L 143 - svar på spm. 6 om, hvilke konkrete oplysninger det forventes, at ministeren og Center for Cybersikkerhed vil kunne eller skulle udveksle med andre myndigheder, både nationalt og i EU, fra sundhedsministeren

Folketingets Sundheds- og Ældreudvalg har den 1. marts 2018 stillet følgende spørgs-
mål nr. 6 (L 143 – Forslag til lov om krav til sikkerhed for net- og informationssyste-
mer inden for sundhedssektoren) til sundhedsministeren, som hermed besvares.
Spørgsmålet er stillet efter ønske fra Stine Brix (EL) og Kirsten Normann Andersen
(SF).
Spørgsmål nr. 6:
”Ministeren bedes oplyse, hvilke konkrete oplysninger det forventes, at ministeren og
Center for Cybersikkerhed vil kunne eller skulle udveksle med andre myndigheder,
både nationalt og i EU.”
Svar:
Det fremgår af den foreslåede § 5, stk. 1, i forslag til lov om krav til sikkerhed for net-
og informationssystemer inden for sundhedssektoren, at operatører af væsentlige
tjenester hurtigst muligt skal underrette sundhedsministeren og Center for Cybersik-
kerhed om hændelser, der har væsentlige konsekvenser for kontinuiteten af de væ-
sentlige tjenester, der leveres.
Det skal bemærkes, at det fremgår af lovforslagets afsnit 4.6, at Sundhedsdatastyrel-
sen vil skulle varetage de opgaver, der i lovforslaget er tillagt ministeren, hvorfor un-
derretningen vil skulle ske til Sundhedsdatastyrelsen.
Det fremgår endvidere af lovforslagets § 5, stk. 5, at sundhedsministeren vil fastsætte
nærmere regler om underretning, herunder hvilke oplysninger der skal underrettes
om.
Et udkast til bekendtgørelse om operatører af væsentlige tjenester forventes sendt i
høring ultimo marts 2018. Bekendtgørelsen vil skulle træde i kraft samtidig med lov-
forslaget, det vil sige den 10. maj 2018.
Det forventes, at bekendtgørelsen bl.a. vil angive følgende kategorier af oplysninger,
som en operatør af en væsentlig tjeneste vil skulle oplyse i tilfælde af en hændelse,
der har væsentlige konsekvenser for kontinuiteten af den væsentlige tjeneste, der le-
veres: Navn og kontaktoplysninger på operatøren, oplysninger om hændelsens årsag,
karakter, varighed, forløb og konsekvenser, oplysninger om foranstaltninger, som
operatøren har truffet, eller foreslår truffet, for at håndtere hændelsen, oplysninger
om omfanget af hændelsen og oplysninger om eventuelle grænseoverskridende kon-
sekvenser af hændelsen.
Oplysningerne, som Sundhedsdatastyrelsen og Center for Cybersikkerhed vil kunne
komme i besiddelse af, er således som udgangspunkt oplysninger om en hændelses
karakter.
Folketingets Sundheds- og Ældreudvalg
Holbergsgade 6
DK-1057 København K
T +45 7226 9000
F +45 7226 9001
M sum@sum.dk
W sum.dk
Dato: 3. april 2018
Enhed: SUNDOK
Sagsbeh.: DEPMAHA
Sagsnr.: 1706260
Dok. nr.: 572566
Sundheds- og Ældreudvalget 2017-18
L 143 endeligt svar på spørgsmål 6
Offentligt
Side 2
Det vil dermed også være disse kategorier af oplysninger, som Sundhedsdatastyrel-
sen og Center for Cybersikkerhed vil kunne udveksle med andre myndigheder.
Lovforslaget regulerer ikke området for behandling af personoplysninger. Men som
det fremgår af lovforslagets afsnit 2, vil videregivelse af personoplysninger skulle ske i
overensstemmelse med gældende ret, herunder bl.a. databeskyttelsesdirektivet, som
ophæves den 25. maj 2018, jf. Europa-Parlamentets og Rådets forordning
2016/679/EU af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med
behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om
ophævelse af direktiv 95/46/EF (herefter databeskyttelsesforordningen), som finder
anvendelse fra den 25. maj 2018.
Da spørgsmålet tilmed omhandler, hvilke oplysninger det forventes, at Center for Cy-
bersikkerhed vil kunne eller skulle udveksle med andre myndigheder, både nationalt
og i EU, har mit ministerium bedt Forsvarsministeriet om bidrag til besvarelsen heraf.
