.

Ifølge Kommissionen vil forslaget medføre visse overholdelses- og hånd-

hævelsesomkostninger for de relevante myndigheder i medlemsstaterne

(anslået samlet stigning på ca. 20-30 % af ressourcerne). Kravet til myn-

dighederne om at føre et udfoldet tilsyn og øget kontrol med enhederne

omfattet af direktivet vil i sig selv indebære et væsentligt forøget ressour-

ceforbrug for de sektorer, som ikke fører et tilsyn med net- og informa-

tionssikkerhed under den nuværende lovgivning.

Kommissionen anslår, at for de virksomheder, der vil være omfattet af

NIS2-forslaget, vil deres nuværende udgifter til sikkerhed til informa-

tions- og kommunikationsteknologi (IKT) skulle øges med 22 % i de før-

ste år efter indførelsen af NIS2-forslaget (dette vil være 12 % for virk-

somheder, der allerede er omfattet af det nuværende NIS-direktiv). Små

virksomheder og mikrovirksomheder er som udgangspunkt undtaget fra

NIS2-forslaget.

Andre konsekvenser og beskyttelsesniveauet

Forslaget vurderes at have positive konsekvenser for cybersikkerheden og

trusselsbevidstheden og kunne reducere omkostningerne ved cybersik-

kerhedshændelser.

Ifølge Kommissionen vil NIS2-forslaget medføre betydelige sikkerheds-

mæssige fordele takket være et bedre overblik over og interaktion med

centrale virksomheder, øget grænseoverskridende operationelt samar-

bejde samt gensidig bistand og peer-evalueringsmekanismer. Dette vil

føre til en generel forøgelse af cybersikkerhedskapaciteterne på tværs af

medlemsstaterne. Samtidig vil en styrkelse af sikkerhedsniveauet til-

skynde de involverede udbydere til at styrke deres cybersikkerhedskapa-

citeter og bidrage til en forbedring af udbydernes IKT-risikostyring.

Ifølge Kommissionen vil den ovenfor beskrevne gennemsnitlige stigning

i udgifterne til IKT-sikkerhed medføre en forholdsmæssig fordel ved så-

danne investeringer, navnlig på grund af en betydelig reduktion af om-

kostningerne ved cybersikkerhedshændelser (som af Kommissionen an-

slås til 11,3 mia. EUR over 10 år).

Høring

Forslaget er sendt i høring d. 19. januar 2021 i specialudvalget for civil-

beskyttelse, specialudvalget for konkurrenceevne, vækst og forbruger-

spørgsmål, specialudvalget for transport, skibsfartspolitisk specialudvalg,

kom (2020) 0823 - Bilag 1: Grund- og nærhedsnotat om forslag til direktiv om foranstaltninger til sikring af et højt fælles cybersikkerheds- niveau i hele Unionen

specialudvalget for klima-, energi- og forsyningspolitik EU-landbrugsud-

valget (§2-udvalget), EU-fiskeriudvalget (§5-udvalget) og Det Rådgi-

vende Fødevareudvalgs EU-undervalg med frist d. 3. februar 2021. Der er

modtaget hørringssvar fra Akademikerne, Danske Havne, Danske Mari-

time, Dansk Industri, Dansk Standard, Dansk Vand- og Spildevandsfore-

ning, Danske Rederier og Færgerederierne, Danske Regioner, Dansk Er-

hverv / IT Branchen, Danske Statsbaner, Erhvervsflyvningens Sammen-

slutning, Finans Danmark, Forsikring og Pension, Ingeniørforeningen

(IDA), Kommunernes Landsforening, Landbrug & Fødevarer, Teleindu-

strien.

Generelle bemærkninger

Akademikerne (AC)

er generelt positive overfor tiltag, som kan styrke

niveauet for cybersikkerheden i Danmark og andre europæiske lande, der

jævnligt rammes af angreb fra forskellige typer aktører, såvel som data-

læk grundet menneskelige fejl som følge af manglende kompetencer eller

opmærksomhed, idet at

finder at dette har store konsekvenser for de

enkelte virksomheders økonomi, samfundets forsyningssikkerhed, statens

sikkerhed og almindelige borgeres tillid til et stadigt mere digitalt sam-

fund. Derfor er

enige i formålet med forslaget, og er også enige i, at

en stor del af indsatsen for et højere sikkerhedsniveau sker på europæisk

plan, dvs. i regi af EU.

finder det positivt, at der grundet den stigende dataudveksling, med

forslaget sker en stramning i forhold til at udligne forskelle mellem de

europæiske lande, samt at alle lande løftes til et forsvarligt niveau. Samti-

dig finder

det fornuftigt, at stramninger sker med forståelse for, hvad

der kan lade sig gøre og hvilke tiltag der er mest effektive i forhold til,

hvilke typer organisationer og virksomheder, der stilles krav til.

vur-

derer, at det derfor giver mening at stille andre (og muligvis mindre) krav

til mikrovirksomheder og start-ups end til store virksomheder og offent-

lige organisationer, så kravene følger proportionalitetsprincippet.

bemærker, at et stigende cybersikkerhedsniveau må medføre omkost-

ninger for virksomheder og offentlige organisationer, især på kort sigt, og

at en forbedring af sikkerhedsniveauet, ofte kræver en indsats i forhold til

håndhævelse af regler, kompetenceopbygning samt en opgradering af

forældede eller usikre it-systemer, der ikke er udviklet med henblik på at

yde sikkerhed mod fejl eller angreb.

vurderer, at omkostningerne dog

må forventes at blive opvejet af fordele som færre omkostninger ved ha-

ckerangreb for de enkelte virksomheder og organisationer, mere effektiv

digitalisering i de europæiske samfund generelt, mindre behov for krise-

håndtering, en mere it-kompetent arbejdsstyrke og en større tryghed ved

digitalisering hos borgerne, når deres personlige data opbevares sikkert

kom (2020) 0823 - Bilag 1: Grund- og nærhedsnotat om forslag til direktiv om foranstaltninger til sikring af et højt fælles cybersikkerheds- niveau i hele Unionen

og beskyttet.

finder, at særligt borgernes tryghed i forhold til data-

håndteringen og sikkerheden ved dette, er vigtig at holde fast i og styrke.

Danske Havne (DH)

støtter, at indsatsen mod cyberkriminalitet skal til-

passes og styrkes for at sikre vigtig infrastruktur.

bemærker vigtighe-

den af, at de forpligtelser, som direktivet pålægger virksomheder (i dette

tilfælde havne), der betragtes som vigtig infrastruktur, er proportionale

med truslen fra cyberkriminalitet, og at dette gælder både i forhold til

omkostningerne og den administrative byrde for havnene.

bemærker, at mindre virksomheder (mindre end 50 ansatte) ikke er

omfattet af kravene til cybersikkerhed, men at det dog er usikkert, om det

førnævnte også gælder for havne, idet at direktivet henviser til havne som

defineret i sikringsdirektivet, hvilket stort set dækker alle danske er-

hvervshavne - også de meget små.

