Henvendelse af 14/5-25 fra KMD

Ballerup
14. maj 2025
Side 1 af 2
Til medlemmerne af Folketingets Udvalg for Digitalisering og It
Udvalget behandler i denne stund Forslag til Lov on Nemkonto, Lovforslag L 173.
KMD mener, der er mange gode elementer i lovforslaget, men føler der er behov for at gøre
opmærksom på de konkurrencebegrænsendeeffekter, som dette lovforslag kan få. Og som
vil kunne undgås med en lovgivning, der fokuserer mere rent på sikkerhed end på tilsyn via
Finanstilsynet.
Nemkonto-systemet kom til verden som et offentligt effektiviseringsinitiativ, der med
stor succes har frigivet ressourcer og optimeret udbetalingsprocesser først i den offentlige
og siden hen i den private sektor.
Nemkontosystemet er med sin centrale rolle i udbetalingen af offentlige ydelser
samfundskritisk infrastruktur. Herigennem udbetales løn til offentligt ansatte, pension,
kontanthjælpm.v. Deteksisterende Nemkontosystem indeholder over 6 mio.anvistekonti
og håndterer omkring 130 mio. offentlige og private udbetalinger årligt. Det er rettidig
omhu at sikre, at systemet løbende udvikles, så det er tidssvarende – og til enhver tid
overholder gældende regler og standarder for offentlige it-systemer, herunder krav til
sikkerhed. Dermed sikres, at systemet fortsat er modstandsdygtigt over for nye og mere
komplekse trusselsbilleder og, at det nye system kan imødekomme anvenderes
forretningsbehov.
Forslagets kapitel 4 §19 vil imidlertid ændre grundlæggende på, hvilke virksomheder som
fremover kan tilbyde løsninger, der anvender Nemkonto Privat. I dag kan både it-
virksomheder og finansielle virksomheder, der lever op til høje standarder for sikkerhed,
byde ind med løsninger, som anvender Nemkonto. Det vil lovforslaget ændre på.
I sin nuværende formudelukker lovforslaget IT-virksomheder, som lever optil høje krav for
sikkerhed, men ikke er finansielle virksomheder – og derfor ikke i forvejen har
administrativt setup til at være under tilsyn fra Finanstilsynet. Det begrænser
konkurrencen og udviklingen af tilbud til den offentlige sektor unødigt – og kunne i stedet
løses mere elegant med et mere rent fokus på skærpet it-sikkerhed.
KMD opfordrer derfor til, at der gennemføres en ændring i lovforslaget, så danske og
europæiske it-virksomheder, der efterlever høje standarder til sikkerhed, også fremover
kan tilbyde løsninger som anvender Nemkonto Privat.
Konkret bør virksomheder kunne opnå godkendelse, hvis de overholder anerkendte
europæiske standarder og certificeringer som:
• ISAE 3000/3402 og ISO 270001
• Er NIS2-compliant og kan dokumentere løbende sikkerhedsovervågning
Disse standarder er fælles europæiske krav, udformet for at sikre et højt og ensartet niveau
forcybersikkerhedogdatabeskyttelsepåtværsaf EU.Når Danmarkanerkender ogbenytter
disse standarder i andre sammenhænge, bør de også danne grundlag her.
Offentligt
L 173 - Bilag 5
Udvalget for Digitalisering og It 2024-25
Ballerup
14. maj 2025
Side 2 af 2
I forbindelse med udvalgsbehandlingen efter 1. behandlingen 8. april håber KMD, at
udvalget vil søge svar på følgende spørgsmål:
Om tilsynets betydning for konkurrence og leverandørfelt:
Hvordan har man konkret vurderet, at det foreslåede tilsynsregime ikke utilsigtet vil
begrænse konkurrencen om leverandørløsninger til Nemkonto – særligt for it-
virksomheder, som ikke er finansielle, men som i øvrigt opfylder relevante europæiske
standarder for it-sikkerhed? Og hvordan det sikres, at teknisk kompetente leverandører
med høj sikkerhedsekspertise ikke sorteres fra alene på grund af organisatoriske krav, der
er målrettet banker og finansielle institutioner?
Om proportional regulering alternative sikkerhedskrav:
Er det hensigtsmæssigt, at adgangen til at levere løsninger til Nemkonto-systemet
afhænger af, om virksomheden kan placeres inden for Finanstilsynets nuværende
tilsynskategorier – frem for en vurdering af, om virksomheden reelt lever op til
dokumenterbare sikkerhedsstandarder som fx ISO 27001 eller NIS2? Kunne man i
forlængelse heraf overveje, om en alternativ model med sikkerhedsbaseret godkendelse
kan give mere proportional og målrettet regulering uden at gå på kompromis med
sikkerheden? Pointen hermed værende, at de private betalingsformidlere aldrig opnår
disposition over beløbene der overføres, da de konkrete flytninger forestås af partnere, der
allerede er underlagt Finanstilsynets tilsyn.
Om effekten har tilsynsvalg på innovation og offentligt it-indkøb:
Hvilken vurdering er der foretaget ift., hvordan det valgte tilsyns- og klassifikationsprincip
i lovforslaget vil påvirke innovation og dynamik i markedet for at udvikle fremtidige it-
løsninger til det offentlige på dette område? Og hvordan vil det sikres, at it-virksomheder,
som ikke i forvejen er underlagt Finanstilsynet, ikke udelukkes eller pålægges
uforholdsmæssige administrative byrder, som reelt vil afholde dem fra at byde ind med
moderne og sikre løsninger som anvender fremtidens Nemkonto-system?
Med venlig hilsen
Jan Gaardboe Jensen
Senior Vice President, KMD Essentials