Lov om sikkerhed og beredskab i telesektoren

LOV nr 435 af 06/05/2025
Senest offentliggjort 2025-05-07
!
Navigér lovgivningen nemmere med professionelle værktøjer og intelligent søgeassistent.
Få adgang på mit.lovkompas.dk

Kapitel 1

Anvendelsesområde og definitioner

§ 1

Denne lov finder anvendelse for teleudbydere, der med et kommercielt formål stiller offentlige elektroniske kommunikationsnet eller offentligt tilgængelige elektroniske kommunikationstjenester til rådighed i Danmark, jf. dog stk. 2.

Stk. 2.

Loven finder ikke anvendelse for kommuner og regioner, der stiller offentlige elektroniske kommunikationsnet eller offentligt tilgængelige elektroniske kommunikati‍onstjenester til rådighed.

§ 2

I denne lov forstås ved følgende:
1) Beredskabssituationer og andre ekstraordinære situati‍oner: Situationer, hvor der allerede er, eller hvor der kan opstå større ulykker, katastrofer eller hændelser, herunder krise eller krig, og hvor der er risiko for påvirkning af udbuddet af net og tjenester.
2) Cybertrussel: Enhver potentiel omstændighed, begivenhed eller handling, som kan skade, forstyrre eller på anden måde have en negativ indvirkning på net- og informationssystemer, brugerne af sådanne systemer og andre personer.
3) Elektronisk kommunikationsnet: Transmissionssystem, uanset om det bygger på en permanent infrastruktur eller en centraliseret administrationskapacitet, og, hvor det er relevant, koblings- og dirigeringsudstyr og andre ressourcer, herunder netelementer, der ikke er aktive, som gør det muligt at overføre signaler ved hjælp af trådforbindelse, radiobølger, lyslederteknik eller andre elektromagnetiske midler, herunder satellitnet, jordbaserede fastnet (kredsløbs- og pakkekoblede, herunder i internettet) og mobilnet, elkabelsystemer, i det omfang de anvendes til transmission af signaler, net, som anvendes til radio- og tv-spredning, og kabel-tv-net, uanset hvilken type information der overføres.
4) Elektronisk kommunikationstjeneste: En tjeneste, som normalt ydes mod betaling via elektroniske kommunikationsnet, og som med undtagelse af tjenester, der består i tilrådighedsstillelse af eller udøvelse af redaktionel kontrol over indhold fremført via elektroniske kommunikationsnet og -tjenester, omfatter følgende typer tjenester:
a) Internetadgangstjenester.
b) Interpersonelle kommunikationstjenester.
c) Tjenester, der udelukkende eller overvejende består i overføring af signaler, som f.eks. transmissi‍onstjenester, der anvendes til levering af maskine til maskine-tjenester og til radio- og tv-spredning.
5) Hændelse: En begivenhed, der bringer tilgængeligheden, autenticiteten, integriteten eller fortroligheden af lagrede, overførte eller behandlede data eller af de tjenester, der tilbydes af eller er tilgængelige via net- og informationssystemer, i fare.
6) Håndtering af hændelser: Enhver handling og procedure, der tager sigte på at forebygge, opdage, analysere og inddæmme eller at reagere på og reetablere sig efter en hændelse.
7) Interpersonel kommunikationstjeneste: En tjeneste, som normalt ydes mod betaling, og som muliggør direkte interpersonel og interaktiv informationsudveksling via elektroniske kommunikationsnet mellem et afgrænset antal personer, hvor de personer, der indleder eller deltager i kommunikationen, bestemmer, hvem modtageren eller modtagerne skal være, undtagen tjenester, der blot muliggør interpersonel og interaktiv kommunikation som en mindre støttefunktion, der er tæt knyttet til en anden tjeneste.
8) Net- og informationssystem:
a) Et elektronisk kommunikationsnet, jf. nr. 3.
b) Enhver anordning eller gruppe af forbundne eller beslægtede anordninger, hvoraf en eller flere ved hjælp af et program udfører automatisk behandling af digitale data.
c) Digitale data, som lagres, behandles, fremfindes eller overføres af elementer i litra a og b med henblik på deres drift, brug, beskyttelse og vedligeholdelse.
9) Nærvedhændelse: En begivenhed, der kunne have bragt tilgængeligheden, autenticiteten, integriteten eller fortroligheden af lagrede, overførte eller behandlede data eller af de tjenester, der tilbydes af eller er tilgængelige via net- og informationssystemer, i fare, men som det lykkedes at forhindre, eller som ikke indtraf.
10) Offentligt elektronisk kommunikationsnet: Et elektronisk kommunikationsnet, som udelukkende eller overvejende bruges til udbud af elektroniske kommunikationstjenester, der er tilgængelige for offentligheden, og som danner grundlag for overførsel af information mellem nettermineringspunkter.
11) Offentligt tilgængelige elektroniske kommunikationstjenester: En elektronisk kommunikationstjeneste, jf. nr. 4, der stilles til rådighed for en ikke på forhånd afgrænset kreds af slutbrugere eller teleudbydere.
12) Radiobaseret lokalnet: Et trådløst adgangssystem med lav effekt og lille rækkevidde, der har en lav risiko for at skabe interferens med andre sådanne systemer etableret i nærheden af andre brugere, og som på et ikkeeksklusivt grundlag anvender harmoniserede radiofrekvenser.
13) Sikkerhed i net- og informationssystemer: Net- og informationssystemers, jf. nr. 8, evne til på et givet sikkerhedsniveau at modstå enhver begivenhed, der kan være til skade for tilgængeligheden, autenticiteten, integriteten eller fortroligheden af lagrede, overførte eller behandlede data eller af de tjenester, der tilbydes af eller er tilgængelige via disse net- og informationssystemer.
14) Teleudbyder: Den, der med et kommercielt formål stiller produkter af offentlige elektroniske kommunikationsnet og offentligt tilgængelige elektroniske kommunikationstjenester til rådighed for andre.
15) Væsentlig cybertrussel: En cybertrussel, som på grundlag af sine tekniske karakteristika kan antages at have potentiale til at få alvorlig indvirkning på en udbyders net- og informationssystemer eller på brugerne af udbyderens tjenester ved at forårsage betydelig fysisk eller ikkefysisk skade.

