Forsvars-, Samfundssikkerheds- og Beredskabsudvalget 2024-25
L 141 Bilag 1
Offentligt
2976177_0001.png
Dato:
Kontor:
6. februar 2025
Sikkerhed
KOMMENTERET OVERSIGT
over
høringssvar om forslag til lov om foranstaltninger til sikring
af højt cybersikkerhedsniveau
(NIS 2-loven)
Indhold
1. Høringen ............................................................................................. 2
1.1. Høringsperiode
................................................................................ 2
1.2. Hørte myndigheder og organisationer mv.
...................................... 2
2.
Høringssvarene ................................................................................... 6
2.1. Generelle bemærkninger til lovforslaget
......................................... 6
2.2. Bemærkninger til de enkelte punkter i lovforslaget
......................... 8
2.2.1. Lovens anvendelsesområde
........................................................... 8
2.2.1.1. Vurdering af, hvorvidt en enhed er omfattet af lovens
anvendelsesområde
................................................................................. 8
2.2.1.2. Anvendelsesområde for kommuner
.......................................... 10
2.2.1.3. Afgrænsningen af væsentlige og vigtige enheder
..................... 12
2.2.2. Foranstaltninger til styring af cybersikkerhedsrisici
.................. 13
2.2.2.1. Anvendelse af standarder
......................................................... 13
2.2.2.2. Forsyningskædesikkerhed og forholdet til underleverandører
14
Side 1/25
 L 141 - 2024-25 - Bilag 1: Høringssvar og høringsnotat fra ministeren for samfundssikkerhed og beredskab
2.2.3. Definitionen af et ledelsesorgan
.................................................. 15
2.2.4. Underretninger om væsentlige hændelser
................................... 16
2.2.5. Offentliggørelse
........................................................................... 17
2.2.6. Tilsyns- og håndhævelsesforanstaltninger
.................................. 18
2.2.6.1. Tilsyn med væsentlige enheder
................................................. 18
2.2.6.2. Tilsyn med vigtigt enheder
....................................................... 19
2.2.6.3. Koordinering mellem de kompetente myndigheder
.................. 20
2.2.7. Regler om digital kommunikation
............................................... 20
2.2.8. Straf
............................................................................................. 21
2.2.9. Økonomiske- og administrative byrder
....................................... 23
3.
Lovforslaget i forhold til lovudkastet ............................................. 24
1. Høringen
1.1. Høringsperiode
Et udkast til lovforslag udarbejdet af Forsvarsministeriet har i perio-
den fra den 5. juli 2024 til den 22. august 2024 (48 dage) været sendt
i høring hos en række myndigheder, organisationer m.v.
Udkastet til lovforslag blev den 5. juli 2024 sendt til Folketingets For-
svarsudvalg og Udvalg for Digitalisering og It til orientering, og blev
samtidig offentliggjort på Høringsportalen den 5. juli 2024.
Med den kongelige resolution af 29. august 2024 har Ministeriet for
Samfundssikkerhed og Beredskab overtaget det overordnede ansvar
for implementeringen af direktiv om foranstaltninger til sikring af et
højt fælles cybersikkerhedsniveau i hele EU (NIS 2-direktivet) fra
Forsvarsministeriet.
1.2. Hørte myndigheder og organisationer mv.
Nedenfor følger en alfabetisk oversigt over hørte myndigheder og or-
ganisationer mv.
Side 2/25
 L 141 - 2024-25 - Bilag 1: Høringssvar og høringsnotat fra ministeren for samfundssikkerhed og beredskab
2976177_0003.png
Ud for hver høringspart er det ved afkrydsning angivet, om der er
modtaget høringssvar, og om høringsparten i givet fald har haft be-
mærkninger til udkastet til lovforslag.
Oversigten omfatter herudover interessenter, som ikke er blandt de
hørte myndigheder, organisationer mv., men på egen foranledning har
sendt bemærkninger til udkastet til lovforslag. Sådanne interessenter
er i oversigten markeret med *.
Høringspart
Hørings- Bemærk-
svar
ninger
modtaget
x
x
x
x
x
x
Ingen be-
mærk-
ninger
Advokatrådet
Amnesty International
ATP
Bestyrelsesforeningen
Biogas Danmark
Danish Care
Danish Cloud Community
Danish Seafood Association
Danmarks
Apotekerfor-
ening
Dansk Arbejdsgiverforening
Dansk Erhverv
Dansk Industri
Dansk IT
Dansk Kollektiv Trafik
Dansk Luftfart
Dansk Selskab for Patient-
sikkerhed
Dansk Standard
Danske Advokater
Danske Havne
Danske Maritime
Danske Rederier
Danske Regioner
Danske Shipping- og Hav-
nevirksomheder
x
x
x
x
x
x
x
x
x
x
x
x
x
x
Side 3/25
 L 141 - 2024-25 - Bilag 1: Høringssvar og høringsnotat fra ministeren for samfundssikkerhed og beredskab
2976177_0004.png
Danske Universiteter
Danske Vandværker
DANVA
Dataetisk Råd
Datatilsynet
Danish e-infrastructure con-
sortium
De Samvirkende Købmænd
Den Danske Dommerfor-
ening
Den Danske Søretsforening
Dansk
Internet
Forum
(DIFO)
DJØF
DKCERT
D-mærket
Digitaliseringsstyrelsen
i
Grønland
Domstolsstyrelsen
DSB
Erhvervsflyvningens sam-
menslutning
Fagbevægelsens Hovedor-
ganisation
Finans Danmark
Forenede Danske Antenne-
anlæg
FSR – Danske Revisorer*
Færgerederierne*
Færøernes Landsstyre via
Rigsombudsmanden på Fæ-
røerne
Green Power Denmark
GTS-foreningen
Ingeniørforeningen i Dan-
mark
Industriens Fond
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
Side 4/25
 L 141 - 2024-25 - Bilag 1: Høringssvar og høringsnotat fra ministeren for samfundssikkerhed og beredskab
2976177_0005.png
Industriforeningen for Ge-
neriske og Biosimilære Læ-
gemidler
Institut for Menneskeret-
tigheder
IT-Branchen
International Transport Dan-
mark
IT-politisk forening
IT-Universitetet
John Michael Foley
Justitia
KOMBIT
x
x
x
x
x
x
x
x
x
x
x
Kommunale Velfærdschefer
Kommunernes
Landsfor- x
ening
Københavns Byret
Københavns Lufthavne
x
x
Landbrug og Fødevarer
Lederne
Lægemiddelindustriforenin-
gen
MEDCOM
Medicoindustrien
x
NaviAir*
x
NORDUnet A/S
Pharmadanmark
Præsidenten for Vestre
Landsret
Præsidenten
for
Østre
Landsret
Punktum dk
x
Retspolitisk Forening
Rigsrevisionen
x
x
Rådet for Digital Sikkerhed
SamAqua
x
x
x
x
x
x
x
x
Side 5/25
 L 141 - 2024-25 - Bilag 1: Høringssvar og høringsnotat fra ministeren for samfundssikkerhed og beredskab
2976177_0006.png
Samtlige byretspræsidenter
Tekniq Arbejdsgiverne
x
Teleindustrien*
x
Trafikselskaberne i Dan- x
mark
x
x
2. Høringssvarene
Nedenfor er gengivet de væsentligste punkter i de modtagne hørings-
svar. Ministeriet for Samfundssikkerhed og Beredskabs bemærknin-
ger til høringssvarene, herunder om der er foretaget ændringer i anled-
ning af høringssvarene, er skrevet med kursiv.
