L 155 - 2017-18 - Endeligt svar på spørgsmål 11: MFU spm. om ministeren vil yde teknisk bistand til formuleringen af et ændringsforslag, til forsvarsministeren

Forsvarsudvalget 2017-18
L 155
Offentligt

Fejl! Ukendt betegnelse for dokumentegenskab.

Folketingets Forsvarsudvalg

Christiansborg

FORSVARSMINISTEREN

20. april 2018

Folketingets Forsvarsudvalg har den 10. april 2018 stillet følgende spørgsmål nr. 11 vedrø-

rende L 155 til forsvarsministeren, som hermed besvares. Spørgsmålet er stillet efter ønske

fra ikkemedlem af udvalget (MFU) Lisbeth Bech Poulsen (SF).

Spørgsmål nr. 11:

”Ministeren

bedes yde teknisk bistand til formuleringen af ændringsforslag, der indebærer:

–

At Center for Cybersikkerhed ikke længere er en del af Forsvarets Efterretningstjeneste,

men i stedet bliver en selvstændig civil myndighed indenfor forsvarsministerens ressort.

–

At alle Center for Cybersikkerheds aktiviteter i relation til gennemførelsen af NIS direkti-

vet, i alle sektorer, som en del af loven om CFCS er omfattet af databeskyttelsesforordnin-

gen og databeskyttelsesloven, således at enkelte dele kun i særlige tilfælde af hensyn til

f.eks. statens sikkerhed kan undtages, mens udgangspunktet er, at alt er omfattet af data-

beskyttelsesforordning og databeskyttelseslov.

Såfremt de nævnte ændringer i Lov om Center for Cybersikkerhed gør det nødvendigt også

at stille ændringsforslag til L 139, bedes dette oplyst og i givet fald bedes det angivet, hvilke

ændringer i L 139, der er nødvendige.”

Svar:

Et ændringsforslag vil kunne udformes således:

_______________________________________________________________________________________________________________________________________________

HOLMENS KANAL 9

1060 KØBENHAVN K

TELEFON: 72 81 00 00

TELEFAX: 72 81 03 00

MAIL: [email protected]

WEB: www.FMN.DK

CVR: 25-77-56-35

EAN: 5798000201200

Fejl! Ukendt betegnelse for dokumentegenskab.

L 155 - 2017-18 - Endeligt svar på spørgsmål 11: MFU spm. om ministeren vil yde teknisk bistand til formuleringen af et ændringsforslag, til forsvarsministeren

»Ændringsforslag

til

Forslag til lov om ændring af lov om Center for Cybersikkerhed

(Konsekvensændringer som følge af databeskyttelsesforordningen

og databeskyttelsesloven)

(L 155)

Af (…), tiltrådt af (…)

Til titlen

Titlen affattes således:

»Forslag

til

Lov om ændring af lov om Center for Cybersikkerhed og lov om Forsvarets Efter-

retningstjeneste (FE)

(Ændringer i forbindelse med databeskyttelsesforordningen og databeskyttelsesloven samt

ny placering af Center for Cybersikkerhed)«.

[Konsekvens af ophævelse af bestemmelser vedrørende placeringen af Center for Cybersik-

kerhed]

Til § 1

Før nr. 1 indsættes som nyt nummer:

»01.

§ 1, stk. 2,

ophæves.«

[Ophævelse af bestemmelse om Center for Cybersikkerheds placering som en del af Forsva-

rets Efterretningstjeneste]

I nr. 1 indsættes efter »jf. § 1, stk. 2, i lov om retshåndhævende myndigheders be-

handling af personoplysninger«: », jf. dog stk. 2«

[Henvisning til ny bestemmelse om, at Center for Cybersikkerheds aktiviteter i medfør af

NIS-direktivet omfattes af databeskyttelsesloven og databeskyttelsesforordningen]

Efter nr. 1 indsættes som nyt nummer:

»02. I

§ 8

indsættes efter stk. 1 som nyt stykke:

L 155 - 2017-18 - Endeligt svar på spørgsmål 11: MFU spm. om ministeren vil yde teknisk bistand til formuleringen af et ændringsforslag, til forsvarsministeren

Stk. 2.

