Notat i forlængelse af den tekniske gennemgang af Center for Cybersikkerheds rolle i forbindelse med implementering af NIS-direktivet, fra forsvarsministeren
Tilhører sager:
Aktører:
FM følgebrev til oversendelse af notat vedr. CFCS rolle i implementering...
https://www.ft.dk/samling/20171/lovforslag/L143/bilag/4/1867814.pdf
_______________________________________________________________________________________________________________________________________________ HOLMENS KANAL 9 TELEFON: 72 81 00 00 MAIL: FMN@FMN.DK CVR: 25-77-56-35 1060 KØBENHAVN K TELEFAX: 72 81 03 00 WEB: www.FMN.DK EAN: 5798000201200 Forsvarsudvalget Transport-, Bygnings- og Boligudvalget Erhvervs-, Vækst- og Eksportudvalget Sundheds- og Ældreudvalget Transport-, Bygnings- og Boligministeriet Sundheds- og Ældreministeriet 14. marts 2018 FORSVARSMINISTEREN Kære udvalg og ministerier Tak fordi I deltog i dagens tekniske gennemgang af Center for Cybersikkerheds rolle i for- bindelse med implementering af NIS-direktivet. Efter anmodning fra Transport-, Bygnings- og Boligudvalget fremsender jeg hermed til je- res orientering et notat, som yderligere gennemgår samme emne. Med venlig hilsen Claus Hjort Frederiksen Sundheds- og Ældreudvalget 2017-18 L 143 Bilag 4 Offentligt
Notat vedr. CFCS rolle i fm. implementering af NIS-direktivet DOK763530.._
https://www.ft.dk/samling/20171/lovforslag/L143/bilag/4/1867815.pdf
1 NOTAT Bilag: FMN-CHSNO 2018/001603 - 763530 13. marts 2018 CENTER FOR CYBERSIKKERHEDS ROLLE I FM. IMPLEMENTERING AF NIS-DIREKTIVET Etableringen af Center for Cybersikkerhed I forbindelse med regeringsdannelsen efter Folketingsvalget i 2011 blev en række it- sikkerhedsmæssige opgaver og den såkaldte GovCERT ressortoverført til Forsvarsministeri- et. Regeringen besluttede endvidere at samle ”de forskellige myndigheders indsats i et IT sikkerhedscenter (under Forsvarsministeriet), der skal varetage opgaven som den nationale IT-sikkerhedsmyndighed og Governmental Computer Emergency Response Team (Gov- CERT).” På den baggrund oprettede den daværende regering Center for Cybersikkerhed som en del af Forsvarets Efterretningstjeneste (FE) i 2012. Baggrunden for placeringen af Center for Cybersikkerhed ved FE var særligt at opnå synergieffekter i form af eksempelvis udnyttelse af FE’s erfaringer inden for it-sikkerhedsområdet, viden om det internationale trusselsbillede på cyberområdet og særlige adgang til oplysninger fra udlandet om cybertrusler. De fleste alvorlige cyberangreb kommer fra udlandet, og FE har som udenrigsefterretnings- tjeneste en særlig fortrolig viden om avancerede cyberangreb, og hvem der står bag. Den viden har Center for Cybersikkerhed adgang til som en del af FE, og den udgør fundamentet i det ekstra lag af beskyttelse mod avancerede cyberangreb, som Center for Cybersikkerhed kan bibringe Danmark. Den viden ville Center for Cybersikkerhed ikke kunne opnå ved en placering uden for FE, og dermed ville muligheden for at beskytte Danmark mod cyberan- greb blive ringere. Endvidere sikrer placeringen ved FE, at Danmarks meget specialiserede, men knappe ressourcer på it-sikkerhedsområdet samles ét sted, og hermed undgås det at opbygge parallelle kapaciteter. Sundheds- og Ældreudvalget 2017-18 L 143 Bilag 4 Offentligt 2 Med Aftale på forsvarsområdet 2013-2017 skete der en styrket indsats på cyberområdet, herunder specifikt en styrkelse af Center for Cybersikkerhed. Med Folketingets vedtagelse af FE-loven i 2013 blev det endvidere fastsat ved lov, at Center for Cybersikkerhed er en del af FE, og at centerets virksomhed skal reguleres særskilt, hvil- ket skete med Folketingets vedtagelse af CFCS-loven i 2014. Folketinget vedtog i 2015 des- uden lov om