Høringssvar og høringsnotat fra transport-, bygnings- og boligministeren
Tilhører sager:
- Hovedtilknytning: Forslag til lov om sikkerhed i net- og informationssystemer i transportsektoren. (Bilag 1)
Aktører:
Høringsnotat
https://www.ft.dk/samling/20171/lovforslag/L135/bilag/1/1855838.pdf
Dato J. nr. HØRINGSNOTAT VEDR. FORSLAG TIL LOV OM SIKKERHED I NET- OG INFORMATIONSSYSTEMER I TRANSPORTSEKTOREN 8. februar 2018 2017-4685 I. Høringen Udkast til forslag til lov om sikkerhed i net- og informationssystemer i trans- portsektoren har været sendt i høring fra onsdag den 29. november 2017 til tirsdag den 2. januar 2018. Desuden har lovudkastet været i offentligt tilgænge- ligt på høringsportalen (https://hoeringsportalen.dk/) i hele høringsperioden. Transport-, Bygnings-, og Boligministeriet har modtaget høringssvar fra: Danske Havne, Danske Rederier, Danske Regioner, Datatilsynet, DB Cargo Scandinavia A/S, DSB, Erhvervsflyvningens Sammenslutning, Færge Rederierne, Institut for Menneskerettigheder, IT-Politisk Forening, Naviair, Rederiforeningen, Rigsrevisionen, Trafikselska- berne og Øresundsbro Konsortiet. DB Cargo Scandinavia A/S, Naviair og Rigsrevisionen har meddelt, at de ikke har bemærkninger til lovforslaget. Nedenfor er angivet de væsentligste punkter i de modtagne høringssvar. Trans- port-, Bygnings- og Boligministeriets bemærkninger til høringssvarene er an- ført med kursiv. II. Høringssvar 1. Generelle bemærkninger IT-Politisk Forening vurderer, at den valgte sektoropdeling med flere kom- petente myndigheder kan sprede tilsynsressourcerne mere, end hvad godt er, og synergieffekterne mellem forskellige tilsynsmyndigheder kan blive vanskeli- ge at udnytte. Der er stor forskel på de sektorer, der er omfattet af direktivet. Målet med sektoropdelingen er, at lovgivningen tilpasses den enkelte sektor for derved at opnå den bedst mulige beskyttelse af net- og informationssystemer og samti- dig sikre, at erhvervslivet ikke pålægges unødvendige byrder. Ved implemen- teringen af NIS-direktivet videreføres sektoransvaret derfor, således at de enkelte ressortmyndigheder inden for eget område har ansvaret for at fast- satte og håndhæve reglerne om informationssikkerhed. Transport-, Bygnings- og Boligudvalget 2017-18 L 135 Bilag 1 Offentligt Side 2/9 2. Definitioner DSB anfører, at definitionerne i lovforslaget kunne være mere præcist formule- ret, så bl.a. scopet for lovforslaget og afgrænsninger i forhold til systemer om- fattet af lovforslaget tydeliggøres. Lovforslagets definitioner bygger på de tilsvarende definitioner i NIS- direktivets art. 4. Definitionerne skal læses i sammenhæng med de øvrige be- stemmelser i lovforslaget. Lovforslaget stiller alene krav om, at operatøren skal træffe foranstaltninger for at styre risiciene for sikkerheden i net- og informationssystemer for så vidt angår den del af en operatørs aktiviteter, hvor en hændelse vil få en væ- sentlig forstyrrende virkning for leveringen af en transporttjeneste. Lovforslaget giver hjemmel til, at transport-, bygnings- og boligministeren fastsætter nærmere regler i en bekendtgørelse. De nærmere regler vil eksem- pelvis være en tydeliggørelse af, hvad der kvalificeres som væsentlige tjene- ster inden for dele af transportsektoren. Herudover vil der være nærmere regler om de foranstaltninger, der skal træffes for at styre risiciene for sik- kerheden i net- og informationssystemerne og for at forebygge og minimere konsekvenserne af hændelser, der kan have negativ indvirkning på sikkerhe- den i de anvendte net- og informationssystemer. IT-Politisk Forening bemærker, at ansvaret for de tværgående opgaver som følge af NIS-direktivet ikke er omtalt i lovforslagets bemærkninger. Transport-, Bygnings- og Boligministeriet har præciseret i lovforslaget, at underretningerne retteligt skal ske til den nationale it-beredskabsenhed, der håndterer hændelser, og som har ansvaret for at sikre samarbejdet om sik- kerheden i net- og informationssystemer i EU (CSIRT). Der er tilføjet en defi- nition af CSIRT, og i bemærkningerne til definitionen fremgår det, at det i Danmark er Center for Cybersikkerhed, der fremover forventes at varetage funktionen som CSIRT. 3. Operatører af væsentlige tjenester Erhvervsflyvningens Sammenslutning vurderer ikke, at deres medlem- mer udpeges som de mest samfundskritiske operatører inden for luftfart. Danske Rederier, Rederiforeningen og Færge Rederierne vurderer, at relationen til skibsfarten og skibenes interaktion med danske havne ikke vil være at betragte som en væsentlig transporttjenste i direktivets forstand. Side 3/9 Trafikselskaberne i Danmark påpeger, at der er ikke ubetydelige konse- kvenser, herunder administrative og økonomiske byrder, ved at blive udpeget som operatør af væsentlige tjenester, og opforderer ministeriet til at præcisere yderligere, hvad der lægges vægt på i forbindelse med udpegningen af operatø- rer. Inden for transportsektoren er der meget forskelligartede operatører, og de kriterier, der ligger til grund for, at en operatør bliver omfattet af reglerne, kan ikke beskrives detaljeret, men vil bero på en konkret vurdering. Lovforslaget omfatter alene de operatører, der af transport-, bygnings- og boligministeren udpeges som operatører af væsentlige tjenester. Der træffes en forvaltningsmæssig afgørelse herom senest den 9. november 