Væsentlige udbydere

§ 3

Teleudbydere, der med et kommercielt formål udbyder offentlige elektroniske kommunikationsnet eller offentligt tilgængelige elektroniske kommunikationstjenester som deres hovedydelse eller som en ikkeaccessorisk del af virksomheden, anses for at være væsentlige, hvis de opfylder en af følgende betingelser, jf. dog stk. 2:
1) Udbyderen beskæftiger 50 personer eller derover.
2) Udbyderen har en årlig omsætning på over 10 mio. euro og en årlig balance på over 10 mio. euro.

Stk. 2.

Uanset teleudbyderens størrelse anses følgende teleudbydere for at være væsentlige teleudbydere:
1) Teleudbyderen er den eneste udbyder i Danmark af et net eller en tjeneste, der er væsentlig for opretholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter.
2) En forstyrrelse af det net eller den tjeneste, teleudbyderen leverer, vil kunne have væsentlig indvirkning på den offentlige sikkerhed eller folkesundheden.
3) En forstyrrelse af det net eller den tjeneste, teleudbyderen leverer, vil kunne medføre en væsentlig systemisk risiko, herunder hvor en sådan forstyrrelse kan have en grænseoverskridende virkning.
4) Teleudbyderen er kritisk på grund af udbyderens specifikke betydning på nationalt eller regionalt plan for sektoren eller typen af net eller tjeneste eller for andre indbyrdes afhængige sektorer i Danmark.
5) Teleudbyderen er identificeret som en kritisk enhed i henhold til lov om kritiske enheders modstandsdygtighed.

Stk. 3.

Ministeren for samfundssikkerhed og beredskab kan fastsætte nærmere regler om kriterier for, hvornår enheder er omfattet af stk. 2.

Vigtige udbydere

§ 4

Teleudbydere, der ikke opfylder kriterierne for at være væsentlige udbydere efter § 3, anses som vigtige teleudbydere, såfremt de med et kommercielt formål udbyder offentlige elektroniske kommunikationsnet eller offentligt tilgængelige elektroniske kommunikationstjenester som deres hovedydelse eller som en ikkeaccessorisk del af virksomheden.

Stk. 2.

Styrelsen for Samfundssikkerhed kan træffe afgørelse om, at en teleudbyder, der er omfattet af § 3, stk. 2, nr. 1-4, skal anses som en vigtig teleudbyder.

Kapitel 2

Foranstaltninger til styring af sikkerhedsrisici m.v.

§ 5

Væsentlige og vigtige teleudbydere skal træffe passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at styre risiciene for sikkerheden i net- og informationssystemer, som disse udbydere anvender til deres operationer eller til at levere deres tjenester, og for at forhindre hændelser eller minimere hændelsers indvirkning på modtagere af deres tjenester og på andre tjenester. Foranstaltningerne skal som minimum omfatte følgende:
1) Politikker for risikoanalyse og informationssystemsikkerhed.
2) Håndtering af hændelser.
3) Driftskontinuitet, herunder backupstyring og reetablering efter en katastrofe, og krisestyring.
4) Forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem den enkelte teleudbyder og udbyderens direkte leverandører eller tjenesteudbydere.
5) Sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder.
6) Politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af sikkerhedsrisici.
7) Grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse.
8) Politikker og procedurer vedrørende brug af kryptografi og, hvor det er relevant, kryptering.
9) Personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver.
10) Brug af løsninger med multifaktorautentificering eller kontinuerlig autentificering, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer internt hos udbyderen, hvor det er relevant.

Stk. 2.

Væsentlige og vigtige teleudbydere, der ikke overholder et eller flere af de krav, der er nævnt i stk. 1, til foranstaltningerne eller regler om krav til foranstaltninger fastsat i medfør af stk. 3, skal uden unødigt ophold træffe alle nødvendige, passende og forholdsmæssige korrigerende foranstaltninger.

Stk. 3.

Ministeren for samfundssikkerhed og beredskab fastsætter regler om krav til foranstaltninger efter stk. 1 og om yderligere foranstaltninger og krav hertil for teleudbydere omfattet af denne lov. Ministeren kan i den forbindelse fastsætte regler om, at væsentlige og vigtige teleudbydere skal anvende særlige ikt-produkter, -tjenester og -processer, som er certificeret i henhold til en europæisk cybersikkerhedscertificeringsordning, for at påvise overensstemmelse med bestemte krav efter stk. 1 eller regler om krav til foranstaltninger fastsat i medfør af 1. pkt.

