Forsvarsudvalget 2017-18
L 155 Bilag 4
Offentligt
1883985_0001.png
Folketingets Forsvarsudvalg
Christiansborg
FORSVARSMINISTEREN
20. april 2018
Folketingets Forsvarsudvalg har den 10. april 2018 stillet følgende spørgsmål nr. 11 vedrø-
rende L 155 til forsvarsministeren, som hermed besvares. Spørgsmålet er stillet efter ønske
fra ikkemedlem af udvalget (MFU) Lisbeth Bech Poulsen (SF).
Spørgsmål nr. 11:
”Ministeren bedes yde teknisk bistand til formuleringen af ændringsforslag, der indebærer:
– At Center for Cybersikkerhed ikke længere er en del af Forsvarets Efterretningstjeneste,
men i stedet bliver en selvstændig civil myndighed indenfor forsvarsministerens ressort.
– At alle Center for Cybersikkerheds aktiviteter i relation til gennemførelsen af NIS direkti-
vet, i alle sektorer, som en del af loven om CFCS er omfattet af databeskyttelsesforordnin-
gen og databeskyttelsesloven, således at enkelte dele kun i særlige tilfælde af hensyn til
f.eks. statens sikkerhed kan undtages, mens udgangspunktet er, at alt er omfattet af data-
beskyttelsesforordning og databeskyttelseslov.
Såfremt de nævnte ændringer i Lov om Center for Cybersikkerhed gør det nødvendigt også
at stille ændringsforslag til L 139, bedes dette oplyst og i givet fald bedes det angivet, hvilke
ændringer i L 139, der er nødvendige.”
Svar:
1.
Et ændringsforslag vil kunne udformes således:
_______________________________________________________________________________________________________________________________________________
HOLMENS KANAL 9
1060 KØBENHAVN K
TELEFON: 72 81 00 00
TELEFAX: 72 81 03 00
MAIL: [email protected]
WEB: www.FMN.DK
CVR: 25-77-56-35
EAN: 5798000201200
L 155 - 2017-18 - Bilag 4: Kopi til orientering af svar på Transport-, Bygnings- og Boligudvalgets L 135 - spørgsmål 12 om regeringens holdning til ændringsforslagene fra Enhedslisten, fra forsvarsministeren
Ȯndringsforslag
til
Forslag til lov om ændring af lov om Center for Cybersikkerhed
(Konsekvensændringer som følge af databeskyttelsesforordningen
og databeskyttelsesloven)
(L 155)
Af (…), tiltrådt af (…)
Til titlen
1)
Titlen affattes således:
»Forslag
til
Lov om ændring af lov om Center for Cybersikkerhed og lov om Forsvarets Efter-
retningstjeneste (FE)
(Ændringer i forbindelse med databeskyttelsesforordningen og databeskyttelsesloven samt
ny placering af Center for Cybersikkerhed)«.
[Konsekvens af ophævelse af bestemmelser vedrørende placeringen af Center for Cybersik-
kerhed]
Til § 1
2)
Før nr. 1 indsættes som nyt nummer:
»01.
§ 1, stk. 2,
ophæves.«
[Ophævelse af bestemmelse om Center for Cybersikkerheds placering som en del af Forsva-
rets Efterretningstjeneste]
3)
I nr. 1 indsættes efter »jf. § 1, stk. 2, i lov om retshåndhævende myndigheders be-
handling af personoplysninger«: », jf. dog stk. 2«
[Henvisning til ny bestemmelse om, at Center for Cybersikkerheds aktiviteter i medfør af
NIS-direktivet omfattes af databeskyttelsesloven og databeskyttelsesforordningen]
4)
Efter nr. 1 indsættes som nyt nummer:
»02. I
§ 8
indsættes efter stk. 1 som nyt stykke:
L 155 - 2017-18 - Bilag 4: Kopi til orientering af svar på Transport-, Bygnings- og Boligudvalgets L 135 - spørgsmål 12 om regeringens holdning til ændringsforslagene fra Enhedslisten, fra forsvarsministeren
»
Stk. 2.
Databeskyttelsesloven og Europa-Parlamentets og Rådets forordning nr. 2016/679
af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af person-
oplysninger og om fri udveksling af sådanne oplysninger finder dog anvendelse på Center
for Cybersikkerheds virke som tilsynsmyndighed for internetudvekslingspunkter, national it-
beredskabsenhed (CSIRT) og nationalt centralt kontaktpunkt i medfør af Europa-
Parlamentets og Rådets direktiv nr. 2016/1148 af 6. juni 2016 om foranstaltninger, der skal
sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen.«
Stk. 2 og 3 bliver herefter stk. 3 og 4.«.«
[Ny bestemmelse om, at Center for Cybersikkerheds aktiviteter i medfør af NIS-direktivet
omfattes af databeskyttelsesloven og databeskyttelsesforordningen]
5)
I nr. 2 ændres »
§ 8, stk. 2
« til: »
§ 8, stk. 3
«.