Forsvarsministeriet oplyser følgende:
”FE/Center for Cybersikkerhed er anmodet om en udtalelse til brug for Forsvarsmini-
steriets besvarelse. FE/Center for Cybersikkerhed har i den anledning oplyst følgende:
”Det følger af NIS-direktivets artikel 14, stk. 3, at medlemsstaterne skal sikre, at ope-
ratører af væsentlige tjenester hurtigst muligt foretager underretning til tilsynsmyn-
digheder e eller CSIRT’e af hæ delser, der har væsentlige konsekvenser for konti-
nuiteten af de væsentlige tjenester, som de leverer. Underretningerne skal indeholde
oplysninger, der gør det muligt at fastslå eventuelle grænseoverskridende konsekven-
ser af hændelsen. Der gælder en lignende underretningsforpligtelse for udbydere af
digitale tjenester, jf. artikel 16, stk. 3. Derudover følger det af direktivet, at enheder,
som ikke er blevet identificeret som operatører af væsentlige tjenester eller udby-
dere af digitale tjenester, kan foretage frivillige underretninger om hændelser, der
har væsentlige konsekvenser for kontinuiteten af de tjenester, som de leverer, og at
frivillige underretninger skal behandles efter samme regler som pligtmæssige under-
retninger, jf. artikel 20.
Det følger af direktivets artikel 14, stk. 4, at der ved fastlæggelsen af, om en hændel-
ses konsekvenser er betydelige, navnlig skal lægges vægt på følgende forhold: Antal-
let af brugere, der berøres af hændelsen, hændelsens varighed og den geografiske
udbredelse med hensyn til det område, der berøres af hændelsen. Der gælder nogen-
lunde tilsvarende kriterier i forhold til udbydere af digitale tjenester, jf. artikel 16, stk.
4.
Bortset fra kravet om, at underretninger skal indeholde oplysninger, der gør det mu-
ligt at fastslå eventuelle grænseoverskridende konsekvenser af hændelsen, indehol-
der NIS-direktivet ikke krav om, hvilke oplysninger en underretning i øvrigt skal inde-
holde. Det vil derfor være op til ressortmyndighederne inden for de enkelte sektorer
at fastsætte nærmere regler om underretning inden for deres respektive sektorer.
Side 3
Det vil i almindelighed være tilstrækkeligt for at kunne varetage de opgaver, som føl-
ger af direktivet, jf. nedenfor, at underretningerne indeholder overordnede oplysnin-
ger om hændelsen, herunder om den berørte virksomhed, tidspunktet for og varighe-
den af hændelsen, beskrivelse af hændelsen og dens konsekvenser samt en vurdering
af mulige grænseoverskridende konsekvenser af hændelsen. Underretningerne vil
som det helt klare udgangspunkt ikke indeholde personoplysninger, bortset fra even-
tuelle oplysninger om den medarbejder, som har forestået selve underretningen.
Hvis hændelsen er forårsaget af et egentligt angreb, vil det desuden kunne være rele-
vant at anføre IP-adresser, mailadresser mv., som anvendes af den ondsindede aktør.
Det vil eksempelvis også kunne være relevant at medtage såkaldte phishing-mails,
der har forårsaget en hændelse.
U derret i ger e er e forudsæt i g for, at tilsy s y digheder e, CSIRT’e og det
centrale kontaktpunkt kan varetage en række opgaver efter NIS-direktivet. Visse af
opgaverne forudsætter, at der videregives oplysninger til andre myndigheder, herun-
der udenlandske. Det kan i den forbindelse nævnes, at underretningerne bl.a. skal
danne grundlag for, at det nationale centrale kontaktpunkt årligt kan forelægge en
sa e fatte de rapport o odtag e u derret i ger for EU’s Sa ar ejdsgruppe,
jf. artikel 10, stk. 3. Det fremgår endvidere af bestemmelsen, at den sammenfattende
rapport bør indeholde oplysninger om antallet af modtagne underretninger og arten
af de underrettede hændelser. Det fremgår udtrykkeligt af betragtning nr. 33 til di-
rektivet, at den sammenfattende rapport bør anonymiseres for at sikre, at underret-
ningerne og identiteten på den underrettende operatør eller tjeneste forbliver fortro-
lige, eftersom oplysninger om de underrettende enheders identitet ikke er påkrævet
for udveksling af bedste praksis i Samarbejdsgruppen.
