L 215 - 2018-19 (1. samling) - Bilag 1: Høringssvar og høringsnotat, fra forsvarsministeren

Forsvarsudvalget 2018-19 (1. samling)
L 215 Bilag 1
Offentligt

KOMMENTERET HØRINGSOVERSIGT

vedrørende

forslag til lov om ændring af lov om Center for Cybersik-

kerhed (Initiativer til styrkelse af cybersikkerheden)

Dato:

27. marts 2019

JSN

2019/000950

890135

Ingen

Et udkast til lovforslaget har i perioden fra den 7. januar 2019 til den

4. februar 2019 været sendt i høring hos følgende myndigheder og

organisationer m.v.:

Advokatrådet, Akademikernes Centralorganisation (AC), Amnesty

International, Dansk Arbejdsgiverforening (DA), Dansk Energi, Dansk

Erhverv, Dansk Industri (DI), Dansk Internet Forum (DIFO), DANSK

IT, Danske Advokater, Danske Rederier, Danske Regioner, Datatilsy-

net, Den Danske Dommerforening, DKCERT, Finans Danmark, Finans-

sektorens Arbejdsgiverforening, Foreningen af Vandværker i Dan-

mark, Foreningen Danske Olieberedskabslagre, Funktionærernes og

Tjenestemændenes Fællesråd (FTF), Institut for Menneskerettighe-

der, ISP Sikkerhedsforum, IT-Branchen, IT-Politisk Forening, ITD,

Justitia, KL, Landbrug & Fødevarer, Landsorganisationen i Danmark

(LO), Ledernes Hovedorganisation, Lægemiddelindustriforeningen

(LIF), Procesindustriens Brancheforening, PROSA, Præsidenten for

Vestre Landsret, Præsidenten for Østre Landsret, Retspolitisk For-

ening, Rigsombudsmanden i Grønland, Rigsombudsmanden på Færø-

erne, Rådet for Digital Sikkerhed, samtlige byretspræsidenter, Sta-

tens IT-projektråd, Teleindustrien (TI) og Tilsynet med Efterretnings-

tjenesterne.

Forsvarsministeriet har modtaget høringssvar fra:

Advokatrådet, Akademikerne, Amnesty International, Dansk Arbejds-

giverforening (DA), Dansk Energi, Dansk Erhverv, DANSK IT, Dansk

Journalistforbund, Dansk Magisterforening, Danske Medier, Danske

Rederier, Danske Regioner, Danske Vandværker, DANVA, Datatilsy-

net, Den Danske Dommerforening, DI, DIFO, DR, Energinet, Fagbe-

vægelsens Hovedorganisation, Finans Danmark, Finanssektorens Ar-

bejdsgiverforening, Forsikring og Pension, Færøernes Landsstyre,

Ingeniørforeningen (IDA), Institut for Menneskerettigheder, IT-

Branchen, IT-Politisk Forening, ITD, KL, Københavns Byret, Lederne,

Lægeforeningen, PROSA, Præsidenten for Vestre Landsret, Præsiden-

ten for Østre Landsret, Retspolitisk Forening, Rådet for Digital Sikker-

Enhed:

Sagsnr.:

Dok.nr.:

Bilag:

Forsvarsministeriet

Holmens Kanal 9

1060 København K

Tlf.: 728 10000

Fax: 728 10300

E-mail: [email protected]

www.fmn.dk

EAN: 5798000201200

CVR: 25 77 56 35

Side 1 af 29

L 215 - 2018-19 (1. samling) - Bilag 1: Høringssvar og høringsnotat, fra forsvarsministeren

hed, Teleindustrien, Tilsynet med Efterretningstjenesterne og Trade-

shift ApS.

Nedenfor er gengivet de væsentligste punkter i de modtagne hørings-

svar. Forsvarsministeriets kommentarer til høringssvarene er angivet

i kursiv.

1. Generelt

Færøernes Landsstyre har ikke bemærkninger til lovforslaget. Præsi-

denten for Vestre Landsret har ikke ønsket at udtale sig om lovforsla-

get.

Dansk Energi, Dansk Erhverv, DANSK IT, Dansk Journalistforbund,

Dansk Magisterforening, Danske Medier, Danske Regioner, Danske

Vandværker, DANVA, DI, DIFO, DR, Finans Danmark, Finanssekto-

rens Arbejdsgiverforening, Forsikring og Pension, Ingeniørforeningen

(IDA), Institut for Menneskerettigheder, IT-Branchen, ITD, KL, Leder-

ne, Lægeforeningen, Rådet for Digital Sikkerhed, Teleindustrien og

Tradeshift anerkender lovforslagets overordnede målsætning om

styrkelse af cybersikkerheden.

2. Definitioner og terminologi

Datatilsynet henstiller til, at de definitioner i lovforslaget, som tager

udgangspunkt i databeskyttelsesreguleringen

–

såsom

”behandling” –

ændres, således at de svarer til de definitioner, der følger af databe-

skyttelsesforordningen. Datatilsynet bemærker endvidere, at pakke-

data, trafikdata, stationære data og malware også kan indeholde per-

sonoplysninger, som defineret i databeskyttelsesforordningen og i

den foreslåede § 2, stk. 1, nr. 6, i lovforslaget. Tilsynet bemærker

desuden, at der i lovforslaget sondres skarpt mellem, om oplysnin-

gerne hører under

enten et af begreberne ”pakkedata, trafikdata,

stationære data og

malware” eller begrebet ”personoplysninger”, selv

om der meget ofte vil være et betydeligt sammenfald. Det er efter

Datatilsynets opfattelse vigtigt, at dette præciseres og direkte frem-

går af bemærkningerne til lovforslaget. Datatilsynet finder endvidere,

at det bør præciseres, at begrebet sikkerhedshændelse også omfatter

brud på persondatasikkerheden.

Efter den gældende § 8, stk. 3, i lov om Center for Cybersikkerhed,

der ikke foreslås ændret, er enhver form for behandling af personop-

lysninger i Center for Cybersikkerhed omfattet af lovens kapitel 6.

Ved behandling af data, herunder personoplysninger, hvor der i med-

før af kapitel 4 er sket indgreb omfattet af grundlovens § 72, finder

de særlige behandlingsregler i kapitel 7 endvidere anvendelse.

Lovens struktur er således, at reglerne i kapitel 6 gælder for enhver

behandling af personoplysninger, således som disse defineres i lovens

Sagsnr.: 2019/000950

Dok.nr.: 890135

Side 2 af 29

L 215 - 2018-19 (1. samling) - Bilag 1: Høringssvar og høringsnotat, fra forsvarsministeren

§ 2, nr. 4, der foreslås videreført uændret som § 2, nr. 6. Hvis der er

tale om data, herunder personoplysninger, som er tilvejebragt ved

indgreb, der er omfattet af grundlovens § 72, finder de særligt re-

striktive behandlingsregler i kapitel 7 endvidere anvendelse. Det gæl-

der, uanset om data indeholder personoplysninger eller ej.

Forsvarsministeriet vil for god ordens skyld tilføje i bemærkningerne,

at pakkedata, trafikdata, stationære data og malware kan indeholde

personoplysninger. Forsvarsministeriet vil endvidere præcisere i be-

mærkningerne, at en sikkerhedshændelse også vil kunne omfatte

brud på persondatasikkerheden.

Teleindustrien anfører, at en definition af begrebet

”malware”

udeluk-

kende bør indeholde en objektiv, teknisk beskrivelse af, hvad der be-

tragtes som malware, og ikke en kvalificering af, at en

”særligt be-

styrket mistanke”

kan medføre subsumption af data under begrebet.

Teleindustrien mener, at sidstnævnte vil medføre uforudsigelighed,

da begrebets definition hermed vil afhænge af Center for Cybersik-

kerheds subjektive vurdering af de pågældende data.

En objektiv og teknisk beskrivelse af malware ville skulle omfatte en

lang række forskelligartede typer data i form af typeeksempler på

kendte angrebsmetoder. Henset til den hastige teknologiske udvikling

er det Forsvarsministeriets opfattelse, at en sådan beskrivelse af,

hvad der aktuelt betragtes som malware, vil være stærkt uhensigts-

mæssig, da der så vil være behov for en lovændring, hver gang an-

grebsaktører tager nye typer angrebsværktøjer i brug.

I lovforslaget er malware derfor defineret som data, hvor der er sær-

ligt bestyrket mistanke om, at data er anvendt af en angrebsaktør

med det formål at forårsage et brud på informationssikkerheden.

Det bemærkes i den forbindelse, at særligt bestyrket mistanke er det

kriterium, der bl.a. anvendes i retsplejeloven i forbindelse med vare-

tægtsfængsling efter lovens § 762, stk. 2. Der er således tale om et

meget højt mistankekrav.

DANSK IT

anbefaler, at begrebet ”offentligt tilgængelig”

i § 6 c vedrø-

rende sinkholes

ændres til ”forudsat de er ledige”,

da dette efter

DANSK

IT’s opfattelse er en mere retvisende

betegnelse for, at et

domæne, ip-adresse eller e-mail ikke er ejet af nogen, men kan er-

hverves og anvendes af Center for Cybersikkerhed.

Forsvarsministeriet vil ændre den foreslåede § 6 c i overensstemmel-

se med det af DANSK IT anbefalede.

Sagsnr.: 2019/000950

Dok.nr.: 890135

Side 3 af 29

L 215 - 2018-19 (1. samling) - Bilag 1: Høringssvar og høringsnotat, fra forsvarsministeren

3. Center for Cybersikkerheds generelle adgang til data

En række høringsparter kritiserer, at Center for Cybersikkerhed med

lovforslaget vil få adgang til meget store mængder data på baggrund

af et bredt kriterium om, at adgangen til data kan ske med henblik på

at understøtte et højt informationssikkerhedsniveau i samfundet.

Danske Regioner, IDA og Lægeforeningen udtrykker bekymring over

Center for Cybersikkerheds adgang til personfølsomme oplysninger.

Lægeforeningen mener, at lovforslaget i højere grad skal sikre, at

personfølsomme helbredsoplysninger ikke deles blandt personer, der

ikke har patienterne i aktuel behandling.

Dansk Journalistforbund anfører endvidere, at der gives mulighed for,

at en efterretningstjeneste kan overvåge al kommunikation til, fra og

i en medievirksomhed, hvilket Dansk Journalistforbund anser for pro-

blematisk i forhold til mediernes uafhængighed i almindelighed og i

særdeleshed muligheden for, at medierne og den enkelte journalist

kan beskytte sine kilder.

