Europaudvalget 2021-22
KOM (2020) 0823 Bilag 2
Offentligt
2478919_0001.png
Forslag til Rådets Direktiv om FORANSTALTNINGER TIL SIKRING AF ET HØJT
FÆLLES CYBERSIKKERHEDSNIVEAU I HELE UNIONEN OG OM OPHÆVELSE AF
DIREKTIV (EU) 2016/1148 (KOM(2020) 823 final) (NIS2)
Resumé
Europa-Kommissionen (Kommissionen) har den 16. december 2020 fremsat forslag til direktiv
om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen og om op-
hævelse af direktiv (EU) 2016/1148 (KOM(2020) 823 final). Forslaget er modtaget i dansk
sprogversion den 19. januar 2021. Forslaget (NIS2) bygger på og ophæver direktiv (EU)
2016/1148 om sikkerhed i net- og informationssystemer (NIS-direktivet), som er den første EU-
retsakt om cybersikkerhed og indeholder retlige foranstaltninger, der skal styrke det generelle
cybersikkerhedsniveau i Unionen. Kommissionen har fremsat NIS2 på baggrund af en omfattende
evaluering af NIS-direktivet gennemført i 2019 og 2020.
NIS2-forslaget tager fat på en række begrænsninger, der ifølge Kommissionen forhindrer NIS-
direktivet i at indfri sit fulde potentiale. Forslaget indebærer derfor en væsentlig udvidelse af
direktivets dækningsområde med flere sektorer herunder den statslige administration. Alle udby-
dere af tjenester inden for dækningsområdet omfattes af forslaget (små virksomheder og mikro-
virksomheder er som udgangspunkt undtaget). Der lægges op til væsentligt øgede krav til regi-
strering af alle omfattede udbydere, samt væsentligt flere krav til de kompetente myndigheders
tilsyn med udbyderne og udvidede sanktionsmuligheder ved brud på forpligtelserne vedrørende
styring af cybersikkerhedsrisici og rapportering. Endelig indebærer forslaget udvidede krav til
nationale cybersikkerhedsstrategier, krav om national cybersikkerhedskrisestyring, samt flere
opgaver til det nationale centrale kontaktpunkt.
Det slovenske formandskab (herefter ”Formandskabet”) har på baggrund af forhandlingerne
af direktivforslaget i rådsregi fremsat et kompromisforslag af 25. oktober
2021 (herefter ”for-
mandskabets
kompromisforslag” eller ”kompromisforslaget”). Kompromisforslaget bevarer
store dele af det oprindelige forslag, men indeholder forslag til justering af anvendelsesområ-
det for direktivet, forslag om mere risikobaseret tilsyn og forslag til, hvordan NIS2 skal danne
grundlag for udformningen af anden sektorspecifik EU-lovgivning, der regulerer cybersikker-
hedsmæssige krav til net- og informationssystemer.
Forslaget ventes med det nuværende kompromisforslag at medføre statsfinansielle og erhvervs-
økonomiske konsekvenser mellem hhv. ca. 92-112 mio. kr. og ca. 44. mio. kr. årligt. De statsfi-
nansielle konsekvenser følger opfyldelse af direktivets krav om at føre tilsyn med de omfattede
enheders efterlevelse af direktivets bestemmelser og håndtering af hændelser. De erhvervsøko-
nomiske konsekvenser følger etablering- og til bl.a. tilsyn, registrerings- og rapporteringsfor-
pligtelser.
Side 1 af 29
 kom (2020) 0823 - Bilag 2: Samlenotat vedr. Forslag til direktiv vedr. cybersikkerhed i net- og informationssystemer (NIS2-direktivet)
Regeringen ser overordnet positivt på forslaget og ønsket om at højne cybersikkerheden og trus-
selsbevidstheden - også i yderligere sektorer, der ikke traditionelt arbejder med sikkerhed. Udvi-
delsen af anvendelsesområdet, skærpede krav til risikostyring og rapportering samt det forudsat-
te myndighedstilsyn må generelt forventes at styrke cyberrobustheden, men regeringen lægger
afgørende vægt på, at udvidelsen sker risikobaseret og proportionelt med respekt af sektoransva-
ret. Regeringen lægger samtidig vægt på, at forslaget ikke medfører uforholdsmæssige økonomi-
ske byrder for aktører, som ikke er direkte afhængige af net- og informationssystemer, og at der
arbejdes risikobaseret mhp. at balancere omkostningsniveau og merværdi.
Regeringen finder at kompromisforslaget imødekommer en række centrale elementer, herun-
der at aktiviteter relateret til national sikkerhed er undtaget fra direktivets anvendelsesområde,
ligesom peer-evaluering ikke længere indgår i kompromisforslaget.
2. Baggrund
Forslaget kan ses som en videreførelse og udvidelse af bestemmelserne i det
nuværende NIS-direktiv fra 2016 (2016/1148 (KOM(2020) 823 final). Kommissionens konse-
kvensanalyse af det eksisterende NIS-direktiv konkluderede, at direktivet banede vejen for en
betydelig ændring i tilgangen til cybersikkerhed både institutionelt og lovgivningsmæssigt i man-
ge medlemsstater, men at det også har vist sine begrænsninger. Den digitale omstilling af sam-
fundet (intensiveret af covid-19-krisen) har udvidet trusselsbilledet og skabt nye udfordringer,
som kræver tilpassede og innovative sikkerhedsløsninger.
Antallet af cyberangreb stiger fortsat, og der kommer stadig mere sofistikerede angreb fra en bred
vifte af kilder i og uden for EU. Anvendelsesområdet for direktivet er ikke tilstrækkeligt klart, og
medlemsstaterne har for vide skønsbeføjelser. Tilsyn og håndhævelse vurderes at være ineffektiv,
ligesom modenheden i forbindelse med vurderingen af cybersikkerhedsrisici varierer for meget,
og medlemsstaterne udveksler ikke systematisk oplysninger med hinanden.
Det er Kommissionens overordnede vurdering, at cybersikkerhed og -modstandsdygtighed
på tværs af EU ikke kan være effektiv, hvis man vælger en uensartet tilgang i form af løsrevne
initiativer i nationale og regionale siloer.
NIS2 har til formål at styrke cybersikkerheden og modstandsdygtigheden yderligere på en ensar-
tet måde på tværs af medlemsstaterne, både i bredden og i dybden. Samtidig indgår NIS2 som en
del af en bredere vifte af allerede eksisterende retlige instrumenter og af kommende initiativer på
EU-plan, der i fællesskab har til formål at øge offentlige og private enheders modstandsdygtighed
over for trusler og beredskabskapacitet inden for cybersikkerhed og beskyttelse af kritisk infra-
struktur.
Sagsnr.:
[Sagsnr.]
Dok.nr.:
[Dokumentnr.]
Side 2 af 29
 kom (2020) 0823 - Bilag 2: Samlenotat vedr. Forslag til direktiv vedr. cybersikkerhed i net- og informationssystemer (NIS2-direktivet)
2478919_0003.png
I forhold til fysisk sikkerhed supplerer forslaget Kommissionens forslag om revision af direktiv
om kritiske enheders modstandsdygtighed (KOM(2020) 829 final)
1
, som NIS2-forslaget er nøje
afstemt med. Forslaget til direktiv om kritiske enheders modstandsdygtighed har til formål at
styrke kritiske enheders modstandsdygtighed over for fysiske trusler i en lang række sektorer.
3. Formål og indhold
Kommissionen har den 16. december 2020 fremsat forslag til direktiv om foranstaltninger til sik-
ring af et højt fælles cybersikkerhedsniveau i hele Unionen og om ophævelse af direktiv (EU)
2016/1148 (KOM(2020) 823 final). Forslaget er bygget op om en række centrale politikområder,
som er indbyrdes forbundne og har til formål at højne cybersikkerhedsniveauet i Unionen.
Rådsformandskabets kompromisforslag
Formandskabet har den 25. oktober 2021 fremsat et kompromisforslag REV2 til Rådets
holdning til NIS2-forslaget. Kompromisforslaget bevarer store dele af det oprindelige for-
slag, men indeholder forslag til justering af anvendelsesområdet for NIS2, fokus på at de
kompetente myndigheders tilsynsforpligtelser skal basere sig på en risiko-baseret tilgang,
samt beskrivelse af øget indflydelse fra medlemsstaterne ift. peer-læring.
Det foreslås desuden, at NIS2 skal danne grundlag for udformningen af anden sektorspecifik
EU-lovgivning, der regulerer cybersikkerhedsmæssige krav til net- og informationssystemer.
Derudover introducerer kompromisforslaget nye krav til øget nationalt samarbejde mellem de
kompetente myndigheder, som omfattes af NIS2 og de kompetente myndigheder, der omfattes
af Kommissionens forslag om direktiv om kritiske enheders modstandsdygtighed (KOM(2020)
829 final) (CER). Kompromisforslaget introducerer endvidere nye bestemmelser for at sikre
harmonisering på tværs af NIS2 og forordning (EU) nr. 910/2014 (eIDAS), direktiv (EU) nr.
2018/1972 (EECC) samt ”Forslag til EUROPA-PARLAMENTETS
OG RÅDETS FORORD-
NING om digital operationel modstandsdygtighed i den finansielle sektor (digital operationel
robusthed) (KOM 2020/595)” (DORA).
Genstand og anvendelsesområde (artikel 1 og artikel 2)
Direktivet indeholder a) forpligtelser om, at medlemsstaterne skal vedtage en national cybersik-
kerhedsstrategi, udpege kompetente nationale myndigheder, centralt kontaktpunkt og CSIRT, b)
bestemmelser om, at medlemsstaterne skal fastsætte forpligtelser om risikostyring og indberet-
ning af cybersikkerhedshændelser for enheder, der benævnes ”væsentlige”, og c) bestemmelser
om, at medlemsstaterne skal udveksle af oplysninger om cybersikkerhedshændelser.
1
Kommissionen fremsatte forslaget om direktiv om kritiske enheders modstandsdygtighed
(KOM (2020) 829 final) d. 16. december 2020. Forslaget er modtaget i dansk
sprogversion d. 9. februar 2021.
Sagsnr.:
[Sagsnr.]
Dok.nr.:
[Dokumentnr.]
Side 3 af 29
 kom (2020) 0823 - Bilag 2: Samlenotat vedr. Forslag til direktiv vedr. cybersikkerhed i net- og informationssystemer (NIS2-direktivet)
2478919_0004.png
Direktivet finder anvendelse på offentlige og private ”væsentlige enheder”, der opererer inden for
de sektorer, som er opført i bilag I (energi, transport, bankvæsen, finansielle markedsinfrastruktu-
rer, sundhed, drikkevand, spildevand, digital infrastruktur, offentlig forvaltning og rummet) og
”vigtige enheder”, der opererer inden for de sektorer, der er opført i bilag II (post-
og kurertjene-
ster, affaldshåndtering, fremstilling, fremstilling og distribution af kemikalier, fødevareprodukti-
on, -forarbejdning og -distribution, fremstillingsvirksomhed og digitale udbydere).
Det foreslåede anvendelsesområde betyder samlet set både en udvidelse af direktivets anvendel-
sesområde i bredden, såvel som i dybden. Således vil ikke kun nye sektorer indlemmes, men også
langt flere virksomheder end i dag vil betegnes
væsentlige enheder,
som følge heraf. Det hidtidi-
ge princip om særskilt udpegning af udbydere af væsentlige tjenester i bestemte sektorer forlades,
og der foreslås indført en højere grad af harmonisering af sikkerheds- og rapporteringsforpligtel-
ser.
