Kopi til orientering af besvarelser på lovforslag nr. L 135, L 144 og L 145 med relevans for lovforslag nr. L 139

Folketingets Sundheds- og Ældreudvalg har den 1. marts 2018 stillet følgende spørgs-
mål nr. 2 (L 143 – Forslag til lov om krav til sikkerhed for net- og informationssyste-
mer inden for sundhedssektoren) til sundhedsministeren, som hermed besvares.
Spørgsmålet er stillet efter ønske fra Stine Brix (EL) og Kirsten Normann Andersen
(SF).
Spørgsmål nr. 2:
”Ministeren bedes redegøre for, om Center for Cybersikkerhed i Forsvarets Efterret-
ningstjeneste, når det løser opgaver i regi af lovforslaget som nationalt centralt kon-
taktpunkt og CSIRT, er omfattet eller undtaget af forslaget om en ny databeskyttel-
seslov (L 68), persondataforordningen, offentlighedsloven og forvaltningsloven. Her-
under ønskes oplyst, hvilke konkrete dele af lovene og forordningen, som Center for
Cybersikkerhed vil være omfattet af/ikke omfattet af.”
Svar:
Da Sundheds- og Ældreudvalgets spørgsmål omhandler, hvorvidt Center for Cybersik-
kerhed er omfattet af databeskyttelsesforordningen, forslag til lov om supplerende
bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med be-
handling af personoplysninger og om fri udveksling af sådanne oplysninger (databe-
skyttelsesloven) (L 68), forvaltningsloven og offentlighedsloven, har mit ministerium
bedt Forsvarsministeriet om bidrag til besvarelsen heraf. Forsvarsministeriet oplyser
følgende:
” . Det følger af § i lov r. af . ju i o Center for Cybersikkerhed, at
Center for Cybersikkerheds virksomhed er undtaget fra offentlighedsloven (bortset
fra lovens § 13 om notatpligt) og forvaltningslovens kapitel 4-6. Dette gælder også for
centerets kommende funktioner som nationalt centralt kontaktpunkt og CSIRT efter
NIS-direktivet (Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016
om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og infor-
mationssystemer i hele Unionen).
Det fremgår dog af bemærkningerne til forslaget til lov om Center for Cybersikkerhed
(L 192, frem-sat 2. maj 2014), at Center for Cybersikkerhed forudsættes i videst mu-
ligt omfang at efterleve principperne i offentlighedsloven og forvaltningslovens kapi-
tel 4-6. Det forudsættes således, at centeret – uanset at dets virksomhed er undtaget
fra forvaltningslovens bestemmelser på området – i alle afgørelsessager konkret vur-
derer, om det er muligt at anvende forvaltningslovens principper om partens aktind-
sigt, partshøring og begrundelse m.v. Tilsvarende forudsættes det, at anmodninger
om aktindsigt i videst muligt omfang behandles efter principperne i offentlighedslo-
ven.
Folketingets Sundheds- og Ældreudvalg
Holbergsgade 6
DK-1057 København K
T +45 7226 9000
F +45 7226 9001
M sum@sum.dk
W sum.dk
Dato: 03-04-2018
Enhed: SUNDOK
Sagsbeh.: DEPMAHA
Sagsnr.: 1706260
Dok. nr.: 572547
Forsvarsudvalget 2017-18
L 139 Bilag 7
Offentligt
Side 2
Det bemærkes i den forbindelse, at Center for Cybersikkerheds afgørelser i konkrete
sager, f.eks. aktindsigtssager, kan påklages til Forsvarsministeriet.
2. Center for Cybersikkerheds virksomhed, herunder centerets kommende funktioner
efter NIS-direktivet, er endvidere undtaget fra persondataloven. Denne retstilstand
ventes videreført, når persondataloven med virkning fra 25. maj 2018 erstattes af da-
tabeskyttelsesforordningen (Europa-Parlamentets og Rådets forordning (EU)
2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med be-
handling af personoplysninger og om fri udveksling af sådanne oplysninger og om op-
hævelse af direktiv 95/46/EF) og den foreslåede databeskyttelseslov (L 68, fremsat
for Folketinget den 25. oktober 2017).
Størstedelen af de centrale principper i persondataloven gælder dog for centeret, jf.
kapitel 6 i lov om Center for Cybersikkerhed. Det følger således bl.a. af loven, at cen-
teret kun må indsamle personoplysninger til udtrykkeligt angivne og saglige formål,
og at senere behandling ikke må være uforenelig med disse formål. Endvidere må
centeret ikke behandle flere personoplysninger, end hvad der kræves til opfyldelse af
formålet med indsamlingen. Der stilles desuden krav om hjemmel til enhver behand-
ling af personoplysninger, ligesom der som udgangspunkt ikke må behandles person-
oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk
overbevisning og fagforeningsmæssige tilhørsforhold samt personoplysninger om
helbredsmæssige og seksuelle forhold. Centeret skal derudover sikre, at der ikke be-
handles urigtige eller vildledende personoplysninger. Endelig må centeret ikke opbe-
vare indsamlede personoplysninger på en måde, der giver mulighed for at identifi-
cere den pågældende person i et længere tidsrum end nødvendigt, og centeret skal
træffe passende sikkerhedsforanstaltninger ved behandlingen af personoplysninger.
Visse centrale krav efter persondataloven gælder dog ikke for Center for Cybersikker-
hed. Centeret er således undtaget fra kravet om oplysningspligt overfor den registre-
rede samt kravet om den registreredes indsigts- og indsigelsesret.
Herudover er det Tilsynet med Efterretningstjenesterne – og ikke Datatilsynet – der
fører tilsyn med Center for Cybersikkerheds behandling af personoplysninger. Tilsy-
net med Efterretningstjenesterne er et uafhængigt kontrolorgan, der efter klage eller
af egen drift påser, at Center for Cybersikkerhed overholder reglerne vedrørende be-
handling af personoplysninger.
3. Endvidere følger det af § 8, stk. 2, i lov om Center for Cybersikkerhed, at forsvars-
ministeren kan bestemme, at kapitel 8-10 i persondataloven, kapitel 4-6 i forvalt-
ningsloven samt offentlighedsloven helt eller delvist skal finde anvendelse for Center
for Cybersikkerheds virksomhed som bl.a. myndighed for informationssikkerhed og
beredskab på teleområdet.
Der har indtil videre ikke vist sig behov for at anvende denne bemyndigelse, idet der
behandles ganske få personoplysninger i forbindelse med centerets virksomhed på
teleområdet.
Med lovforslag L 155 om ændring af lov om Center for Cybersikkerhed, der er fremsat
for Folketinget den 28. februar 2018, foreslås det bl.a., at den nævnte bemyndigelse
tilpasses til den kommende regulering på databeskyttelsesområdet og NIS-området,
således at forsvarsministeren vil kunne bestemme, at databeskyttelsesforordningen
og den foreslåede databeskyttelseslov også helt eller delvist skal finde anvendelse for
Side 3
de myndighedsopgaver, som Center for Cybersikkerhed tillægges som led i imple-
menteringen af NIS-direktivet.
4. Blandt de nye krav, som databeskyttelsesforordningen stiller, kan fremhæves krav
om udpegelse af en databeskyttelsesrådgiver, at der skal gennemføres konsekvens-
analyser, og at nye systemer skal have indbygget databeskyttelse (privacy by design
or by default).
For en nærmere gennemgang af forholdet mellem databeskyttelsesforordningen og
persondataloven henvises i øvrigt til Justitsministeriets betænkning nr. 1565 om data-
beskyttelsesforord i ge , del I, bi d .”
Jeg kan henholde mig til Forsvarsministeriets bidrag.
Med venlig hilsen
Ellen Trane Nørby / Maja Holm Andreasen


Folketingets Sundheds- og Ældreudvalg har den 1. marts 2018 stillet følgende spørgs-
mål nr. 1 (L 143 – Forslag til lov om krav til sikkerhed for net- og informationssyste-
mer inden for sundhedssektoren) til sundhedsministeren, som hermed besvares.
Spørgsmålet er stillet efter ønske fra Stine Brix (EL) og Kirsten Normann Andersen
(SF).
Spørgsmål nr. 1:
”Idet NIS-direktivet bestemmer, at behandlingen af personoplysninger skal ske i over-
ensstemmelse med databeskyttelsesdirektivet, bedes ministeren forklare, hvordan
implementeringen af NIS-direktivet i Danmark harmonerer med dette, når Center for
Cybersikkerhed, som en del af Forsvarets Efterretningstjeneste, ikke er omfattet af
offentlighedsloven, persondataloven og centrale dele af forvaltningsloven.”
Svar:
Da Sundheds- og Ældreudvalgets spørgsmål omhandler Center for Cybersikkerheds
varetagelse af funktionen som CSIRT og nationalt centralt kontaktpunkt sammen-
holdt med kravene i databeskyttelsesdirektivet m.v., har mit ministerium bedt For-
svarsministeriet om bidrag til besvarelsen heraf. Forsvarsministeriet oplyser følgende:
”Det følger af artikel , stk. , i NIS-direktivet (Europa-Parlamentets og Rådets direktiv
(EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikker-
hedsniveau for net- og informationssystemer i hele Unionen), at behandlingen af per-
sonoplysninger efter direktivet udføres i overensstemmelse med databeskyttelsesdi-
rektivet (Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om
beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og
om fri udveksling af sådanne oplysninger).
Databeskyttelsesdirektivet gælder bl.a. ikke for sådan behandling af personoplysnin-
ger, der vedrører statens sikkerhed, jf. direktivets artikel 3, stk. 2. På den baggrund
gælder den danske persondatalov – der implementerer databeskyttelsesdirektivet i
dansk ret – heller ikke for behandlinger af personoplysninger, der udføres for Forsva-
rets Efterretningstjeneste, herunder Center for Cybersikkerhed.
