L 144 - svar på spm. 4 om, på hvilke områder det har betydning for virksomheder, at Center for Cybersikkerhed placeres under Forsvarets Efterretningstjeneste fremfor, at centret etableres som en civil myndighed, fra erhvervsministeren

ERHVERVSMINISTEREN
6. april 2018
ERHVERVSMINISTERIET
Slotsholmsgade 10-12
1216 København K
Tlf. 33 92 33 50
Fax. 33 12 37 78
CVR-nr. 10092485
EAN nr. 5798000026001
em@em.dk
www.em.dk
Folketingets Erhvervs-, Vækst- og Eksportudvalg
Besvarelse af spørgsmål 4 ad L 144 stillet af udvalget den 19. marts
2018 efter ønske fra Pelle Dragsted (EL).
Spørgsmål:
På hvilke områder har det betydning for virksomheder, at Center for Cy-
bersikkerhed placeres under Forsvarets Efterretningstjeneste fremfor, at
centret etableres som en civil myndighed?
Svar:
Da Center for Cybersikkerhed hører under Forsvarsministeriet har jeg
forelagt spørgsmålet for dem. Forsvarsministeriet har oplyst at:
”Center for Cybersikkerhed og den øvrige del af Forsvarets Efterretnings-
tjeneste (FE) er – selvom de udgør én myndighed – ved lov tillagt forskel-
lige opgaver og virkemidler. Center for Cybersikkerhed er særskilt regu-
leret i lov nr. 713 af 25. juni 2014 om Center for Cybersikkerhed, hvor
der i bemærkningerne til loven er forudsat en vis organisatorisk adskillel-
se mellem centeret og den efterretningsmæssige del af FE.
Center for Cybersikkerhed er national it-sikkerhedsmyndighed og har
bl.a. til opgave at bidrage til et højt sikkerhedsniveau i den informations-
og kommunikationsteknologiske infrastruktur (ikt-infrastruktur), som
samfundsvigtige funktioner er afhængige af. Center for Cybersikkerhed
står for en forebyggende, national rådgivnings- og oplysningsvirksomhed
om cybersikkerhed i forhold til både den offentlige og den private sektor
samt en målrettet indsats i forhold til håndtering af konkrete hændelser.
Det er endvidere centralt for Center for Cybersikkerheds virke, at centeret
har en udadvendt profil, og at centerets virksomhed skal være præget af
åbenhed, vejledning og information.
De fleste alvorlige cyberangreb kommer fra udlandet, og FE har som
udenrigsefterretningstjeneste en særlig fortrolig viden om avancerede
cyberangreb, og hvem der står bag. Den viden har Center for Cybersik-
kerhed adgang til som en del af FE, og den udgør fundamentet i det ekstra
lag af beskyttelse mod avancerede cyberangreb, som Center for Cyber-
sikkerhed kan bibringe Danmark. Den viden ville Center for Cybersik-
Erhvervs-, Vækst- og Eksportudvalget 2017-18
L 144 endeligt svar på spørgsmål 4
Offentligt
2/2
kerhed ikke kunne opnå ved en placering uden for FE, og dermed ville
muligheden for at beskytte Danmark – og herunder danske virksomheder
– mod cyberangreb blive ringere. Endvidere sikrer placeringen ved FE, at
Danmarks meget specialiserede, men knappe ressourcer på it-
sikkerhedsområdet samles ét sted, og hermed undgås det at opbygge pa-
rallelle kapaciteter.
En eventuel placering af Center for Cybersikkerhed uden for FE ville be-
tyde, at der ikke som i dag ville kunne drages nytte af de højt specialise-
rede kompetencer, som FE har på cyberområdet, ligesom der heller ikke
ville kunne opnås de samme synergieffekter, da FE fortsat ville skulle
have sin egen betydelige kapacitet til at beskytte Forsvarsministeriets om-
råde mod cybertrusler.
Endelig skal det bemærkes, at der med Aftale på forsvarsområdet 2018-
2023 er opnået bred politisk enighed om en markant styrkelse af Dan-
marks cyberforsvar. De konkrete initiativer i forsvarsforliget vil først og
fremmest styrke Center for Cybersikkerheds forebyggende indsats gen-
nem styrket rådgivning og vejledning med særligt fokus på samfundsvig-
tige sektorer, herunder i forhold til myndigheder og virksomheder. Samti-
dig styrkes indsatsen i forhold til detektion og håndtering af konkrete
hændelser samt genoprettelse af sikkerhed efter konkrete angreb inden for
samfundsvigtige sektorer i både offentligt og privat regi.