ønsker derfor at sikre, at størrelsen

af havnene også tages i betragtning, da det alternativt kan medføre store

ekstraomkostninger for små havne.

anfører vigtigheden af, at der foretages en cybersikkerhedsvurdering,

inden en havn er underlagt alle foranstaltningerne i direktivet.

bemærker, at det ofte ikke er havnen som sådan, der driver al kritisk

infrastruktur i havnen, f.eks. containerterminaler og færgeterminaler, og

derfor ikke havnen, der skal være genstand for foranstaltningerne.

foreslår derfor, at evalueringen af, om en havn skal være underlagt reg-

lerne i direktivet, foretages individuelt og af den kompetente nationale

myndighed. Den nationale myndighed bør foretage en specifik risikovur-

dering af hver havn og på dette grundlag beslutte, om den skal være om-

fattet af kravene til kritisk infrastruktur i direktivet, og at det også skal

specificeres, hvilke dele af havnen (systemer osv.) der i så fald betragtes

som kritisk infrastruktur.

bemærker, at forslaget vil medføre store ekstraomkostninger til im-

plementering og vedligeholdelse, og foreslår på denne baggrund, at der er

mulighed for økonomisk støtte til de virksomheder / havne, der er omfat-

tet af kravene.

Danske Maritime (DM)

bemærker, at antallet og karakteren af cyberan-

greb er bekymrende, idet der kommer stadig mere sofistikerede angreb fra

en bred vifte af kilder i og uden for EU.

lægger derfor vægt på ind-

gåelse af effektive internationale aftaler vedr. cybersikkerhed, og støtter

op om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i

hele EU.

Dansk Industri (DI)

bemærker, at hastigheden, som samfundet digitali-

seres i, og erfaringerne fra det eksisterende NIS-direktiv, retfærdiggør det

kom (2020) 0823 - Bilag 1: Grund- og nærhedsnotat om forslag til direktiv om foranstaltninger til sikring af et højt fælles cybersikkerheds- niveau i hele Unionen

nye forslag, som et led i EU’s bestræbelser på at skabe den nødvendige

cybersikkerhed i unionen.

henviser samtidig til de omfattende ska-

desvirkninger af hackerangreb og cyberkriminalitet, samt COVID-19

pandemiens tydeliggørelse af digitaliseringens betydning for samfundet,

som eksempler på at digitalisering bør ske med et nødvendigt fokus på

cybersikkerhed.

bifalder derfor Kommissionens prioritering af cyber-

sikkerhed, og finder det positivt, at forslaget bygger på en ensartet tilgang

blandt myndigheder, organisationer og virksomheder i Europa, således at

virksomhederne fremadrettet undgår uens krav til cybersikkerhed i de

forskellige EU-medlemslande.

bemærker, at forslaget vil give de valgte kompetente myndigheder

store beføjelser i forhold til at pålægge virksomheder efterlevelse af for-

skellige krav til cybersikkerhed, og til at pålægge virksomhederne admi-

nistrative bøder på op til 10.000.000 EUR eller op til 2 % af virksomhe-

dens årsomsætning, alt efter hvad der er højest.

vurderer, at selv om

der i direktivforslaget er tale om en halvering af de maksimale bødestør-

relser i GDPR-regi, er der tale om potentielle massive bøder til virksom-

heder, der ikke overholder forpligtelserne i direktivet.

sætter spørgsmålstegn ved om massive bødestørrelser er den rigtige

vej at gå på et område som cybersikkerhed, der er styret af risikovurde-

ringer, og hvor passende tiltag er og skal være dynamiske for at tilpasse

sig det skiftende trusselsbillede og den teknologiske udvikling, hvortil

bemærker at sidstnævnte tillige er afspejlet i direktivets overordnede for-

muleringer til virksomhedernes forpligtelser.

bemærker yderligere, at de kompetente myndigheder gives mulighed

for at pålægge virksomhederne en række indgreb som led i tilsyn og

håndhævelse af direktivet. Samtidig ser

en risiko for, at truslen om

massive bøder skaber frygt for at anvende data, at digitalisere og at skabe

værdi gennem digital nytænkning på samme måde, som

har set, og

fortsat ser, i kølvandet på implementeringen af GDPR.

ser det som helt afgørende, at den nationale implementering af direk-

tivet sker med et klart udgangspunkt i proportionalitet og risikovurderin-

ger, og bemærker, at dialog og samarbejde giver erfaringsmæssigt bedre

resultater end krav og bøder, som risikerer at føre til et større fokus på

compliance, fremfor indtænkning af cybersikkerhed i forretningen og en

reel styrkelse af cybersikkerheden.

bemærker, at Kommissionen foreslår, at NIS2 også kommer til at om-

fatte en række vigtige ”important” sektorer, herunder ”manufacturing”,

hvilket indebærer, at lovforslaget i modsætning til tidligere lovgivning

om infrastruktur også kommer til at omfatte f.eks. maskiner og elektriske

produkter i værdikæden.

finder, at det er problematisk, at det samme

kom (2020) 0823 - Bilag 1: Grund- og nærhedsnotat om forslag til direktiv om foranstaltninger til sikring af et højt fælles cybersikkerheds- niveau i hele Unionen

problem søges løst mange forskellige steder på samme tid. DI er bekym-

ret for, at det resulterer i, at samme produkt pålægges flere forskellige og

evt. modsatrettede krav; og så gerne, at krav vedr. produkters cybersik-

kerhed, blev harmoniseret som anden produktlovgivning.

bemærker, at CSA ikke baserer sig på principperne bag NLF, og fin-

der det derfor ikke hensigtsmæssigt, at NIS2 refererer til brug af standar-

der under CSA. Obligatorisk anvendelse af standarder udviklet under

CSA af 3. part, og dermed obligatorisk certificering, vil være et brud med

NLF og påfører virksomhederne unødvendige administrative og økono-

miske byrder.

finder at det bør være muligt for virksomheder frit at

vælge, hvordan de ønsker at opfylde de krav til cybersikkerhed, som de-

res produkter er underlagt, og i det omfang de ønsker det, på frivillig ba-

sis, benytte de relevante standarder eller state-of the art teknologier, der

sikrer kravenes opfyldelse, idet at det er således for alle andre risici, og

ikke ser nogen grund til at fravige dette princip for cybersikkerhed.

bemærker, at i det omfang virksomhederne anvender harmoniserede

standarder, opnås fri bevægelighed indenfor EU. I det omfang, at lovgi-

verne mener, at produktgruppen skal inddrage 3.part i deres risikovurde-

ring og overensstemmelsesvurdering, inddrages 3.part. Ikke med henblik

på certificering, men med henblik på at færdiggøre overensstemmelseser-

klæringen og påføre produktet dets CE-mærkning.