Under pkt. 3 er det opsummeret, hvilke ændringer der er foretaget i
forhold til det udkast, som har været i offentlig høring.
Samtlige høringssvar er vedlagt særskilt.
2.1. Generelle bemærkninger til lovforslaget
Danske Universiteter og Danske Rederier
anerkender vigtigheden
af, at implementeringen af NIS 2-direkivet kan være med til at styrke
Danmarks sikkerhed mod cybertrusler.
Dansk Erhverv bemærker,
at det i lyset af det forhøjede trusselsni-
veau mod danske virksomheder fra cyberangreb som følge af den geo-
politiske situation i Europa, af øget digitalisering og øget tilgængelig-
hed af cybervåben er meget positivt, at reguleringen omkring virksom-
hedernes beredskab nu styrkes.
Danske Universiteter
bemærker, at universitetssektoren er meget be-
vidst om det øgede trusselsniveau, der er på sektoren, og anser arbejdet
med cyber- og informationssikkerhed som en grundlæggende forud-
sætning for, at universiteterne kan understøtte forskning og uddan-
nelse.
Dansk Erhverv, Danske Regioner og Danske Universiteter
bakker
op om lovforslagets risikobaserede tilgang, og fremhæver, at den
Side 6/25
 L 141 - 2024-25 - Bilag 1: Høringssvar og høringsnotat fra ministeren for samfundssikkerhed og beredskab
risikobaserede tilgang bør fastholdes gennem hele implementeringen
af NIS 2-direktivet.
Ministeriet for Samfundssikkerhed og Beredskab noterer sig syns-
punkterne.
Advokatsamfundet, IT-Branchen, Industriens Fond, IDA,
DANVA, Danske Universiteter, Dansk Industri (DI), Dansk Er-
hverv, TEKNIQ Arbejdsgiverne, Rådet for Digital Sikkerhed og
Medico Industrien
understreger behovet for vejledningsmateriale,
som supplerer lovens definitioner og krav, herunder bl.a. vedrørende
foranstaltninger og hændelsesindberetninger.
Ministeriet for Samfundssikkerhed og Beredskab kan oplyse, at der vil
blive udarbejdet vejledningsmateriale vedrørende bl.a. lovens anven-
delsesområde og krav til foranstaltninger, som vil foreligge senest ved
lovens ikrafttræden. Hertil kommer, at de kompetente myndigheder i
relevant omfang vil yde vejledning til enheder, der er omfattet af lo-
vens anvendelsesområde.
Advokatrådet, Landbrug og Fødevarer, International Transport
Danmark (ITD), Danske Rederier, Danske Universiteter, Danske
Regioner, Dansk Industri og Medico Industrien
finder det positivt,
at der med lovforslaget tages udgangspunkt i en minimumsimplemen-
tering.
Advokatrådet og DANVA
noterer, at minimumsimplementeringen
ikke bør stå i vejen for, at loven bliver operationel og smidig, og at
sektorspecifikke bekendtgørelser ikke blot bør gentage indholdet af
lovbestemmelserne.
Ministeriet for Samfundssikkerhed og Beredskab noterer sig syns-
punkterne.
Digitaliseringsstyrelsen i Grønland
bemærker, at Grønlands Selv-
styre har til hensigt at etablere en kompetent myndighed med de
samme formål, som lovforslaget har for kompetente myndigheder i
Side 7/25
 L 141 - 2024-25 - Bilag 1: Høringssvar og høringsnotat fra ministeren for samfundssikkerhed og beredskab
Danmark. Digitaliseringsstyrelsen i Grønland bemærker endvidere, at
Grønlands Selvstyre har en stærk interesse i at kunne deltage i et sam-
arbejde, hvor en grønlandsk kompetent myndighed kan blive involve-
ret i en væsentlig hændelse, der måtte ske i kritiske it-systemer, der vil
kunne have virkning i Grønland.
Ministeriet for Samfundssikkerhed og Beredskab noterer sig Digitali-
seringsstyrelsen i Grønlands bemærkninger og vil gå i dialog med sty-
relsen herom.
2.2. Bemærkninger til de enkelte punkter i lovforslaget
2.2.1. Lovens anvendelsesområde
2.2.1.1. Vurdering af, hvorvidt en enhed er omfattet af lovens anven-
delsesområde
Advokatsamfundet, IT-branchen, International Transport Dan-
mark, SamAqua, Dansk Industri og Dansk Erhverv
finder, at virk-
somheder bør kunne rette henvendelse til en sektoransvarlig myndig-
hed og modtage en afgørelse eller bindende svar på, om de er omfat-
tede af NIS 2 eller ej.
Danske Regioner, TEKNIQ Arbejdsgiverne, Rådet for Digital
Sikkerhed, SamAqua, Dansk Industri, og Dansk Erhverv
efterly-
ser præcisering af, hvilke virksomheder der reelt er omfattet, herunder
en afklaring af, hvorvidt en virksomhed og koncernforbundne selska-
ber er omfattet eller ej.
Danmarks Apotekerforening, ATP, Trafikselskaberne i Dan-
mark, Danske vandværker, Biogas Danmark, Forenede Danske
Antenneanlæg, International Transport Danmark, SamAqua,
Danske Universiteter og Domstolsstyrelsen
sætter spørgsmålstegn
ved forståelsen af anvendelsesområdet, herunder om de eller deres
medlemmer er omfattet heraf og foreslår, at spørgsmålet afklares i lo-
ven eller dennes bemærkninger.
