Kapitel 1 1 Lovens anvendelsesområde og definitioner
I denne lov forstås ved:
-
1) Operatør af en væsentlig tjeneste: En offentlig eller privat enhed, som er etableret i Danmark, og som opfylder kriterierne i § 3, stk. 1.
-
2) Net- og informationssystem:
-
a) Et elektronisk kommunikationsnet i form af en radiofrekvens- eller kabelbaseret teleinfrastruktur, der anvendes til formidling af tjenester,
-
b) enhver anordning eller gruppe af indbyrdes forbundne eller beslægtede anordninger, hvoraf en eller flere ved hjælp af et program udfører automatisk behandling af digitale data, eller
-
c) digitale data, som lagres, behandles, fremfindes eller overføres ved brug af elementer i litra a og b med henblik på deres drift, brug, beskyttelse og vedligeholdelse.
-
-
3) Sikkerhed i net- og informationssystemer: Evnen for net- og informationssystemer til på et givet sikkerhedsniveau at modstå handlinger, der er til skade for tilgængeligheden, autenticiteten, integriteten eller fortroligheden i forbindelse med lagrede eller overførte eller behandlede data eller de dermed forbundne tjenester, der tilbydes af eller er tilgængelige via disse net- og informationssystemer.
-
4) Hændelse: Enhver begivenhed, der har en egentlig negativ indvirkning på sikkerheden i net- og informationssystemer.
Kapitel 2 1 Operatører af væsentlige tjenester
En enhed betragtes som en operatør af en væsentlig tjeneste, hvis
-
1) enheden leverer en tjeneste, der er væsentlig for opretholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter inden for sundhedssektoren,
-
2) leveringen af denne tjeneste afhænger af net- og informationssystemer og
-
3) en hændelse vil få væsentlige forstyrrende virkninger for leveringen af den nævnte tjeneste.
Stk. 2 Operatører af væsentlige tjenester skal registrere sig hos sundhedsministeren.
Kapitel 3 1 Sikkerhedskrav
Operatører af væsentlige tjenester skal træffe passende og forholdsmæssige tekniske og organisatoriske foranstaltninger for at styre risiciene for sikkerheden i net- og informationssystemer, som de anvender til deres aktiviteter, og med disse foranstaltninger sikre et sikkerhedsniveau, der er passende til risikoen.
Stk. 2 Operatører af væsentlige tjenester skal træffe passende foranstaltninger for at forebygge og minimere konsekvensen af hændelser, der berører sikkerheden i net- og informationssystemer, som anvendes til levering af sådanne væsentlige tjenester, med henblik på at sikre kontinuiteten i disse tjenester.
Kapitel 4 1 Underretningspligt m.v.
Operatører af væsentlige tjenester skal hurtigst muligt underrette sundhedsministeren og Center for Cybersikkerhed om hændelser, der har væsentlige konsekvenser for kontinuiteten af de væsentlige tjenester, som de leverer. Underretningen skal indeholde oplysninger, der gør det muligt for sundhedsministeren at fastslå eventuelle grænseoverskridende konsekvenser af hændelsen.
Stk. 2 Med henblik på at fastlægge omfanget af en hændelses konsekvenser efter stk. 1 skal operatøren af en væsentlig tjeneste navnlig tage følgende kriterier i betragtning:
-
1) Antallet af brugere, der berøres af afbrydelsen af den væsentlige tjeneste.
-
2) Hændelsens varighed.
-
3) Den geografiske udbredelse med hensyn til det område, der er berørt af hændelsen.
Stk. 3 Tillader omstændighederne det, meddeler sundhedsministeren relevante oplysninger til den underrettende operatør af en væsentlig tjeneste om opfølgningen på dennes underretning, herunder oplysninger, der kan støtte en effektiv håndtering af hændelsen.
Stk. 4 Sundhedsministeren kan efter høring af den underrettende operatør af en væsentlig tjeneste oplyse offentligheden om konkrete hændelser, hvis offentlighedens kendskab hertil er nødvendigt for at forebygge en hændelse eller håndtere en igangværende hændelse.
Sundhedsministeren kan fastsætte regler om, at skriftlig kommunikation til og fra sundhedsministeren om nærmere bestemte forhold, som er omfattet af denne lov eller af regler udstedt i medfør af loven, skal foregå digitalt.
Stk. 2 En digital meddelelse anses for at være kommet frem, når den er tilgængelig for adressaten for meddelelsen.
Stk. 3 Sundhedsministeren kan fastsætte regler om digital kommunikation, herunder om anvendelse af bestemte it-systemer, særlige digitale formater og digital signatur el.lign.
Kapitel 5 1 Tilsyn og påbud
Sundhedsministeren fører tilsyn med de forpligtelser, der påhviler operatører af væsentlige tjenester i henhold til denne lov og regler, der er udstedt i medfør af loven.
Stk. 2 Sundhedsministeren kan som led i sit tilsyn kræve, at operatører af væsentlige tjenester stiller oplysninger, der er nødvendige for tilsynet, til rådighed, herunder oplysninger, der er nødvendige for at vurdere sikkerheden i deres net- og informationssystemer, og dokumentation for den faktiske gennemførelse af sikkerhedspolitikker.
Kapitel 7 1 Straf
Medmindre højere straf er forskyldt efter den øvrige lovgivning, straffes med bøde den, der undlader at efterkomme sundhedsministerens påbud efter § 8.
Stk. 2 I regler, der fastsættes i medfør af loven, kan der fastsættes straf i form af bøde.
Stk. 3 Der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens 5. kapitel.