§ 6

De foranstaltninger, som væsentlige og vigtige teleudbydere træffer på baggrund § 5, stk. 1 og 2, og regler fastsat i medfør af § 5, stk. 3, skal være godkendt af teleudbyderens ledelsesorgan. Ledelsesorganet fører tilsyn med foranstaltningernes gennemførelse.

Stk. 2.

Medlemmerne af ledelsesorganet i væsentlige og vigtige teleudbydere skal deltage i relevante kurser om styring af informationssikkerhedsrisici og tilskynde til, at tilsvarende kurser tilbydes til udbyderens øvrige ansatte.

Kapitel 3

Oplysnings- og underretningspligter m.v.

§ 7

Væsentlige og vigtige teleudbydere skal registrere sig hos Styrelsen for Samfundssikkerhed og i den forbindelse oplyse følgende:
1) Teleudbyderens navn.
2) Teleudbyderens adresse og ajourførte kontaktoplysninger, herunder e-mailadresser, ip-intervaller og telefonnumre.
3) En liste over de øvrige medlemsstater i Den Europæiske Union, hvor teleudbyderen leverer tjenester, der er omfattet af anvendelsesområdet i artikel 2 i NIS 2-direktivet.

Stk. 2.

Væsentlige og vigtige teleudbydere skal indgive oplysningerne efter stk. 1, senest 2 uger efter at teleudbyderen omfattes af loven.

Stk. 3.

I tilfælde af ændring i de oplysninger, der er afgivet i medfør af stk. 1, skal den væsentlige eller vigtige teleudbyder give Styrelsen for Samfundssikkerhed underretning herom senest 2 uger efter datoen for ændringen.

Stk. 4.

Ministeren for samfundssikkerhed og beredskab kan fastsætte regler om, at væsentlige og vigtige teleudbydere skal afgive yderligere oplysninger ved registrering.

Stk. 5.

Ministeren for samfundssikkerhed og beredskab kan fastsætte regler om oplysnings- og underretningspligter for væsentlige og vigtige teleudbydere, herunder regler om følgende:
1) Afgivelse af oplysninger om væsentlige dele af teleudbyderens net eller tjenester eller driften heraf.
2) Krav om underretning af Styrelsen for Samfundssikkerhed ved påtænkt indgåelse af aftaler om leverancer, der vedrører væsentlige dele af udbyderens net eller tjenester eller driften heraf.
3) Krav om, at teleudbyderen skal indsende et endeligt aftaleudkast til Styrelsen for Samfundssikkerhed umiddelbart forud for indgåelse af aftalen, og at aftalen først kan indgås op til 25 arbejdsdage efter styrelsens modtagelse af pågældende udkast.

§ 8

Bestemmelsen i § 17 i NIS 2-loven om Computer Security Incident Response Teams (CSIRT) opgaver finder tilsvarende anvendelse for teleudbydere omfattet af denne lov.

Stk. 2.

Teleudbydere skal underrette Styrelsen for Samfundssikkerhed og CSIRT’en om enhver væsentlig hændelse efter proceduren i § 9.

Stk. 3.

En hændelse anses for at være væsentlig, hvis den
1) har forårsaget eller er i stand til at forårsage alvorlige driftsforstyrrelser af net eller tjenester eller økonomiske tab for den berørte udbyder eller
2) har påvirket eller er i stand til at påvirke andre fysiske eller juridiske personer ved at forårsage betydelig fysisk eller ikkefysisk skade.

Stk. 4.

Ministeren for samfundssikkerhed og beredskab kan fastsætte nærmere regler om, hvornår en hændelse kan anses for at være væsentlig, og hvilke oplysninger der skal gives i forbindelse med underretningen.

§ 9

Underretningen efter § 8, stk. 2, skal bestå af følgende og ske på følgende måde:
1) En tidlig varsling, som skal angive, om den væsentlige hændelse mistænkes at være forårsaget af ulovlige eller ondsindede handlinger eller kunne have en grænseoverskridende virkning, sendes uden unødigt ophold, og senest inden for 24 timer efter at teleudbyderen har fået kendskab til den væsentlige hændelse.
2) En hændelsesunderretning, som skal ajourføre oplysningerne fra den tidlige varsling, jf. nr. 1, og give en indledende vurdering af den væsentlige hændelse, herunder dens alvor og indvirkning samt kompromitteringsindikatorerne, hvor sådanne foreligger, sendes uden unødigt ophold, og senest inden for 72 timer efter at teleudbyderen har fået kendskab til den væsentlige hændelse, jf. dog stk. 2.
3) En foreløbig rapport med relevante statusopdateringer sendes til enten Styrelsen for Samfundssikkerhed eller CSIRT’en efter myndighedens anmodning herom.
4) En endelig rapport sendes til Styrelsen for Samfundssikkerhed og CSIRT’en senest 1 måned efter fremsendelsen af den hændelsesunderretning, der er nævnt i nr. 2. Den endelige rapport skal indeholde følgende:
a) En detaljeret beskrivelse af hændelsen, herunder dens alvor og indvirkning.
b) Den type trussel eller grundlæggende årsag, der sandsynligvis har udløst hændelsen.
c) Anvendte og igangværende afbødende foranstaltninger.
d) De eventuelle grænseoverskridende virkninger af hændelsen.
5) Pågår hændelsen fortsat på tidspunktet for fremsendelsen af den endelige rapport, jf. nr. 4, skal den berørte teleudbyder indsende en statusrapport på det pågældende tidspunkt og en endelig rapport, senest 1 måned efter at hændelsen er håndteret.

