Høringssvar fra Institutfor Menneskerettigheder, fra forsvarsministeren

_______________________________________________________________________________________________________________________________________________
HOLMENS KANAL 42 TELEFON: 72 81 00 00 MAIL: FMN@FMN.DK CVR: 25-77-56-35
1060 KØBENHAVN K TELEFAX: 72 81 03 00 WEB: www.FMN.DK EAN: 5798000201200
Folketingets Forsvarsudvalg
Christiansborg
12. maj 2015
Hermed sendes høringssvar fra Institut for Menneskerettigheder og Forsvarsministeriets
kommentering af høringssvaret vedrørende forslag til lov om net- og informationssikkerhed
(L 201).
Det bemærkes, at høringssvaret blev modtaget efter, at fristen for bemærkninger til lovfors-
laget udløb.
Med venlig hilsen
Nicolai Wammen
Forsvarsudvalget 2014-15
L 201 Bilag 3
Offentligt


_______________________________________________________________________________________________________________________________________________
HOLMENS KANAL 42 TELEFON: 72 81 00 00 MAIL: FMN@FMN.DK CVR: 25-77-56-35
1060 KØBENHAVN K TELEFAX: 72 81 03 00 WEB: www.FMN.DK EAN: 5798000201200
Institut for Menneskerettigheder
Wilders Plads 8K
1403 København K
Bilag:
Sagsbehandler: JCH
Sagsnummer.: 2015/003409
12. maj 2015
BEMÆRKNINGER TIL FORSLAG OM LOV OM NET- OG INFORMATIONSSIKKERHED
Institut for Menneskerettigheder har ved brev af 7. maj 2015 fremsendt bemærkninger til
Forsvarsministeriets forslag til lov om net- og informationssikkerhed.
Forsvarsministeriet kan i den anledning oplyse, at høringsfristen for det pågældende lovfors-
lag var fastsat til 4. maj 2015, og at lovforslaget blev fremsat den 5. maj 2015, hvorefter
høringssvar og høringsnotat blev oversendt til Folketingets Forsvarsudvalg den 6. maj 2015.
Institut for Menneskerettigheders høringssvar vil imidlertid indgå i Forsvarsministeriets over-
vejelser under den videre behandling af lovforslaget, og høringssvaret giver i øvrigt ministe-
riet anledning til følgende bemærkninger:
1. Institut for Menneskerettigheder anbefaler – med henblik på at fremme den enkeltes
menneskerettigheder – at Center for Cybersikkerheds beføjelser efter lovforslagets § 3
nærmere afgrænses og konkretiseres.
Forsvarsministeriet kan henvise til den kommenterede høringsoversigt (Forsvarsudvalget
2014-15, L 201, bilag 1), hvoraf det fremgår, at særligt for så vidt angår den foreslåede § 3
er der i bemærkningerne til denne bestemmelse en beskrivelse på tre sider, som detaljeret
redegør for, hvilke krav og foranstaltninger som vil kunne indgå i udmøntningen af bestem-
melsen. I denne beskrivelse indgår endvidere en række eksempler, der illustrerer rammerne
for udmøntningen.
2. Institut for Menneskerettigheder anbefaler videre at det i lovforslagets bemærkninger
uddybes, hvorfor det er nødvendigt at foretage tilsynsbesøg uden retskendelse.
Forsvarsudvalget 2014-15
L 201 Bilag 3
Offentligt
Forsvarsministeriet kan henvise til den kommenterede høringsoversigt, hvoraf det fremgår,
at Forsvarsministeriet anser det for nødvendigt, at Center for Cybersikkerhed som led i et
rutinemæssigt tilsyn har adgang uden retskendelse til forretningslokaler hos teleudbydere
og deres eventuelle samarbejdspartnere, leverandører og underleverandører for at kunne
konstatere, om teleudbyderne i praksis har gennemført de nødvendige foranstaltninger til at
sikre teleinfrastrukturen. Herudover skal Forsvarsministeriet bemærke, at der i den foreslåe-
de bestemmelse opstilles en række krav, som skal være opfyldt for, at centeret kan få den-
ne adgang. De opstillede krav uddybes yderligere i lovforslagets bemærkninger.
3. Institut for Menneskerettigheder anbefaler endvidere, at betingelserne for at foretage
tilsynsbesøg hos udbydere og disse underleverandører efter lovforslagets § 9 nærmere præ-
ciseres i lovteksten.