En række af de centrale bestemmelser i persondataloven er imidlertid indarbejdet i
lov nr. 713 af 25. juni 2014 om Center for Cybersikkerhed, der regulerer centerets
virksomhed. Endvidere fører Tilsynet med Efterretningstjenesterne, som er et uaf-
hængigt kontrolorgan, tilsyn med Center for Cybersikkerheds behandling af person-
oplysninger. Tilsynet kan hos Center for Cybersikkerhed kræve enhver oplysning og
alt materiale, der er af betydning for tilsynets virksomhed. Man kan som borger klage
til tilsynet, hvis man mener, at centeret ulovligt behandler personoplysninger om en.
Folketingets Sundheds- og Ældreudvalg
Holbergsgade 6
DK-1057 København K
T +45 7226 9000
F +45 7226 9001
M sum@sum.dk
W sum.dk
Dato: 03-04-2018
Enhed: SUNDOK
Sagsbeh.: DEPMAHA
Sagsnr.: 1706260
Dok. nr.: 572542
Forsvarsudvalget 2017-18
L 139 Bilag 7
Offentligt
Side 2
Tilsynet afgiver endvidere hvert år en redegørelse til forsvarsministeren om tilsynets
virksomhed i forhold til Center for Cybersikkerhed, og redegørelsen offentliggøres.
De e retstilsta d videreføres so udga gspu kt, år EU’s databeskyttelsesdirektiv
fra 25. maj 2018 erstattes af den nye databeskyttelsesforordning (Europa-Parlamen-
tets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske
personer i forbindelse med behandling af personoplysninger og om fri udveksling af
sådanne oplysninger og om ophævelse af direktiv 95/46/EF) samt den foreslåede
danske databeskyttelseslov (L 68 fremsat for Folketinget den 25. oktober 2017).
Det bemærkes dog, at der med lovforslag nr. L 155, der konsekvensændrer lov om
Center for Cybersikkerhed som følge af den nye regulering på databeskyttelsesområ-
det, er lagt op til, at forsvarsministeren får hjemmel til helt eller delvist at sætte data-
beskyttelsesforordningen og databeskyttelsesloven i kraft for dele af Center for Cy-
bersikkerheds virksomhed, herunder centerets virksomhed i medfør af NIS-direktivet.
Dette lovforslag blev fremsat den 28. februar 2018 og er fortsat under behandling i
Folketi get.”
Jeg kan henholde mig til Forsvarsministeriets bidrag.
Det kan endvidere bemærkes, at det ikke er hensigten med det fremsatte lovforslag
eller bekendtgørelser, der vil skulle udstedes i medfør af loven, at Sundhedsdatasty-
relsen eller Center for Cybersikkerhed vil skulle modtage følsomme personoplysnin-
ger, herunder helbredsoplysninger, fra operatører af væsentlige tjenester.
Det forventes, at Sundhedsdatastyrelsen og Center for Cybersikkerhed vil skulle mod-
tage oplysninger om navn og kontaktoplysninger på operatøren af den væsentlige tje-
neste, oplysninger om hændelsens årsag, karakter, varighed, forløb og konsekvenser,
oplysninger om foranstaltninger, som operatøren har truffet eller foreslår truffet, for
at håndtere hændelsen, oplysninger om omfanget af hændelsen og oplysninger om
eventuelle grænseoverskridende konsekvenser for hændelsen.
Som det fremgår af besvarelsen af spørgsmål nr. 6 (L 143 – Forslag til lov om krav til
sikkerhed for net- og informationssystemer inden for sundhedssektoren), oplyser
Forsvarsministeriet følgende:
”Det vil i almindelighed være tilstrækkeligt for at kunne varetage de opgaver, som føl-
ger af direktivet, jf. nedenfor, at underretningerne indeholder overordnede oplysnin-
ger om hændelsen, herunder om den berørte virksomhed, tidspunktet for og varighe-
den af hændelsen, beskrivelse af hændelsen og dens konsekvenser samt en vurdering
af mulige grænseoverskridende konsekvenser af hændelsen. Underretningerne vil
som det helt klare udgangspunkt ikke indeholde personoplysninger, bortset fra even-
tuelle oplysninger om den medarbejder, som har forestået selve underretningen.
Hvis hændelsen er forårsaget af et egentligt angreb, vil det desuden kunne være rele-
vant at anføre IP-adresser, mailadresser mv., som anvendes af den ondsindede aktør.
Det vil eksempelvis også kunne være relevant at medtage såkaldte phishing-mails,
der har forårsaget en hændelse.”
Med venlig hilsen
Side 3
Ellen Trane Nørby / Maja Holm Andreasen


_______________________________________________________________________________________________________________________________________________
HOLMENS KANAL 9 TELEFON: 72 81 00 00 MAIL: FMN@FMN.DK CVR: 25-77-56-35
1060 KØBENHAVN K TELEFAX: 72 81 03 00 WEB: www.FMN.DK EAN: 5798000201200
Folketingets Transport-, Bygnings- og Boligudvalg
Christiansborg
FORSVARSMINISTEREN
21. marts 2018
Folketingets Transport-, Bygnings- og Boligudvalg har den 22. februar 2018 stillet følgende
spørgsmål nr. 9 vedrørende L 135 til forsvarsministeren, som hermed besvares. Spørgsmålet
er stillet efter ønske fra Henning Hyllested (EL).
Spørgsmål nr. 9:
”Hvordan har de andre EU-lande valgt at organisere gennemførelsen af NIS-direktivet? Her-
under ønskes oplyst, om andre EU-lande også har valgt at lade det nationale centrale kon-
taktpunkt og CSIRT være en del af en efterretningstjeneste.”
Svar:
Forsvarsministeriet har til brug for besvarelse af spørgsmålet indhentet oplysninger fra de
øvrige EU-medlemsstater via Udenrigsministeriet. I den forbindelse er der modtaget svar fra
følgende medlemsstater: Belgien, Bulgarien, Estland, Finland, Frankrig, Irland, Letland, Li-
tauen, Luxembourg, Malta, Nederlandene, Polen, Rumænien, Storbritannien, Sverige, Tjek-
kiet, Tyskland og Østrig.
Det kan oplyses, at NIS-direktivet skal være implementeret i EU’s medlemsstater senest den
9. maj 2018. Der pågår i nogle EU-medlemsstater fortsat politiske forhandlinger om imple-
menteringen af NIS-direktivet, og den endelige organisering er således ikke fastlagt.
Forsvarsudvalget 2017-18
L 139 Bilag 7
Offentligt
Det bemærkes, at NIS-direktivets implementering i medlemsstaterne planlægges og udføres
på mange forskelligartede måder. Det gælder også i forhold til placeringen af funktionerne
som henholdsvis nationalt centralt kontaktpunkt og it-beredskabsenhed (CSIRT).
I forhold til spørgsmålet om organisering af gennemførslen af NIS-direktivet, har de ovenfor
nævnte medlemsstater oplyst, at følgende myndigheder er ansvarlige for implementering af
direktivet:
Belgien:
The Centre for Cybersecurity Belgium (CCB) leder implementeringen i koordination med an-
dre myndigheder.
Bulgarien:
State e-Government Authority er ansvarlig for implementering.
Estland:
Ministeriet for Økonomi og Kommunikation, herunder den såkaldte Information System Aut-
hority (RIA), organiserer implementering.
Finland:
Ministeriet for Transport og Kommunikation er ansvarlig for implementering.
Frankrig:
Det Nationale Cybersikkerhedsagentur (ANSSI) er ansvarlig for implementering. ANSSI refe-
rerer til generalsekretæren for forsvar og national sikkerhed, som støtter premierministeren
i spørgsmål om nationalt forsvar og sikkerhed.
Irland:
Ministeriet for Kommunikation, Klima og Miljø er ansvarlig for implementering.
Letland:
Forsvarsministeriet og Transportministeriet er ansvarlig for implementering.
Litauen:
Ministeriet for Nationalt Forsvar er ansvarlig for implementering.
Luxembourg:
Højkommissariatet for National Sikkerhed er ansvarlig for implementering.
Malta:
Ministeriet for Interne Anliggender og National Sikkerhed er ansvarlig for implementering.
Nederlandene:
Det er ud fra de modtagne oplysninger uklart, hvilken myndighed der har det overordnede
ansvar for implementering. Det Nationale Cybersikkerhedscenter (NCSC) under Justits- og
Sikkerhedsministeriet har fået til opgave at være den nationale myndighed i forhold til un-
derretningspligten.
Polen:
Den polske regering er i gang med at udarbejde lovgivning til gennemførsel af NIS-
direktivet. Det ventes at Ministeriet for Digitalisering bliver gjort ansvarlig for implemente-
ring.
Rumænien:
Ministeriet for Kommunikation og Informationssamfundet er ansvarlig for implementering.
Storbritannien:
Ministeriet for Digitalisering, Kultur, Medier & Sport har en koordinerende rolle i forhold til
implementering af NIS-direktivet.
Sverige:
Sveriges regering har oplyst, at regeringen er ansvarlig for implementering.
Tjekkiet:
Det Nationale Cyber- og Informationssikkerhedsagentur (NUKIB) er ansvarlig for implemen-
tering.
Tyskland:
Den føderale styrelse for informationssikkerhed (BSI) er ansvarlig for implementering.
Østrig:
Det føderale kansleramt (BKA) koordinerer implementeringen af NIS.
I forhold til spørgsmålet om, hvorvidt andre medlemsstater har henlagt funktionen som na-
tionalt centralt kontaktpunkt i en del af en efterretningstjeneste, har følgende medlemssta-
ter oplyst, at de har placeret eller forventer at placere funktionen som nationalt centralt
kontaktpunkt i en efterretningstjeneste:
Storbritannien:
Funktionen ventes placeret i National Cyber Security Centre (NCSC), som er en del af efter-
retningstjenesten Government Communications Headquarters (GCHQ).
Østrig:
Funktionen ventes placeret i indenrigsefterretningstjenesten Agency for Counter-Terrorism
and State Protection (BVT).
I forhold til spørgsmålet om, hvorvidt andre medlemsstater har henlagt CSIRT-funktionen i
en del af en efterretningstjeneste, har følgende medlemsstater oplyst, at de har placeret
eller forventer at placere CSIRT-funktionen i en efterretningstjeneste:
Polen:
Den polske regering er i færd med at udarbejde lovgivning til gennemførsel af NIS-
direktivet. CSIRT-funktionen ventes at blive delt i tre, hvoraf indenrigssikkerhedstjenesten
ABW står i spidsen for den ene.