Mikrovirksomheder og små enheder som omhandlet i Kommissionens henstilling 2003/361/EF af
6. maj 2003 er ikke omfattet af direktivets anvendelsesområde, undtagen udbydere af elektroniske
kommunikationsnet eller offentligt tilgængelige elektroniske kommunikationstjenester, tillidstje-
nesteudbydere, topdomænenavneregistraturer, DNS-tjeneste-udbyder og offentlig forvaltning
samt visse andre enheder såsom den eneste udbyder af en tjeneste i en medlemsstat. Derudover
foreslås en mere lempelig ordning for efterfølgende tilsyn for de såkaldt ”vigtige enheder” end de
”væsentlige enheder”. Hensigten er at minimere og
afbalancere den byrde, der pålægges virk-
somheder og offentlige myndigheder.
Rådsformandskabets kompromisforslag
Formandskabets kompromisforslag fra 25. oktober 2021 introducerer en række justerin-
ger af anvendelsesområdet. For at sikre proportionalitet, herunder i administrative byr-
der, ændres anvendelsesområdet til ét samlet dækningsområde, hvor alle områder opli-
stes, og hvor det er størrelsen på udbyderen, der afgør om enheden defineres som ”væ-
sentlig” eller ”vigtig”, jf. art. 2, stk. 1.
Med kompromisforslagets nye artikel 2, stk. 2a, stk. 2b og stk. 2c stilles forslag om at af-
grænse væsentlige og vigtige enheder således, at alle enheder, hvis størrelse overstiger
mellemstore virksomheder
2
(dvs. store virksomheder) på alle områder opført i bilaget be-
tegnes som væsentlige enheder. Alle mellemstore virksomheder på alle områder opført i
bilaget betegnes som vigtige enheder. Dog omfattes små og mikrovirksomheder af NIS2,
hvis de opfylder kriterierne i art. 2, stk. 2.
2
Som defineret i Kommissionens henstilling 2003/361/EF af 6. maj 2003
Sagsnr.:
[Sagsnr.]
Dok.nr.:
[Dokumentnr.]
Side 4 af 29
 kom (2020) 0823 - Bilag 2: Samlenotat vedr. Forslag til direktiv vedr. cybersikkerhed i net- og informationssystemer (NIS2-direktivet)
2478919_0005.png
Hver medlemsstat får mulighed for at beslutte, om en vigtig enhed skal defineres som en
væsentlig enhed, hvis den opfylder de samme kriterier, der giver mulighed for at små og
mikrovirksomheder kan omfattes af NIS2-forslaget, jf. artikel 2, stk. 2b.
I kompromisforslaget lægges der endelig op til en revision af artikel 2, stk. 3 og stk. 3a,,
der begrænser direktivets anvendelsesområde, så det fremgår med al tydelighed, at for-
hold, der vedrører medlemsstaternes sikkerhed, ikke omfattes af NIS2. Flere medlemssta-
ter, herunder Danmark, har under forhandlingerne fremhævet, at præciseringen af denne
undtagelse er af væsentlig betydning for at sikre overensstemmelse med TEU artikel 4,
stk. 2, samt EU-Domstolens fortolkning heraf for at værne om medlemsstaternes suveræ-
nitet på dette område.
Kompromisforslaget introducerer også en ny artikel 2a, hvor medlemsstaterne kan etab-
lere en national selvregistreringsmekanisme, hvor alle enheder, der omfattes af NIS2, skal
registrere sig. I tillæg hertil skal medlemsstaterne indsende information om de enheder,
medlemsstaterne har identificeret som væsentlige eller kritiske jf. kriterierne i art. 2, stk.
2. En udvikling i kompromisforslaget er, at Kommissionens oprindelige forslag til indfø-
relse af en fælles nomenklatur for regionale enheder (NUTS) ikke længere indgår i kom-
promisforslaget. Dermed går kompromisforslaget i retning af, at kun centraladministrati-
onen i et ukendt omfang vil være omfattet.
Nationale rammer for cybersikkerhed (artikel 5-11)
Medlemsstaterne skal vedtage en national cybersikkerhedsstrategi, der definerer de strategiske
mål og passende politiske og reguleringsmæssige foranstaltninger med henblik på at opnå og op-
retholde et højt cybersikkerhedsniveau. Direktivet fastlægger også en ramme for koordineret ind-
beretning af sårbarheder og pålægger medlemsstaterne at udpege CSIRT'er, der skal fungere som
betroede formidlere og lette samspillet mellem de underrettende enheder og producenter eller
udbydere af IKT-produkter og -tjenester. ENISA (EU's Agentur for Cybersikkerhed) skal udvikle
og vedligeholde et europæisk sårbarhedsregister for de konstaterede sårbarheder.
Medlemsstaterne skal indføre nationale rammer for styring af cybersikkerhedskriser,
bl.a. ved at udpege nationale kompetente myndigheder med ansvar for håndteringen af væsentlige
cybersikkerhedshændelser og -kriser.
Medlemsstaterne skal også udpege en eller flere nationale kompetente myndigheder inden for
cybersikkerhed til at varetage tilsynsopgaverne i henhold til dette direktiv og et nationalt centralt
kontaktpunkt for cybersikkerhed (SPOC) til at varetage en forbindelsesfunktion for at sikre græn-
seoverskridende samarbejde mellem medlemsstaternes myndigheder. Medlemsstaterne skal også
udpege CSIRT'er.
Sagsnr.:
[Sagsnr.]
Dok.nr.:
[Dokumentnr.]
Side 5 af 29
 kom (2020) 0823 - Bilag 2: Samlenotat vedr. Forslag til direktiv vedr. cybersikkerhed i net- og informationssystemer (NIS2-direktivet)
NIS2-forslaget viderefører og udbygger således NIS-direktivets ramme: Der er allerede i dag i
medfør af NIS etableret nationalt centralt kontaktpunkt og CSIRT ved Center for Cybersikkerhed,
ligesom de sektoransvarlige myndigheder er kompetente myndigheder med ansvar for tilsynet
med omfattede operatører og håndteringen af væsentlige cybersikkerhedshændelser og -kriser
inden for deres respektive ansvarsområder.
Formandskabets kompromisforslag lægger op til yderligere krav til nationalt samarbejde og
informationsudveksling mellem kompetente myndigheder, jf. NIS2, og de kompetente myndig-
heder, jf. CER, EECC, eIDAS og DORA. Kompromisforslaget lægger desuden op til, at med-
lemsstaterne kan etablere en central indgang for underretning om alle hændelser jf. NIS2. I
Danmark er der som led i det eksisterende NIS-direktiv mv. etableret en central indgang til
underretning (virk.dk), der muliggør, at underretninger tilgår de relevante nationale kompe-
tente myndigheder og den nationale CSIRT.
Samarbejde (artikel 12-16)
Ved direktivet videreføres den samarbejdsgruppe, der skal støtte og lette det strategiske samar-
bejde og udvekslingen af oplysninger mellem medlemsstaterne og udvikle tillid. Der videreføres
også det CSIRT-netværk, der skal bidrage til udviklingen af tillid mellem medlemsstaterne og
fremme et hurtigt og effektivt operationelt samarbejde.
Med direktivet oprettes et europæisk netværk af cybersikkerhedsorganisationer (EU-CyCLONe),
der skal støtte den koordinerede håndtering af væsentlige cybersikkerhedshændelser og -kriser og
sikre regelmæssig udveksling af oplysninger mellem medlemsstaterne og EU-institutionerne.
ENISA skal i samarbejde med Kommissionen hvert andet år udsende en rapport om cybersikker-
hedssituationen i Unionen.
Kommissionen skal etablere et evalueringssystem, der giver mulighed for regelmæssige
peer-
evalueringer af medlemsstaternes politikker for cybersikkerhed.
Formandskabets kompromisforslag tilføjer få yderligere opgaver til samarbejdsgruppen, her-
under udarbejdelse af vejledninger og andet materiale, der skal medvirke til at sikre overhol-
delsen af NIS2 samt udveksling af synspunkter om implementeringen af sektorspecifik lovgiv-
ning, der har cybersikkerhedsaspekter.
Derudover lægger kompromisforslaget op til, at medlemsstaterne i højere grad skal inddrages
og have beslutningsevne i forbindelse med peer-læring, herunder at samarbejdsgruppen skal
godkende Kommissionens system til peer-læring, og at rapporter fra peer-læring kun må of-
fentliggøres med medlemsstatens samtykke.
Sagsnr.:
[Sagsnr.]
Dok.nr.:
[Dokumentnr.]
Side 6 af 29
 kom (2020) 0823 - Bilag 2: Samlenotat vedr. Forslag til direktiv vedr. cybersikkerhed i net- og informationssystemer (NIS2-direktivet)
Forpligtelser vedrørende risikostyring og rapportering i forbindelse med
cybersikkerhed (artikel 17-23)
I henhold til direktivet skal medlemsstaterne fastsætte bestemmelser om, at ledelsesorganer i alle
enheder, der er omfattet af anvendelsesområdet, skal godkende de risikohåndteringsforanstaltnin-
ger vedrørende cybersikkerhed, der træffes af de respektive enheder, og følge specifik cybersik-
kerhedsrelateret uddannelse.
Medlemsstaterne skal sikre, at enheder inden for anvendelsesområdet træffer passende og for-
holdsmæssige tekniske og organisatoriske foranstaltninger for at håndtere de cybersikkerhedsrisi-
ci, der er forbundet med sikkerheden i net- og informationssystemer. De skal også sikre, at enhe-
der, både væsentlige og vigtige, underretter de nationale kompetente myndigheder eller CSIRT'-
erne om enhver cybersikkerhedshændelse, der har en væsentlig indvirkning på leveringen af den
tjeneste, de udbyder.
Som noget nyt, foreslås det også, at omfattede virksomheder skal indberette hændelser, som po-
tentielt kunne have haft væsentlige konsekvenser. Kommissionen kan vedtage gennemførelses-
retsakter med henblik på at fastlægge mere detaljerede sikkerhedskrav samt i forbindelse med
indberetning af væsentlige hændelser. Kommissionen tillægges endvidere beføjelser til at vedtage
delegerede retsakter med henblik på at supplere sikkerhedskravene for at tage hensyn til nye cy-
bertrusler, den teknologiske udvikling eller sektorspecifikke særtræk.
Topdomænenavneregistraturer og enheder, der leverer domænenavnsregistreringstjenester for
topdomænet, indsamler og vedligeholder nøjagtige og fuldstændige oplysninger om domæne-
navnsregistrering samt offentliggør domæneregistreringsdata, som ikke er personoplysninger.
Desuden er sådanne enheder forpligtet til at give lovlige adgangssøgende effektiv adgang til regi-
streringsdata.
Formandskabets kompromisforslag præciserer, at kravene i NIS2 om ledelsesansvar ikke berø-
rer medlemsstaternes nationale regulering af ansvaret hos offentlige institutioner, embeds-
mænd og folkevalgte. Her vil alene nationale regler finde anvendelse.
Kompromisforslaget tilføjer, at der i foranstaltningerne til at håndtere cybersikkerhedsrisici
skal indtænkes beskyttelse mod fysiske og menneskeskabte risici, der kan kompromittere til-
gængeligheden, autentiteten, integriteten eller fortroligheden af lagret, transmitteret eller be-
handlet data eller af tjenester, der tilbydes eller tilgås via netværk og informationssystemer,
herunder foranstaltninger ift. sikkerhed i forbindelse med ansættelser og adgangskontrol.
