Skriftlig fremsættelse (5. maj 2015)

Skriftlig fremsættelse (5. maj 2015)
Forsvarsministeren (Nicolai Wammen):
Herved tillader jeg mig for Folketinget at fremsætte:
Forslag til lov om net- og informationssikkerhed
(Lovforslag nr. L 201)
Et stærkt digitaliseret samfund som det danske er i sti-
gende grad afhængigt af telenettet, der bl.a. anvendes som
platform for borgeres, virksomheders og myndigheders tele-
foni og datakommunikation. Det samlede telenet er således
en af de mest kritiske dele af samfundets infrastruktur.
Med stigende afhængighed følger imidlertid også øget
sårbarhed, og udviklingen og udbredelsen af informations-
og kommunikationsteknologi har skabt nye muligheder for,
at der derigennem kan rettes alvorlige cyberangreb mod
Danmark og danske interesser.
Forsvarets Efterretningstjeneste vurderer, at de alvorlig-
ste cybertrusler mod Danmark i øjeblikket kommer fra stats-
lige aktører, der udnytter internettet til at spionere og stjæle
dansk intellektuel ejendom, f.eks. patenteret viden, forsk-
ningsresultater og forretningshemmeligheder. Truslen kom-
mer navnlig fra stater, som bruger informationerne til at un-
derstøtte deres egen økonomiske, militære og samfunds-
mæssige udvikling.
Samtidig går udviklingen i retning af, at teleudbyderne -
ud over at anvende leverandører af enkeltkomponenter – i
stigende omfang anvender bl.a. udenlandske leverandører til
at udføre egentlige driftsopgaver.
Teleudbyderne kan i dag indgå selv meget vidtrækkende
aftaler med leverandører, uden at myndighederne bliver be-
kendt med aftalerne.
Regeringen foreslår derfor, at reguleringen på området
styrkes.
Lovforslaget er et led i udmøntningen af regeringsgrund-
laget ”Et Danmark, der står sammen” og den nationale stra-
tegi for cyber- og informationssikkerhed og har til formål at
styrke informationssikkerheden i telesektoren og dermed be-
skytte danske borgeres, virksomheders og myndigheders op-
lysninger.
Med lovforslaget overføres den eksisterende regulering
af informationssikkerhed og beredskab på teleområdet til en
selvstændig lov. Samtidig skærpes kravene til teleudbyder-
nes informationssikkerhed, således at kravene i højere grad
tager højde for samfundets afhængighed af telenettet og af-
spejler det aktuelle trusselsbillede, hvor især cyberangreb og
avanceret industrispionage er stærkt stigende.
Det foreslås, at Center for Cybersikkerhed bemyndiges til
at fastsætte regler om minimumskrav til teleudbydernes
håndtering af informationssikkerheden. Center for Cybersik-
kerhed vil dermed kunne fastsætte krav om, at teleudbyder-
ne skal håndtere informationssikkerheden gennem doku-
menterede og ledelsesforankrede risikostyringsprocesser.
Herudover kan der fastsættes krav til teleudbydernes risiko-
styring i forbindelse med indgåelse og gennemførelse af af-
taler med leverandører.
Samtidig foreslås det, at Center for Cybersikkerhed skal
kunne påbyde teleudbydere at inddrage nærmere angivne
områder af deres virksomhed samt nærmere angivne trusler
mod informationssikkerheden i deres risikostyringsproces-
ser. Dermed kan Center for Cybersikkerhed påbyde en te-
leudbyder at tage højde for en konkret trussel mod informa-
tionssikkerheden. Endvidere vil Center for Cybersikkerhed
kunne påbyde teleudbyderne at træffe konkrete sikkerheds-
foranstaltninger med henblik på at sikre et passende infor-
mationssikkerhedsniveau.
Teleudbydernes oplysnings- og underretningspligter ud-
vides, og det vil bl.a. betyde, at de skal indsende et endeligt
aftaleudkast til Center for Cybersikkerhed umiddelbart forud
for indgåelse af væsentlige kontrakter med eksterne leveran-
dører, hvorefter der indtræder en kort standstill-periode.
Standstill-perioden giver Center for Cybersikkerhed mulig-
hed for at foretage en vurdering af, om aftalens indhold in-
debærer en trussel mod informationssikkerheden, og er også
en fordel for teleudbyderne, da de vil blive gjort opmærk-
somme på de sikkerhedsmæssige bekymringer, som en afta-
le eventuelt giver anledning til, inden den indgås.
For at skabe et mere effektivt tilsyn med teleudbydernes
overholdelse af lovens bestemmelser vil Center for Cyber-
sikkerhed kunne kræve, at teleudbyderne forholder sig
skriftligt til konkrete forhold, som centeret bliver opmærk-
som på i forbindelse med sin tilsynsvirksomhed. For at kun-
ne konstatere, om teleudbyderne i praksis har gennemført de
nødvendige foranstaltninger til at sikre teleinfrastrukturen,
vil Center for Cybersikkerhed uden retskendelse kunne få
adgang til teleudbydernes forretningslokaler efter forudgå-
ende varsel med henblik på at føre tilsyn med overholdelse
af reglerne på informationssikkerhedsområdet. Center for
Cybersikkerhed vil ikke kunne tilgå kommunikation til, fra
Til lovforslag nr. L 201 Folketinget 2014-15
AG000647
og mellem teleudbydernes kunder. Der vil således ikke som
led i ordningen ske indgreb i meddelelseshemmeligheden.
Herudover indebærer lovforslaget, at der fremover ikke
vil være ret til aktindsigt i forhold til de oplysninger og un-
derretninger, som modtages fra teleudbyderne på baggrund
af oplysnings- og underretningspligterne, samt i forhold til
underretninger, der på cybersikkerhedsområdet modtages fra
myndigheder og virksomheder om f.eks. hackerangreb.
Det foreslås, at loven træder i kraft den 1. december
2015, således at branchen får den fornødne tid til at indrette
sig efter den nye lovgivning, inden den træder i kraft, og så-
ledes at der er den fornødne tid til dialog med branchen om
de bekendtgørelser, der skal udstedes i medfør af den nye
lov.
Idet jeg i øvrigt henviser til lovforslaget og de ledsagende
bemærkninger, skal jeg hermed anbefale lovforslaget til det
Høje Tings velvillige behandling.
2