Storbritannien:
Funktionen ventes placeret i National Cyber Security Centre (NCSC), som er en del af efter-
retningstjenesten Government Communications Headquarters (GCHQ).
Med venlig hilsen
Claus Hjort Frederiksen


_______________________________________________________________________________________________________________________________________________
HOLMENS KANAL 9 TELEFON: 72 81 00 00 MAIL: FMN@FMN.DK CVR: 25-77-56-35
1060 KØBENHAVN K TELEFAX: 72 81 03 00 WEB: www.FMN.DK EAN: 5798000201200
Folketingets Transport-, Bygnings- og Boligudvalg
Christiansborg
FORSVARSMINISTEREN
21. marts 2018
Folketingets Transport-, Bygnings- og Boligudvalg har den 22. februar 2018 stillet følgende
spørgsmål nr. 5 vedrørende L 135 til transport-, bygnings- og boligministeren samt for-
svarsministeren, som hermed besvares. Spørgsmålet er stillet efter ønske fra Rasmus Prehn
(S), Kim Christiansen (DF), Henning Hyllested (EL), Andreas Steenberg (RV), Karsten Hønge
(SF) og Roger Courage Matthisen (ALT).
Spørgsmål nr. 5:
”Ministeren bedes kommentere høringssvaret fra Institut for Menneskerettigheder, herunder
særligt instituttets bekymring for det principielt problematiske i, at centrale civile samfunds-
strukturer i Danmark skal varetages af Forsvarets Efterretningstjeneste med de begræns-
ninger, det giver i forhold til indsigt i databeskyttelseskrav.”
Svar:
1. Institut for Menneskerettigheder fremfører i instituttets høringssvar, at instituttet anser
det for principielt problematisk, at implementeringen af NIS-direktivet medfører, at stadig
flere oplysninger bliver udvekslet med Center for Cybersikkerhed, der er en del af Forsvarets
Efterretningstjeneste, ligesom instituttet finder det problematisk, at centeret er undtaget fra
bl.a. persondataloven.
2. NIS-direktivet forpligter medlemsstaterne til at udpege et nationalt centralt kontaktpunkt.
Det nationale centrale kontaktpunkt skal udgøre et forbindelsesled, som faciliterer det
Forsvarsudvalget 2017-18
L 139 Bilag 7
Offentligt
grænseoverskridende samarbejde med andre medlemsstater, netværket af it-
beredskabsenheder (CSIRT’er) og den samarbejdsgruppe, som skal have fokus på det stra-
tegiske samarbejde om sikkerhed i net- og informationssystemer mellem medlemsstaterne.
Herudover skal det centrale kontaktpunkt én gang om året forelægge en sammenfattende
rapport for samarbejdsgruppen vedrørende underretninger om hændelser i henhold til NIS-
direktivet.
Center for Cybersikkerhed er i forvejen national it-sikkerhedsmyndighed og står for en fore-
byggende rådgivnings- og oplysningsvirksomhed om cybersikkerhed i forhold til både den
offentlige og private sektor samt en reaktiv indsats ved cyberangreb. Center for Cybersik-
kerhed varetager en række myndighedsopgaver i den forbindelse, og centeret er således
allerede den centrale nationale myndighed vedrørende cybersikkerhed. På den baggrund vil
varetagelsen af funktionen som nationalt centralt kontaktpunkt ligge i naturlig forlængelse
af centerets øvrige opgaver.
3. NIS-direktivet forpligter herudover medlemsstaterne til at udpege en eller flere nationale
CSIRT’er. En CSIRT skal fungere som national beredskabsenhed til håndtering af it-
sikkerhedshændelser og vil bl.a. have til opgave at foretage monitorering af hændelser på
nationalt plan, udsende tidlige varslinger, advarsler og meddelelser samt formidle informati-
on til relevante interessenter om risici og hændelser. CSIRT'en vil endvidere skulle reagere
på hændelser og udarbejde dynamiske risiko- og hændelsesanalyser samt situationsrappor-
ter. Endelig vil CSIRT’en skulle deltage i det føromtalte CSIRT-netværk og etablere samar-
bejde med den private sektor.
Center for Cybersikkerhed besidder allerede i dag mange af de kompetencer, der er nød-
vendige for at kunne varsle sektorerne samt reagere på hændelser, og centeret vil tillige
kunne operere døgnet rundt. CSIRT-funktionen efter NIS-direktivet har således en nær
sammenhæng med Center for Cybersikkerheds eksisterende opgaver.
4. Center for Cybersikkerhed og den øvrige del af FE er – selvom de udgør én myndighed –
ved lov tillagt forskellige opgaver og virkemidler. Center for Cybersikkerhed er særskilt regu-
leret i lov nr. 713 af 25. juni 2014 om Center for Cybersikkerhed, hvor der i bemærkninger-
ne er forudsat en vis organisatorisk adskillelse mellem centeret og den efterretningsmæssi-
ge del af FE. Det er også forudsat, at centeret har en åben og udadvendt profil, og at cente-
rets virksomhed skal være præget af åbenhed, vejledning og information.
For en nærmere beskrivelse af kravene til Center for Cybersikkerheds behandling af person-
oplysninger henvises der i øvrigt til den samtidige besvarelse af spørgsmål 3 vedrørende L
135.
Med venlig hilsen
Claus Hjort Frederiksen


_______________________________________________________________________________________________________________________________________________
HOLMENS KANAL 9 TELEFON: 72 81 00 00 MAIL: FMN@FMN.DK CVR: 25-77-56-35
1060 KØBENHAVN K TELEFAX: 72 81 03 00 WEB: www.FMN.DK EAN: 5798000201200
Folketingets Transport-, Bygnings- og Boligudvalg
Christiansborg
FORSVARSMINISTEREN
21. marts 2018
Folketingets Transport-, Bygnings- og Boligudvalg har den 22. februar 2018 stillet følgende
spørgsmål nr. 8 vedrørende L 135 til forsvarsministeren, som hermed besvares. Spørgsmålet
er stillet efter ønske fra Rasmus Prehn (S), Kim Christiansen (DF), Henning Hyllested (EL),
Andreas Steenberg (RV), Karsten Hønge (SF) og Roger Courage Matthisen (ALT).
Spørgsmål nr. 8:
”Ministeren bedes oplyse, hvilke konkrete oplysninger det forventes at ministeren og Center
for Cybersikkerhed vil kunne eller skulle udveksle med andre myndigheder, både nationalt
og i EU.”
Svar:
FE/Center for Cybersikkerhed er anmodet om en udtalelse til brug for Forsvarsministeriets
besvarelse. FE/Center for Cybersikkerhed har i den anledning oplyst følgende:
”Det følger af NIS-direktivets artikel 14, stk. 3, at medlemsstaterne skal sikre,
at operatører af væsentlige tjenester hurtigst muligt foretager underretning til
tilsynsmyndighederne eller CSIRT’en af hændelser, der har væsentlige konse-
kvenser for kontinuiteten af de væsentlige tjenester, som de leverer. Under-
retningerne skal indeholde oplysninger, der gør det muligt at fastslå eventuelle
grænseoverskridende konsekvenser af hændelsen. Der gælder en lignende
underretningsforpligtelse for udbydere af digitale tjenester, jf. artikel 16, stk.
3. Derudover følger det af direktivet, at enheder, som ikke er blevet identifice-
Forsvarsudvalget 2017-18
L 139 Bilag 7
Offentligt
ret som operatører af væsentlige tjenester eller udbydere af digitale tjenester,
kan foretage frivillige underretninger om hændelser, der har væsentlige kon-
sekvenser for kontinuiteten af de tjenester, som de leverer, og at frivillige un-
derretninger skal behandles efter samme regler som pligtmæssige underret-
ninger, jf. artikel 20.
Det følger af direktivets artikel 14, stk. 4, at der ved fastlæggelsen af, om en
hændelses konsekvenser er betydelige, navnlig skal lægges vægt på følgende
forhold: Antallet af brugere, der berøres af hændelsen, hændelsens varighed
og den geografiske udbredelse med hensyn til det område, der berøres af
hændelsen. Der gælder nogenlunde tilsvarende kriterier i forhold til udbydere
af digitale tjenester, jf. artikel 16, stk. 4.
Bortset fra kravet om, at underretninger skal indeholde oplysninger, der gør
det muligt at fastslå eventuelle grænseoverskridende konsekvenser af hæn-
delsen, indeholder NIS-direktivet ikke krav om, hvilke oplysninger en under-
retning i øvrigt skal indeholde. Det vil derfor være op til ressortmyndighederne
inden for de enkelte sektorer at fastsætte nærmere regler om underretning
inden for deres respektive sektorer.
Det vil i almindelighed være tilstrækkeligt for at kunne varetage de opgaver,
som følger af direktivet, jf. nedenfor, at underretningerne indeholder overord-
nede oplysninger om hændelsen, herunder om den berørte virksomhed, tids-
punktet for og varigheden af hændelsen, beskrivelse af hændelsen og dens
konsekvenser samt en vurdering af mulige grænseoverskridende konsekven-
ser af hændelsen. Underretningerne vil som det helt klare udgangspunkt ikke
indeholde personoplysninger, bortset fra eventuelle oplysninger om den med-
arbejder, som har forestået selve underretningen. Hvis hændelsen er forårsa-
get af et egentligt angreb, vil det desuden kunne være relevant at anføre IP-
adresser, mailadresser mv., som anvendes af den ondsindede aktør. Det vil
eksempelvis også kunne være relevant at medtage såkaldte phishing-mails,
der har forårsaget en hændelse.