[Konsekvens af ændringsforslag nr. 4]
6)
Efter nr. 2 indsættes som nyt nummer:
»03. I
§ 8, stk. 3, 1. pkt.,
der bliver stk. 4, 1. pkt., indsættes efter »Center for Cybersikker-
hed«: », der ikke er omfattet af stk. 2,«.«
[Konsekvens af ændringsforslag nr. 4]
Ny paragraf
7)
Efter § 1 indsættes som ny paragraf:
Ȥ
01
I lov om Forsvarets Efterretningstjeneste (FE), jf. lovbekendtgørelse nr. 1287 af 28. novem-
ber 2017, foretages følgende ændringer:
1.
§ 1, stk. 3,
ophæves.
Stk. 4 og 5 bliver herefter stk. 3 og 4.
2.
I
§ 1, stk. 5,
der bliver stk. 4, ændres »1-4« til: »1-3«
3.
I
§ 4, stk. 2, nr. 2,
og
§ 5, stk. 2, nr. 2,
ændres »§ 1, stk. 1 og 4« til: »§ 1, stk. 1 og 3«.«
[Ophævelse af bestemmelse om opgaver, som varetages af Center for Cybersikkerhed, samt
konsekvensændringer som følge heraf.]
L 155 - 2017-18 - Bilag 4: Kopi til orientering af svar på Transport-, Bygnings- og Boligudvalgets L 135 - spørgsmål 12 om regeringens holdning til ændringsforslagene fra Enhedslisten, fra forsvarsministeren
Bemærkninger
Til nr. 1
Titlen konsekvensændres.
Til nr. 2 og 7
Center for Cybersikkerhed er oprettet som en del af Forsvarets Efterretningstjeneste, hvilket
fremgår af § 1, stk. 2, i lov nr. 713 af 25. juni 2014 om Center for Cybersikkerhed. Det
fremgår desuden af § 1, stk. 3, i lov om Forsvarets Efterretningstjeneste, jf. lovbekendtgø-
relse nr. 1287 af 28. november 2017, at Forsvarets Efterretningstjeneste er national it-
sikkerhedsmyndighed, militær varslingstjeneste for internettrusler m.v. (MILCERT) og stats-
lig varslingstjeneste for internettrusler (GovCERT). Disse opgaver varetages af Center for
Cybersikkerhed. Det foreslås, at bestemmelserne ophæves.
Til nr. 3 og 4
Med forslaget sættes databeskyttelsesloven og databeskyttelsesforordningen i kraft for Cen-
ter for Cybersikkerheds behandling af personoplysninger i forbindelse med de opgaver, som
Center for Cybersikkerhed bliver tillagt i forbindelse med implementeringen af Europa-
Parlamentets og Rådets direktiv 2016/1148 af 6. juni 2016 om foranstaltninger, der skal
sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen (NIS-
direktivet).
Til nr. 5 og 6
Konsekvensændringer som følge af forslaget om at indsætte et nyt § 8, stk. 2, i lov om Cen-
ter for Cybersikkerhed.
2.
Jeg kan ikke støtte et sådant ændringsforslag.
Baggrunden for placeringen af Center for Cybersikkerhed ved Forsvarets Efterretningstjene-
ste (FE) var særligt at opnå synergieffekter i form af eksempelvis udnyttelse af FE’s erfarin-
ger inden for it-sikkerhedsområdet, viden om det internationale trusselsbillede på cyberom-
rådet og særlige adgang til oplysninger fra udlandet om cybertrusler.
L 155 - 2017-18 - Bilag 4: Kopi til orientering af svar på Transport-, Bygnings- og Boligudvalgets L 135 - spørgsmål 12 om regeringens holdning til ændringsforslagene fra Enhedslisten, fra forsvarsministeren
De fleste alvorlige cyberangreb kommer fra udlandet, og FE har som udenrigsefterretnings-
tjeneste en særlig fortrolig viden om avancerede cyberangreb, og hvem der står bag. Den
viden har Center for Cybersikkerhed adgang til som en del af FE, og den udgør fundamentet
i det ekstra lag af beskyttelse mod avancerede cyberangreb, som Center for Cybersikkerhed
kan bibringe Danmark. Den viden ville Center for Cybersikkerhed ikke kunne opnå ved en
placering uden for FE, og dermed ville muligheden for at beskytte Danmark mod cyberan-
greb blive ringere. Endvidere sikrer placeringen ved FE, at Danmarks meget specialiserede,
men knappe ressourcer på it-sikkerhedsområdet samles ét sted, og hermed undgås det at
opbygge parallelle kapaciteter.