2018, og li- sten over udpegede operatører ajourføres mindst hvert andet år. Operatørerne kan være både offentlige eller private enheder under transport- , bygnings- og boligministerens ressort. Transport-, bygnings- og boligmini- steren vil i forbindelse med udpegningen lægge vægt på, at operatøren leverer en transporttjeneste, der er afhængig af net- og informationssystemer og er væsentlig for opretholdelsen af kritiske samfundsmæssige og økonomiske aktiviteter. Ydermere skal en given hændelse inden for net- og informations- systemerne have væsentlige forstyrrende virkninger for leveringen af trans- porttjenesten, førend operatøren vil blive betragtet som en operatør af væ- sentlige tjenester i lovforslagets forstand. Det vil bero på en konkret vurdering, om en hændelse vil få væsentlige for- styrrende virkninger. Transport-, bygnings- og boligministeren tager herun- der hensyn til tværsektorielle forhold som antal af brugere, der er afhængig af tjenesten, afhængighed i andre sektorer, konsekvenser, som hændelser kan have med hensyn til omfang og varighed på samfundsmæssige aktiviteter, den nævnte enheds markedsandel, den geografiske udbredelse, samt enhedens betydning med henblik på at opretholde et tilstrækkeligt tjenesteniveau. Transport-, bygnings- og boligministeren vil fastsætte nærmere regler i en bekendtgørelse om udpegningen af operatører af væsentlige transporttjene- ster, herunder de kriterier der skal lægges vægt på ved udpegningen af opera- tørerne. Det er ministeriets forventning, at der vil være tale om enkelte private opera- tører og en eller flere operatører, som er en del af den offentlige sektor, som vil blive udpeget som operatører af væsentlige transporttjenester, og at de alle karakteriseres ved at være særdeles store operatører, der har en domine- rende status på hver deres område. Trafikselskaberne i Danmark anser det endvidere for betænkeligt, at ministe- rens adgang til at afskære klageadgangen over udpegning som operatør alene er Side 4/9 begrundet i, at afgørelsen om udpegning vil være af udpræget teknisk karakter, som forudsætter betydelig indsigt i området. Transport-, Bygnings- og Boligministeriet bemærker, at det forudsætter en særlig teknisk og faglig ekspertise inden for transportområdet at vurdere hvilke operatører, der skal udpeges. Trafik-, Bygge- og Boligstyrelsen vareta- ger allerede lignende opgaver på en række områder. En afskæring af klage- adgangen over udpegning vil være i overensstemmelse med reglerne på lig- nende sagsområder varetaget af Trafik-, Bygge- og Boligstyrelsen, hvor en særlig teknisk og faglig ekspertise er påkrævet for at træffe afgørelse. Det bemærkes, at de almindelige forvaltningsretlige regler om partshøring, be- grundelse m.v. vil blive iagttaget ved udpegelsen af operatører omfattet af lovforslaget. Øresundsbro Konsortiet fremfører, at såfremt Øresundsbron udpeges som operatør af en væsentlig transporttjeneste, er det vigtigt, at selve udpegningen samt de krav, der stilles i den forbindelse, er samordnet mellem Danmark og Sverige. Det er specificeret i bemærkningerne, at transport-, bygnings- og boligmini- steren forud for en eventuel udpegning af en operatør, der leverer en grænse- overskridende tjenesteydelse, vil indgå i dialog med de medlemslande, hvor tjenesteydelsen leveres. Denne dialog skal hjælpe med at vurdere operatørens kritiske karakter med hensyn til grænseoverskridende konsekvenser. 4. Certificering DSB anfører, at certificering forudsætter en præcis definition af, hvilke syste- mer der er omfattet af loven, og som dermed kan blive omfattet af certifice- ringskrav. DSB anfører endvidere, at bemyndigelsen til fastsættelse af krav til certificering bør forelægges de berørte virksomheder i form af udkast til kon- krete regler. Med henvisning til lovforslagets § 4, stk. 3, bemyndiges transport-, bygnings- og boligministeren til at fastsætte nærmere regler om foranstaltningerne til at styre risiciene i net- og informationssystemer. Relevante operatører vil blive inddraget i den videre proces med at fastsætte de nærmere regler. DSB anfører, at en revisorerklæring, der følger den internationale standard, ISAE 3000 ”Andre erklæringsopgaver med sikkerhed end revision eller review af historiske finansielle oplysninger”, med et scope vedr. systemsikkerhed i de af loven omfattede togsystemer kunne være et alternativ til en certificering. Transport-, Bygnings- og Boligministeriet har noteret sig DSB’s forslag til alternativ model. Forslaget om en certificeringsmodel bygger på en nærmere vurdering af to modeller for implementering af lovforslaget: Side 5/9 - En statslig godkendelsesmodel, hvor Trafik-, Bygge- og Boligstyrelsen efter delegation godkender operatørernes risikostyringsforanstalt- ninger og fører tilsyn hermed. - En certificeringsmodel, hvor operatørerne bliver pålagt at blive certi- ficeret efter en international anerkendt standard efter eget valg. I den statslige godkendelsesmodel udarbejder Trafik-, Bygge- og Boligstyrel- sen sikkerhedskrav om foranstaltninger af teknisk og organisatorisk karak- ter, som pålægges operatøren. Styrelsen skal godkende, at operatøren følger de fastlagte krav, og styrelsen fører løbende tilsyn med, at kravene er over- holdt. En statslig godkendelsesmodel vil ikke rumme den samme fleksibilitet for ope- ratørerne som