Lovforslaget lægger op til, at Center for Cybersikkerhed som led i

centerets opgave med at opdage, analysere og bidrage til at imødegå

it-sikkerhedshændelser kan behandle data fra myndigheder og virk-

somheder, såfremt behandlingen kan bidrage til at understøtte et højt

informationssikkerhedsniveau i samfundet.

Centerets behandling omfatter imidlertid både en maskinel og en ma-

nuel behandling af data.

Der er en forholdsvis bred adgang til at foretage maskinel behandling,

hvilket skyldes, at den maskinelle (og helt automatiserede) scanning

af data, der foretages af centerets alarmenheder, nødvendigvis må

omfatte al ind- og udgående trafik hos en myndighed eller virksom-

hed for at kunne opdage cyberangreb. Kun ved at gennemføre denne

maskinelle scanning kan det fastslås, om der potentielt er sket en it-

sikkerhedshændelse.

Centerets brede adgang til maskinel behandling af data skal ses i

sammenhæng med de restriktive analyseregler i den foreslåede § 15,

hvorefter Center for Cybersikkerhed kun i nærmere opregnede tilfæl-

de må tilgå data manuelt. Det følger således af den foreslåede § 15,

stk. 1, nr. 2, at manuelle analyser af indholdet af data (pakkedata og

stationære data) i forbindelse med monitorering alene må ske, så-

fremt der er begrundet mistanke om en (it-)sikkerhedshændelse og

kun i det omfang, det er nødvendigt for afklaring af forhold vedrøren-

de hændelsen.

Bestemmelsen indebærer, at Center for Cybersikkerheds analytikere

kun kan tilgå indhold af kommunikation (pakkedata) og øvrige ind-

Sagsnr.: 2019/000950

Dok.nr.: 890135

Side 4 af 29

L 215 - 2018-19 (1. samling) - Bilag 1: Høringssvar og høringsnotat, fra forsvarsministeren

holdsdata (stationære data), hvis det sker som led i centerets arbejde

med it-sikkerhedshændelser. Det indebærer, at analytikerne som det

klare udgangspunkt ikke vil kunne tilgå korrespondance. Kun hvis der

opstår en begrundet mistanke om, at der er sket en it-sikkerheds-

hændelse

–

typisk i form af et cyberangreb

–

kan analytikerne tilgå

disse data, og i så fald kun de data, som det er nødvendigt at tilgå for

at analysere selve it-sikkerhedshændelsen. Analytikernes tilgang til

data logges i Center for Cybersikkerheds systemer, og al tilgang til

personoplysninger er underlagt både egenkontrol og Tilsynet med

Efterretningstjenesternes løbende, uafhængige kontrol.

Dansk Energi henleder opmærksomheden på, at installation af sik-

kerhedssoftware på interne systemer er en særlig udfordring, når

virksomheder har kontorer i flere lande, der er fuldt integreret i de

administrative it- og teleløsninger. Finans Danmark efterlyser også,

at lovforslaget forholder sig til problemstillingen, hvor en række fi-

nansielle institutter og virksomheder behandler data for ikke-danske

kunder og i den forbindelse skal overholde udenlandske regler og er

underlagt et udenlandsk tilsyn. Forsikring og Pension finder det også

problematisk, at der ikke er taget stilling til situationen, hvor centeret

vil få adgang til udenlandske data.

Center for Cybersikkerhed kan i relation til virksomheder alene fore-

tage monitorering af data i Danmark. Det afgørende vil således være,

om virksomhedens behandling af data finder sted i Danmark eller i

udlandet

–

ikke om der er tale om oplysninger, der stammer fra

Danmark eller fra udlandet.

4. Påbud om tilslutning til netsikkerhedstjenesten

En lang række høringsparter er generelt kritiske overfor lovforslagets

nye initiativ vedrørende påbud om tilslutning til Center for Cybersik-

kerheds netsikkerhedstjeneste, herunder især muligheden for at give

påbud om installation af sikkerhedssoftware på lokale netværk og

enheder.

Som det er anført i lovforslaget, forudsættes det, at påbud kun an-

vendes meget sjældent og kun i yderste konsekvens. Vurderingen er,

at der maksimalt vil blive givet et lavt et-cifret antal påbud om året.

Formålet med påbudsordningen er at give Center for Cybersikkerhed

et værktøj, som kan anvendes i de sjældne situationer, hvor f.eks. en

virksomhed er af afgørende vigtighed for Danmarks infrastruktur,

men hvor virksomheden ikke selv ønsker at samarbejde med Center

for Cybersikkerhed. Uden muligheden for påbud vil det være overladt

til denne virksomhed selv at træffe beslutninger, som kan gøre

virksomheden til det svage led i den danske infrastruktur. Men

rammes en sådan virksomhed af et alvorligt cyberangreb, vil

Sagsnr.: 2019/000950

Dok.nr.: 890135

Side 5 af 29

L 215 - 2018-19 (1. samling) - Bilag 1: Høringssvar og høringsnotat, fra forsvarsministeren

konsekvenserne af dette angreb ikke blot ramme virksomheden selv,

men potentielt hele samfundet.

Forsvarsministeriet har noteret sig, at en lang række høringsparter

giver udtryk for en særlig bekymring over, at påbudsordningen også

omfatter monitorering via sikkerhedssoftware på lokale netværk og

enheder. Høringsparterne henviser især til, at centeret dermed vil få

adgang til virksomhedernes forretningshemmeligheder, ligesom

høringsparterne henviser til risikoen for, at installation af sikkerheds-

software kan gå ud over it-systemernes stabilitet. Forsvarsministeriet

vil på den baggrund tilpasse lovforslaget, således at påbuds-

muligheden alene omfatter ekstern monitorering ved hjælp af alarm-

enheder.

En lang række høringsparter påpeger endvidere, at det ikke ud fra

lovforslaget er muligt entydigt at fastslå, om en konkret virksomhed

vil få et påbud eller ej. Dermed er det svært for virksomhederne at

vurdere, om de risikerer at få et påbud. En række høringsparter

finder således, at begrebet

”særligt

samfundsvigtig karakter” bør

præciseres i lovforslaget.

Der er ikke i lovforslaget fastsat objektive kriterier, der gør det muligt

for en konkret virksomhed entydigt at vurdere, om den vil få et

påbud. Objektive kritierier kan vanskeligt opstilles, da det ikke f.eks.

er antal ansatte, antal kunder, omsætningens størrelse og tilsvarende

kriterier, der i sig selv viser, om en virksomhed er så samfundsvigtig,

at et påbud kan være aktuelt.

Et påbud må derfor nødvendigvis baseres på et skøn, men dette skøn

vil skulle udøves indenfor de rammer, der er fastsat i lovforslaget.

Lovforslaget beskriver således, at kravet er, at en virksomhed eller

myndighed skal være særligt samfundsvigtig (og kriterierne herfor

beskrives), samt at den skal have væsentlig betydning for Danmarks

kritiske infrastruktur. Det indebærer, at langt de færreste virksom-

heder vil blive omfattet.

Center for Cybersikkerhed skal desuden i videst muligt omfang efter-

leve principperne i forvaltningslovens kapitel 4-6. Det indebærer

bl.a., at Center for Cybersikkerhed forud for, at centeret træffer afgø-

relse om at meddele et påbud, efter principperne i forvaltningslovens

§ 19 i en række tilfælde vil skulle høre den relevante part i sagen

over de faktiske oplysninger, som centeret forventer at lægge vægt

på i afgørelsen. Center for Cybersikkerheds afgørelse vil endvidere

skulle indeholde en begrundelse med henvisning til de retsregler, i

henhold til hvilke afgørelsen er truffet. Da afgørelsen til en vis grad vil

bero på et administrativt skøn, vil begrundelsen tillige skulle angive

de hovedhensyn, der har været bestemmende for skønsudøvelsen.

Afgørelsen vil herudover skulle indeholde en redegørelse for de op-

Sagsnr.: 2019/000950

Dok.nr.: 890135

Side 6 af 29

L 215 - 2018-19 (1. samling) - Bilag 1: Høringssvar og høringsnotat, fra forsvarsministeren

lysninger vedrørende sagens faktiske omstændigheder, som er tillagt

betydning for afgørelsen, jf. principperne i forvaltningslovens § 24.

Flere høringsparter anfører, at lovforslagets initiativ om fjernelse af

gebyret for tilslutning i sig selv vil være tilstrækkeligt til at sikre til-

slutning til netsikkerhedstjenesten, og at det derfor ikke er nødven-

digt med en påbudsordning.

Forsvarsministeriet er enig i vurderingen af, at en fjernelse af gebyret

for tilslutning vil medføre, at flere virksomheder vil ønske at blive

tilsluttet Center for Cybersikkerheds netsikkerhedstjeneste. Dette er

også baggrunden for, at det

–

som anført ovenfor

–

forventes, at på-

budsordningen kun vil skulle anvendes et lavt et-cifret antal gange

om året.

DANSK IT og IT-Branchen påpeger, at der alene er almindelig rekurs-

adgang i forhold til påbud, og at der som minimum bør være rekurs

til en uafhængig myndighed. Retspolitisk Forening anbefaler, at der

indføres et krav om indhentning af retskendelse om tilslutning efter

påbud, idet det efter foreningens opfattelse er retssikkerhedsmæssigt

utilstrækkeligt at pege på administrativ rekurs med efterfølgende

mulighed for domstolsprøvelse, bl.a. set i lyset af, at centerets virk-

somhed ikke er omfattet af forvaltningslovens begrundelseskrav.

DANSK IT og DANVA opfordrer endvidere til, at der bør være en tids-

mæssig grænse for påbuddet, således at meddelte påbud genoverve-

jes efter en periode.

Som nævnt ovenfor vil Center for Cybersikkerheds afgørelse om at

meddele påbud om tilslutning skulle begrundes. Afgørelsen vil som

led i den almindelige rekursadgang kunne påklages til Forsvarsmini-

steriet. Det skal endvidere understreges, at afgørelsen vil kunne ind-

bringes for domstolene.

Forsvarsministeriet vil tilpasse lovforslaget, således at det fremgår, at

påbud om tilslutning skal revurderes mindst hvert halve år.