Forsvarsministeriet kan henvise til den kommenterede høringsoversigt, hvoraf det fremgår,
at det følger af lovforslaget, at adgang kun vil ske efter et varsel på mindst syv arbejdsdage.
Adgang uden retskendelse vil desuden kun kunne ske, hvis det er nødvendigt af hensyn til
informationssikkerheden. Det fremgår endvidere af lovforslagets bemærkningers afsnit
3.4.3, at det forudsættes, at muligheden kun anvendes, såfremt et tilsvarende resultat ikke
kan opnås ved anvendelse af andre og mindre indgribende tilsynsmuligheder. Som det ud-
trykkeligt fremgår af lovforslagets § 9, stk. 6 og 7, kan Center for Cybersikkerhed ikke i for-
bindelse med adgang til forretningslokaler tilgå kommunikation til, fra eller mellem udbyder-
nes kunder. Dette omfatter såvel indholdet af kommunikationen som såkaldt metadata eller
trafikdata (f.eks. telefonnumre og IP-adresser).
4. Endelig anbefaler Institut for Menneskerettigheder, at det overvejes, om det fortsat er
berettiget at undtage Center for Cybersikkerhed fra almindelige forvaltningsretlige princip-
per, når centrets rolle som tilsynsmyndighed udvides betydeligt.
Forsvarsministeriet kan henvise til den kommenterede høringsoversigt, hvoraf det fremgår,
at Center for Cybersikkerheds virksomhed er undtaget fra forvaltningslovens kapitel 4-6, jf.
§ 8 i lov om Center for Cybersikkerhed. Det fremgår imidlertid af bemærkninger til forslaget
til lov om Center for Cybersikkerhed, at det forudsættes, at Center for Cybersikkerhed i vi-
dest muligt omfang efterlever principperne i forvaltningslovens kapitel 4-6. I praksis inde-
bærer det, at Center for Cybersikkerhed i virket som myndighed på informationssikkerheds-
området agerer som om, at forvaltningsloven var fuldt ud gældende for centeret.
Det fremgår endvidere af den kommenterede høringsoversigt, at en række af de centrale
principper i persondataloven finder anvendelse på Center for Cybersikkerheds virksomhed,
jf. kapitel 6 i lov om Center for Cybersikkerhed. Behandling af personoplysninger efter net-
og informationssikkerhedsloven vil derfor ske i overensstemmelse med de centrale princip-
per i persondataloven.
Med venlig hilsen
Thomas Kvistholm Thrane
Kontorchef


WILDERS PLADS 8K
1403 KØBENHAVN K
TELEFON 3269 8888
DIREKTE 3269 8905
MOBIL 3269 8905
MAF@HUMANRIGHTS.DK
MENNESKERET.DK
J. NR.
540.10/31805/MAF/HSC/ANPE
7. MAJ 2015
Forsvarsministeriet
fmn@fmn.dk
jch@fmn.dk
H Ø R I N G O V E R U D K A S T T I L F O R S L A G T I L L O V O M
N E T - O G I N F O R M A T I O N S S I K K E R H E D
Forsvarsministeriet har ved e-mail af 21. april 2015 anmodet om Institut
for Menneskerettigheders eventuelle bemærkninger til forslag til lov
om net- og informationssikkerhed.
1. LOVFORSLAGETS BAGGRUND
Lovforslagets formål er medvirke til at sikre en robust informations- og
kommunikationsteknologisk infrastruktur (ikt-infrastruktur) ved at
fremme informationssikkerheden i net og tjenester og sikre, at
elektronisk kommunikation kan finde sted i beredskabssituationer og i
andre ekstraordinære situationer.
Lovforslaget skal ses på baggrund af, at det danske samfund i stigende
grad er afhængigt af telenettet i form af datakommunikation og
telefoni. Efter en ressortomlægning i 2011 administrerer Erhvervs- og
Vækstministeriet telelovens bestemmelser om teleudbyderes generelle
virksomhed, mens Forsvarsministeriet administrerer reglerne om
informationssikkerhed og beredskab. Med lovforslaget flyttes
telelovens bestemmelser om informationssikkerhed og beredskab til en
ny net- og informationssikkerhedslov under Forsvarsministeriet.