certificeringsmodellen, hvor det er operatørerne der selv væl- ger, hvilken standard de vil certificeres efter. Trafik-, Bygge- og Boligstyrelsen fører i dag ikke tilsyn med IT- og informati- onssystemer hos operatørerne. Styrelsen råder derfor ikke over de ressourcer og IT-kompetencer, der vurderes nødvendige for at kunne føre et effektivt tilsyn med operatørernes efterlevelse af lovforslaget. Den statslige godkendel- sesmodel forudsætter derfor, at styrelsen enten rekrutterer medarbejdere med særlig kompetence til at håndtere meget specialiserede IT- sikkerhedsopgaver eller køber denne kompetence hos eksterne konsulenter. Trafik-, Bygge- og Boligstyrelsens godkendelses- og tilsynsvirkomhed på transportområdet er i dag i vid udstrækning brugerfinansieret i form af ge- byrer eller afgifter. Ved en statslig godkendelsesmodel vil styrelsen skulle op- kræve gebyrer fra operatørerne til dækning af udgifterne til såvel sagsbe- handlingen i styrelsen som viderefakturering for eventuelle eksterne konsu- lenter, som det skønnes nødvendigt at inddrage i vurderingen af efterlevelsen af reglerne. Ved certificeringsmodellen dokumenterer operatørerne efterlevelse af de sik- kerhedskrav, som fastsættes i loven ved at lade sig certificere i overensstem- melse med en internationalt anerkendt standard for styring af net- og infor- mationssikkerhed. Metoden med at basere sig på en international anerkendt standard inden for net- og informationssikkerhed tager udgangspunkt i den enkelte institutions risikoprofil og rummer mulighed for, at der implementeres netop de sikker- hedsforanstaltninger og kontrolprocedurer, der er passende for den enkelte operatør. Dermed sikres det, at de sikkerhedskrav, der stilles til de udpegede operatører, er proportionale, og at operatøren ikke pålægges unødige foran- staltninger, men alene skal gennemføre sikkerhedsforanstaltninger og kon- Side 6/9 trolprocedurer, der står i et passende forhold til den enkelte operatørs tjene- ste. Styrelsens tilsyn vil herefter bestå i løbende at verificere, at den enkelte udpe- gede operatør opretholder sin certificering. Dertil kommer, at styrelsen vil afholde de nødvendige møder med det certificerende organ. Det vil være det certificerende organ, der med sin certificering af operaøren giver sikkerhed for, at de nødvendige foranstaltninger til at forhindre, forebygge og håndtere hændelser i operatørens udpegede net- og informationssystemer, er på plads. De akkrediterede certificeringsorganer, der beskæftiger sig med certificering efter en international anerkendt standard, har oparbejdet kompetencer på netop dette område, og vil meget målrettet kunne vejlede de enkelte operatø- rer i forhold til fx scopet for certificeringen, og gennemførelsen af de relevante foranstaltninger. De certificerende organer vil – for at der skal være vished om deres faglige kompetencer på området – af samme grund skulle have den nødvendige akkreditering af et akkrediteringsorgan. Trafik-, Bygge- og Boligstyrelsen vil ikke på samme måde kunne skaffe den nødvendige ekspertise, hvis reguleringen baseres på en godkendelsesmodel, idet styrelsen ikke som godkendende myndighed har de samme muligheder for at gå i dialog om scope, mulige tiltag mv. som et akkrediteret organ har. På baggrund heraf vurderer Transport-, Bygnings- og Boligministeriet, at den mest hensigtsmæssige model for implementeringen af lovforslaget vil være at stille krav om certificering efter en international anerkendt standard. Kravene vil blive fastlagt nærmere i en bekendtgørelse. 5. Underretning om hændelser Danske Havne, Danske Rederier, Færge Rederierne og Rederifor- eningen, mener ikke, at implementeringen af NIS-direktivet kræver indførelse af nye indberetnings- eller kontrolforanstaltninger for havne og havnefacilite- ter, da der allerede eksisterer obligatoriske sikkerhedsforanstaltninger og rap- porteringskrav inden for søfartssektoren, som må betragtes som lex specialis. Regler om indberetning af hændelser inden for søfartssektoren, der mindst svarer til de tilsvarende bestemmelser i NIS-direktivet, som implementeret ved dette lovforslag, vil blive betragtet som lex specialis. DSB anfører i forhold til kravet om, at operatøren ”hurtigst muligt” skal fore- tage underretning om hændelser, at de specielle bemærkninger til forståelsen af ”hurtigst muligt”, jf. lovforslagets § 5, stk. 1, anerkendes, da formuleringen ”i rette tid” er anvendt i de generelle bemærkninger, hvilket virker mere passen- de. Side 7/9 Transport-, Bygnings- og Boligministeriet bemærker, at det i lovforslagets beskrivelse af gældende ret er anført, at der på jernbaneområdet er krav om, at data om ulykker og forløbere til ulykker skal indberettes i rette tid. Denne formulering knytter sig således til beskrivelsen af gældende ret. Underretning om hændelser omfattet af lovforslaget skal ske ”hurtigst muligt”. Det indebæ- rer, at operatøren – dog under hensyn til arbejdet med at minimere konse- kvenserne af hændelsen – skal underette myndighederne, så snart operatøren har de nødvendige oplysninger til at vurdere hændelsens omfang, herunder om der overhovedet er tale om en underretningspligtig hændelse. Erhvervsflyvningens Sammenslutning anfører, at det vil være hensigts- mæssigt, at der offentliggøres et link eller tilsvarende, som kan benyttes til fri- villig underretning om