L 144 - svar på spm. 5 om ministeren vil tilsende udvalget en skematisk oversigt over samtlige bemyndigelsesbestemmelser i lovforslaget med oplysninger om, hvordan og med hvilket indhold de enkelte bemyndigelser vil blive udmøntet, fra erhvervsministeren
Tilhører sager:
- Hovedtilknytning: Forslag til lov om net- og informationssikkerhed for domænenavnssystemer og visse digitale tjenester. (Spørgsmål 5)
Aktører:
- Besvaret af: erhvervsministeren
- Adressat: erhvervsministeren
- Stiller: Lisbeth Bech-Nielsen
- Stiller: Karin Gaardsted
ERU L 144 - svar på spm. 5.docx
https://www.ft.dk/samling/20171/lovforslag/L144/spm/5/svar/1478433/1876133.pdf
ERHVERVSMINISTEREN 6. april 2018 ERHVERVSMINISTERIET Slotsholmsgade 10-12 1216 København K Tlf. 33 92 33 50 Fax. 33 12 37 78 CVR-nr. 10092485 EAN nr. 5798000026001 em@em.dk www.em.dk Folketingets Erhvervs-, Vækst- og Eksportudvalg Besvarelse af spørgsmål 5 ad L 144 stillet af udvalget den 19. marts 2018 efter ønske fra Karin Gaardsted (S) og Lisbeth Bech Poulsen (SF) Spørgsmål: Ministeren bedes tilsende udvalget en skematisk oversigt over samtlige bemyndigelsesbestemmelser i lovforslaget med oplysninger om, hvordan og med hvilket indhold de enkelte bemyndigelser vil blive udmøntet. Svar: Nedenstående skema indeholder en oversigt over bemyndigelsesbestem- melser i lovforslaget. Bestemmelse Myndighed Indhold § 3, stk. 2 Erhvervs- ministeren Erhvervsministeren udarbejder og opdate- rer en liste over væsentlige tjenester. Den- ne liste er vedlagt udkast til bekendtgørel- se om sikkerhed i net- og informationssy- stemer for operatører af væsentlige tjene- ster på domænenavnsområdet som bilag 1. Udkastet til bekendtgørelsen er sendt i offentlig høring. Listen over væsentlige tjenester på topdomænenavnsområdet be- står af domænenavneservertjenesten. På DNS-området er den væsentlige tjeneste DNS-tjenesten. § 3, stk. 3 Erhvervs- ministeren Erhvervsministeren kan fastsætte nærmere regler for afgrænsningen af kriterierne for, hvem der betragtes som operatør af en væsentlig tjeneste. Afgrænsningen af disse kriterier fremgår af § 1 i udkast til bekendtgørelse om sik- kerhed i net- og informationssystemer for operatører af væsentlige tjenester på do- mænenavnsområdet, som er sendt i offent- Erhvervs-, Vækst- og Eksportudvalget 2017-18 L 144 endeligt svar på spørgsmål 5 Offentligt 2/6 lig høring. Det fremgår heraf, at: a) En topdomænenavnsadministrator anses for at være en operatør af væsentlige tjene- ster, hvis administratoren og dennes kon- cernforbundne selskaber har mere end 500.000 andenordens internetdomænenav- ne registreret under topdomænenavnet. b) En DNS-tjenesteudbyder anses for at være en operatør af væsentlige tjenester, hvis udbyderen og dennes koncernfor- bundne selskaber har 1) rekursive navneservere som mere end 100.000 bru- gere anvender, eller 2) autoritative navneservere, som har mere end 100.000 andenordens internetdomæ- nenavne tilsluttet. § 4, stk. 3 Erhvervs- ministeren Erhvervsministeren kan fastsætte nærmere regler om tekniske og organisatoriske for- anstaltninger for at styre risiciene for sik- kerheden i net- og informationssystemer, samt foranstaltninger for at forebygge og minimere konsekvensen af hændelser. Disse regler er udmøntet i udkast til be- kendtgørelse om sikkerhed i net- og in- formationssystemer for operatører af væ- sentlige tjenester på domænenavnsområ- det, som er sendt i offentlig høring. Af udkastet fremgår bl.a., at operatørerne skal gennemføre en risikovurdering og på den baggrund træffe passende foranstalt- ninger for tab af tilgængelighed, autentici- tet, integritet og fortrolighed. Endvidere at der skal udarbejdes og gennemføres en ledelsesgodkendt net- og sikkerhedspolitik med udgangspunkt i en anerkendt interna- tional standard. Sikkerhedspolitikken skal kommunikeres til alle relevante medarbej- dere, og sikkerhedspolitikken skal løbende tilpasses, bl.a. ved væsentlige ændringer af 3/6 operatørens virksomhed og i trusselsbille- det. Operatøren skal etablere en sikker- hedsorganisation til varetagelse af sikker- hedsopgaven, hvor roller og ansvar er fast- lagt. Endelig skal operatøren foretage risi- kostyring, fx med udgangspunkt i en aner- kendt international standard. § 5, stk. 4 Erhvervs- ministeren Erhvervsministeren fastsætter nærmere regler over for operatører af væsentlige tjenester om underretning af hændelser og om kriterierne for fastlæggelse af omfan- get af en hændelses konsekvenser. I udkastet til bekendtgørelse om sikkerhed i net- og informationssystemer for operatø- rer af væsentlige tjenester på domæne- navnsområdet er der fastsat bestemmelse om indberetning af hændelser via virk.dk, ligesom kriterier for, hvornår hændelser skal indberettes, fremgår. Disse kriterier er: ”1) at domænenavneservertjenesten har en oppetid på mindre end 100 % eller 2) at en rekursiv server i DNS-tjenesten ikke har været tilgængelig i over 6 timer eller i over 2.000.000 brugertimer, idet udtrykket ”brugertime” henviser til antallet af berørte brugere i en periode på 60 mi- nutter eller 3) at en autoritativ navneserve i DNS- tjenesten ikke har været tilgængelig i over 6 timer eller, 4) tab af integritet, autenticitet eller fortro- lighed i forbindelse med lagrede, overførte eller behandlede data i forbindelse med domænenavneservertjenesten eller DNS- tjenesten, som berører mere end 10.000 brugere.” § 8, stk. 3 Erhvervs- styrelsen Erhvervsstyrelsen kan fastsætte nærmere regler over for udbydere af digitale tjene- ster om tekniske og organisatoriske foran- staltninger for at styre risiciene for sikker- heden i net- og informationssystemer, samt 4/6 foranstaltninger for at forebygge og mini- mere konsekvensen af hændelser. Der vil her alene ske en henvisning til de regler, som er fastlagt i Kommissionens gennem- førelsesforordning 2018/151/EU af 30. januar 2018 over for udbydere af digitale tjenester. § 9, stk. 4 Erhvervs- styrelsen Erhvervsstyrelsen kan fastsætte nærmere regler over for udbydere af digitale tjene- ster om underretning og om kriterierne for fastlæggelse af omfanget af en hændelses konsekvenser. I udkastet til bekendtgørelse om net- og informationssikkerhed for visse digitale tjenester, som er sendt i offentlig høring, er der fastsat bestemmelse om indberet- ning af hændelser via virk.dk. Med hensyn til kriterier for, hvornår hændelser skal indberettes, henviser der i bekendtgørelsen til Kommissionens gennemførelsesforord- ning 2018/151/EU af 30. januar 2018, hvor kriterierne er fastlagt. § 19, nr. 2 Finanstilsy- net I medfør af § 19, nr. 2, i lovforslaget fore- slås det at indsætte et nyt 2. pkt. i § 71, stk. 2, i lov om finansiel virksomhed. Med bestemmelsen bemyndiges Finanstilsynet til at fastsætte nærmere regler om hændel- sesrapportering for de finansielle virksom- heder, der udpeges som operatører af væ- sentlige tjenester, herunder kan Finanstil- synet fastsætte nærmere regler om, at Fi- nanstilsynet og Center for Cybersikkerhed underrettes ved en hændelse, der har en negativ indvirkning på sikkerheden i virk- somhedens net- og informationssystemer. Bemyndigelsen til at fastsætte nærmere regler om hændelsesrapportering, vil blive udmøntet ved udkast til bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m. fl., som blev sendt i offentlig høring den 28. februar 2018 med høringsfrist den 28. marts 2018. 5/6 § 19, nr. 3 Finanstilsy- net I medfør af § 19, nr. 3, i lovforslaget fore- slås det at indsætte en ny § 307 a, i lov om finansiel virksomhed, hvoraf det følger, at Finanstilsynet udpeger de finansielle virk- somheder, som er operatører af væsentlige tjenester mindst hvert andet år. Det følger endvidere af bestemmelsen, at Finanstilsynet i den forbindelse skal lægge vægt på, at: 1) de tjenester, der leveres, er væsent- lige for opretholdelsen af kritiske samfundsmæssige eller økonomi- ske aktiviteter, 2) leveringen af tjenesten afhænger af net- og informationssystemer, og 3) en hændelse vil få væsentlige for- styrrende virkninger for leveringen af tjenesten. Det følger endelig af forslaget til § 307 a, stk. 3, at Finanstilsynet kan fastsætte nær- mere regler om udpegning af operatører af væsentlige tjenester og de kriterier Finans- tilsynet kan lægge vægt på ved udpegnin- gen. Finanstilsynet vil dermed kunne fastsætte nærmere regler for udpegningen efter stk. 1. Finanstilsynet kan herunder nærmere fastsætte hvilke kriterier, der skal være opfyldt, for at et penge- eller realkreditin- stitut udpeges som en operatør af væsent- lige tjenester. § 20, nr. 2 Finanstilsy- net I medfør af § 20, nr. 2, i lovforslaget fore- slås det at indsætte en ny § 58 a i lov om kapitalmarkeder. I medfør af den foreslå- ede § 58 a, stk. 3, bemyndiges Finanstilsy- net til at fastsætte nærmere regler om ud- pegning af operatører af væsentlige tjene- ster og de kriterier, som Finanstilsynet kan lægge vægt på i forbindelse med udpeg- ningen. 6/6 Finanstilsynet bemyndiges endvidere til at fastsætte nærmere regler om hændelses- rapportering for operatører af markeds- pladser og centrale modparter (CCPere), der udpeges som operatører af væsentlige tjenester, herunder kan Finanstilsynet fast- sætte nærmere regler om, at Finanstilsynet og Center for Cybersikkerhed underrettes ved en hændelse, der har en negativ ind- virkning på sikkerheden i virksomhedens net- og informationssystemer. Bemyndigelsen til at fastsætte nærmere regler om hændelsesrapporteringen, vil blive udmøntet ved udkast til bekendtgø- relse om hændelsesrapportering for opera- tører af væsentlige tjenester, som blev sendt i offentlig høring den 28. februar 2018 med høringsfrist den 28. marts 2018. Med venlig hilsen Brian Mikkelsen