Danske Rederier
har bemærket, at det af lovbemærkningerne frem-
går, at hele enheden anses for omfattet af direktivets anvendelsesom-
råde, også selv om enheden har flere forretningsområder eller er opdelt
Side 8/25
 L 141 - 2024-25 - Bilag 1: Høringssvar og høringsnotat fra ministeren for samfundssikkerhed og beredskab
i flere administrative enheder, og det eksempelvis alene er ét af disse
forretningsområder, som er omfattet af de sektorer, der er omhandlet
i direktivets bilag. Der efterlyses en nærmere afklaring af, hvilken be-
tydning denne tilgang vil have for, at en enhed bliver omfattet af re-
guleringen i relation til kriterierne for mellemstore og store virksom-
heder (antal beskæftigede og finansielle tærskler).
Dansk Erhverv
peger på, at der er usikkerhed og forskellige meldin-
ger i sektorerne om de størrelseskrav, der stilles til omfattede enheder.
Medicoindustrien
bemærker, at det er positivt, at det af bemærknin-
gerne til lovforslaget fremgår, at en relevant kompetent myndighed
kan træffe afgørelse om, at en enhed, der som udgangspunkt anses for
at være væsentlig, i stedet skal anses for at være vigtig.
Ministeriet for Samfundssikkerhed og Beredskab bemærker, at den
ordning, der følger af lovforslaget, vil indebære, at de enkelte enheder
på baggrund af en vurdering af, hvorvidt enheden er er omfattet af de
omfattede sektorer og om enheden opfylder størrelseskravet, skal tage
stilling til, om enheden er omfattet af lovforslaget.
Det bemærkes, at der i tilknytning til loven vil blive udarbejdet vejled-
ninger, der bl.a. vil belyse lovens anvendelsesområde. Hertil kommer,
at de kompetente myndigheder i relevant omfang vil yde vejledning til
enheder, herunder om, hvorvidt enheden er omfattet af lovens anven-
delsesområde. Vejledningerne vil foreligge senest ved lovens ikraft-
træden.
Ministeriet for Samfundssikkerhed og Beredskab kan endvidere op-
lyse, at ministeriet har justeret bemærkningerne til lovforslaget med
henblik på, at det fremtræder klarere, hvilke virksomheder og kon-
cernforbundne selskaber, der opfylder de stillede krav til antal be-
skæftigede og til virksomhedens økonomi.
Samtidig har Ministeriet for Samfundssikkerhed og Beredskab tyde-
liggjort i lovforslaget, hvilke offentlige forvaltningsmyndigheder, der
er omfattet af loven.
For så vidt angår spørgsmålet om, hvorvidt hele enheden anses for
omfattet af lovens anvendelsesområde, har Ministeriet for
Side 9/25
 L 141 - 2024-25 - Bilag 1: Høringssvar og høringsnotat fra ministeren for samfundssikkerhed og beredskab
Samfundssikkerhed og Beredskab foretaget tilpasninger i lovforsla-
get, navnlig i lyset i lyset af EU-Kommissionens meddelelse C(2023)
6068 af 13. september 2023 om retningslinjer for anvendelsen af arti-
kel 4, stk. 1, og 2, i NIS 2-direktivet. Det er på den baggrund Ministe-
riet for Samfundssikkerhed og Beredskabs opfattelse, at formulerin-
gen »i net- og informationssystemer, som disse enheder anvender til
deres operationer eller til at levere deres tjenester« i NIS 2-direktivets
artikel 21, stk. 1, skal forstås som alle de net- og informationssyste-
mer, som disse enheder anvender til deres operationer, eller til at le-
vere deres tjenester, og ikke kun specifikke informationsteknologiske
(it) aktiver eller kritiske tjenester, som enheden leverer.
I tilfælde, hvor en enhed anvender flere forskellige typer af net- og
informationssystemer, og hvor kun nogle af disse systemer er omfattet
af direktivets bilag, vil samtlige af de net- og informationssystemer,
som enheden anvender til sine operationer, eller til at levere sine tje-
nester, således blive underlagt direktivets krav.
Der henvises i øvrigt til lovforslagets pkt. 3.1. og bemærkningerne til
den foreslåede § 1.
2.2.1.2. Anvendelsesområde for kommuner
KL, IDA, IT-Branchen, KOMBIT, Rådet for Digital Sikkerhed og
Dansk Erhverv
understreger, at kommuner bør omfattes af lovens an-
vendelsesområde.
Ministeriet for Samfundssikkerhed og Beredskab har noteret sig syns-
punktet. Ministeriet bemærker, at det ifølge NIS 2-direktivet er op til
medlemsstaterne, om direktivet skal finde anvendelse på offentlige for-
valtningsenheder på lokalt plan, jf. den foreslåede § 1, stk. 6.
Det bemærkes, at en kommune efter omstændighederne kan være om-
fattet af lovens anvendelsesområde, selvom bemyndigelsen i det fore-
slåede § 1, stk. 6, ikke er udnyttet. Dette vil eksempelvis være tilfældet
i en situation, hvor en kommune agerer som sundhedstjenesteyder i
overensstemmelse med NIS 2-direktivets bilag I og II. I denne situation
vil kommunen være omfattet af lovens anvendelsesområde på bag-
grund af disse aktiviteter, også selvom bemyndigelsen i den foreslåede
bestemmelse ikke er udnyttet.
Side 10/25
 L 141 - 2024-25 - Bilag 1: Høringssvar og høringsnotat fra ministeren for samfundssikkerhed og beredskab
Det er Ministeriet for Samfundssikkerheds opfattelse, at en kommune
i sådanne tilfælde som helhed være omfattet af lovens krav. Der hen-
vises i den forbindelse til lovforslagets pkt. 3.1.3, hvoraf det bl.a. frem-
går, at i tilfælde, hvor en enhed leverer flere forskellige typer af net-
og informationssystemer, og hvor kun nogle af disse systemer er om-
fattet af direktivets bilag, vil samtlige af de net- og informationssyste-
mer, som enheden anvender til sine operationer, eller til at levere sine
tjenester, således blive underlagt direktivets krav.
Ministeriet for Samfundssikkerhed har på den baggrund præciseret i
lovforslaget, at bl.a. kommuner ikke alene vil skulle træffe passende
og forholdsmæssige foranstaltninger for at styre risiciene for sikker-
heden i net- og informationssystemer vedrørende de aktiviteter, der er
oplistet i direktivets bilag, men for samtlige af de net- og informati-
onssystemer, som de anvender til deres operationer, eller til at levere
deres tjenester.
Den foreslåede bestemmelse i stk. 6 vil således alene være relevant,
hvis man måtte ønske at omfatte offentlige forvaltningsenheder på lo-
kalt plan eller uddannelsesinstitutioner, der ikke allerede er omfattet
af direktivets anvendelsesområde.
Der henvises til lovforslagets pkt. 3.1.3. og bemærkningerne til den
foreslåede § 1, stk. 6.