Der henvises i øvrigt til den samtidige besvarelse af spørgsmål nr. 1 ved-
rørende L 144.”
Med venlig hilsen
Brian Mikkelsen


ERHVERVSMINISTEREN
6. april 2018
ERHVERVSMINISTERIET
Slotsholmsgade 10-12
1216 København K
Tlf. 33 92 33 50
Fax. 33 12 37 78
CVR-nr. 10092485
EAN nr. 5798000026001
em@em.dk
www.em.dk
Folketingets Erhvervs-, Vækst- og Eksportudvalg
Besvarelse af spørgsmål 1 ad L 144 stillet af udvalget den 19. marts
2018 efter ønske fra Pelle Dragsted (EL).
Spørgsmål:
Hvilke forskelle gør sig gældende i forhold til regler om databeskyttelse,
politisk kontrol, tilsyn, åbenhed og udveksling af oplysninger m.v., at
Center for Cybersikkerhed placeres under Forsvarets Efterretningstjeneste
i forhold til, hvis centret blev etableret som en civil myndighed?
Svar:
Da Center for Cybersikkerhed hører under Forsvarsministeriet har jeg
forelagt spørgsmålet for dem. Forsvarsministeriet har oplyst at:
”1. Center for Cybersikkerhed er en del af Forsvarets Efterretningstjene-
ste (FE), som er en styrelse under Forsvarsministeriet. Forsvarsministeren
varetager på regeringens vegne den overordnede kontrol med FE. Folke-
tingets Udvalg vedrørende Efterretningstjenesterne (Kontroludvalget)
fører derudover parlamentarisk kontrol med FE, ligesom FE er underlagt
bevillingsmæssig kontrol, som Rigsrevisionen står for.
Center for Cybersikkerhed og den øvrige del af FE er – selvom de udgør
én myndighed – ved lov tillagt forskellige opgaver og virkemidler. Center
for Cybersikkerhed er særskilt reguleret i lov nr. 713 af 25. juni 2014 om
Center for Cybersikkerhed, hvor der i bemærkningerne er forudsat en vis
organisatorisk adskillelse mellem centeret og den efterretningsmæssige
del af FE. Det er også forudsat, at centeret har en åben og udadvendt pro-
fil, og at centerets virksomhed skal være præget af åbenhed, vejledning og
information.
2. Det følger af § 8 i lov om Center for Cybersikkerhed, at Center for Cy-
bersikkerheds virksomhed er undtaget fra offentlighedsloven (bortset fra
lovens § 13 om notatpligt) og forvaltningslovens kapitel 4-6.
Det fremgår dog af bemærkningerne til forslaget til lov om Center for
Cybersikkerhed (L 192, fremsat 2. maj 2014), at Center for Cybersikker-
hed forudsættes i videst muligt omfang at efterleve principperne i offent-
lighedsloven og forvaltningslovens kapitel 4-6. Det forudsættes således,
Erhvervs-, Vækst- og Eksportudvalget 2017-18
L 144 endeligt svar på spørgsmål 4
Offentligt
2/3
at centeret – uanset at dets virksomhed er undtaget fra forvaltningslovens
bestemmelser på området – i alle afgørelsessager konkret vurderer, om
det er muligt at anvende forvaltningslovens principper om partens aktind-
sigt, partshøring og begrundelse m.v. Tilsvarende forudsættes det, at an-
modninger om aktindsigt i videst muligt omfang behandles efter princip-
perne i offentlighedsloven.
Det bemærkes i den forbindelse, at Center for Cybersikkerheds afgørelser
i konkrete sager, f.eks. aktindsigtssager, kan påklages til Forsvarsministe-
riet.
3. Center for Cybersikkerheds virksomhed, herunder centerets kommende
funktioner efter NIS-direktivet, er endvidere undtaget fra persondatalo-
ven. Denne retstilstand ventes videreført, når persondataloven med virk-
ning fra 25. maj 2018 erstattes af databeskyttelsesforordningen (Europa-
Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om
beskyttelse af fysiske personer i forbindelse med behandling af personop-
lysninger og om fri udveksling af sådanne oplysninger og om ophævelse
af direktiv 95/46/EF) og den foreslåede databeskyttelseslov (L 68, fremsat
for Folketinget den 25. oktober 2017).
