Lov om supplerende bestemmelser til forordningen om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed) (lov om cybersikkerhedscertificering)

Den konsoliderede version af denne lov er opdateret til i dag, idet vi har implementeret eventuelle senere ændringslove i det omfang, de er trådt i kraft - se mere her.

Lov nr. 780 af 04. maj 2021

Der er ingen senere ændringer til denne lov.

  • Ændringsloven er implementeret i den konsoliderede lov
  • Ændringsloven er delvist implementeret i den konsoliderede lov
  • Ændringsloven er endnu ikke implementeret i den konsoliderede lov
  • Bilag

  • Bilag 1 Bilag 1
  • Bilag 2 KRAV, DER SKAL OPFYLDES AF OVERENSSTEMMELSESVURDERINGSORGANER
Kapitel 1 1 Anvendelsesområde
§ 1

Loven supplerer Europa-Parlamentets og Rådets forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed), jf. bilag 1 til denne lov.

§ 2

Loven gælder for producenter og udbydere af informations- og kommunikationsteknologier (ikt-produkter, -tjenester og -processer), som er omfattet af en europæisk cybersikkerhedscertificeringsordning, og for overensstemmelsesvurderingsorganer.

Kapitel 2 1 Den nationale cybersikkerhedscertificeringsmyndighed
§ 3

Sikkerhedsstyrelsen udpeges som national cybersikkerhedscertificeringsmyndighed, jf. artikel 58, stk. 1, i forordningen om cybersikkerhed.

Kapitel 3 1 Overensstemmelsesvurderingsorganer
§ 4

Den Danske Akkrediteringsfond (DANAK) akkrediterer overensstemmelsesvurderingsorganer efter artikel 60, stk. 1, i forordningen om cybersikkerhed, hvis organet opfylder kravene i bilaget til forordningen.

§ 5

Sikkerhedsstyrelsen kan bemyndige overensstemmelsesvurderingsorganer efter artikel 60, stk. 3, i forordningen om cybersikkerhed til at udføre opgaver i henhold til en europæisk cybersikkerhedscertificeringsordning, jf. artikel 49 i forordningen om cybersikkerhed, hvis der i den pågældende ordning er fastsat specifikke krav eller yderligere krav end dem, der følger af artikel 54, stk. 1, litra f, i forordningen om cybersikkerhed.

Stk. 2 Konstaterer Sikkerhedsstyrelsen, at et overensstemmelsesvurderingsorgan overtræder de specifikke eller yderligere krav, som er nævnt i stk. 1, kan Sikkerhedsstyrelsen begrænse eller suspendere bemyndigelsen og fastsætte en rimelig tidsfrist for afhjælpning af de konstaterede overtrædelser.

Stk. 3 Sikkerhedsstyrelsen kan tilbagekalde bemyndigelsen efter stk. 1, hvis

  • 1) forudsætningerne for bemyndigelsen efter stk. 1 ikke længere er opfyldt,

  • 2) overensstemmelsesvurderingsorganet ikke afhjælper de konstaterede overtrædelser inden for den fastsatte frist i stk. 2 eller

  • 3) overensstemmelsesvurderingsorganet gentagne gange eller ved grov forsømmelse overtræder de specifikke eller yderligere krav, som er nævnt i stk. 1.

§ 6

Erhvervsministeren kan fastsætte nærmere regler om et certificeringsorgan under Sikkerhedsstyrelsen, som er udpeget efter artikel 60, stk. 2, i forordningen om cybersikkerhed.

§ 7

Sikkerhedsstyrelsen kan delegere sin kompetence til at udstede europæiske cybersikkerhedsattester efter artikel 56, stk. 6, litra b, i forordningen om cybersikkerhed til et overensstemmelsesvurderingsorgan.

Stk. 2 Erhvervsministeren kan fastsætte nærmere regler om udførelsen af de opgaver, som er delegeret efter stk. 1.

§ 8

Erhvervsministeren kan fastsætte regler om udpegning af en udenlandsk cybersikkerhedscertificeringsmyndighed, et udenlandsk offentligt organ eller et andet udenlandsk overensstemmelsesvurderingsorgan til at varetage bestemte opgaver i henhold til en europæisk cybersikkerhedscertificeringsordning.

Kapitel 4 1 Tilsyn
§ 9

Sikkerhedsstyrelsen kan fra overensstemmelsesvurderingsorganer, indehavere af en europæisk cybersikkerhedsattest og udstedere af EU-overensstemmelseserklæringer kræve alle oplysninger, som er nødvendige for udførelsen af opgaven som national cybersikkerhedscertificeringsmyndighed, herunder til afgørelse af, om et forhold er omfattet af bestemmelserne i forordningen om cybersikkerhed, regler fastsat i medfør af forordningen, denne lov eller regler fastsat i medfør af denne lov.

