Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau (NIS 2-loven) Kapitel 6

Den konsoliderede version af denne lov er opdateret til i dag, idet vi har implementeret eventuelle senere ændringslove i det omfang, de er trådt i kraft - se mere her.

Lov nr. 434 af 6. maj 2025

Kapitel 6 Tilsyn og håndhævelse
§ 20

Ministeren for samfundssikkerhed og beredskab fastsætter efter forhandling med vedkommende minister regler om, hvilken myndighed der skal varetage funktionen som kompetent myndighed inden for en given sektor eller delsektor eller for en bestemt type enhed, jf. lovens bilag 1 eller 2. Ministeren for samfundssikkerhed og beredskab kan efter forhandling med den minister, som udnytter bemyndigelsen i § 1, stk. 7, fastsætte regler om, hvilken myndighed der skal varetage funktionen som kompetent myndighed for disse enheder.

Stk. 2 For at sikre operationel uafhængighed ved tilsyn med den offentlige forvaltning kan ministeren for samfundssikkerhed og beredskab efter forhandling med en anden minister fastsætte regler om, at tilsyn med Ministeriet for Samfundssikkerhed og Beredskab, herunder underliggende myndigheder, helt eller delvis overlades til den pågældende minister.

Stk. 3 Ministeren for samfundssikkerhed og beredskab kan fastsætte regler om koordinering, ansvar, fordeling af opgaver og udveksling af oplysninger mellem henholdsvis de kompetente myndigheder og de kompetente myndigheder og CSIRT’en, herunder i forhold til hændelsesunderretninger efter kapitel 3 og tilsyn samt håndhævelse efter dette kapitel.

Tilsyns- og kontrolforanstaltninger for væsentlige enheder
§ 21

De kompetente myndigheder fører på deres respektive områder tilsyn med væsentlige enheders overholdelse af denne lov og regler udstedt i medfør af loven. En kompetent myndighed kan som led i sit tilsyn anvende følgende tilsynsforanstaltninger over for en væsentlig enhed:

  • 1) Uden retskendelse og mod behørig legitimation foretage kontrol på stedet og eksternt tilsyn, herunder stikprøvekontroller.

  • 2) Foretage regelmæssige og målrettede sikkerhedsaudits eller stille krav om, at enheden får et kvalificeret uafhængigt organ til at foretage disse audits, og at resultaterne heraf stilles til rådighed for den kompetente myndighed.

  • 3) Foretage sikkerhedsaudits.

  • 4) Foretage sikkerhedsscanninger.

  • 5) Kræve at få udleveret oplysninger, der er nødvendige for at vurdere de foranstaltninger til styring af cybersikkerhedsrisici, som den berørte enhed har indført.

  • 6) Kræve at få adgang til data, dokumenter og oplysninger, der er nødvendige for udførelsen af tilsynsopgaven, herunder til afgørelse af, om et forhold er omfattet af denne lov eller regler udstedt i medfør af loven.

  • 7) Kræve at få udleveret dokumentation for gennemførelsen af cybersikkerhedspolitikker.

Stk. 2 Ved anvendelsen af tiltagene i stk. 1, nr. 5-7, skal den kompetente myndighed angive formålet hermed og præcisere, hvilke oplysninger der kræves udleveret, og hvordan og i hvilken form oplysningerne og materialet nævnt i stk. 1, nr. 5-7, skal udleveres.

Håndhævelsesforanstaltninger for væsentlige enheder
§ 22

Den kompetente myndighed kan anvende følgende håndhævelsesforanstaltninger over for en væsentlig enhed:

  • 1) Udstede advarsler om enhedens overtrædelse af denne lov.

  • 2) Udstede bindende instrukser, herunder vedrørende foranstaltninger, der er nødvendige for at forhindre eller afhjælpe en hændelse, og frister for gennemførelse af sådanne foranstaltninger og for rapportering om deres gennemførelse, eller pålægge de pågældende enheder at afhjælpe de konstaterede mangler eller overtrædelserne af denne lov.

  • 3) Påbyde enheden at træffe foranstaltninger, der er nødvendige for at forhindre eller afhjælpe en hændelse.

  • 4) Meddele enheden påbud og forbud for at sikre overholdelsen af de krav, der er fastsat i loven eller regler udstedt i medfør af loven.

  • 5) Påbyde enheden at underrette de fysiske eller juridiske personer, til hvilke enheden leverer tjenester, eller for hvilke den udfører aktiviteter, som potentielt kan være berørt af en væsentlig cybertrussel, om denne trussels karakter og om eventuelle beskyttelsesforanstaltninger eller afhjælpende foranstaltninger, som de fysiske eller juridiske personer kan træffe som reaktion på denne trussel.

  • 6) Påbyde enheden at gennemføre de anbefalinger, der er fremsat i forbindelse med en gennemført sikkerhedsaudit.

  • 7) Udpege en person med ansvar for i en nærmere fastsat periode at føre tilsyn med enhedens overholdelse af §§ 6, 12, 13 og 15 og § 16, stk. 2, og regler udstedt i medfør heraf.

  • 8) Påbyde enheden i ikkeanonymiseret form og på en nærmere angiven måde at offentliggøre afgørelser om håndhævelsesforanstaltninger efter nr. 1-5 og resuméer af domme eller bødevedtagelser, hvor der idømmes eller vedtages en bøde.