net- og informationssikkerhed, der gav Center for Cybersikkerhed øgede befø- jelser til at varetage myndighedsopgaver i forhold til teleudbyderne mhp. at styrke informa- tionssikkerheden i telesektoren og dermed beskytte danske borgeres, virksomheders og myndigheders oplysninger. Med Aftale på forsvarsområdet 2018-2023 er der opnået bred politisk enighed om en mar- kant styrkelse af Danmarks cyberforsvar. De konkrete initiativer i forsvarsforliget vil først og fremmest styrke Center for Cybersikkerheds forebyggende indsats gennem styrket rådgiv- ning og vejledning med særligt fokus på samfundsvigtige sektorer, herunder i forhold til myndigheder og virksomheder. Samtidig styrkes indsatsen i forhold til detektion og håndte- ring af konkrete hændelser samt genoprettelse af sikkerhed efter konkrete angreb inden for samfundsvigtige sektorer i både offentligt og privat regi. Reguleringen af Center for Cybersikkerheds virksomhed Center for Cybersikkerhed og den øvrige del af FE er – selvom de udgør én myndighed – ved lov tillagt forskellige opgaver og virkemidler. Center for Cybersikkerhed er særskilt regu- leret i CFCS-loven, hvor der i bemærkningerne er forudsat en hvis organisatorisk adskillelse mellem centeret og den efterretningsmæssige del af FE. Det er også forudsat, at centeret har en åben og udadvendt profil, og at centerets virksomhed skal være præget af åbenhed, vejledning og information. EU’s databeskyttelsesdirektiv finder ikke anvendelse på behandlinger af personoplysninger, der vedrører aktiviteter, som ikke er omfattet af fællesskabsretten, f.eks. aktiviteter vedrø- rende statens sikkerhed. På den baggrund gælder den danske persondatalov – der imple- menterer databeskyttelsesdirektivet i dansk ret – heller ikke for behandlinger af personop- lysninger, der udføres af FE, herunder Center for Cybersikkerhed. En række af de centrale bestemmelser i persondataloven er imidlertid indarbejdet i CFCS- loven, der regulerer centerets virksomhed. Endvidere fører Tilsynet med Efterretningstjene- sterne, som er et uafhængigt kontrolorgan med en landsdommer i spidsen, tilsyn med Cen- ter for Cybersikkerheds behandling af personoplysninger, herunder også centerets videregi- velse af personoplysninger. Tilsynet kan hos CFCS kræve enhver oplysning og alt materiale, 3 der er af betydning for tilsynets virksomhed, og tilsynet har til enhver tid adgang til alle lo- kaler, hvorfra der er adgang til de oplysninger, som behandles, eller hvor tekniske hjælpe- midler anvendes. Man kan som borger klage til tilsynet, hvis man mener, at centeret ulovligt behandler personoplysninger om en. Tilsynet afgiver endvidere hvert år en redegørelse om kontrollen med Center for Cybersikkerhed, og redegørelsen offentliggøres. Denne retstilstand videreføres som udgangspunkt, når EU’s databeskyttelsesdirektiv fra 25. maj 2018 erstattes af den nye databeskyttelsesforordning samt den foreslåede danske da- tabeskyttelseslov. Det bemærkes dog, at der med lovforslag nr. L 155, der konsekvensæn- drer CFCS-loven som følge af den nye regulering på databeskyttelsesområdet, er lagt op til, at forsvarsministeren får hjemmel til helt eller delvist at sætte databeskyttelsesforordningen og databeskyttelsesloven i kraft for dele af Center for Cybersikkerheds virksomhed, herun- der centerets virksomhed i medfør af det såkaldte NIS-direktiv (Europa-Parlamentets og Rådets direktiv 2016/1148/EU af 6. juli 2016 om foranstaltninger, der skal sikre et højt fæl- les sikkerhedsniveau for net- og informationssystemer i hele Unionen). Dette lovforslag er fortsat under behandling i Folketinget. Det bemærkes i øvrigt, at Center for Cybersikkerhed er undtaget fra offentlighedsloven og dele af