Den 1. juli 2016 trådte den nye lov om Net- og Informationssikkerhed (NIS-loven) i kraft, og afløste dermed den tidligere regulering i Telelovens § 8a og de bekendtgørelser, der er udstedt med hjemmel heri. Med hjemmel i NIS-loven har Center for Cybersikkerhed (CFCS) samtidig udstedt fire bekendtgørelser, som regulerer NIS-loven. Den nye regulering medfører en række nye og skærpede forpligtelser, som visse udbydere af offentlige elektroniske kommunikationsnet og -tjenester hurtigst muligt bør gøre sig bekendt med og sørge for at overholde.
I februar 2016 skrev vi om
vedtagelsen af NIS-loven, som er trådt i kraft samtidig med tre ud af fire af de detaljerede bekendtgørelser pr. 1. juli 2016. I det følgende redegør vi for strukturen af den nye regulering, samt hvordan den adskiller sig i forhold til den tidligere.
DEN NYE RAMMELOV – NIS-LOVEN
Formålet med NIS-loven er at skabe en ny, sammenhængende og mere overskuelig regulering, der udstikker de overordnede rammer for informationssikkerhed og beredskab i telesektoren. Det er gjort ved at udskille denne del af telereguleringen fra Teleloven og flytte den over i sin egen lov, NIS-loven. Da de nye krav til udbydere reguleres i de nye bekendtgørelser, fungerer NIS-loven hovedsageligt som en rammelov, der giver CFCS:
- bemyndigelse til at udstede bekendtgørelser, der fastsætter de nærmere regler
- en række beføjelser til at udstede påbud og strafsanktioner i tilfælde af manglende overholdelse af kravene.
I den forbindelse medfører NIS-loven også en ny ressortfordeling af myndighedsopgaver om netværkssikkerhed og persondatasikkerhed, da netværkssikkerhed nu varetages af Forsvarsministeriet ved CFCS, mens persondatasikkerhed fortsat hører under Erhvervs- og Vækstministeriet.
FIRE NYE BEKENDTGØRELSER
Med afsæt i NIS-loven har CFCS netop udstedt fire bekendtgørelser, hvoraf de følgende tre trådte i kraft den 1. juli 2016:
Den fjerde bekendtgørelse,
Sikkerhedsgodkendelsesbekendtgørelsen, træder først i kraft den 1. januar 2017 for at tage højde for ekspeditionstiden for sikkerhedsgodkendelser, men udbydere bør allerede nu have den in mente.
NYE BEGREBER INDFØRES: 'VÆSENTLIG ERHVERVSMÆSSIG UDBYDER' OG 'KRITISKE NETKOMPONENTER, SYSTEMER OG VÆRKTØJER'
Bekendtgørelserne indfører flere nye begreber, hvoraf et af de væsentligste er den nye udbyderkategori
væsentlige erhvervsmæssige udbydere. Dette nye ansvarssubjekt pålægges mere vidtgående forpligtelser end almindelige udbydere og erhvervsmæssige udbydere, og det er derfor væsentligt at afklare, om man falder inden for denne kategori.
Væsentlige erhvervsmæssige udbydere defineres som følgende:
- Udbydere af net, hvor disse net anvendes af mere end 50.000 slutbrugere. Ved opgørelsen medregnes de slutbrugere, der har aftaleforhold med udbyderens kunder, eller
- Udbydere, der gennem aftaler med statslige myndigheder og institutioner betjener mere end 500 slutbrugere. Ved opgørelsen medregnes de statslige myndigheder og institutioners egne slutbrugere.
Herudover indføres også et andet nyt begreb, nemlig
"kritiske netkomponenter, systemer og værktøjer", som udbydere bør gøre sig bekendt med, da dette er afgørende for, hvorvidt visse underretningspligter og endda standstill-perioder aktiveres. Se mere herom nedenfor.
NYE KRAV TIL INFORMATIONSSIKKERHEDEN
Den væsentligste af CFCS's bekendtgørelser,
Informationssikkerheds- og beredskabsbekendtgørelsen, indfører en række krav til informationssikkerhed og beredskab, der er differentieret i forhold til de nu tre udbyderkategorier.
RISIKOSTYRING
Udbydere skal fortsat gennemføre en risikostyringsproces, som det også var tilfældet under den gamle regulering, men ikke længere lave en informationssikkerhedspolitik samt eventuelle sikringsplaner. Med de nye regler gælder nærmere, konkrete forpligtelser kun for
erhvervsmæssige og
væsentlige erhvervsmæssige udbydere.
Erhvervsmæssige udbydere er nu konkret pålagt at:
- Gennemføre en ledelsesgodkendt informationssikkerhedspolitik med udgangspunkt i en anerkendt international standard, fx DS/ISO/IEC 27001, med tilpasning som minimum én gang om året
- Etablere en informationssikkerhedsorganisation
- Orientere CFCS om kontaktoplysninger på lederen af informationssikkerhedsorganisationen
- Foretage risikostyring med udgangspunkt i en anerkendt international standard, fx DS/ISO/IEC 27001. Derudover skal de tage aktivt stilling til kriterier for udbyderens risikovillighed og i fornødent omfang dokumentere og tilpasse processen.
