Kapitel 3 1 Registrerings- og underretningspligter
DNS-tjenesteudbydere, topdomænenavneadministratorer, enheder, der leverer domænenavnsregistreringstjenester, og udbydere af cloudcomputingtjenester, datacentertjenester, indholdsleveringsnetværk, administrerede tjenester, administrerede sikkerhedstjenester, onlinemarkedspladser, onlinesøgemaskiner og platforme for sociale netværkstjenester skal registrere sig hos den relevante kompetente myndighed og i den forbindelse oplyse følgende:
-
1) Enhedens navn.
-
2) Adressen på enhedens hovedforretningssted og dens andre forretningssteder i Den Europæiske Union eller, hvis den ikke er etableret i Unionen, den repræsentant, der er udpeget i henhold til § 2, stk. 4, 1. pkt.
-
3) Den relevante sektor, delsektor og typen, som enheden udgør, jf. lovens bilag 1 eller 2.
-
4) Ajourførte kontaktoplysninger, herunder e-mailadresser, ip-intervaller og telefonnumre på enheden og kontaktoplysninger på en eventuel udpeget repræsentant i henhold til § 2, stk. 4.
-
5) De medlemsstater i Den Europæiske Union, hvor enheden leverer tjenester.
Stk. 2 Oplysningerne efter stk. 1 skal indgives, senest 3 måneder efter at enheden omfattes af loven.
Stk. 3 I tilfælde af ændringer i de oplysninger, der er afgivet i medfør af stk. 1, skal enheden give den relevante kompetente myndighed underretning herom senest 3 måneder efter datoen for ændringen.
Væsentlige og vigtige enheder samt enheder, der leverer domænenavnsregistreringstjenester, skal registrere sig hos den relevante kompetente myndighed og i den forbindelse oplyse følgende, jf. dog § 9:
-
1) Enhedens navn.
-
2) Adresse og ajourførte kontaktoplysninger, herunder e-mailadresser, ip-intervaller og telefonnumre.
-
3) Den relevante sektor og delsektor, som enheden er omfattet af, jf. lovens bilag 1 eller 2.
-
4) En liste over de øvrige medlemsstater i Den Europæiske Union, hvor enheden leverer tjenester, der er omfattet af anvendelsesområdet i artikel 2 i NIS 2-direktivet.
Stk. 2 Oplysningerne efter stk. 1 skal indgives, senest 2 uger efter at enheden omfattes af loven.
Stk. 3 I tilfælde af ændring i de oplysninger, der er afgivet i medfør af stk. 1, skal enheden give den relevante kompetente myndighed underretning herom senest 2 uger efter datoen for ændringen.
Topdomænenavneadministratorer og enheder, der leverer domænenavnsregistreringstjenester, skal føre en særskilt database, der indeholder nøjagtige og fuldstændige domænenavnsregistreringsdata.
Stk. 2 Databasen efter stk. 1 skal indeholde oplysninger om følgende:
-
1) Domænenavnet.
-
2) Registreringsdatoen.
-
3) Den registreredes navn, e-mailadresse og telefonnummer.
-
4) E-mailadresse og telefonnummer på det kontaktpunkt, der administrerer domænenavnet, hvis kontaktpunktet er forskelligt fra den registrerede.
Stk. 3 Topdomænenavneadministratorerne og enheder, der leverer domænenavnsregistreringstjenester, skal indføre politikker og procedurer, herunder verifikationsprocedurer, for at sikre, at databaserne indeholder nøjagtige og fuldstændige oplysninger. Politikkerne og procedurerne skal gøres offentligt tilgængelige.
Stk. 4 Topdomænenavneadministratorer og enheder, der leverer domænenavnsregistreringstjenester, skal uden unødigt ophold efter registreringen af et domænenavn gøre domænenavnsregistreringsdata, som ikke er personoplysninger, offentligt tilgængelige.
Stk. 5 Topdomænenavneadministratorer og enheder, der leverer domænenavnsregistreringstjenester, skal på baggrund af en anmodning og efter en konkret vurdering af nødvendigheden give legitime adgangssøgende adgang til specifikke domænenavnsregistreringsdata, herunder personoplysninger. Anmodninger skal besvares senest inden for 72 timer efter modtagelse af anmodningen. Topdomænenavneadministratorer og enheder, der leverer domænenavnsregistreringstjenester, skal indføre og offentliggøre politikker og procedurer for adgangen til data.
