Tilsyn med NIS-loven

NIS-loven indeholder krav til operatører af væsentlige tjenester inden for dele af den digitale infrastruktur (systemer for domæne- og topdomænenavne) samt til udbydere af visse digitale tjenester (onlinemarkedspladser, onlinesøgemaskiner og cloud computing-tjenester).

Formålet er, at sikkerheden i systemerne og tjenesterne tager højde for samfundets afhængighed af disse og afspejler det aktuelle trusselsbillede.

Loven stiller bl.a. krav om sikkerhedsforanstaltninger og krav om underretning om IT-sikkerhedshændelser til myndighederne.

De er omfattet af NIS-loven:

• Operatører af væsentlige tjenester
• Udbydere af visse digitale tjenester

Hvem er operatører af væsentlige tjenester?

For at være en operatør af væsentlige tjenester skal en virksomhed enten være en administrator af topdomænenavne eller DNS-tjenesteudbyder.

En administrator af topdomænenavne anses for at være en operatør af væsentlige tjenester, hvis administratoren og dennes koncernforbundne selskaber har mere end 500.000 andenordens internetdomænenavne registreret under topdomænenavnet,

En DNS-tjenesteudbyder anses for at være en operatør af væsentlige tjenester, hvis udbyderen og dennes koncernforbundne selskaber har rekursive navneservere som mere end 100.000 brugere anvender, eller autoritative navneservere, som har mere end 100.000 andenordens internetdomænenavne tilsluttet.

Hvilke udbydere af digitale tjenester er omfattet?

En udbyder af digitale tjenester er omfattet af NIS-loven, hvis disse tre punkter gælder:

1. Den udbyder onlinemarkedspladser, onlinesøgemaskiner eller cloud computing-tjenester.
2. Den har mindst 50 ansatte og en årlig omsætning eller en årlig balance over 10 mio. EUR.
3. Den har enten hovedsæde i Danmark eller har en repræsentant i landet, hvis den ikke har hovedsæde i eller har udpeget en repræsentant i et andet EU-land.

I loven stilles krav om, at operatører og udbydere skal træffe passende tekniske og organisatoriske sikkerhedsforanstaltninger på baggrund af en vurdering af de konkrete risici.

Det betyder, at operatører og udbydere, som er omfattet, skal gennemføre en risikoanalyse og identificere og vurdere alle væsentlige risici for driften af den væsentlige tjeneste. De nærmere krav fremgår af de to bekendtgørelser, som er udstedt i medfør af loven.

På baggrund af risikoanalysen skal operatørerne og udbyderne træffe passende sikkerhedsforanstaltninger for at forebygge og minimere konsekvensen af eventuelle hændelser, der berører sikkerheden i deres net- og informationssystemer.

De mere detaljerede krav til operatører og udbydere fremgår af henholdsvis bekendtgørelse om sikkerhed i net- og informationssystemer for operatører af væsentlige tjenester på domænenavnsområdet og bekendtgørelse om net- og informationssikkerhed for visse digitale tjenester.

I loven stilles krav om, at operatører og udbydere skal underrette myndighederne om hændelser, der har forstyrrende virkning på leveringen af de pågældende tjenester, og som hindrer gennemførelse af økonomiske aktiviteter, medfører finansielle tab og underminerer brugernes tillid og dermed skader samfundsøkonomien.

Hvilke data skal virksomheder indberette til myndighederne?

Hvis en IT-sikkerhedshændelse indtræffer, skal virksomheden hurtigst muligt indberette hændelsen på Virk.

Virksomheden skal bl.a. oplyse:

• Om antallet af brugere, der er berørt af hændelsen.
• Hændelsens årsag og varighed.
• Hvor stort et geografisk område, der er berørt.
• Om hændelsen berører andre EU-lande.
• Hvilke foranstaltninger, der er truffet for at håndtere hændelsen.
• Hvis virksomheden er udbyder af en digital tjeneste, skal omfanget af eventuelle konsekvenser for økonomiske og samfundsmæssige aktiviteter oplyses, såfremt virksomheden har oplysninger herom.
• Hvis hændelsen skyldes en fejl hos en tredjepartsudbyder af digitale tjeneste, skal operatørerne også angive dette.
• Virksomhedens kontaktoplysninger og oplysninger på en kontaktperson i virksomheden.

Hvor skal virksomheder indberette IT-sikkerhedshændelser?

Indberetning af en IT-sikkerhedshændelse sker på den fælles indberetningsløsning på Virk. Indberetningen vil automatisk blive sendt til både Erhvervsstyrelsen og Center for Cybersikkerhed.

Erhvervsstyrelsen fører tilsyn med:

• Væsentlige operatører på området for domænenavne
• Udbydere af digitale tjenester, som er omfattet af lovforslaget

Hvis operatører og udbydere ikke overholder reglerne, kan Erhvervsstyrelsen udstede påbud til virksomhederne om at overholde reglerne.

Efterlever en operatør eller udbyder ikke et påbud, kan det medføre en bødestraf.