Dansk Erhverv bemærker, at påbudsordningen vil betyde, at Center

for Cybersikkerhed vil kunne installere aktivt udstyr og software på

en virksomheds infrastruktur samt kunne pålægge virksomheden at

indrette sin virksomhed efter det. En sådan bestemmelse vil efter

Dansk Erhvervs opfattelse kunne ramme danske virksomheder nega-

tivt, f.eks. hvad angår eksport, internationalt samarbejde og teknolo-

giudvikling. Dansk Energi og IDA henviser ligeledes til, at der ved

påbud kan installeres aktiv software i en virksomhed, og at dette ikke

bør kunne pålægges en virksomhed.

Sagsnr.: 2019/000950

Dok.nr.: 890135

Side 7 af 29

L 215 - 2018-19 (1. samling) - Bilag 1: Høringssvar og høringsnotat, fra forsvarsministeren

Som nævnt ovenfor vil Forsvarsministeriet tilpasse lovforslaget,

således at påbudsmuligheden alene omfatter ekstern monitorering

ved hjælp af alarmenheder.

Det skal understreges, at muligheden for at meddele påbud om til-

slutning alene vil omfatte monitorering via alarmenheder med passiv

funktionalitet. Den aktive funktionalitet, hvor der bl.a. kan ske slet-

ning, blokering og omdannelse af data, vil alene kunne anvendes ef-

ter aftale med den pågældende virksomhed eller myndighed.

DANSK IT anfører desuden, at lovforslaget bør forholde sig til, hvor-

dan en virksomhed skal opfylde et påbud uden at bryde aftalte hem-

meligholdelsesforpligtelser, eller udlevere oplysninger om konfigurati-

on og drift, som virksomheden ikke råder over, da de tilhører en leve-

randør.

Det skal understreges, at Center for Cybersikkerhed alene behandler

tilvejebragte data ud fra et formål om at opdage, analysere og bidra-

ge til at imødegå it-sikkerhedshændelser.

Derudover bemærkes det, at danske myndigheder på en række om-

råder har mulighed for at få adgang til virksomheders data, enten på

baggrund af et lovkrav eller efter forudgående kendelse. Principielt er

Center for Cybersikkerheds adgang til data ikke anderledes end disse

andre ordninger, dog således at rammerne for, hvilke data, som Cen-

ter for Cybersikkerhed kan tilgå, hvordan de skal behandles samt

hvornår og til hvem, oplysninger om sikkerhedshændelser efterføl-

gende kan videregives, er detaljeret reguleret og

–

for så vidt angår

personoplysninger

–

undergivet tilsyn fra et særligt kontrolorgan.

Dansk Journalistforbund, Danske Medier og DR betoner vigtigheden

af, at medievirksomheder i Danmark ikke under nogen omstændighe-

der kan tvinges til at underlægge sig et system, hvorved man uden

retskendelse kan behandle virksomhedernes data, herunder indholdet

af den kommunikation, der transmitteres.

Medier vil ikke kunne meddeles påbud om tilslutning til netsikker-

hedstjenesten, da de ikke er omfattet at den foreslåede § 3, stk. 4.

5. Indgreb omfattet af grundlovens § 72

Flere organisationer, herunder DI, Forsikring og Pension, IDA og KL,

giver udtryk for bekymring over, at Center for Cybersikkerhed kan

behandle data uden retskendelse. Amnesty International finder ikke,

at Forsvarsministeriet leverer en holdbar argumentation for, hvorfor

der ikke kan ske domstolskontrol af centerets indgreb omfattet af

grundlovens § 72. Dansk Energi og DANVA mener, at Center for Cy-

bersikkerheds adgang til data uden retskendelse bør fordre, at cen-

tret kan godtgøre begrundet mistanke, og at indgrebet var nødven-

Sagsnr.: 2019/000950

Dok.nr.: 890135

Side 8 af 29

L 215 - 2018-19 (1. samling) - Bilag 1: Høringssvar og høringsnotat, fra forsvarsministeren

digt. Institut for Menneskerettigheder anbefaler, at der redegøres for,

hvordan usikkerheden ved en sikkerhedshændelse adskiller sig fra

usikkerheder, når der i øvrigt foretages indgreb i meddelelseshemme-

ligheden, og henstiller til, at der efterfølgende indhentes en retsken-

delse.

Efter grundlovens § 72 må indgreb i meddelelseshemmeligheden ale-

ne ske efter en retskendelse, med mindre der ved lov er fastsat en

særegen undtagelse.

En sådan særegen undtagelse har været gældende siden 2011, hvor

GovCERT, der senere blev en del af Center for Cybersikkerhed, ved

lov fik hjemmel til at foretage indgreb i meddelelseshemmeligheden

uden retskendelse. Denne hjemmel blev videreført med lov om Cen-

ter for Cybersikkerhed i 2014, og det er samme type hjemmel, som

lovforslaget bygger på.

Der er to særlige karakteristika for Center for Cybersikkerheds moni-

toreringsaktiviteter:

For det første har aktiviteterne primært en forebyggende karakter.

Det indebærer, at centeret monitorerer internettrafik og

–

efter lov-

forslaget

–

aktivitet på lokale enheder. Det sker for at opdage even-

tuelle it-sikkerhedshændelser, men monitoreringen sker ikke på bag-

grund af en konkret mistanke om, at den enkelte myndighed eller

virksomhed er ramt af en it-sikkerhedshændelse. Formålet er netop

at være på forkant, således at en it-sikkerhedshændelse opdages (og

gerne stoppes), hvis den indtræffer. Dermed eksisterer der ikke på

forhånd et mistankegrundlag, som vil kunne afprøves af en domstol.

For det andet sker der som led i monitoreringen en fuldautomatisk

analyse af store mængder datatrafik. Også af denne årsag vil det ikke

være muligt at etablere en ordning, hvor hvert indgreb i meddelel-

seshemmeligheden kræver en kendelse, da det ville forudsætte, at

der blev meddelt flere tusinde kendelser i timen.

Advokatrådet anfører, at det er retssikkerhedsmæssigt betænkeligt,

at det udelukkende overlades til Center for Cybersikkerhed at vurde-

re, hvornår centeret kan indsamle oplysninger, uden nogen form for

domstolskontrol. Advokatrådet foreslår, at der som minimum bør ske

en efterfølgende domstolskontrol.

Som altovervejende hovedregel sker Center for Cybersikkerheds mo-

nitorering på baggrund af en aftale mellem centeret og den enkelte

myndighed eller virksomhed. I denne aftale fastsættes omfanget af

monitoreringen nærmere, f.eks. hvilke af myndighedens eller virk-

somhedens netværksforbindelser, som monitoreringen skal omfatte.

Kun i helt særlige tilfælde vil monitoreringen fremover kunne ske på

baggrund af et påbud.

Sagsnr.: 2019/000950

Dok.nr.: 890135

Side 9 af 29

L 215 - 2018-19 (1. samling) - Bilag 1: Høringssvar og høringsnotat, fra forsvarsministeren

Center for Cybersikkerheds mulighed for at tilgå data er detaljeret

reguleret i lovforslaget. Den foreslåede § 15 fastsætter således ram-

merne for, hvornår centeret må fortage automatiserede, maskinelle

analyser af data, og hvornår centerets analytikere må foretage ma-

nuelle analyser af data. Tilsynet med Efterretningstjenesterne kon-

trollerer, at centerets behandling af personoplysninger sker i overens-

stemmelse med disse regler.

Dommerforeningen udtaler, at foreningen forudsætter, at måtte man

via de af lovforslaget omfattede indgreb, som uden retskendelse giver

adgang til trafikdata, pakkedata og nu tillige stationære data hidrø-

rende fra

pc’ere, smartphones, tablets og servere hos myndigheder

og virksomheder, der er tilsluttet (herunder påtvunget tilsluttede), jf.

lovudkastets forslag til § 4, komme i besiddelse af oplysninger, som

rejser mistanke om et strafbart forhold, vil sådanne oplysninger ikke

kunne anvendes, medmindre der forholdes i overensstemmelse med

retsplejelovens straffeprocessuelle regler.

Det skal understreges, at Center for Cybersikkerheds formål med at

foretage indgreb, der er omfattet af grundlovens § 72, udelukkende

er at opdage, analysere og bidrage til at imødegå it-sikkerhedshæn-

delser. Center for Cybersikkerhed behandler alene de tilvejebragte

data med dette formål.

En it-sikkerhedshændelse vil kunne udgøre et strafbart forhold. Efter-

forskningen og strafforfølgningen af strafbare forhold henhører imid-

lertid under politiets og anklagemyndighedens kompetence

–

og vil

skulle ske i overensstemmelse med den regulering, der gælder for

politiet og anklagemyndigheden, ikke med hjemmel i lov om Center

for Cybersikkerhed.

6. Aktivt cyberforsvar

Dansk Energi udtrykker bekymring over aktivt cyberforsvar og anfø-

rer, at det ikke kan afvises, at tredjemand eller tilsluttede virksomhe-

der og myndigheder lider økonomisk tab, såfremt det aktive cyberfor-

svar f.eks. ødelægger systemer eller blokerer mails. DANVA mener,

at erstatningsansvar ved sikkerhedsbrud forårsaget af Center for Cy-

bersikkerheds udstyr bør beskrives nærmere. Dansk Energi oplyser,

at man forventer, at der gives en kompensation, hvis en virksomhed

lider tab som følge af Center for Cybersikkerheds installerede udstyr.

KL og DI giver udtryk for tilsvarende overvejelser om erstatningsan-

svar.

Advokatrådet opfodrer til en undersøgelse af, hvordan det kan af-

hjælpes at have konsekvenser for borgerne, såfremt aktiv sikker-

hedssoftware ved en fejl blokerer en borgers mail til en myndighed.

Sagsnr.: 2019/000950

Dok.nr.: 890135

Side 10 af 29

L 215 - 2018-19 (1. samling) - Bilag 1: Høringssvar og høringsnotat, fra forsvarsministeren

DANSK IT anfører, at sletning som led i det aktive cyberforsvar bør

ske efter aftale med myndigheden eller virksomheden, og at det end-

videre bør anføres i lovforslaget, at sletningen af personoplysninger

kun bør ske, hvis det er strengt nødvendigt for at opretholde et højt

sikkerhedsniveau. Teleindustrien anfører, at påbud om tilslutning ale-

ne bør omfatte ”passive” elementer.

Lægeforeningen giver udtryk for, at sletning af journaldata vil være

meget ødelæggende for patientbehandling.