Størstedelen af de centrale principper i persondataloven gælder dog for
centeret, jf. kapitel 6 i lov om Center for Cybersikkerhed. Det følger såle-
des bl.a. af loven, at centeret kun må indsamle personoplysninger til ud-
trykkeligt angivne og saglige formål, og at senere behandling ikke må
være uforenelig med disse formål. Endvidere må centeret ikke behandle
flere personoplysninger, end hvad der kræves til opfyldelse af formålet
med indsamlingen. Der stilles desuden krav om hjemmel til enhver be-
handling af personoplysninger, ligesom der som udgangspunkt ikke må
behandles personoplysninger om racemæssig eller etnisk baggrund, poli-
tisk, religiøs eller filosofisk overbevisning og fagforeningsmæssige til-
hørsforhold samt personoplysninger om helbredsmæssige og seksuelle
forhold. Centeret skal derudover sikre, at der ikke behandles urigtige eller
vildledende personoplysninger. Endelig må centeret ikke opbevare ind-
samlede personoplysninger på en måde, der giver mulighed for at identi-
ficere den pågældende person i et længere tidsrum end nødvendigt, og
centeret skal træffe passende sikkerhedsforanstaltninger ved behandlingen
af personoplysninger.
Visse centrale krav efter persondataloven gælder dog ikke for Center for
Cybersikkerhed. Centeret er således undtaget fra kravet om oplysnings-
pligt overfor den registrerede samt kravet om den registreredes indsigts-
og indsigelsesret. Det kan i den forbindelse nævnes, at forløberen til Cen-
ter for Cybersikkerhed, GovCERT under Ministeriet for Videnskab, Tek-
nologi og Udvikling, heller ikke var omfattet af retten til at gøre indsigel-
se, jf. § 5, stk. 1, i lov nr. 596 af 14. juni 2011 om behandling af person-
3/3
oplysninger ved driften af den statslige varslingstjeneste for internettrus-
ler m.v. Det fremgår endvidere af de almindelige bemærkninger til denne
lov (L 197, fremsat 27. april 2011), at de personoplysninger, som Gov-
CERT behandlede i forbindelse med sit virke, var undtaget fra indsigtsret-
ten efter undtagelsesbestemmelsen i persondatalovens § 32, stk. 2.
4. Endvidere er det Tilsynet med Efterretningstjenesterne – og ikke Data-
tilsynet – der fører tilsyn med Center for Cybersikkerheds behandling af
personoplysninger.
Tilsynet med Efterretningstjenesterne er et uafhængigt kontrolorgan, der
efter klage eller af egen drift påser, at Center for Cybersikkerhed overhol-
der reglerne vedrørende behandling af personoplysninger. Tilsynet kan
hos Center for Cybersikkerhed kræve enhver oplysning og alt materiale,
der er af betydning for tilsynets virksomhed. Man kan som borger klage
til tilsynet, hvis man mener, at centeret ulovligt behandler personoplys-
ninger om en. Tilsynet afgiver endvidere hvert år en redegørelse til for-
svarsministeren om tilsynets virksomhed i forhold til Center for Cyber-
sikkerhed, og redegørelsen offentliggøres.
5. Herudover følger det af § 8, stk. 2, i lov om Center for Cybersikkerhed,
at forsvarsministeren kan bestemme, at kapitel 8-10 i persondataloven,
kapitel 4-6 i forvaltningsloven samt offentlighedsloven helt eller delvist
skal finde anvendelse for Center for Cybersikkerheds virksomhed som
bl.a. myndighed for informationssikkerhed og beredskab på teleområdet.
Der har indtil videre ikke vist sig behov for at anvende denne bemyndi-
gelse, idet der behandles ganske få personoplysninger i forbindelse med
centerets virksomhed på teleområdet.
Med lovforslag L 155 om ændring af lov om Center for Cybersikkerhed,
der er fremsat for Folketinget den 28. februar 2018, foreslås det bl.a., at
den nævnte bemyndigelse tilpasses til den kommende regulering på data-
beskyttelsesområdet og NIS-området, således at forsvarsministeren vil
kunne bestemme, at databeskyttelsesforordningen og den foreslåede data-
beskyttelseslov også helt eller delvist skal finde anvendelse for de myn-
dighedsopgaver, som Center for Cybersikkerhed tillægges som led i im-
plementeringen af NIS-direktivet.”
Med venlig hilsen
Brian Mikkelsen