hændelser. Danske Havne, Danske Rederier, Færge Rederierne, IT-Politisk Forening og Rederiforeningen fremfører, at det er vigtigt, at det med den sektorspecifikke implementering sikres, at de respektive myndigheder koordi- nerer eventuelle relationer til andre sektorer, således at kravet om underret- ning af myndighederne ved hændelser ikke fører til krav om dobbeltunderret- ning og unødige byrder for erhvervslivet. Det forventes, at der oprettes én fælles digital indgang til indberetning af IT- sikkerhedshændelser på Virk.dk. Formålet er at gøre det lettere for virksom- heder og myndigheder at efterleve kravene om lovpligtig indberetning af IT- sikkerhedshændelser. Det vil dermed kun være ét sted, at operatøren skal fo- retage underretningen, som herefter sendes til både de relevante kompetente myndigheder og CSIRT’en. Det forventes, at den fælles digital indgang på Virk.dk også kan benyttes til frivillig underretning om IT- sikkerhedshændelser. 6. Videregivelse af oplysninger og tavshedspligt DSB mener, at den særlige tavshedspligt i forslagets § 8 bør udvides til også at omfatte oplysninger opnået i forbindelse med tilsyn. Lovforslaget er blevet ændret på baggrund af de indkomne høringssvar og indeholder i dets nuværende form ikke nogen bestemmelse om en særlig tavs- hedspligt. Dette skyldes for det første, at Forsvarsministeriets lovudkast vedrørende internetudvekslingspunkter regulerer Center for Cybersikkerheds adgang til at offentliggøre hændelser, herunder fra andre sektorer. Det vurderes fra Forsvarsministeriets side ikke hensigtsmæssigt, at Center for Cybersikkerhed pålægges tavshedspligt i den sektorspecifikke regulering. Side 8/9 Dernæst er det Transport, Bygnings- og Boligministeriets vurdering, at man ikke kan pålægge private operatører et strafansvar efter straffelovens § 152- 152 e. Samlet set betyder dette, at tavshedspligten kun vil gælde for en del af de per- soner der vil få adgang til oplysningerne. Det er derfor Transport, Bygnings- og Boligministeriets vurdering, at tavshedspligten vil risikere at kunne med- føre en forkert opfattelse om fortrolighed for de operatører der indberetter, hvorfor ministeriet har besluttet at revidere lovteksten, så den følger den hø- ringsmodel der fremgår af direktivets artikkel 14 stk. 6. DSB foreslår, at der stilles krav om, at kommunikation omkring fortrolige og sensitive oplysninger krypteres. Transport-, Bygnings- og Boligministeriet noterer sig forslaget og bemærker, at de nærmere regler for kommunikationsmåden fastsættes på bekendtgørel- sesniveau. Det fremgår af bemærkningerne til lovforslaget, at der vil kunne fastsættes regler om, at underretningerne skal være digitale og foregå på en given platform. Dansk Institut for Menneskerettigheder og IT-Politisk Forening an- ser det for problematisk, at Center for Cybersikkerhed varetager rollen som CSIRT og dermed modtager underretninger om hændelser, da Forsvarets Ef- terretningstjeneste som udgangspunkt er undtaget fra offentlighedslovens an- vendelsesområde og fra centrale dele af forvaltningsloven. Forsvarets Efterret- ningstjeneste er endvidere generelt undtaget fra den gældende persondatalov og det for nyligt fremsatte forslag til en ny databeskyttelseslov (L 68). Med den forventede etablering af CSIRT som en del af Forsvarets Efterretningstjeneste vil CSIRT derfor være generelt undtaget fra den EU-retlige ramme for databe- skyttelse, som NIS-direktivets artikel 2 kræver overholdelse af. Datatilsynet forudsætter, at persondataloven og regler udstedt i medfør heraf vil blive iagttaget i forbindelse med de behandlinger af personoplysninger, der eventuelt vil ske som følge af lovforslagets bestemmelser. Datatilsynet har end- videre gjort opmærksom på, at databeskyttelsesforordningen får virkning fra 25. maj 2018, og at persondataloven samtidig ophæves. IT-Politisk Forening udtaler, at der bør fastsættes regler, som begrænser behandlingen af personoplysninger til det strengt nødvendige for at klarlægge omfanget af hændelsen og dens eventuelle grænseoverskridende konsekvenser. Der bør desuden være et eksplicit krav om, at disse personoplysninger skal slettes eller anonymiseres hurtigst muligt. Transport-, Bygnings- og Boligministeriet har præciseret i bemærkningerne til lovforslaget, at i tilfælde, hvor der er tale om behandling af personhenfør- bare oplysninger, vil lovgivningen for databeskyttelse, jf. lov nr. 429 af 31. Side 9/9 maj 2000 om behandling af personoplysninger med senere ændringer samt regler udstedt i medfør heraf, finde tilsvarende anvendelse. Reglerne i databe- skyttelsesforordningen, jf. forordning (EU) 2016/679 af 27. april 2016, vil finde anvendelse, når disse får virkning den 25. maj 2018. Der henvises i øvrigt til bemærkningerne til nærværende lovforslag . 7. Økonomiske konsekvenser Danske Regioner anmoder under henvisning til høringssvaret fra Trafiksel- skaberne i Danmark om at få lovforslaget i DUT høring, idet lovforslaget kan have betydelige økonomiske konsekvenser for regionerne. Danske Regioner anmoder om en vurdering af de økonomiske konsekvenser for regionerne. Såfremt trafikselskaberne udpeges som operatører af væsentlige transport- tjenester og underlægges krav om certificering, kan det ikke udelukkes, at der vil skulle iværksættes en DUT-høring. En sådan vil i givet fald blive håndteret behørigt.