Formandskabets kompromisforslags artikel 21 erstatter Kommissionens bemyndigelse til at
vedtage delegerede retsakter om brug af europæiske certificeringsordninger med en bemyndi-
gelse til at vedtage gennemførelsesretsakter om brug af europæiske certificeringsordninger.
Sagsnr.:
[Sagsnr.]
Dok.nr.:
[Dokumentnr.]
Side 7 af 29
 kom (2020) 0823 - Bilag 2: Samlenotat vedr. Forslag til direktiv vedr. cybersikkerhed i net- og informationssystemer (NIS2-direktivet)
Kompromisforslaget stiller også større krav til, hvad Kommissionen skal tage hensyn til, når de
vedtager gennemførelsesretsakter.
Formandskabets kompromisforslag indeholder en ny artikel 21a, der giver medlemsstaterne
mulighed for at stille krav om, at væsentlige og vigtige enheder skal bruge tillidstjenester eller
elektroniske identifikationsordninger under eIDAS.
Kompromisforslaget opstiller desuden krav om, hvilke registreringsdata der som minimum skal
indsamles (ny artikel 23(2)) i forbindelse med databaser over registreringsdata for domæne-
navne.
Kompetence og registrering (artikel 24 og 25)
Som hovedregel anses væsentlige og vigtige enheder for at være underlagt jurisdiktionen i den
medlemsstat, hvor de leverer deres tjenester. Visse typer af enheder (udbydere af DNS-tjenester,
topdomænenavneregistraturer, udbydere af cloud computing-tjenester, udbydere af datacentertje-
nester og udbydere af indholdsleveringsnetværk samt visse digitale udbydere) anses dog som
udgangspunkt for at være underlagt jurisdiktionen i den medlemsstat, hvor foranstaltninger til
styring af cybersikkerhedsrisici træffes.
Dette skal sikre, at sådanne enheder ikke stilles over for en lang række forskellige retlige krav,
eftersom de i særlig høj grad leverer tjenesteydelser på tværs af grænserne. ENISA skal oprette
og føre et register over den sidstnævnte type enheder.
Formandskabets kompromisforslag præciserer, at enheder er underlagt jurisdiktion i den med-
lemsstat, hvor de leverer deres tjenester. Hvis enheden leverer tjenester i flere medlemsstater,
falder enheden under den adskilte og samtidige jurisdiktion af hver medlemsstat, som enheden
leverer en tjeneste i. For DNS-udbydere mv. gælder fortsat særlige jurisdiktionsbestemmelser
jf. art. 24 (1).
Udveksling af oplysninger (artikel 26 og 27)
Medlemsstaterne fastsætter regler, der gør det muligt for enheder at deltage i udveksling af cyber-
sikkerhedsrelaterede oplysninger inden for rammerne af specifikke ordninger for udveksling af
cybersikkerhedsoplysninger i overensstemmelse med artikel 101 i TEUF.
Desuden tillader medlemsstaterne enheder, der ikke er omfattet af dette direktiv, frivilligt at fore-
tage underretninger om væsentlige hændelser, cybertrusler eller nærvedhændelser.
Formandskabets kompromisforslag stiller krav til, at medlemsstater skal sikre, at væsentlige og
vigtige enheder har mulighed for frivilligt at underrette om hændelser, der opfylder kriterierne
i artikel 20. I Danmark er der etableret en ordning, som muliggør, at virksomheder frivilligt
Sagsnr.:
[Sagsnr.]
Dok.nr.:
[Dokumentnr.]
Side 8 af 29
 kom (2020) 0823 - Bilag 2: Samlenotat vedr. Forslag til direktiv vedr. cybersikkerhed i net- og informationssystemer (NIS2-direktivet)
kan underrette den nationale CSIRT om hændelser undtaget fra aktindsigt. Det er samtidig
besluttet, at offentlige myndigheder er forpligtet til at indberette væsentlige hændelser.
Artikel 27 skitserer en underretningsordning for væsentlige og vigtige enheder, som muliggør
frivillig underretning om hændelser, der falder uden for kriterierne for underretning i artikel
20. Der er dog behov for yderligere afgrænsning mellem obligatoriske og frivillige underret-
ningsordninger. Det bemærkes, at Danmark allerede har en ordning for virksomheder, der
frivilligt ønsker at indberette via virk.dk.
Tilsyn og håndhævelse (artikel 28-34)
De kompetente myndigheder skal føre tilsyn med de enheder, der er omfattet af direktivet, og
navnlig sikre, at de overholder kravene til sikkerhed og underretning om hændelser. Der skelnes
mellem en forudgående tilsynsordning for væsentlige enheder og en ordning for efterfølgende
tilsyn med vigtige enheder, idet det senere kræves, at de kompetente
myndigheder træffer foranstaltninger, når de får forelagt dokumentation for eller tegn på, at en
vigtig enhed ikke opfylder kravene til sikkerhed og underretning om hændelser.
Direktivet pålægger også medlemsstaterne at sikre, at de kompetente myndigheder har beføjelse
til at pålægge eller anmode f.eks. domstolene om pålæggelse af administrative bøder til væsentli-
ge og vigtige enheder og fastsætter visse maksimumsbøder. Det vil skulle afklares nærmere,
hvordan direktivets bestemmelser om at give kompetente myndigheder beføjelse til at pålægge
eller anmode om at pålægge administrative bøder, nærmere skal forstås.
Medlemsstaterne skal samarbejde og bistå hinanden efter behov, når enheder leverer tjenesteydel-
ser i mere end én medlemsstat, eller når en enheds hovedvirksomhed eller dens repræsentant er
beliggende i en bestemt medlemsstat, mens dens net- og informationssystemer er beliggende i en
eller flere andre medlemsstater.
Formandskabets kompromisforslag lægger op til, at medlemsstaterne kan prioritere deres til-
syn ud fra en risikobaseret tilgang. Medlemsstaterne skal sikre,
uden at det berører nationale
lovgivningsmæssige eller institutionelle rammer
at de kompetente myndigheder har passende
beføjelser og operationel uafhængighed, når de fører tilsyn med offentlige forvaltningsenhe-
der. Derudover er sanktionerne i artikel 29, stk. 5 ikke anvendelige ved offentlig administrati-
on.
Formandskabets kompromisforslag lægger op til krav om, at de kompetente myndigheder ori-
enterer et nyt overvågningsforum, som foreslås oprettet under Digital Operational Resilience
Act (DORA), når de kompetente myndigheder fører tilsyn med en væsentlig tjeneste, der er
kritisk leverandør.
Sagsnr.:
[Sagsnr.]
Dok.nr.:
[Dokumentnr.]
Side 9 af 29
 kom (2020) 0823 - Bilag 2: Samlenotat vedr. Forslag til direktiv vedr. cybersikkerhed i net- og informationssystemer (NIS2-direktivet)
Kompromisforslagets nye artikel 31, stk. 6a, giver medlemsstater, hvis retssystem ikke giver
mulighed for at pålægge administrative bøder, mulighed for at anvende bestemmelsen om ad-
ministrative bøder på en sådan måde, at de kompetente myndigheder kan tage skridt til bøder,
som i givet fald pålægges af de kompetente nationale domstole. En lignende ordning er fastlagt
ved Europa-Parlamentets og Rådets forordning 2016/679 om beskyttelse af fysiske personer i
forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysnin-
ger.
4. Europa-Parlamentets udtalelser
Europa-Parlamentet er i henhold til den almindelige lovgivningsprocedure (TEUF art. 294) med-
lovgiver.
Europa-Parlamentet udgav den 3. maj 2021 deres udtalelse ved første behandling af
Kommissions forslag fra december 2020. Der er efterfølgende blevet udgivet en færdig rapport
fra Europa-Udvalget den 4. november 2021.
I Europa-Parlamentets udtalelse lægges der op til yderligere krav til medlemsstaternes natio-
nale strategi, herunder at medlemsstaterne skal udpege et cybersikkerhedskontaktpunkt for
SMV’er i den nationale strategi og fremme cybersikkerhed for SMV’er, ved at give adgang til
støtte og rådgivning. Derudover ønsker Europa-Parlamentet, at hver medlemsstat udarbejder
en policy for ”active cyber defense”,
hvilket ikke er defineret nærmere.
Europa-Parlamentet
ønsker også, at NIS2 stiller større krav til CSIRT’ers kapaciteter –
de skal
kunne lave ”real-time”-monitorering,
indsamle og analysere forensics data og kunne dekompi-
lere cybertrusler. Europa-Parlamentet
vil også udvide CSIRT’s mulighed for at foretage skan-
ninger af enheders net- og informationssystemer, hvorefter CSIRT selv kan initiere skannin-
gen, hvis der er en væsentlig trussel mod den nationale sikkerhed. Europa-Parlamentet fore-
slår ligeledes,
at CSIRT’erne får to yderligere
opgaver: 1) at beskytte data fra eksfiltrering ved
brug af netværkslogning, og 2) at håndhæve autentikation og stærke adgangskontroller.
Europa-Parlamentet vil også involveres i NIS-samarbejdsgruppens arbejde og ønsker at delta-
ge som observatør.
Europa-Parlamentet vil skærpe krav til enheder om hændelseshåndtering, herunder krav om
afbødning af hændelsen, og at enheder underretter om alle hændelser, der har en signifikant
indvirkning. Europa-Parlamentet ser det dog ikke som nødvendigt, at enheder skal underrette
om trusler eller nærvedshændelser og vil give enheder 72 timer til at underrette om en hændel-
se.
Europa-Parlamentet vil bemyndige Kommissionen til at kunne vedtage delegerede retsakter,
der specificerer, hvilken information enheder skal underrette om ved en hændelse og til at ud-
vide definitionen af
”signifikant
indvirkning”.
Sagsnr.:
[Sagsnr.]
Dok.nr.:
[Dokumentnr.]
Side 10 af 29
 kom (2020) 0823 - Bilag 2: Samlenotat vedr. Forslag til direktiv vedr. cybersikkerhed i net- og informationssystemer (NIS2-direktivet)
Europa-Parlamentet vil fjerne medlemsstaternes mulighed for at stille krav om, at enheder skal
bruge EU-certificeringsordninger og fjerne Kommissionens bemyndigelse til at vedtage delege-
rede retsakter om obligatorisk certificering.
Europa-Parlamentet ser behov for flere krav til DNS-tjenester, herunder især topdomæner
(TLD), ift. at verificere registranter, der ønsker at oprette et domæne. Europa-Parlamentet øn-
sker, at der skal foreligge oplysninger om navn, e-mail, fysisk adresse og telefonnummer på
registranten. Det skal også være muligt at udlevere denne information til myndigheder, der har
behov for informationen i forbindelse med bl.a. cybersikkerhed, beskyttelse af mindreårige og
bedrageri. Derudover finder Europa-Parlamentet, at rodservere ikke bør omfattes af NIS2-
direktivet.
Europa-Parlamentet ser også, at medlemsstater ikke skal facilitere samarbejde mellem enhe-
der, da dette bør være frivilligt og ikke reguleret af staten.
Ift.tilsyn med enheder ønsker Europa-Parlamentet ikke, at dette sker oftere end en gang om
året, medmindre den kompetente myndighed har en begrundelse herfor.
Europa-Parlamentet finder, at bøder bør være en sidste udvej, efter at man har forsøgt sig med
de ni øvrige håndhævelsesmetoder i artikel 29, stk. 4. Europa-Parlamentet ønsker også at fjer-
ne muligheden for, at man kan lave et forbud mod individuelle personer.
Endelig har Europa-Parlamentet tilføjet uddannelse og forskning som en væsentlig sektor, der
bør omfattes af NIS2.