Efter lovforslaget vil aktivt cyberforsvar udelukkende blive anvendt

efter aftale med den pågældende myndighed eller virksomhed. Aktivt

cyberforsvar indgår således ikke i den foreslåede påbudsordning.

Der vil dermed altid være en dialog mellem myndigheden eller

virksomheden og Center for Cybersikkerhed, hvor de nærmere

rammer for anvendelse af det aktive cyberforsvar kan aftales, her-

under hvilke it-systemer, der skal omfattes af aktivt cyberforsvar,

samt hvordan risikoen for utilsigtede driftsproblemer reduceres til et

niveau, der for begge parter er acceptabelt. Det vil ligeledes være

den enkelte myndighed eller virksomhed, der kan tage stilling til, om

aktivt cyberforsvar skal anvendes på it-systemer, hvor der er risiko

for, at kommunikation med kunder og borgere påvirkes, og tage

stilling til, hvordan kunder og borgere i givet fald skal orienteres.

Såfremt en handling eller undladelse fra Center for Cybersikkerheds

side resulterer i en skade, der medfører et tab for en person eller en

virksomhed, vil et eventuelt erstatningsansvar skulle vurderes efter

de almindelige regler for offentlige myndigheders erstatningsansvar.

7. Sikkerhedstekniske undersøgelser

Akademikerne finder det meget bekymrende, at en statslig myndig-

hed skal have mulighed for bl.a. at målrette sikkerhedstekniske un-

dersøgelser mod medarbejdere. Akademikerne finder bl.a., at den

foreslåede ordning som udgangspunkt vil være i strid med grundlovs-

fæstede rettigheder og Den Europæiske Menneskerettighedskonven-

tion.

Fagbevægelsens Hovedorganisation konstaterer, at f.eks. spear-

phishing er reguleret i aftaler om kontrolforanstaltninger på det stats-

lige, regionale og kommunale område (og ligeledes det private),

hvorefter medarbejdere skal varsles om foranstaltninger, medmindre

formålet med foranstaltningen herved forspildes. Såfremt dette er

tilfældet, skal medarbejderne orienteres snarest efter iværksættelse

af foranstaltninger, og der skal redegøres for, hvorfor der ikke kunne

orienteres på forhånd. DA bemærker, at det må antages, at de fore-

byggende sikkerhedstekniske undersøgelser er omfattet af de gæl-

dende arbejds- og ansættelsesretlige principper. DA henviser i den

Sagsnr.: 2019/000950

Dok.nr.: 890135

Side 11 af 29

L 215 - 2018-19 (1. samling) - Bilag 1: Høringssvar og høringsnotat, fra forsvarsministeren

forbindelse til, at DA og LO f.eks. har indgået en aftale om kontrolfor-

anstaltninger.

Dansk Magisterforening finder det endvidere dybt problematisk, at

der efter organisationens opfattelse kan lægges fælder ud for udvalg-

te medarbejdere, og at det kan få ansættelsesretlige konsekvenser

for medarbejdere, hvilket anses som uproportionalt i forhold til lov-

forslagets formål. Lederne udtrykker bekymring for, at ledere skal

medvirke til en situation, hvorefter deres medarbejdere kan miste

deres arbejde. PROSA udtrykker også bekymring og anfører samtidig,

at eventuelle sanktioner, hvis der er brud på it-sikkerheden, bør være

overfor lederne og ikke medarbejderne, medmindre medarbejderne

handler i ond tro.

Dansk Magisterforening mener endvidere, at det skal præciseres og

afgrænses, hvornår og med hvilke midler Center for Cybersikkerhed

har adgang til at iværksætte forebyggelsesaktiviteter rettet mod

medarbejderne, og at virksomheder og myndigheder som udgangs-

punkt bør pålægges en orienteringspligt overfor medarbejderne om,

at der iværksættes kontrolforanstaltninger.

Advokatrådet finder det betænkeligt, at en offentlig myndighed kan

gøre brug af metoder, hvorefter en medarbejder lokkes til at bryde

en myndigheds eller virksomheds sikkerhedsregler.

Formålet med Center for Cybersikkerheds sikkerhedstekniske under-

søgelser vil ikke være at bidrage til, at der kan indledes personalesa-

ger mod medarbejdere, der har udvist mangel på sikkerhedsbevidst-

hed. Formålet med undersøgelserne er derimod at højne det generel-

le sikkerhedsniveau i myndigheden eller virksomheden.

Sikkerhedstekniske undersøgelser vil endvidere kun blive gennemført

efter anmodning fra en myndighed eller virksomhed, ligesom under-

søgelserne tilpasses den enkelte myndigheds eller virksomheds behov

og ønsker. Det vil være op til den pågældende myndighed eller virk-

somhed at sikre, at den sikkerhedstekniske undersøgelse, der konkret

aftales med Center for Cybersikkerhed, lever op til eventuelle forplig-

telser, som gælder for myndigheden eller virksomheden, herunder

aftaler om kontrolforanstaltninger, lokalaftaler, lokale it-politikker

osv.

Forsvarsministeriet vil på baggrund af bemærkningerne fra hørings-

parterne tilpasse lovforslaget, således at Center for Cybersikkerheds

afrapportering efter sikkerhedstekniske undersøgelser for så vidt an-

går myndighedens eller virksomhedens medarbejdere vil være ano-

nymiseret. Oplysninger om identiteten på medarbejdere, der f.eks.

har begået et sikkerhedsbrud, vil dermed ikke blive udleveret til den

myndighed eller virksomhed, som er genstand for undersøgelsen.

Sagsnr.: 2019/000950

Dok.nr.: 890135

Side 12 af 29

L 215 - 2018-19 (1. samling) - Bilag 1: Høringssvar og høringsnotat, fra forsvarsministeren

Centerets afrapportering til myndigheder og virksomheder efter en

sikkerhedsteknisk undersøgelse vil dermed for så vidt angår myndig-

hedens eller virksomhedens medarbejdere være en anonymiseret

gennemgang af centerets observationer. Hvis der konstateres mang-

lende sikkerhedsbevidsthed blandt medarbejderne, vil Center for Cy-

bersikkerhed f.eks. anbefale myndigheden eller virksomheden at

gennemføre yderligere uddannelse af medarbejderne generelt.

8. Edition

Danske Regioner anser det for retssikkerhedsmæssigt betænkeligt, at

der i forbindelse med sager om udlevering af oplysninger på bag-

grund af forudgående kendelse alene er krav om, at oplysningerne

skal kunne medvirke til at afdække sikkerhedshændelser og ikke en

konkret mistanke om en strafbar lovovertrædelse.

Teleindustrien anfører, at udbyderne bør kompenseres for omkost-

ningerne ved at yde Center for Cybersikkerhed bistand i forbindelse

med edition svarende til den omkostningsdækning, udbyderne ifølge

Teleindustrien har ret til ved politiets indgreb i meddelelseshemme-

ligheden.

Editionsordningen har til formål at give Center for Cybersikkerhed de

nødvendige oplysninger til, at centeret kan imødegå eller begrænse

effekten af en it-sikkerhedshændelse, f.eks. ved at underrette offeret

for et cyberangreb om en kompromittering af vedkommendes it-

system. Center for Cybersikkerhed undersøger it-sikkerheds-

hændelser, uanset om der er konkret mistanke om en strafbar lov-

overtrædelse eller ej, og uanset om hændelsen er genstand for efter-

forskning hos politiet eller ej. Det vurderes på den baggrund ikke at

være hensigtsmæssigt at indføre et krav om mistanke om en strafbar

lovovertrædelse, idet det vil hindre centeret i på et tidligt tidspunkt at

underrette offeret for en it-sikkerhedshændelse.

Editionsordningen indebærer udelukkende, at der skal udleveres op-

lysninger fra udbydernes kundedatabase i form af kontaktoplysninger

på den kunde, som er bruger af et bestemt domænenavn mv. Der er

således ikke tale om, at der skal udleveres loggede oplysninger eller

foretages tekniske foranstaltninger. På den baggrund er det For-

svarsministeriets vurdering, at udbydernes omkostninger vil være

meget begrænsede.

Teleindustrien bemærker, at organisationen kan støtte det hensyn,

der med den foreslåede § 7 b m.fl. er taget til den, som indgreb ved-

rører. Organisationen understreger væsentligheden af domstolsprø-

velse af indgreb i meddelelseshemmeligheden og privatlivets fred,

herunder at sikre varetagelsen af hensynet til den, udleveringen af

oplysninger vedrører. Derfor er forslaget om beskikkelse af advokat

efter Teleindustriens vurdering et særdeles hensigtsmæssigt tiltag,

Sagsnr.: 2019/000950

Dok.nr.: 890135

Side 13 af 29

L 215 - 2018-19 (1. samling) - Bilag 1: Høringssvar og høringsnotat, fra forsvarsministeren

som værner positivt om et indgrebssubjekts retssikkerhed. DANSK IT

anbefaler, at advokaten møder sammen med en it-kyndig.

Præsidenten for Københavns Byret bemærker på byretspræsidenter-

nes vegne, at anklagemyndigheden efter retsplejelovens editionsreg-

ler kan indhente samme type

–

men også en lang række andre

–

op-

lysninger, og at behandlingen af editionsbegæringer efter retsplejelo-

ven foregår uden medvirken af indgrebsadvokat. Henset til den me-

get nøje afgrænsning af karakteren af oplysninger, som editionsord-

ningen i lovforslaget omfatter, sammenholdt med, at oplysningerne

skal tjene til at afdække en sikkerhedshændelse, ses der efter by-

retspræsidenternes opfattelse ikke at være grundlag for at fravige det

udgangspunkt, som er fastlagt i retsplejeloven, hvorefter der ved

behandlingen af sådanne pålæg ikke medvirker indgrebsadvokat.

Dommerforeningen bemærker, at foreningen tilslutter sig bemærk-

ningen om, at bistand af en indgrebsadvokat er ufornøden. Præsiden-

ten for Østre Landsret henholder sig i det hele til Dommerforeningens

høringssvar.

Forsvarsministeriet vil på baggrund af de samstemmende bemærk-

ninger fra byretspræsidenterne, Dommerforeningen og Præsidenten

for Østre Landsret tilpasse lovforslaget, således at der ikke vil skulle

medvirke indgrebsadvokater ved behandling af editionssager.

Præsidenten for Københavns Byret bemærker i øvrigt på byretspræ-

sidenternes vegne, at editionspålægget hviler på en forudsætning

om, at man ikke har kendskab til, hvem der er bruger af den pågæl-

dende e-mailkonto, ip-adresse eller domænenavn, hvorfor bestem-

melsen i lovforslagets § 7, stk. 2, ikke forekommer relevant.

