Tre netop vedtagne lovforslag sætter nye standarder for Danmarks digitale og fysiske sikkerhed
Folketinget vedtager omfattende lovpakke til sikring af Danmarks kritiske infrastruktur
Danmark styrker nu indsatsen mod cyberangreb, sabotage og komplekse sikkerhedstrusler. Folketinget har vedtaget tre nye lovforslag, der implementerer centrale EU-direktiver og skærper kravene til både den fysiske og digitale sikkerhed i samfundskritiske sektorer.
De nye regler træder i kraft den 1. juli 2025 og markerer en væsentlig opgradering af den nationale modstandskraft. Lovgivningen er et direkte svar på et skærpet trusselsbillede, hvor beskyttelse af elnet, transport, vandforsyning og digitale netværk er blevet en topprioritet for staten.
Lovgivningens tre hovedsøjler
Lovpakken består af tre specifikke love, der adresserer forskellige aspekter af samfundssikkerheden:
Lovforslag
Betegnelse
Primært fokusområde
L140
CER-loven
Fysisk sikkerhed og modstandsdygtighed hos kritiske enheder.
L141
NIS 2-loven
Skærpede krav til cybersikkerhed i vitale sektorer.
L142
Teleloven
Konsolidering af sikkerhedsregler specifikt for telesektoren.
Skærpede krav til virksomheder og myndigheder
Med implementeringen af NIS 2-direktivet (L141) bliver en lang række private virksomheder og offentlige organisationer pålagt strengere krav til deres it-sikkerhed og hændelsesrapportering. Formålet er at sikre et ensartet og højt beskyttelsesniveau på tværs af de sektorer, som samfundet er mest afhængigt af.
Parallelt hermed sikrer CER-loven (L140), at operatører af kritisk infrastruktur tager de nødvendige forholdsregler mod fysiske trusler, herunder naturkatastrofer, terror og sabotage.
Minister for samfundssikkerhed og beredskab, Torsten Schack Pedersen, udtaler:
"Vi ser ind i et alvorligt trusselsbillede, der blandt andet er præget af cybertrusler og fysiske trusler mod kritisk infrastruktur. Derfor er det helt afgørende, at vi styrker vores samfunds robusthed. Med de tre nye love skruer vi markant op for sikkerheden omkring både vores digitale og fysiske infrastruktur."
Implementering og vejledning
For at understøtte de berørte aktører i overgangen til de nye standarder, igangsættes nu et omfattende vejledningsarbejde. Ministeren fremhæver, at processen er sket i dialog med erhvervslivet for at sikre en hensigtsmæssig implementering.
Vejledningsmateriale: Det forventes, at de relevante myndigheder har detaljerede vejledninger klar senest den 1. juli 2025.
Telesektoren: Med L142 samles reguleringen for telesektoren i én hovedlov, hvilket forenkler administrationen af sikkerhed og beredskab på området.
De vedtagne love udgør fundamentet for Danmarks fremtidige beredskab og skal sikre, at samfundet kan opretholde sine vigtigste funktioner, selv under pres fra udefrakommende trusler.
Lovforslaget om foranstaltninger til sikring af et højt cybersikkerhedsniveau, også kendt som NIS 2-loven, har til formål at implementere Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 (NIS 2-direktivet) i dansk ret. Loven skal sikre et højt fælles cybersikkerhedsniveau i en bred vifte af offentlige og private sektorer i Danmark. Den finder anvendelse på enheder inden for sektorer af særlig kritisk betydning (Bilag 1) og andre kritiske sektorer (Bilag 2), men undtager enheder, der allerede er omfattet af særlovgivning for tele-, energi- og finanssektorerne, eller hvor sektorspecifikke EU-retsakter har tilsvarende virkning. Loven er udformet med en minimumsimplementering i overensstemmelse med regeringens principper for erhvervsrettet EU-regulering.
Tre nye love skal være med til at styrke samfundets robusthed
I dag træder tre nye love i kraft, der skal øge modstandsdygtigheden for Danmarks digitale og fysiske sikkerhed
Tre nye love træder i kraft: Danmark styrker beredskabet og sikkerheden i kritisk infrastruktur
Tre nye love implementerer EU-direktiverne NIS 2 og CER for at styrke den digitale og fysiske modstandsdygtighed i Danmarks kritiske infrastruktur fra den 1. juli 2025.
