Lov om sikkerhed og beredskab i telesektoren Kapitel 7

Den konsoliderede version af denne lov er opdateret til i dag, idet vi har implementeret eventuelle senere ændringslove i det omfang, de er trådt i kraft - se mere her.

Lov nr. 435 af 6. maj 2025

Kapitel 7 Tilsyn og håndhævelse
§ 17

Styrelsen for Samfundssikkerhed fører tilsyn med overholdelse af denne lov og regler, der er udstedt i medfør af loven.

§ 18

Styrelsen for Samfundssikkerhed kan påbyde væsentlige og vigtige teleudbydere at inddrage nærmere angivne områder af deres virksomhed og nærmere angivne trusler mod sikkerheden i net- og informationssystemer i deres foranstaltninger efter § 5, stk. 1.

Stk. 2 Er det af væsentlig samfundsmæssig betydning, kan Styrelsen for Samfundssikkerhed påbyde væsentlige og vigtige teleudbydere at træffe konkrete foranstaltninger med henblik på at sikre sikkerheden i net- og informationssystemer, herunder påbyde, at udstyr, der skal anvendes i forbindelse med indgreb i meddelelseshemmeligheden, skal opsættes i og drives fra Danmark. Ministeren for samfundssikkerhed og beredskab kan fastsætte nærmere regler om påbud om foranstaltninger efter 1. pkt.

Tilsyns- og kontrolforanstaltninger for væsentlige teleudbydere
§ 19

Styrelsen for Samfundssikkerhed kan anvende følgende tilsynsforanstaltninger over for en væsentlig teleudbyder:

  • 1) Uden retskendelse og mod behørig legitimation foretage kontrol hos teleudbydere og deres samarbejdspartnere, leverandører eller underleverandører i relation til outsourcet aktivitet og eksternt tilsyn, herunder foretage stikprøvekontroller.

  • 2) Foretage regelmæssige og målrettede sikkerhedsaudit eller stille krav om, at teleudbyderen får et kvalificeret uafhængigt organ til at foretage disse audit, og at resultaterne heraf stilles til rådighed for Styrelsen for Samfundssikkerhed.

  • 3) Foretage sikkerhedsaudit ad hoc.

  • 4) Foretage sikkerhedsscanninger.

  • 5) Kræve at få udleveret oplysninger, der er nødvendige for at vurdere de foranstaltninger til styring af sikkerhedsrisici, som den berørte udbyder har indført.

  • 6) Kræve at få adgang til data, dokumenter og oplysninger, der er nødvendige for udførelsen af tilsynsopgaven, herunder til afgørelse af, om et forhold er omfattet af denne lov eller regler udstedt i medfør af loven.

  • 7) Kræve at få udleveret dokumentation for gennemførelsen af sikkerhedspolitikker.

  • 8) Kræve at få skriftlige udtalelser og redegørelser om faktiske forhold af betydning for Styrelsen for Samfundssikkerheds tilsynsvirksomhed.

Stk. 2 Ved anvendelsen af tiltagene i stk. 1, nr. 5-8, skal Styrelsen for Samfundssikkerhed angive formålet med tiltaget og præcisere, hvilke oplysninger der kræves udleveret, og hvordan og i hvilken form oplysningerne og materialet nævnt i stk. 1, nr. 5-8, skal udleveres.

Håndhævelsesforanstaltninger for væsentlige teleudbydere
§ 20

Styrelsen for Samfundssikkerhed kan anvende følgende håndhævelsesforanstaltninger over for en væsentlig teleudbyder:

  • 1) Udstede advarsler om teleudbyderens overtrædelse af denne lov og regler udstedt i medfør af loven.

  • 2) Udstede bindende instrukser, herunder vedrørende foranstaltninger, der er nødvendige for at forhindre eller afhjælpe en hændelse, og frister for gennemførelse af sådanne foranstaltninger og for rapportering om deres gennemførelse eller pålægge de pågældende enheder at afhjælpe de konstaterede mangler eller overtrædelserne af denne lov og regler udstedt i medfør af loven.

  • 3) Påbyde teleudbyderen at træffe foranstaltninger, der er nødvendige for at forhindre eller afhjælpe en hændelse.

  • 4) Meddele teleudbyderen påbud og forbud for at sikre overholdelsen af de krav, der er fastsat i denne lov og regler udstedt i medfør af loven.