Dansk Standard (DS)

stiller sig generelt positivt overfor udspillet fra

Kommissionen, og finder ligeledes at direktivudkastet overordnet fint

løser de udfordringer, der er påpeget i evalueringen af det nuværende

direktiv.

Dansk Vand- og Spildevandsforenings (DANVA)

mener overordnet

set, at der skal være de lovgivningsmæssige rammer, der sikrer og under-

støtter, at danske virksomheder arbejder effektivt med informations- og

cybersikkerhed – udfra en risikobaseret tilgang.

DANVA

finder, at udka-

stet til direktiv vil være med til at forbedre rammerne for informations-

og cybersikkerhedsarbejdet i forsyningsselskaberne.

DANVA

bemærker, at der ikke er angivet nogle vandforsyninger på NIS-

bekendtgørelsens bilagsliste og, at der i praksis ikke er nogen danske er-

faringer med NIS-direktivet.

DANVA

understreger, at informations- og

cybersikkerhedsindsatsen skal være passende og proportional i forhold til

risikosituationen og omkostningerne.

DANVA

bemærker det typisk vil være vandselskaber af en vis størrelse,

der bliver omfattet.

DANVA

bemærker hertil, at denne form for arbejde

kræver stor viden og mange ressourcer.

DANVA

anfører, at der er behov

for yderligere uddybning af anvendelsesområdet, da det ikke er velbe-

kom (2020) 0823 - Bilag 1: Grund- og nærhedsnotat om forslag til direktiv om foranstaltninger til sikring af et højt fælles cybersikkerheds- niveau i hele Unionen

skrevet, om en række micro- og små vandselskaber kan blive omfattet i

visse situationer.

DANVA

finder, at det er afgørende, at der etableres et frugtbart og vel-

fungerende, dialogbaseret samarbejde mellem regulator, myndigheder og

selskaberne, og at samarbejdet bør tage udgangspunkt i selskabernes in-

formations- og cybersikkerhedssituation.

DANVA

byder det tværsektori-

elle samarbejde velkommen og opfordrer generelt til videndeling, udsen-

delse af advarsler og operationel information.

DANVA

bemærker, at tvangsindgreb kun bør anvendes, hvis mindre ind-

gribende foranstaltninger ikke er tilstrækkelige, og hvis indgrebet står i

rimeligt forhold til formålet med indgrebet.

DANVA

bemærker, at der er

behov for yderligere afklaring af hvilke omkostninger – direkte som indi-

rekte – direktivet vil afstedkomme for vandselskaberne.

Danske Rederier og Færgerederierne (DRFR)

ser ikke behov for en

større revision af direktivet for sektoren, idet

DRFR

finder, at det eksiste-

rende NIS-direktiv ((EU) 2016/1148) har opfyldt sit formål med hensyn

til søtransport.

DRFR

bemærker hertil, at der på skibsfartsområdet er lex

specialis og derfor ikke behov for at der stilles forøgede krav til shipping

og logistik virksomheder i forbindelse med NIS2.

DRFR

finder, at forslaget synes at foreslå en mere central tilgang både

nationalt og på EU-plan.

DRFR

understreger her den danske decentrale

tilgang til cybersikkerhed, baseret på sektoransvarsprincippet, som

DRFR

støtter.

DRFR

støtter fuldt ud, at små- og mikrovirksomheder er undtaget fra

forslaget.

DRFR

bemærker samtidigt, at det er vigtigt, at øvrige virksom-

heder ikke automatisk bliver en del af direktivet. Dette skal i stedet bero

på at den ansvarlige sektormyndighed i medlemsstaterne identificere om-

fattede virksomheder.

DRFR

bemærker, at

de foreslåede tekniske og organisatoriske foranstalt-

ninger kan være meget omfattende og dyre for en virksomhed eller enhed at

gennemføre, hvorfor der skal gives tilstrækkelig tid til implementering.

Danske Regioner (DKR)

er enige i direktivets grundlæggende præmis;

at øge cybersikkerheden på tværs af EU og ensrette krav til operatører i

de samfundskritiske sektorer.

DKR

finder det positivt, at der i forslaget er

indarbejdet et større fokus på og sammenhæng med de europæiske data-

beskyttelsesregler, så det bliver mere entydigt i praksis.

DKR

bemærker forslagets muligheder for håndhævelsesforanstaltninger,

sanktioner og administrative bøder ved manglende efterlevelse af direkti-

kom (2020) 0823 - Bilag 1: Grund- og nærhedsnotat om forslag til direktiv om foranstaltninger til sikring af et højt fælles cybersikkerheds- niveau i hele Unionen

vet.

DKR

anbefaler, at man ser på hvilke virkemidler, der er de mest hen-

sigtsmæssige til at fremme formålet.

DKR

bemærker, at en fælles udvik-

ling kræver en vis åbenhed om fejl og mangler, og at bøder kan modvirke

den mekanisme.

DKR

konstaterer, at direktivet beskriver, at pålagte tilsyns- og håndhæ-

velsesforanstaltninger skal have en ”afskrækkende virkning”.

DKR

be-

mærker, at det afviger markant fra den samarbejdsorienterede tilgang de

danske sundhedsmyndigheder har lagt op til frem til nu.

DKR

anbefaler,

at det gøres let og risikofrit at indberette cybertrusler og hændelser frem

for, at aktørerne risikerer strengere tilsyn og pålagte foranstaltninger med

”afskrækkende virkning”.

DKR

bemærker, at der ikke er en tydelig sammenhæng mellem formålet

om at styrke cybersikkerheden og de hændelser, der skal underrettes om.

DKR

finder, at det er utydeligt, hvornår en hændelse er så væsentlig, at

den skal indberettes.

DKR

anbefaler, at der som minimum udformes sup-

plerende beskrivelser, der tydeliggør og konkretiserer hvilke hændelser,

der skal underrettes om.

DKR

bemærker, at forslaget rummer mange nye

opgaver med deraf et stort afledt ressourcetræk.

DKR

bemærker hertil, at

der er behov for at vurdere de samlede konsekvenser af forslaget.