Ny lovgivning styrker sikkerheden i energisektoren
Energisektoren skal være gearet til at modstå hændelser i et forandret trusselsbillede. I dag vedtog Folketinget ny lovgivning, som implementerer to EU-direktiver, der skærper de fysiske og tekniske sikkerhedskrav i energisektoren. Desuden indføres krav på en række supplerende områder, der gør beredskabet mere robust og tidssvarende.
Lov om styrket beredskab i energisektoren er vedtaget
Den nye lov implementerer EU-direktiverne NIS2 og CER for at styrke energisektorens modstandsdygtighed over for cyberangreb og fysiske trusler.
Minister vil sikre god proces omkring implementering af EU-krav til cybersikkerhed og robusthed
Ministeriet for Samfundssikkerhed og Beredskab har tre lovforslag om cybersikkerhed og robusthed på regeringens lovprogram, der offentliggøres i dag i forbindelse med Folketingets åbning.
Anvendelsesområde og definitioner
Anvendelsesområde (§ 1): Loven gælder for offentlige og private enheder, der er opført i lovens bilag 1 og 2. Undtagelser omfatter enheder, der er dækket af lov om styrket beredskab i energisektoren, lov om sikkerhed og beredskab i telesektoren, eller lov om finansiel virksomhed. Loven finder heller ikke anvendelse, hvis sektorspecifikke EU-retsakter har mindst samme virkning som lovens bestemmelser om cybersikkerhedsforanstaltninger og underretningspligter. Vedkommende minister kan undtage specifikke enheder, der udfører aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, eller som udelukkende leverer tjenester til offentlige forvaltningsenheder, der udfører disse aktiviteter. Loven kan desuden udvides til at omfatte offentlige forvaltningsenheder på lokalt plan og uddannelsesinstitutioner.
Jurisdiktion (§ 2): Enheder etableret i Danmark er under dansk jurisdiktion. For DNS-tjenesteudbydere, topdomænenavneadministratorer, domænenavnsregistreringstjenester og udbydere af visse digitale tjenester (f.eks. cloud, datacentre, onlinemarkedspladser) er jurisdiktionen baseret på hovedforretningsstedet i EU, defineret som det sted, hvor beslutninger om cybersikkerhedsrisici overvejende træffes. Ikke-EU-baserede enheder, der udbyder tjenester i Unionen, skal udpege en repræsentant i en medlemsstat.
Definitioner (§ 3): Loven definerer centrale begreber som "Centralt kontaktpunkt", "Cloudcomputingtjeneste", "Cybersikkerhed", "Hændelse", "Net- og informationssystem", "Væsentlig cybertrussel" og mange flere, der er afgørende for lovens fortolkning og anvendelse.
Væsentlige enheder (§ 4): Enheder af en type omfattet af bilag 1 anses som væsentlige, hvis de beskæftiger mere end 250 personer eller har en årlig omsætning på over 50 mio. EUR og en årlig samlet balance på over 43 mio. EUR. Kommuner og regioner, der udbyder offentlige elektroniske kommunikationsnet eller -tjenester med kommercielt formål, kan også være væsentlige under visse størrelseskriterier. Visse enheder, som kvalificerede tillidstjenesteudbydere, topdomænenavneadministratorer, DNS-tjenesteudbydere, centrale offentlige forvaltningsenheder, kritiske enheder under CER-loven og tidligere NIS 1-operatører af væsentlige tjenester, anses altid for væsentlige uanset størrelse. Andre enheder kan også anses for væsentlige, hvis de er eneste udbyder af en kritisk tjeneste, forstyrrelse kan påvirke offentlig sikkerhed/sundhed, medføre systemisk risiko eller er kritisk på nationalt/regionalt plan.
Vigtige enheder (§ 5): Enheder af en type omfattet af bilag 1 eller 2, der ikke opfylder kriterierne for væsentlige enheder, men beskæftiger mere end 50 personer eller har en årlig omsætning på over 10 mio. EUR og en årlig samlet balance på over 10 mio. EUR, anses for vigtige. Den kompetente myndighed kan i særlige tilfælde beslutte, at en enhed, der ellers ville være væsentlig, skal anses for vigtig.