Underretningerne er en forudsætning for, at tilsynsmyndighederne, CSIRT’en
og det centrale kontaktpunkt kan varetage en række opgaver efter NIS-
direktivet. Visse af opgaverne forudsætter, at der videregives oplysninger til
andre myndigheder, herunder udenlandske. Det kan i den forbindelse næv-
nes, at underretningerne bl.a. skal danne grundlag for, at det nationale cen-
trale kontaktpunkt årligt kan forelægge en sammenfattende rapport om mod-
tagne underretninger for EU’s Samarbejdsgruppe, jf. artikel 10, stk. 3. Det
fremgår endvidere af bestemmelsen, at den sammenfattende rapport bør in-
deholde oplysninger om antallet af modtagne underretninger og arten af de
underrettede hændelser. Det fremgår udtrykkeligt af betragtning nr. 33 til di-
rektivet, at den sammenfattende rapport bør anonymiseres for at sikre, at un-
derretningerne og identiteten på den underrettende operatør eller tjeneste
forbliver fortrolige, eftersom oplysninger om de underrettende enheders iden-
titet ikke er påkrævet for udveksling af bedste praksis i Samarbejdsgruppen.
Underretningerne er også en forudsætning for, at tilsynsmyndigheden eller
CSIRT’en kan orientere andre medlemsstater om hændelser af relevans for
dem, jf. artikel 14, stk. 5, og artikel 16, stk. 6. I den forbindelse sikrer til-
synsmyndigheden eller CSIRT’en i overensstemmelse med EU-retten eller na-
tional lovgivning, der er i overensstemmelse med EU-retten, sikkerheden og
de kommercielle interesser for operatøren eller udbyderen samt fortrolig be-
handling af de oplysninger, der er givet i dennes underretning.
Underretningerne er derudover en forudsætning for, at tilsynsmyndigheden el-
ler CSIRT’en kan orientere offentligheden om konkrete hændelser, hvis offent-
lighedens kendskab hertil er nødvendigt for at forebygge en hændelse eller
håndtere en igangværende hændelse, jf. artikel 14, stk. 6, og artikel 16, stk.
7. Det følger af direktivet, at offentliggørelsen skal ske under hensyntagen til
bl.a. operatørens sikkerhed, operatørens kommercielle interesser og fortrolig
behandling af de af operatøren angivne oplysninger i forbindelse med dennes
underretning. For så vidt angår udbydere af digitale tjenester kan offentliggø-
relse endvidere ske, hvis det i øvrigt er i offentlighedens interesse.
Der er ved implementeringen af NIS-direktivet i dansk ret lagt op til, at opga-
verne som CSIRT og centralt kontaktpunkt skal varetages af Center for Cyber-
sikkerhed. Der er endvidere lagt op til, at centeret skal varetage opgaverne
med at underrette andre medlemsstater om hændelser med grænseoverskri-
dende konsekvenser og at orientere offentligheden om konkrete hændelser i
de tilfælde, hvor hændelsen berører flere sektorer. Forsvarsministeriet har den
7. februar 2018 fremsat lovforslag nr. L 139 om sikkerhed i net- og informati-
onssystemer for operatører af væsentlige internetudvekslingspunkter mv.,
som regulerer Center for Cybersikkerheds opgavevaretagelse på området. Der
er med lovforslaget bl.a. lagt op til at give centeret en udtrykkelig hjemmel til
at videregive de modtagne underretninger om hændelser af grænseoverskri-
dende karakter til nationale tilsynsmyndigheder, CSIRT’er og nationale centra-
le kontaktpunkter i andre EU-medlemslande samt til CSIRT-netværket (opera-
tionelt samarbejdsforum i EU). Der lægges i den forbindelse op til, at der bør
ske orientering af den underrettende operatør eller udbyder af digitale tjene-
ster i forbindelse med videregivelsen. Operatøren eller udbyderen vil ligeledes
modtage kopi af de videregivne oplysninger.
For så vidt angår orientering af offentligheden om en konkret hændelse, er
der lagt op til, at orienteringen som udgangspunkt varetages af de enkelte til-
synsmyndigheder, idet orienteringen dog foretages af Center for Cybersikker-
hed i de tilfælde, hvor en hændelse berører flere sektorer. Det fremgår ud-
trykkeligt af lovudkastet, at centerets orientering ikke må indeholde oplysnin-
ger om enkeltpersoners forhold. Videregivelsen af oplysninger fra Center for
Cybersikkerhed til andre myndigheder, herunder udenlandske, vil basere sig
på de modtagne underretninger, og der vil således i almindelighed være tale
om at videregive overordnede oplysninger om en hændelse.
Der vil som det helt klare udgangspunkt ikke blive tale om at videregive per-
sonoplysninger. Dog vil det efter omstændighederne kunne være relevant at
videregive oplysninger om IP-adresser, mailadresser mv., som anvendes af en
formodet ondsindet aktør, der måtte have forårsaget den pågældende hæn-
delse, med henblik på, at andre kan beskytte sig mod tilsvarende angreb. Af
samme grund vil det f.eks. også kunne være relevant at medtage såkaldte
phishing-mails, der har forårsaget en hændelse. Hvis der måtte være behov
for at videregive personoplysninger, vil det skulle ske i overensstemmelse med
reglerne i lov om Center for Cybersikkerhed (CFCS-loven). Reglerne om be-
handling, herunder videregivelse, af personoplysninger er fastsat i CFCS-
lovens kapitel 6, som indeholder størstedelen af de centrale principper fra per-
sondataloven.”
Jeg kan henholde mig til FE/Center for Cybersikkerheds udtalelse.
Med venlig hilsen
Claus Hjort Frederiksen


_______________________________________________________________________________________________________________________________________________
HOLMENS KANAL 9 TELEFON: 72 81 00 00 MAIL: FMN@FMN.DK CVR: 25-77-56-35
1060 KØBENHAVN K TELEFAX: 72 81 03 00 WEB: www.FMN.DK EAN: 5798000201200
Folketingets Transport-, Bygnings- og Boligudvalg
Christiansborg
FORSVARSMINISTEREN
21. marts 2018
Folketingets Transport-, Bygnings- og Boligudvalg har den 22. februar 2018 stillet følgende
spørgsmål nr. 3 vedrørende L 135 til transport-, bygnings- og boligministeren samt for-
svarsministeren, som hermed besvares. Spørgsmålet er stillet efter ønske fra Rasmus Prehn
(S), Kim Christiansen (DF), Henning Hyllested (EL), Andreas Steenberg (RV), Karsten Hønge
(SF) og Roger Courage Matthisen (ALT).
Spørgsmål nr. 3:
”På baggrund af afsnit 3 i de almindelige bemærkninger til lovforslaget bedes ministeren
oplyse, om Center for Cybersikkerhed i regi af lovforslaget skal forstås som en forvaltnings-
myndighed, jf. forvaltningsloven. Ministeren bedes i forlængelse heraf redegøre for kravene
til centerets behandling af personoplysninger. Herunder ønskes oplyst, hvorledes kravene
adskiller sig som følge af reglerne i lov om Center for Cybersikkerhed (lov nr. 713 af 25. juni
2014), set i forhold til databeskyttelsesforordningen (forordning 2016/679/EU af 27. april
2016 om beskyttelse af personoplysninger og om fri udveksling af sådanne oplysninger og
om ophævelse af direktiv 95/46/EF) samt forslaget til databeskyttelseslov (L 68), hvis For-
svarets Efterretningstjeneste ikke er omfattet af lovforslaget og forordningen.”
Svar:
1. Det følger af § 8 i lov nr. 713 af 25. juni 2014 om Center for Cybersikkerhed, at Center
for Cybersikkerheds virksomhed er undtaget fra offentlighedsloven (bortset fra lovens § 13
om notatpligt) og forvaltningslovens kapitel 4-6. Dette gælder også for centerets kommende
funktioner som nationalt centralt kontaktpunkt og CSIRT efter NIS-direktivet (Europa-
Forsvarsudvalget 2017-18
L 139 Bilag 7
Offentligt
Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der skal
sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen).
Det fremgår dog af bemærkningerne til forslaget til lov om Center for Cybersikkerhed (L
192, fremsat 2. maj 2014), at Center for Cybersikkerhed forudsættes i videst muligt omfang
at efterleve principperne i offentlighedsloven og forvaltningslovens kapitel 4-6. Det forud-
sættes således, at centeret – uanset at dets virksomhed er undtaget fra forvaltningslovens
bestemmelser på området – i alle afgørelsessager konkret vurderer, om det er muligt at
anvende forvaltningslovens principper om partens aktindsigt, partshøring og begrundelse
m.v. Tilsvarende forudsættes det, at anmodninger om aktindsigt i videst muligt omfang be-
handles efter principperne i offentlighedsloven.
Det bemærkes i den forbindelse, at Center for Cybersikkerheds afgørelser i konkrete sager,
f.eks. aktindsigtssager, kan påklages til Forsvarsministeriet.
2. Center for Cybersikkerheds virksomhed, herunder centerets kommende funktioner efter
NIS-direktivet, er endvidere undtaget fra persondataloven. Denne retstilstand ventes videre-
ført, når persondataloven med virkning fra 25. maj 2018 erstattes af databeskyttelsesfor-
ordningen (Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om
beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri
udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF) og den foreslåe-
de databeskyttelseslov (L 68, fremsat for Folketinget den 25. oktober 2017).
Størstedelen af de centrale principper i persondataloven gælder dog for centeret, jf. kapitel
6 i lov om Center for Cybersikkerhed. Det følger således bl.a. af loven, at centeret kun må
indsamle personoplysninger til udtrykkeligt angivne og saglige formål, og at senere behand-
ling ikke må være uforenelig med disse formål. Endvidere må centeret ikke behandle flere
personoplysninger, end hvad der kræves til opfyldelse af formålet med indsamlingen. Der
stilles desuden krav om hjemmel til enhver behandling af personoplysninger, ligesom der
som udgangspunkt ikke må behandles personoplysninger om racemæssig eller etnisk bag-
grund, politisk, religiøs eller filosofisk overbevisning og fagforeningsmæssige tilhørsforhold
samt personoplysninger om helbredsmæssige og seksuelle forhold. Centeret skal derudover
sikre, at der ikke behandles urigtige eller vildledende personoplysninger. Endelig må cente-
ret ikke opbevare indsamlede personoplysninger på en måde, der giver mulighed for at
identificere den pågældende person i et længere tidsrum end nødvendigt, og centeret skal
træffe passende sikkerhedsforanstaltninger ved behandlingen af personoplysninger.
Visse centrale krav efter persondataloven gælder dog ikke for Center for Cybersikkerhed.