Instituttet har følgende bemærkninger:
Institut for Menneskerettigheder finder overordnet lovforslagets fokus
på at øge informationssikkerheden og sikre en robust ikt-infrastruktur
positivt.
2. CENTER FOR CYBERSIKKERHEDS UDVIDEDE BEFØJELSER
EFTER LOVFORSLAGETS KAPITEL 2
Efter lovforslaget kan Center for Cybersikkerhed (CFCS) stille en række
krav til udbydere af offentligt tilgængelige net og tjenester. Kravene kan
vedrøre flere forhold, for eksempel minimumskrav til
Forsvarsudvalget 2014-15
L 201 Bilag 3
Offentligt
2/4
informationssikkerheden, risikostyring, underretning ved brud på
informationssikkerheden, som har væsentlige følger for driften af net
eller tjenester, leverandørkrav og beredskab. Overtrædelse af krav eller
påbud fra CFCS kan straffes med bøde.
CFCS bliver i den forbindelse bemyndiget til at fastsætte en række
administrative forskrifter; bemyndigelser som et vist omfang hidtil har
været tillagt Erhvervsstyrelsen, mens andre er nye. CFCS får ganske
brede bemyndigelser at udfylde lovteksten.
Efter instituttets opfattelse bør rammerne for de beføjelser, som CFCS
får til at varetage sine opgaver imidlertid nærmere konkretiseres og
fastsættes under inddragen af Folketinget og efter høring af relevante
interessenter. Herved undgås det, at CFCS både fører tilsyn og samtidig
udmønter centrale dele af lovens indhold. En nærmere afgrænsning af
CFCS’s beføjelser vedrører særligt beføjelserne omtalt i lovforslagets §
3.
Som eksempel på den brede regulering i lovforslaget kan der henvises
til lovforslagets § 3, stk. 3, hvorefter CFCS kan fastsætte nærmere regler
om påbud til udbydere, såfremt det er ”af væsentlig samfundsmæssig
betydning”. Det fremgår af bemærkningerne til lovforslaget, at påbud
efter § 3, stk. 3, normalt vil have karakter af erstatningsfri regulering.
Det kan dog ifølge bemærkningerne til lovforslaget ikke udelukkes, at
påbud i visse tilfælde vil kunne ramme udbydere så økonomisk intensivt
og atypisk hårdt, at der kan rejses spørgsmål om ekspropriation, jf.
grundlovens § 73.
Instituttet er opmærksomt på, at den gældende regulering på området i
et ikke ubetydeligt omfang sker ved bekendtgørelser mv.
 Institut for Menneskerettigheder anbefaler – med henblik på at
fremme den enkeltes menneskerettigheder – at Center for
Cybersikkerheds beføjelser efter lovforslagets § 3 nærmere
afgrænses og konkretiseres.
3. TILSYNSBESØG EFTER LOVFORSLAGETS § 9
Med lovforslagets § 9 bliver CFCS tillagt beføjelse til at foretage
tilsynsbesøg, ikke blot hos udbydere, jf. § 9, stk. 6, men også hos
udbyderes samarbejdspartnere, leverandører og underleverandører, jf.
§ 9, stk. 7.
Tilsynsbesøg kan gennemføres, hvis det er ”nødvendigt af hensyn til
informationssikkerheden” med henblik på at påse overholdelse af loven
og regler udstedt i medfør af loven, med et varsel på syv dage og uden
3/4
retskendelse. Det fremgår eksplicit af lovforslaget, jf. §§ 9, stk. 6 og 7, at
CFCS i den forbindelse ikke kan tilgå kommunikation til, fra eller mellem
udbydernes kunder, samt at der er tale om varslede tilsynsbesøg.
Tilsynsbesøg vil foregå i forretningslokaler, som nyder beskyttelse efter
henholdsvis grundlovens § 72 og Den Europæiske
Menneskerettighedskonventions (EMRK) artikel 8.
Grundlovens § 72 stiller ved sådanne tilsynsbesøg krav om
retskendelse, med mindre der ved lov foreligger særegen undtagelse.
Ved lovforslaget foreligger sådan særegen undtagelse. EMRK artikel 8
indeholder ikke - som grundloven – et udgangspunkt om retskendelse,
men et krav om retskendelse kan være en sikkerhedsgaranti, som kan
retfærdiggøre indgreb i artikel 8. Når der foretages indgreb efter EMRK
artikel 8, skal der foreligge tilstrækkelig klar og præcis lovhjemmel,
indgrebet skal forfølge et legitimt formål samt være nødvendigt,
herunder proportionalt.