Foranstaltninger til styring af cybersikkerhedsrisici
Krav til foranstaltninger (§ 6): Væsentlige og vigtige enheder skal træffe passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at styre cybersikkerhedsrisici og forhindre hændelser. Disse foranstaltninger skal som minimum omfatte:
Politikker for risikoanalyse og informationssystemsikkerhed.
Håndtering af hændelser.
Driftskontinuitet, herunder backup-styring, reetablering efter katastrofer og krisestyring.
Forsyningskædesikkerhed, med fokus på sikkerhedsrelaterede aspekter vedrørende direkte leverandører og tjenesteudbydere.
Sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder.
Politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici.
Grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse.
Politikker og procedurer vedrørende brug af kryptografi og kryptering.
Personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver.
Brug af løsninger med multifaktorautentificering eller kontinuerlig autentificering, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer.
Enheder, der ikke overholder disse krav, skal uden unødigt ophold træffe korrigerende foranstaltninger. Vedkommende minister kan fastsætte nærmere regler om disse foranstaltninger.
Ledelsens ansvar (§ 7): Enhedens ledelsesorgan skal godkende og føre tilsyn med implementeringen af cybersikkerhedsforanstaltningerne. Medlemmer af ledelsesorganet skal deltage i relevante kurser om styring af cybersikkerhedsrisici og tilskynde til tilsvarende kurser for øvrige ansatte.
Certificering af IKT-produkter (§ 8): Vedkommende minister kan fastsætte regler om, at væsentlige og vigtige enheder skal anvende særlige IKT-produkter, -tjenester og -processer, der er certificeret i henhold til en europæisk cybersikkerhedscertificeringsordning.
Registrerings- og underretningspligter
Registreringspligt for visse digitale udbydere (§ 9): DNS-tjenesteudbydere, topdomænenavneadministratorer, enheder der leverer domænenavnsregistreringstjenester og udbydere af visse digitale tjenester (f.eks. cloud, datacentre, onlinemarkedspladser) skal registrere sig hos den relevante kompetente myndighed med oplysninger om navn, adresse, sektor, kontaktoplysninger og de medlemsstater, hvor tjenester leveres. Registrering skal ske senest tre måneder efter, at enheden omfattes af loven, og ændringer skal meddeles inden for tre måneder.
Registreringspligt for væsentlige og vigtige enheder (§ 10): Væsentlige og vigtige enheder samt enheder, der leverer domænenavnsregistreringstjenester, skal registrere sig hos den relevante kompetente myndighed med lignende oplysninger som nævnt i § 9. Registrering skal ske senest to uger efter, at enheden omfattes af loven, og ændringer skal meddeles inden for to uger.
Database over domænenavnsregistreringsdata (§ 11): Topdomænenavneadministratorer og enheder, der leverer domænenavnsregistreringstjenester, skal føre en særskilt database med nøjagtige og fuldstændige domænenavnsregistreringsdata, herunder domænenavn, registreringsdato, registrantens navn, e-mail og telefonnummer. De skal indføre og offentliggøre politikker og procedurer for at sikre datanøjagtighed og for at give legitime adgangssøgende adgang til specifikke data, herunder personoplysninger, inden for 72 timer efter anmodning. Ikke-personoplysninger skal gøres offentligt tilgængelige uden unødigt ophold.
Underretningspligter ved væsentlige hændelser (§ 12): Væsentlige og vigtige enheder skal underrette den relevante kompetente myndighed og CSIRT om enhver væsentlig hændelse. En hændelse anses for væsentlig, hvis den forårsager alvorlige driftsforstyrrelser eller økonomiske tab for enheden, eller hvis den påvirker andre fysiske eller juridiske personer med betydelig fysisk eller ikke-fysisk skade. Vedkommende minister kan fastsætte nærmere kriterier for, hvornår en hændelse er væsentlig.
Procedure for underretning (§ 13): Underretning af væsentlige hændelser skal ske i flere trin:
Tidlig varsling: Senest 24 timer efter kendskab til hændelsen, med angivelse af mistanke om ulovlige/ondsindede handlinger eller grænseoverskridende virkning.
Hændelsesunderretning: Senest 72 timer efter kendskab, med ajourførte oplysninger og indledende vurdering af alvor og indvirkning. For tillidstjenesteudbydere er fristen 24 timer.