Centeret er således undtaget fra kravet om oplysningspligt overfor den registrerede samt
kravet om den registreredes indsigts- og indsigelsesret.
Herudover er det Tilsynet med Efterretningstjenesterne – og ikke Datatilsynet – der fører
tilsyn med Center for Cybersikkerheds behandling af personoplysninger. Tilsynet med Efter-
retningstjenesterne er et uafhængigt kontrolorgan, der efter klage eller af egen drift påser,
at Center for Cybersikkerhed overholder reglerne vedrørende behandling af personoplysnin-
ger.
3. Endvidere følger det af § 8, stk. 2, i lov om Center for Cybersikkerhed, at forsvarsministe-
ren kan bestemme, at kapitel 8-10 i persondataloven, kapitel 4-6 i forvaltningsloven samt
offentlighedsloven helt eller delvist skal finde anvendelse for Center for Cybersikkerheds
virksomhed som bl.a. myndighed for informationssikkerhed og beredskab på teleområdet.
Der har indtil videre ikke vist sig behov for at anvende denne bemyndigelse, idet der be-
handles ganske få personoplysninger i forbindelse med centerets virksomhed på teleområ-
det.
Med lovforslag L 155 om ændring af lov om Center for Cybersikkerhed, der er fremsat for
Folketinget den 28. februar 2018, foreslås det bl.a., at den nævnte bemyndigelse tilpasses
til den kommende regulering på databeskyttelsesområdet og NIS-området, således at for-
svarsministeren vil kunne bestemme, at databeskyttelsesforordningen og den foreslåede
databeskyttelseslov også helt eller delvist skal finde anvendelse for de myndighedsopgaver,
som Center for Cybersikkerhed tillægges som led i implementeringen af NIS-direktivet.
4. Blandt de nye krav, som databeskyttelsesforordningen stiller, kan fremhæves krav om
udpegelse af en databeskyttelsesrådgiver, at der skal gennemføres konsekvensanalyser, og
at nye systemer skal have indbygget databeskyttelse (privacy by design or by default).
For en nærmere gennemgang af forholdet mellem databeskyttelsesforordningen og person-
dataloven henvises i øvrigt til Justitsministeriets betænkning nr. 1565 om databeskyttelses-
forordningen, del I, bind 1.
Med venlig hilsen
Claus Hjort Frederiksen


Folketingets Sundheds- og Ældreudvalg har den 1. marts 2018 stillet følgende spørgs-
mål nr. 3 (L 143 – Forslag til lov om krav til sikkerhed for net- og informationssyste-
mer inden for sundhedssektoren) til sundhedsministeren, som hermed besvares.
Spørgsmålet er stillet efter ønske fra Stine Brix (EL) og Kirsten Normann Andersen
(SF).
Spørgsmål nr. nr. 3:
”Ministeren bedes oplyse, om Center for Cybersikkerhed i regi af lovforslaget skal for-
stås som en forvaltningsmyndighed, jf. forvaltningsloven. Ministeren bedes i forlæn-
gelse heraf redegøre for kravene til centerets behandling af personoplysninger. Her-
under ønskes oplyst, hvorledes kravene adskiller sig som følge af reglerne i lov om
Center for Cybersikkerhed (lov nr. 713 af 25.juni 2014) i forhold til databeskyttelses-
forordningen (forordning 2016/679/EU af 27. april 2016 om beskyttelse af personop-
lysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv
95/46/EF) og forslaget til databeskyttelseslov (L 68), hvis Forsvarets Efterretningstje-
neste ikke er omfattet af lovforslaget og forordningen.”
Svar:
Da Sundheds- og Ældreudvalgets spørgsmål omhandler, hvorvidt Center for Cybersik-
kerhed er en forvaltningsmyndighed, herunder hvilke krav der gælder for Center for
Cybersikkerheds behandling af personoplysninger, har mit ministerium bedt Forsvars-
ministeriet om bidrag til besvarelsen heraf. Forsvarsministeriet oplyser følgende:
”1. Det følger af § 8 i lov nr. 713 af 25. juni 2014 om Center for Cybersikkerhed, at
Center for Cybersikkerheds virksomhed er undtaget fra offentlighedsloven (bortset
fra lovens § 13 om notatpligt) og forvaltningslovens kapitel 4-6. Dette gælder også for
centerets kommende funktioner som nationalt centralt kontaktpunkt og CSIRT efter
NIS-direktivet (Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016
om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og infor-
mationssystemer i hele Unionen).
Det fremgår dog af bemærkningerne til forslaget til lov om Center for Cybersikkerhed
(L 192, frem-sat 2. maj 2014), at Center for Cybersikkerhed forudsættes i videst mu-
ligt omfang at efterleve principperne i offentlighedsloven og forvaltningslovens kapi-
tel 4-6. Det forudsættes således, at centeret – uanset at dets virksomhed er undtaget
fra forvaltningslovens bestemmelser på området – i alle afgørelsessager konkret vur-
derer, om det er muligt at anvende forvaltningslovens principper om partens aktind-
sigt, partshøring og begrundelse m.v. Tilsvarende forudsættes det, at anmodninger
om aktindsigt i videst muligt omfang behandles efter principperne i offentlighedslo-
ven.
Folketingets Sundheds- og Ældreudvalg
Holbergsgade 6
DK-1057 København K
T +45 7226 9000
F +45 7226 9001
M sum@sum.dk
W sum.dk
Dato: 03-04-2018
Enhed: SUNDOK
Sagsbeh.: DEPMAHA
Sagsnr.: 1706260
Dok. nr.: 572534
Forsvarsudvalget 2017-18
L 139 Bilag 7
Offentligt
Side 2
Det bemærkes i den forbindelse, at Center for Cybersikkerheds afgørelser i konkrete
sager, f.eks. aktindsigtssager, kan påklages til Forsvarsministeriet.
2. Center for Cybersikkerheds virksomhed, herunder centerets kommende funktioner
efter NIS-direktivet, er endvidere undtaget fra persondataloven. Denne retstilstand
ventes videreført, når persondataloven med virkning fra 25. maj 2018 erstattes af da-
tabeskyttelsesforordningen (Europa-Parlamentets og Rådets forordning (EU)
2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med be-
handling af personoplysninger og om fri udveksling af sådanne oplysninger og om op-
hævelse af direktiv 95/46/EF) og den foreslåede databeskyttelseslov (L 68, fremsat
for Folketinget den 25. oktober 2017).
Størstedelen af de centrale principper i persondataloven gælder dog for centeret, jf.
kapitel 6 i lov om Center for Cybersikkerhed. Det følger således bl.a. af loven, at cen-
teret kun må indsamle personoplysninger til udtrykkeligt angivne og saglige formål,
og at senere behandling ikke må være uforenelig med disse formål. Endvidere må
centeret ikke behandle flere personoplysninger, end hvad der kræves til opfyldelse af
formålet med indsamlingen. Der stilles desuden krav om hjemmel til enhver behand-
ling af personoplysninger, ligesom der som udgangspunkt ikke må behandles person-
oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk
overbevisning og fagforeningsmæssige tilhørsforhold samt personoplysninger om
helbredsmæssige og seksuelle forhold. Centeret skal derudover sikre, at der ikke be-
handles urigtige eller vildledende personoplysninger. Endelig må centeret ikke opbe-
vare indsamlede personoplysninger på en måde, der giver mulighed for at identifi-
cere den pågældende person i et længere tidsrum end nødvendigt, og centeret skal
træffe passende sikkerhedsforanstaltninger ved behandlingen af personoplysninger.
Visse centrale krav efter persondataloven gælder dog ikke for Center for Cybersikker-
hed. Centeret er således undtaget fra kravet om oplysningspligt overfor den registre-
rede samt kravet om den registreredes indsigts- og indsigelsesret.
Herudover er det Tilsynet med Efterretningstjenesterne – og ikke Datatilsynet – der
fører tilsyn med Center for Cybersikkerheds behandling af personoplysninger. Tilsy-
net med Efterretningstjenesterne er et uafhængigt kontrolorgan, der efter klage eller
af egen drift påser, at Center for Cybersikkerhed overholder reglerne vedrørende be-
handling af personoplysninger.
3. Endvidere følger det af § 8, stk. 2, i lov om Center for Cybersikkerhed, at forsvars-
ministeren kan bestemme, at kapitel 8-10 i persondataloven, kapitel 4-6 i forvalt-
ningsloven samt offentlighedsloven helt eller delvist skal finde anvendelse for Center
for Cybersikkerheds virksomhed som bl.a. myndighed for informationssikkerhed og
beredskab på teleområdet.
Der har indtil videre ikke vist sig behov for at anvende denne bemyndigelse, idet der
behandles ganske få personoplysninger i forbindelse med centerets virksomhed på
teleområdet.
Med lovforslag L 155 om ændring af lov om Center for Cybersikkerhed, der er fremsat
for Folketinget den 28. februar 2018, foreslås det bl.a., at den nævnte bemyndigelse
tilpasses til den kommende regulering på databeskyttelsesområdet og NIS-området,
således at forsvarsministeren vil kunne bestemme, at databeskyttelsesforordningen
og den foreslåede databeskyttelseslov også helt eller delvist skal finde anvendelse for
Side 3
de myndighedsopgaver, som Center for Cybersikkerhed tillægges som led i imple-
menteringen af NIS-direktivet.
4. Blandt de nye krav, som databeskyttelsesforordningen stiller, kan fremhæves krav
om udpegelse af en databeskyttelsesrådgiver, at der skal gennemføres konsekvens-
analyser, og at nye systemer skal have indbygget databeskyttelse (privacy by design
or by default).
For en nærmere gennemgang af forholdet mellem databeskyttelsesforordningen og
persondataloven henvises i øvrigt til Justitsministeriets betænkning nr. 1565 om data-
beskyttelsesforordningen, del I, bind 1.”
Jeg kan henholde mig til Forsvarsministeriets bidrag.
Med venlig hilsen
Ellen Trane Nørby / Maja Holm Andreasen


Folketingets Sundheds- og Ældreudvalg har den 1. marts 2018 stillet følgende spørgs-
mål nr. 6 (L 143 – Forslag til lov om krav til sikkerhed for net- og informationssyste-
mer inden for sundhedssektoren) til sundhedsministeren, som hermed besvares.