Dansk Erhverv / IT-Branchen (DEIT)

støtter til fulde hensigten bag

NIS2. Virksomheder kan lide meget store økonomiske tab i tilfælde af it-

sikkerhedshændelser, som det er sket for flere markante danske virksom-

heder i de seneste år. Desuden er der store samfundsmæssige risici for-

bundet med angreb på særligt de kritiske samfundssektorer.

DEIT

har i regi af den nuværende NIS-ramme været involveret i nedsæt-

telsen af en decentral cyber- og informationssikkerhedsenhed (DCIS) i

telesektoren.

DEIT

bemærker hertil, nedsættelse og drift af en DCIS er

en betydelig ressourcekrævende opgave for de berørte virksomheder,

organisationer og myndigheder. Til gengæld giver samarbejdet en række

sikkerhedsmæssige fordele i form af nyttig udveksling af viden og mulig-

hed for hurtigere reaktioner på trusler.

DEIT

bemærker de i Kommissionens konsekvensanalyse angivne øgede

omkostninger for nuværende og fremtidige omfattede virksomheder, samt

de øgede offentlige udgifter.

DEIT

bemærker hertil de af Kommissionen

skønnede besparelser.

DEIT

opsummerer i forlængelse heraf, at det afgø-

rende er, at indsatsen målrettes de virksomheder, der i kraft af deres stør-

relse og rolle i samfundet, har tilstrækkelig betydning til, at omkostnin-

gerne står i proportion til udfordringernes karakter.

Danske Statsbaner (DSB)

vurderer generelt, at direktivforslaget inde-

holder mange gode aspekter i forhold til styrkede krav til risikostyring,

kom (2020) 0823 - Bilag 1: Grund- og nærhedsnotat om forslag til direktiv om foranstaltninger til sikring af et højt fælles cybersikkerheds- niveau i hele Unionen

mere samarbejde og løbende opfølgning. DSB ser dog samtidigt aspekter

i forslaget, som kan have den effekt, at der skabes meget stor fokus på

compliance og formel rapportering og derved mindre fokus på den opera-

tionelle tekniske styring af cybersikkerhedsrisici.

Erhvervsflyvningens Sammenslutning (ES)

bemærker, at der i konse-

kvensanalysen konkluderes, at den foretrukne løsningsmodel er løs-

ningsmodel 3 (systemiske og strukturelle ændringer af NIS-rammen).

kan støtte løsning 3, som den fremgår af konsekvensanalysens konklu-

sion, men har herudover ikke yderligere bemærkninger.

Finans Danmark (FD)

finder det positivt, at Kommissionen fastholder

fokus på et højt sikkerhedsniveau for de europæiske samfundskritiske

funktioner og digitale infrastrukturer.

finder det positivt, at Kommis-

sionens forslag udvider anvendelsesområdet ved at tilføje nye sektorer

baseret på deres kritiske indflydelse på økonomien og samfundet.

finder det videre positivt, at der indføres et klart størrelsesloft - hvilket

betyder, at alle mellemstore og store virksomheder i udvalgte sektorer vil

blive omfattet.

bemærker, at det er vigtigt, at det er entydigt, hvem

der er omfattet.

bemærker, at den eksisterende NIS-rammes sondring mellem operatø-

rer af væsentlige tjenester og udbydere af digitale tjenester fjernes, til

fordel for en klassifikation på baggrund af betydning i hhv. væsentlige og

vigtige kategorier med den konsekvens, at de underkastes forskellige til-

synsordninger.

anbefaler, at der her sigtes mod en differentiering ba-

seret på et proportionalitetsprincip, således at relevante krav målrettes

den faktiske risiko.

finder det positivt, at forslaget styrker sikkerheds-

krav ved at indføre krav om en risikostyringstilgang.

bemærker, at der oprettes et antal nye organer (f.eks. Den fælles cy-

berenhed).

bemærker hertil, at det er vigtigt at undgå overlappende

ansvar, især mellem nationale organer og overnationale organer.

an-

befaler, at der er fokus på ikke at skabe et meget komplekst, fragmenteret

og besværligt rapporterings-økosystem.

bemærker bestemmelserne

vedrørende IKT-certificering og finder, at det både er positivt og propor-

tionalt, at det er leverandøren, der skal sikre, at sikkerheden er på plads

gennem en certificeringsordning.

bemærker, at finanssektoren i tillæg til NIS2 også forventes omfattet

af DORA (”Digital Operational Resilience Act”), der bliver en Lex speci-

alis for finansielle institutioner/finansmarkedets infrastruktur.

finder

det afgørende, at der i den forbindelse undgås dobbeltregulering eller

skabes usikkerhed.

bemærker videre, at der i direktivet om kritiske

enheders modstandsdygtighed henvises til cyber- og ikke-cybermod-

kom (2020) 0823 - Bilag 1: Grund- og nærhedsnotat om forslag til direktiv om foranstaltninger til sikring af et højt fælles cybersikkerheds- niveau i hele Unionen

standsdygtighed.

finder det også afgørende, at der også i denne for-

bindelse undgås dobbeltregulering eller skabes usikkerhed.

bemærker, at finanssektoren er underlagt en række rapporteringskrav

på cybersikkerhedsområdet, og forventes i fremtiden at blive underlagt

flere rapporteringskrav.

anbefaler, at rapporteringskrav i videst muligt

omfang harmoniseres.

Forsikring og Pension (F&P)

giver stor opbakning til en mere fokuseret

indsats, der bidrager til at øge modstandsdygtigheden over for cyberan-

greb i den finansielle sektor i EU og Danmark.

F&P

bemærker at cyber-

sikkerhedsdagsordenen i forvejen er højt prioriteret i den danske forsik-

rings- og pensionsbranche, hvor der er tæt koordinering og videndeling.

F&P

har i efteråret 2020 givet høringssvar på EU’s lovforslag til ”Digital

Operationel Resilience Act (DORA)”, som kommer til at regulere den

finansielle branche.

F&P

foreslår derfor, at det bliver tydeliggjort i selve lovteksten i NIS-di-

rektivet (og ikke kun i præamblen pkt. 13), at direktivet ikke gælder for

forsikrings- og pensionsbranchen, så der fremadrettet ikke er tvivl om,

hvilke krav finansielle virksomheder skal efterleve.

Ingeniørforeningen IDA (IDA)

er overordnet positiv overfor direktivet.

Som årsag anføres fokus på et styrket niveau af cybersikkerhed i Dan-

mark og andre europæiske lande, der jævnligt rammes af cyberangreb så

vel som datalæk grundet menneskelige fejl som følge af manglende kom-

petencer eller opmærksomhed.

IDA

vurderer at cyberangreb og datalæk har store konsekvenser for de

enkelte virksomheders økonomi, samfundets forsyningssikkerhed,

statens sikkerhed og almindelige borgeres tillid til et stadigt mere

digitalt samfund.

