Skriftlig fremsættelse (7. oktober 2015)

Forsvarsministeren (Peter Christensen):

Herved tillader jeg mig for Folketinget at fremsætte:

Forslag til lov om net- og informationssikkerhed

(Lovforslag nr. L 10)

Lovforslaget er en indholdsmæssigt uændret genfremsættelse af lovforslag nr. L 201, som blev fremsat den 5. maj 2015 og 1. behandlet den 8. maj 2015.

Et stærkt digitaliseret samfund som det danske er i stigende grad afhængigt af telenettet, der bl.a. anvendes som platform for borgeres, virksomheders og myndigheders telefoni og datakommunikation. Det samlede telenet er således en af de mest kritiske dele af samfundets infrastruktur.

Med stigende afhængighed følger imidlertid også øget sårbarhed, og udviklingen og udbredelsen af informations- og kommunikationsteknologi har skabt nye muligheder for, at der derigennem kan rettes alvorlige cyberangreb mod Danmark og danske interesser.

Forsvarets Efterretningstjeneste vurderer, at de alvorligste cybertrusler mod Danmark i øjeblikket kommer fra statslige aktører, der udnytter internettet til at spionere og stjæle dansk intellektuel ejendom, f.eks. patenteret viden, forskningsresultater og forretningshemmeligheder. Truslen kommer navnlig fra stater, som bruger informationerne til at understøtte deres egen økonomiske, militære og samfundsmæssige udvikling.

Samtidig går udviklingen i retning af, at teleudbyderne - ud over at anvende leverandører af enkeltkomponenter - i stigende omfang anvender bl.a. udenlandske leverandører til at udføre egentlige driftsopgaver.

Teleudbyderne kan i dag indgå selv meget vidtrækkende aftaler med leverandører, uden at myndighederne bliver bekendt med aftalerne.

Regeringen foreslår derfor, at reguleringen på området styrkes.

Lovforslaget er et initiativ i den nationale strategi for cyber- og informationssikkerhed, og har til formål at styrke informationssikkerheden i telesektoren og dermed beskytte danske borgeres, virksomheders og myndigheders oplysninger.

Med lovforslaget overføres den eksisterende regulering af informationssikkerhed og beredskab på teleområdet til en selvstændig lov. Samtidig skærpes kravene til teleudbydernes informationssikkerhed, således at kravene i højere grad tager højde for samfundets afhængighed af telenettet og afspejler det aktuelle trusselsbillede, hvor især cyberangreb og avanceret industrispionage er stærkt stigende.

Det foreslås, at Center for Cybersikkerhed bemyndiges til at fastsætte regler om minimumskrav til teleudbydernes håndtering af informationssikkerheden. Center for Cybersikkerhed vil dermed kunne fastsætte krav om, at teleudbyderne skal håndtere informationssikkerheden gennem dokumenterede og ledelsesforankrede risikostyringsprocesser. Herudover kan der fastsættes krav til teleudbydernes risikostyring i forbindelse med bl.a. indgåelse og gennemførelse af aftaler med leverandører.

Samtidig foreslås det, at Center for Cybersikkerhed skal kunne påbyde teleudbydere at inddrage nærmere angivne områder af deres virksomhed samt nærmere angivne trusler mod informationssikkerheden i deres risikostyringsprocesser. Dermed kan Center for Cybersikkerhed påbyde en teleudbyder at tage højde for en konkret trussel mod informationssikkerheden. Endvidere vil Center for Cybersikkerhed kunne påbyde teleudbyderne at træffe konkrete sikkerhedsforanstaltninger med henblik på at sikre et passende informationssikkerhedsniveau.

Teleudbydernes oplysnings- og underretningspligter udvides, og det vil bl.a. betyde, at de skal indsende et endeligt aftaleudkast til Center for Cybersikkerhed umiddelbart forud for indgåelse af væsentlige kontrakter med eksterne leverandører, hvorefter der indtræder en kort standstill-periode. Standstill-perioden giver Center for Cybersikkerhed mulighed for at foretage en vurdering af, om aftalens indhold indebærer en trussel mod informationssikkerheden, og er også en fordel for teleudbyderne, da de vil blive gjort opmærksomme på de sikkerhedsmæssige bekymringer, som en aftale eventuelt giver anledning til, inden den indgås.

For at skabe et mere effektivt tilsyn med teleudbydernes overholdelse af lovens bestemmelser vil Center for Cybersikkerhed kunne kræve, at teleudbyderne forholder sig skriftligt til konkrete forhold, som centeret bliver opmærksom på i forbindelse med sin tilsynsvirksomhed. For at kunne konstatere, om teleudbyderne i praksis har gennemført de nødvendige foranstaltninger til at sikre teleinfrastrukturen, vil Center for Cybersikkerhed uden retskendelse kunne få adgang til teleudbydernes forretningslokaler efter forudgående skriftligt varsel med henblik på at føre tilsyn med overholdelse af reglerne på informationssikkerhedsområdet. Center for Cybersikkerhed vil ikke kunne tilgå kommunikation til, fra og mellem teleudbydernes kunder. Der vil således ikke som led i ordningen ske indgreb i meddelelseshemmeligheden.

Herudover indebærer lovforslaget, at der fremover ikke vil være ret til aktindsigt i forhold til de oplysninger og underretninger, som modtages fra teleudbyderne på baggrund af oplysnings- og underretningspligterne, samt i forhold til underretninger, der på cybersikkerhedsområdet modtages fra myndigheder og virksomheder om f.eks. hackerangreb.

Det foreslås, at loven træder i kraft den 1. juli 2016, således at branchen får den fornødne tid til at indrette sig efter den nye lovgivning, inden den træder i kraft, og således at der er den fornødne tid til dialog med branchen om de bekendtgørelser, der skal udstedes i medfør af den nye lov. Endvidere henvises der til den nye ordning med fælles ikrafttrædelsesdatoer (1. januar eller 1. juli) for ny erhvervsrettet regulering.

Idet jeg i øvrigt henviser til lovforslaget og de ledsagende bemærkninger, skal jeg hermed anbefale lovforslaget til det Høje Tings velvillige behandling.