Foreløbig rapport: Efter anmodning fra CSIRT.
Endelig rapport: Senest én måned efter hændelsesunderretningen, med detaljeret beskrivelse, trusselstype, afbødende foranstaltninger og grænseoverskridende virkninger. Hvis hændelsen fortsat pågår, skal en statusrapport indsendes, og den endelige rapport følger senest en måned efter hændelsen er håndteret. CSIRT skal give svar og indledende tilbagemeldinger inden for 24 timer efter modtagelse af den tidlige varsling og yde vejledning og teknisk bistand efter anmodning.
Frivillige underretninger (§ 14): Offentlige og private enheder, uanset om de er omfattet af loven, kan frivilligt underrette CSIRT om hændelser, nærvedhændelser og cybertrusler. Disse underretninger behandles på samme måde som obligatoriske, men CSIRT kan prioritere de obligatoriske. Frivillige underretninger er undtaget fra aktindsigt.
Underretning og oplysning om væsentlige hændelser
Underretning af tjenestemodtagere (§ 15): Væsentlige og vigtige enheder skal uden unødigt ophold underrette modtagerne af deres tjenester om væsentlige hændelser, der sandsynligvis vil påvirke tjenesteleveringen negativt. De skal også informere potentielt berørte modtagere om væsentlige cybertrusler og eventuelle foranstaltninger, de kan træffe.
Offentliggørelse af hændelser (§ 16): Den relevante kompetente myndighed kan, efter høring af den berørte enhed, informere offentligheden om en væsentlig hændelse, hvis det er nødvendigt for at forebygge eller håndtere hændelsen, eller hvis det er i offentlighedens interesse. Myndigheden kan også påbyde enheden at informere offentligheden. CSIRT kan informere offentligheden om væsentlige hændelser, der påvirker mere end én sektor eller stammer fra andre medlemsstater.
CSIRT’ens opgaver
Opgaver (§ 17): CSIRT håndterer it-sikkerhedshændelser og yder bistand til væsentlige og vigtige enheder, herunder realtidsmonitorering, reaktion på hændelser og proaktiv scanning for sårbarheder efter anmodning. CSIRT kan prioritere opgaver ud fra en risikobaseret tilgang.
Rapportering af sårbarheder (§ 18): CSIRT skal sikre, at fysiske og juridiske personer kan rapportere sårbarheder anonymt. Ministeren for samfundssikkerhed og beredskab kan fastsætte nærmere regler herom.
Udveksling af oplysninger (§ 19): CSIRT faciliterer frivillig udveksling af cybersikkerhedsoplysninger mellem enheder i cybersikkerhedsfællesskaber. Væsentlige og vigtige enheder skal underrette den kompetente myndighed om deres deltagelse i sådanne fællesskaber.
Tilsyn og håndhævelse
Kompetente myndigheder (§ 20): Ministeren for samfundssikkerhed og beredskab fastsætter, efter forhandling med vedkommende minister, hvilken myndighed der skal varetage funktionen som kompetent myndighed inden for en given sektor. Der kan fastsættes regler for at sikre operationel uafhængighed ved tilsyn med den offentlige forvaltning og for koordinering og udveksling af oplysninger mellem myndigheder og CSIRT.
Tilsyns- og kontrolforanstaltninger for væsentlige enheder (§ 21): Kompetente myndigheder fører proaktivt tilsyn med væsentlige enheder. De kan foretage kontrol på stedet og eksternt tilsyn, sikkerhedsaudits, sikkerhedsscanninger og kræve udlevering af nødvendige oplysninger og dokumentation.
Håndhævelsesforanstaltninger for væsentlige enheder (§ 22): Kompetente myndigheder kan udstede advarsler, bindende instrukser, påbud og forbud, påbyde underretning af berørte personer, påbyde implementering af audit-anbefalinger og udpege en tilsynsførende. De kan også påbyde offentliggørelse af afgørelser om håndhævelsesforanstaltninger.
Særlige håndhævelsesforanstaltninger for væsentlige enheder (§ 23): Hvis andre håndhævelsesforanstaltninger er utilstrækkelige, kan den kompetente myndighed midlertidigt suspendere certificeringer/godkendelser eller midlertidigt forbyde ledelsespersoner at udøve ledelsesfunktioner. Disse særlige foranstaltninger gælder dog ikke for offentlige forvaltningsenheder.