Det er Europa-Parlamentets udvalg for industri, forskning og energi (ITRE), der behandler for-
slaget.
5. Nærhedsprincippet
Det er Kommissionens vurdering, at modstandsdygtigheden over for cybertrusler i hele Unionen
ikke er effektiv, hvis der gribes ind på en uensartet måde gennem nationale eller regionale siloer.
NIS-direktivet afhjalp til dels denne mangel ved at fastlægge en ramme for net- og informations-
systemernes sikkerhed på nationalt plan og EU-plan.
Ifølge Kommissionen har medlemsstaternes uens implementering peget på, at den eksisterende
NIS-direktiv er begrænset ift. at kunne indfri målet om et højt fælles cyber- og informationssik-
kerhedsniveau, herunder som følge af det nuværende direktivs anvendelsesområde. Siden covid-
19-krisen er den europæiske økonomi desuden blevet endnu mere afhængig af net- og informati-
onssystemer end nogensinde før, og sektorer og tjenester er i stigende grad indbyrdes forbundne.
Sagsnr.:
[Sagsnr.]
Dok.nr.:
[Dokumentnr.]
Side 11 af 29
 kom (2020) 0823 - Bilag 2: Samlenotat vedr. Forslag til direktiv vedr. cybersikkerhed i net- og informationssystemer (NIS2-direktivet)
2478919_0012.png
Kommissionen begrunder på den baggrund en EU-indsats, der går videre end det nuværende NIS-
direktivs foranstaltninger i: i) cybertruslen og udfordringernes stadig mere grænseoverskridende
karakter, ii) potentialet i Unionens indsats med hensyn til at forbedre og fremme effektive og ko-
ordinerede nationale politikker og iii) bidraget fra samordnede og samarbejdsbaserede politiske
tiltag til effektiv beskyttelse af personoplysninger og privatlivets fred.
På det foreliggende grundlag er det regeringens vurdering, at nærhedsprincippet er overholdt.
6. Gældende dansk ret
Implementeringen af det nugældende NIS-direktiv er gennemført via en række love og bekendt-
gørelser inden for de nuværende involverede respektive ministerområder. Implementeringen er
sket efter sektoransvarsprincippet, hvorefter de sektoransvarlige myndigheder er kompetente
myndigheder i direktivets forstand og har implementeret direktivet i relevant lovgivning på deres
områder. Denne decentrale hjemlige implementering har først og fremmest fokus på det eksiste-
rende direktivs forpligtelser for “operatører af væsentlige tjenester” og “udbydere af digitale tje-
nester”.
Begge begreber forlades med NIS2.
I det følgende opridses den nationale lovgivning iht. det nugældende direktiv inden for de respek-
tive ressortministerier.
Erhvervsministeriets område
Lov om net- og informationssikkerhed for domænenavnssystemer og visse digitale tjenester
(LOV
nr. 436 af 437 af 08/05/2018), stiller krav om sikkerhed og underretningspligt for topdomæne-
navnsadministratorer, DNS tjenesteudbyder
(DNS
Domænenavnesystem), udbydere af onlinemarkedspladser, udbydere af onlinesøgema-
skine og udbydere af cloud computing-tjenester. Loven stiller desuden disse krav for den finan-
sielle sektor.
Bekendtgørelse om sikkerhed i net- og informationssystemer af betydning for skibes sikkerhed og
deres sejlads
(BEK nr. 46 af 16/01/2019) fastsætter bestemmelser og stiller krav til maritime ope-
ratører om sikkerhed i net- og informationssystemer, som anvendes i leveringen af maritime tje-
nester.
Forsvarsministeriets område
Lov om sikkerhed i net- og informationssystemer for operatører af væsentlige internetudveks-
lingspunkter m.v.
(LOV nr. 437 af 08/05/2018) stiller krav om sikkerhed og underretningspligt
for internetudvekslingspunkter (Internet Exchange Points
IXP), som alene er de udbydere, der
angår informationssikkerhed under Forsvarsministeriet.
Sagsnr.:
[Sagsnr.]
Dok.nr.:
[Dokumentnr.]
Side 12 af 29
 kom (2020) 0823 - Bilag 2: Samlenotat vedr. Forslag til direktiv vedr. cybersikkerhed i net- og informationssystemer (NIS2-direktivet)
2478919_0013.png
Herudover skaber loven forudsætningerne for, at Center for Cybersikkerhed kan varetage funkti-
onerne som beredskabsenhed, der skal håndtere it-sikkerhedshændelser (CSIRT), og som natio-
nalt centralt kontaktpunkt.
Klima-, Energi og Forsyningsministeriets område
Net- og informationssikkerhedsdirektivet
er inden for energisektoren blevet implementeret ved §
85 c i lov om elforsyning og § 15 b i lov om naturgasforsyning, hvor ministeren bemyndiges til at
udstede nærmere regler. Disse bemyndigelser er udmøntet i bekendtgørelse nr. 820 af 14. august
2019 om it-beredskab i el- og naturgassektorerne. NIS-direktivet er ligeledes implementeret i
bekendtgørelse nr. 424 af 25. april 2018 om beredskab for oliesektoren.
Disse stiller krav om sikkerhed, beredskab og underretningspligt for virksomheder med el-
produktionsbevilling, virksomheder med netbevilling, el og naturgas- transmissionsoperatører,
balanceansvarlige virksomheder, virksomheder som holder olieberedskabslagre i Danmark og
virksomheder som har naturgaslagre i Danmark.
Miljøministeriets område
Direktivet er implementeret på drikkevandsområdet med bkg. nr. 429 af 04/05/2018 om krav til
sikkerheden i visse vandforsyningers net- og informationssystemer.
Sundhedsministeriets område
Lov om krav til sikkerhed for net- og informationssystemer inden for sundhedssektoren
(LOV nr.
440 af 08/05/2018) stiller krav om sikkerhed og underretningspligt for operatører af væsentlige
tjenester inden for sundhedssektoren.
Bekendtgørelse om operatører af væsentlige tjenester
(BEK 458 af 09/05/2018) opstiller kriterier
for identifikation af operatører af væsentlige tjenester i sundhedssektoren og definerer krav til
deres sikkerhedsforanstaltninger, registrering og underretningspligt.
Bekendtgørelse om delegation af opgaver fra sundhedsministeren til Sundhedsdatastyrelsen
(BEK 459 af 09/05/2018) delegerer NIS-opgaver til Sundhedsdatastyrelsen, herunder bl.a. tilsyn
med operatører af væsentlige tjenester.
Transportministeriets område
Lov om sikkerhed i net- og informationssystemer i transportsektoren
(Lov nr. 441 af 8. maj 2018)
samt
bekendtgørelse om sikkerhed i net- og informationssystemer i transportsektoren
(Bekendt-
gørelse nr. 1042 af 6. august 2018) implementerer det nuværende NIS-direktiv i transportsekto-
ren.
Sagsnr.:
[Sagsnr.]
Dok.nr.:
[Dokumentnr.]
Side 13 af 29
 kom (2020) 0823 - Bilag 2: Samlenotat vedr. Forslag til direktiv vedr. cybersikkerhed i net- og informationssystemer (NIS2-direktivet)
Derudover eksisterer der i sektoren EU-sektorlovgivning, som har til formål at sikre et højt cy-
bersikkerhedsniveau. En række nye cybersikkerhedsregler inden for civil luftfart træder desuden i
kraft i de kommende år, herunder forordning (EU) nr. 2019/1583 inden for security-området (i
2021), og i 2022 følger nye EU-regler inden for safety-området.
7. Konsekvenser
Lovgivningsmæssige konsekvenser
Implementering af direktivet vil kræve ændring i den ovennævnte lovgivning i sektorerne, lige-
som det vil skulle etableres lovhjemmel i nye sektorer.
Statsfinansielle konsekvenser
Forslaget vurderes at have statsfinansielle konsekvenser samt erhvervsøkonomiske konsekvenser.
De statsfinansielle konsekvenser vedrører dels ministeriernes omkostninger forbundet med at
føre tilsyn med de omfattede enheders efterlevelse af direktivets bestemmelser og håndtering af
hændelser. Disse meromkostninger skønnes ifm. det oprindelige NIS2-direktivforslag at være i
omfang af ca. 92-112 mio. kr. årligt
Erhvervsøkonomiske konsekvenser
Forslaget vurderes at have erhvervsøkonomiske konsekvenser, herunder administrative.
Forsla-
get skønnes at medføre erhvervsøkonomiske konsekvenser på mindst 44 mio. kr. årligt i løben-
de udgifter og mindst 865 mio. i etableringsudgifter.
De administrative konsekvenser består i, at
danske virksomheder i forbindelse med implementeringen af direktivet i dansk ret vil blive pålagt
potentielt væsentlige administrative byrder. Det skyldes, at der i direktivet sker en udvidelse af
definitionen af væsentlige udbydere og krav i forhold til i dag, hvilket betyder, at flere virksom-
heder fremadrettet vil blive omfattet af definitionen og de administrative krav det medfører. De
administrative byrder indebærer bl.a. tilsyn, registrerings- og rapporteringsforpligtelser, idet virk-
somhederne skal indberette hændelser, og evt. certificering.
Den endelige vurdering af de administrative konsekvenser vil blive foretaget i forbindelse med
evt. implementering af direktivet i Danmark.
Ifølge Kommissionen vil forslaget medføre visse overholdelses- og håndhævelsesomkostninger
for de relevante myndigheder i medlemsstaterne (anslået samlet stigning på ca. 20-30 % af res-
sourcerne). Kravet til myndighederne om at føre et udfoldet tilsyn og øget kontrol med enhederne
omfattet af direktivet vil i sig selv indebære et væsentligt forøget ressourceforbrug for de sekto-
rer, som ikke fører et tilsyn med net- og informationssikkerhed under den nuværende lovgivning.
Kommissionen anslår, at for de virksomheder, der vil være omfattet af NIS2-forslaget, vil deres
nuværende udgifter til sikkerhed til informations-og kommunikationsteknologi (IKT) skulle øges
med 22 % i de første år efter indførelsen af NIS2-forslaget (dette vil være 12 % for virksomheder,
Sagsnr.:
[Sagsnr.]
Dok.nr.:
[Dokumentnr.]
Side 14 af 29
 kom (2020) 0823 - Bilag 2: Samlenotat vedr. Forslag til direktiv vedr. cybersikkerhed i net- og informationssystemer (NIS2-direktivet)
der allerede er omfattet af det nuværende NIS-direktiv). Små virksomheder og mikrovirksomhe-
der er som udgangspunkt undtaget fra NIS2-forslaget.
Andre konsekvenser og beskyttelsesniveauet
Forslaget vurderes at have positive konsekvenser for cybersikkerheden og trusselsbevidstheden
og kunne reducere omkostningerne ved cybersikkerhedshændelser.
Ifølge Kommissionen vil NIS2-forslaget medføre betydelige sikkerhedsmæssige fordele takket
være et bedre overblik over og interaktion med centrale virksomheder, øget grænseoverskridende
operationelt samarbejde samt gensidig bistand og peer-evalueringsmekanismer. Dette vil føre til
en generel forøgelse af cybersikkerhedskapaciteterne på tværs af medlemsstaterne. Samtidig vil
en styrkelse af sikkerhedsniveauet tilskynde de involverede udbydere til at styrke deres cybersik-
kerhedskapaciteter og bidrage til en forbedring af udbydernes IKT-risikostyring.