Forsvarsministeriet vil på baggrund af bemærkningen fra byretspræ-

sidenterne tilpasse lovforslaget.

9. Slettefrister

Amnesty International finder ikke, at der er en klar begrundelse for,

hvorfor data, der ikke hidrører fra en sikkerhedshændelse, skal kunne

gemmes i tre år, eller hvorfor videregivet data ikke skal slettes. Am-

nesty International finder desuden, at en generel slettefrist på fem år

forekommer at være unødig og uønskeligt lang.

Institut for Menneskerettigheder anbefaler, at der i lovbemærknin-

gerne nøje redegøres for, hvorledes det sikres, at en udvidelse af

slettefristen ikke vil føre til uproportionale indgreb i retten til respekt

for privatliv.

IDA anerkender, at Center for Cybersikkerhed har identificeret et be-

hov for at arkivere data i forbindelse med sikkerhedshændelser i en

længere periode end hidtil antaget, men bemærker, at de ikke kan

Sagsnr.: 2019/000950

Dok.nr.: 890135

Side 14 af 29

L 215 - 2018-19 (1. samling) - Bilag 1: Høringssvar og høringsnotat, fra forsvarsministeren

bakke op om en udvidelse af slettefristen, når centret er underlagt

Forsvarets Efterretningstjeneste, og at det i øvrigt er problematisk, at

slettefristen ikke gælder for andre, når data er delt. Rådet for Digital

Sikkerhed mener ikke, at videregivelse af data bør fravige slettekrav

for data, hvis formål er opfyldt. Rådet anbefaler endvidere, at der

stilles krav om underretning ved sletning, således at de aktører, til

hvem data er videregivet, underrettes om, at centeret har foretaget

sletning. Teleindustrien finder heller ikke, at der skal gælde udvidede

slettefrister for videregivet data

Retspolitisk Forening anbefaler, at personoplysninger indeholdt i data

anonymiseres efter et år, og at fristen for at slette data tilknyttet en

sikkerhedshændelse nedsættes til tre år.

Som det fremgår af afsnit 3.8.2 i de almindelige bemærkninger til det

fremsatte lovforslag er baggrunden for udvidelsen af opbevaringsfri-

sterne, at de restriktive regler for opbevaring af data knyttet til en it-

sikkerhedshændelse i en række konkrete tilfælde har vist sig at udgø-

re en betydelig hindring for centerets beskyttelse af samfundsvigtig

infrastruktur. Det foreslås på den baggrund, at slettefristen for data

tilknyttet en sikkerhedshændelse udvides fra tre til fem år.

På tilsvarende vis er den nuværende pligt til inden 13 måneder at

slette data, der ikke er knyttet til en it-sikkerhedshændelse, uhen-

sigtsmæssig i de tilfælde, hvor eksempelvis danske myndigheder er

genstand for længerevarende angrebskampagner. For så vidt angår

data, der ikke er tilknyttet en it-sikkerhedshændelse, foreslås opbe-

varingsfristen udvidet fra 13 måneder til tre år, men kun for data, der

stammer fra myndigheder, som i særlig grad beskæftiger sig med

udenrigs-, sikkerheds- og forsvarspolitiske forhold, samt virksomhe-

der og organisationer, hvis aktiviteter har særlig betydning for disse

forhold.

Udvidelsen af slettefristerne er således resultatet af nøje overvejel-

ser, og udvidelsen er begrænset til det, som er nødvendigt, for at

centeret kan udføre sine opgaver.

Derudover bemærkes det, at Center for Cybersikkerhed fortsat i med-

før af det foreslåede § 17, stk. 1, er forpligtet til at slette data, når

formålet med behandlingen efter en konkret vurdering er udtømt.

Det følger af § 17, stk. 5, at slettefristerne i § 17, stk. 1 og 2, ikke

finder anvendelse på data, der er videregivet til andre end den myn-

dighed eller virksomhed, hvorfra data hidrører. Bestemmelsen er en

videreførelse af gældende ret, idet undtagelsen fra slettereglerne dog

ikke vil omfatte situationer, hvor videregivelsen alene er sket til den

myndighed eller virksomhed, som data hidrører fra. I de tilfælde vil

Center for Cybersikkerhed fortsat skulle slette data efter stk. 1 og 2.

Sagsnr.: 2019/000950

Dok.nr.: 890135

Side 15 af 29

L 215 - 2018-19 (1. samling) - Bilag 1: Høringssvar og høringsnotat, fra forsvarsministeren

Uanset at slettereglerne i stk. 1 og 2 ikke finder anvendelse, vil per-

sonoplysninger indeholdt i data fortsat skulle behandles i overens-

stemmelse med den gældende § 14, hvorefter indsamlede personop-

lysninger ikke må opbevares på en måde, der giver mulighed for at

identificere den pågældende person i et længere tidsrum end det, der

er nødvendigt af hensyn til de formål, hvortil oplysningerne behand-

les.

10. Forholdet til den Europæiske Menneskerettighedskonven-

tion og proportionalitetsprincippet

IT-Politisk Forening anfører, at der er foretaget en helt utilstrækkelig

og mangelfuld vurdering af, om lovforslaget er foreneligt med Den

Europæiske Menneskerettighedskonvention.

Institut for Menneskerettigheder anbefaler på grund af Center for

Cybersikkerheds organisatoriske placering under Forsvarets Efterret-

ningstjeneste, at der i bemærkningerne redegøres for centerets ad-

gang til personoplysninger i lyset af den relevante praksis fra Den

Europæiske Menneskerettighedsdomstol.

Forholdet til Den Europæiske Menneskerettighedskonvention (EMRK)

er indgående beskrevet i afsnit 5 i de almindelige bemærkninger til

det fremsatte lovforslag. I den forbindelse er der foretaget en nær-

mere vurdering af den foreslåede ordning i relation til kravene i EMRK

art. 8, stk. 2. På baggrund heraf er det Forsvarsministeriets vurde-

ring, at den foreslåede ordning samlet set er i overensstemmelse

med EMRK art. 8.

En række høringsparter har anført, at de ikke anser de foreslåede

udvidelser af Center for Cybersikkerheds beføjelser for at være i

overensstemmelse med proportionalitetsprincippet. I den forbindelse

efterlyses en præcisering af, hvordan proportionaliteten konkret sik-

res.

De foreslåede udvidelser af Center for Cybersikkerheds beføjelser er

nøje overvejet, herunder i forhold til proportionalitetsprincippet.

Derudover bemærkes det, at Center for Cybersikkerhed er underlagt

det almindelige forvaltningsretlige proportionalitetsprincip. Det inde-

bærer f.eks., at centeret altid skal benytte den løsning, der vil virke

mindst indgribende for at opnå det ønskede mål. Center for Cybersik-

kerhed vil derfor altid indgå i en dialog med den pågældende myn-

dighed eller virksomhed med henblik på at finde den mest hensigts-

mæssige og mindst indgribende løsning.

Sagsnr.: 2019/000950

Dok.nr.: 890135

Side 16 af 29

L 215 - 2018-19 (1. samling) - Bilag 1: Høringssvar og høringsnotat, fra forsvarsministeren

11. Behandlingen af personoplysninger og forholdet til data-

beskyttelsesforordningen

11.1. Undtagelse fra databeskyttelsesforordningen

Datatilsynet bemærker, at databeskyttelsesforordningen og databe-

skyttelsesloven ikke finder anvendelse på den behandling af person-

oplysninger, som udføres for eller af politiets eller forsvarets efterret-

ningstjenester. Datatilsynet henstiller dog til, at lovforslagets henvis-

ninger til persondataloven ændres, så der i stedet henvises til de

gældende databeskyttelsesretlige regler.

IDA henviser til, at Center for Cybersikkerhed i forbindelse med lov-

forslaget ikke har revideret kapitel 6 vedrørende håndtering af per-

sonoplysninger, som nu følger den tidligere persondatalov. Dette

lægger efter IDA’s vurdering op til, at centret undtager sig selv fra

GDPR. IDA’s it-panel vurderer, at centret bør leve op til GDPR, og en

justering anbefales.

Center for Cybersikkerhed er ikke omfattet af databeskyttelsesforord-

ningen og databeskyttelsesloven, da centeret er en del af Forsvarets

Efterretningstjeneste. Lov om Center for Cybersikkerhed indeholder

imidlertid en detaljeret regulering af centerets behandling af person-

oplysninger, som er baseret på den tidligere gældende persondatalov.

Uanset at disse bestemmelser indgår i lov om Center for Cyber-

sikkerhed, vil fortolkningen af bestemmelserne naturligt skulle ske i

overensstemmelse med den mangeårige praksis, som er udviklet for

de tilsvarende bestemmelser i persondataloven.

Folketinget vedtog den 3. maj 2018 lovforslag L 155 om konsekvens-

ændringer af lov om Center for Cybersikkerhed som følge af data-

beskyttelsesforordningen og databeskyttelsesloven. Med denne lov-

ændring besluttede Folketinget, at gældende ret i videst muligt

omfang skulle videreføres, således at lovens bestemmelser om

behandling af personoplysninger fortsat skulle baseres på princip-

perne fra persondataloven og ikke tilpasses til databeskyttelses-

forordningen og databeskyttelsesloven.

Forsvarsministeriet finder ikke anledning til at fravige denne ordning,

men det bemærkes dog, at lov om Center for Cybersikkerhed giver

forsvarsministeren hjemmel til at sætte databeskyttelsesforordningen

og databeskyttelsesloven i kraft for udvalgte dele af Center for

Cybersikkerheds aktiviteter. Denne mulighed ændrer lovforslaget ikke

på.

11.2. Præcisering af dataansvar

Danske Regioner savner præcisering af, hvad den brede adgang for

Center for Cybersikkerhed til data betyder i forhold til anden lovgiv-

Sagsnr.: 2019/000950

Dok.nr.: 890135

Side 17 af 29

L 215 - 2018-19 (1. samling) - Bilag 1: Høringssvar og høringsnotat, fra forsvarsministeren

ning, f.eks. i forhold til GDPR, herunder den ansvarskonstruktion, der

med lovforslaget er tiltænkt. Danske Regioner spørger, om Center for

Cybersikkerhed kan betragtes som databehandler, selvstændig data-

ansvarlig eller fælles dataansvarlig.

