L 144 - svar på spm. 8 om ministeren vil uddybe, hvilke typer hændelser, som operatører og udbydere skal indberette, herunder angive en række eksempler, fra erhvervsministeren
Tilhører sager:
- Hovedtilknytning: Forslag til lov om net- og informationssikkerhed for domænenavnssystemer og visse digitale tjenester. (Spørgsmål 8)
Aktører:
- Besvaret af: erhvervsministeren
- Adressat: erhvervsministeren
- Stiller: Lisbeth Bech-Nielsen
- Stiller: Karin Gaardsted
ERU L 144 - svar på spm. 8.docx
https://www.ft.dk/samling/20171/lovforslag/L144/spm/8/svar/1478431/1876129.pdf
ERHVERVSMINISTEREN 6. april 2018 ERHVERVSMINISTERIET Slotsholmsgade 10-12 1216 København K Tlf. 33 92 33 50 Fax. 33 12 37 78 CVR-nr. 10092485 EAN nr. 5798000026001 em@em.dk www.em.dk Folketingets Erhvervs-, Vækst- og Eksportudvalg Besvarelse af spørgsmål 8 ad L 144 stillet af udvalget den 19. marts 2018 efter ønske fra Karin Gaardsted (S) og Lisbeth Bech Poulsen (SF) Spørgsmål: Vil ministeren uddybe, hvilke typer hændelser, som operatører og udby- dere skal indberette, herunder angive en række eksempler? Svar: En operatør af væsentlige tjenester vil skulle underrette de kompetente myndigheder (Erhvervsstyrelsen på det digitale område og Finanstilsynet på det finansielle område) og Center for Cybersikkerhed om hændelser, der har væsentlige konsekvenser for kontinuiteten af de væsentlige tjene- ster, virksomheden leverer. Om en hændelse har væsentlige konsekvenser for kontinuiteten af en væsentlig tjeneste skal i medfør af NIS-direktivet navnlig fastlægges ud fra antallet af brugere, der berøres af hændelsen, hændelsens varighed og det geografiske område, der er berørt af hændel- sen. For så vidt angår hændelser, som skal indberettes af operatører af væsent- lige tjenester på domænenavnsområdet, fremgår dette af § 7 i udkast til bekendtgørelse om sikkerhed i net- og informationssystemer for operatø- rer af væsentlige tjenester på domænenavnsområdet, som er sendt i of- fentlig høring den 13. marts 2018. De pågældende indberetningskriterier er: ”1) at domænenavneservertjenesten har en oppetid på mindre end 100 pct., eller 2) at en rekursiv server i DNS-tjenesten ikke har været tilgængelig i over 6 timer eller i over 2.000.000 brugertimer, idet udtrykket ”brugertime” henviser til antallet af berørte brugere i en periode på 60 minutter, eller 3) at en autoritativ navneserve i DNS-tjenesten ikke har været tilgængelig i over 6 timer, eller 4) tab af integritet, autenticitet eller fortrolighed i forbindelse med lagre- de, overførte eller behandlede data i forbindelse med domænenavneser- vertjenesten eller DNS-tjenesten, som berører mere end 10.000 brugere” Erhvervs-, Vækst- og Eksportudvalget 2017-18 L 144 endeligt svar på spørgsmål 8 Offentligt 2/3 Med hensyn til indberetningskriterierne for udbydere af digitale tjenester fremgår disse af artikel 4, stk. 1, i Kommissionens gennemførelsesforord- ning 2018/151/EU af 30. januar 2018. Det fremgår heraf, at: ”En hændelse anses for at have betydelige konsekvenser, hvis den har medført mindst én af følgende situationer: a) tjenesten, der leveres af en udbyder af digitale tjenester, var ikke til- gængelig i over 5 000 000 brugertimer, idet udtrykket »brugertime« hen- viser til antallet af berørte brugere i Unionen i en periode på 60 minutter b) hændelsen har ført til tab af integritet, autenticitet eller fortrolighed i forbindelse med arkiverede, overførte eller behandlede data eller dermed forbundne tjenester, der tilbydes af udbyderen eller er tilgængelige via udbyderens net- og informationssystem, og dette tab berører mere end 100 000 brugere i Unionen c) hændelsen har medført risiko for den offentlige sikkerhed eller tab af menneskeliv d) hændelsen har forårsaget materiel skade på over 1 000 000 EUR for mindst én bruger i Unionen.” Således skal fx en cloud computing-tjeneste, som på grund af et hacker- angreb ikke har været tilgængelig for brugere i EU i over 5.000.000 bru- gertimer, indberette hændelsen til myndighederne. Et andet eksempel på en hændelse, der skal indberettes, er, hvis en såkaldt rekursiv server i en DNS-tjeneste, som typisk udbydes af en internetud- byder, ikke har været tilgængelig i over 6 timer fx på grund af en strøm- afbrydelse. For så vidt angår penge- og realkreditinstitutter, som er udpeget som ope- ratør af en væsentlig tjeneste, vil et eksempel på en hændelse, der har væ- sentlige konsekvenser for kontinuiteten af de væsentlige tjenester, virk- somheden leverer, bl.a. kunne være, at der under en større systemopdate- ring i en bank sker en teknisk fejl, som betyder, at der ikke kan gennem- føres transaktioner på tværs af landegrænser i flere dage. For en operatør af en markedsplads, kan en hændelse, der skal rapporteres om, eksempelvis være et svigt i markedspladsens IT-system, der medfø- rer, at driften af markedspladsen og hermed handlen med finansielle in- strumenter, er nede i en længere periode. I tilfælde af en hændelse vil det således kræve, at den enkelte virksomhed foretager en konkret vurdering af, om der er tale om en hændelse, der har væsentlige konsekvenser for kontinuiteten af de tjenester, som virksom- heden leverer, og som er væsentlige for opretholdelsen af kritiske sam- fundsmæssige eller økonomiske aktiviteter, eller vurderer hændelsen i 3/3 forhold til de kriterier, som er fastsat på bekendtgørelsesniveau eller i Kommissionens gennemførelsesforordning. Med venlig hilsen Brian Mikkelsen