Følgebrev til TRU
https://www.ft.dk/samling/20171/lovforslag/L135/bilag/1/1855837.pdf
MINISTEREN Dato J. nr. Frederiksholms Kanal 27 F 1220 København K Telefon 41 71 27 00 Til Transport-, Bygnings- og Boligudvalget Folketinget 9. februar 2018 2017-4685 Vedr. forslag til lov om sikkerhed i net- og informationssystemer i transportsektoren Hermed sendes høringsnotat og høringsvar til ovennævnte lovforslag. Med venlig hilsen Ole Birk Olesen Transport-, Bygnings- og Boligudvalget 2017-18 L 135 Bilag 1 Offentligt
NIS-lovforslag høringssvar
https://www.ft.dk/samling/20171/lovforslag/L135/bilag/1/1855839.pdf
Transport-, Bygnings- og Boligministeriet Frederiksholms Kanal 27 F 1220 København K Att.: specialkonsulent Gry Høirup Høringssvar vedr. udkast til forslag til Lov om sikkerhed i net- og informationssystemer i transportsektoren Med henvisning til høringsbrev af 29. november 2017 vedr. udkast til implementering af direktiv 2016/1148 (NIS-direktivet), har Danske Havne følgende kommentarer. Helt overordnet kan Danske Havne tilslutte sig bemærkningerne i Danske Rederiers høringssvar af den 22. december 2017 vedr. udkast til lovforslag om sikkerhed i net- og informationssystemer i transportsektoren. Af høringsbrevet fremgår det, at Regeringen påtænker at implementere NIS- direktivet sektorvist med det formål at varetage sektorspecifikke forhold, for derved at opnå den bedst mulige beskyttelse af net- og informationssystemer og samtidig sikre, at erhvervslivet ikke pålægges unødvendige byrder. Danske Havne bifalder særligt hensynet om ikke at pålægge erhvervet unødvendige byrder. På havneområdet beder vi derfor om, at man særligt observerer NIS-direktivets præambel pkt. 10, hvoraf det fremgår, at der allerede eksisterer obligatoriske sikkerhedsforanstaltninger indenfor søfartssektoren og herunder bl.a. for havne og havnefaciliteter. Danske Havne anser derfor ikke at implementering af NIS-direktivet kræver indførsel af nye indberetnings- eller kontrolforanstaltninger for havne. Med venlig hilsen, Eva Fiil Nielsen PA/Policy Advisor Bredgade 23, 2. tv 1260 København K Telefon 7211 8100 Ref Eva Fiil Nielsen efn@danskehavne.dk Dir 61710706 www.danskehavne.dk 2. Januar 2018 Transport-, Bygnings- og Boligudvalget 2017-18 L 135 Bilag 1 Offentligt 1 / 2 Transport-, Bygnings- og Boligministeriet Att.: specialkonsulent Gry Høirup Frederiksholms Kanal 27 F 1220 København K Sendt via e-mail: grf@trm.dk Høringssvar vedr. udkast til lovforslag om sikkerhed i net- og informationssystemer i transportsektoren Der henvises til høringsbrev af 29. november 2017 vedr. udkast til lovforslag om sikkerhed i net- og informationssystemer i transportsektoren, journal nummer: 2017-4685. Vi noterer os, at der med lovforslaget sker en implementering af Europa- Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen (NIS-direktivet) for transportsektoren. Indledningsvis finder vi, at det er vigtigt, at der med den sektorspecifikke implementering sikres at de respektive myndigheder koordinerer evt. relationer til andre sektorer, således at eksempelvis krav til rapportering ikke fører til krav om dobbeltrapportering og unødige byrder for erhvervslivet. Vi har noteret os, at søfart er nævnt som mulig enheder i NIS-direktivets bilag 2. Det er imidlertid vores vurdering, at relationen til skibsfarten (national færgefart) og skibenes interaktion med danske havne ikke vil være at betragte som en væsentlig transporttjeneste i direktivets forstand. Desuden mener vi, at færgerne og havnene allerede er omfattet af lex specialis hvad angår sikring, bl.a. ved Europa- Parlamentets og Rådets forordning (EF) nr. 725/2004 af 31. marts 2004 om bedre sikring af skibe og havnefaciliteter, med de dertil hørende rapporteringskrav. 22. december 2017 Sagsnummer: EMN-2016-00289 2 / 2 Derfor er der efter vores opfattelse ikke behov for at udpege national færgefart og danske havne som operatører af væsentlige transporttjenester omfattet af direktivet. Med venlig hilsen Morten Glamsø Chefkonsulent 1 TRM Gry Høirup Fra: Johan Nielsen <jon@regioner.dk> Sendt: 5. januar 2018 10:03 Til: TRM Gry Høirup Cc: TRM Janette Nowak-Zorde; Henrik Severin Hansen; Birgitte Nymark Emne: Svar på Høring vedr. forslag til Lov om sikkerhed i net- og informationssystemer i transportsektoren Vedhæftede filer: signaturbevis.txt Til Transport-, Bygnings- og Boligministeriet Att. TRM Gry Høirup <grh@TRM.dk> Kopi: jbn@trm.dk Vedr. Høring vedr. forslag til Lov om sikkerhed i net- og informationssystemer i transportsektoren Danske Regioner skal under henvisning til høringssvaret fra TID (Trafikselskaberne i Danmark) anmode om at få ovennævnte lovforslag i DUT høring, idet svaret fra TiD antyder, at lovforslaget kan have betydelige økonomiske konsekvenser for regionerne. Danske Regioner skal samtidig anmode ministeriet om at foretage en vurdering af de økonomiske konsekvenser for regionerne. Med venlig hilsen Johan Nielsen Seniorkonsulent Center for Vækst, Erhverv og Regional Udvikling (VERU) Danske Regioner Dampfærgevej 22 2100 København Ø T 35 29 81 74 E jon@regioner.dk Officiel post bedes sendt til regioner@regioner.dk www.regioner.dk Fra: TRM Gry Høirup [mailto:grh@TRM.dk] Sendt: 29. november 2017 15:38 Cc: 'christian.algreen.ussing@alstomgroup.com' <christian.algreen.ussing@alstomgroup.com>; 'dacta@dacta.dk' <dacta@dacta.dk>; Dansk Jernbaneforbund <dj@djf.dk>; Post <post@lokaltog.dk>; 'nj@nj.dk' <nj@nj.dk> Emne: Høring vedr. forslag til Lov om sikkerhed i net- og informationssystemer i transportsektoren Til høringsparterne Hermed sendes forslag til Lov om sikkerhed i net- og informationssystemer i transportsektoren. 