Væsentlige erhvervsmæssige udbydere er pålagt følgende yderligere konkrete forpligtelser:
- Informationssikkerheden skal styres gennem et ledelsessystem, der skal etableres med udgangspunkt i en anerkendt international standard, fx DS/ISO/IEC 27001. Det er uklart om denne forpligtelse reelt allerede er indeholdt i forpligtelsen om en informationssikkerhedsorganisation eller udgør en selvstændig, yderligere forpligtelse. Det må derfor afventes hvad denne forpligtelse reelt udmønter sig i.
- Informationssikkerhedspolitikken skal beskrive en politik for håndtering af beredskabssituationer.
- Som en del af fastlæggelsen af risikovilligheden i risikostyringsprocessen, skal der tages højde for, at udbyderne i videst muligt omfang skal opretholde udbuddet af net og tjenester i beredskabssituationer med henblik på at sikre samfundets teleforsyning.
GENERELLE INFORMATIONSSIKKERHEDSFORANSTALTNINGER
For
væsentlige erhvervsmæssige udbydere gælder desuden en lang række generelle informationssikkerhedsforanstaltninger som indebærer, at disse blandt andet skal:
- Etablere og vedligeholde et register over udbyderens kritiske netkomponenter, systemer og værktøjer
- Etablere procedurer for håndtering af informationssikkerhedsbrud- og hændelser
- Sikre en hensigtsmæssig adskillelse mellem udbydernes net, herunder produktions-, administrations- og styrings- og testnet, hvilket skal ske i overensstemmelse med internationalt anerkendte retningslinjer.
Afgrænsningen af disse forpligtelser er endnu ikke helt klar, idet det f.eks. står åbent, hvordan en væsentlig erhvervsmæssig udbyder praktisk sikrer en hensigtsmæssig adskillelse mellem udbydernes net. Det endelige indhold af forpligtelserne må derfor forventes at blive nærmere afklaret i takt med reglernes brug.
CFCS KAN NU UDSTEDE STRAFSANKTIONEREDE PÅBUD
Under de nye regler har CFCS fået udvidede beføjelse til at udstede en række strafsanktionerede påbud over for visse udbydere.
ET PÅBUDSKATALOG I TILFÆLDE AF 'VÆSENTLIG SAMFUNDSMÆSSIG BETYDNING'
CFCS kan nu udstede et katalog af påbud om
konkrete foranstaltninger til henholdsvis
erhvervsmæssige og
væsentlige erhvervsmæssige udbydere, hvis disse foranstaltninger vurderes til at være af '
væsentlig samfundsmæssig betydning'.
Et konkret påbud kan f.eks. være indstationering af medarbejdere hos udenlandske leverandører, hvortil al udbyderens drift er outsourcet. Hvis et sådant påbud ikke efterkommes, vil det kunne straffes med bøde.
Hvornår disse typer påbud kan udstedes er ikke nærmere afgrænset, da kriteriet '
væsentlig samfundsmæssig betydning' ikke er klart defineret, og denne potentielt vidtgående adgang til at udstede påbud kan risikere at medføre, at udbydere pålægges uproportionale påbud.
NYE OPLYSNINGS- OG UNDERRETNINGSFORPLIGTELSER I TILFÆLDE AF BL.A. AFTALEFORHANDLINGER OM VÆSENTLIGE DELE AF NET, TJENESTER ELLER BLOT KRITISKE NETKOMPONENTER
Oplysnings- og underretningsbekendtgørelsen indeholder to meget særlige og nyskabende hjemler for at udstede påbud for
strafsanktionerede oplysnings- og underretningsforpligtelser – afhængig af hvilken type udbyder man er:
- Erhvervsmæssige udbydere kan påbydes skriftligt at afgive oplysninger om væsentlige dele af udbydernes net og tjenester eller varetagelsen heraf. Dette kan fx være det transmissionssystem, der forbinder de forskellige større netværkselementer i netværket samt Value Added Services (VAS), der understøtter tillægstjenester som f.eks. voice mailbox, SMS m.v.
- Væsentlige erhvervsmæssige udbydere skal skriftligt underrette CFCS forud for, at der indledes forhandlinger om aftaler eller tillæg til eksisterende aftaler, der vedrører 'kritiske netkomponenter, systemer og værktøjer', herunder varetagelsen af driften heraf. CFCS kan herefter vælge at udstede et påbud om indsendelse af det endelige aftaleudkast forud for aftaleindgåelse. Den endelige aftale vil herefter først kunne indgås, når udbyderen har modtaget en tilbagemelding fra CFCS, hvilket højst vil ske 10 arbejdsdage fra, at CFCS har modtaget aftaleudkastet. Der kan endvidere også udstedes påbud om indsendelse af den endelige aftale senest 10 arbejdsdage efter indgåelse.
