L 135 - 2017-18 - Endeligt svar på spørgsmål 10: Spm. om ministeren vil uddybe baggrunden for vurderingen af, at lovforslaget kun vil få mindre økonomiske og administrative konsekvenser for de berørte offentlige og private operatører af væsentlige transporttjenester, til transport-, bygnings- og boligministeren

Transport-, Bygnings- og Boligudvalget 2017-18
L 135
Offentligt

MINISTEREN

Transport-, Bygnings- og Boligudvalget

Folketinget

Dato

J. nr.

5. marts 2018

2018-1324

Frederiksholms Kanal 27 F

1220 København K

Telefon

41 71 27 00

Transport-, Bygnings- og Boligudvalget har i brev af 23. februar 2018 stillet mig

følgende spørgsmål vedrørende L135 – Forslag til lov om sikkerhed i net- og

informationssystemer i transportsektoren, som jeg hermed skal besvare.

Spørgsmålet er stillet efter ønske fra Rasmus Prehn (S), Kim Christiansen (DF),

Henning Hyllested (EL), Andreas Steenberg (RV), Karsten Hønge (SF) og Ro-

ger Courage Matthisen (ALT).

Spørgsmål nr. 10:

Ministeren bedes uddybe baggrunden for vurderingen af, at lovforslaget kun vil

få mindre økonomiske og administrative konsekvenser for de berørte offentlige

og private operatører af væsentlige transporttjenester. Dette da det ikke umid-

delbart ses at fremgå af høringssvar eller høringsnotat, hvordan eksempelvis

Københavns Lufthavn, DSB, Banedanmark eller Naviair vurderer lovforslagets

konsekvenser.

Svar:

Indledningsvist skal jeg bemærke, at de nævnte operatører alle har været hørt

over lovforslaget.

Det er min forventning, at der alene vil blive udpeget nogle ganske få private og

offentlige aktører, som alle vil være karakteriseret ved at være særdeles store

operatører, der alle leverer en unik tjeneste inden for hver deres område, som

er afhængige af IT-systemer og som har en transportmæssig kritisk og national

betydning for hvert deres område.

Kravet om, at en operatør af væsentlige transporttjenester skal være certificeret

i henhold til en internationalt anerkendt standard, skønnes afhængigt af certifi-

ceringsparatheden hos den enkelte operatør at udgøre op til 200.000 kr. i di-

rekte engangsomkostninger og 40.000-100.000 kr. i direkte årlige vedligehol-

delsesomkostninger til selve certificeringen. Hvis der er tale om en operatør,

der ikke er certificeringsparat, og som har brug for at gennemføre tilpasninger

af net- og informationssystemer m.m., vil omkostningerne for den enkelte ope-

ratør kunne være større, afhængigt af hvor meget der udestår for operatøren for

at kunne opnå den efterspurgte certificering.

L 135 - 2017-18 - Endeligt svar på spørgsmål 10: Spm. om ministeren vil uddybe baggrunden for vurderingen af, at lovforslaget kun vil få mindre økonomiske og administrative konsekvenser for de berørte offentlige og private operatører af væsentlige transporttjenester, til transport-, bygnings- og boligministeren

Lovforslagets certificeringsmodel har sideløbende med udarbejdelsen af lov-

forslaget været drøftet med Københavns Lufthavn, DSB og Naviair. Disse ope-

ratører følger i vidt omfang allerede i dag en internationalt anerkendt standard

for sikkerheden i net- og informationssystemer. Det gør de, fordi standarden

giver en systematisk og tidssvarende tilgang til at styre de risici, der er ved at

være afhængig af net- og informationssystemer. Disse operatører har alle selv

en interesse i, at de har en robusthed i forhold til at kunne levere den ydelse, de

lever af, og at de kan levere den uden væsentlige forsinkelser og gener.

De nævnte operatører har derfor allerede i dag indrettet deres virksomheder, så

de i vidt omfang efterlever de internationale standarder. Det vil derfor ikke

være fremmed for disse operatører at lade sig certificere i henhold til en inter-

national standard.

I henhold til regeringens nationale strategi for cyber- og informationssikkerhed

fra december 2014 har BaneDanmark, som alle statslige myndigheder siden

2016, været forpligtet til at implementere den internationale sikkerhedsstan-

dard ISO27001.

Det vurderes, at de operatører, der vil kunne komme i betragtning til en udpeg-

ning efter loven, i et eller andet omfang er certificeringsparate. Operatørerne vil

endvidere alle være af en ganske betydelig størrelse. Ud fra en forholdsmæssig

betragtning forventer jeg derfor ikke, at de foreslåede regler vil blive oplevet

som meget bebyrdende for operatørerne af væsentlige transporttjenester.

Ud over omkostningerne til certificering og vedligeholdelse heraf vil der være

begrænsede administrative byrder i forbindelse med den underretning, som

operatørerne skal sende til myndighederne. Det forventes, at der vil være et

begrænset antal underretninger fra den enkelte operatør på årsbasis. Selve den

administrative håndtering af underretningen forventes ikke at overstige 2 timer

pr. hændelse.

Side 2/2

Med

venlig

hilsen

Ole Birk Olesen