Datatilsynet henstiller til, at det overvejes og præciseres, hvem der

er dataansvarlig for de behandlinger af personoplysninger, der sker

som følge af det aktive og passive cyberforsvar og i forbindelse med

forebyggende sikkerhedstekniske undersøgelser. Datatilsynet under-

streger i forlængelse heraf vigtigheden af, at det er klart, hvem der

er dataansvarlig for de enkelte behandlinger af personoplysninger,

særligt for de registrerede, som efter de databeskyttelsesretlige reg-

ler har en række rettigheder over for de dataansvarlige, men også for

de tilsluttede myndigheder og virksomheder i forhold til deres forplig-

telser efter de databeskyttelsesretlige regler, herunder overholdelse

af de registreredes rettigheder.

Dansk Energi, DANSK IT, DI, Finanssektorens Arbejdsgiverforening

og KL finder, at forholdet til databeskyttelsesforordningen bør uddy-

bes. DANVA finder det afgørende, at Center for Cybersikkerheds ar-

bejde tager højde for databeskyttelsesloven.

Danske Erhverv finder, at tilsluttede myndigheder og virksomheder

–

for at leve op til databeskyttelsesforordningens oplysningspligter

overfor de registrerede

–

skal kunne oplyse, at de indgår i Center for

Cybersikkerheds monitorering. Dansk Erhverv opfordrer derfor For-

svarsministeriet til at udarbejde en standard-informationstekst i for-

hold til databeskyttelsesforordningen, som en tilsluttet virksomhed

kan indeholde i sin personalepolitik i forhold til behandling af person-

data.

Der vil i lovforslaget blive tilføjet en nærmere beskrivelse af dataan-

svaret for de behandlinger af personoplysninger, som sker i for-

bindelse med Center for Cybersikkerheds aktiviteter.

Center for Cybersikkerhed vil endvidere til brug for de tilsluttede

virksomheder og myndigheder udarbejde en standardbeskrivelse af

centerets behandling af personoplysninger.

11.3. Myndigheders og virksomheders ansvar efter databe-

skyttelsesforordningen i relation til tilslutning og videregivel-

se af data til Center for Cybersikkerhed

Datatilsynet finder, at det skal overvejes nærmere, om de tilsluttede

myndigheder eller virksomheders behandling i forbindelse med vide-

regivelse af personoplysninger i overensstemmelse med lovforslaget

kan ske inden for rammerne af databeskyttelsesforordningen og da-

tabeskyttelsesloven.

Sagsnr.: 2019/000950

Dok.nr.: 890135

Side 18 af 29

L 215 - 2018-19 (1. samling) - Bilag 1: Høringssvar og høringsnotat, fra forsvarsministeren

Forsvarsministeriet vil præcisere lovforslagets bemærkninger om

videregivelse af data med henblik på at tydeliggøre de databeskyt-

telsesretlige hjemler til videregivelse af persondata i forbindelse med,

at myndigheder og virksomheder tilsluttes Center for Cybersikkerheds

netsikkerhedstjeneste eller anmoder om bistand fra centeret.

11.4. Brud på persondatasikkerheden

Datatilsynet anfører, at Center for Cybersikkerhed vil kunne få kend-

skab til brud på persondatasikkerheden, som den tilsluttede myndig-

hed eller virksomhed ikke nødvendigvis selv er bekendt med. Datatil-

synet henleder i den forbindelse opmærksomheden på de forpligtel-

ser, den tilsluttede myndighed eller virksomhed har efter databeskyt-

telsesforordningens artikel 33 til at anmelde et brud på persondata-

sikkerheden uden unødig forsinkelse og om muligt senest 72 timer

efter, at denne er blevet bekendt med bruddet. Datatilsynet henviser

endvidere til artikel 32 om den dataansvarliges forpligtelse til at sikre

persondatasikkerheden. På den baggrund forekommer det efter Data-

tilsynets opfattelse uhensigtsmæssigt, at Center for Cybersikkerhed

kan blive bekendt med et brud på persondatasikkerheden hos en til-

sluttet myndighed eller virksomhed, uden at centeret er forpligtet til

at oplyse den tilsluttede myndighed eller virksomhed herom.

DANSK IT anfører, at sletning af personoplysninger som led i det ak-

tive cyberforsvar kan udgøre et persondatasikkerhedsbrud. DANSK IT

anbefaler, at lovgiver forholder sig til databeskyttelsesreguleringen,

herunder i forhold til bl.a. anmeldelsespligt og underretning af de

registrerede ved et brud på persondatasikkerheden.

Center for Cybersikkerheds netsikkerhedstjeneste har til opgave at

opdage, analysere og bidrage til at imødegå it-sikkerhedshændelser.

Som led i en it-sikkerhedshændelse vil der ofte være sket et brud på

persondatasikkerheden.

Når Center for Cybersikkerhed konstaterer en væsentlig it-sikker-

hedshændelse, vil den videre håndtering at hændelsen ske i tæt

samarbejde med den ramte myndighed eller virksomhed. Som det

klare udgangspunkt vil det således ikke kunne forekomme, at Center

for

Cybersikkerhed

bekendt

med

væsentlig

it-

sikkerhedshændelse, der også indebærer et brud på persondatasik-

kerheden, uden at den tilsluttede myndighed eller virksomhed også

er bekendt hermed

–

og kan foretage det fornødne.

Eneste undtagelse hertil er situationer, hvor Center for Cybersikker-

hed ikke kan identificere den myndighed eller virksomhed, der er

ramt af en væsentlig it-sikkerhedshændelse, samt den typisk korte

periode, hvor centeret samler de nødvendige oplysninger om en væ-

sentlig it-sikkerhedshændelse inden den første kontakt til den ramte

myndighed eller virksomhed.

Sagsnr.: 2019/000950

Dok.nr.: 890135

Side 19 af 29

L 215 - 2018-19 (1. samling) - Bilag 1: Høringssvar og høringsnotat, fra forsvarsministeren

Det vil dog forekomme, at centeret konstaterer en it-

sikkerhedshændelse, som også er et brud på persondatasikkerheden,

men hvor it-sikkerhedshændelsens karakter gør, at centeret ikke fo-

retager sig yderligere

–

f.eks. fordi der ud fra en it-sikkerhedsmæssig

synsvinkel er tale om en uvæsentlig it-sikkerhedshændelse. For-

svarsministeriet skal i den forbindelse bemærke, at det ikke ligger

inden for Center for Cybersikkerheds opgaver at foretage monitore-

ring med det formål at opdage eventuelle brud på persondatasikker-

heden.

Sker der mod forventning et brud på persondatasikkerheden som

følge af en fejl begået af Center for Cybersikkerhed, underretter cen-

teret den tilsluttede myndighed eller virksomhed, som derefter kan

foretage sig det fornødne.

12. Datasikkerhed

Danske Regioner udtrykker bekymring for sikkerheden omkring den

øgede datamængde hos Center for Cybersikkerhed. Advokatrådet er

bekymret for den store mængde data, som Center for Cybersikkerhed

vil indsamle med de nye værktøjer og opfordrer til, at det overvejes,

om det er nødvendigt at indsamle så store mængder af data, da det

giver mulighed for misbrug. Rådet finder det endvidere bemærkelses-

værdigt, at der ikke er større fokus på sikkerhed omkring de indsam-

lede data. PROSA udtrykker en tilsvarende bekymring for, at én myn-

dighed opbevarer så mange data og anfører, at det bør overvejes,

hvad der skal gøres, hvis Center for Cybersikkerhed bliver kompro-

mitteret.

DANVA henviser til, at kunde- og selskabsdata er meget vigtige, og at

sikkerheden omkring disse bør prioriteres højt. ITD understreger be-

hovet for fortrolighed omkring forretningstekniske data og betegner

det som helt afgørende, at oplysninger om virksomheders konkurren-

cemæssige forhold beskyttes.

Center for Cybersikkerhed er national it-sikkerhedsmyndighed og

Danmarks kompetencecenter for cybersikkerhed. Centeret er desuden

en del af en efterretningstjeneste og er i sit virke særdeles fokuseret

på sikkerhed.

Centerets medarbejdere er desuden sikkerhedsgodkendt på meget

højt niveau og vant til at håndtere sensitive og klassificerede oplys-

ninger i overensstemmelse med sikkerhedsbestemmelser mv. End-

videre er centerets it-systemer underlagt særligt restriktive

sikkerhedskrav, og hertil kommer, at Tilsynet med Efterretnings-

tjenesterne som uafhængigt kontrolorgan fører tilsyn med, at Center

for Cybersikkerheds behandling af personoplysninger sker i overens-

stemmelse med lovgivningen.

Sagsnr.: 2019/000950

Dok.nr.: 890135

Side 20 af 29

L 215 - 2018-19 (1. samling) - Bilag 1: Høringssvar og høringsnotat, fra forsvarsministeren

Finans Danmark bemærker, at lovforslaget ikke forholder sig til den

situation, hvor Center for Cybersikkerheds systemer påvirker den

tilsluttede virksomheds driftsstabilitet. Finanssektorens Arbejdsgiver-

forening finder, at det er vigtigt at sikre, at de tiltag, centeret gen-

nemfører, ikke skader virksomhedernes egne foranstaltninger til sik-

ring af datasikkerheden. Forsikring og Pension udtrykker bekymring

om, hvorvidt centerets anvendte tekniske løsninger vil kunne ændre

en virksomheds sikkerhedsniveau og eventuelt påvirke systemernes

og infrastrukturens ydeevne. IT-Branchen anbefaler, at virksomhe-

derne ved et påbud om tilslutning får mulighed for selv at vælge tek-

nologi og udstyr, der benyttes til centerets monitorering. Danske Re-

gioner, DIFO og Forsikring og Pension finder det ikke klart, hvilke

konsekvenser installation af software fra Center for Cybersikkerhed

vil have på allerede eksisterende it-systemer, og hvad centrets an-

svar er, hvis systemer hos tilsluttede myndigheder påvirkes af den

installerede software. Den tekniske løsning vurderes ikke tilstrække-

ligt beskrevet, og Danske Regioner opfordrer til, at beskrivelsen ud-

dybes i bemærkningerne. Dansk Erhverv og Energinet savner ligele-

des beskrivelse af det tekniske udstyr, der kan installeres, og Energi-

net finder, at Center for Cybersikkerheds udstyr potentielt kan påvir-

ke industrielt udstyr på en negativ måde. Energinet nævner i den

forbindelse, at der vil være en særlig risiko ved at anvende sikker-

hedssoftware i lukkede industrielle systemer, da der ved tilslutning

skabes en adgang til internettet med deraf følgende sikkerhedsrisiko.