Spørgsmålet er stillet efter ønske fra Stine Brix (EL) og Kirsten Normann Andersen
(SF).
Spørgsmål nr. 6:
”Ministeren bedes oplyse, hvilke konkrete oplysninger det forventes, at ministeren og
Center for Cybersikkerhed vil kunne eller skulle udveksle med andre myndigheder,
både nationalt og i EU.”
Svar:
Det fremgår af den foreslåede § 5, stk. 1, i forslag til lov om krav til sikkerhed for net-
og informationssystemer inden for sundhedssektoren, at operatører af væsentlige
tjenester hurtigst muligt skal underrette sundhedsministeren og Center for Cybersik-
kerhed om hændelser, der har væsentlige konsekvenser for kontinuiteten af de væ-
sentlige tjenester, der leveres.
Det skal bemærkes, at det fremgår af lovforslagets afsnit 4.6, at Sundhedsdatastyrel-
sen vil skulle varetage de opgaver, der i lovforslaget er tillagt ministeren, hvorfor un-
derretningen vil skulle ske til Sundhedsdatastyrelsen.
Det fremgår endvidere af lovforslagets § 5, stk. 5, at sundhedsministeren vil fastsætte
nærmere regler om underretning, herunder hvilke oplysninger der skal underrettes
om.
Et udkast til bekendtgørelse om operatører af væsentlige tjenester forventes sendt i
høring ultimo marts 2018. Bekendtgørelsen vil skulle træde i kraft samtidig med lov-
forslaget, det vil sige den 10. maj 2018.
Det forventes, at bekendtgørelsen bl.a. vil angive følgende kategorier af oplysninger,
som en operatør af en væsentlig tjeneste vil skulle oplyse i tilfælde af en hændelse,
der har væsentlige konsekvenser for kontinuiteten af den væsentlige tjeneste, der le-
veres: Navn og kontaktoplysninger på operatøren, oplysninger om hændelsens årsag,
karakter, varighed, forløb og konsekvenser, oplysninger om foranstaltninger, som
operatøren har truffet, eller foreslår truffet, for at håndtere hændelsen, oplysninger
om omfanget af hændelsen og oplysninger om eventuelle grænseoverskridende kon-
sekvenser af hændelsen.
Oplysningerne, som Sundhedsdatastyrelsen og Center for Cybersikkerhed vil kunne
komme i besiddelse af, er således som udgangspunkt oplysninger om en hændelses
karakter.
Folketingets Sundheds- og Ældreudvalg
Holbergsgade 6
DK-1057 København K
T +45 7226 9000
F +45 7226 9001
M sum@sum.dk
W sum.dk
Dato: 3. april 2018
Enhed: SUNDOK
Sagsbeh.: DEPMAHA
Sagsnr.: 1706260
Dok. nr.: 572566
Forsvarsudvalget 2017-18
L 139 Bilag 7
Offentligt
Side 2
Det vil dermed også være disse kategorier af oplysninger, som Sundhedsdatastyrel-
sen og Center for Cybersikkerhed vil kunne udveksle med andre myndigheder.
Lovforslaget regulerer ikke området for behandling af personoplysninger. Men som
det fremgår af lovforslagets afsnit 2, vil videregivelse af personoplysninger skulle ske i
overensstemmelse med gældende ret, herunder bl.a. databeskyttelsesdirektivet, som
ophæves den 25. maj 2018, jf. Europa-Parlamentets og Rådets forordning
2016/679/EU af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med
behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om
ophævelse af direktiv 95/46/EF (herefter databeskyttelsesforordningen), som finder
anvendelse fra den 25. maj 2018.
Da spørgsmålet tilmed omhandler, hvilke oplysninger det forventes, at Center for Cy-
bersikkerhed vil kunne eller skulle udveksle med andre myndigheder, både nationalt
og i EU, har mit ministerium bedt Forsvarsministeriet om bidrag til besvarelsen heraf.
Forsvarsministeriet oplyser følgende:
”FE/Center for Cybersikkerhed er anmodet om en udtalelse til brug for Forsvarsmini-
steriets besvarelse. FE/Center for Cybersikkerhed har i den anledning oplyst følgende:
”Det følger af NIS-direktivets artikel 14, stk. 3, at medlemsstaterne skal sikre, at ope-
ratører af væsentlige tjenester hurtigst muligt foretager underretning til tilsynsmyn-
digheder e eller CSIRT’e af hæ delser, der har væsentlige konsekvenser for konti-
nuiteten af de væsentlige tjenester, som de leverer. Underretningerne skal indeholde
oplysninger, der gør det muligt at fastslå eventuelle grænseoverskridende konsekven-
ser af hændelsen. Der gælder en lignende underretningsforpligtelse for udbydere af
digitale tjenester, jf. artikel 16, stk. 3. Derudover følger det af direktivet, at enheder,
som ikke er blevet identificeret som operatører af væsentlige tjenester eller udby-
dere af digitale tjenester, kan foretage frivillige underretninger om hændelser, der
har væsentlige konsekvenser for kontinuiteten af de tjenester, som de leverer, og at
frivillige underretninger skal behandles efter samme regler som pligtmæssige under-
retninger, jf. artikel 20.
Det følger af direktivets artikel 14, stk. 4, at der ved fastlæggelsen af, om en hændel-
ses konsekvenser er betydelige, navnlig skal lægges vægt på følgende forhold: Antal-
let af brugere, der berøres af hændelsen, hændelsens varighed og den geografiske
udbredelse med hensyn til det område, der berøres af hændelsen. Der gælder nogen-
lunde tilsvarende kriterier i forhold til udbydere af digitale tjenester, jf. artikel 16, stk.
4.
Bortset fra kravet om, at underretninger skal indeholde oplysninger, der gør det mu-
ligt at fastslå eventuelle grænseoverskridende konsekvenser af hændelsen, indehol-
der NIS-direktivet ikke krav om, hvilke oplysninger en underretning i øvrigt skal inde-
holde. Det vil derfor være op til ressortmyndighederne inden for de enkelte sektorer
at fastsætte nærmere regler om underretning inden for deres respektive sektorer.
Side 3
Det vil i almindelighed være tilstrækkeligt for at kunne varetage de opgaver, som føl-
ger af direktivet, jf. nedenfor, at underretningerne indeholder overordnede oplysnin-
ger om hændelsen, herunder om den berørte virksomhed, tidspunktet for og varighe-
den af hændelsen, beskrivelse af hændelsen og dens konsekvenser samt en vurdering
af mulige grænseoverskridende konsekvenser af hændelsen. Underretningerne vil
som det helt klare udgangspunkt ikke indeholde personoplysninger, bortset fra even-
tuelle oplysninger om den medarbejder, som har forestået selve underretningen.
Hvis hændelsen er forårsaget af et egentligt angreb, vil det desuden kunne være rele-
vant at anføre IP-adresser, mailadresser mv., som anvendes af den ondsindede aktør.
Det vil eksempelvis også kunne være relevant at medtage såkaldte phishing-mails,
der har forårsaget en hændelse.
U derret i ger e er e forudsæt i g for, at tilsy s y digheder e, CSIRT’e og det
centrale kontaktpunkt kan varetage en række opgaver efter NIS-direktivet. Visse af
opgaverne forudsætter, at der videregives oplysninger til andre myndigheder, herun-
der udenlandske. Det kan i den forbindelse nævnes, at underretningerne bl.a. skal
danne grundlag for, at det nationale centrale kontaktpunkt årligt kan forelægge en
sa e fatte de rapport o odtag e u derret i ger for EU’s Sa ar ejdsgruppe,
jf. artikel 10, stk. 3. Det fremgår endvidere af bestemmelsen, at den sammenfattende
rapport bør indeholde oplysninger om antallet af modtagne underretninger og arten
af de underrettede hændelser. Det fremgår udtrykkeligt af betragtning nr. 33 til di-
rektivet, at den sammenfattende rapport bør anonymiseres for at sikre, at underret-
ningerne og identiteten på den underrettende operatør eller tjeneste forbliver fortro-
lige, eftersom oplysninger om de underrettende enheders identitet ikke er påkrævet
for udveksling af bedste praksis i Samarbejdsgruppen.
U derret i ger e er også e forudsæt i g for, at tilsy s y dighede eller CSIRT’e
kan orientere andre medlemsstater om hændelser af relevans for dem, jf. artikel 14,
stk. 5, og artikel 16, stk. 6. I den forbindelse sikrer tilsynsmyndighede eller CSIRT’e i
overensstemmelse med EU-retten eller national lovgivning, der er i overensstem-
melse med EU-retten, sikkerheden og de kommercielle interesser for operatøren el-
ler udbyderen samt fortrolig behandling af de oplysninger, der er givet i dennes un-
derretning.
Underretningerne er derudover en forudsætning for, at tilsynsmyndigheden eller
CSIRT’e ka orie tere offe tlighede o ko krete hæ delser, hvis offentlighedens
kendskab hertil er nødvendigt for at forebygge en hændelse eller håndtere en igang-
værende hændelse, jf. artikel 14, stk. 6, og artikel 16, stk. 7. Det følger af direktivet,
at offentliggørelsen skal ske under hensyntagen til bl.a. operatørens sikkerhed, ope-
ratørens kommercielle interesser og fortrolig behandling af de af operatøren angivne
oplysninger i forbindelse med dennes underretning. For så vidt angår udbydere af di-
gitale tjenester kan offentliggørelse endvidere ske, hvis det i øvrigt er i offentlighe-
dens interesse.