  • 5) Påbyde teleudbyderen at underrette de fysiske eller juridiske personer, som teleudbyderen leverer tjenester til eller udfører aktiviteter for, og som potentielt kan være berørt af en væsentlig trussel, om denne trussels karakter og om eventuelle beskyttelsesforanstaltninger eller afhjælpende foranstaltninger, som de fysiske eller juridiske personer kan træffe som reaktion på denne trussel.

  • 6) Påbyde teleudbyderen at gennemføre de anbefalinger, der er fremsat i forbindelse med en gennemført sikkerhedsaudit.

  • 7) Udpege en person med ansvar for i en nærmere fastsat periode at føre tilsyn med teleudbyderens overholdelse af kapitel 2 og 3 og regler udstedt i medfør heraf.

  • 8) Påbyde udbyderen i ikkeanonymiseret form og på en nærmere angiven måde at offentliggøre afgørelser om håndhævelsesforanstaltninger efter nr. 1-5 og resuméer af domme eller bødevedtagelser, hvor der idømmes eller vedtages en bøde.

§ 21

Har en eller flere af de håndhævelsesforanstaltninger, der er pålagt i medfør af § 20, nr. 1-8, vist sig at være utilstrækkelige, kan Styrelsen for Samfundssikkerhed fastsætte en frist, inden for hvilken den væsentlige teleudbyder skal foretage de nødvendige tiltag for at afhjælpe manglerne eller opfylde Styrelsen for Samfundssikkerheds krav. Er manglerne ikke afhjulpet eller Styrelsen for Samfundssikkerheds krav ikke opfyldt inden for den fastsatte frist, kan Styrelsen for Samfundssikkerhed træffe afgørelse om følgende:

  • 1) Midlertidigt at suspendere en certificering eller godkendelse vedrørende dele af eller alle de relevante tjenester, som teleudbyderen leverer, eller aktiviteter, der udføres af teleudbyderen.

  • 2) Midlertidigt at forbyde enhver fysisk person med ledelsesansvar på niveau med administrerende direktør eller den juridiske repræsentant hos udbyderen at udøve ledelsesfunktioner hos den pågældende teleudbyder.

Stk. 2 Suspensioner eller forbud, som er pålagt i medfør af stk. 1, kan kun anvendes, indtil den væsentlige teleudbyder træffer de nødvendige tiltag for at afhjælpe de mangler eller opfylde de krav, som gav anledning til, at foranstaltningerne blev anvendt.

Stk. 3 En afgørelse efter stk. 1 kan af den væsentlige teleudbyder eller den fysiske person, som afgørelsen vedrører, forlanges indbragt for domstolene. Styrelsen for Samfundssikkerhed anlægger i givet fald sag inden for rammerne af den civile retspleje mod den teleudbyder eller person, som har forlangt sagen indbragt.

Stk. 4 Ministeren for samfundssikkerhed og beredskab fastsætter regler om, hvilke certificeringer og godkendelser der er omfattet af stk. 1, nr. 1.

Tilsyns- og kontrolforanstaltninger for vigtige teleudbydere
§ 22

Styrelsen for Samfundssikkerhed kan som led i sit tilsyn, hvis der er indikationer på, at en vigtig teleudbyder ikke overholder eller ikke har overholdt denne lov eller regler udstedt i medfør af loven, anvende følgende tilsyns- og kontrolforanstaltninger:

  • 1) Uden retskendelse og mod behørig legitimation foretage kontrol hos teleudbydere og deres samarbejdspartnere, leverandører eller underleverandører i relation til outsourcet aktivitet og eksternt tilsyn, herunder foretage stikprøvekontroller og eksternt efterfølgende tilsyn.

  • 2) Foretage målrettede sikkerhedsaudit eller stille krav om, at udbyderen får et kvalificeret uafhængigt organ til at foretage disse audit, og at resultaterne heraf stilles til rådighed for Styrelsen for Samfundssikkerhed.

  • 3) Foretage sikkerhedsscanninger.

  • 4) Kræve at få udleveret oplysninger, der er nødvendige for efterfølgende at vurdere de foranstaltninger til styring af sikkerhedsrisici, som den berørte udbyder har indført.

  • 5) Kræve at få adgang til data, dokumenter og oplysninger, der er nødvendige for udførelsen af tilsynsopgaven, herunder til afgørelse af, om et forhold er omfattet af denne lov eller regler udstedt i medfør af loven.

  • 6) Kræve at få udleveret dokumentation for gennemførelsen af sikkerhedspolitikker.

  • 7) Kræve at få skriftlige udtalelser og redegørelser om faktiske forhold af betydning for Styrelsen for Samfundssikkerheds tilsynsvirksomhed.

