NIS-loven Kapitel 3

Denne konsoliderede version af nIS-loven er opdateret til i dag, idet vi har implementeret eventuelle senere ændringslove i det omfang, de er trådt i kraft - se mere her.

Lov om net- og informationssikkerhed for domænenavnssystemer og visse digitale tjenester

Lov nr. 436 af 08. maj 2018

Kapitel 3 1 Udbydere af digitale tjenester
§ 7

En udbyder af en digital tjeneste, der ikke har hovedsæde i EU, men som tilbyder sin tjeneste i Danmark, skal udpege en repræsentant i Danmark eller i et andet EU-land, hvor tjenesten tilbydes.

§ 8

Udbydere af digitale tjenester skal identificere og træffe passende og forholdsmæssige tekniske og organisatoriske foranstaltninger for at styre risiciene i forhold til sikkerheden i de net- og informationssystemer, som de anvender i forbindelse med tjenesten. Under hensyntagen til teknologiens aktuelle stade skal disse foranstaltninger sikre et sikkerhedsniveau for net- og informationssystemer, der står mål med risikoen. Udbyderen skal i den forbindelse inddrage følgende elementer:

  • 1) Sikkerhed i systemer og faciliteter.

  • 2) Håndtering af hændelser.

  • 3) Styring af driftskontinuitet.

  • 4) Monitorering, audit og testning.

  • 5) Overholdelse af internationale standarder.

Stk. 2 Udbydere af digitale tjenester skal træffe foranstaltninger for at forebygge og minimere konsekvensen af hændelser, der berører sikkerheden i deres net- og informationssystemer for at sikre kontinuiteten i disse tjenester.

Stk. 3 Erhvervsstyrelsen kan fastsætte nærmere regler om foranstaltninger efter stk. 1 og 2.

§ 9

Udbydere af digitale tjenester skal hurtigst muligt underrette Erhvervsstyrelsen og Center for Cybersikkerhed om enhver hændelse, der har betydelige konsekvenser for leveringen af deres tjeneste. Underretningen skal indeholde oplysninger, der gør det muligt for Erhvervsstyrelsen og Center for Cybersikkerhed at vurdere de eventuelle grænseoverskridende konsekvenser af hændelsen, jf. dog stk. 3.

Stk. 2 Med henblik på at fastlægge, om en hændelses konsekvenser er betydelige, skal udbyderen navnlig inddrage følgende kriterier:

  • 1) Antallet af brugere, der berøres af hændelsen, navnlig brugere, som er afhængige af tjenesten med henblik på levering af deres egne tjenester.

  • 2) Hændelsens varighed.

  • 3) Den geografiske udbredelse med hensyn til det område, der er berørt af hændelsen.

  • 4) Omfanget af afbrydelsen af tjenestens funktion.

  • 5) Omfanget af konsekvenserne for økonomiske og samfundsmæssige aktiviteter.

Stk. 3 Underretning efter stk. 1 skal kun ske, i det omfang udbyderen af digitale tjenester har adgang til relevante oplysninger, herunder oplysninger omfattet af stk. 2.

Stk. 4 Erhvervsstyrelsen kan fastsætte nærmere regler om underretning efter stk. 1 og 3 og om kriterierne for fastlæggelse af omfanget af en hændelses konsekvenser efter stk. 2.

§ 10

Erhvervsstyrelsen kan videregive oplysninger til Center for Cybersikkerhed om hændelser, der er nødvendige for Center for Cybersikkerhed til opfyldelse af dets lovbestemte opgaver som nationalt centralt kontaktpunkt og CSIRT.

Stk. 2 Erhvervsstyrelsen kan efter høring af udbyderen af digitale tjenester oplyse offentligheden om konkrete hændelser eller kræve, at udbyderen af digitale tjenester oplyser offentligheden om dem, hvis offentlighedens kendskab hertil er nødvendigt for at forebygge en hændelse eller håndtere en igangværende hændelse, eller hvis offentliggørelse i øvrigt er i offentlighedens interesse.