§ 10

Sikkerhedsstyrelsen kan udtage ethvert ikt-produkt og enhver ikt-tjeneste eller -proces, som er omfattet af en europæisk cybersikkerhedscertificeringsordning, med henblik på at lave en teknisk undersøgelse. Udtagelsen kan foretages af Sikkerhedsstyrelsen uden betaling, eller Sikkerhedsstyrelsen kan kræve udgiften refunderet, hvis udtagelsen af produktet, processen eller tjenesten har nødvendiggjort en betaling.

§ 11

Sikkerhedsstyrelsen kan auditere overensstemmelsesvurderingsorganer, indehavere af en europæisk cybersikkerhedsattest og udstedere af EU-overensstemmelseserklæringer med henblik på at verificere overholdelse af forordningen om cybersikkerhed, regler fastsat i medfør af forordningen, denne lov og regler fastsat i medfør af denne lov.

§ 12

Sikkerhedsstyrelsen har til enhver tid mod behørig legitimation og uden retskendelse adgang til alle lokaler hos overensstemmelsesvurderingsorganer eller indehavere af en europæisk cybersikkerhedsattest med henblik på at føre tilsyn efter dette kapitel.

Stk. 2 Sikkerhedsstyrelsen kan være bistået af en eller flere uafhængige sagkyndige i forbindelse med adgangen efter stk. 1.

§ 13

Sikkerhedsstyrelsen kan udstede påbud til en indehaver af en europæisk cybersikkerhedsattest eller en udsteder af en EU-overensstemmelseserklæring, der har bragt et ikt-produkt, en ikt-tjeneste eller en ikt-proces i omsætning, som ikke overholder bestemmelserne i forordningen om cybersikkerhed, regler fastsat i medfør af forordningen, denne lov eller regler fastsat i medfør af denne lov, om at

  • 1) gøre brugerne opmærksomme på risici,

  • 2) standse markedsføring, der kan vildlede brugerne,

  • 3) afhjælpe forhold, som ikke er i overensstemmelse med reglerne, eller

  • 4) standse salg, levering eller udbud af produktet, tjenesten eller processen.

§ 14

Sikkerhedsstyrelsen kan tilbagekalde en europæisk cybersikkerhedsattest, der er udstedt af Sikkerhedsstyrelsen eller et overensstemmelsesvurderingsorgan i henhold til artikel 56, stk. 5, litra a, eller stk. 6, i forordningen om cybersikkerhed, hvis indehaveren af en attest

  • 1) ikke imødekommer Sikkerhedsstyrelsens anmodning om oplysninger, jf. § 9,

  • 2) nægter at give Sikkerhedsstyrelsen adgang, jf. § 12,

  • 3) ikke efterkommer et påbud fra Sikkerhedsstyrelsen, jf. § 13, eller

  • 4) gentagne gange eller ved grov forsømmelse overtræder forordningen om cybersikkerhed, regler fastsat i medfør af forordningen, denne lov eller regler fastsat i medfør af denne lov.

Kapitel 5 1 Kommunikation
§ 15

Skriftlig kommunikation til og fra Sikkerhedsstyrelsen om forhold, som er omfattet af forordningen om cybersikkerhed, regler fastsat i medfør af forordningen, denne lov og regler fastsat i medfør af denne lov, skal foregå digitalt, jf. dog stk. 2.

Stk. 2 Sikkerhedsstyrelsen kan undtage en virksomhed fra digital kommunikation, når særlige omstændigheder taler for det.

Stk. 3 En digital meddelelse anses for at være kommet frem, når den er tilgængelig for adressaten for meddelelsen.

Stk. 4 Erhvervsministeren kan fastsætte nærmere regler om digital kommunikation og om anvendelse af bestemte it-systemer og særlige digitale formater.

Kapitel 6 1 Klageadgang
§ 16

Sikkerhedsstyrelsen behandler klager vedrørende:

  • 1) EU-overensstemmelseserklæringer udstedt af producenter og udbydere af ikt-produkter, -tjenester og -processer i henhold til artikel 53 i forordningen om cybersikkerhed,

  • 2) europæiske cybersikkerhedsattester udstedt af Sikkerhedsstyrelsen efter artikel 56, stk. 5, litra a, og stk. 6, og

  • 3) europæiske cybersikkerhedsattester udstedt af overensstemmelsesvurderingsorganer i overensstemmelse med artikel 56, stk. 6, i forordningen om cybersikkerhed.

§ 17

Sikkerhedsstyrelsens afgørelser i egenskab af national cybersikkerhedscertificeringsmyndighed kan ikke indbringes for anden administrativ myndighed.

Kapitel 7 1 Gennemførelsesforanstaltninger
§ 18

Erhvervsministeren kan fastsætte regler, som er nødvendige for at gennemføre de af Den Europæiske Union udstedte beslutninger, som træffes med henblik på gennemførelse af forordningen om cybersikkerhed, eller regler, som er nødvendige for at anvende de af Den Europæiske Union udstedte retsakter på forordningens område.

Kapitel 8 1 Ikrafttræden
§ 19

Loven træder i kraft den 28. juni 2021.

Kapitel 9 1 Territorialbestemmelse
§ 20

Loven gælder ikke for Færøerne og Grønland.