L 139 - 2017-18 - Bilag 7: Kopi til orientering af besvarelser på lovforslag nr. L 135, L 144 og L 145 med relevans for lovforslag nr. L 139

Forsvarsudvalget 2017-18
L 139 Bilag 7
Offentligt

Folketingets Transport-, Bygnings- og Boligudvalg

Christiansborg

FORSVARSMINISTEREN

21. marts 2018

Folketingets Transport-, Bygnings- og Boligudvalg har den 22. februar 2018 stillet følgende

spørgsmål nr. 8 vedrørende L 135 til forsvarsministeren, som hermed besvares. Spørgsmålet

er stillet efter ønske fra Rasmus Prehn (S), Kim Christiansen (DF), Henning Hyllested (EL),

Andreas Steenberg (RV), Karsten Hønge (SF) og Roger Courage Matthisen (ALT).

Spørgsmål nr. 8:

”Ministeren

bedes oplyse, hvilke konkrete oplysninger det forventes at ministeren og Center

for Cybersikkerhed vil kunne eller skulle udveksle med andre myndigheder, både nationalt

og i EU.”

Svar:

FE/Center for Cybersikkerhed er anmodet om en udtalelse til brug for Forsvarsministeriets

besvarelse. FE/Center for Cybersikkerhed har i den anledning oplyst følgende:

”Det følger af NIS-direktivets

artikel 14, stk. 3, at medlemsstaterne skal sikre,

at operatører af væsentlige tjenester hurtigst muligt foretager underretning til

tilsynsmyndighederne eller CSIRT’en af hændelser, der har væsentlige konse-

kvenser for kontinuiteten af de væsentlige tjenester, som de leverer. Under-

retningerne skal indeholde oplysninger, der gør det muligt at fastslå eventuelle

grænseoverskridende konsekvenser af hændelsen. Der gælder en lignende

underretningsforpligtelse for udbydere af digitale tjenester, jf. artikel 16, stk.

3. Derudover følger det af direktivet, at enheder, som ikke er blevet identifice-

_______________________________________________________________________________________________________________________________________________

HOLMENS KANAL 9

1060 KØBENHAVN K

TELEFON: 72 81 00 00

TELEFAX: 72 81 03 00

MAIL: [email protected]

WEB: www.FMN.DK

CVR: 25-77-56-35

EAN: 5798000201200

L 139 - 2017-18 - Bilag 7: Kopi til orientering af besvarelser på lovforslag nr. L 135, L 144 og L 145 med relevans for lovforslag nr. L 139

ret som operatører af væsentlige tjenester eller udbydere af digitale tjenester,

kan foretage frivillige underretninger om hændelser, der har væsentlige kon-

sekvenser for kontinuiteten af de tjenester, som de leverer, og at frivillige un-

derretninger skal behandles efter samme regler som pligtmæssige underret-

ninger, jf. artikel 20.

Det følger af direktivets artikel 14, stk. 4, at der ved fastlæggelsen af, om en

hændelses konsekvenser er betydelige, navnlig skal lægges vægt på følgende

forhold: Antallet af brugere, der berøres af hændelsen, hændelsens varighed

og den geografiske udbredelse med hensyn til det område, der berøres af

hændelsen. Der gælder nogenlunde tilsvarende kriterier i forhold til udbydere

af digitale tjenester, jf. artikel 16, stk. 4.

Bortset fra kravet om, at underretninger skal indeholde oplysninger, der gør

det muligt at fastslå eventuelle grænseoverskridende konsekvenser af hæn-

delsen, indeholder NIS-direktivet ikke krav om, hvilke oplysninger en under-

retning i øvrigt skal indeholde. Det vil derfor være op til ressortmyndighederne

inden for de enkelte sektorer at fastsætte nærmere regler om underretning

inden for deres respektive sektorer.

Det vil i almindelighed være tilstrækkeligt for at kunne varetage de opgaver,

som følger af direktivet, jf. nedenfor, at underretningerne indeholder overord-

nede oplysninger om hændelsen, herunder om den berørte virksomhed, tids-

punktet for og varigheden af hændelsen, beskrivelse af hændelsen og dens

konsekvenser samt en vurdering af mulige grænseoverskridende konsekven-

ser af hændelsen. Underretningerne vil som det helt klare udgangspunkt ikke

indeholde personoplysninger, bortset fra eventuelle oplysninger om den med-

arbejder, som har forestået selve underretningen. Hvis hændelsen er forårsa-

get af et egentligt angreb, vil det desuden kunne være relevant at anføre IP-

adresser, mailadresser mv., som anvendes af den ondsindede aktør. Det vil

eksempelvis også kunne være relevant at medtage såkaldte phishing-mails,

der har forårsaget en hændelse.

Underretningerne er en forudsætning for, at tilsynsmyndighederne, CSIRT’en

og det centrale kontaktpunkt kan varetage en række opgaver efter NIS-

direktivet. Visse af opgaverne forudsætter, at der videregives oplysninger til

andre myndigheder, herunder udenlandske. Det kan i den forbindelse næv-

nes, at underretningerne bl.a. skal danne grundlag for, at det nationale cen-

trale kontaktpunkt årligt kan forelægge en sammenfattende rapport om mod-

tagne underretninger for EU’s Samarbejdsgruppe, jf. artikel 10, stk.

