Kapitel 3 1 Oplysnings- og underretningspligter m.v.
Væsentlige og vigtige teleudbydere skal registrere sig hos Styrelsen for Samfundssikkerhed og i den forbindelse oplyse følgende:
-
1) Teleudbyderens navn.
-
2) Teleudbyderens adresse og ajourførte kontaktoplysninger, herunder e-mailadresser, ip-intervaller og telefonnumre.
-
3) En liste over de øvrige medlemsstater i Den Europæiske Union, hvor teleudbyderen leverer tjenester, der er omfattet af anvendelsesområdet i artikel 2 i NIS 2-direktivet.
Stk. 2 Væsentlige og vigtige teleudbydere skal indgive oplysningerne efter stk. 1, senest 2 uger efter at teleudbyderen omfattes af loven.
Stk. 3 I tilfælde af ændring i de oplysninger, der er afgivet i medfør af stk. 1, skal den væsentlige eller vigtige teleudbyder give Styrelsen for Samfundssikkerhed underretning herom senest 2 uger efter datoen for ændringen.
Stk. 4 Ministeren for samfundssikkerhed og beredskab kan fastsætte regler om, at væsentlige og vigtige teleudbydere skal afgive yderligere oplysninger ved registrering.
Stk. 5 Ministeren for samfundssikkerhed og beredskab kan fastsætte regler om oplysnings- og underretningspligter for væsentlige og vigtige teleudbydere, herunder regler om følgende:
-
1) Afgivelse af oplysninger om væsentlige dele af teleudbyderens net eller tjenester eller driften heraf.
-
2) Krav om underretning af Styrelsen for Samfundssikkerhed ved påtænkt indgåelse af aftaler om leverancer, der vedrører væsentlige dele af udbyderens net eller tjenester eller driften heraf.
-
3) Krav om, at teleudbyderen skal indsende et endeligt aftaleudkast til Styrelsen for Samfundssikkerhed umiddelbart forud for indgåelse af aftalen, og at aftalen først kan indgås op til 25 arbejdsdage efter styrelsens modtagelse af pågældende udkast.
Bestemmelsen i § 17 i NIS 2-loven om Computer Security Incident Response Teams (CSIRT) opgaver finder tilsvarende anvendelse for teleudbydere omfattet af denne lov.
Stk. 2 Teleudbydere skal underrette Styrelsen for Samfundssikkerhed og CSIRT’en om enhver væsentlig hændelse efter proceduren i § 9.
Stk. 3 En hændelse anses for at være væsentlig, hvis den
-
1) har forårsaget eller er i stand til at forårsage alvorlige driftsforstyrrelser af net eller tjenester eller økonomiske tab for den berørte udbyder eller
-
2) har påvirket eller er i stand til at påvirke andre fysiske eller juridiske personer ved at forårsage betydelig fysisk eller ikkefysisk skade.
Stk. 4 Ministeren for samfundssikkerhed og beredskab kan fastsætte nærmere regler om, hvornår en hændelse kan anses for at være væsentlig, og hvilke oplysninger der skal gives i forbindelse med underretningen.
Underretningen efter § 8, stk. 2, skal bestå af følgende og ske på følgende måde:
-
1) En tidlig varsling, som skal angive, om den væsentlige hændelse mistænkes at være forårsaget af ulovlige eller ondsindede handlinger eller kunne have en grænseoverskridende virkning, sendes uden unødigt ophold, og senest inden for 24 timer efter at teleudbyderen har fået kendskab til den væsentlige hændelse.
-
2) En hændelsesunderretning, som skal ajourføre oplysningerne fra den tidlige varsling, jf. nr. 1, og give en indledende vurdering af den væsentlige hændelse, herunder dens alvor og indvirkning samt kompromitteringsindikatorerne, hvor sådanne foreligger, sendes uden unødigt ophold, og senest inden for 72 timer efter at teleudbyderen har fået kendskab til den væsentlige hændelse, jf. dog stk. 2.