U derret i ger e er også e forudsæt i g for, at tilsy s y dighede eller CSIRT’e
kan orientere andre medlemsstater om hændelser af relevans for dem, jf. artikel 14,
stk. 5, og artikel 16, stk. 6. I den forbindelse sikrer tilsynsmyndighede eller CSIRT’e i
overensstemmelse med EU-retten eller national lovgivning, der er i overensstem-
melse med EU-retten, sikkerheden og de kommercielle interesser for operatøren el-
ler udbyderen samt fortrolig behandling af de oplysninger, der er givet i dennes un-
derretning.
Underretningerne er derudover en forudsætning for, at tilsynsmyndigheden eller
CSIRT’e ka orie tere offe tlighede o ko krete hæ delser, hvis offentlighedens
kendskab hertil er nødvendigt for at forebygge en hændelse eller håndtere en igang-
værende hændelse, jf. artikel 14, stk. 6, og artikel 16, stk. 7. Det følger af direktivet,
at offentliggørelsen skal ske under hensyntagen til bl.a. operatørens sikkerhed, ope-
ratørens kommercielle interesser og fortrolig behandling af de af operatøren angivne
oplysninger i forbindelse med dennes underretning. For så vidt angår udbydere af di-
gitale tjenester kan offentliggørelse endvidere ske, hvis det i øvrigt er i offentlighe-
dens interesse.
Der er ved implementeringen af NIS-direktivet i dansk ret lagt op til, at opgaverne
som CSIRT og centralt kontaktpunkt skal varetages af Center for Cybersikkerhed. Der
er endvidere lagt op til, at centeret skal varetage opgaverne med at underrette andre
medlemsstater om hændelser med grænseoverskridende konsekvenser og at orien-
tere offentligheden om konkrete hændelser i de tilfælde, hvor hændelsen berører
Side 4
flere sektorer. Forsvarsministeriet har den 7. februar 2018 fremsat lovforslag nr. L
139 om sikkerhed i net- og informationssystemer for operatører af væsentlige inter-
netudvekslingspunkter mv., som regulerer Center for Cybersikkerheds opgavevareta-
gelse på området. Der er med lovforslaget bl.a. lagt op til at give centeret en udtryk-
kelig hjemmel til at videregive de modtagne underretninger om hændelser af græn-
seoverskridende karakter til nationale tilsynsmyndigheder, CSIRT’er og atio ale e -
trale kontaktpunkter i andre EU-medlemslande samt til CSIRT-netværket (operatio-
nelt samarbejdsforum i EU). Der lægges i den forbindelse op til, at der bør ske orien-
tering af den underrettende operatør eller udbyder af digitale tjenester i forbindelse
med videregivelsen. Operatøren eller udbyderen vil ligeledes modtage kopi af de vi-
deregivne oplysninger.
For så vidt angår orientering af offentligheden om en konkret hændelse, er der lagt
op til, at orienteringen som udgangspunkt varetages af de enkelte tilsynsmyndighe-
der, idet orienteringen dog foretages af Center for Cybersikkerhed i de tilfælde, hvor
en hændelse berører flere sektorer. Det fremgår udtrykkeligt af lovudkastet, at cente-
rets orientering ikke må indeholde oplysninger om enkeltpersoners forhold. Videregi-
velsen af oplysninger fra Center for Cybersikkerhed til andre myndigheder, herunder
udenlandske, vil basere sig på de modtagne underretninger, og der vil således i almin-
delighed være tale om at videregive overordnede oplysninger om en hændelse.
Der vil som det helt klare udgangspunkt ikke blive tale om at videregive personoplys-
ninger. Dog vil det efter omstændighederne kunne være relevant at videregive oplys-
ninger om IP-adresser, mailadresser mv., som anvendes af en formodet ondsindet ak-
tør, der måtte have forårsaget den pågældende hændelse, med henblik på, at andre
kan beskytte sig mod tilsvarende angreb. Af samme grund vil det f.eks. også kunne
være relevant at medtage såkaldte phishing-mails, der har forårsaget en hændelse.
Hvis der måtte være behov for at videregive personoplysninger, vil det skulle ske i
overensstemmelse med reglerne i lov om Center for Cybersikkerhed (CFCS-loven).
Reglerne om behandling, herunder videregivelse, af personoplysninger er fastsat i
CFCS-lovens kapitel 6, som indeholder størstedelen af de centrale principper fra per-
so datalove .”
Forsvarsministeriet kan henholde sig til Center for Cybersikkerheds udtalelse.”
Jeg kan henholde mig til Forsvarsministeriets bidrag.
Med venlig hilsen
Ellen Trane Nørby / Maja Holm Andreasen