Stk. 2.

Styrelsen for Samfundssikkerhed og CSIRT’en sikrer, at den berørte teleudbyder uden unødigt ophold og senest inden for 24 timer efter modtagelsen af den tidlige varsling, jf. stk. 1, nr. 1, gives et svar, herunder indledende tilbagemeldinger om den væsentlige hændelse. Efter anmodning fra teleudbyderen skal CSIRT’en desuden yde vejledning, operativ rådgivning om gennemførelsen af mulige afbødende foranstaltninger og supplerende teknisk bistand.

§ 10

Teleudbydere kan underrette Styrelsen for Samfundssikkerhed og CSIRT’en om hændelser, nærvedhændelser og cybertrusler.

Stk. 2.

Styrelsen for Samfundssikkerhed og CSIRT’en behandler underretninger efter stk. 1 på samme måde som underretninger modtaget i medfør af § 8. CSIRT’en og Styrelsen for Samfundssikkerhed kan prioritere håndteringen af underretninger, der er modtaget i medfør af § 8, frem for underretninger efter stk. 1.

Stk. 3.

Teleudbydere kan, uanset om de er omfattet af lovens anvendelsesområde, give frivillig underretning til CSIRT’en efter stk. 1.

§ 11

Er det sandsynligt, at en væsentlig hændelse, jf. § 8, stk. 3, vil påvirke teleudbydernes levering af deres tjenester til modtagerne heraf negativt, underretter teleudbyderne i relevant omfang modtagerne herom uden unødigt ophold.

Stk. 2.

Teleudbydere oplyser uden unødigt ophold modtagerne af deres tjenester, som potentielt er berørt af en væsentlig cybertrussel, om eventuelle foranstaltninger eller modforholdsregler, som modtagerne kan træffe som reaktion på den pågældende trussel. Hvor det er relevant, skal udbyderne også informere de pågældende modtagere om selve den væsentlige trussel.

§ 12

Styrelsen for Samfundssikkerhed kan efter høring af en teleudbyder, der er ramt af en væsentlig hændelse, jf. § 8, stk. 3, informere offentligheden om den væsentlige hændelse, hvis offentliggørelsen er nødvendig for at forebygge eller håndtere hændelsen, eller hvis offentliggørelse af hændelsen på anden vis er i offentlighedens interesse.

Stk. 2.

Styrelsen for Samfundssikkerhed kan i de situati‍oner, der er nævnt i stk. 1, træffe afgørelse om, at den relevante teleudbyder informerer offentligheden om den væsentlige hændelse, og bestemme, hvordan denne information skal gives.

Stk. 3.

CSIRT’en kan efter samme kriterier som i stk. 1 informere offentligheden om væsentlige hændelser, der kan påvirke mere end én sektor.

Stk. 4.

CSIRT’en kan efter samme kriterier som i stk. 1 informere offentligheden om væsentlige hændelser i andre medlemsstater.

Kapitel 4

Beredskabssituationer og andre ekstraordinære situationer

§ 13

Styrelsen for Samfundssikkerhed koordinerer og prioriterer beredskabsaktørernes behov for samfundsvigtig elektronisk kommunikation i beredskabssituationer og i andre ekstraordinære situationer.

Stk. 2.

Væsentlige og vigtige teleudbydere skal sikre, at de foretagne prioriteringer gennemføres i net og tjenester.

Stk. 3.

Væsentlige og vigtige teleudbydere skal underrette Styrelsen for Samfundssikkerhed i tilfælde, hvor udbyderen aktiverer sit beredskab, eller hvor udbyderen bliver bekendt med en hændelse, som vurderes at kunne føre til en beredskabssituation eller en anden ekstraordinær situation for teleudbyderen selv eller for en anden udbyder. Ministeren for samfundssikkerhed og beredskab kan fastsætte nærmere regler om underretningspligten efter 1. pkt.

Stk. 4.

Teleudbydere, som i medfør af lov om elektroniske kommunikationsnet og -tjenester skal udsende offentlige advarsler om overhængende eller truende alvorlige nødsituationer og katastrofer, skal træffe alle nødvendige foranstaltninger for at sikre uafbrudt transmission af advarslerne. Ministeren for samfundssikkerhed og beredskab kan fastsætte nærmere regler om foranstaltninger efter 1. pkt.

Stk. 5.

I beredskabssituationer og i andre ekstraordinære situationer kan Styrelsen for Samfundssikkerhed påbyde væsentlige og vigtige teleudbydere uden unødigt ophold at iværksætte nærmere angivne sikkerhedsforanstaltninger. Ministeren for samfundssikkerhed og beredskab kan fastsætte regler om de sikkerhedsforanstaltninger, der er nævnt i 1. pkt.