2 Udover forslag til ny lov sendes høringsbrev. Høringsfristen er tirsdag den 2. januar 2018, kl.10.00. Høringssvar til forslag til ny lov kan fremsendes pr. e-mail til trm@trm.dk med kopi til tbj@trm.dk Bemærkninger og spørgsmål til lovforslaget bedes sendt til grh@trm.dk med kopi til jbn@trm.dk Link til høringsportalen: https://hoeringsportalen.dk/Hearing/Details/61332 Venlig hilsen Thea Bang Schou Jensen Stud.jur Transport-, Bygnings- og Boligministeriet Ministry of Transport, Building and Housing Internationalt Kontor Frederiksholms Kanal 27 F DK-1220 København K Telefon: +45 72 26 71 46 tbj@trm.dk www.trm.dk Ved brev af 29. november 2017 har Transport-, Bygnings- og Boligministeriet anmodet om Datatilsynets bemærkninger til ovennævnte udkast til lovforslag. Datatilsynet forudsætter, at persondataloven1 og regler udstedt i medfør heraf, herunder sikkerhedsbekendtgørelsen2 , vil blive iagttaget i forbindelse med de behandlinger af personoplysninger, der eventuelt vil ske som følge af lovfors- lagets bestemmelser. Udkastet giver ikke umiddelbart Datatilsynet anledning til bemærkninger. Datatilsynet skal for god ordens skyld gøre opmærksom på, at databeskyttel- sesforordningen3 får virkning fra 25. maj 2018, og at persondataloven samti- dig ophæves. Kopi af dette brev sendes til Justitsministeriets Lovafdeling til orientering. Med venlig hilsen Makar Holst 1 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer. 2 Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001, om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning. 3 Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF. Transport-, Bygnings- og Boligministeriet Frederiksholms Kanal 27 F 1220 København K Sendt til: grh@trm.dk og jbn@trm.dk CC: jm@jm.dk 2. januar 2018 Vedrørende udkast til lovforslag om sikkerhed i net- og informationssy- stemer i transportsektoren – ministeriets j.nr. 2017-4685 Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29 Telefon 3319 3200 Fax 3319 3218 E-mail dt@datatilsynet.dk www.datatilsynet.dk J.nr. 2017-112-0805 Dok.nr. 457034 Sagsbehandler Makar Juhl Holst Direkte 3319 3236 1 TRM Gry Høirup Fra: ES-DAA <es@es-daa.dk> Sendt: 29. december 2017 10:42 Til: Mail TRM; TRM Gry Høirup Cc: TRM Thea Bang Schou Jensen; TRM Janette Nowak-Zorde; ES-DAA Emne: Høring vedr. forslag til Lov om sikkerhed i net- og informationssystemer i transportsektoren: ES 306-17 ES 306-17 Erhvervsflyvningens Sammenslutning (ES) takker for muligheden for at deltage i denne høring om forslag til Lov om sikkerhed i net- og informationssystemer i transportsektoren. ES vurderer ikke, at ES medlemmer udpeges som de mest samfundskritiske operatører indenfor luftfart. Det noteres imidlertid, at der i kapitel 4 "Underretning og videregivelse af oplysninger" anføres, at transporttjenester på frivillig basis kan foretage underretning om en hændelse, som vil kunne få væsentlige forstyrrende virkninger for leveringen af den nævnte transporttjeneste. Til en sådan frivillig indberetning vil det være hensigtsmæssigt, at der findes et bekendtgjort link eller tilsvarende, hvor man kan foretage denne indberetning. ES har ikke yderligere bemærkninger. Med venlig hilsen / Best Regards Dan Banja Oberstløjtnant / Lt. Colonel Generalsekretær / Secretary-General Vice chair ECOGAS & Member of EASA GA.COM Blålersvej 51 DK-2990 Nivå Mobil: +45 2480 2256 www.es-daa.dk Transport-, Bygnings- og Boligministeriet Frederiksholms Kanal 27 F 1220 København K Danmark Att. Specialkonsulent Gry Høirup, grh@trm.dk Kopi til jbn@trm.dk H Ø R I N G O V E R U D K A S T T I L L O V F O R S L A G O M S I K K E R H E D I N E T - O G I N F O R M A T I O N S S Y S T E M E R I T R A N S P O R T S E K T O R E N ( N I S - D I R E K T I V E T ) Institut for Menneskerettigheder er blevet opmærksom på, at Transport-, Bygnings- og Boligministeriet har sendt et udkast til et lovforslag om sikkerhed i net- og informationssystemer i transportsektoren i høring. Udkastet til lovforslag er et af flere forslag, der gennemfører det såkaldte NIS-direktiv (direktiv 2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen). Udkastet gennemfører således direktivet på Transport-, Bygnings- og Boligministeriets område, samtidig med at andre udkast til lovforslag er udarbejdet på andre ministerområder. Instituttet har en bemærkning vedrørende videregivelse af oplysninger til det nationale centrale kontaktpunkt (udkastets kapitel 4). Det nationale kontaktpunkt i Danmark – en såkaldt ”CSIRT” (Computer Security Incident Response Team – forventes at blive Center for Cybersikkerhed, som er en del af Forsvarets Efterretningstjeneste, så vidt instituttet forstår via et udkast til lovforslag, der skal gennemføre NIS-direktivet på Forsvarsministeriets område. CSIRT’en skal efter direktivet blandt andet monitorere og håndtere IT- sikkerhedshændelser på nationalt plan, iværksætte tidlig varsling om risici og hændelser og deltage i et CSIRT-netværk i EU. I 2014, da lovforslaget til lov om Center for Cybersikkerhed (lov nr. 713 af 25. juni 2014) var i høring, bemærkede instituttet det problematiske i, at en række nationale IT-sikkerhedsopgaver, som hidtil havde ligget i civilt regi, blev forankret i Forsvarets Efterretningstjeneste. Forsvarets Efterretningstjeneste er som udgangspunkt undtaget fra offentlighedslovens og persondatalovens anvendelsesområde og fra WILDERS PLADS 8K 1403 KØBENHAVN K TELEFON 3269 8888 MOBIL 9132 5775 LGH@HUMANRIGHTS.DK MENNESKERET.DK DOK. NR. 17/02666-2 4. JANUAR 2018 2/3 centrale dele af forvaltningsloven (aktindsigt, partshøring, begrundelse). Med nærværende udkast til lovforslag