Der er ved implementeringen af NIS-direktivet i dansk ret lagt op til, at opgaverne
som CSIRT og centralt kontaktpunkt skal varetages af Center for Cybersikkerhed. Der
er endvidere lagt op til, at centeret skal varetage opgaverne med at underrette andre
medlemsstater om hændelser med grænseoverskridende konsekvenser og at orien-
tere offentligheden om konkrete hændelser i de tilfælde, hvor hændelsen berører
Side 4
flere sektorer. Forsvarsministeriet har den 7. februar 2018 fremsat lovforslag nr. L
139 om sikkerhed i net- og informationssystemer for operatører af væsentlige inter-
netudvekslingspunkter mv., som regulerer Center for Cybersikkerheds opgavevareta-
gelse på området. Der er med lovforslaget bl.a. lagt op til at give centeret en udtryk-
kelig hjemmel til at videregive de modtagne underretninger om hændelser af græn-
seoverskridende karakter til nationale tilsynsmyndigheder, CSIRT’er og atio ale e -
trale kontaktpunkter i andre EU-medlemslande samt til CSIRT-netværket (operatio-
nelt samarbejdsforum i EU). Der lægges i den forbindelse op til, at der bør ske orien-
tering af den underrettende operatør eller udbyder af digitale tjenester i forbindelse
med videregivelsen. Operatøren eller udbyderen vil ligeledes modtage kopi af de vi-
deregivne oplysninger.
For så vidt angår orientering af offentligheden om en konkret hændelse, er der lagt
op til, at orienteringen som udgangspunkt varetages af de enkelte tilsynsmyndighe-
der, idet orienteringen dog foretages af Center for Cybersikkerhed i de tilfælde, hvor
en hændelse berører flere sektorer. Det fremgår udtrykkeligt af lovudkastet, at cente-
rets orientering ikke må indeholde oplysninger om enkeltpersoners forhold. Videregi-
velsen af oplysninger fra Center for Cybersikkerhed til andre myndigheder, herunder
udenlandske, vil basere sig på de modtagne underretninger, og der vil således i almin-
delighed være tale om at videregive overordnede oplysninger om en hændelse.
Der vil som det helt klare udgangspunkt ikke blive tale om at videregive personoplys-
ninger. Dog vil det efter omstændighederne kunne være relevant at videregive oplys-
ninger om IP-adresser, mailadresser mv., som anvendes af en formodet ondsindet ak-
tør, der måtte have forårsaget den pågældende hændelse, med henblik på, at andre
kan beskytte sig mod tilsvarende angreb. Af samme grund vil det f.eks. også kunne
være relevant at medtage såkaldte phishing-mails, der har forårsaget en hændelse.
Hvis der måtte være behov for at videregive personoplysninger, vil det skulle ske i
overensstemmelse med reglerne i lov om Center for Cybersikkerhed (CFCS-loven).
Reglerne om behandling, herunder videregivelse, af personoplysninger er fastsat i
CFCS-lovens kapitel 6, som indeholder størstedelen af de centrale principper fra per-
so datalove .”
Forsvarsministeriet kan henholde sig til Center for Cybersikkerheds udtalelse.”
Jeg kan henholde mig til Forsvarsministeriets bidrag.
Med venlig hilsen
Ellen Trane Nørby / Maja Holm Andreasen


Folketingets Sundheds- og Ældreudvalg har den 1. marts 2018 stillet følgende spørgs-
mål nr. 4 (L 143 – Forslag til lov om krav til sikkerhed for net- og informationssyste-
mer inden for sundhedssektoren) til sundhedsministeren, som hermed besvares.
Spørgsmålet er stillet efter ønske fra Stine Brix (EL) og Kirsten Normann Andersen
(SF).
Spørgsmål nr. 4:
”Ministeren bedes redegøre for, hvorledes beskyttelsen af personoplysninger i
gennemførelsen af NIS-direktivet (direktiv 2106/1148 af 6. juli 2016 om foranstaltnin-
ger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i
hele Unionen) kan leve op til kravet i direktivets artikel sa t artikel 8 i EU’s harter
for grundlæggende rettigheder.”
Svar:
Det fremgår af NIS-direktivets (Europa-Parlamentets og Rådets direktiv
2016/1148/EU af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikker-
hedsniveau for net- og informationssystemer i hele Unionen) artikel 2, stk. 1, at be-
handling af personoplysninger i henhold til NIS-direktivet skal udføres i overensstem-
melse med databeskyttelsesdirektivet.
Behandler en operatør af en væsentlig tjeneste personoplysninger, vil denne således
skulle efterleve kravene i databeskyttelsesdirektivet og persondataloven m.v.
Databeskyttelsesdirektivet ophæves den 25. maj 2018, jf. Europa-Parlamentets og
Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer
i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne
oplysninger og om ophævelse af direktiv 95/46/EF (herefter databeskyttelsesforord-
ningen), som finder anvendelse fra den 25. maj 2018.
Justitsministeren har den 25. oktober 2017 fremsat lovforslag L 68 om supplerende
bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med be-
handling af personoplysninger og om fri udveksling af sådanne oplysninger (databe-
skyttelsesloven) (herefter forslag til databeskyttelsesloven). I forslag til databeskyttel-
sesloven, der fastsætter supplerende nationale bestemmelser om behandling af per-
sonoplysninger, foreslås det bl.a., at persondataloven ophæves, jf. forslagets § 46,
stk. 2.
Efter den 25. maj 2018 vil en operatør af en væsentlig tjeneste dermed skulle efter-
leve reglerne i databeskyttelsesforordningen, suppleret af forslag til databeskyttel-
sesloven samt relevante særregler, der regulerer området for behandling af person-
oplysninger.
Folketingets Sundheds- og Ældreudvalg
Holbergsgade 6
DK-1057 København K
T +45 7226 9000
F +45 7226 9001
M sum@sum.dk
W sum.dk
Dato: 03-04-2018
Enhed: SUNDOK
Sagsbeh.: DEPMAHA
Sagsnr.: 1706260
Dok. nr.: 572553
Forsvarsudvalget 2017-18
L 139 Bilag 7
Offentligt
Side 2
Det fremgår af databeskyttelsesforordningens præambel nr. 1, at beskyttelse af fysi-
ske personer i forbindelse med behandling af personoplysninger er en grundlæg-
gende rettighed, og at det i artikel 8, stk. 1, i Den Europæiske Unions charter om
grundlæggende rettigheder (herefter chartret) og i artikel 16, stk. 1, i traktaten om
Den Europæiske Unions funktionsmåde (TEUF) fastsættes, at enhver har ret til be-
skyttelse af personoplysninger, der vedrører den pågældende.
For så vidt angår Center for Cybersikkerhed, vil centeret skulle varetage funktionen
som CSIRT og nationalt centralt kontaktpunkt. Heri ligger bl.a., at Center for Cybersik-
kerhed – parallelt med Sundhedsdatastyrelsen – vil skulle modtage underretninger
fra operatører af væsentlige tjenester i tilfælde af en hændelse, der har væsentlige
konsekvenser for kontinuiteten af de væsentlige tjenester, som de leverer.
Sundheds- og Ældreministeriet har bedt om bidrag fra Forsvarsministeriet med hen-
blik på at belyse forholdet mellem Center for Cybersikkerhed og databeskyttelsesdi-
rektivet m.v. Forsvarsministeriet oplyser følgende:
”Det følger af artikel , stk. , i NIS-direktivet (Europa-Parlamentets og Rådets direktiv
(EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikker-
hedsniveau for net- og informationssystemer i hele Unionen), at behandlingen af per-
sonoplysninger efter direktivet udføres i overensstemmelse med databeskyttelsesdi-
rektivet (Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om
beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og
om fri udveksling af sådanne oplysninger).
Databeskyttelsesdirektivet gælder bl.a. ikke for sådan behandling af personoplysnin-
ger, der vedrører statens sikkerhed, jf. direktivets artikel 3, stk. 2. På den baggrund
gælder den danske persondatalov – der implementerer databeskyttelsesdirektivet i
dansk ret – heller ikke for behandlinger af personoplysninger, der udføres for Forsva-
rets Efterretningstjeneste, herunder Center for Cybersikkerhed.
En række af de centrale bestemmelser i persondataloven er imidlertid indarbejdet i
lov nr. 713 af 25. juni 2014 om Center for Cybersikkerhed, der regulerer centerets
virksomhed. Endvidere fører Tilsynet med Efterretningstjenesterne, som er et uaf-
hængigt kontrolorgan, tilsyn med Center for Cybersikkerheds behandling af person-
oplysninger. Tilsynet kan hos Center for Cybersikkerhed kræve enhver oplysning og
alt materiale, der er af betydning for tilsynets virksomhed. Man kan som borger klage
til tilsynet, hvis man mener, at centeret ulovligt behandler personoplysninger om en.
Tilsynet afgiver endvidere hvert år en redegørelse til forsvarsministeren om tilsynets
virksomhed i forhold til Center for Cybersikkerhed, og redegørelsen offentliggøres.
Denne retstilsta d videreføres so udga gspu kt, år EU’s data eskyttelsesdirektiv
fra 25. maj 2018 erstattes af den nye databeskyttelsesforordning (Europa-Parlamen-
tets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske
personer i forbindelse med behandling af personoplysninger og om fri udveksling af
sådanne oplysninger og om ophævelse af direktiv 95/46/EF) samt den foreslåede
danske databeskyttelseslov (L 68 fremsat for Folketinget den 25. oktober 2017).
Det bemærkes dog, at der med lovforslag nr. L 155, der konsekvensændrer lov om
Center for Cybersikkerhed som følge af den nye regulering på databeskyttelsesområ-
det, er lagt op til, at forsvarsministeren får hjemmel til helt eller delvist at sætte data-
Side 3
beskyttelsesforordningen og databeskyttelsesloven i kraft for dele af Center for Cy-
bersikkerheds virksomhed, herunder centerets virksomhed i medfør af NIS-direktivet.
Dette lovforslag blev fremsat den 28. februar 2018 og er fortsat under behandling i
Folketi get.”
Jeg kan henholde mig til Forsvarsministeriets bidrag.
Med venlig hilsen
Ellen Trane Nørby / Maja Holm Andreasen


ERHVERVSMINISTEREN
6. april 2018
ERHVERVSMINISTERIET
Slotsholmsgade 10-12
1216 København K
Tlf. 33 92 33 50
Fax. 33 12 37 78
CVR-nr. 10092485
EAN nr. 5798000026001
em@em.dk
www.em.dk
Folketingets Erhvervs-, Vækst- og Eksportudvalg
Besvarelse af spørgsmål 4 ad L 144 stillet af udvalget den 19. marts
2018 efter ønske fra Pelle Dragsted (EL).