Databeskyttelsesloven og Europa-Parlamentets og Rådets forordning nr. 2016/679

af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af person-

oplysninger og om fri udveksling af sådanne oplysninger finder dog anvendelse på Center

for Cybersikkerheds virke som tilsynsmyndighed for internetudvekslingspunkter, national it-

beredskabsenhed (CSIRT) og nationalt centralt kontaktpunkt i medfør af Europa-

Parlamentets og Rådets direktiv nr. 2016/1148 af 6. juni 2016 om foranstaltninger, der skal

sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen.«

Stk. 2 og 3 bliver herefter stk. 3 og 4.«.«

[Ny bestemmelse om, at Center for Cybersikkerheds aktiviteter i medfør af NIS-direktivet

omfattes af databeskyttelsesloven og databeskyttelsesforordningen]

I nr. 2 ændres »

§ 8, stk. 2

« til: »

§ 8, stk. 3

«.

[Konsekvens af ændringsforslag nr. 4]

Efter nr. 2 indsættes som nyt nummer:

»03. I

§ 8, stk. 3, 1. pkt.,

der bliver stk. 4, 1. pkt., indsættes efter »Center for Cybersikker-

hed«: », der ikke er omfattet af stk. 2,«.«

[Konsekvens af ændringsforslag nr. 4]

Ny paragraf

Efter § 1 indsættes som ny paragraf:

»§

I lov om Forsvarets Efterretningstjeneste (FE), jf. lovbekendtgørelse nr. 1287 af 28. novem-

ber 2017, foretages følgende ændringer:

§ 1, stk. 3,

ophæves.

Stk. 4 og 5 bliver herefter stk. 3 og 4.

§ 1, stk. 5,

der bliver stk. 4, ændres »1-4« til: »1-3«

§ 4, stk. 2, nr. 2,

§ 5, stk. 2, nr. 2,

ændres »§ 1, stk. 1 og 4« til: »§ 1, stk. 1 og 3«.«

[Ophævelse af bestemmelse om opgaver, som varetages af Center for Cybersikkerhed, samt

konsekvensændringer som følge heraf.]

L 155 - 2017-18 - Endeligt svar på spørgsmål 11: MFU spm. om ministeren vil yde teknisk bistand til formuleringen af et ændringsforslag, til forsvarsministeren

Bemærkninger

Til nr. 1

Titlen konsekvensændres.

Til nr. 2 og 7

Center for Cybersikkerhed er oprettet som en del af Forsvarets Efterretningstjeneste, hvilket

fremgår af § 1, stk. 2, i lov nr. 713 af 25. juni 2014 om Center for Cybersikkerhed. Det

fremgår desuden af § 1, stk. 3, i lov om Forsvarets Efterretningstjeneste, jf. lovbekendtgø-

relse nr. 1287 af 28. november 2017, at Forsvarets Efterretningstjeneste er national it-

sikkerhedsmyndighed, militær varslingstjeneste for internettrusler m.v. (MILCERT) og stats-

lig varslingstjeneste for internettrusler (GovCERT). Disse opgaver varetages af Center for

Cybersikkerhed. Det foreslås, at bestemmelserne ophæves.

Til nr. 3 og 4

Med forslaget sættes databeskyttelsesloven og databeskyttelsesforordningen i kraft for Cen-

ter for Cybersikkerheds behandling af personoplysninger i forbindelse med de opgaver, som

Center for Cybersikkerhed bliver tillagt i forbindelse med implementeringen af Europa-

Parlamentets og Rådets direktiv 2016/1148 af 6. juni 2016 om foranstaltninger, der skal

sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen (NIS-

direktivet).

Til nr. 5 og 6

Konsekvensændringer som følge af forslaget om at indsætte et nyt § 8, stk. 2, i lov om Cen-

ter for Cybersikkerhed.

Jeg kan ikke støtte et sådant ændringsforslag.

Baggrunden for placeringen af Center for Cybersikkerhed ved Forsvarets Efterretningstjene-

ste (FE) var særligt at opnå synergieffekter i form af eksempelvis udnyttelse af FE’s erfarin-

ger inden for it-sikkerhedsområdet, viden om det internationale trusselsbillede på cyberom-

rådet og særlige adgang til oplysninger fra udlandet om cybertrusler.

L 155 - 2017-18 - Endeligt svar på spørgsmål 11: MFU spm. om ministeren vil yde teknisk bistand til formuleringen af et ændringsforslag, til forsvarsministeren

De fleste alvorlige cyberangreb kommer fra udlandet, og FE har som udenrigsefterretnings-

tjeneste en særlig fortrolig viden om avancerede cyberangreb, og hvem der står bag. Den

viden har Center for Cybersikkerhed adgang til som en del af FE, og den udgør fundamentet

i det ekstra lag af beskyttelse mod avancerede cyberangreb, som Center for Cybersikkerhed

kan bibringe Danmark. Den viden ville Center for Cybersikkerhed ikke kunne opnå ved en

placering uden for FE, og dermed ville muligheden for at beskytte Danmark mod cyberan-

greb blive ringere. Endvidere sikrer placeringen ved FE, at Danmarks meget specialiserede,

men knappe ressourcer på it-sikkerhedsområdet samles ét sted, og hermed undgås det at

opbygge parallelle kapaciteter.