fastsættes, at offentlige og private operatører af væsentlige transporttjenester, herunder inden for lufttransport, jernbanetransport, søfart og vejtransport, hurtigst muligt skal underrette blandt andet det nationale centrale kontaktpunkt om hændelser, der har væsentlige konsekvenser for kontinuiteten af de væsentlige transporttjenester, som de leverer (§ 5). En hændelse er en negativ indvirkning på sikkerheden i de net- og informationssystemer, der er af afgørende betydning for leveringen af den væsentlige transporttjeneste (§ 2, nr. 5). For alle operatører af transporttjenester er der endvidere adgang til på frivillig basis at underrette ministeren om hændelser, der har væsentlige konsekvenser for udøvelsen af transporttjenesterne (§ 6, jf. § 1, stk. 2). Ifølge bemærkningerne til § 6 kan frivillig underretning dog også ske til det nationale kontaktpunkt, så der ser ud til at være en inkonsistens i formuleringen af selve bestemmelsen og bemærkningerne. Det nationale kontaktpunkt kan, i det omfang det er nødvendigt for dets funktion, videreformidle oplysninger om hændelser til nationale kontaktpunkter i andre medlemsstater (§ 8). I takt med at NIS-direktivet bliver gennemført i lovgivning vedrørende en række samfundssektorer, herunder transportsektoren med dette udkast, vil stadig flere oplysninger blive udvekslet med det nationale kontaktpunkt, forventeligt i Forsvarets Efterretningstjeneste. Instituttet har ikke indsigt i, i hvilket omfang de relevante net- og informationssystemer i transportsektoren behandler personoplysninger. I det omfang, der behandles personoplysninger, følger det af NIS-direktivets artikel 2, stk. 1, at behandling af personoplysninger i henhold til direktivet sker i overensstemmelse med EU's databeskyttelsesdirektiv. Fra 25. maj 2018 vil det i stedet være EU’s databeskyttelsesforordning, der finder anvendelse. Forsvarets Efterretningstjeneste er imidlertid som nævnt generelt undtaget fra den gældende persondatalov og det for nyligt fremsatte forslag til en ny databeskyttelseslov (L 68). De gængse regler for databeskyttelse gælder således ikke for Forsvarets Efterretningstjeneste. Med den forventede etablering af det nationale kontaktpunkt som en del af Forsvarets Efterretningstjeneste, vil det nationale kontaktpunkt derfor være generelt undtaget fra den EU-retlige ramme for databeskyttelse, som NIS-direktivets artikel 2 kræver overholdelse af. 3/3 Lovudkastet bør redegøre for disse forhold, herunder for hvordan udkastet forholder sig til reglerne for databeskyttelse. Institut for Menneskerettigheder anbefaler, at ministeriet præciserer i lovforslaget, hvorledes beskyttelsen af personoplysninger i den danske gennemførelse af NIS-direktivet kan leve op til kravet i direktivets artikel 2 (samt artikel 8 i EU’s charter om grundlæggende rettigheder). Instituttet ønsker i den forbindelse endnu en gang at fremhæve det principielt problematiske i, at centrale, civile samfundsstrukturer i Danmark skal varetages af Forsvarets Efterretningstjeneste med de begrænsninger, det giver i forhold til indsigt og databeskyttelseskrav. Instituttet kan i den forbindelse henvise til sit høringssvar af 4. marts 2014 til lovforslaget til lov om Center for Cybersikkerhed, der vedlægges. Der henvises til ministeriets sagsnr. 2017-4685. Med venlig hilsen Lise Garkier Hendriksen CHEFKONSULENT IT-Politisk Forening c/o Jesper Lund Carl Bernhards Vej 15, 2.tv 1817 Frederiksberg C E-mail : bestyrelsen@itpol.dk Web : http://www.itpol.dk Dato : 1. januar 2018 Høringssvar vedr. udkast til lovforslag om sikkerhed i net- og informationssystemer i transportsektoren Regeringen har valgt at gennemføre NIS-direktivet med sektorspecifikke love, hvor en eksisterende institution under det pågældende ministerium får tilsynsopgaven som kompetent myndighed. NIS-direktivets artikel 8, stk. 1 overlader det til medlemsstaterne at fastsætte, om der skal være en eller flere kompetente myndigheder. En kompetent myndighed for hvert ministeriums område er som sådan inden for rammerne af artikel 8, stk. 1. Hvis der kommer 4-5 kompetente myndigheder i Danmark (jf. sektoropdelingen i bilag II i NIS-direktivet), kan tilsynsressourcerne blive spredt mere end godt er, og synergieffekter mellem forskellige tilsynsområder kan blive vanskelige at udnytte. Et væsentligt element i NIS-direktivet er at medlemsstaterne skal vedtage en samlet national strategi for sikkerheden i net- og informationssystemer, og der skal være en effektiv informationsudveksling på tværs af sektorer på nationalt plan samt mellem EU-landene på internationalt plan. De tværgående opgaver vil blive varetaget af de(n) danske CSIRT-enhed(er) og det centrale kontaktpunkt, jf. NIS-direktivet. Ansvaret for disse funktioner er ikke omtalt i lovforslagets bemærkninger, men ifølge de øvrige lovudkast om gennemførelse af NIS- direktivet (fra Sundheds- og Ældreministeriet, Erhvervsministeriet og Forsvarsministeriet) er det regeringens hensigt, at Center for Cybersikkerhed skal 1 Transport-, Bygnings- og Boligministeriet Frederiksholms Kanal 27 F 1220 København K Sendt per email til grh@trm.dk med kopi til jbn@trm.dk udføre opgaverne som CSIRT og centralt kontaktpunkt. Center for Cybersikkerhed er en del af Forsvarets Efterretningstjeneste, som generelt opererer under andre rammebetingelser end civile myndigheder, for eksempel med betydelige undtagelser fra offentlighedsloven, forvaltningsloven og persondataloven. IT-Politisk Foreninger finder det meget betænkeligt, at Center for Cybersikkerhed via gennemførelsen af NIS-direktivet får en så betydelig rolle i forhold til cybersikkerheden i den