Tilsyns- og kontrolforanstaltninger for vigtige enheder (§ 24): Kompetente myndigheder fører reaktivt tilsyn med vigtige enheder, dvs. efter indikationer på manglende overholdelse. De har lignende tilsynsforanstaltninger som for væsentlige enheder, men anvender dem reaktivt.
Håndhævelsesforanstaltninger over vigtige enheder (§ 25): Kompetente myndigheder kan udstede advarsler, bindende instrukser, påbud og forbud, påbyde underretning af berørte personer og påbyde implementering af audit-anbefalinger. De kan også påbyde offentliggørelse af afgørelser om håndhævelsesforanstaltninger.
Høring af væsentlige og vigtige enheder (§ 26): Inden anvendelse af håndhævelsesforanstaltninger skal den berørte enhed underrettes og gives en rimelig frist til at fremsætte bemærkninger, medmindre formålet med foranstaltningen ellers ville forspildes.
Gensidig bistand
Gensidig bistand (§ 27): Kompetente myndigheder skal samarbejde med myndigheder i andre EU-medlemsstater, når en enhed leverer tjenester på tværs af grænser. Dette omfatter underretning om tilsyns- og håndhævelsesforanstaltninger, anmodninger om bistand og mulighed for fælles tilsynstiltag.
Videregivelse af oplysninger, digital kommunikation, gennemførelsesretsakter og operativ uafhængighed
Videregivelse af oplysninger (§ 28): Kompetente myndigheder kan videregive oplysninger til andre EU-medlemsstaters myndigheder og EU-institutioner for at varetage lovens opgaver.
Undtagelse fra oplysningspligt (§ 29): Loven omfatter ikke meddelelse af oplysninger, hvis videregivelse strider mod væsentlige interesser af hensyn til national sikkerhed, offentlig sikkerhed eller forsvar. Oplysninger modtaget fra andre EU-medlemsstater behandles fortroligt.
Gennemførelsesretsakter (§ 30): Vedkommende minister kan fastsætte regler, der er nødvendige for at gennemføre retsakter udstedt af Europa-Kommissionen i medfør af NIS 2-direktivet.
Digital kommunikation (§ 31): Ministeren for samfundssikkerhed og beredskab kan fastsætte regler om digital kommunikation, herunder brug af specifikke IT-systemer, digitale formater og digital signatur.
Straf
Straf (§ 32): Overtrædelser af lovens bestemmelser, herunder krav til foranstaltninger, registrerings- og underretningspligter, samt manglende efterkommelse af myndighedspåbud, kan straffes med bøde. Selskaber mv. (juridiske personer) kan pålægges strafansvar. Der kan også fastsættes bødestraf i forskrifter udstedt i medfør af loven.
Ikrafttrædelse, overgangsbestemmelser og ændringer i anden lovgivning
Ikrafttrædelse (§ 33): Loven træder i kraft den 1. juli 2025. En rapport om erfaringerne med loven skal udarbejdes senest 3 år efter ikrafttrædelsen. De indledende registreringspligter (§§ 9 og 10) skal opfyldes senest den 1. oktober 2025. Flere tidligere love om net- og informationssikkerhed ophæves.
Territorialbestemmelse
Territorialbestemmelse (§ 34): Loven gælder ikke for Færøerne og Grønland, men kan ved kongelig anordning helt eller delvist sættes i kraft for disse områder med de nødvendige tilpasninger.
Klima-, Energi- og Forsyningsministeriet· 5. december 2024
Lovforslag
Forslag til Lov om styrket beredskab i energisektoren
Lovforslaget om styrket beredskab i energisektoren har til formål at etablere en robust ramme for modstandsdygtighed og beredskab i den danske energisektor. Dette skal beskytte energiforsyningen mod n
Ministeriet for Samfundssikkerhed og Beredskab· 12. februar 2025
Lovforslag
Forslag til Lov om kritiske enheders modstandsdygtighed (CER-loven)
Lovforslaget om kritiske enheders modstandsdygtighed (CER-loven) har til formål at implementere Europa-Parlamentets og Rådets direktiv (EU) 2022/5557 af 14. december 2022 (CER-direktivet) i dansk ret.
Ministeriet for Samfundssikkerhed og Beredskab
