L 173 - 2024-25 - Bilag 5: Henvendelse af 14/5-25 fra KMD

Udvalget for Digitalisering og It 2024-25
L 173 Bilag 5
Offentligt

Ballerup

14. maj 2025

Til medlemmerne af Folketingets Udvalg for Digitalisering og It

Udvalget behandler i denne stund Forslag til Lov on Nemkonto, Lovforslag L 173.

KMD mener, der er mange gode elementer i lovforslaget, men føler der er behov for at gøre

opmærksom på de konkurrencebegrænsende effekter, som dette lovforslag kan få. Og som

vil kunne undgås med en lovgivning, der fokuserer mere rent på sikkerhed end på tilsyn via

Finanstilsynet.

Nemkonto-systemet kom til verden som et offentligt effektiviseringsinitiativ, der med

stor succes har frigivet ressourcer og optimeret udbetalingsprocesser først i den offentlige

og siden hen i den private sektor.

Nemkontosystemet er med sin centrale rolle i udbetalingen af offentlige ydelser

samfundskritisk infrastruktur. Herigennem udbetales løn til offentligt ansatte, pension,

kontanthjælp m.v. Det eksisterende Nemkontosystem indeholder over 6 mio. anviste konti

og håndterer omkring 130 mio. offentlige og private udbetalinger årligt. Det er rettidig

omhu at sikre, at systemet løbende udvikles, så det er tidssvarende – og til enhver tid

overholder gældende regler og standarder for offentlige it-systemer, herunder krav til

sikkerhed. Dermed sikres, at systemet fortsat er modstandsdygtigt over for nye og mere

komplekse trusselsbilleder og, at det nye system kan imødekomme anvenderes

forretningsbehov.

Forslagets kapitel 4 §19 vil imidlertid ændre grundlæggende på, hvilke virksomheder som

fremover kan tilbyde løsninger, der anvender Nemkonto Privat. I dag kan både it-

virksomheder og finansielle virksomheder, der lever op til høje standarder for sikkerhed,

byde ind med løsninger, som anvender Nemkonto. Det vil lovforslaget ændre på.

I sin nuværende form udelukker lovforslaget IT-virksomheder, som lever op til høje krav for

sikkerhed, men ikke er finansielle virksomheder – og derfor ikke i forvejen har

administrativt setup til at være under tilsyn fra Finanstilsynet. Det begrænser

konkurrencen og udviklingen af tilbud til den offentlige sektor unødigt – og kunne i stedet

løses mere elegant med et mere rent fokus på skærpet it-sikkerhed.

KMD opfordrer derfor til, at der gennemføres en ændring i lovforslaget, så danske og

europæiske it-virksomheder, der efterlever høje standarder til sikkerhed, også fremover

kan tilbyde løsninger som anvender Nemkonto Privat.

Konkret bør virksomheder kunne opnå godkendelse, hvis de overholder anerkendte

europæiske standarder og certificeringer som:

•

ISAE 3000/3402 og ISO 270001

Er NIS2-compliant og kan dokumentere løbende sikkerhedsovervågning

Disse standarder er fælles europæiske krav, udformet for at sikre et højt og ensartet niveau

for cybersikkerhed og databeskyttelse på tværs af EU. Når Danmark anerkender og benytter

disse standarder i andre sammenhænge, bør de også danne grundlag her.

Side 1 af 2

L 173 - 2024-25 - Bilag 5: Henvendelse af 14/5-25 fra KMD

Ballerup

14. maj 2025

I forbindelse med udvalgsbehandlingen efter 1. behandlingen 8. april håber KMD, at

udvalget vil søge svar på følgende spørgsmål:

Om tilsynets betydning for konkurrence og leverandørfelt:

Hvordan har man konkret vurderet, at det foreslåede tilsynsregime ikke utilsigtet vil

begrænse konkurrencen om leverandørløsninger til Nemkonto – særligt for it-

virksomheder, som ikke er finansielle, men som i øvrigt opfylder relevante europæiske

standarder for it-sikkerhed? Og hvordan det sikres, at teknisk kompetente leverandører

med høj sikkerhedsekspertise ikke sorteres fra alene på grund af organisatoriske krav, der

er målrettet banker og finansielle institutioner?

Om proportional regulering alternative sikkerhedskrav:

Er det hensigtsmæssigt, at adgangen til at levere løsninger til Nemkonto-systemet

afhænger af, om virksomheden kan placeres inden for Finanstilsynets nuværende

tilsynskategorier – frem for en vurdering af, om virksomheden reelt lever op til

dokumenterbare sikkerhedsstandarder som fx ISO 27001 eller NIS2? Kunne man i

forlængelse heraf overveje, om en alternativ model med sikkerhedsbaseret godkendelse

kan give mere proportional og målrettet regulering uden at gå på kompromis med

sikkerheden? Pointen hermed værende, at de private betalingsformidlere aldrig opnår

disposition over beløbene der overføres, da de konkrete flytninger forestås af partnere, der

allerede er underlagt Finanstilsynets tilsyn.

Om effekten har tilsynsvalg på innovation og offentligt it-indkøb:

Hvilken vurdering er der foretaget ift., hvordan det valgte tilsyns- og klassifikationsprincip

i lovforslaget vil påvirke innovation og dynamik i markedet for at udvikle fremtidige it-

løsninger til det offentlige på dette område? Og hvordan vil det sikres, at it-virksomheder,

som ikke i forvejen er underlagt Finanstilsynet, ikke udelukkes eller pålægges

uforholdsmæssige administrative byrder, som reelt vil afholde dem fra at byde ind med

moderne og sikre løsninger som anvender fremtidens Nemkonto-system?

Med venlig hilsen

Jan Gaardboe Jensen

Senior Vice President, KMD Essentials

Side 2 af 2