Nyt udkast til lovforslag om implementering af NIS 2 i telesektoren
Skrevet af
Partner
Danmark
Jeg er partner i vores internationale Tech & Comms team med stor erfaring i at rådgive klienter indenfor it, teknologi, telekommunikation og cybersikkerhed.
Associate
Danmark
Jeg er advokat i vores danske Tech & Comms team, hvor jeg rådgiver både nationale og internationale klienter om it- og teleretlige problemstillinger.
I denne artikel gennemgår vi hovedelementerne i det nye udkast til lovforslag om sikkerhed og beredskab i telesektoren, der skal implementere NIS 2-direktivet og forventes at træde i kraft den 1. juli 2025. Formålet er at give et overblik over de væsentligste forhold i udkastet.
Vores konklusioner er:
- Integration af eksisterende sikkerhedskrav og direktivnær implementering af NIS 2: Udkastet integrerer eksisterende nationale særregler, såsom regler om beredskabskommunikation og sikkerhedsgodkendelse af medarbejdere, og implementerer NIS 2-kravene direktivnært uden at pålægge telesektoren yderligere krav end dem, der er foreskrevet i direktivet.
- Modificeret anvendelsesområde: Udkastet indfører tre klassificeringer af teleudbydere i stedet for direktivets to, med afvigende kriterier og minimumstærskler, der skal sikre en mere proportional ordning i tråd med eksisterende regler på teleområdet. Denne ordning medfører, at udbydere med begrænset aktivitet undtages fra de fleste NIS 2-krav.
- Definitioner og NUIK-tjenester: Udkastet anvender nye definitioner og klassificeringer i forhold til eksisterende lovgivning, men undlader eksplicit at afklare, hvordan NUIK-tjenester omfattes. Selvom meget tyder på, at de er inkluderet, skaber denne manglende afklaring en vis usikkerhed.
I midten af december 2024 blev udkast til forslag til lov om sikkerhed og beredskab i telesektoren sendt i høring af Ministeriet for Samfundssikkerhed og Beredskab (tilgængelig her). Udkastet skal implementere Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 (NIS 2) i den danske telesektor og er den sidste brik i den samlede danske implementering af NIS 2.
Sektorspecifik implementering af NIS 2 og integration med eksisterende krav
I Danmark implementeres NIS 2 gennem en model, hvor de fleste sektorer omfattes af en generel NIS 2-lov, der er foreslået som lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau. Samtidig sker der en sektorspecifik implementering for energi-, finans- og telesektorerne på grund af den eksisterende og omfattende regulering, der allerede gælder på disse områder.
Telesektoren er derfor som udgangspunkt ikke omfattet af udkastet til det generelle NIS 2-lovforslag, bortset fra offentlige udbydere (f.eks. kommuner). I stedet vil telesektoren blive reguleret af nærværende sektorspecifikke lovgivning, der tager højde for de særlige nationale krav og regler.
Telesektoren er i forvejen underlagt en række omfattende sikkerhedskrav, som går videre end de krav, der er fastsat i NIS 2-direktivet. F.eks. omfatter teleområdet særlige regler om beredskabskommunikation og krav om sikkerhedsgodkendelse af medarbejdere.
For at videreføre disse nationale særregler følger udkastet en tilgang, hvor eksisterende regulering, især fra lov om sikkerhed i net og tjenester, integreres med de nye krav i NIS 2-direktivet.
Cybersikkerhedskravene samt oplysnings- og underretningsforpligtelserne i NIS 2-direktivet implementeres efter princippet om direktivnær implementering. Dette betyder, at udkastet ikke indfører strengere eller yderligere regler end dem, der er fastsat i direktivet. For telesektoren sikrer dette, at der ikke pålægges yderligere operative krav ud over dem, der allerede fremgår af NIS 2-direktivet.
Et modificeret anvendelsesområde
En central del af udkastets tilgang er det foreslåede anvendelsesområde, som adskiller sig fra NIS 2-direktivets rammer. NIS 2 fastsætter, at alle udbydere af offentlige elektroniske kommunikationsnetværk og -tjenester – uanset virksomhedens størrelse og omfanget af aktiviteter – er omfattet, og opererer desuden med to kategorier, ”vigtige” og ”væsentlige” enheder. Disse kategorier er afgørende for, hvor omfattende tilsyn og sanktioner den enkelte udbyder underlægges.
Danmark har imidlertid valgt en model med tre kategorier af teleudbydere, som afviger fra NIS 2’s inddeling. Tabellen nedenfor viser de foreslåede kategorier, deres kriterier og de tilhørende NIS 2-krav (altså ikke krav videreført fra f.eks. lov om sikkerhed i net og tjenester).
| Klassificering | Kriterier | NIS 2-krav |
| Væsentlige teleudbydere | Teleudbydere, hvis aktiviteter relateret til offentlige elektroniske kommunikationsnetværk og -tjenester udgør den primære eller en ikke-accessorisk del af virksomhedens aktiviteter, og som opfylder mindst ét af følgende: 1) beskæftiger mere end 50 ansatte, eller 2) har en årlig omsætning og balance på over 10 mio. EUR.
| Underlagt alle NIS 2-krav, herunder skærpet tilsyn og strengere sanktioner. |
| Vigtige teleudbydere | Teleudbydere, hvis aktiviteter relateret til offentlige elektroniske kommunikationsnetværk og -tjenester udgør den primære eller en ikke-accessorisk del af virksomhedens aktiviteter, og som ikke opfylder ovenfornævnte størrelseskrav.