Det fremgår af bemærkningerne til lovforslaget, at tilsynsbesøgene vil
blive foretaget rutinemæssigt, og derfor vil der ikke forud for et besøg
foreligge et mistankegrundlag, som vil kunne danne grundlag for en
retskendelse. Forsvarsministeriet vurderer derfor, at tilsynsbesøgene
ikke er egnede til domstolsprøvelse. Omvendt forudsættes det i
bemærkningerne, at denne mulighed kun forudsættes anvendt, hvis
tilsvarende resultat ikke kan opnås med andre og mindre indgribende
muligheder.
Instituttet bemærker, at grundlovens krav om retskendelse også finder
anvendelse på rutineprægede husundersøgelser. Kravet om
retskendelse kan for eksempel også forebygge misbrug af
tilsynsbeføjelsen. Instituttet finder derfor, at fravigelse fra grundlovens
udgangspunkt bør ledsages af en mere udførlig begrundelse. Set i lyset
af at tilsynsbesøg skal varsles mindst syv dage før, bør der i praksis være
tid til at indhente en retskendelse forud for tilsynsbesøget.
 Instituttet anbefaler - henset til indgrebets karakter og med
henblik på at fremme den enkelte menneskerettigheder – at det
i lovforslagets bemærkninger uddybes, hvorfor det er
nødvendigt at foretage tilsynsbesøg uden retskendelse.
Det ses ikke er nærmere beskrevet, hvornår et tilsynsbesøg er
”nødvendigt af hensyn til informationssikkerheden”. Det vil således ikke
stå udbyderne tilstrækkeligt klart, hvornår de vil kunne udsættes for et
sådant indgreb, og eventuelt træffe foranstaltninger med henblik på til
at undgå det.
4/4
 Institut for Menneskerettigheder anbefaler – med henblik på at
fremme den enkeltes menneskerettigheder - at betingelserne
for at foretage tilsynsbesøg efter lovforslagets § 9 hos udbydere
og disse underleverandører nærmere præciseres i lovteksten.
4. OM CENTER FOR CYBERSIKKERHEDS VIRKSOMHED
Ifølge lov om Center for Cybersikkerhed § 8 er CFCS’s virksomhed
undtaget fra offentlighedsloven (med undtagelse af notatpligten),
forvaltningslovens kapitel 4 til 6 (reglerne om aktindsigt, partshøring og
begrundelse) samt persondataloven. Ifølge forarbejderne til lov om
Center for Cybersikkerhed forudsættes det, at CFCS i størst muligt
omfang efterlever principperne i offentlighedsloven og
forvaltningslovens kapitel 4-6. Det fremgår af lovforslagets
bemærkninger, at CFCS forventes at følge persondatalovens principper.
Samtidigt er der grund til at fremhæve, at CFCS er forpligtet til at
overholde EMRK artikel 8 om privatlivets fred, herunder beskyttelse af
personoplysninger, og EU-Chartrets artikler 7 og 8 om samme.
De udvidede beføjelser, som CFCS tillægges efter lovudkastet, vil også
få betydning for behandlingen af personoplysninger, herunder
personfølsomme oplysninger.
Udgangspunktet i dansk ret er, at offentlige myndigheder skal
overholde forvaltningsloven, offentlighedsloven og persondataloven.
Instituttet sætter derfor spørgsmålstegn ved, om det fortsat er
berettiget at undtage CFCS fra almindelige forvaltningsretlige krav, når
centrets virksomhed som tilsynsmyndighed udvides betydeligt.
Instituttet finder, at der ved tildelingen af nye eller udvidede beføjelser
til CFCS bør tages eksplicit stilling til, om de nye beføjelser
nødvendiggør en fravigelse af normale lovkrav. I bemærkningerne til
lovforslaget tages der imidlertid ikke stilling til dette.
 Institut for Menneskerettigheder anbefaler – med henblik på at
fremme den enkeltes menneskerettigheder – at det overvejes, om
det fortsat er berettiget at undtage Center for Cybersikkerhed fra
almindelige forvaltningsretlige principper, når centrets rolle som
tilsynsmyndighed udvides betydeligt.
Der henvises til j.nr. 2014/004373
Med venlig hilsen
Martin Rosenkilde