Ifølge Kommissionen vil den ovenfor beskrevne gennemsnitlige stigning i udgifterne til IKT-
sikkerhed medføre en forholdsmæssig fordel ved sådanne investeringer, navnlig på grund af en
betydelig reduktion af omkostningerne ved cybersikkerhedshændelser (som af Kommissionen
anslås til 11,3 mia. EUR over 10 år).
Derudover ventes direktivets implementering at skabe en relativ stor efterspørgsel på kvalifice-
rede ressourcer ift. tilsyn, herunder tilsyn med sikkerhed, som der vil kunne opstå konkurrence
om.
8. Høring
Forslaget er sendt i høring d. 19. januar 2021 i specialudvalget for civilbeskyttelse, specialud-
valget for konkurrenceevne, vækst og forbrugerspørgsmål, specialudvalget for transport, skibs-
fartspolitisk specialudvalg, specialudvalget for klima-, energi- og forsyningspolitik EU-
landbrugsudvalget (§2-udvalget), EU-fiskeriudvalget (§5-udvalget) og Det Rådgivende Fødeva-
reudvalgs EU-undervalg med frist d. 3. februar 2021.
Forslaget er sendt i høring d. 19. januar 2021 i specialudvalget for civilbeskyttelse, specialudval-
get for konkurrenceevne, vækst og forbrugerspørgsmål, specialudvalget for transport, skibsfarts-
politisk specialudvalg, specialudvalget for klima-, energi- og forsyningspolitik EU-
landbrugsudvalget (§2-udvalget), EU-fiskeriudvalget (§5-udvalget) og Det Rådgivende Fødeva-
reudvalgs EU-undervalg med frist d. 3. februar 2021. Der er modtaget hørringssvar fra Akademi-
kerne, Danske Havne, Danske Maritime, Dansk Industri, Dansk Standard, Dansk Vand- og Spil-
devandsforening, Danske Rederier og Færgerederierne, Danske Regioner, Dansk Erhverv / IT
Branchen, Danske Statsbaner, Erhvervsflyvningens Sammenslutning, Finans Danmark, Forsik-
ring og Pension, Ingeniørforeningen (IDA), Kommunernes Landsforening, Landbrug & Fødeva-
rer, Teleindustrien.
Sagsnr.:
[Sagsnr.]
Dok.nr.:
[Dokumentnr.]
Side 15 af 29
 kom (2020) 0823 - Bilag 2: Samlenotat vedr. Forslag til direktiv vedr. cybersikkerhed i net- og informationssystemer (NIS2-direktivet)
Grund- og nærhedsnotat har videre været sendt i høring ved specialudvalgene den 19. januar
2021.
Generelle bemærkninger
Akademikerne (AC)
er generelt positive overfor tiltag, som kan styrke niveauet for cybersikker-
heden i Danmark og andre europæiske lande, der jævnligt rammes af angreb fra forskellige typer
aktører, såvel som data-læk grundet menneskelige fejl som følge af manglende kompetencer eller
opmærksomhed, idet at
AC
finder at dette har store konsekvenser for de enkelte virksomheders
økonomi, samfundets forsyningssikkerhed, statens sikkerhed og almindelige borgeres tillid til et
stadigt mere digitalt samfund. Derfor er
AC
enige i formålet med forslaget, og er også enige i, at
en stor del af indsatsen for et højere sikkerhedsniveau sker på europæisk plan, dvs. i regi af EU.
AC
finder det positivt, at der grundet den stigende dataudveksling, med forslaget sker en stram-
ning i forhold til at udligne forskelle mellem de europæiske lande, samt at alle lande løftes til et
forsvarligt niveau. Samtidig finder
AC
det fornuftigt, at stramninger sker med forståelse for, hvad
der kan lade sig gøre og hvilke tiltag der er mest effektive i forhold til, hvilke typer organisationer
og virksomheder, der stilles krav til.
AC
vurderer, at det derfor giver mening at stille andre (og
muligvis mindre) krav til mikrovirksomheder og start-ups end til store virksomheder og offentlige
organisationer, så kravene følger proportionalitetsprincippet.
AC
bemærker, at et stigende cybersikkerhedsniveau må medføre omkostninger for virksomheder
og offentlige organisationer, især på kort sigt, og at en forbedring af sikkerhedsniveauet, ofte
kræver en indsats i forhold til håndhævelse af regler, kompetenceopbygning samt en opgradering
af forældede eller usikre it-systemer, der ikke er udviklet med henblik på at yde sikkerhed mod
fejl eller angreb.
AC
vurderer, at omkostningerne dog må forventes at blive opvejet af fordele
som færre omkostninger ved hackerangreb for de enkelte virksomheder og organisationer, mere
effektiv digitalisering i de europæiske samfund generelt, mindre behov for krisehåndtering, en
mere it-kompetent arbejdsstyrke og en større tryghed ved digitalisering hos borgerne, når deres
personlige data opbevares sikkert og beskyttet.
AC
finder, at særligt borgernes tryghed i forhold
til datahåndteringen og sikkerheden ved dette, er vigtig at holde fast i og styrke.
Danske Havne (DH)
støtter, at indsatsen mod cyberkriminalitet skal tilpasses og styrkes for at
sikre vigtig infrastruktur.
DH
bemærker vigtigheden af, at de forpligtelser, som direktivet pålæg-
ger virksomheder (i dette tilfælde havne), der betragtes som vigtig infrastruktur, er proportionale
med truslen fra cyberkriminalitet, og at dette gælder både i forhold til omkostningerne og den
administrative byrde for havnene.
DH
bemærker, at mindre virksomheder (mindre end 50 ansatte) ikke er omfattet af kravene til
cybersikkerhed, men at det dog er usikkert, om det førnævnte også gælder for havne, idet at di-
Sagsnr.:
[Sagsnr.]
Dok.nr.:
[Dokumentnr.]
Side 16 af 29
 kom (2020) 0823 - Bilag 2: Samlenotat vedr. Forslag til direktiv vedr. cybersikkerhed i net- og informationssystemer (NIS2-direktivet)
rektivet henviser til havne som defineret i sikringsdirektivet, hvilket stort set dækker alle danske
erhvervshavne - også de meget små.
DH
ønsker derfor at sikre, at størrelsen af havnene også ta-
ges i betragtning, da det alternativt kan medføre store ekstraomkostninger for små havne.
DH
anfører vigtigheden af, at der foretages en cybersikkerhedsvurdering, inden en havn er under-
lagt alle foranstaltningerne i direktivet.
DH
bemærker, at det ofte ikke er havnen som sådan, der driver al kritisk infrastruktur i havnen,
f.eks. containerterminaler og færgeterminaler, og derfor ikke havnen, der skal være genstand for
foranstaltningerne.
DH
foreslår derfor, at evalueringen af, om en havn skal være underlagt reg-
lerne i direktivet, foretages individuelt og af den kompetente nationale myndighed. Den nationale
myndighed bør foretage en specifik risikovurdering af hver havn og på dette grundlag beslutte,
om den skal være omfattet af kravene til kritisk infrastruktur i direktivet, og at det også skal spe-
cificeres, hvilke dele af havnen (systemer osv.) der i så fald betragtes som kritisk infrastruktur.
DH
bemærker, at forslaget vil medføre store ekstraomkostninger til implementering og vedlige-
holdelse, og foreslår på denne baggrund, at der er mulighed for økonomisk støtte til de virksom-
heder / havne, der er omfattet af kravene.
Danske Maritime (DM)
bemærker, at antallet og karakteren af cyberangreb er bekymrende, idet
der kommer stadig mere sofistikerede angreb fra en bred vifte af kilder i og uden for EU.
DM
lægger derfor vægt på indgåelse af effektive internationale aftaler vedr. cybersikkerhed, og støtter
op om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele EU.
Dansk Industri (DI)
bemærker, at hastigheden, som samfundet digitaliseres i, og erfaringerne fra
det eksisterende NIS-direktiv,
retfærdiggør det nye forslag, som et led i EU’s bestræbelser på at
skabe den nødvendige cybersikkerhed i unionen.
DI
henviser samtidig til de omfattende skades-
virkninger af hackerangreb og cyberkriminalitet, samt COVID-19 pandemiens tydeliggørelse af
digitaliseringens betydning for samfundet, som eksempler på at digitalisering bør ske med et
nødvendigt fokus på cybersikkerhed.
DI
bifalder derfor Kommissionens prioritering af cybersik-
kerhed, og finder det positivt, at forslaget bygger på en ensartet tilgang blandt myndigheder, or-
ganisationer og virksomheder i Europa, således at virksomhederne fremadrettet undgår uens krav
til cybersikkerhed i de forskellige EU-medlemslande.
DI
bemærker, at forslaget vil give de valgte kompetente myndigheder store beføjelser i forhold til
at pålægge virksomheder efterlevelse af forskellige krav til cybersikkerhed, og til at pålægge
virksomhederne administrative bøder på op til 10.000.000 EUR eller op til 2 % af virksomhedens
årsomsætning, alt efter hvad der er højest.
DI
vurderer, at selv om der i direktivforslaget er tale
om en halvering af de maksimale bødestørrelser i GDPR-regi, er der tale om potentielle massive
bøder til virksomheder, der ikke overholder forpligtelserne i direktivet.
Sagsnr.:
[Sagsnr.]
Dok.nr.:
[Dokumentnr.]
Side 17 af 29
 kom (2020) 0823 - Bilag 2: Samlenotat vedr. Forslag til direktiv vedr. cybersikkerhed i net- og informationssystemer (NIS2-direktivet)
DI
sætter spørgsmålstegn ved om massive bødestørrelser er den rigtige vej at gå på et område
som cybersikkerhed, der er styret af risikovurderinger, og hvor passende tiltag er og skal være
dynamiske for at tilpasse sig det skiftende trusselsbillede og den teknologiske udvikling, hvortil
DI
bemærker at sidstnævnte tillige er afspejlet i direktivets overordnede formuleringer til virk-
somhedernes forpligtelser.
DI
bemærker yderligere, at de kompetente myndigheder gives mulighed for at pålægge virksom-
hederne en række indgreb som led i tilsyn og håndhævelse af direktivet. Samtidig ser
DI
en risiko
for, at truslen om massive bøder skaber frygt for at anvende data, at digitalisere og at skabe værdi
gennem digital nytænkning på samme måde, som
DI
har set, og fortsat ser, i kølvandet på im-
plementeringen af GDPR.
DI
ser det som helt afgørende, at den nationale implementering af direktivet sker med et klart
udgangspunkt i proportionalitet og risikovurderinger, og bemærker, at dialog og samarbejde giver
erfaringsmæssigt bedre resultater end krav og bøder, som risikerer at føre til et større fokus på
compliance, fremfor indtænkning af cybersikkerhed i forretningen og en reel styrkelse af cyber-
sikkerheden.
DI
bemærker, at Kommissionen foreslår, at NIS2 også kommer til at omfatte en række vigtige
”important” sektorer, herunder ”manufacturing”, hvilket
indebærer, at lovforslaget i modsætning
til tidligere lovgivning om infrastruktur også kommer til at omfatte f.eks. maskiner og elektriske
produkter i værdikæden.
DI
finder, at det er problematisk, at det samme problem søges løst man-
ge forskellige steder på samme tid. DI er bekymret for, at det resulterer i, at samme produkt på-
lægges flere forskellige og evt. modsatrettede krav; og så gerne, at krav vedr. produkters cyber-
sikkerhed, blev harmoniseret som anden produktlovgivning.