Stk. 6.

I beredskabssituationer og i andre ekstraordinære situationer skal væsentlige teleudbydere efter påbud fra Styrelsen for Samfundssikkerhed prioritere retablering af nærmere angivne dele af udbyderens beskadigede infrastruktur.

Stk. 7.

I beredskabssituationer og i andre ekstraordinære situationer, hvor der opstår kapacitetsproblemer, skal væsentlige teleudbydere efter påbud fra Styrelsen for Samfundssikkerhed prioritere fremførsel i net af nærmere angivne forbindelser og tjenester, herunder om nødvendigt afbryde andre forbindelser eller tjenester helt eller delvis.

Kapitel 5

Aktindsigt i oplysninger og underretninger

§ 14

Underretninger modtaget i medfør af § 8, stk. 2, og § 10 er undtaget fra aktindsigt efter lov om offentlighed i forvaltningen og partsaktindsigt efter forvaltningsloven.

§ 15

Det kan i regler udstedt i medfør af § 7, stk. 5, fastsættes, at underretninger og afgivelse af oplysninger efter denne bestemmelse er undtaget fra aktindsigt efter lov om offentlighed i forvaltningen og partsaktindsigt efter forvaltningsloven.

Kapitel 6

Sikkerhedsgodkendelser

§ 16

Medarbejdere hos væsentlige og vigtige teleudbydere og repræsentanter for disse udbydere skal sikkerhedsgodkendes af Styrelsen for Samfundssikkerhed, når en af følgende betingelser er opfyldt:
1) Det er nødvendigt i forhold til den pågældendes adgang til klassificeret information eller til de funktioner, som den pågældende skal varetage.
2) Den pågældende varetager kontakten til Styrelsen for Samfundssikkerhed i relation til beredskabet i henhold til regler, der er udstedt i medfør af § 13, stk. 3.

Stk. 2.

Ministeren for samfundssikkerhed og beredskab kan efter forhandling med justitsministeren fastsætte regler om ansøgninger vedrørende sikkerhedsgodkendelser, herunder betingelser for indgivelse af sådanne ansøgninger og meddelelse og tilbagekaldelse af sikkerhedsgodkendelser.

Kapitel 7

Tilsyn og håndhævelse

§ 17

Styrelsen for Samfundssikkerhed fører tilsyn med overholdelse af denne lov og regler, der er udstedt i medfør af loven.

§ 18

Styrelsen for Samfundssikkerhed kan påbyde væsentlige og vigtige teleudbydere at inddrage nærmere angivne områder af deres virksomhed og nærmere angivne trusler mod sikkerheden i net- og informationssystemer i deres foranstaltninger efter § 5, stk. 1.

Stk. 2.

Er det af væsentlig samfundsmæssig betydning, kan Styrelsen for Samfundssikkerhed påbyde væsentlige og vigtige teleudbydere at træffe konkrete foranstaltninger med henblik på at sikre sikkerheden i net- og informationssystemer, herunder påbyde, at udstyr, der skal anvendes i forbindelse med indgreb i meddelelseshemmeligheden, skal opsættes i og drives fra Danmark. Ministeren for samfundssikkerhed og beredskab kan fastsætte nærmere regler om påbud om foranstaltninger efter 1. pkt.

Tilsyns- og kontrolforanstaltninger for væsentlige teleudbydere

§ 19

Styrelsen for Samfundssikkerhed kan anvende følgende tilsynsforanstaltninger over for en væsentlig teleudbyder:
1) Uden retskendelse og mod behørig legitimation foretage kontrol hos teleudbydere og deres samarbejdspartnere, leverandører eller underleverandører i relation til outsourcet aktivitet og eksternt tilsyn, herunder foretage stikprøvekontroller.
2) Foretage regelmæssige og målrettede sikkerhedsaudit eller stille krav om, at teleudbyderen får et kvalificeret uafhængigt organ til at foretage disse audit, og at resultaterne heraf stilles til rådighed for Styrelsen for Samfundssikkerhed.
3) Foretage sikkerhedsaudit ad hoc.
4) Foretage sikkerhedsscanninger.
5) Kræve at få udleveret oplysninger, der er nødvendige for at vurdere de foranstaltninger til styring af sikkerhedsrisici, som den berørte udbyder har indført.
6) Kræve at få adgang til data, dokumenter og oplysninger, der er nødvendige for udførelsen af tilsynsopgaven, herunder til afgørelse af, om et forhold er omfattet af denne lov eller regler udstedt i medfør af loven.
7) Kræve at få udleveret dokumentation for gennemførelsen af sikkerhedspolitikker.
8) Kræve at få skriftlige udtalelser og redegørelser om faktiske forhold af betydning for Styrelsen for Samfundssikkerheds tilsynsvirksomhed.

Stk. 2.

Ved anvendelsen af tiltagene i stk. 1, nr. 5-8, skal Styrelsen for Samfundssikkerhed angive formålet med tiltaget og præcisere, hvilke oplysninger der kræves udleveret, og hvordan og i hvilken form oplysningerne og materialet nævnt i stk. 1, nr. 5-8, skal udleveres.