3. Det

fremgår endvidere af bestemmelsen, at den sammenfattende rapport bør in-

deholde oplysninger om antallet af modtagne underretninger og arten af de

underrettede hændelser. Det fremgår udtrykkeligt af betragtning nr. 33 til di-

rektivet, at den sammenfattende rapport bør anonymiseres for at sikre, at un-

derretningerne og identiteten på den underrettende operatør eller tjeneste

forbliver fortrolige, eftersom oplysninger om de underrettende enheders iden-

titet ikke er påkrævet for udveksling af bedste praksis i Samarbejdsgruppen.

L 139 - 2017-18 - Bilag 7: Kopi til orientering af besvarelser på lovforslag nr. L 135, L 144 og L 145 med relevans for lovforslag nr. L 139

Underretningerne er også en forudsætning for, at tilsynsmyndigheden eller

CSIRT’en kan orientere andre medlemsstater om hændelser af relevans for

dem, jf. artikel 14, stk. 5, og artikel 16, stk. 6. I den forbindelse sikrer til-

synsmyndigheden eller CSIRT’en i overensstemmelse med EU-retten

eller na-

tional lovgivning, der er i overensstemmelse med EU-retten, sikkerheden og

de kommercielle interesser for operatøren eller udbyderen samt fortrolig be-

handling af de oplysninger, der er givet i dennes underretning.

Underretningerne er derudover en forudsætning for, at tilsynsmyndigheden el-

ler CSIRT’en kan orientere offentligheden om konkrete hændelser, hvis offent-

lighedens kendskab hertil er nødvendigt for at forebygge en hændelse eller

håndtere en igangværende hændelse, jf. artikel 14, stk. 6, og artikel 16, stk.

7. Det følger af direktivet, at offentliggørelsen skal ske under hensyntagen til

bl.a. operatørens sikkerhed, operatørens kommercielle interesser og fortrolig

behandling af de af operatøren angivne oplysninger i forbindelse med dennes

underretning. For så vidt angår udbydere af digitale tjenester kan offentliggø-

relse endvidere ske, hvis det i øvrigt er i offentlighedens interesse.

Der er ved implementeringen af NIS-direktivet i dansk ret lagt op til, at opga-

verne som CSIRT og centralt kontaktpunkt skal varetages af Center for Cyber-

sikkerhed. Der er endvidere lagt op til, at centeret skal varetage opgaverne

med at underrette andre medlemsstater om hændelser med grænseoverskri-

dende konsekvenser og at orientere offentligheden om konkrete hændelser i

de tilfælde, hvor hændelsen berører flere sektorer. Forsvarsministeriet har den

7. februar 2018 fremsat lovforslag nr. L 139 om sikkerhed i net- og informati-

onssystemer for operatører af væsentlige internetudvekslingspunkter mv.,

som regulerer Center for Cybersikkerheds opgavevaretagelse på området. Der

er med lovforslaget bl.a. lagt op til at give centeret en udtrykkelig hjemmel til

at videregive de modtagne underretninger om hændelser af grænseoverskri-

dende karakter til nationale tilsynsmyndigheder, CSIRT’er og nationale centra-

le kontaktpunkter i andre EU-medlemslande samt til CSIRT-netværket (opera-

tionelt samarbejdsforum i EU). Der lægges i den forbindelse op til, at der bør

ske orientering af den underrettende operatør eller udbyder af digitale tjene-

ster i forbindelse med videregivelsen. Operatøren eller udbyderen vil ligeledes

modtage kopi af de videregivne oplysninger.

For så vidt angår orientering af offentligheden om en konkret hændelse, er

der lagt op til, at orienteringen som udgangspunkt varetages af de enkelte til-

synsmyndigheder, idet orienteringen dog foretages af Center for Cybersikker-

hed i de tilfælde, hvor en hændelse berører flere sektorer. Det fremgår ud-

trykkeligt af lovudkastet, at centerets orientering ikke må indeholde oplysnin-

ger om enkeltpersoners forhold. Videregivelsen af oplysninger fra Center for

Cybersikkerhed til andre myndigheder, herunder udenlandske, vil basere sig

på de modtagne underretninger, og der vil således i almindelighed være tale

om at videregive overordnede oplysninger om en hændelse.

L 139 - 2017-18 - Bilag 7: Kopi til orientering af besvarelser på lovforslag nr. L 135, L 144 og L 145 med relevans for lovforslag nr. L 139

Der vil som det helt klare udgangspunkt ikke blive tale om at videregive per-

sonoplysninger. Dog vil det efter omstændighederne kunne være relevant at

videregive oplysninger om IP-adresser, mailadresser mv., som anvendes af en

formodet ondsindet aktør, der måtte have forårsaget den pågældende hæn-

delse, med henblik på, at andre kan beskytte sig mod tilsvarende angreb. Af

samme grund vil det f.eks. også kunne være relevant at medtage såkaldte

phishing-mails, der har forårsaget en hændelse. Hvis der måtte være behov

for at videregive personoplysninger, vil det skulle ske i overensstemmelse med

reglerne i lov om Center for Cybersikkerhed (CFCS-loven). Reglerne om be-

handling, herunder videregivelse, af personoplysninger er fastsat i CFCS-

lovens kapitel 6, som indeholder størstedelen af de centrale principper fra per-

sondataloven.”

Jeg kan henholde mig til FE/Center for Cybersikkerheds udtalelse.

Med venlig hilsen

Claus Hjort Frederiksen