IDA

anfører, at manglende cybersikkerhed kan være meget lokalt og an-

greb eller fejl kan ramme meget specifikt, imens digitaliseringen generelt

er international og udveksling af data flyder konstant mellem EU-lan-

dene.

IDA

er derfor varm fortaler for, at en stor del af indsatsen for et

højere sikkerhedsniveau sker på europæisk plan, dvs. i regi af EU.

IDA

angiver vigtigheden af, at forskelle mellem de europæiske lande udlignes

og løftes til et forsvarligt niveau, og finder det fornuftigt at stramningerne

sker ved at stille differentierede krav til ex. hhv. store organisationer og

hhv. mikrovirksomheder, baseret på forståelsen af, hvad der kan lade sig

gøre, og hvilke tiltag som er mest effektive, i forhold til den pågældende

organisation.

kom (2020) 0823 - Bilag 1: Grund- og nærhedsnotat om forslag til direktiv om foranstaltninger til sikring af et højt fælles cybersikkerheds- niveau i hele Unionen

Samtidig finder

IDA,

at de på kort sigt højnede omkostninger for offent-

lige organisationer og virksomheder, til at etablere et stigende cybersik-

kerhedsniveau, må forventes at blive opvejet af fordele, så som færre om-

kostninger ved hackerangreb; mere effektiv digitalisering i de europæiske

samfund generelt; mindre behov for krisehåndtering; en mere it-kompe-

tent arbejdsstyrke; og en større tryghed ved digitalisering hos borgerne,

når deres personlige data opbevares sikkert og beskyttet.

Kommunernes Landsforening (KL)

finder, at der er mange gode initia-

tiver i direktivet, som kan medvirke til fælles tiltag på cybersikkerheds-

området. Generelt finder KL, at der er behov for koordinering med de

krav der følger af GDPR ift. både risikovurderinger, fastsættelse af krav

til udveksling af oplysninger og håndtering af udfordringer med mang-

lende overholdelse.

Landbrug & Fødevarer (LF)

bemærker, at Fødevareklyngen har mange

virksomheder med få ansatte.

finder det derfor positivt og proportio-

nelt, at små virksomheder og mikrovirksomheder vil blive undtaget fra

NIS-rammens anvendelsesområde.

bemærker den af Kommissionen

anslåede forøgelse af omkostninger på 22 % i de første år efter indførel-

sen af den nye NIS-ramme.

finder, at dette er uproportionalt og en

markant erhvervsøkonomisk konsekvens.

bemærker overholdelses- og håndhævelsesomkostninger for de rele-

vante myndigheder i medlemsstaterne, og den af Kommisionen anslåede-

samlede stigning på ca. 20-30 % af ressourcerne.

udtrykker bekym-

ring for den øgede omkostningsbyrde for de relevante myndigheder.

bemærker, at hvis omkostningerne tilvejebringes via gebyrfinansie-

ring, vil virksomheder, der er omfattet af NIS-rammen, pålægges en dob-

beltbyrde.

bemærker hertil, at en asymmetrisk finansiering og hånd-

hævelse kan skævvride konkurrencen på det indre marked.

bemærker

i forlængelse heraf, at en uligevægtig pålægning af administrative bøder

kan bidrage skævt til konkurrencesituation, hvilket især er vigtigt med en

bøderamme på op til 2 % af den samlede globale årsomsætning i en virk-

somhed.

TeleIndustrien (TI)

finder regeringens og KOMs fastholdte fokus på den

digitale infrastrukturs samfundskritiske funktion, positivt, og deler de

førnævntes vurdering af, at økonomisk genoprejsning som følge af

COVID-19 krisen, i høj grad afhænger af en velfungerende og sikker

teleinfrastruktur.

bemærker, at der i direktivet er meget eksplicit krav om, at der skal

føres tilsyn, og at der skal være stærke muligheder for anvendelse af

sanktioner fra den kompetente myndighed. Der nævnes bl.a., at den kom-

petente myndighed skal have mulighed for: onsite/offsite audit med

kom (2020) 0823 - Bilag 1: Grund- og nærhedsnotat om forslag til direktiv om foranstaltninger til sikring af et højt fælles cybersikkerheds- niveau i hele Unionen

stikprøver, regelmæssige tilsyn, tilsyn baseret på risikovurderinger eller

risikorelateret tilgængelig information, sikkerhedsscanninger m.m.

appellerer til, at disse beføjelser anvendes med omtanke, samt at der

vil være et fokus på, at der ikke sker en konkurrenceforvirring. Historisk

har myndighederne på teleområdet ikke anvendt de sanktionsmuligheder,

de har haft, men i stedet fokuseret på dialog og samarbejde,

hvilket

anbefaler, at lovgivningen fortsat vil give plads til.

Specifikke bemærkninger

Genstand og anvendelsesområde

Artikel 1-2)

bemærker, at kommunerne er pålagt ved lov at risiko-

vurdere på kommunale behandlingsaktiviteter. Muligheden for, at der

lægges nye metoder og rapporteringsforpligtigelser fra centralt hold ned

over kommunerne er stor, og vil betyde yderligere omkostninger til res-

sourcer og håndtering af formelle krav til nye centrale risikovurderinger

og dobbelt rapportering.

Artikel 1-2)

hilser det foreslåede anvendelsesområde velkomment,

herunder forpligtelser om, at medlemsstaterne skal vedtage en national

cybersikkerhedsstrategi, om risikostyring og rapportering vedrørende

cybersikkerhed samt vedrørende udveksling af cybersikkerhedsoplysnin-

ger, hvor

ikke forudser væsentlige ændringer i forhold til

dansk praksis på teleområdet.

Artikel 2)

DEIT

kan i forlængelse af proportionalitetsprincippet støtte

afgrænsningen, hvor direktivet – med visse undtagelser – ikke finder an-

vendelse på enheder, der betragtes som mikrovirksomheder eller små

virksomheder.

Nationale rammer for cybersikkerhed

Artikel 5-11)

bemærker, at såfremt samlingspunktet for CSIRT-arbej-

det skulle blive Center for Cybersikkerhed, ser

gerne, at der grund-

læggende sker en opdeling således, at den/de myndighed(er) eller en-

hed(er), som skal facilitere videndeling, udveksling af oplysninger, risi-

kostyring og rapportering om fx cybersikkerhedshændelser, ikke er

den/de samme myndighed(er), som også skal føre tilsyn, audits m.m., og

som kan udstede sanktioner.