KL og Dansk Erhverv
finder, at det vil være uheldigt, hvis offentlig
WIFI på biblioteket og i borgerservice vil være en teleydelse, der er
omfattet af NIS 2, hvor kommunen sidestilles med en teleudbyder. Det
vil medføre unødigt bureaukrati at tilbyde den service fremadrettet, og
det kan lede til, at kommunerne stopper med at tilbyde dette.
Ministeriet for Sikkerhed og Beredskab bemærker, at NIS 2-loven som
udgangspunkt ikke finder anvendelse for telesektoren, idet NIS 2-di-
rektivet for telesektoren implementeres særskilt gennem forslag til lov
om sikkerhed og beredskab i telesektoren. Det følger imidlertid af den
foreslåede § 1, stk. 1, i forslag til lov om sikkerhed og beredskab i
telesektoren, at denne lov ikke finder anvendelse for kommuner og
Side 11/25
 L 141 - 2024-25 - Bilag 1: Høringssvar og høringsnotat fra ministeren for samfundssikkerhed og beredskab
regioner, der stiller offentlige elektroniske kommunikationsnet eller
offentligt tilgængelige elektroniske kommunikationstjenester til rådig-
hed, idet sådanne kommuner og regioner omfattes af forslag til NIS 2-
loven.
For at sikre ensartethed mellem den foreslåede NIS 2-lov og forslag
til lov om sikkerhed og beredskab i telesektoren for så vidt angår de-
finitionen af en teleudbyder, har Ministeriet for Samfundssikkerhed og
beredskab justeret den foreslåede § 4, stk. 2, således at kommuner og
regioner alene vil anses som teleudbydere i det omfang de med et kom-
mercielt formål måtte udføre opgaver som udbydere af offentlige elek-
troniske kommunikationsnet eller udbydere af offentligt tilgængelige
elektroniske kommunikationstjenester. Dertil skal kommunen eller re-
gionen opfylde størrelseskravet i den foreslåede § 4, stk. 2, nr. 1 og 2.
Der henvises til bemærkningerne til den foreslåede § 4, st. 2.
2.2.1.3. Afgrænsningen af væsentlige og vigtige enheder
Dansk Industri
anfører, at afgrænsningen af væsentlige enheder efter
de kvalitative kriterier i lovforslagets § 4, stk. 3, nr. 5, bør ske ud fra
en risikobaseret tilgang og i tæt dialog med de pågældende virksom-
heder.
Ministeriet for Samfundssikkerhed og Beredskab bemærker, at stil-
lingtagen til, om en enhed er omfattet af bestemmelsen eller ej, skal
afgøres på baggrund af en konkret og individuel vurdering.
Det bemærkes, at bestemmelsen har et forholdsvist skønsmæssigt og
kvalitativt præg, hvilket kan gøre det vanskeligt for de enkelte enheder
at vurdere, om de er omfattet af lovens krav til henholdsvis væsentlige
eller vigtige enheder. Det forudsættes derfor, at de kompetente myn-
digheder i relevant omfang vejleder enheder inden for deres sektor om
forståelsen af § 4, stk. 3, nr. 5.
Der vil derudover blive udarbejdet vejledningsmateriale, som vil fo-
religge senest samtidig med lovforslagets ikrafttræden, der vil hjælpe
Side 12/25
 L 141 - 2024-25 - Bilag 1: Høringssvar og høringsnotat fra ministeren for samfundssikkerhed og beredskab
enheder med at vurdere, om de er omfattet af den foreslåede § 4, stk.
3, nr. 5.
Det bemærkes derudover, at den foreslåede § 4, stk. 4, bemyndiger
vedkommende minister til efter forhandling med ministeren for sam-
fundssikkerhed og beredskab at fastsætte nærmere regler om kriteriet
for, hvornår enheder er omfattet af den foreslåede § 4, stk. 3, nr. 5.
De kompetente myndigheder vil med den foreslåede bestemmelse
kunne uddybe de skønsmæssige kriterier i bestemmelsens stk. 3, nr. 5,
således at kriterierne tilpasses særlige sektorspecifikke forhold. De
kompetente myndigheder vil eksempelvis kunne fastsætte nærmere
regler om, hvornår en forstyrrelse af den tjeneste, som enheder leverer
inden for sin sektor, vil kunne medføre en væsentlig systemisk risiko.
Derudover vil enheder i overensstemmelse med forvaltningslovens §
7 i fornødent omfang kunne få vejledning og bistand fra de kompetente
myndigheder.
Der henvises i øvrigt til bemærkningerne til den foreslåede § 4, stk. 3,
nr. 5.
2.2.2. Foranstaltninger til styring af cybersikkerhedsrisici
2.2.2.1. Anvendelse af standarder
Dansk Industri
bemærker, at standarder bidrager til at sikre en ens-
rettet tilgang på tværs af medlemsstaterne og kan styrke det generelle
cybersikkerhedsniveau på tværs, og at NIS 2-direktivets artikel 21 og
artikel 25 bør afspejles i lovforslaget ved indsættelse af en bestem-
melse herom.
D-mærket, Dansk Industri og Erhvervsflyvningens Sammenslut-
ning
finder sammenfattende, at europæiske eller internationalt accep-
terede sikkerhedsstandarder eller EU-landenes egne nationale standar-
der som anvendes af omfattede enheder, bør kunne anvendes som do-
kumentation for, at enheder efterlever direktivets krav om foranstalt-
ninger.
Side 13/25
 L 141 - 2024-25 - Bilag 1: Høringssvar og høringsnotat fra ministeren for samfundssikkerhed og beredskab
Det er Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at
NIS 2-direktivets artikel 21, stk. 1 og artikel 25, stk. 1, skal forstås
således, at relevante internationale standarder kan benyttes som led i
opfyldelse af direktivets krav om foranstaltninger, men at en enhed
ikke kan anses for at opfylder direktivets krav alene ved at være ek-
sempelvis ISO-certificeret.
På denne baggrund har Ministeriet for Samfundssikkerhed og Bered-
skab skrevet frem i lovforslaget, at relevante europæiske og internati-
onale standarder som for eksempel ISO/IEC 27000-serien, IEC
62443-standarder, NIST-standarder og ETSI TR 103 305-standarder
kan anvendes som et rammeværktøj til at træffe passende og forholds-
mæssige tekniske, operationelle og organisatoriske foranstaltninger.
Der henvises i øvrigt til bemærkningerne til den foreslåede § 6.