DANSK IT finder, at det bør tydeliggøres, hvordan anvendelse af ek-

sempelvis privatejet sikkerhedssoftware håndteres med henblik på at

sikre, at anvendelsen ikke påvirker virksomhedens drift negativt.

Center for Cybersikkerheds monitoreringsudstyr er gennemtestet for

at sikre, at udstyret ikke i sig selv vil indebære en øget sikkerhedsri-

siko. Center for Cybersikkerhed vil derudover altid i samarbejde med

den enkelte myndighed eller virksomhed forsøge at identificere, hvor-

dan udstyret kan installeres på den mest hensigtsmæssige måde.

I relation til monitorering via sikkerhedssoftware vil Forsvarsministe-

riet som nævnt ovenfor tilpasse lovforslaget, således at sikkerheds-

software ikke vil være omfattet af påbudsmuligheden. Installation af

sikkerhedssoftware vil dermed altid ske efter aftale med den pågæl-

dende myndighed eller virksomhed, som vil kunne afveje risiciene

ved monitorering med sikkerhedssoftware inden en eventuel tilslut-

ning.

Det bemærkes i øvrigt, at den softwareløsning, som vil blive anvendt,

vil variere fra system til system, ligesom den vil være under løbende

udvikling. Forsvarsministeriet finder det på den baggrund ikke hen-

sigtsmæssigt, at der på et område med så hastig teknisk udvikling

fastsættes tekniske rammer for softwaren i lovforslaget.

Sagsnr.: 2019/000950

Dok.nr.: 890135

Side 21 af 29

L 215 - 2018-19 (1. samling) - Bilag 1: Høringssvar og høringsnotat, fra forsvarsministeren

Sagsnr.: 2019/000950

Dok.nr.: 890135

Side 22 af 29

L 215 - 2018-19 (1. samling) - Bilag 1: Høringssvar og høringsnotat, fra forsvarsministeren

13. Vidensdeling og åbenhed

Danske Regioner savner en angivelse af centerets muligheder for at

vidensdele i forhold til indsamlede data. Dansk Energi ønsker uddy-

bet, hvordan virksomheder får besked om mindre alvorlige sårbarhe-

der eller trusler, som centeret måtte få kendskab til. Finans Danmark

finder også, at berørte virksomheder har et krav på at modtage retti-

dig information om alvorligheden og det potentielle omfang af en

vurderet sikkerhedshændelse. DANVA og Finans Danmark opfordrer

til vidensdeling og åbenhed. DIFO mener, at Center for Cybersikker-

hed skal forpligtes til at dele data med virksomheder og myndigheder

og bistå de tilsluttede myndigheder med den viden, der kommer ud af

overvågning. DANSK IT og IT-Branchen opfordrer til vidensdeling

med private sikkerhedsfirmaer, hvis Center for Cybersikkerhed ligger

inde med relevant viden. Dansk Energi opfordrer til et tæt og tillids-

fuldt samarbejde. DI ser også behov for øget vidensdeling.

Dansk Erhverv opfordrer til at fokusere på offentlige-private samar-

bejder og nævner, at der er behov for et ligebyrdigt samspil mellem

offentlige og private spillere i et samarbejde, hvor viden går begge

veje. Dansk Erhverv finder på den baggrund, at der er andre måder

at dele viden med centeret på end at give centeret beføjelser til bl.a.

påbud.

PROSA mener, at der er mangel på transparens, fordi Center for Cy-

bersikkerhed ligger under en efterretningstjeneste, og PROSA fore-

slår, at rollen som Danmarks nationale it-sikkerhedsmyndighed og

nationale kompetencecenter bør ligge under f.eks. Indenrigsministe-

riet, samtidig med, at et center, der beskæftiger sig med hemmelige,

klassificerede oplysninger, skal blive under Forsvarets Efterretnings-

tjeneste.

Institut for Menneskerettigheder anbefaler, at der i lovforslaget indfø-

res en bestemmelse om betingelserne for videregivelse af data fra

centeret til resten af Forsvarets Efterretningstjeneste, således at for-

holdet reguleres på lovniveau.

Center for Cybersikkerhed har til opgave at understøtte et højt sik-

kerhedsniveau i den digitale infrastruktur, som samfundsvigtige funk-

tioner er afhængige af. I den forbindelse er en af centerets primære

opgaver at opdage, analysere og bidrage til at imødegå it-

sikkerhedshændelser hos myndigheder og virksomheder, der er be-

skæftiget med samfundsvigtige funktioner. En stor del af denne fore-

byggende indsats kan kun ske i tæt samarbejde og dialog med de

relevante myndigheder og virksomheder. Center for Cybersikkerhed

har derfor allerede i dag stor fokus på vidensdeling.

Centeret indgår således løbende i dialog med de enkelte virksomhe-

der og myndigheder om konkrete it-sikkerhedshændelser. Derudover

Sagsnr.: 2019/000950

Dok.nr.: 890135

Side 23 af 29

L 215 - 2018-19 (1. samling) - Bilag 1: Høringssvar og høringsnotat, fra forsvarsministeren

vidensdeler centeret også mere bredt i forbindelse med centerets

udsendelse af bl.a. varslinger, vejledninger og trusselsvurderinger.

Centeret har endvidere oprettet en række interessentfora, herunder

et vidensdelingsnetværk for decentrale cyber- og informationssikker-

hedsenheder i de samfundskritiske sektorer, samt et strategisk sa-

marbejdsforum for virksomheder og brancheorganisationer.

Center for Cybersikkerhed arbejder løbende på at udvikle og forbedre

sin rådgivnings- og vidensdelingsindsats, og Forsvarsministeriet fin-

der det naturligt, at dette udviklingsarbejde sker i tæt dialog med

relevante interessenter.

Forsvarsministeriet vil desuden tage initiativ til, at der bliver oprettet

et offentligt-privat cybersikkerhedsråd. Formålet med rådet er at kva-

lificere myndighedernes arbejde og styrke det digitale demokrati,

herunder udbredelse af viden om

–

og forståelse for

–

de trusler og

muligheder, som digitaliseringen og den nye teknologi medfører. Rå-

det vil have deltagelse af Digitaliseringsstyrelsen, Center for Cyber-

sikkerhed og repræsentanter med særlig it-sikkerhedsmæssig kom-

petence fra den private sektor, brancheorganisationer, forskningsver-

denen og forbrugersiden.

IT-Politisk Forening bemærker, at der mangler transparens, idet der

med lovforslaget fjernes mulighed for offentliggørelse af tilsluttede

organisationer.

Det fremgår af bemærkningerne til den foreslåede § 3, stk. 3, at Cen-

ter for Cybersikkerhed regelmæssigt vil offentliggøre, hvor mange

myndigheder og virksomheder, der er tilsluttet netsikkerhedstjene-

sten efter bestemmelsens stk. 2 og 3, samt fordelingen på sektorer.

I dag offentliggøres der jævnligt en liste over de myndigheder og

virksomheder, der er tilsluttet, men der har blandt virksomhederne

været en bekymring over, at der dermed offentliggøres oplysninger

om, hvordan den enkelte virksomheds cyberforsvar er indrettet (eller

ikke er indrettet).

14. Konkurrence med private it-sikkerhedsfirmaer

Flere høringsparter udtrykker bekymring for, at Center for Cybersik-

kerhed vil komme til at konkurrere med private it-sikkerhedsfirmaer,

hvis gebyret for tilslutning til netsikkerhedstjenesten bortfalder og

centerets værktøjer udvides med sikkerhedssoftware og forebyggen-

de sikkerhedstekniske undersøgelser.

DANSK IT og IT-Branchen mener, at lovforslaget, såfremt det vedta-

ges, får betydning for det private marked, idet det vil gøre Center for

Cybersikkerhed i stand til at tilbyde og påbyde ydelser, som i dag

tilbydes af kommercielle aktører, og at det vil skabe ulige konkurren-

Sagsnr.: 2019/000950

Dok.nr.: 890135

Side 24 af 29

L 215 - 2018-19 (1. samling) - Bilag 1: Høringssvar og høringsnotat, fra forsvarsministeren

ce. Rådet for Digital Sikkerhed er af den opfattelse, at lovforslaget vil

have en meget betydelig konkurrenceforvridende effekt.

Teleindustrien opfordrer til, at Center for Cybersikkerhed i videst mu-

ligt omfang skal udbyde opgaverne til private sikkerhedsfirmaer, så-

ledes at de kan forestå de forebyggende sikkerhedsforanstaltninger

for centeret. Teleindustrien ser også gerne, at Center for Cybersik-

kerhed vælger flere alternative udbydere, således at de tilsluttede

virksomheder kan vælge blandt disse udbydere, da der kan være ud-

bydere, som af forretningsmæssige grunde ikke kan arbejde internt

hos den tilsluttede virksomhed.

DI stiller sig endvidere uforstående overfor, at der skal anvendes of-

fentlige ressourcer på gratis at tilbyde ydelser, som i forvejen tilbydes

på det private marked, og organisationen mener, at ydelserne er

konkurrenceforvridende.

Som det er understreget i lovforslaget, er det Forsvarsministeriets

vurdering, at lovforslagets nye initiativer ikke vil påvirke det private

marked for it-sikkerhedsløsninger negativt.

Center for Cybersikkerhed har fokus på de avancerede cybertrusler,

der typisk kommer fra statslige eller statssponsorerede angrebsaktø-

rer. At en myndighed eller virksomhed bliver tilsluttet Center for Cy-

bersikkerheds netsikkerhedstjeneste vil aldrig indebære, at virksom-

heden så kan undlade at anvende en ”almindelig” it-sikkerhedsløsning

til håndtering af de langt hyppigere

forekommende ”almindelige” cy-

bertrusler. Center for Cybersikkerheds løsning kan alene supplere

myndighedens eller virksomhedens it-sikkerhedsløsning, aldrig er-

statte den.

I forhold til forebyggende sikkerhedstekniske undersøgelser, så for-

udsættes det, at de gennemføres hos myndigheder og virksomheder,

hvor der gør sig særlige sikkerhedshensyn gældende, hvorefter de

ikke ønsker at anvende private it-sikkerhedsfirmaer, eller hvor sik-

kerhedsundersøgelser hos et mindre antal repræsentative virksomhe-

der kan give et billede af den generelle sikkerhedstilstand i en sam-

fundsvigtig sektor.