DI
bemærker, at CSA ikke baserer sig på principperne bag NLF, og finder det derfor ikke hen-
sigtsmæssigt, at NIS2 refererer til brug af standarder under CSA. Obligatorisk anvendelse af
standarder udviklet under CSA af 3. part, og dermed obligatorisk certificering, vil være et brud
med NLF og påfører virksomhederne unødvendige administrative og økonomiske byrder.
DI
fin-
der at det bør være muligt for virksomheder frit at vælge, hvordan de ønsker at opfylde de krav til
cybersikkerhed, som deres produkter er underlagt, og i det omfang de ønsker det, på frivillig ba-
sis, benytte de relevante standarder eller state-of the art teknologier, der sikrer kravenes opfyldel-
se, idet at det er således for alle andre risici, og
DI
ikke ser nogen grund til at fravige dette princip
for cybersikkerhed.
DI
bemærker, at i det omfang virksomhederne anvender harmoniserede standarder, opnås fri be-
vægelighed indenfor EU. I det omfang, at lovgiverne mener, at produktgruppen skal inddrage
3.part i deres risikovurdering og overensstemmelsesvurdering, inddrages 3.part. Ikke med henblik
Sagsnr.:
[Sagsnr.]
Dok.nr.:
[Dokumentnr.]
Side 18 af 29
 kom (2020) 0823 - Bilag 2: Samlenotat vedr. Forslag til direktiv vedr. cybersikkerhed i net- og informationssystemer (NIS2-direktivet)
på certificering, men med henblik på at færdiggøre overensstemmelseserklæringen og påføre pro-
duktet dets CE-mærkning.
Dansk Standard (DS)
stiller sig generelt positivt overfor udspillet fra Kommissionen, og finder
ligeledes at direktivudkastet overordnet fint løser de udfordringer, der er påpeget i evalueringen
af det nuværende direktiv.
Dansk Vand- og Spildevandsforenings (DANVA)
mener overordnet set, at der skal være de
lovgivningsmæssige rammer, der sikrer og understøtter, at danske virksomheder arbejder effek-
tivt med informations- og cybersikkerhed
udfra en risikobaseret tilgang.
DANVA
finder, at
udkastet til direktiv vil være med til at forbedre rammerne for informations- og cybersikkerheds-
arbejdet i forsyningsselskaberne.
DANVA
bemærker, at der ikke er angivet nogle vandforsyninger på NIS-bekendtgørelsens bi-
lagsliste og, at der i praksis ikke er nogen danske erfaringer med NIS-direktivet.
DANVA
under-
streger, at informations- og cybersikkerhedsindsatsen skal være passende og proportional i for-
hold til risikosituationen og omkostningerne.
DANVA
bemærker det typisk vil være vandselskaber af en vis størrelse, der bliver omfattet.
DANVA
bemærker hertil, at denne form for arbejde kræver stor viden og mange ressourcer.
DANVA
anfører, at der er behov for yderligere uddybning af anvendelsesområdet, da det ikke er
velbeskrevet, om en række micro- og små vandselskaber kan blive omfattet i visse situationer.
DANVA
finder, at det er afgørende, at der etableres et frugtbart og velfungerende, dialogbaseret
samarbejde mellem regulator, myndigheder og selskaberne, og at samarbejdet bør tage udgangs-
punkt i selskabernes informations- og cybersikkerhedssituation.
DANVA
byder det tværsektoriel-
le samarbejde velkommen og opfordrer generelt til videndeling, udsendelse af advarsler og opera-
tionel information.
DANVA
bemærker, at tvangsindgreb kun bør anvendes, hvis mindre indgribende foranstaltninger
ikke er tilstrækkelige, og hvis indgrebet står i rimeligt forhold til formålet med indgrebet.
DAN-
VA
bemærker, at der er behov for yderligere afklaring af hvilke omkostninger
direkte som indi-
rekte
direktivet vil afstedkomme for vandselskaberne.
Danske Rederier og Færgerederierne (DRFR)
ser ikke behov for en større revision af direkti-
vet for sektoren, idet
DRFR
finder, at det eksisterende NIS-direktiv ((EU) 2016/1148) har op-
fyldt sit formål med hensyn til søtransport.
DRFR
bemærker hertil, at der på skibsfartsområdet er
lex specialis og derfor ikke behov for at der stilles forøgede krav til shipping og logistik virksom-
heder i forbindelse med NIS2.
Sagsnr.:
[Sagsnr.]
Dok.nr.:
[Dokumentnr.]
Side 19 af 29
 kom (2020) 0823 - Bilag 2: Samlenotat vedr. Forslag til direktiv vedr. cybersikkerhed i net- og informationssystemer (NIS2-direktivet)
DRFR
finder, at forslaget synes at foreslå en mere central tilgang både nationalt og på EU-plan.
DRFR
understreger her den danske decentrale tilgang til cybersikkerhed, baseret på sektoran-
svarsprincippet, som
DRFR
støtter.
DRFR
støtter fuldt ud, at små- og mikrovirksomheder er undtaget fra forslaget.
DRFR
bemærker
samtidigt, at det er vigtigt, at øvrige virksomheder ikke automatisk bliver en del af direktivet.
Dette skal i stedet bero på at den ansvarlige sektormyndighed i medlemsstaterne identificere om-
fattede virksomheder.
DRFR
bemærker, at de foreslåede tekniske og organisatoriske foranstalt-ninger kan være meget
omfattende og dyre for en virksomhed eller enhed at gennemføre, hvorfor der skal gives tilstræk-
kelig tid til implementering.
Danske Regioner (DKR)
er enige i direktivets grundlæggende præmis; at øge cybersikkerheden
på tværs af EU og ensrette krav til operatører i de samfundskritiske sektorer.
DKR
finder det po-
sitivt, at der i forslaget er indarbejdet et større fokus på og sammenhæng med de europæiske da-
tabeskyttelsesregler, så det bliver mere entydigt i praksis.
DKR
bemærker forslagets muligheder for håndhævelsesforanstaltninger, sanktioner og admini-
strative bøder ved manglende efterlevelse af direktivet.
DKR
anbefaler, at man ser på hvilke vir-
kemidler, der er de mest hensigtsmæssige til at fremme formålet.
DKR
bemærker, at en fælles
udvikling kræver en vis åbenhed om fejl og mangler, og at bøder kan modvirke den mekanisme.
DKR
konstaterer, at direktivet beskriver, at pålagte tilsyns- og håndhævelsesforanstaltninger skal
have en ”afskrækkende virkning”.
DKR
bemærker, at det afviger markant fra den samarbejdsori-
enterede tilgang de danske sundhedsmyndigheder har lagt op til frem til nu.
DKR
anbefaler, at
det gøres let og risikofrit at indberette cybertrusler og hændelser frem for, at aktørerne risikerer
strengere tilsyn og pålagte foranstaltninger med ”afskrækkende virkning”.
DKR
bemærker, at der ikke er en tydelig sammenhæng mellem formålet om at styrke cybersik-
kerheden og de hændelser, der skal underrettes om.
DKR
finder, at det er utydeligt, hvornår en
hændelse er så væsentlig, at den skal indberettes.
DKR
anbefaler, at der som minimum udformes
supplerende beskrivelser, der tydeliggør og konkretiserer hvilke hændelser, der skal underrettes
om.
DKR
bemærker, at forslaget rummer mange nye opgaver med deraf et stort afledt ressource-
træk.
DKR
bemærker hertil, at der er behov for at vurdere de samlede konsekvenser af forslaget.
Dansk Erhverv / IT-Branchen (DEIT)
støtter til fulde hensigten bag NIS2. Virksomheder kan
lide meget store økonomiske tab i tilfælde af it-sikkerhedshændelser, som det er sket for flere
markante danske virksomheder i de seneste år. Desuden er der store samfundsmæssige risici for-
bundet med angreb på særligt de kritiske samfundssektorer.
Sagsnr.:
[Sagsnr.]
Dok.nr.:
[Dokumentnr.]
Side 20 af 29
 kom (2020) 0823 - Bilag 2: Samlenotat vedr. Forslag til direktiv vedr. cybersikkerhed i net- og informationssystemer (NIS2-direktivet)
DEIT
har i regi af den nuværende NIS-ramme været involveret i nedsættelsen af en decentral
cyber- og informationssikkerhedsenhed (DCIS) i telesektoren.
DEIT
bemærker hertil, nedsættel-
se og drift af en DCIS er en betydelig ressourcekrævende opgave for de berørte virksomheder,
organisationer og myndigheder. Til gengæld giver samarbejdet en række sikkerhedsmæssige for-
dele i form af nyttig udveksling af viden og mulighed for hurtigere reaktioner på trusler.
DEIT
bemærker de i Kommissionens konsekvensanalyse angivne øgede omkostninger for nuvæ-
rende og fremtidige omfattede virksomheder, samt de øgede offentlige udgifter.
DEIT
bemærker
hertil de af Kommissionen skønnede besparelser.
DEIT
opsummerer i forlængelse heraf, at det
afgørende er, at indsatsen målrettes de virksomheder, der i kraft af deres størrelse og rolle i sam-
fundet, har tilstrækkelig betydning til, at omkostningerne står i proportion til udfordringernes
karakter.
Danske Statsbaner (DSB)
vurderer generelt, at direktivforslaget indeholder mange gode aspek-
ter i forhold til styrkede krav til risikostyring, mere samarbejde og løbende opfølgning. DSB ser
dog samtidigt aspekter i forslaget, som kan have den effekt, at der skabes meget stor fokus på
compliance og formel rapportering og derved mindre fokus på den operationelle tekniske styring
af cybersikkerhedsrisici.
Erhvervsflyvningens Sammenslutning (ES)
bemærker, at der i konsekvensanalysen konklude-
res, at den foretrukne løsningsmodel er løsningsmodel 3 (systemiske og strukturelle ændringer af
NIS-rammen).
ES
kan støtte løsning 3, som den fremgår af konsekvensanalysens konklusion,
men har herudover ikke yderligere bemærkninger.
Finans Danmark (FD)
finder det positivt, at Kommissionen fastholder fokus på et højt sikker-
hedsniveau for de europæiske samfundskritiske funktioner og digitale infrastrukturer.
FD
finder
det positivt, at Kommissionens forslag udvider anvendelsesområdet ved at tilføje nye sektorer
baseret på deres kritiske indflydelse på økonomien og samfundet.
FD
finder det videre positivt, at
der indføres et klart størrelsesloft - hvilket betyder, at alle mellemstore og store virksomheder i
udvalgte sektorer vil blive omfattet.
FD
bemærker, at det er vigtigt, at det er entydigt, hvem der
er omfattet.
FD
bemærker, at den eksisterende NIS-rammes sondring mellem operatører af væsentlige tjene-
ster og udbydere af digitale tjenester fjernes, til fordel for en klassifikation på baggrund af betyd-
ning i hhv. væsentlige og vigtige kategorier med den konsekvens, at de underkastes forskellige
tilsynsordninger.
FD
anbefaler, at der her sigtes mod en differentiering baseret på et proportiona-
litetsprincip, således at relevante krav målrettes den faktiske risiko.
FD
finder det positivt, at for-
slaget styrker sikkerhedskrav ved at indføre krav om en risikostyringstilgang.
Sagsnr.:
[Sagsnr.]
Dok.nr.:
[Dokumentnr.]
Side 21 af 29
 kom (2020) 0823 - Bilag 2: Samlenotat vedr. Forslag til direktiv vedr. cybersikkerhed i net- og informationssystemer (NIS2-direktivet)
FD
bemærker, at der oprettes et antal nye organer (f.eks. Den fælles cyberenhed).
FD
bemærker
hertil, at det er vigtigt at undgå overlappende ansvar, især mellem nationale organer og overnati-
onale organer.