§ 23

Har en eller flere af de håndhævelsesforanstaltninger, der er pålagt i medfør af § 22, nr. 1-4, vist sig at være utilstrækkelige, kan den kompetente myndighed fastsætte en frist, inden for hvilken den væsentlige enhed skal foretage de nødvendige tiltag for at afhjælpe manglerne eller opfylde den kompetente myndigheds krav. Er tiltagene ikke foretaget inden for den fastsatte frist, kan den kompetente myndighed træffe afgørelse om følgende, jf. dog stk. 4:

  • 1) Midlertidigt at suspendere en certificering eller godkendelse vedrørende dele af eller alle de relevante tjenester, som enheden leverer, eller aktiviteter, der udføres af enheden.

  • 2) Midlertidigt at forbyde enhver fysisk person med ledelsesansvar på niveau med administrerende direktør eller den juridiske repræsentant hos enheden at udøve ledelsesfunktioner i den pågældende enhed.

Stk. 2 Suspensioner eller forbud, som er pålagt i medfør af stk. 1, kan kun anvendes, indtil enheden træffer de nødvendige tiltag for at afhjælpe de mangler eller opfylde de krav, som gav anledning til, at foranstaltningerne blev anvendt.

Stk. 3 En afgørelse efter stk. 1 kan ikke indbringes for anden administrativ myndighed, men kan af den enhed eller den fysiske person, som afgørelsen vedrører, forlanges indbragt for domstolene.

Stk. 4 Bestemmelserne i stk. 1-3 finder ikke anvendelse på offentlige forvaltningsenheder.

Stk. 5 Vedkommende minister fastsætter efter forhandling med ministeren for samfundssikkerhed og beredskab regler om, hvilke certificeringer og godkendelser der er omfattet af stk. 1, nr. 1.

Tilsyns- og kontrolforanstaltninger for vigtige enheder
§ 24

De kompetente myndigheder fører reaktivt tilsyn med vigtige enheders overholdelse af denne lov og regler udstedt i medfør af loven. En kompetent myndighed kan som led i dette tilsyn efter indikationer på, at en vigtig enhed ikke overholder eller ikke har overholdt denne lov eller regler udstedt i medfør af loven, anvende følgende tilsynsforanstaltninger:

  • 1) Uden retskendelse og mod behørig legitimation foretage kontrol på stedet og efterfølgende eksternt tilsyn.

  • 2) Foretage målrettede sikkerhedsaudits eller stille krav om, at enheden får et kvalificeret uafhængigt organ til at foretage disse audits, og at resultaterne heraf stilles til rådighed for den kompetente myndighed.

  • 3) Foretage sikkerhedsscanninger.

  • 4) Kræve at få udleveret oplysninger, der er nødvendige for efterfølgende at vurdere de foranstaltninger til styring af cybersikkerhedsrisici, som den berørte enhed har indført.

  • 5) Kræve at få adgang til data, dokumenter og oplysninger, der er nødvendige for udførelsen af tilsynsopgaven, herunder til afgørelse af, om et forhold er omfattet af denne lov eller regler udstedt i medfør af loven.

  • 6) Kræve at få udleveret dokumentation for gennemførelsen af cybersikkerhedspolitikker.

Stk. 2 Ved anvendelse af tiltagene i stk. 1, nr. 4-6, skal den kompetente myndighed angive formålet med kravet og præcisere, hvilke oplysninger der kræves udleveret, og hvordan og i hvilken form oplysningerne og materialet nævnt i stk. 1, nr. 4-6, skal udleveres.

Håndhævelsesforanstaltninger over for vigtige enheder
§ 25

En kompetent myndighed kan anvende følgende håndhævelsesforanstaltninger over for en vigtig enhed:

  • 1) Udstede advarsler om enhedens overtrædelse af denne lov.

  • 2) Udstede bindende instrukser, herunder vedrørende foranstaltninger, der er nødvendige for at forhindre eller afhjælpe en hændelse, og frister for gennemførelse af sådanne foranstaltninger og for rapportering om deres gennemførelse, eller pålægge de pågældende enheder at afhjælpe de konstaterede mangler eller overtrædelserne af denne lov.

  • 3) Meddele enheden påbud og forbud for at sikre overholdelsen af de krav, der er fastsat i loven eller regler udstedt i medfør af loven.

  • 4) Påbyde enheden at underrette de fysiske eller juridiske personer, til hvilke den leverer tjenester, eller for hvilke den udfører aktiviteter, som potentielt kan være berørt af en væsentlig cybertrussel, om denne trussels karakter og om eventuelle beskyttelsesforanstaltninger eller afhjælpende foranstaltninger, som de fysiske eller juridiske personer kan træffe som reaktion på denne trussel.

  • 5) Påbyde enheden at gennemføre de anbefalinger, der er fremsat i forbindelse med en gennemført sikkerhedsaudit.

  • 6) Påbyde enheden i ikkeanonymiseret form og på en nærmere angiven måde at offentliggøre afgørelser om håndhævelsesforanstaltninger efter nr. 1-3 og resuméer af domme eller bødevedtagelser, hvor der idømmes eller vedtages en bøde.

Høring af væsentlige og vigtige enheder
§ 26

Inden den kompetente myndighed træffer afgørelse om at anvende håndhævelsesforanstaltninger efter §§ 22, 23 eller 25, underrettes den berørte enhed om de påtænkte håndhævelsesforanstaltninger og begrundelsen herfor. Den kompetente myndighed skal give enheden en rimelig frist til at fremsætte bemærkninger, undtagen i tilfælde, hvor formålet med foranstaltningen ellers ville forspildes.