Den nye underretningspligt med aftaleforhandlinger er reelt udtryk for en lempelse i forhold til det, som NIS-loven giver bemyndigelse til, og er en følge af branchens tilbagemeldinger efter præhøringen. Det skyldes, at selve standstill-perioden på 10 arbejdsdage ikke vil indtræde automatisk men nu kun, hvis CFCS udsteder et konkret påbud herom.
ANVENDELSESOMRÅDET FOR BEREDSKABSKRAV ER UDVIDET
Anvendelsesområdet for beredskabskrav er i kapitel 5 i
Informationssikkerheds- og beredskabsbekendtgørelsen blevet udvidet. En række forpligtelser, der tidligere kun gjaldt for
erhvervsmæssige udbydere og
ejere af elektroniske kommunikationsnet nu er blevet udvidet til, at visse beredskabskrav også skal foretages af
almindelige udbydere af offentligt tilgængelige net og tjenester (herunder udarbejdelse af krisestyringsplan), og
væsentlige erhvervsmæssige udbydere af offentligt tilgængelige net og tjenester (bl.a. krisestyringsplan, situationsrapportering til CFCS, afholdelse af beredskabsøvelser, etc.).
NY STRAFSANKTIONERET FORPLIGTELSE FOR ERHVERVSMÆSSIGE UDBYDERE TIL AT SIKKERHEDSGODKENDE VISSE MEDARBEJDERE
Der gælder allerede i dag nogle krav til sikkerhedsgodkendelse for visse teleudbyderes medarbejdere og repræsentanter.
Når den fjerde af CFCS's bekendtgørelser,
Sikkerhedsgodkendelsesbekendtgørelsen, træder i kraft den 1. januar 2017, forpligtes
erhvervsmæssige udbydere som noget nyt til at sikre, at medarbejdere eller repræsentanter for udbyderne, der har adgang til udstyr eller systemer, som benyttes i forbindelse med indgreb i meddelelseshemmeligheden, skal sikkerhedsgodkendes i henhold til "
Sikkerhedscirkulæret". Også denne forpligtelse er strafsanktioneret.
Dette gælder selvsagt ikke medarbejdere eller repræsentanter, der forestår kontakten til politiet i forbindelse med indgreb i meddelelseshemmeligheden og således allerede er sikkerhedsgodkendt.
UKLARE FORPLIGTELSER OG VIDTGÅENDE BEFØJELSER TIL CFCS MØDER KRITIK I TELEBRANCHEN
Der har i høringsprocessen været rejst en række kritikpunkter, herunder af at CFCS med dets udvidede beføjelser kan bestemme, hvad der er den mest optimale sikkerhed for teleudbydere. I høringssvaret fra
Rådet for Digital Sikkerhed anføres, at
"CFCS's rolle i forbindelse med sikkerhed i privat erhverv bør være vejledende, ikke styrende" og
"Telebranchen bør ikke fratages råderet over udvikling af sikkerheden i egne digitale platforme og lægge opskriften på "rigtig sikkerhed" i hænderne på offentlige myndigheder".
De nye danske regler er også blevet kritiseret for at udgøre
supplerende og videregående regler om informationssikkerhed sammenholdt med gældende EU-regulering. Dette er kritiseret af bl.a.
Teleindustrien m.v. samt
Rådet for Digital Sikkerhed, da en dansk særregulering med skærpede sikkerhedskrav kan være hæmmende for udbuddet af nye innovative tjenester på det danske marked.
Hertil har flere høringsparter udtrykt ønske om, at reguleringen burde
afvente arbejdet i EU vedrørende revision af de bagvedliggende direktiver. Dette har dog været afvist af CFCS med henvisning til, at der ikke i EU på nuværende tidspunkt ses at være planer om en substantiel revision.
IKRAFTTRÆDEN OG TILSYN
Som omtalt ovenfor træder tre af bekendtgørelserne allerede i kraft den 1. juli 2016, hvorimod forpligtelserne om sikkerhedsgodkendelse først gælder med virkning pr. 1. januar 2017.
CFCS har dog tilkendegivet samlet over for branchen, at der først i 2017 vil iværksættes et egentligt tilsynskoncept til sikring af, at bekendtgørelsernes krav efterleves. På trods af dette må det dog anbefales, at teleudbydere allerede nu afsætter den fornødne tid, planlægning og ressourcer til at orientere sig om de nye forpligtelser, herunder hvordan de hurtigst og bedst muligt får implementeret disse i deres egen arbejdsgang.
For så vidt angår den nye, vidtgående forpligtelse om underretning om aftaleforhandlinger, da fremgår det eksplicit af
Oplysnings- og underretningsbekendtgørelsen, at denne forpligtelse ikke finder anvendelse på aftaleforhandlinger, der er indledt før bekendtgørelsens ikrafttræden den 1. juli 2016.
Vi er naturligvis behjælpelige i tilfælde af nærmere spørgsmål og vejledning herom.
Læs mere:
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice
her →