Artikel 6)

DEIT

bemærker, at det i

lyset af sikkerhedstruslernes grænse-

overskridende karakter er relevant, at de nationale CSIRT’er samarbejder på

tværs af grænser i CSIRT-netværket, og at lade ENISA udvikle og vedlige-

holde et europæisk sårbarhedsregister. I forbindelse med offentliggørelser

kom (2020) 0823 - Bilag 1: Grund- og nærhedsnotat om forslag til direktiv om foranstaltninger til sikring af et højt fælles cybersikkerheds- niveau i hele Unionen

om sårbarheder, er det dog afgørende, at der i videst muligt omfang tages

hensyn til beskyttelse af oplysninger, der deles af de i berørte virksomheder,

herunder i særlig grad oplysninger, der kan have betydning for virksomhe-

dens konkurrencesituation.

Artikel 6)

bemærker, at udviklingen og vedligehold af et europæisk

sårbarhedsregister i regi af ENISA findesumiddelbart positiv.

Artikel 7)

DEIT

bemærker, at i forbindelse med vedtagelse af en national

cybersikkerhedshændelses- og kriseberedskabsplan bør NIS2 sikre, at det i

højst mulig grad er muligt at bygge videre på de værdifulde indsatser, der

allerede er iværksat for de kritiske samfundssektorer.

Artikel 10)

DEIT

bemærker, at

CSIRT’ere pålægges en række omfattende

opgaver.

DEIT

konstaterer hertil, at det ikke begrundes, hvorfor denne op-

gave bør udføres af en offentlig aktør frem for private cybersikkerhedsvirk-

somheder.

Samarbejde

Artikel 12)

finder kravet om et konkret arbejdsprogram for de foran-

staltninger, der skal iværksættes for at nå mål og opgaver, i medfør af stk.

5, afgørende for fremdrift af en sådan tværnational samarbejdsgruppe.TI

bemærker, for så vidt hvad angår de foreslåede bestemmelser om samar-

bejde, herunder om et europæisk netværk af cybersikkerhedsorganisatio-

ner, at disse synes at være et naturligt næste skridt og noget,

som er naturligt koordineret af de nationale CSIRT’er.

Forpligtelser vedrørende risikostyring og rapportering i forbindelse

med cybersikkerhed

Artikel 17-19)

DSB

bemærker at der med artiklerne stilles nye krav til

virksomhederne om metoder, proces og kompetenceniveau på området.

DSB

bemærker, at det betyder, at eksisterende praksis skal ændres, hvil-

ket kan medføre yderligere omkostninger. For at opnå en gevinst ved en

mere aktiv involvering af myndighederne på dette område kræver det, at

der oparbejdes et vist kompetenceniveau inden for cybersikkerhedsrisici.

Artikel 17-23)

bemærker, i medfør af de foreslåede forpligtelser ved-

rørende risikostyring og rapportering i forbindelse med cybersikkerhed,

at de foreslåede bestemmelser om, at ledelsesorganer i alle enheder,

der er omfattet af anvendelsesområdet, skal godkende de risikohåndte-

ringsforanstaltninger vedrørende cybersikkerhed, der træffes af de

respektive enheder, og følge specifik cybersikkerhedsrelateret uddan-

nelse, er proportionale og naturlige.

kom (2020) 0823 - Bilag 1: Grund- og nærhedsnotat om forslag til direktiv om foranstaltninger til sikring af et højt fælles cybersikkerheds- niveau i hele Unionen

Artikel 18)

DEIT

bemærker, at medlemsstaterne skal sikre, at de berørte

enheder foretager en lang række omfattende foranstaltninger (jf. stk. 2).

Kommissionen kan vedtage gennemførelsesretsakter med henblik på at

fastlægge de tekniske og metodiske specifikationer for de i stk. 2 om-

handlede elementer og tillægges beføjelser til at vedtage delegerede

retsakter med henblik på at supplere de elementer, der er fastsat i stk. 2,

for at tage hensyn til nye cybertrusler, den teknologiske udvikling eller

sektor-specifikke særtræk.

DEIT

bemærker, at det nærmere bør præcise-

res, hvad det er for tekniske og metodiske specifikationer, der kan vedta-

ges ved gennemførelsesretsakter, og

DEIT

bemærker i forlængelse heraf,

at beføjelsen til at supplere elementerne, der er fastsat i stk. 2 forekom-

mer temmelig bred, hvorfor

DEIT

ønsker en nærmere præcisering og

begrænsning af beføjelsen.

Artikel 20)

DEIT

bemærker, at der er vigtigt, at indrapporterende enhe-

der ikke risikerer, at der deles oplysninger, der kan skade virksomhedens

konkurrenceposition. Det er væsentligt for at sikre virksomhedernes mu-

ligheder og fortsatte tillid i forbindelse med deling af oplysninger om

sikkerhedshændelser.

DEIT

understreger, at stk. 6, omhandlende, at de

myndighederne skal tage vare på den digitale tjenesteudbyders sikkerhed

og kommercielle interesser samt fortrolig behandling af de afgivne oplys-

ninger, er yderst vigtig for virksomhederne.

DEIT

bemærker, at såfremt

en kompetent myndighed eller CSIRT kræver, at offentligheden bliver

informeret om en hændelse, bør deling af konkrete informationer ske i tæt

konsultation med den berørte enhed for at forhindre deling af forretnings-

kritiske oplysninger.

Artikel 20)

DSB

bemærker, at definitionen af hændelser inkluderer

kommercielle tab og, at der efter

DSB’s

vurdering ikke er gradueret i

forhold til væsentlighed.

DSB

foreslår, at ”væsentlige” økonomiske tab

tilføjes i artikel 20.

DSB

bemærker videre, at hændelsesinformation skal tilgå CSIRT uden

unødig forsinkelse, og senest 24 timer efter at virksomheden har fået

kendskab til denne.

DSB

anfører, at håndteringen af cyberhændelser kræ-

ver særlige kompetencer og ressourcer, og at det er

DSB’s

forståelse, at

kravet indebærer, at

DSB

etablerer et 24/7 stående beredskab.

DSB

be-

mærker, at en sådan udvidelse vil betyde en væsentlig omkostning for

DSB

i forhold til det eksisterende niveau.

DSB

finder i den forbindelse

positivt, at medlemsstaterne fastsætter bestemmelser om, at den pågæl-

dende enhed i behørigt begrundede tilfælde og efter aftale med de kompe-

tente myndigheder eller CSIRT'en kan fravige de fastsatte frister.