FD
anbefaler, at der er fokus på ikke at skabe et meget komplekst, fragmenteret og
besværligt rapporterings-økosystem.
FD
bemærker bestemmelserne vedrørende IKT-certificering
og finder, at det både er positivt og proportionalt, at det er leverandøren, der skal sikre, at sikker-
heden er på plads gennem en certificeringsordning.
FD
bemærker, at finanssektoren i tillæg til NIS2 også forventes omfattet af DORA (”Digital Ope-
rational Resilience Act”), der bliver en Lex specialis for finansielle institutioner/finansmarkedets
infrastruktur.
FD
finder det afgørende, at der i den forbindelse undgås dobbeltregulering eller
skabes usikkerhed.
FD
bemærker videre, at der i direktivet om kritiske enheders modstandsdyg-
tighed henvises til cyber- og ikke-cybermodstandsdygtighed.
FD
finder det også afgørende, at der
også i denne forbindelse undgås dobbeltregulering eller skabes usikkerhed.
FD
bemærker, at finanssektoren er underlagt en række rapporteringskrav på cybersikkerhedsom-
rådet, og forventes i fremtiden at blive underlagt flere rapporteringskrav.
FD
anbefaler, at rappor-
teringskrav i videst muligt omfang harmoniseres.
Forsikring og Pension (F&P)
giver stor opbakning til en mere fokuseret indsats, der bidrager til
at øge modstandsdygtigheden over for cyberangreb i den finansielle sektor i EU og Danmark.
F&P
bemærker at cybersikkerhedsdagsordenen i forvejen er højt prioriteret i den danske forsik-
rings- og pensionsbranche, hvor der er tæt koordinering og videndeling.
F&P
har i efteråret 2020 givet høringssvar på EU’s lovforslag til ”Digital Operationel Resilience
Act (DORA)”, som kommer til at regulere
den finansielle branche.
F&P
foreslår derfor, at det bliver tydeliggjort i selve lovteksten i NIS-direktivet (og ikke kun i
præamblen pkt. 13), at direktivet ikke gælder for forsikrings- og pensionsbranchen, så der frem-
adrettet ikke er tvivl om, hvilke krav finansielle virksomheder skal efterleve.
Ingeniørforeningen IDA (IDA)
er overordnet positiv overfor direktivet. Som årsag anføres fo-
kus på et styrket niveau af cybersikkerhed i Danmark og andre europæiske lande, der jævnligt
rammes af cyberangreb så vel som datalæk grundet menneskelige fejl som følge af manglende
kompetencer eller opmærksomhed.
IDA
vurderer at cyberangreb og datalæk har store konsekvenser for de
enkelte virksomheders økonomi, samfundets forsyningssikkerhed, statens sikkerhed og alminde-
lige borgeres tillid til et stadigt mere digitalt samfund.
Sagsnr.:
[Sagsnr.]
Dok.nr.:
[Dokumentnr.]
Side 22 af 29
 kom (2020) 0823 - Bilag 2: Samlenotat vedr. Forslag til direktiv vedr. cybersikkerhed i net- og informationssystemer (NIS2-direktivet)
IDA
anfører, at manglende cybersikkerhed kan være meget lokalt og angreb eller fejl kan ramme
meget specifikt, imens digitaliseringen generelt er international og udveksling af data flyder kon-
stant mellem EU-landene.
IDA
er derfor varm fortaler for, at en stor del af indsatsen for et højere
sikkerhedsniveau sker på europæisk plan, dvs. i regi af EU.
IDA
angiver vigtigheden af, at for-
skelle mellem de europæiske lande udlignes og løftes til et forsvarligt niveau, og finder det for-
nuftigt at stramningerne sker ved at stille differentierede krav til ex. hhv. store organisationer og
hhv. mikrovirksomheder, baseret på forståelsen af, hvad der kan lade sig gøre, og hvilke tiltag
som er mest effektive, i forhold til den pågældende organisation.
Samtidig finder
IDA,
at de på kort sigt højnede omkostninger for offentlige organisationer og
virksomheder, til at etablere et stigende cybersikkerhedsniveau, må forventes at blive opvejet af
fordele, så som færre omkostninger ved hackerangreb; mere effektiv digitalisering i de europæi-
ske samfund generelt; mindre behov for krisehåndtering; en mere it-kompetent arbejdsstyrke; og
en større tryghed ved digitalisering hos borgerne, når deres personlige data opbevares sikkert og
beskyttet.
Kommunernes Landsforening (KL)
finder, at der er mange gode initiativer i direktivet, som
kan medvirke til fælles tiltag på cybersikkerhedsområdet. Generelt finder KL, at der er behov for
koordinering med de krav der følger af GDPR ift. både risikovurderinger, fastsættelse af krav til
udveksling af oplysninger og håndtering af udfordringer med manglende overholdelse.
Landbrug & Fødevarer (LF)
bemærker, at Fødevareklyngen har mange virksomheder med få
ansatte.
LF
finder det derfor positivt og proportionelt, at små virksomheder og mikrovirksomhe-
der vil blive undtaget fra NIS-rammens anvendelsesområde.
LF
bemærker den af Kommissionen
anslåede forøgelse af omkostninger på 22 % i de første år efter indførelsen af den nye NIS-
ramme.
LF
finder, at dette er uproportionalt og en markant erhvervsøkonomisk konsekvens.
LF
bemærker overholdelses- og håndhævelsesomkostninger for de relevante myndigheder i med-
lemsstaterne, og den af Kommisionen anslåedesamlede stigning på ca. 20-30 % af ressourcerne.
LF
udtrykker bekymring for den øgede omkostningsbyrde for de relevante myndigheder.
LF
bemærker, at hvis omkostningerne tilvejebringes via gebyrfinansiering, vil virksomheder, der
er omfattet af NIS-rammen, pålægges en dobbeltbyrde.
LF
bemærker hertil, at en asymmetrisk
finansiering og håndhævelse kan skævvride konkurrencen på det indre marked.
LF
bemærker i
forlængelse heraf, at en uligevægtig pålægning af administrative bøder kan bidrage skævt til kon-
kurrencesituation, hvilket især er vigtigt med en bøderamme på op til 2 % af den samlede globale
årsomsætning i en virksomhed.
TeleIndustrien (TI)
finder regeringens og KOMs fastholdte fokus på den digitale infrastrukturs
samfundskritiske funktion, positivt, og deler de førnævntes vurdering af, at økonomisk genop-
Sagsnr.:
[Sagsnr.]
Dok.nr.:
[Dokumentnr.]
Side 23 af 29
 kom (2020) 0823 - Bilag 2: Samlenotat vedr. Forslag til direktiv vedr. cybersikkerhed i net- og informationssystemer (NIS2-direktivet)
rejsning som følge af COVID-19 krisen, i høj grad afhænger af en velfungerende og sikker tele-
infrastruktur.
TI
bemærker, at der i direktivet er meget eksplicit krav om, at der skal føres tilsyn, og at der skal
være stærke muligheder for anvendelse af sanktioner fra den kompetente myndighed. Der nævnes
bl.a., at den kompetente myndighed skal have mulighed for: onsite/offsite audit med stikprøver,
regelmæssige tilsyn, tilsyn baseret på risikovurderinger eller risikorelateret tilgængelig informati-
on, sikkerhedsscanninger m.m.
TI
appellerer til, at disse beføjelser anvendes med omtanke, samt
at der vil være et fokus på, at der ikke sker en konkurrenceforvirring. Historisk har myndigheder-
ne på teleområdet ikke anvendt de sanktionsmuligheder, de har haft, men i stedet fokuseret på
dialog og samarbejde, hvilket
TI
anbefaler, at lovgivningen fortsat vil give plads til.
9. Generelle forventninger til andre landes holdninger
Der er generelt blevet taget godt imod forslaget til NIS2, og medlemsstaterne er overordnet
enige i ambitionen om større ensartethed ift. cybersikkerhed på tværs af EU. Kompromisfor-
slaget søger at tage højde for drøftelser mellem medlemsstaterne om især sammenhængen mel-
lem NIS2 og anden EU-regulering på cybersikkerhedsområdet samt drøftelser om anvendel-
sesområdet for NIS2.
Et udestående relateret til anvendelsesområdet for NIS2 vedrører anvendelsesområdet ift. of-
fentlige forvaltningsenheder. En række lande, har været stærke kritikere af, at den offentlige
forvaltning skulle være omfattet af direktivet.
Et andet udestående ift. anvendelsesområdet vedrører undtagelsesbestemmelsen ifm. national
sikkerhed. En række lande har udarbejdet et non-paper af 28. juni 2021, hvor det fremhæves,
at undtagelsesbestemmelsen i artikel 2, stk. 3, set i lyset af TEU artikel 4, stk. 2 og ECJs for-
tolkning heraf, er for bredt og upræcist formuleret. På den baggrund er det blevet forslået at
præcisere undtagelsesbestemmelsen. Danmark har efterfølgende tilsluttet sig non-paperet.
Formandskabets kompromisforslaget har i høj grad søgt at medtage formuleringerne fra non-
paperet.
Ud over udeståender ift. anvendelsesområdet for NIS2 er der også lande, der har givet udtrykt
behov for at sikre, at de eksisterende og nye samarbejdsnetværk i NIS2 ikke dublerer eksiste-
rende opgaver. Et yderligere udestående er hvorvidt rodservere skal indgå i anvendelsesområ-
det for NIS2.
Sagsnr.:
[Sagsnr.]
Dok.nr.:
[Dokumentnr.]
Side 24 af 29
 kom (2020) 0823 - Bilag 2: Samlenotat vedr. Forslag til direktiv vedr. cybersikkerhed i net- og informationssystemer (NIS2-direktivet)
10. Regeringens foreløbige generelle holdning
Cybertruslen er en alvorlig trussel mod EU og Danmark. Regeringen ser med dyb alvor på,
hvordan cyberangreb rammer virksomheder, myndigheder og demokratier med økonomiske og
politiske konsekvenser til følge. Regeringen anerkender, at udviklingen i cybertruslerne sammen-
holdt med vores udbyggede digitale infrastruktur betyder, at cyberangreb har gode forudsætnin-
ger for at sprede sig i og på tværs af sektorer. I Danmark er truslen fra både cyberkriminalitet og
cyberspionage meget høj. Derfor er cybersikkerhed en høj prioritet for regeringen.
Regeringen hilser på den baggrund Kommissionens forslag velkommen og ser positivt på ønsket
om at højne cybersikkerheden og trusselsbevidstheden - også i yderligere sektorer, der ikke tradi-
tionelt arbejder med sikkerhed.
Regeringen lægger vægt på at styrke samfundets resiliens, og forslaget flugter i høj grad med
regeringens syn på beskyttelse af kritisk infrastruktur. Regeringen er enig i, at forslaget styrker
modstandsdygtigheden ved at bidrage til et mere komplet og opdateret situationsbillede. Rege-
ringen støtter i forlængelse heraf fokus på øget samarbejde og vidensdeling, herunder udviklin-
gen af et europæisk sårbarhedsregister.
Regeringen lægger stor vægt på, at NIS-direktivet ikke medfører uforholdsmæssige eller unødige
økonomiske byrder for aktører, som fra dansk side ikke er samfundsmæssigt eller økonomisk vig-
tige eller direkte afhængige af net- og informationssystemer, og at der tages hensyn til allerede
eksisterende regulering og krav i sektorerne.