| Underlagt alle NIS 2-krav, men med mere lempeligt tilsyn og mildere sanktioner end de væsentlige teleudbydere. |
| Teleudbydere | øvrige teleudbydere, der ikke opfylder ovenstående kriterier. | Kun underlagt NIS 2-krav om hændelsesrapportering. |
Denne nye klassificering repræsenterer en ændring i forhold til såvel NIS 2’s opdeling som de gældende definitioner i lov om sikkerhed i net og tjenester og relevante bekendtgørelser, hvor man i dag skelner mellem ”udbydere”, ”erhvervsmæssige udbydere”, ”væsentlige erhvervsmæssige udbydere”, ”udbydere af NUIK-tjenester”, ”erhvervsmæssige udbydere af NUIK-tjenester” og ”væsentlige erhvervsmæssige udbydere af NUIK-tjenester.”
Det forventes desuden, at de nye definitioner vil medføre behov for konsekvensrettelser i anden relevant lovgivning for telesektoren.
Betragtninger om inddragelse af minimumstærsklen ’hovedydelse eller en ikke-accessorisk del af virksomheden’
Som det fremgår ovenfor, indebærer udkastet, at en teleudbyder kun betragtes som en ”væsentlig” eller ”vigtig” teleudbyder (og dermed underlagt NIS 2’s fulde krav), hvis de udbyder offentlige elektroniske kommunikationsnet eller -tjenester som enten sin hovedydelse eller som en ikke-accessorisk del af virksomheden. Ifølge udkastets kommentarer er denne afgrænsning i tråd med definitionen af ”erhvervsmæssige udbydere” i den gældende lov om sikkerhed i net og tjenester og skal fortolkes i samme ånd.
Dette kriterium afviger dog fra NIS 2-direktivet, som hverken opstiller et krav om erhvervsmæssighed eller omfanget af virksomhedens aktiviteter. At indføre en ekstra minimumstærskel i den danske telesektor kan ses som et ønske om proportionalitet: Man ønsker at undgå, at f.eks. boligforeninger, hoteller, caféer og lignende ikke-traditionelle udbydere af elektroniske kommunikationsnet eller -tjenester underlægges samtlige NIS 2-forpligtelser. Denne tilgang viderefører principperne i den nuværende telelovgivning.
Det bemærkes, at en lignende tærskel ikke findes i udkastet til det generelle danske NIS 2-lovforslag. Havde man ønsket en tilsvarende undtagelse på tværs af alle sektorer, ville det formentlig være eksplicit indskrevet, hvilket det ikke er. På nuværende tidspunkt er der derfor ikke noget, der tyder på, at virksomheder, som for eksempel udbyder cloudcomputingtjenester i mindre skala som en del af en større forretning, kan undtages fra NIS 2-direktivets anvendelsesområde.
Anvendelse for nummeruafhængige tjenester (NUIK-tjenester)
Udkastet giver anledning til en vis uklarhed om, i hvilket omfang nummeruafhængige tjenester (NUIK-tjenester) er omfattet af dets anvendelsesområde. Denne uklarhed skyldes navnlig, at den gældende lov om sikkerhed i net og tjenester opererer med separate definitioner for "udbydere" og "udbydere af NUIK-tjenester," hvilket tydeligt markerer deres respektive forpligtelser. Disse definitioner er imidlertid ikke videreført i udkastet til det nye lovforslag.
Ifølge udkastets kommentarer videreføres definitionen af "udbyder" fra § 2, nr. 4, i lov om sikkerhed i net og tjenester og skal fortolkes i overensstemmelse hermed. Dog er den del af definitionen, der eksplicit undtager udbydere af NUIK-tjenester, blevet udeladt. Dette kan tolkes som en indikation på, at NUIK-udbydere – i mangel af en specifik undtagelse – som udgangspunkt omfattes af reglerne i udkastet.
Flere forhold understøtter antagelsen om, at NUIK-tjenester generelt er inkluderet i udkastets anvendelsesområde:
- NIS 2-direktivet nævner eksplicit NUIK-tjenester i præambelbetragtning nr. 96.
- Bestemmelser fra lov om sikkerhed i net og tjenester, som allerede gælder for NUIK-tjenester, videreføres i høj grad i det nye udkast.
- Udkastets kommentarer nævner enkelte tilsynsbeføjelser, som ikke gælder over for udbydere af NUIK-tjenester, hvilket modsætningsvis antyder, at de i andre sammenhænge er omfattet.
Sammenfattende tyder meget på, at NUIK-tjenester er omfattet af udkastet. Dog mangler der en eksplicit bekræftelse af, at NUIK-udbydere altid skal betragtes som teleudbydere under det nye udkast – modsat den gældende lovgivning.
Vigtige datoer
Udkastet giver indsigt i to centrale datoer for implementeringen af NIS 2-direktivet i telesektoren. For det første foreslås det, at loven træder i kraft den 1. juli 2025, uden nogen yderligere overgangsperiode.
For det andet fastsættes en frist for registreringsforpligtelsen, som følger af NIS 2-direktivet, til den 1. oktober 2025. Dette er den dato, hvor de omfattede udbydere senest skal have indgivet de påkrævede oplysninger til de relevante myndigheder.
Næste skridt
Udkastet er i høring indtil den 9. januar 2025 og forventes fremsat i starten af februar 2025.