Artikel 20)

DANVA

bemærker, at fristerne for, hvornår hændelser skal

afrapporteres, bør genovervejes. Fx om fristen for rapporter efter en må-

ned er praktisk mulig og fornuftig.

kom (2020) 0823 - Bilag 1: Grund- og nærhedsnotat om forslag til direktiv om foranstaltninger til sikring af et højt fælles cybersikkerheds- niveau i hele Unionen

Artikel 20)

opfordrer til, at rapporteringsforpligtelserne sker med et

minimum af administrative byrder for virksomhederne, der i forvejen på-

lægges at indrapportere på andre områder som f. eks. i regi af GDPR. Vi-

dereudvikling af den fælles indberetningsløsning som oprindeligt tænkt,

så en enkelt virksomhedsindberetning dækker flere indrapporteringskrav

og opfordringer, vil være positivt. Samtidig bør den nationale implemen-

tering sikre, at virksomhedernes både frivillige og påkrævede indrappor-

tering automatisk undtages aktindsigt, som det allerede er indført i visse

tilfælde ved indberetninger til Center for Cybersikkerhed.

Endelig ser

det som naturligt, at der også indføjes et krav til myndig-

hederne om rapportering af viden tilbage til virksomhederne.

Artikel 21)

DSB

bemærker, at der introduceres yderligere certificerings-

ordninger/attester inden for cybersikkerhed.

DSB

foreslår, at nye ordnin-

ger ses i kontekst af allerede eksisterende foranstaltninger og kontrolme-

kanismer, så effekten optimeres i forhold til de ekstra omkostninger, der

pålægges virksomheden.

Artikel 21)

bemærker, at det er såvel positivt som proportionalt, at det

er leverandøren, der skal sikre, at sikkerheden er på plads gennem en

IKT-certificeringsordning.

anbefaler, at der arbejdes for fælles stan-

darder på tværs af EU’s medlemslande.

Artikel 21)

bemærker, at der i Danmark i 2021 lanceres en mærk-

ningsordning for it-sikkerhed og ansvarlig data-anvendelse – d-mærket -

der fra starten er tænkt til at bidrage til en europæisk mærknings-ordning

baseret på de danske erfaringer. Regeringen bør opfordre Kommissionen

til at se i den danske mærkningsordnings retning i forhold til at anbefale

en passende europæisk mærkningsordning, der kan understøtte, at en

virksomhed lever op til direktivets forplig-telser om et passende cyber-

sikkerhedsniveau.

Artikel 21)

bemærker, at det danske mærkningsordningsprojekt, som

er en af parterne bag, vil etablere en mærkningsordning for tillid til

dataanvendelse, der både handler om it-sikkerhed, persondatabeskyttelse

og om anvendelse af ny teknologi som kunstig intelligens.

finder, at

der ikke skal etableres flere mærkningsordninger for tillid til dataanven-

delsen med hvert sit forskellige fokus; it-sikkerhed, privatlivsbeskyttelse,

kunstig intelligens, Internet of Things osv, samt at førnævnte er en selv-

stændig pointe i lyset af, at Kommissionen også taler om mærkningsord-

ningen på andre digitale områder.

Udveksling af oplysninger

Artikel 26-27)

bemærker overordnet, at der ses en udfordring i at sikre

vidensdeling, hvis samme myndighed eller enhed samtidig skal føre til-

kom (2020) 0823 - Bilag 1: Grund- og nærhedsnotat om forslag til direktiv om foranstaltninger til sikring af et højt fælles cybersikkerheds- niveau i hele Unionen

synet.

ønsker i denne sammenhæng, at videndelingen skal foregå i

begge retninger: myndigheder skal pålægges at dele viden med aktørerne

på samme måde, som aktørerne skal dele viden med myndighederne.

Artikel 26)

DSB

bemærker, at det fremgår, at virksomheder kan udveksle

relevante cybersikkerhedsoplysninger.

DSB

bemærker, at der kan være

tale om yderst forretningskritiske oplysninger, hvorfor

DSB

opfordrer til,

at der lægges stor vægt på fortrolighed, herunder at der kun indsamles

absolut nødvendig information.

Artikel 27)

bemærker, at der er behov for klart at definere, hvad der

karakteriseres som en ”væsentlig hændelse” på europæisk niveau.

Tilsyn og håndhævelse

Artikel 28)

bemærker, at henvisningen til fælles standarder på sårbar-

hedshåndteringsområdet, herunder håndhævelse af artikel 18, 20 og 22,

findes væsentlig for at sikre samordnet praksis. Hvis dette tilstræ-

bes, bør disse fælles standarder, når de er kendt og vedtaget, ligeledes

implementeres i dansk retstilling i form af udmøntning i bekendtgørelsen.

Artikel 29-30)

bemærker umiddelbart forundring over skellet mellem

”væsentlige enheder” og ”vigtige enheder”, i medfør af tilsyn og hånd-

hævelse af sådanne.

Artikel 29-30)

opfordrer til, at der samarbejdes med leverandører in-

denfor it-sikkerhed, og at markedet dermed inddrages i implementeringen

af kontrol og tilsyns-regimet, så virksomheder bl.a. i videst mulig ud-

strækning kan anvende deres eksisterende it-sikkerhedsleverandør, som

de har tillid til, til f.eks. sikkerhedsscanninger og anden kontrol og doku-

mentation.

Artikel 28-33)

DSB

bemærker, at der er tale om skærpede og udvidede

beføjelser for medlemslandenes tilsyn og håndhævelse.

DSB

foreslår, at

nye ordninger ses i kontekst af allerede eksisterende foranstaltninger og

kontrolmekanismer, så effekten optimeres i forhold til de ekstra omkost-

ninger, der pålægges virksomheden.

DSB

bemærker yderligere, at der

foreslås udvidede muligheder for at pålægge bøder samt andre sanktioner.

DSB

bemærker hertil, at det kan skabe konkurrencefordele mellem virk-

somheder (f.eks. offentlige contra private virksomheder eller mellem

virksomheder i forskellige lande).

Artikel 29-31)

bemærker, at bøder ikke er hensigtsmæssige i forhold

til offentlige myndigheder, herunder landets kommuner, og, at de øvrige

foranstaltninger både vil være tilstrækkelige og langt mere effektive. KL

bemærker i forlængelse heraf, at en kommune skal skære i den service,

kom (2020) 0823 - Bilag 1: Grund- og nærhedsnotat om forslag til direktiv om foranstaltninger til sikring af et højt fælles cybersikkerheds- niveau i hele Unionen

som kommunen leverer, på fx skoler eller i ældreplejen, hvis en kom-

mune pålægges en meget stor bøde.

Artikel 31)

DEIT

bemærker, at overtrædelser af forpligtelserne i artikel

18 eller artikel 20 er administrative bøder på maksimalt mindst 10 mio.

EUR eller op til 2 pct. af den samlede globale årsomsætning i den virk-

somhed, som den væsentlige eller vigtige enhed tilhører i det foregående

regnskabsår, alt efter hvad der er højest.