Håndhævelsesforanstaltninger for væsentlige teleudbydere

§ 20

Styrelsen for Samfundssikkerhed kan anvende følgende håndhævelsesforanstaltninger over for en væsentlig teleudbyder:
1) Udstede advarsler om teleudbyderens overtrædelse af denne lov og regler udstedt i medfør af loven.
2) Udstede bindende instrukser, herunder vedrørende foranstaltninger, der er nødvendige for at forhindre eller afhjælpe en hændelse, og frister for gennemførelse af sådanne foranstaltninger og for rapportering om deres gennemførelse eller pålægge de pågældende enheder at afhjælpe de konstaterede mangler eller overtrædelserne af denne lov og regler udstedt i medfør af loven.
3) Påbyde teleudbyderen at træffe foranstaltninger, der er nødvendige for at forhindre eller afhjælpe en hændelse.
4) Meddele teleudbyderen påbud og forbud for at sikre overholdelsen af de krav, der er fastsat i denne lov og regler udstedt i medfør af loven.
5) Påbyde teleudbyderen at underrette de fysiske eller juridiske personer, som teleudbyderen leverer tjenester til eller udfører aktiviteter for, og som potentielt kan være berørt af en væsentlig trussel, om denne trussels karakter og om eventuelle beskyttelsesforanstaltninger eller afhjælpende foranstaltninger, som de fysiske eller juridiske personer kan træffe som reaktion på denne trussel.
6) Påbyde teleudbyderen at gennemføre de anbefalinger, der er fremsat i forbindelse med en gennemført sikkerhedsaudit.
7) Udpege en person med ansvar for i en nærmere fastsat periode at føre tilsyn med teleudbyderens overholdelse af kapitel 2 og 3 og regler udstedt i medfør heraf.
8) Påbyde udbyderen i ikkeanonymiseret form og på en nærmere angiven måde at offentliggøre afgørelser om håndhævelsesforanstaltninger efter nr. 1-5 og resuméer af domme eller bødevedtagelser, hvor der idømmes eller vedtages en bøde.

§ 21

Har en eller flere af de håndhævelsesforanstaltninger, der er pålagt i medfør af § 20, nr. 1-8, vist sig at være utilstrækkelige, kan Styrelsen for Samfundssikkerhed fastsætte en frist, inden for hvilken den væsentlige teleudbyder skal foretage de nødvendige tiltag for at afhjælpe manglerne eller opfylde Styrelsen for Samfundssikkerheds krav. Er manglerne ikke afhjulpet eller Styrelsen for Samfundssikkerheds krav ikke opfyldt inden for den fastsatte frist, kan Styrelsen for Samfundssikkerhed træffe afgørelse om følgende:
1) Midlertidigt at suspendere en certificering eller godkendelse vedrørende dele af eller alle de relevante tjenester, som teleudbyderen leverer, eller aktiviteter, der udføres af teleudbyderen.
2) Midlertidigt at forbyde enhver fysisk person med ledelsesansvar på niveau med administrerende direktør eller den juridiske repræsentant hos udbyderen at udøve ledelsesfunktioner hos den pågældende teleudbyder.

Stk. 2.

Suspensioner eller forbud, som er pålagt i medfør af stk. 1, kan kun anvendes, indtil den væsentlige teleudbyder træffer de nødvendige tiltag for at afhjælpe de mangler eller opfylde de krav, som gav anledning til, at foranstaltningerne blev anvendt.

Stk. 3.

En afgørelse efter stk. 1 kan af den væsentlige teleudbyder eller den fysiske person, som afgørelsen vedrører, forlanges indbragt for domstolene. Styrelsen for Samfundssikkerhed anlægger i givet fald sag inden for rammerne af den civile retspleje mod den teleudbyder eller person, som har forlangt sagen indbragt.

Stk. 4.

Ministeren for samfundssikkerhed og beredskab fastsætter regler om, hvilke certificeringer og godkendelser der er omfattet af stk. 1, nr. 1.

Tilsyns- og kontrolforanstaltninger for vigtige teleudbydere

§ 22

Styrelsen for Samfundssikkerhed kan som led i sit tilsyn, hvis der er indikationer på, at en vigtig teleudbyder ikke overholder eller ikke har overholdt denne lov eller regler udstedt i medfør af loven, anvende følgende tilsyns- og kontrolforanstaltninger:
1) Uden retskendelse og mod behørig legitimation foretage kontrol hos teleudbydere og deres samarbejdspartnere, leverandører eller underleverandører i relation til outsourcet aktivitet og eksternt tilsyn, herunder foretage stikprøvekontroller og eksternt efterfølgende tilsyn.
2) Foretage målrettede sikkerhedsaudit eller stille krav om, at udbyderen får et kvalificeret uafhængigt organ til at foretage disse audit, og at resultaterne heraf stilles til rådighed for Styrelsen for Samfundssikkerhed.
3) Foretage sikkerhedsscanninger.
4) Kræve at få udleveret oplysninger, der er nødvendige for efterfølgende at vurdere de foranstaltninger til styring af sikkerhedsrisici, som den berørte udbyder har indført.
5) Kræve at få adgang til data, dokumenter og oplysninger, der er nødvendige for udførelsen af tilsynsopgaven, herunder til afgørelse af, om et forhold er omfattet af denne lov eller regler udstedt i medfør af loven.
6) Kræve at få udleveret dokumentation for gennemførelsen af sikkerhedspolitikker.
7) Kræve at få skriftlige udtalelser og redegørelser om faktiske forhold af betydning for Styrelsen for Samfundssikkerheds tilsynsvirksomhed.

