NIS-loven Kapitel 2

Denne konsoliderede version af nIS-loven er opdateret til i dag, idet vi har implementeret eventuelle senere ændringslove i det omfang, de er trådt i kraft - se mere her.

Lov om net- og informationssikkerhed for domænenavnssystemer og visse digitale tjenester

Lov nr. 436 af 08. maj 2018

Kapitel 2 1 Operatører af væsentlige tjenester
§ 3

En enhed skal betragtes som en operatør af en væsentlig tjeneste, hvis

  • 1) enheden leverer en tjeneste, der er væsentlig for opretholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter,

  • 2) leveringen af tjenesten afhænger af net- og informationssystemer og

  • 3) en hændelse vil få væsentlige forstyrrende virkninger for leveringen af tjenesten.

Stk. 2 Erhvervsministeren udarbejder og opdaterer en liste over væsentlige tjenester.

Stk. 3 Erhvervsministeren kan fastsætte nærmere regler for afgrænsningen af kriterierne i stk. 1.

2
§ 4

Operatører af væsentlige tjenester skal træffe passende og forholdsmæssige tekniske og organisatoriske foranstaltninger for at styre risiciene for sikkerheden i net- og informationssystemer, som de anvender til deres aktiviteter. Under hensyntagen til teknologiens aktuelle stade skal disse foranstaltninger sikre et sikkerhedsniveau for net- og informationssystemer, der står mål med risikoen.

Stk. 2 Operatører af væsentlige tjenester skal træffe passende foranstaltninger for at forebygge og minimere konsekvensen af hændelser, der berører sikkerheden i net- og informationssystemer, som anvendes til levering af væsentlige tjenester, med henblik på at sikre kontinuiteten i disse tjenester.

Stk. 3 Erhvervsministeren kan fastsætte nærmere regler om foranstaltninger efter stk. 1 og 2.

2
§ 5

Operatører af væsentlige tjenester skal hurtigst muligt underrette Erhvervsstyrelsen og Center for Cybersikkerhed om hændelser, der har væsentlige konsekvenser for kontinuiteten af de væsentlige tjenester, som de leverer. Underretningen skal indeholde oplysninger, der gør det muligt for Erhvervsstyrelsen og Center for Cybersikkerhed at fastslå eventuelle grænseoverskridende konsekvenser af hændelsen.

Stk. 2 Med henblik på at fastlægge omfanget af en hændelses konsekvenser efter stk. 1 skal operatøren navnlig inddrage følgende kriterier:

  • 1) Antallet af brugere, der berøres af afbrydelsen af den væsentlige tjeneste.

  • 2) Hændelsens varighed.

  • 3) Den geografiske udbredelse med hensyn til det område, der er berørt af hændelsen.

Stk. 3 Er en operatørs levering af en væsentlig tjeneste afhængig af en tredjepartsudbyder af digitale tjenester, skal operatøren underrette Erhvervsstyrelsen og Center for Cybersikkerhed om alle de væsentlige konsekvenser for den væsentlige tjenestes kontinuitet, som følger af en hændelse hos den pågældende udbyder.

Stk. 4 Erhvervsministeren kan fastsætte nærmere regler om underretning efter stk. 1 og 3 og om kriterierne for fastlæggelse af omfanget af en hændelses konsekvenser efter stk. 2.

2
§ 6

Erhvervsstyrelsen kan videregive oplysninger til Center for Cybersikkerhed om hændelser, der er nødvendige for Center for Cybersikkerhed til opfyldelse af dets lovbestemte opgaver som nationalt centralt kontaktpunkt og som CSIRT.

Stk. 2 Erhvervsstyrelsen kan videregive relevante oplysninger til den underrettende operatør af væsentlige tjenester om opfølgningen på underretningen, herunder oplysninger, der kan støtte en effektiv håndtering af hændelsen.

Stk. 3 Erhvervsstyrelsen kan efter høring af den underrettende operatør af væsentlige tjenester oplyse offentligheden om konkrete hændelser, hvis offentlighedens kendskab hertil er nødvendigt for at forebygge en hændelse eller håndtere en igangværende hændelse.

2