2.2.2.2. Forsyningskædesikkerhed og forholdet til underleverandører
Dansk Industri, Danske Rederier, Advokatsamfundet, ATP og D-
mærket
har bl.a. anført, at der som følge af uklarhed omkring krav til
underleverandører er risiko for, at direkte omfattede virksomheder vil
skubbe alle krav ned i leverandørkæden for at sikre overholdelse.
Dette kan medføre uforholdsmæssigt store byrder for leverandører, og
der bør sikres en risikobaseret tilgang og vejledning omkring, i hvilket
omfang leverandørers leverancer også er omfattet.
Ministeriet for Samfundssikkerhed og Beredskab bemærker, at det
fremgår af NIS 2-direktivets præambelbetragtning nr. 85 , at håndte-
ring af risici, der stammer fra en enheds forsyningskæde og dens for-
hold til sine leverandører såsom udbydere af datalagrings- og data-
behandlingstjenester eller udbydere af administrerede sikkerhedstje-
nester og softwareudgivere, er særlig vigtig i betragtning af udbredel-
sen af hændelser, hvor enheder har været udsat for cyberangreb, og
hvor ondsindede gerningspersoner har været i stand til at kompromit-
tere sikkerheden af en enheds net- og informationssystemer ved at ud-
nytte sårbarheder, der påvirker tredjepartsprodukter og -tjenester.
Væsentlige og vigtige enheder bør derfor vurdere og tage hensyn til
den generelle kvalitet og modstandsdygtighed af produkter og
Side 14/25
 L 141 - 2024-25 - Bilag 1: Høringssvar og høringsnotat fra ministeren for samfundssikkerhed og beredskab
tjenester, de heri integrerede foranstaltninger til styring af cybersik-
kerhedsrisici og deres leverandørers og tjenesteudbyderes cybersik-
kerhedspraksis, herunder deres sikre udviklingsprocedurer. Væsent-
lige og vigtige enheder bør navnlig tilskyndes til at indarbejde foran-
staltninger til styring af cybersikkerhedsrisici i kontraktlige arrange-
menter med deres direkte leverandører og tjenesteudbydere.
På den baggrund er væsentlige og vigtige enheder efter lovforslagets
§ 6 forpligtet til at træffe foranstaltninger, der som minimum omfatter
eller tager højde for bl.a., forsyningskædesikkerhed, herunder sikker-
hedsrelaterede aspekter vedrørende forholdene mellem den enkelte
enhed og dens direkte leverandører eller tjenesteudbydere.
Dette betyder, at væsentlige og vigtige enheder er ansvarlige for, at
deres foranstaltninger til styring af cybersikkerheden omfatter eller
tager højde for forsyningssikkerhed som nævnt ovenfor. Dette vil f.eks.
kunne ske ved, at enheden stiller krav til sine underleverandører om,
at disse opfylder bestemte krav og forpligtelser, eller at enheden fast-
sætter procedurer mv. med henblik på at sikre, at enhedens underle-
verandørers produkter mv. ikke medfører cybersikkerhedsrisici hos
den pågældende enhed.
Enhederne er alene ansvarlige for cybersikkerheden i enheden, men
et element heri er naturligt at være opmærksom på, om enhedens even-
tuelle underleverandører kan udgøre en cybersikkerhedsrisiko, og
hvordan dette kan afværges.
2.2.3. Definitionen af et ledelsesorgan
SamAqua, DANVA, Green Power Denmark, Dansk Industri,
Dansk Standard, Danske Rederier, ATP og DIFO
efterlyser en af-
klaring af, hvad der forstås ved en enheds ledelsesorgan, herunder
hvem der er omfattet.
Lov om aktie- og anpartsselskaber, jf. lovbekendtgørelse nr. 1168 af
1. september 2023 (selskabsloven), definerer i § 5, nr. 4 ’det centrale
ledelsesorgan’ som a) bestyrelsen i selskaber, der har en direktion og
en bestyrelse, b) direktionen i selskaber, der alene har en direktion og
c) direktionen i selskaber, der både har en direktion og et tilsynsråd.
Side 15/25
 L 141 - 2024-25 - Bilag 1: Høringssvar og høringsnotat fra ministeren for samfundssikkerhed og beredskab
Selskabsloven finder dog alene anvendelse for aktie- og anpartssel-
skaber, jf. lovens § 1, stk. 1.
Lov om visse erhvervsdrivende virksomheder, jf. lovbekendtgørelse
nr. 249 af 1. februar 2021 (LEV-loven), definerer i lovens § 4 a, nr. 2,
en ledelse, som ’medlemmer af bestyrelse, direktion eller et tilsva-
rende ledelsesorgan’.
LEV-loven finder anvendelse for enkeltmandsvirksomheder, interes-
sentskaber, kommanditselskaber, andelsselskaber (andelsforeninger)
samt andre selskaber og foreninger med begrænset ansvar, som ikke
er omfattet af selskabsloven, lov om erhvervsdrivende fonde eller §§
133-154 i lov om forvaltere af alternative investeringsfonde m.v., jf.
LEV-lovens § 1, stk. 2.
Ministeriet for Samfundssikkerhed og Beredskab har bl.a. på bag-
grund af de indkomne høringssvar foretaget en præcisering af begre-
bet ’ledelsesorgan’, således at der nu af de specielle bemærkninger til
lovforslagets § 6 bl.a. fremgår, at begrebet ’ledelsesorgan’ i NIS 2-
direktivet skal forstås i overensstemmelse med definitionerne af hen-
holdsvis det centrale ledelsesorgan i selskabslovens § 5, nr. 4, og le-
delsen i LEV-lovens § 4 a, nr. 2.
Der henvises i øvrigt til bemærkningerne til den foreslåede § 7, stk. 1
og lovforslagets pkt. 3.2.4.
2.2.4. Underretninger om væsentlige hændelser
Dansk Erhverv
anfører, at en række af Dansk Erhvervs medlemmer
efterspørger en afklaring om hændelsesrapportering for globale virk-
somheder.
Ministeriet for Samfundssikkerhed og Beredskab bemærker, at det
fremgår af bemærkningerne til den forslåede bestemmelse i § 12 , at
såfremt en væsentlig hændelse, der underrettes om, måtte have græn-
seoverskridende virkning, vil CSIRT’en i overensstemmelse med for-
udsætningen i NIS 2-direktivets artikel 23, stk. 6, via det centrale kon-
taktpunkt uden unødigt ophold skulle underrette de øvrige berørte
medlemsstater og ENISA om den væsentlige hændelse, navnlig hvor
den væsentlige hændelse berører to eller flere medlemsstater. Efter
Side 16/25
 L 141 - 2024-25 - Bilag 1: Høringssvar og høringsnotat fra ministeren for samfundssikkerhed og beredskab
samme bestemmelse vil en sådan information omfatte den type af op-
lysninger, der er modtaget i overensstemmelse med artikel 23, stk. 4,
og CSIRT’en vil i den forbindelse – i overensstemmelse med EU-retten
eller national ret – sikre enhedens sikkerhed og kommercielle interes-
ser samt fortrolig behandling af de afgivne oplysninger.