Stk. 6 Topdomænenavneadministratorer og enheder, der leverer domænenavnsregistreringstjenester, skal samarbejde om overholdelsen af de forpligtelser, der er fastsat i stk. 1-5, med henblik på at undgå dobbeltindsamling af domænenavnsregistreringsdata.
Stk. 7 Den kompetente myndighed kan meddele topdomænenavneadministratorer og enheder, der leverer domænenavnsregistreringstjenester, forbud eller påbud for at sikre overholdelsen af kravene efter stk. 1-6 eller regler udstedt i medfør af stk. 8.
Væsentlige og vigtige enheder skal underrette den relevante kompetente myndighed og Computer Security Incident Response Team (CSIRT) om enhver væsentlig hændelse. En underretning skal indeholde oplysninger, der gør det muligt at fastslå eventuelle grænseoverskridende virkninger af hændelsen.
Stk. 2 En hændelse anses for at være væsentlig, hvis en af følgende betingelser er opfyldt:
-
1) Hændelsen har forårsaget eller er i stand til at forårsage alvorlige driftsforstyrrelser af tjenesterne eller økonomiske tab for den berørte enhed.
-
2) Hændelsen har påvirket eller er i stand til at påvirke andre fysiske eller juridiske personer ved at forårsage betydelig fysisk eller ikkefysisk skade.
Stk. 3 Vedkommende minister kan efter forhandling med ministeren for samfundssikkerhed og beredskab fastsætte nærmere regler om, hvornår en hændelse kan anses for at være væsentlig.
Underretning efter § 12, stk. 1, skal bestå af følgende og ske på følgende måde:
-
1) En tidlig varsling, som skal angive, om den væsentlige hændelse mistænkes at være forårsaget af ulovlige eller ondsindede handlinger eller kunne have en grænseoverskridende virkning, sendes uden unødigt ophold, og senest inden for 24 timer efter at enheden har fået kendskab til den væsentlige hændelse.
-
2) En hændelsesunderretning, som skal ajourføre oplysningerne fra den tidlige varsling, jf. nr. 1, og give en indledende vurdering af den væsentlige hændelse, herunder dens alvor og indvirkning samt kompromitteringsindikatorerne, hvor sådanne foreligger, sendes uden unødigt ophold, og under alle omstændigheder inden for 72 timer efter at enheden har fået kendskab til den væsentlige hændelse, jf. dog stk. 2.
-
3) En foreløbig rapport med relevante statusopdateringer sendes efter anmodning fra CSIRT’en.
-
4) En endelig rapport sendes senest 1 måned efter fremsendelsen af den hændelsesunderretning, der er omhandlet i nr. 2. Rapporten skal indeholde følgende:
-
a) En detaljeret beskrivelse af hændelsen, herunder dens alvor og indvirkning.
-
b) Den type trussel eller grundlæggende årsag, der sandsynligvis har udløst hændelsen.
-
c) Anvendte og igangværende afbødende foranstaltninger.
-
d) De eventuelle grænseoverskridende virkninger af hændelsen.
-
-
5) Pågår hændelsen fortsat på tidspunktet for fremsendelsen af den endelige rapport, jf. nr. 4, skal den underrettende enhed indsende en statusrapport på det pågældende tidspunkt og en endelig rapport, senest 1 måned efter at hændelsen er håndteret.
Stk. 2 Tillidstjenesteudbydere skal i tilfælde af væsentlige hændelser afgive underretningen efter stk. 1, nr. 2, uden unødigt ophold og senest inden for 24 timer efter at være blevet bekendt med den væsentlige hændelse.
Stk. 3 CSIRT’en sikrer, at den underrettende enhed uden unødigt ophold og inden for 24 timer efter modtagelsen af den tidlige varsling, jf. stk. 1, nr. 1, gives et svar, herunder indledende tilbagemeldinger om den væsentlige hændelse. Efter anmodning fra enheden skal CSIRT’en desuden yde vejledning, operativ rådgivning om gennemførelsen af mulige afbødende foranstaltninger og supplerende teknisk bistand.
Offentlige og private enheder kan, uanset at de ikke er omfattet af lovens anvendelsesområde, underrette CSIRT’en om hændelser, nærvedhændelser og cybertrusler.
Stk. 2 CSIRT’en behandler underretninger efter stk. 1 på samme måde som underretninger modtaget i medfør af § 13. CSIRT’en kan prioritere håndteringen af underretninger, der er modtaget i medfør af § 13, frem for underretninger efter stk. 1.
Stk. 3 Underretninger efter stk. 1 er undtaget fra aktindsigt efter lov om offentlighed i forvaltningen og partsaktindsigt efter forvaltningsloven.