-
3) En foreløbig rapport med relevante statusopdateringer sendes til enten Styrelsen for Samfundssikkerhed eller CSIRT’en efter myndighedens anmodning herom.
-
4) En endelig rapport sendes til Styrelsen for Samfundssikkerhed og CSIRT’en senest 1 måned efter fremsendelsen af den hændelsesunderretning, der er nævnt i nr. 2. Den endelige rapport skal indeholde følgende:
-
a) En detaljeret beskrivelse af hændelsen, herunder dens alvor og indvirkning.
-
b) Den type trussel eller grundlæggende årsag, der sandsynligvis har udløst hændelsen.
-
c) Anvendte og igangværende afbødende foranstaltninger.
-
d) De eventuelle grænseoverskridende virkninger af hændelsen.
-
-
5) Pågår hændelsen fortsat på tidspunktet for fremsendelsen af den endelige rapport, jf. nr. 4, skal den berørte teleudbyder indsende en statusrapport på det pågældende tidspunkt og en endelig rapport, senest 1 måned efter at hændelsen er håndteret.
Stk. 2 Styrelsen for Samfundssikkerhed og CSIRT’en sikrer, at den berørte teleudbyder uden unødigt ophold og senest inden for 24 timer efter modtagelsen af den tidlige varsling, jf. stk. 1, nr. 1, gives et svar, herunder indledende tilbagemeldinger om den væsentlige hændelse. Efter anmodning fra teleudbyderen skal CSIRT’en desuden yde vejledning, operativ rådgivning om gennemførelsen af mulige afbødende foranstaltninger og supplerende teknisk bistand.
Teleudbydere kan underrette Styrelsen for Samfundssikkerhed og CSIRT’en om hændelser, nærvedhændelser og cybertrusler.
Stk. 2 Styrelsen for Samfundssikkerhed og CSIRT’en behandler underretninger efter stk. 1 på samme måde som underretninger modtaget i medfør af § 8. CSIRT’en og Styrelsen for Samfundssikkerhed kan prioritere håndteringen af underretninger, der er modtaget i medfør af § 8, frem for underretninger efter stk. 1.
Stk. 3 Teleudbydere kan, uanset om de er omfattet af lovens anvendelsesområde, give frivillig underretning til CSIRT’en efter stk. 1.
Er det sandsynligt, at en væsentlig hændelse, jf. § 8, stk. 3, vil påvirke teleudbydernes levering af deres tjenester til modtagerne heraf negativt, underretter teleudbyderne i relevant omfang modtagerne herom uden unødigt ophold.
Stk. 2 Teleudbydere oplyser uden unødigt ophold modtagerne af deres tjenester, som potentielt er berørt af en væsentlig cybertrussel, om eventuelle foranstaltninger eller modforholdsregler, som modtagerne kan træffe som reaktion på den pågældende trussel. Hvor det er relevant, skal udbyderne også informere de pågældende modtagere om selve den væsentlige trussel.
Styrelsen for Samfundssikkerhed kan efter høring af en teleudbyder, der er ramt af en væsentlig hændelse, jf. § 8, stk. 3, informere offentligheden om den væsentlige hændelse, hvis offentliggørelsen er nødvendig for at forebygge eller håndtere hændelsen, eller hvis offentliggørelse af hændelsen på anden vis er i offentlighedens interesse.
Stk. 2 Styrelsen for Samfundssikkerhed kan i de situationer, der er nævnt i stk. 1, træffe afgørelse om, at den relevante teleudbyder informerer offentligheden om den væsentlige hændelse, og bestemme, hvordan denne information skal gives.
Stk. 3 CSIRT’en kan efter samme kriterier som i stk. 1 informere offentligheden om væsentlige hændelser, der kan påvirke mere end én sektor.
Stk. 4 CSIRT’en kan efter samme kriterier som i stk. 1 informere offentligheden om væsentlige hændelser i andre medlemsstater.