Der henvises i øvrigt til bemærkningerne til den foreslåede § 12.
2.2.5. Offentliggørelse
Dansk Industri
har bl.a. anført, at det af § 16, stk.1, fremgår, at en
sektoransvarlig myndighed, efter høring af virksomheden kan infor-
mere offentligheden om en væsentlig hændelse, mens myndigheden
efter § 16, stk. 2, kan kræve, at virksomheden informerer offentlighe-
den. Det er uklart, om der i situationer, hvor offentligheden bør infor-
meres, er et delt ansvar mellem myndighed og virksomhed i forhold
til at informere offentligheden.
ATP
bemærker, at det i lovteksten bør præciseres, at der kan ske of-
fentliggørelse, hvis denne er af væsentlig interesse for offentligheden.
Dette vil sikre, at det EU-retlige proportionalitetsprincip, der gælder
for fortolkningen af direktivet, også afspejles i den danske lovtekst.
IT-branchen
anfører, at det i lovforslaget bør præciseres, hvor-
når/hvor hurtigt en hændelse kan offentliggøres, f.eks. om der vil være
tilstrækkelig tid til, at den pågældende enhed kan have håndteret hæn-
delsen, og hvor lang tid høringen af den pågældende enhed vil/kan
være.
Ministeriet for Samfundssikkerhed og Beredskab bemærker, at den fo-
reslåede § 16bestemmelsen implementerer NIS 2-direktivets artikel
23, stk. 7, hvoraf det fremgår, at hvor offentlighedens kendskab er
nødvendig for at forebygge en væsentlig hændelse eller for at håndtere
en igangværende hændelse, eller hvor offentliggørelse af den væsent-
lige hændelse på anden vis er i offentlighedens interesse, kan en med-
lemsstats CSIRT eller i givet fald dens kompetente myndighed, og hvor
det er relevant CSIRT’erne eller de kompetente myndigheder i andre
berørte medlemsstater efter høring af den berørte enhed informere of-
fentligheden om den væsentlige hændelse eller kræve, at enheden gør
det.
Side 17/25
 L 141 - 2024-25 - Bilag 1: Høringssvar og høringsnotat fra ministeren for samfundssikkerhed og beredskab
Den kompetente myndighed kan således beslutte, om informering af
offentligheden skal ske af myndigheden eller af den relevante enhed.
For så vidt angår proportionalitet i vurderingen af, om oplysninger
om en hændelse skal offentliggøres, bemærker Ministeriet for Sam-
fundssikkerhed og Beredskab, at den foreslåede bestemmelse i § 16,
stk. 1, indebærer, at den relevante kompetente myndighed kan infor-
mere offentligheden om en væsentlig hændelse, hvis offentliggørelsen
er nødvendig for at forebygge eller håndtere hændelsen, eller hvor
offentliggørelsen af hændelsen på anden vis er i offentlighedens inte-
resse.
Ministeriet bemærker videre, at den relevante kompetente myndighed
i medfør af bestemmelsen vil skulle høre den berørte enhed, før der
sker offentliggørelse af hændelsen. Formålet med høringen vil være at
sikre, at den kompetente myndighed kan træffe afgørelse om offentlig-
gørelse på et oplyst grundlag, herunder foretage en afvejning af hen-
synet til den konkrete enhed over for hensynet til orientering af offent-
ligheden. Det vil i den forbindelse skulle sikres, at offentligheden in-
formeres på en ansvarlig måde, som ikke kompromitterer fortrolige
oplysninger.
For så vidt angår tidspunktet for offentliggørelse bemærkes, at den
konkrete fastsættelse af en høringsfrist vil bero på en samlet afvejning,
hvori også indgår hensynet til at vedkommende enhed har en rimelig
tid til at afgive en udtalelse. Afhængig af karakteren af den væsentlige
hændelse vil høringsfristen efter omstændighederne kunne være rela-
tivt kort.
Der henvises i øvrigt til bemærkningerne til den foreslåede § 16.
2.2.6. Tilsyns- og håndhævelsesforanstaltninger
2.2.6.1. Tilsyn med væsentlige enheder
Advokatsamfundet og Dansk Erhverv
anbefaler, at det behandles
nærmere i lovforslaget, om et forbud mod at udøve ledelsesfunktioner
kan meddeles en person, uden at den pågældende konkret har foretaget
dadelværdige forhold eller forsømmelser (objektivt ansvar), eller om
anvendelsen af et forbud forudsætter, at den pågældende konkret har
været vidende om eller deltaget i beslutninger, der vedrører de forhold,
som forbuddet søger at adressere.
Side 18/25
 L 141 - 2024-25 - Bilag 1: Høringssvar og høringsnotat fra ministeren for samfundssikkerhed og beredskab
Ministeriet for Samfundssikkerhed og Beredskab bemærker, at en
kompetent myndigheds overvejelse og anvendelse af hjemmelen til
midlertidigt at forbyde enhver person at udøve ledelsesfunktioner i
den pågældende væsentlige enhed alene kan bringes i anvendelse i
situationer, hvor de håndhævelsesforanstaltninger, der er pålagt i
medfør af de foreslåede § 22, nr. 1-4, har vist sig at være utilstrække-
lige, og hvor den kompetente myndighed herefter har fastsat en frist,
inden for hvilke den væsentlige enhed skal foretage de nødvendige til-
tag for at afhjælpe manglerne eller opfylde den kompetente myndig-
heds krav.
Som nærmere beskrevet i lovforslagets pkt. 5.3.2.2. vil et eventuelt
strafansvar for fysiske personer følge det almindelige udgangspunkt i
særlovgivningen. Der vil således kunne rejses tiltalt mod en fysisk per-
son, såfremt denne har handlet forsætligt eller groft uagtsomt. Bøder
vil i givet fald skulle udmåles i overensstemmelse med direktivets for-
udsætninger om størrelsen heraf.
2.2.6.2. Tilsyn med vigtigt enheder
Dansk Industri
har bl.a. anført, at jf. § 24 forventes myndighederne
at have en reaktiv tilgang til tilsyn over for vigtige enheder. Kriterierne
for, hvornår dette tilsyn aktiveres, bør defineres tydeligere.