offentlige og private sektor i Danmark. Af principielle årsager mener vi, at de(n) danske CSIRT(er) og det centrale kontaktpunkt bør være civile myndigheder. Det gælder ikke mindst i de situationer, hvor det kan blive nødvendigt at behandle personoplysninger i forbindelse med underretning af den kompetente myndighed om hændelser, jf. NIS-direktivets artikel 14, stk. 3. Dette punkt uddybes nedenfor. Behandling af personoplysninger i forbindelse med underretning om hændelser Lovforlagets § 5, stk. 1, jf. NIS-direktivets artikel 14, stk. 3, fastsætter en pligt til hurtigst muligt at underrette den kompetente myndighed (Transport-, Bygnings- og Boligministeriet) og det Nationale Centrale Kontaktpunkt om hændelser, der har væsentlig betydning for kontinuiteten af de leverede tjenester. Efter regeringens overordnede plan for gennemførelse af NIS-direktivet vil det Nationale Centrale Kontaktpunkt være en institution under Forsvarets Efterretningstjeneste (Center for Cybersikkerhed). NIS-direktivets artikel 14, stk. 3 kræver underretning af enten den kompetente myndighed eller en CSIRT enhed (der i den danske gennemførelse af NIS-direktivet vil være sammenfaldende med det Nationale Centrale Kontaktpunkt). Lovforslagets § 5, stk. 1 fastsætter således en underretningspligt over for to forskellige offentlige myndigheder, hvilket kan være mere administrativt byrdefyldt for de udpegede operatører af væsentlige transporttjenester. I nogle tilfælde vil de nødvendige oplysninger i forbindelse 2 med underretningen om en hændelse indeholde personoplysninger. Det kunne være IP-adresser, men også oplysninger fra et IT-systems databaser, som er forsøgt hacket (exfiltreret) og måske optræder i logfiler. Dette spørgsmål omtales ikke i lovforslagets bemærkninger. Efter IT-Politisk Forenings opfattelse bør der fastsættes lovregler (eventuelt i bekendtgørelsesform), som begrænser behandlingen af personoplysninger til det strengt nødvendige for at klarlægge omfanget af hændelsen og dens eventuelle grænseoverskridende konsekvenser. Der bør desuden være et eksplicit krav om at disse personoplysninger skal slettes eller anonymiseres hurtigst muligt. NIS-direktivets artikel 2, stk. 1 kræver, at behandling af personoplysninger i henhold til direktivet sker i overensstemmelse med direktiv 95/46/EF, og fra 25. maj 2018 databeskyttelsesforordningen (EU) 2016/679. Ifølge den nuværende persondatalov, og det forslag til ny databeskyttelseslov som Justitsministeren har fremsat 25. oktober 2017 (L 68), er Forsvarets Efterretningstjeneste (FE) undtaget fra de EU-retlige regler om databeskyttelse. Undtagelsen er for FE som institution, og vil derfor også gælde, når FE udøver aktiviteter inden for EU-retten, eksempelvis cybersikkerhedsopgaver i forbindelse med NIS-direktivet. Hvis den fuldstændige undtagelse fra databeskyttelses- forordningen opretholdes for Center for Cybersikkerhed (under FE), vil det efter IT-Politisk Forenings opfattelse ikke være muligt at gennemføre NIS-direktivet på en korrekt måde. Beskyttelsen af personoplysninger i den danske gennemførelse af direktivet vil ikke kunne leve op til kravet i NIS-direktivets artikel 2 (samt artikel 8 i Charter om Grundlæggende Rettigheder). 3 1 TRM Gry Høirup Fra: Hoeringer <Hoeringer@naviair.dk> Sendt: 2. januar 2018 15:14 Til: TRM Gry Høirup Cc: TRM Janette Nowak-Zorde Emne: VS: Høring vedr. forslag til Lov om sikkerhed i net- og informationssystemer i transportsektoren Vedhæftede filer: Høringsbrev NIS.pdf; NIS udkast til lovforslag.pdf; Høringsliste NIS.pdf; signaturbevis.txt; signaturbevis.txt Til rette vedkommende Naviair skal hermed takke for høringen og konstatere, at vi ikke har bemærkninger til lovforslaget. De bedste hilsner, Mona Fra: Naviair Naviair Sendt: 29. november 2017 14:37 Til: Hoeringer <Hoeringer@naviair.dk> Emne: VS: Høring vedr. forslag til Lov om sikkerhed i net- og informationssystemer i transportsektoren Fra: TRM Thea Bang Schou Jensen [mailto:tbj@TRM.dk] Sendt: 29. november 2017 14:20 Emne: Høring vedr. forslag til Lov om sikkerhed i net- og informationssystemer i transportsektoren Til høringsparterne Hermed sendes forslag til Lov om sikkerhed i net- og informationssystemer i transportsektoren. Udover forslag til ny lov sendes høringsbrev. Høringsfristen er tirsdag den 2. januar 2018, kl.10.00. Høringssvar til forslag til ny lov kan fremsendes pr. e-mail til trm@trm.dk med kopi til tbj@trm.dk Bemærkninger og spørgsmål til lovforslaget bedes sendt til grh@trm.dk med kopi til jbn@trm.dk Link til høringsportalen: https://hoeringsportalen.dk/Hearing/Details/61332 Venlig hilsen Thea Bang Schou Jensen Stud.jur Transport-, Bygnings- og Boligministeriet Ministry of Transport, Building and Housing Internationalt Kontor Frederiksholms Kanal 27 F DK-1220 København K Telefon: +45 72 26 71 46 tbj@trm.dk www.trm.dk 2 1/1 Transport-, Bygnings- og Boligministeriet Gry Høirup Frederiksholms Kanal 27 F 1220 København K Landgreven 4 1301 København K Tlf. 33 92 84 00 rr@rigsrevisionen.dk www.rigsrevisionen.dk Høring af forslag til Lov om sikkerhed i net- og informationssystemer i transportsektoren 21. december 2017 Transport-, Bygnings- og Boligministeriet har den 29. november 2017 sendt forslag til Lov om sikkerhed i net- og informationssystemer i transportsektoren i høring. Rigsrevisionen har udelukkende gennemgået lovforslaget med henblik på statslige revisions- og regnskabsforhold. Lovforslaget indeholder ikke bestemmelser om statslige regnskabs- eller revi- sionsforhold. Rigsrevisionen har derfor ingen bemærkninger. Med venlig hilsen Mads Mølgaard Nielsen Fuldmægtig 6. kontor J.nr.: 44317