DEIT

bemærker hertil, at bøde-

niveauet er meget højt samt, at berørte virksomheder ofte vil lide et øko-

nomisk tab som følge af fx driftsforstyrrelser, manglende mulighed for

afsætning eller tab af omdømme. I det lys konstaterer

DEIT,

at bødeni-

veauet på op til 10 mio. EUR eller 2 pct. af årsomsætningen forekommer

ude af proportion.

Artikel 31)

DRFR

bemærker ift. administrative bøder, at det foreslåede

niveau er fuldstændigt uacceptabelt.

DRFR

bemærker hertil, at en admi-

nistrativ bøde vil være en dobbeltstraf for en virksomhed som er blevet

udsat for en kriminel handling i form af et cyberangreb.

DRFR

bemær-

ker, at en bøde sandsynligvis ikke vil være

motiverende for deling af in-

formation og viden om et potentielt cyberangreb.

Øvrigt

Betragtning 38)

foreslår, – på baggrund af betragtning 28, hvor inter-

nationale standarder bruges til at give et eksempel, hvor der kan findes

vejledninger til at opnå formålet med direktivet – at der henvises direkte

til standarden ISO/IEC 27005, da denne giver en internationalt anerkendt

vejledning til styring af ”risiko”.

bemærker, at henvisningen til vej-

ledningen vil give et fælles udgangspunkt for en definition på tværs af

medlemslandene.

Betragtning 40)

foreslår, – på baggrund af betragtning 28, hvor inter-

nationale standarder bruges til at give et eksempel, hvor der kan findes

vejledninger til at opnå formålet med direktivet – at der henvises direkte

til standarden ISO/IEC 27002, da denne giver en internationalt anerkendt

vejledning til relevante informationssikkerhedsforanstaltninger.

be-

mærker, at henvisningen til vejledningen vil give et fælles udgangspunkt

for en definition på tværs af medlemslandene.

Bilag 7)

DSB

bemærker, de af Kommissionen anslåede udgiftsstigninger

til overholdelses- og håndhævelsesaktiviteter. DSB bemærker, at ud fra

erfaringer fra andre sektorer vil et øget kontrolpres fra myndighederne

resultere i en øget omkostningsbyrde hos virksomhederne til at besvare

og håndtere disse kontrolaktiviteter.

kom (2020) 0823 - Bilag 1: Grund- og nærhedsnotat om forslag til direktiv om foranstaltninger til sikring af et højt fælles cybersikkerheds- niveau i hele Unionen

10.

Generelle forventninger til andre landes holdninger

Der foreligger på nuværende tidspunkt ikke konkrete oplysninger om

andre landes holdninger til forslaget.

11.

Regeringens foreløbige generelle holdning

Cybertruslen er en alvorlig trussel mod EU og Danmark. Regeringen ser

med dyb alvor på, hvordan cyberangreb rammer virksomheder, myndig-

heder og demokratier med økonomiske og politiske konsekvenser til følge.

Regeringen anerkender, at udviklingen i cybertruslerne sammenholdt

med vores udbyggede digitale infrastruktur betyder, at cyberangreb har

gode forudsætninger for at sprede sig i og på tværs af sektorer. I Dan-

mark er truslen fra både cyberkriminalitet og cyberspionage meget høj.

Derfor er cybersikkerhed en høj prioritet for regeringen.

Regeringen hilser på den baggrund Kommissionens forslag velkommen

og ser positivt på ønsket om at højne cybersikkerheden og trusselsbe-

vidstheden - også i yderligere sektorer, der ikke traditionelt arbejder med

sikkerhed.

Regeringen arbejder generelt for at styrke samfundets resiliens, og for-

slaget flugter i høj grad med regeringens syn på beskyttelse af kritisk

infrastruktur. Regeringen er enig i, at forslaget styrker modstandsdygtig-

heden ved at bidrage til et mere komplet og opdateret situationsbillede.

Regeringen støtter i forlængelse heraf fokus på øget samarbejde og vi-

densdeling, herunder udviklingen af et europæisk sårbarhedsregister.

Regeringen finder det samtidig meget vigtigt, at NIS-direktivet ikke med-

fører uforholdsmæssige eller unødige økonomiske byrder for aktører, som

fra dansk side ikke er samfundsmæssigt eller økonomisk vigtige eller di-

rekte afhængige af net- og informationssystemer, og at der tages hensyn til

allerede eksisterende regulering og krav i sektorerne.

Regeringen finder det således meget vigtigt, at Danmark i lighed med det

nuværende NIS-direktiv kan implementere NIS2 efter sektoransvarsprin-

cippet.

Regeringen finder det meget vigtigt, at en eventuel udvidelse af NIS-di-

rektivets dækningsområde i bredden og dybden sker med udgangspunkt i

en risikobaseret tilgang, der sikrer proportionalitet i forhold til de cyber-

sikkerhedskrav, som stilles i direktivet. Regeringen vil arbejde for at be-

grænse unødige administrative byrder. Regeringens endelige stillingta-

gen afventer en nærmere vurdering af de statslige og erhvervsøkonomiske

konsekvenser.

kom (2020) 0823 - Bilag 1: Grund- og nærhedsnotat om forslag til direktiv om foranstaltninger til sikring af et højt fælles cybersikkerheds- niveau i hele Unionen

Regeringen er som udgangspunkt positiv over for, at forslaget medfører en

betydelig harmonisering på tværs af EU mht. hvilke virksomheder, der er

omfattet af direktivet. Imidlertid indebærer forslagets lave grænse for,

hvilke virksomheder der er omfattet, en risiko for at virksomheder, som ikke

er samfundsmæssigt eller økonomisk vigtige, kan blive omfattet. Regeringen

vil derfor arbejde for en mere målrettet og risikobaseret regulering.

Det er ikke klart for Regeringen, hvad der specifikt ligger i forslagets

bestemmelser om gennemførselsretsakter, og regeringen ser et behov for

præcisering og afgrænsning af bestemmelserne.

Der arbejdes i øjeblikket på at udforme en ny national strategi for cyber- og

informationssikkerhed til afløsning af den gældende, som udløber i 2021.

En ny strategi forventes at træde i kraft før et nyt NIS-direktiv er færdigfor-

handlet og skal implementeres i dansk lovgivning. Regeringen vil naturlig-

vis bestræbe sig på overensstemmelse med dækningsområde og krav i den

nationale strategi og de forventede krav som følger af et nyt NIS-direktiv.

12.

Tidligere forelæggelse for Folketingets Europaudvalg

Sagen har ikke tidligere været forelagt Folketingets Europaudvalg.