Ministeriet for Samfundssikkerhed og Beredskab bemærker, at det
fremgår af bemærkningerne til bestemmelsen, at det reaktive tilsyn
med vigtige enheder eksempelvis vil kunne aktiveres, hvis der modta-
ges oplysninger fra andre myndigheder, enheder, borgere eller i me-
dier, eller hvis myndigheden i forbindelse med udførelsen af dennes
opgaver i øvrigt kommer i besiddelse af oplysninger, der peger på mu-
lige overtrædelser af reguleringen.
Det fremgår videre af bemærkningerne, at et reaktivt tilsyn kan iværk-
sættes på baggrund af oplysninger, der tyder på, at den pågældende
enhed potentielt ikke efterlever sine forpligtelser efter loven og regler
udstedt i medfør af loven, herunder eventuelt efter en væsentlig hæn-
delse. Det reaktive tilsyn vil således kunne iværksættes på baggrund
af oplysninger, som de kompetente myndigheder modtager fra andre
myndigheder, enheder, borgere, medier eller andre kilder eller offent-
ligt tilgængelige oplysninger. Det kan desuden eksempelvis være
Side 19/25
 L 141 - 2024-25 - Bilag 1: Høringssvar og høringsnotat fra ministeren for samfundssikkerhed og beredskab
oplysninger, der hidrører fra andre aktiviteter, der indgår i de kom-
petente myndigheders udførelse af deres arbejdsopgaver.
Der henvises i øvrigt til bemærkningerne til den foreslåede § 24.
2.2.6.3. Koordinering mellem de kompetente myndigheder
Danske universiteter
bemærker, at der for enheder som indgår i flere
sektorer kan opstå udfordringer. Danske universiteter opfordrer derfor
til at sikre en høj grad af koordinering mellem ressortmyndighederne.
Ministeriet for Samfundssikkerhed og Beredskab bemærker, at det i
lovforslaget forudsættes, at der vil være en tæt koordination mellem
de kompetente myndigheder i forbindelse med tilrettelæggelsen af til-
synsarbejdet, således at der i videst muligt omfang anlægges en fælles
tilgang. Dette vil særligt være relevant for tilsynet med enheder, der
måtte indgå i flere forskellige sektorer, og hvor der potentielt er flere
kompetente myndigheder, som skal føre tilsyn med samme enhed.
Ministeriet for Samfundssikkerhed og Beredskab har på denne bag-
grund indsat en ny bemyndigelsesbestemmelse i lovforslagets § 20,
stk. 3, der bemyndiger ministeren for samfundssikkerhed og beredskab
til at fastsætte nærmere regler om koordinering, ansvar, fordeling af
opgaver og udveksling af oplysninger mellem henholdsvis de kompe-
tente myndigheder samt de kompetente myndigheder og CSIRT’en,
herunder i forhold til hændelsesunderretninger efter kapitel 3, tilsyn
samt håndhævelse efter kapitel 6.
Der henvises til bemærkningerne til den foreslåede § 20, stk. 3, og i
øvrigt til lovforslagets pkt. 2.2.2.
2.2.7. Regler om digital kommunikation
Dansk Industri
har bl.a. anført, at det bør sikres, at der til enhver tid
er alternative kommunikationsveje, så hverken myndigheder eller
virksomheder er afhængige af kun én digital løsning.
ATP
har bemærket, at f.eks. i forbindelse med underretninger, vil
disse skulle ske i forbindelse med hændelser, hvor det er sandsynligt,
at enhedens digitale muligheder er kompromitterede. Ligeledes kan de
Side 20/25
 L 141 - 2024-25 - Bilag 1: Høringssvar og høringsnotat fra ministeren for samfundssikkerhed og beredskab
offentlige selvbetjeningsløsninger være nede, fx MitID eller lignende.
Det kan derfor overvejes at give mulighed for indberetninger på anden
vis, fx telefonisk, hvis det ikke er praktisk muligt at tilgå de offentlige
løsninger.
IT-Branchen
bemærker, at for at lette de administrative omkostnin-
ger for erhvervslivet og fremme den generelle indberetning, vil det
være vigtigt, at der faciliteres én indberetning/indgang/formular –
også for væsentlige og vigtige enheder, der er beskæftiget i mere end
én af de NIS2- omfattede sektorer (à la Virk.dk i dag).
Ministeriet for Samfundssikkerhed og Beredskab bemærker, at det
fremgår af den foreslåede bestemmelse i § 31, at ministeren for sam-
fundssikkerhed og beredskab kan fastsætte regler om digital kommu-
nikation, herunder om anvendelsen af bestemte it-systemer og særlige
digitale formater samt digital signatur eller lignende.
Ministeriet for Samfundssikkerhed og Beredskab har noteret sig be-
mærkningerne, og vil sørge for, at de indgår i det videre arbejde med
udarbejdelse af bekendtgørelsen om digital kommunikation.
For så vidt angår indberetningsløsningen, fremgår det af lovforsla-
gets pkt. 3.3.1, at underretninger om hændelser i dag indgives via selv-
betjeningsløsningen Virk.dk. Når der indgives en hændelsesrapporte-
ring på Virk.dk, fordeles denne automatisk til den eller de relevante
kompetente myndigheder, CSIRT’en og det centrale kontaktpunkt.
Ministeriet for Samfundssikkerhed og Beredskab forventer, at hændel-
sesunderretningen fremover på tilsvarende vis vil foregå via selvbe-
tjeningsløsningen virk.dk, og at hændelsesunderretningen efter indgi-
velsen automatisk vil blive fordelt til de myndigheder og/eller sekto-
rer, der er angivet som modtager af indberetningen.
2.2.8. Straf
Dansk Industri
opfordrer til, at der i lovbemærkningerne tages højde
for, at der skal være det nødvendige råderum for domstolene til at ud-
måle bødestraffen på grundlag af den enkelte sags konkrete
Side 21/25
 L 141 - 2024-25 - Bilag 1: Høringssvar og høringsnotat fra ministeren for samfundssikkerhed og beredskab
omstændigheder, og derved ikke ”fastlåses” til at gøre brug af forud-
satte beløbsgrænser.
Ministeriet for Samfundssikkerhed og Beredskab har noteret sig be-
mærkninger.