Stk. 2.

Ved anvendelse af tiltagene i stk. 1, nr. 4-7, skal Styrelsen for Samfundssikkerhed angive formålet med tiltaget og præcisere, hvilke oplysninger der kræves udleveret, og hvordan og i hvilken form oplysningerne og materialet nævnt i stk. 1, nr. 4-7, skal udleveres.

§ 23

Styrelsen for Samfundssikkerhed kan anvende følgende håndhævelsesforanstaltninger over for en vigtig teleudbyder:
1) Udstede advarsler om teleudbyderens overtrædelse af denne lov og regler udstedt i medfør af loven.
2) Udstede bindende instrukser, herunder vedrørende foranstaltninger, der er nødvendige for at forhindre eller afhjælpe en hændelse, og frister for gennemførelse af sådanne foranstaltninger og for rapportering om deres gennemførelse eller pålægge de pågældende enheder at afhjælpe de konstaterede mangler eller overtrædelserne af denne lov og regler udstedt i medfør af loven.
3) Meddele teleudbyderen påbud og forbud for at sikre overholdelsen af de krav, der er fastsat i loven eller regler udstedt i medfør af loven.
4) Påbyde teleudbyderen at underrette de fysiske eller juridiske personer, som udbyderen leverer tjenester til eller udfører aktiviteter for, og som potentielt kan være berørt af en væsentlig trussel, om denne trussels karakter og om eventuelle beskyttelsesforanstaltninger eller afhjælpende foranstaltninger, som de fysiske eller juridiske personer kan træffe som reaktion på denne trussel.
5) Påbyde teleudbyderen at gennemføre de anbefalinger, der er fremsat i forbindelse med en gennemført sikkerhedsaudit.
6) Påbyde teleudbyderen i ikkeanonymiseret form og på en nærmere angiven måde at offentliggøre afgørelser om håndhævelsesforanstaltninger efter nr. 1-3 og resuméer af domme eller bødevedtagelser, hvor der idømmes eller vedtages en bøde.

Høring af væsentlige og vigtige teleudbydere

§ 24

Inden Styrelsen for Samfundssikkerhed træffer afgørelse om at anvende håndhævelsesforanstaltninger efter §§ 20, 21 og 23, underrettes den væsentlige eller vigtige teleudbyder om de påtænkte håndhævelsesforanstaltninger og begrundelsen herfor. Styrelsen for Samfundssikkerhed skal give teleudbyderen en rimelig frist til at fremsætte bemærkninger undtagen i tilfælde, hvor formålet med foranstaltningen ellers ville forspildes.

Offentliggørelse

§ 25

Styrelsen for Samfundssikkerhed kan i ikkeanonymiseret form offentliggøre følgende:
1) Afgørelser om påbud meddelt i medfør af § 13, stk. 5 og 7, og § 18, stk. 1 og 2, og afgørelser truffet i medfør af regler, der er udstedt i medfør af § 7, stk. 5, nr. 1-3, § 13, stk. 5, 2. pkt., og § 18, stk. 2, 2. pkt.
2) Resultater af tilsyn efter §§ 19 og 22.
3) Resuméer af domme eller bødevedtagelser, hvor der idømmes eller vedtages en bøde for overtrædelse af denne lov eller regler, der er udstedt i medfør af denne lov.
4) Resuméer af domme i retssager, hvor Styrelsen for Samfundssikkerhed er part, om forhold omfattet af denne lov.

Stk. 2.

Offentliggørelse efter stk. 1 må ikke indeholde følgende:
1) Oplysninger om tekniske indretninger eller fremgangsmåder eller om drifts- eller forretningsforhold el.lign., for så vidt det er af væsentlig økonomisk betydning for den væsentlige eller vigtige teleudbyder, som oplysningerne angår.
2) Oplysninger, der er af væsentlig betydning for statens sikkerhed eller rigets forsvar.
3) Klassificerede informationer.
4) Fortrolige oplysninger, der hidrører fra nationale tilsynsmyndigheder i andre EU-medlemsstater, medmindre de myndigheder, der har afgivet oplysningerne, har givet deres udtrykkelige tilladelse til offentliggørelse.
5) Oplysninger om enkeltpersoners private forhold.

Stk. 3.

Ministeren for samfundssikkerhed og beredskab kan fastsætte regler om sagsbehandlingen i forbindelse med offentliggørelse efter stk. 1.

Kapitel 8

Videregivelse af oplysninger, gensidig bistand, gennemførelsesretsakter, digital kommunikation m.v.

§ 26

De forpligtelser, der er fastsat i denne lov eller i regler udstedt i medfør af loven, omfatter ikke meddelelse af oplysninger, hvis videregivelse ville stride mod væsentlige interesser af hensyn til den nationale sikkerhed, den offentlige sikkerhed eller rigets forsvar.

Stk. 2.

Oplysninger, der modtages eller hidrører fra myndigheder i andre EU-medlemsstater, behandles som fortrolige, såfremt den afgivende myndighed betragter oplysningerne som fortrolige i henhold til EU-regler eller nationale regler.