Dette skal samtidig ses i sammenhæng med fast-
læggelsen af definitionen for hvilke enheder, der omfattes af direktivforslaget, og derved skal
undergå tilsyn. Omvendt støtter regeringen, at enheder der vurderes at være kritiske, vil kunne
omfattes af direktivets bestemmelser som følge af en national beslutning, uanset en sådan en-
heds omsætning eller størrelse.
Regeringen lægger stor vægt på, at Danmark i lighed med det nuværende NIS-direktiv kan im-
plementere NIS2 efter sektoransvarsprincippet.
Den konkrete implementeringsmodel vil først
blive lagt fast, når direktiverne er endeligt vedtaget. I den forbindelse vil der skulle tages stil-
ling til, om tilsynet centraliseres eller placeres efter sektoransvarsprincippet, således at de en-
kelte ministerier fører tilsyn på eget område.
Regeringen lægger stor vægt på, at en eventuel udvidelse af NIS-direktivets dækningsområde i
bredden og dybden sker med udgangspunkt i en risikobaseret tilgang, der sikrer proportionalitet i
forhold til de cybersikkerhedskrav, som stilles i direktivet. Regeringen vil arbejde for at begrænse
unødige administrative byrder.
Regeringen er som udgangspunkt positiv over for, at forslaget medfører en betydelig harmonise-
ring på tværs af EU mht. hvilke virksomheder, der er omfattet af direktivet. Imidlertid indebærer
Sagsnr.:
[Sagsnr.]
Dok.nr.:
[Dokumentnr.]
Side 25 af 29
 kom (2020) 0823 - Bilag 2: Samlenotat vedr. Forslag til direktiv vedr. cybersikkerhed i net- og informationssystemer (NIS2-direktivet)
forslagets lave grænse for, hvilke virksomheder der er omfattet, en risiko for at virksomheder,
som ikke er samfundsmæssigt eller økonomisk vigtige, kan blive omfattet. Regeringen vil derfor
arbejde for en mere målrettet og risikobaseret regulering.
Regeringen lægger vægt på, at der sker en præcisisering og afgrænsning af bestemmelserne
om gennemførelsesakter. Eventuelle gennemførelsesretsakter bør træde i kraft samtidig med
direktivet af hensyn til klarhed for virksomheder over det samlede regelsæt fra starten.
Der arbejdes i øjeblikket på at udforme en ny national strategi for cyber- og informationssikker-
hed til afløsning af den gældende, som udløber i 2021. En ny strategi forventes at træde i kraft før
et nyt NIS-direktiv er færdigforhandlet og skal implementeres i dansk lovgivning. Regeringen vil
naturligvis bestræbe sig på overensstemmelse med dækningsområde og krav i den nationale stra-
tegi og de forventede krav som følger af et nyt NIS-direktiv.
Særligt i forhold til formandskabets kompromisforslag og nye forslag til anvendelsesområdet
for NIS2, er det nødvendigt at udfolde regeringens generelle holdning inden for hvert kapitel
af NIS2.
Kapitel 1. Anvendelsesområde
Regeringen finder det positivt, at der med NIS2 lægges op til en udvidelse af anvendelsesområ-
det til at omfatte flere samfundsvigtige områder, hvor større cybersikkerhedshændelser vil
kunne medføre væsentlige forstyrrelser for samfundet.
Regeringen tillægger det afgørende vægt, at direktivet
i overensstemmelse med EU-traktaten
entydigt undtager alle aktiviteter knyttet til medlemsstaternes beskyttelse af den nationale
sikkerhed, uanset om disse aktiviteter udøves af en offentlig myndighed eller i samarbejde med
private parter.
For at sikre et højt og ensartet cybersikkerhedsniveau i samfundsvigtige områder, og områder
der er forudsætningsskabende herfor på tværs af EU, finder regeringen det ønskværdigt, at
direktivforslaget klart definerer, hvilke enheder der er omfattet af anvendelsesområdet. Herved
sikres både en ensartet implementering af NIS2 på tværs af EU til gavn for cybersikkerheden,
og man undgår en bureaukratisk tung individuel udpegning af omfattede enheder, der kan
lede til fragmentering og svage led ift. cybersikkerheden på tværs af EU.
Regeringen lægger vægt på, at definitionen af hvilke enheder, der omfattes, skal være baseret
på en risikobaseret og proportionel tilgang, der bl.a. skal sikre, at enheder ikke underlægges en
unødigt byrdefuld regulering.. Regeringen vil med udgangspunkt i kompromisforslaget have
fokus på, at der skal arbejdes risikobaseret mhp. at balancere behovet for styrket cybersikker-
Sagsnr.:
[Sagsnr.]
Dok.nr.:
[Dokumentnr.]
Side 26 af 29
 kom (2020) 0823 - Bilag 2: Samlenotat vedr. Forslag til direktiv vedr. cybersikkerhed i net- og informationssystemer (NIS2-direktivet)
hed med omkostningsniveauet for enhederne, der vil blive omfattet af direktivforslaget, i over-
ensstemmelse med regeringens ønske om et stærkt cyberforsvar .
Regeringen finder det positivt, at offentlige forvaltningsenheder indgår i anvendelsesområdet.
Regeringen lægger dog vægt på, at medlemsstaterne sikres frihed til at afgøre, om kommuner
og regioner skal omfattes af direktivet.
Regeringen støtter kompromisforslaget om, at DNS-udbydere underlægges de generelle græn-
ser for, hvad der anses for at være væsentlige og vigtige enheder, men at rodservere undtages
fra direktivet.
Regeringen finder det positivt, at formandskabets kompromisforslag søger at sikre, at de mini-
mumsstandarder, der måtte opnås enighed om i NIS2, ligeledes skal være udgangspunktet for
tilsvarende minimumsstandarder inden for anden sektorspecifik EU-lovgivning, der ligeledes
regulerer sikkerheden i net- og informationssystemer, samt at der nedsættes klare regler for,
hvordan NIS2 interagerer med denne lovgivning.
Kapitel 2. Koordinerede lovgivningsmæssige rammer
Regeringen lægger vægt på, at der understøttes størst mulig deling af viden om cybersikker-
hedshændelser og sårbarheder blandt europæiske aktører. Regeringen er opmærksom på, at en
sådan deling af viden hviler på tillid, hvorfor der ikke kan stilles krav til deling i en bredere
kreds. Herunder vil regeringen lægge vægt på, at der ikke stilles krav til offentliggørelse af den
nævnte viden uden forudgående accept af de involverede parter og i passende aggregeret form.
Der bør i den forbindelse skelnes mellem ”deling af viden om hændelser” og ”offentliggørelse
af sårbarheder”.
Regeringen bemærker ved forslaget om et europæisk sårbarhedsregister, at
registeret i sig selv vil medføre et markant behov for beskyttelse af de indeholdte følsomme op-
lysninger, hvorfor regeringen lægger vægt på, at der i forbindelse hermed stilles passende krav
til sikker udveksling og opbevaring af data.
Regeringen lægger vægt på, at der indføres robuste krav til de nationale rammer og kompeten-
cer for styringen af væsentlig cybersikkerhedshændelser og -kriser, således at man undgår
svage led i andre medlemsstater.
Regeringen anser modellen etableret med det nuværende NIS-direktiv, hvor medlemsstaterne
har skulle etablere CSIRT og udpege kompetente myndigheder, som velfungerende for de be-
rørte sektorer, hvorfor regeringen støtter modellens videreførsel i NIS2.
Kapitel 3. Samarbejde
Regeringen støtter Kommissionens forslag om fortsættelsen af samarbejdet mellem medlems-
staterne i NIS-samarbejdsgruppen og CSIRT-netværket som centrale for den praktiske imple-
mentering af direktivet og det operationelle samarbejde om cybersikkerhed. Regeringen lægger
Sagsnr.:
[Sagsnr.]
Dok.nr.:
[Dokumentnr.]
Side 27 af 29
 kom (2020) 0823 - Bilag 2: Samlenotat vedr. Forslag til direktiv vedr. cybersikkerhed i net- og informationssystemer (NIS2-direktivet)
dog vægt på, at peer-evaluering, hvormedlemsstater evaluerer effektiviteten i andre medlems-
staters cybersikkerhedspolitikker, skal følge nationale konpetence .Derfor støtter regeringen, at
der i stedet indføres en peer-læring mekanisme.
Kapitel 4. Forpligtelser vedrørende risikostyring og rapportering i forbindelse med cybersik-
kerhed
Regeringen støtter forslagets fokus på forvaltning af cybersikkerhed gennem krav til ledelser
og risikohåndteringsforanstaltninger samt rapporteringsforpligtelser til både myndigheder og
berørte parter for alle omfattede enheder. Regeringen lægger vægt på at dette baseres på bru-
gen af eksisterende europæiske certificeringsordninger og internationalt anerkendte teknolo-
gineutrale standarder.
Regeringen finder, at et europæisk register med en samlet oversigt over udbydere af digital
infrastruktur og digitale tjenester udgør beskyttelsesværdig information, hvorfor regeringen
lægger vægt på, at der i forbindelse hermed stilles passende krav til sikker udveksling og opbe-
varing af data.
Kapitel 5. Udveksling af oplysninger
Regeringen støtter forslagets fokus på videndeling mellem væsentlige og vigtige enheder om
cybersikkerhed. Regeringen lægger vægt på, at kravet om underretning vedrørende indtræden
og udtræden af samarbejdsfora bør udtages, da det er en unødig administrativ byrde. Der ville
ydermere i den forbindelse optræde en udfordring for medlemsstater, der som Danmark har
mere end en kompetent tilsynsførende myndighed, og hvor en enhed agerer i flere sektorer (jf.
sektoransvarsprincippet).
Kapitel 6. Tilsyn og håndhævelse
Regeringen tillægger det afgørende vægt, at direktivforslaget med formandskabets kompromis-
forslag giver medlemsstater, hvis retssystem ikke giver mulighed for at pålægge administrative
bøder, mulighed for at anvende bestemmelsen om administrative bøder på en sådan måde, at
de kompetente myndigheder kan tage skridt til bøder, som i givet fald pålægges af de kompe-
tente nationale domstole .
Regeringen støtter, at der med direktivforslaget lægges op til skærpede tilsyn af de omfattede
enheders cybersikkerhedstiltag. Regeringen anser det i den forbindelse for passende, at der
med direktivforslaget stilles krav om, at en kompetent myndighed skal have muligheden for at
identificere ansvarlige juridiske og fysiske personer, ligesom der ved alvorlig passivitet kan
pålægges yderligere sanktioner i overensstemmelse med national lovgivning. Fsva. offentlige
forvaltningsmyndigheder lægger regeringen vægt på, at tilsynsforpligtelsen over for disse for-
muleres på en sådan måde, at unødige administrative byrder undgås.
Sagsnr.:
[Sagsnr.]
Dok.nr.:
[Dokumentnr.]
Side 28 af 29
 kom (2020) 0823 - Bilag 2: Samlenotat vedr. Forslag til direktiv vedr. cybersikkerhed i net- og informationssystemer (NIS2-direktivet)
Regeringen støtter formandskabets kompromisforslag om, at udførelsen af ex-ante tilsyn vil
kunne prioriteres og fokuseres på de virksomheder, organisationer og offentlige myndigheder
som vurderes at være underlagt størst risiko, frem for f.eks. at skulle besøge alle virksomheder
det samme antal gange på et år.
11. Tidligere forelæggelse for Folketingets Europaudvalg
Der blev oversendt grund- og nærhedsnotat den 15. februar 2021.
Sagsnr.:
[Sagsnr.]
Dok.nr.:
[Dokumentnr.]
Side 29 af 29