En udskillelse af Center for Cybersikkerhed fra Forsvarets Efterretningstjeneste (FE) vil der-

udover ikke nødvendigvis medføre, at Center for Cybersikkerhed vil blive omfattet af data-

beskyttelsesreguleringen. Centeret vil stadig skulle løse opgaver vedrørende statens sikker-

hed, og dermed vil der stadig være behov for at undtage i hvert fald dele af centerets akti-

viteter fra databeskyttelsesreguleringen.

Det kan i den forbindelse nævnes, at GovCERT, som var forgængeren til Center for Cyber-

sikkerhed og en del af den daværende IT- og Telestyrelse under Ministeriet for Videnskab,

Teknologi og Udvikling, ikke var omfattet af retten til at gøre indsigelse efter persondatalo-

vens § 35, jf. § 5, stk. 1, i lov nr. 596 af 14. juni 2011 om behandling af personoplysninger

ved driften af den statslige varslingstjeneste for internettrusler m.v. Det fremgår endvidere

af de almindelige bemærkninger til denne lov (L 197, fremsat 27. april 2011), at de person-

oplysninger, som GovCERT behandlede i forbindelse med sit virke, var undtaget fra indsigts-

retten efter undtagelsesbestemmelsen i persondatalovens § 32, stk. 2.

I forhold til forslaget om at sætte databeskyttelsesloven og databeskyttelsesforordningen i

kraft for de dele af Center for Cybersikkerheds virke, der følger af NIS-direktivet, bemærkes

det, at det vil betyde, at der vil blive stillet en række nye

–

og især formelle

–

krav til Center

for Cybersikkerheds behandling af personoplysninger.

Henset til de regler for behandling af personoplysninger, der allerede i dag gælder for Cen-

ter for Cybersikkerhed, vurderes det ikke, at de krav, der følger af databeskyttelsesforord-

ningen og den foreslåede databeskyttelseslov, vil medføre en realitetsændring for så vidt

angår borgernes retssikkerhed og hensynet til privatlivets fred.

Kravene vil imidlertid have administrative konsekvenser for Center for Cybersikkerhed.

Blandt de nye krav, som databeskyttelsesforordningen stiller, kan således fremhæves krav

om udpegning af en databeskyttelsesrådgiver, at der skal gennemføres konsekvensanalyser,

L 155 - 2017-18 - Endeligt svar på spørgsmål 11: MFU spm. om ministeren vil yde teknisk bistand til formuleringen af et ændringsforslag, til forsvarsministeren

og at nye it-systemer skal have indbygget databeskyttelse (privacy by design or by default).

Såfremt disse krav skal finde anvendelse for Center for Cybersikkerheds myndighedsopgaver

efter NIS-direktivet, vil konsekvensen bl.a. være, at centeret vil skulle benytte forskellige it-

systemer til de forskellige dele af centerets virksomhed, hvilket vil være forbundet med

øgede omkostninger.

Det kan i den forbindelse oplyses, at det er forventningen, at der

–

som ved centerets virk-

somhed på teleområdet

–

alene vil blive behandlet ganske få personoplysninger i forbindelse

med de myndighedsopgaver, som centeret tillægges som led i implementeringen af NIS-

direktivet.

Derudover følger det allerede af det fremsatte lovforslag, at forsvarsministeren

–

såfremt

der viser sig at være behov herfor

–

vil kunne bestemme, at databeskyttelsesloven og data-

beskyttelsesforordningen helt eller delvis finder anvendelse for de myndighedsopgaver ved-

rørende informationssikkerhed, som Center for Cybersikkerhed skal varetage i medfør af

NIS-direktivet.

Det bemærkes i øvrigt, at ændringsforslaget vil medføre, at lovforslaget vil få et andet ind-

hold end det lovforslag, der blev 1. behandlet i Folketinget den 15. marts 2018. Det skal i

den forbindelse oplyses, at Forsvarsministeriet ikke har foretaget en vurdering af, om dette

vil rejse spørgsmål i forhold til grundlovens § 41, stk. 2 (identitetsprincippet).

Med venlig hilsen

Claus Hjort Frederiksen