15. Økonomiske konsekvenser

Danske Regioner er positive over for gebyrfrihed, men betegner det

som uklart, hvor mange ekstra ressourcer der kræves for at installere

og drifte Center for Cybersikkerheds hardware og software. DANVA,

Dansk Energi og DI stiller ligeledes spørgsmålstegn ved, hvilke om-

kostninger virksomhederne forventes at afholde. Danske Rederier er

positive overfor afskaffelsen af gebyr, men bemærker, at der fortsat

kan være væsentlige omkostninger forbundet med at være tilsluttet

netsikkerhedstjenesten. Finans Danmark bemærker, at lovforslaget

Sagsnr.: 2019/000950

Dok.nr.: 890135

Side 25 af 29

L 215 - 2018-19 (1. samling) - Bilag 1: Høringssvar og høringsnotat, fra forsvarsministeren

ikke forholder sig til, at tilslutning til Center for Cybersikkerheds net-

sikkerhedstjeneste kan medføre omkostninger i forbindelse med ek-

sempelvis dekryptering af data eller kompleks systemarkitektur. Tele-

industrien anfører, at selv om gebyret bortfalder, vil der fortsat på-

hvile en virksomhed en potentielt betragtelig omkostning i forhold til

implementering, udrulning og sikring af udstyrets kompatibilitet med

virksomhedens eksisterende udstyr.

Lægeforeningen udtrykker bekymring for meromkostninger for læger

i almen praksis og speciallægepraksis og i de virksomheder, der leve-

rer lægesystemer, hvis de bliver anmodet om eller pålagt at tilslutte

sig netsikkerhedstjenesten.

Rådet for Digital Sikkerhed anfører, at der bør afsættes en statslig

pulje til finansiering af de nødvendige tiltag og værktøjer hos de en-

kelte organisationer.

Virksomheder og myndigheder, der allerede er tilsluttet Center for

Cybersikkerheds netsikkerhedstjeneste, vil opnå en besparelse på

grund af forslaget om, at det løbende gebyr for tilslutning bortfalder.

For virksomheder eller myndigheder, der efterfølgende tilsluttes cen-

terets netsikkerhedstjeneste, vil der være begrænsede merudgifter i

forhold til udgifter til samarbejde med centeret i forbindelse med cen-

terets installation af hardware og software samt drift og gennemførel-

se, herunder samarbejde med centeret i forbindelse med håndtering

af konkrete sikkerhedshændelser.

Der henvises i øvrigt til beskrivelsen i afsnit 6 og 7 i de almindelige

bemærkninger til det fremsatte lovforslag vedrørende henholdsvis de

økonomiske konsekvenser og implementeringskonsekvenser for det

offentlige og de økonomiske og administrative konsekvenser for er-

hvervslivet mv.

16. Sammenhæng med sektorstrategier samt anden regulering

Danske Regioner bemærker, at regionerne har et sektoransvar, der

indebærer et ansvar for at opretholde sikkerheden omkring borgernes

behandling og sundhedsdata. Dansk Energi ønsker endvidere at få

klarlagt rollefordelingen mellem Center for Cybersikkerhed, sektoran-

svarlige myndigheder, sektor-CERT’er og virksomheder. DI finder

også, at der er behov for en klar ansvarsfordeling mellem Center for

Cybersikkerhed, virksomhederne og eventuelle tilsynsmyndigheder.

Danske Rederier påpeger herudover, at det er væsentligt, at der er

overensstemmelse mellem de virksomheder, som en sektoransvarlig

myndighed har udpeget som følge af NIS-direktivet, og dem, som

Center for Cybersikkerhed ønsker at påbyde tilslutning til netsikker-

hedstjenesten. Også Forsikring og Pension henviser til sektorstrategi-

Sagsnr.: 2019/000950

Dok.nr.: 890135

Side 26 af 29

L 215 - 2018-19 (1. samling) - Bilag 1: Høringssvar og høringsnotat, fra forsvarsministeren

erne og mener, at ny lovgivning bør afvente effekten af de tiltag, der

er iværksat.

Lovforslaget er et led i udmøntningen af den nationale strategi for

cyber- og informationssikkerhed, der blev lanceret i maj 2018. Det

fremgår således af strategien, at Forsvarsministeriet vil fremsætte et

forslag til ændret lovgivning på cyberområdet, som vil medføre en

styrkelse af Center for Cybersikkerheds muligheder for at opdage og

stoppe cyberangreb samt styrke centerets analytiske arbejde.

Det indgår ikke i strategien, at der skal foretages ændringer i sektor-

ansvaret, og det ændrer lovforslaget heller ikke på.

Det følger af strategien, at der skal ske en fælles indsats på cyber- og

informationssikkerhedsområdet, herunder en styrkelse af indsatsen i

seks samfundskritiske sektorer: Energi, sundhed, tele, finans, søfart

og transport. Udmøntningen af denne indsats medfører, at hver sek-

tor skal udarbejde en sektorstrategi og opstille en decentral cyber- og

informationssikkerhedsenhed (DCIS). Rolle og ansvarsfordelingen

mellem de decentrale cyber- og informationssikkerhedsenheder og

Center for Cybersikkerhed bliver for hver sektor beskrevet i en sam-

arbejdsaftale.

Dansk Energi finder det essentielt, at danske initiativer på cyber- og

informationssikkerhedsområdet harmoniseres og spiller samen med

relevante internationale krav og initiativer både på EU-niveau og re-

gionalt. Dansk Energi bemærker i den forbindelse, at det vil være

spild af ressourcer, hvis den danske regulering efterfølgende vil skulle

vige for EU-praksis eller -regulering. DI understreger vigtigheden af,

at nationale initiativer som dette lovforslag (og tilhørende initiativer,

som udmøntes i forlængelse heraf) harmoniseres og spiller sammen

med internationale initiativer i regi af EU og i globale sammenhænge.

DI påpeger, at selv mindre divergenser i forhold til internationale reg-

ler vil være byrdefulde for mange virksomheder.

Forsvarsministeriet følger løbende udviklingen på cyberområdet, her-

under i relation til EU-regulering, og ministeriet tager i den forbindel-

se stilling til, om udviklingen medfører et behov for ændring i den

nationale regulering.

Finans Danmark efterspørger bl.a. en beskrivelse af, hvordan regler-

ne i lovforslaget spiller sammen med reglerne om finansiel virksom-

hed. Finanssektorens Arbejdsgiverforening og Forsikring og Pension

foreslår, at Finanstilsynet høres om, hvorvidt videregivelse af oplys-

ninger fra finansielle virksomheder er berettiget efter den finansielle

lovgivning.

Med henblik på at tydeliggøre forholdet mellem reglerne i lovforslaget

og regler om tavshedspligt i anden lovgivning vil Forsvarsministeriet

Sagsnr.: 2019/000950

Dok.nr.: 890135

Side 27 af 29

L 215 - 2018-19 (1. samling) - Bilag 1: Høringssvar og høringsnotat, fra forsvarsministeren

indsætte en bestemmelse i lovforslaget om, at myndigheders og virk-

somheders samarbejde med Center for Cybersikkerhed ikke er be-

grænset af bestemmelser om tavshedspligt fastsat ved lov eller med

hjemmel i lov.

Danske Regioner bemærker til den foreslåede § 8 a, stk. 1, at det bør

tydeliggøres i bemærkningerne, hvilke oplysninger, som er arkive-

ringspligtige. Ydermere bør det begrundes, hvorfor arkiveringen skal

omfatte alle oplysninger og ikke kun personoplysninger.

Det fremgår af bemærkningerne til den foreslåede § 8 a, stk. 1, at

bestemmelsen indebærer, at Center for Cybersikkerhed vil kunne

overføre oplysninger til opbevaring i arkiv i det omfang Rigsarkivaren

har fastsat bevarings- og kassationsbestemmelser for de pågældende

bestemmelser.

Det er således Rigsarkivaren, der træffer beslutning om, hvilke oplys-

ninger, der skal overføres til arkiv.

Det fremgår endvidere af bemærkningerne, at den foreslåede æn-

dring skyldes, at det ikke kan udelukkes, at der af Rigsarkivaren ud-

stedes bevarings- og kassationsbestemmelser vedrørende oplysnin-

ger, som ikke er personoplysninger.

17. Øvrige bemærkninger

Datatilsynet bemærker, at det fremgår af de almindelige bemærknin-

ger til lovforslaget, at der vil blive udarbejdet en rapport om erfarin-

gerne med den nye lovgivning, som oversendes til Folketinget tre år

efter lovens ikrafttræden. Datatilsynet finder, at rapporten om erfa-

ringerne med den nye lovgivning bør oversendes til Folketinget alle-

rede ét år efter lovens ikrafttræden. Forsikring og Pension anbefaler

også, at rapporten oversendes allerede efter ét år og følges op med

rapportering efter andet og tredje år.

Forsvarsministeriet vurderer, at der vil være behov for en vis periode

med den nye lovgivning, før der kan gøres status over erfaringerne.

Forsvarsministeriet finder derfor, at en rapport om erfaringerne med

loven først bør oversendes efter tre år.

DI finder det særligt bekymrende, at Tilsynet med Efterretningstjene-

sterne svækkes ved, at der i lovforslaget indføres en mulighed for, at

centeret kan vælge ikke at følge en henstilling i en udtalelse fra tilsy-

net.

Det anførte må bygge på en misforståelse, idet lovforslaget ikke in-

deholder en sådan ændring

–

ej heller andre ændringer, der vedrører

Tilsynet med Efterretningstjenesternes kompetence. Efter gældende

ret er der for Center for Cybersikkerhed, FE og PET etableret identi-

Sagsnr.: 2019/000950

Dok.nr.: 890135

Side 28 af 29

L 215 - 2018-19 (1. samling) - Bilag 1: Høringssvar og høringsnotat, fra forsvarsministeren

ske ordninger, som indebærer, at hvis tjenesterne undtagelsesvist

beslutter ikke at følge en henstilling i en udtalelse fra tilsynet, så skal

den pågældende tjeneste underrette tilsynet herom og uden unødigt

ophold forelægge sagen for ressortministeren til afgørelse. Hvis mini-

steren vælger ikke at følge henstillingen, skal regeringen underrette

Folketingets Udvalg vedrørende Efterretningstjenesterne herom.

Sagsnr.: 2019/000950

Dok.nr.: 890135

Side 29 af 29