forvaltningsloven. I praksis er centeret imidlertid omfattet af begge love. Det frem- går således af bemærkningerne til CFCS-loven, at centeret forudsættes i videst muligt om- fang at efterleve bestemmelserne i de to love. Center for Cybersikkerheds opgaver som nationalt centralt kontaktpunkt og it- beredskabsenhed (CSIRT) i medfør af NIS-direktivet Center for Cybersikkerhed skal varetage funktionen som nationalt centralt kontaktpunkt i Danmark. Det nationale centrale kontaktpunkt skal bl.a. udgøre et forbindelsesled, som faci- literer det grænseoverskridende samarbejde med bl.a. de andre medlemsstater. Center for Cybersikkerhed er i forvejen national it-sikkerhedsmyndighed og står for en forebyggende national rådgivnings- og oplysningsvirksomhed om cybersikkerhed i forhold til både den of- fentlige og private sektor samt en reaktiv indsats. Centeret varetager endvidere en række myndighedsopgaver og er således Danmarks centrale nationale myndighed vedrørende cy- bersikkerhed. Funktionen som nationalt centralt kontaktpunkt ligger derfor i naturlig forlæn- gelse af disse opgaver. Center for Cybersikkerhed vil fremover varetage funktionen som Danmarks nationale it- beredskabsenhed (CSIRT). Det indebærer, at centeret bl.a. skal løse følgende opgaver: Monitorering af hændelser på nationalt plan. 4 Tidlig varsling, advarsler, meddelelser og formidling af information til relevante inte- ressenter om risici og hændelser. Reaktion på hændelser. Udarbejdelse af dynamiske risiko- og hændelsesanalyser og situationsrapporter. Deltagelse i det europæiske CSIRT-netværk. Etablering af samarbejde med den private sektor. Fremme anvendelsen af fælles eller standardiserede procedurer for håndtering af hændelser og risici. Fremme anvendelsen af fælles eller standardiserede systemer til klassificering af hændelser, risici og oplysninger. CSIRT-funktionen efter NIS-direktivet har en nær sammenhæng med Center for Cybersik- kerheds eksisterende opgaver, bl.a. som netsikkerhedstjeneste. Center for Cybersikkerhed besidder derfor allerede i dag mange af de kompetencer, der er nødvendige for f.eks. at kunne varsle sektorerne samt reagere på hændelser, ligesom centeret tillige vil kunne ope- rere døgnet rundt. Funktionen som CSIRT ligger derfor også i naturlig forlængelse af cente- rets eksisterende opgaver. Behandling af personoplysninger i forbindelse med NIS-direktivet NIS-direktivet stiller krav om, at de omfattede myndigheder og virksomheder skal underret- te enten sektorens egen tilsynsmyndighed eller it-beredskabsenheden (CSIRT’en), når der sker væsentlige hændelser. En hændelse kan f.eks. være et hackerangreb eller et alvorligt nedbrud. I Danmark er der valgt en model, hvor underretninger om hændelser tilgår både tilsyns- myndigheden i sektoren og Center for Cybersikkerhed. Tilsynsmyndigheden vil primært skul- le anvende underretningen til at vurdere, om myndigheden/virksomheden overholder reg- lerne og har et tilfredsstillende sikkerhedsniveau, mens Center for Cybersikkerhed skal fore- tage en operativ behandling, hvor man f.eks. udsender varslinger om et hackerangreb, der kan brede sig, eller underretter myndighederne i andre EU-lande. De underretninger, som Center for Cybersikkerhed modtager, vil typisk bestå af en-to A4- sider med en faktuel beskrivelse af hændelsen. De eneste personoplysninger, som under- retningerne forudsættes at indeholde, er kontaktoplysninger på afsenderen samt f.eks. en ip-adresse, der er knyttet til selve angrebet. Der er således ikke tale om, at Center for Cy- bersikkerhed får adgang til myndighedens/virksomhedens it-systemer, eller at der er nogen forventning om, at underretningerne indeholder oplysninger fra disse systemer.