§ 27

Styrelsen for Samfundssikkerhed kan hos væsentlige og vigtige teleudbydere indsamle oplysninger med henblik på at videregive disse til Europa-Kommissionen, Den Europæiske Unions Agentur for Cybersikkerhed eller nati‍onale tilsynsmyndigheder i andre EU-medlemsstater, i det omfang det er nødvendigt for, at disse kan opfylde deres opgaver i forhold til traktatmæssige forpligtelser eller forpligtelser i henhold til den gældende EU-ret.

Stk. 2.

Styrelsen for Samfundssikkerhed orienterer de væsentlige og vigtige teleudbydere, som der er indsamlet oplysninger fra efter stk. 1, forud for videregivelse af oplysningerne til Europa-Kommissionen, Den Europæiske Unions Agentur for Cybersikkerhed eller nationale tilsynsmyndigheder i andre EU-medlemsstater.

§ 28

Hvor en væsentlig eller vigtig teleudbyder leverer tjenester i mere end én medlemsstat i Den Europæiske Union, eller hvor udbyderen leverer tjenester i en eller flere medlemsstater og udbyderens net- og informationssystemer er beliggende i en eller flere andre medlemsstater, samarbejder Styrelsen for Samfundssikkerhed med de andre medlemsstaters kompetente myndigheder i relevant omfang. Samarbejdet indebærer følgende:
1) Styrelsen for Samfundssikkerhed underretter de kompetente myndigheder i relevante medlemsstater om tilsyns- og håndhævelsesforanstaltninger iværksat over for teleudbydere i Danmark.
2) Styrelsen for Samfundssikkerhed kan anmode en anden medlemsstats kompetente myndigheder om at anvende tilsyns- og håndhævelsesforanstaltninger.
3) Styrelsen for Samfundssikkerhed yder i rimeligt omfang bistand til en anden medlemsstats kompetente myndighed efter modtagelse af en begrundet anmodning om at anvende tilsyns- og håndhævelsesforanstaltninger.

Stk. 2.

Styrelsen for Samfundssikkerhed kan efter nærmere aftale gennemføre fælles tilsynstiltag med kompetente myndigheder fra andre medlemsstater i Den Europæiske Union.

§ 29

Ministeren for samfundssikkerhed og beredskab kan fastsætte regler, som er nødvendige for at gennemføre retsakter udstedt af Europa-Kommissionen i medfør af NIS 2-direktivet.

§ 30

Ministeren for samfundssikkerhed og beredskab kan fastsætte regler om digital kommunikation, herunder om anvendelsen af bestemte it-systemer og særlige digitale formater samt digital signatur el.lign.

Kapitel 9

Straf

§ 31

Med bøde straffes den, der
1) overtræder § 5, stk. 1 eller 2, § 7, stk. 1-3, § 8, stk. 2, jf. stk. 3, § 9, stk. 1, § 11, stk. 1 eller 2, eller § 16, stk. 1,
2) undlader at efterkomme Styrelsen for Samfundssikkerheds afgørelse efter § 21, stk. 1, nr. 1 eller 2,
3) undlader at efterkomme Styrelsen for Samfundssikkerheds påbud efter § 13, stk. 5, eller § 18, stk. 1 og 2,
4) undlader at efterkomme Styrelsen for Samfundssikkerheds krav efter § 19, stk. 1, nr. 5-8, eller § 22, stk. 1, nr. 4-7, eller
5) hindrer Styrelsen for Samfundssikkerhed i at føre tilsyn efter bestemmelserne i § 19, stk. 1, nr. 1-4, eller § 22, stk. 1, nr. 1-3.

Stk. 2.

Der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens 5. kapitel.

Stk. 3.

I forskrifter, der udstedes i medfør af loven, kan der fastsættes straf af bøde for overtrædelse af bestemmelserne i forskrifterne.

Kapitel 10

Ikrafttrædelse, overgangsbestemmelser og ændringer i anden lovgivning m.v.

§ 32

Loven træder i kraft den 1. juli 2025.

Stk. 2.

Lov om sikkerhed i net og tjenester, jf. lovbekendtgørelse nr. 153 af 1. februar 2021, ophæves.

Stk. 3.

Oplysningerne efter § 7, stk. 1, skal indgives senest den 1. oktober 2025.

§ 33

Loven gælder ikke for Færøerne og Grønland.

§ 34

I lov nr. 1156 af 8. juni 2021 om leverandørsikkerhed i den kritiske teleinfrastruktur foretages følgende ændringer:

1. § 1, nr. 3, affattes således:
3) Vigtig teleudbyder: En teleudbyder, som er identificeret som en vigtig teleudbyder i henhold til lov om sikkerhed og beredskab i telesektoren.
2. I § 1 indsættes som nr. 4:
4) Væsentlig teleudbyder: En teleudbyder, som er identificeret som en væsentlig teleudbyder i henhold til lov om sikkerhed og beredskab i telesektoren.
3. I § 2, stk. 1, § 3, stk. 1 og 2, og § 15 ændres »væsentlig erhvervsmæssig udbyder af offentligt tilgængelige elektroniske kommunikationsnet og -tjenester« til: »væsentlig eller vigtig teleudbyder«.