En udskillelse af Center for Cybersikkerhed fra Forsvarets Efterretningstjeneste (FE) vil der-
udover ikke nødvendigvis medføre, at Center for Cybersikkerhed vil blive omfattet af data-
beskyttelsesreguleringen. Centeret vil stadig skulle løse opgaver vedrørende statens sikker-
hed, og dermed vil der stadig være behov for at undtage i hvert fald dele af centerets akti-
viteter fra databeskyttelsesreguleringen.
Det kan i den forbindelse nævnes, at GovCERT, som var forgængeren til Center for Cyber-
sikkerhed og en del af den daværende IT- og Telestyrelse under Ministeriet for Videnskab,
Teknologi og Udvikling, ikke var omfattet af retten til at gøre indsigelse efter persondatalo-
vens § 35, jf. § 5, stk. 1, i lov nr. 596 af 14. juni 2011 om behandling af personoplysninger
ved driften af den statslige varslingstjeneste for internettrusler m.v. Det fremgår endvidere
af de almindelige bemærkninger til denne lov (L 197, fremsat 27. april 2011), at de person-
oplysninger, som GovCERT behandlede i forbindelse med sit virke, var undtaget fra indsigts-
retten efter undtagelsesbestemmelsen i persondatalovens § 32, stk. 2.
I forhold til forslaget om at sætte databeskyttelsesloven og databeskyttelsesforordningen i
kraft for de dele af Center for Cybersikkerheds virke, der følger af NIS-direktivet, bemærkes
det, at det vil betyde, at der vil blive stillet en række nye – og især formelle – krav til Center
for Cybersikkerheds behandling af personoplysninger.
Henset til de regler for behandling af personoplysninger, der allerede i dag gælder for Cen-
ter for Cybersikkerhed, vurderes det ikke, at de krav, der følger af databeskyttelsesforord-
ningen og den foreslåede databeskyttelseslov, vil medføre en realitetsændring for så vidt
angår borgernes retssikkerhed og hensynet til privatlivets fred.
Kravene vil imidlertid have administrative konsekvenser for Center for Cybersikkerhed.
Blandt de nye krav, som databeskyttelsesforordningen stiller, kan således fremhæves krav
om udpegning af en databeskyttelsesrådgiver, at der skal gennemføres konsekvensanalyser,
L 155 - 2017-18 - Bilag 4: Kopi til orientering af svar på Transport-, Bygnings- og Boligudvalgets L 135 - spørgsmål 12 om regeringens holdning til ændringsforslagene fra Enhedslisten, fra forsvarsministeren
og at nye it-systemer skal have indbygget databeskyttelse (privacy by design or by default).
Såfremt disse krav skal finde anvendelse for Center for Cybersikkerheds myndighedsopgaver
efter NIS-direktivet, vil konsekvensen bl.a. være, at centeret vil skulle benytte forskellige it-
systemer til de forskellige dele af centerets virksomhed, hvilket vil være forbundet med
øgede omkostninger.
Det kan i den forbindelse oplyses, at det er forventningen, at der – som ved centerets virk-
somhed på teleområdet – alene vil blive behandlet ganske få personoplysninger i forbindelse
med de myndighedsopgaver, som centeret tillægges som led i implementeringen af NIS-
direktivet.
Derudover følger det allerede af det fremsatte lovforslag, at forsvarsministeren – såfremt
der viser sig at være behov herfor – vil kunne bestemme, at databeskyttelsesloven og data-
beskyttelsesforordningen helt eller delvis finder anvendelse for de myndighedsopgaver ved-
rørende informationssikkerhed, som Center for Cybersikkerhed skal varetage i medfør af
NIS-direktivet.
Det bemærkes i øvrigt, at ændringsforslaget vil medføre, at lovforslaget vil få et andet ind-
hold end det lovforslag, der blev 1. behandlet i Folketinget den 15. marts 2018. Det skal i
den forbindelse oplyses, at Forsvarsministeriet ikke har foretaget en vurdering af, om dette
vil rejse spørgsmål i forhold til grundlovens § 41, stk. 2 (identitetsprincippet).
Med venlig hilsen
Claus Hjort Frederiksen