Stk. 2 Ved anvendelse af tiltagene i stk. 1, nr. 4-7, skal Styrelsen for Samfundssikkerhed angive formålet med tiltaget og præcisere, hvilke oplysninger der kræves udleveret, og hvordan og i hvilken form oplysningerne og materialet nævnt i stk. 1, nr. 4-7, skal udleveres.

§ 23

Styrelsen for Samfundssikkerhed kan anvende følgende håndhævelsesforanstaltninger over for en vigtig teleudbyder:

  • 1) Udstede advarsler om teleudbyderens overtrædelse af denne lov og regler udstedt i medfør af loven.

  • 2) Udstede bindende instrukser, herunder vedrørende foranstaltninger, der er nødvendige for at forhindre eller afhjælpe en hændelse, og frister for gennemførelse af sådanne foranstaltninger og for rapportering om deres gennemførelse eller pålægge de pågældende enheder at afhjælpe de konstaterede mangler eller overtrædelserne af denne lov og regler udstedt i medfør af loven.

  • 3) Meddele teleudbyderen påbud og forbud for at sikre overholdelsen af de krav, der er fastsat i loven eller regler udstedt i medfør af loven.

  • 4) Påbyde teleudbyderen at underrette de fysiske eller juridiske personer, som udbyderen leverer tjenester til eller udfører aktiviteter for, og som potentielt kan være berørt af en væsentlig trussel, om denne trussels karakter og om eventuelle beskyttelsesforanstaltninger eller afhjælpende foranstaltninger, som de fysiske eller juridiske personer kan træffe som reaktion på denne trussel.

  • 5) Påbyde teleudbyderen at gennemføre de anbefalinger, der er fremsat i forbindelse med en gennemført sikkerhedsaudit.

  • 6) Påbyde teleudbyderen i ikkeanonymiseret form og på en nærmere angiven måde at offentliggøre afgørelser om håndhævelsesforanstaltninger efter nr. 1-3 og resuméer af domme eller bødevedtagelser, hvor der idømmes eller vedtages en bøde.

Høring af væsentlige og vigtige teleudbydere
§ 24

Inden Styrelsen for Samfundssikkerhed træffer afgørelse om at anvende håndhævelsesforanstaltninger efter §§ 20, 21 og 23, underrettes den væsentlige eller vigtige teleudbyder om de påtænkte håndhævelsesforanstaltninger og begrundelsen herfor. Styrelsen for Samfundssikkerhed skal give teleudbyderen en rimelig frist til at fremsætte bemærkninger undtagen i tilfælde, hvor formålet med foranstaltningen ellers ville forspildes.

Offentliggørelse
§ 25

Styrelsen for Samfundssikkerhed kan i ikkeanonymiseret form offentliggøre følgende:

  • 1) Afgørelser om påbud meddelt i medfør af § 13, stk. 5 og 7, og § 18, stk. 1 og 2, og afgørelser truffet i medfør af regler, der er udstedt i medfør af § 7, stk. 5, nr. 1-3, § 13, stk. 5, 2. pkt., og § 18, stk. 2, 2. pkt.

  • 2) Resultater af tilsyn efter §§ 19 og 22.

  • 3) Resuméer af domme eller bødevedtagelser, hvor der idømmes eller vedtages en bøde for overtrædelse af denne lov eller regler, der er udstedt i medfør af denne lov.

  • 4) Resuméer af domme i retssager, hvor Styrelsen for Samfundssikkerhed er part, om forhold omfattet af denne lov.

Stk. 2 Offentliggørelse efter stk. 1 må ikke indeholde følgende:

  • 1) Oplysninger om tekniske indretninger eller fremgangsmåder eller om drifts- eller forretningsforhold el.lign., for så vidt det er af væsentlig økonomisk betydning for den væsentlige eller vigtige teleudbyder, som oplysningerne angår.

  • 2) Oplysninger, der er af væsentlig betydning for statens sikkerhed eller rigets forsvar.

  • 3) Klassificerede informationer.

  • 4) Fortrolige oplysninger, der hidrører fra nationale tilsynsmyndigheder i andre EU-medlemsstater, medmindre de myndigheder, der har afgivet oplysningerne, har givet deres udtrykkelige tilladelse til offentliggørelse.

  • 5) Oplysninger om enkeltpersoners private forhold.

Stk. 3 Ministeren for samfundssikkerhed og beredskab kan fastsætte regler om sagsbehandlingen i forbindelse med offentliggørelse efter stk. 1.