Ministeriet bemærker, at der ved pålæg af en bøde og ved udmåling
af bødens størrelse lægges vægt på 1) overtrædelsens grovhed og vig-
tigheden af de overtrådte bestemmelser, idet bl.a. følgende … under
alle omstændigheder skal betragtes som alvorlige overtrædelser: a)
gentagne overtrædelser, b) manglende underretning om eller afhjælp-
ning af væsentlige hændelser, c) manglende afhjælpning af mangler
efter bindende instrukser fra kompetente myndigheder, d) hindringer
for audits eller overvågningsaktiviteter beordret af den kompetente
myndighed efter konstatering af en overtrædelse og e) afgivelse af
urigtige eller klart unøjagtige oplysninger vedrørende cybersikker-
hedsrisikostyringsforanstaltninger eller rapporteringsforpligtelser, 2)
overtrædelsens varighed, 3) den pågældende enheds relevante tidli-
gere overtrædelser, 4) enhver materiel eller immateriel skade, der er
forårsaget, herunder ethvert finansielt eller økonomisk tab, virkninger
for andre tjenester og antallet af brugere, der er berørt, 5) hvorvidt
der ved overtrædelsen er handlet forsætligt eller uagtsomt, 6) enhver
foranstaltning truffet af enheden for at forebygge eller afbøde den ma-
terielle eller immaterielle skade, 7) hvorvidt gopdkendte adfærdsko-
dekser eller godkendte certificeringsmekanismer er overholdt, og 8) i
hvilken udstrækning de fysiske eller juridiske personer, der holdes an-
svarlige for overtrædelsen, samarbejder med de kompetente myndig-
heder. Det fremgår endvidere, at en fastsat bøde skal være effektiv, stå
i et rimeligt forhold til overtrædelsen og have afskrækkende virkning
under hensyntagen til omstændighederne i den konkrete sag.
Ministeriet for Samfundssikkerhed og Beredskab har nu præciseret i
lovforslaget, at fastsættelsen af straffen vil bero på domstolenes kon-
krete vurdering i det enkelte tilfælde af samtlige omstændigheder i sa-
gen, og de angivne strafniveauer vil kunne fraviges i op- eller nedad-
gående retning, hvis der i den konkrete sag foreligger skærpende eller
formildende omstændigheder, jf. herved de almindelige regler om
straffens fastsættelse i straffelovens 10. kapitel.
Side 22/25
 L 141 - 2024-25 - Bilag 1: Høringssvar og høringsnotat fra ministeren for samfundssikkerhed og beredskab
Der henvises i øvrigt til bemærkningerne til den foreslåede § 32.
2.2.9. Økonomiske- og administrative byrder
ATP, Dansk Industri, Danske Regioner, DANVA, TEKNIQ Ar-
bejdsgiverne
opfordrer til, at der foretages en ny kvantificering af de
erhvervsøkonomiske konsekvenser ved lovforslaget, når de sektorspe-
cifikke bekendtgørelser foreligger.
Det fremgår af lovforslagets pkt. 6, at lovforslaget forventes at med-
føre væsentlige negative erhvervsøkonomiske konsekvenser for ca.
3.255 virksomheder i Danmark. Bl.a. vil virksomheder skulle over-
holde registrerings- og underretningsforpligtelserne i de foreslåede
§§ 9, 10, 12 og 13 i lovforslaget.
Lovforslaget stiller derudover i § 6 krav om, at enheder skal træffe
passende og forholdsmæssige tekniske, operationelle og organisato-
riske foranstaltninger for at styre risiciene for sikkerheden i net- og
informationssystemer, som disse enheder anvender til deres operation
eller til at levere deres tjenester.
NIS 2-hovedloven medfører en række administrative krav for private
virksomheder. Med afsæt i data fra Klima-, Energi- og Forsyningsmi-
nisteriets AMVAB-undersøgelse for bekendtgørelse om modstands-
dygtighed og beredskab i energisektoren skønnes de administrative
omkostninger ved nærværende lovforslag med stor usikkerhed at ud-
gøre ca. 2,8-3,3 mia. kr. i omstillingsomkostninger og ca. 0,7-1,2 mia.
kr. årligt i løbende udgifter.
Ligeledes medfører lovforslaget en række øvrige efterlevelseskonse-
kvenser for private virksomheder. Med afsæt i Klima-, Energi- og For-
syningsministeriets erhvervsøkonomiske konsekvenser for bekendtgø-
relse om modstandsdygtighed og beredskab i energisektoren skønnes
de øvrige efterlevelsesomkostninger ved nærværende lovforslag med
stor usikkerhed at udgøre 1,6-2,4 mia. kr. i omstillingsomkostninger
og 2,0-2,6 mia. kr. i løbende udgifter
Side 23/25
 L 141 - 2024-25 - Bilag 1: Høringssvar og høringsnotat fra ministeren for samfundssikkerhed og beredskab
Som det fremgår af lovforslagets pkt. 6, vil der efter lovens ikrafttræ-
den blive gennemført en AMVAB-måling af de administrative konse-
kvenser ligesom at de øvrige efterlevelseskonsekvenser genberegnes.
Det bemærkes, at der udestår en kvantificering af de samlede er-
hvervsøkonomiske konsekvenser for leverandører til de virksomheder,
der er omfattet af loven. Disse vil indgå i målingen efter lovens ikraft-
træden.
3. Lovforslaget i forhold til lovudkastet
I forhold til det udkast til lovforslag, der har været i offentlig høring,
indeholder det fremsatte lovforslag følgende indholdsmæssige æn-
dringer:
Der er indsat en definition af en nærvedhændelse i den foreslå-
ede § 3, nr. 21.
Der er indsat en definition af ’sikkerhed i net- og informations-
systemer’ i den foreslåede § 3, nr. 27.
Der er foretaget en korrektion af størrelseskravet i de foreslåede
bestemmelser i §§ 4, stk. 1 og 2 og 5, stk. 1.
Der er indsat en ny bemyndigelsesbestemmelse i den foreslå-
ede § 20, stk. 3, der bemyndiger ministeren for samfundssik-
kerhed og beredskab til at fastsætte regler om koordinering, an-
svar, fordeling af opgaver og udveksling af oplysninger mellem
henholdsvis de kompetente myndigheder samt de kompetente
myndigheder og CSIRT’en, herunder i forhold til hændelses-
underretninger efter kapitel 3, tilsyn samt håndhævelse efter
kapitel 6.
Der er indsat to nye håndhævelsesforanstaltninger i §§ 22, stk.
1, nr. 1 og 2, og 25, stk. 1, nr. 1 og 2, der giver de kompetente
myndigheder mulighed for at anvende advarsler og bindende
instrukser som håndhævelsesforanstaltninger.
Der er blevet indsat en ny bestemmelse i den foreslåede § 33,
stk. 2, hvorefter ministeren for samfundssikkerhed og
Side 24/25
 L 141 - 2024-25 - Bilag 1: Høringssvar og høringsnotat fra ministeren for samfundssikkerhed og beredskab
beredskab senest 3 år efter lovens ikrafttræden udarbejder en
rapport om erfaringerne med loven.
Herudover er der foretaget ændringer af sproglig, redaktionel og lov-
teknisk karakter.
Side 25/25