Spørgsmål:
På hvilke områder har det betydning for virksomheder, at Center for Cy-
bersikkerhed placeres under Forsvarets Efterretningstjeneste fremfor, at
centret etableres som en civil myndighed?
Svar:
Da Center for Cybersikkerhed hører under Forsvarsministeriet har jeg
forelagt spørgsmålet for dem. Forsvarsministeriet har oplyst at:
”Center for Cybersikkerhed og den øvrige del af Forsvarets Efterretnings-
tjeneste (FE) er – selvom de udgør én myndighed – ved lov tillagt forskel-
lige opgaver og virkemidler. Center for Cybersikkerhed er særskilt regu-
leret i lov nr. 713 af 25. juni 2014 om Center for Cybersikkerhed, hvor
der i bemærkningerne til loven er forudsat en vis organisatorisk adskillel-
se mellem centeret og den efterretningsmæssige del af FE.
Center for Cybersikkerhed er national it-sikkerhedsmyndighed og har
bl.a. til opgave at bidrage til et højt sikkerhedsniveau i den informations-
og kommunikationsteknologiske infrastruktur (ikt-infrastruktur), som
samfundsvigtige funktioner er afhængige af. Center for Cybersikkerhed
står for en forebyggende, national rådgivnings- og oplysningsvirksomhed
om cybersikkerhed i forhold til både den offentlige og den private sektor
samt en målrettet indsats i forhold til håndtering af konkrete hændelser.
Det er endvidere centralt for Center for Cybersikkerheds virke, at centeret
har en udadvendt profil, og at centerets virksomhed skal være præget af
åbenhed, vejledning og information.
De fleste alvorlige cyberangreb kommer fra udlandet, og FE har som
udenrigsefterretningstjeneste en særlig fortrolig viden om avancerede
cyberangreb, og hvem der står bag. Den viden har Center for Cybersik-
kerhed adgang til som en del af FE, og den udgør fundamentet i det ekstra
lag af beskyttelse mod avancerede cyberangreb, som Center for Cyber-
sikkerhed kan bibringe Danmark. Den viden ville Center for Cybersik-
Forsvarsudvalget 2017-18
L 139 Bilag 7
Offentligt
2/2
kerhed ikke kunne opnå ved en placering uden for FE, og dermed ville
muligheden for at beskytte Danmark – og herunder danske virksomheder
– mod cyberangreb blive ringere. Endvidere sikrer placeringen ved FE, at
Danmarks meget specialiserede, men knappe ressourcer på it-
sikkerhedsområdet samles ét sted, og hermed undgås det at opbygge pa-
rallelle kapaciteter.
En eventuel placering af Center for Cybersikkerhed uden for FE ville be-
tyde, at der ikke som i dag ville kunne drages nytte af de højt specialise-
rede kompetencer, som FE har på cyberområdet, ligesom der heller ikke
ville kunne opnås de samme synergieffekter, da FE fortsat ville skulle
have sin egen betydelige kapacitet til at beskytte Forsvarsministeriets om-
råde mod cybertrusler.
Endelig skal det bemærkes, at der med Aftale på forsvarsområdet 2018-
2023 er opnået bred politisk enighed om en markant styrkelse af Dan-
marks cyberforsvar. De konkrete initiativer i forsvarsforliget vil først og
fremmest styrke Center for Cybersikkerheds forebyggende indsats gen-
nem styrket rådgivning og vejledning med særligt fokus på samfundsvig-
tige sektorer, herunder i forhold til myndigheder og virksomheder. Samti-
dig styrkes indsatsen i forhold til detektion og håndtering af konkrete
hændelser samt genoprettelse af sikkerhed efter konkrete angreb inden for
samfundsvigtige sektorer i både offentligt og privat regi.
Der henvises i øvrigt til den samtidige besvarelse af spørgsmål nr. 1 ved-
rørende L 144.”
Med venlig hilsen
Brian Mikkelsen


ERHVERVSMINISTEREN
6. april 2018
ERHVERVSMINISTERIET
Slotsholmsgade 10-12
1216 København K
Tlf. 33 92 33 50
Fax. 33 12 37 78
CVR-nr. 10092485
EAN nr. 5798000026001
em@em.dk
www.em.dk
Folketingets Erhvervs-, Vækst- og Eksportudvalg
Besvarelse af spørgsmål 1 ad L 144 stillet af udvalget den 19. marts
2018 efter ønske fra Pelle Dragsted (EL).
Spørgsmål:
Hvilke forskelle gør sig gældende i forhold til regler om databeskyttelse,
politisk kontrol, tilsyn, åbenhed og udveksling af oplysninger m.v., at
Center for Cybersikkerhed placeres under Forsvarets Efterretningstjeneste
i forhold til, hvis centret blev etableret som en civil myndighed?
Svar:
Da Center for Cybersikkerhed hører under Forsvarsministeriet har jeg
forelagt spørgsmålet for dem. Forsvarsministeriet har oplyst at:
”1. Center for Cybersikkerhed er en del af Forsvarets Efterretningstjene-
ste (FE), som er en styrelse under Forsvarsministeriet. Forsvarsministeren
varetager på regeringens vegne den overordnede kontrol med FE. Folke-
tingets Udvalg vedrørende Efterretningstjenesterne (Kontroludvalget)
fører derudover parlamentarisk kontrol med FE, ligesom FE er underlagt
bevillingsmæssig kontrol, som Rigsrevisionen står for.
Center for Cybersikkerhed og den øvrige del af FE er – selvom de udgør
én myndighed – ved lov tillagt forskellige opgaver og virkemidler. Center
for Cybersikkerhed er særskilt reguleret i lov nr. 713 af 25. juni 2014 om
Center for Cybersikkerhed, hvor der i bemærkningerne er forudsat en vis
organisatorisk adskillelse mellem centeret og den efterretningsmæssige
del af FE. Det er også forudsat, at centeret har en åben og udadvendt pro-
fil, og at centerets virksomhed skal være præget af åbenhed, vejledning og
information.
2. Det følger af § 8 i lov om Center for Cybersikkerhed, at Center for Cy-
bersikkerheds virksomhed er undtaget fra offentlighedsloven (bortset fra
lovens § 13 om notatpligt) og forvaltningslovens kapitel 4-6.
Det fremgår dog af bemærkningerne til forslaget til lov om Center for
Cybersikkerhed (L 192, fremsat 2. maj 2014), at Center for Cybersikker-
hed forudsættes i videst muligt omfang at efterleve principperne i offent-
lighedsloven og forvaltningslovens kapitel 4-6. Det forudsættes således,
Forsvarsudvalget 2017-18
L 139 Bilag 7
Offentligt
2/3
at centeret – uanset at dets virksomhed er undtaget fra forvaltningslovens
bestemmelser på området – i alle afgørelsessager konkret vurderer, om
det er muligt at anvende forvaltningslovens principper om partens aktind-
sigt, partshøring og begrundelse m.v. Tilsvarende forudsættes det, at an-
modninger om aktindsigt i videst muligt omfang behandles efter princip-
perne i offentlighedsloven.
Det bemærkes i den forbindelse, at Center for Cybersikkerheds afgørelser
i konkrete sager, f.eks. aktindsigtssager, kan påklages til Forsvarsministe-
riet.
3. Center for Cybersikkerheds virksomhed, herunder centerets kommende
funktioner efter NIS-direktivet, er endvidere undtaget fra persondatalo-
ven. Denne retstilstand ventes videreført, når persondataloven med virk-
ning fra 25. maj 2018 erstattes af databeskyttelsesforordningen (Europa-
Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om
beskyttelse af fysiske personer i forbindelse med behandling af personop-
lysninger og om fri udveksling af sådanne oplysninger og om ophævelse
af direktiv 95/46/EF) og den foreslåede databeskyttelseslov (L 68, fremsat
for Folketinget den 25. oktober 2017).
Størstedelen af de centrale principper i persondataloven gælder dog for
centeret, jf. kapitel 6 i lov om Center for Cybersikkerhed. Det følger såle-
des bl.a. af loven, at centeret kun må indsamle personoplysninger til ud-
trykkeligt angivne og saglige formål, og at senere behandling ikke må
være uforenelig med disse formål. Endvidere må centeret ikke behandle
flere personoplysninger, end hvad der kræves til opfyldelse af formålet
med indsamlingen. Der stilles desuden krav om hjemmel til enhver be-
handling af personoplysninger, ligesom der som udgangspunkt ikke må
behandles personoplysninger om racemæssig eller etnisk baggrund, poli-
tisk, religiøs eller filosofisk overbevisning og fagforeningsmæssige til-
hørsforhold samt personoplysninger om helbredsmæssige og seksuelle
forhold. Centeret skal derudover sikre, at der ikke behandles urigtige eller
vildledende personoplysninger. Endelig må centeret ikke opbevare ind-
samlede personoplysninger på en måde, der giver mulighed for at identi-
ficere den pågældende person i et længere tidsrum end nødvendigt, og
centeret skal træffe passende sikkerhedsforanstaltninger ved behandlingen
af personoplysninger.
Visse centrale krav efter persondataloven gælder dog ikke for Center for
Cybersikkerhed. Centeret er således undtaget fra kravet om oplysnings-
pligt overfor den registrerede samt kravet om den registreredes indsigts-
og indsigelsesret. Det kan i den forbindelse nævnes, at forløberen til Cen-
ter for Cybersikkerhed, GovCERT under Ministeriet for Videnskab, Tek-
nologi og Udvikling, heller ikke var omfattet af retten til at gøre indsigel-
se, jf. § 5, stk. 1, i lov nr. 596 af 14. juni 2011 om behandling af person-
3/3
oplysninger ved driften af den statslige varslingstjeneste for internettrus-
ler m.v. Det fremgår endvidere af de almindelige bemærkninger til denne
lov (L 197, fremsat 27. april 2011), at de personoplysninger, som Gov-
CERT behandlede i forbindelse med sit virke, var undtaget fra indsigtsret-
ten efter undtagelsesbestemmelsen i persondatalovens § 32, stk. 2.
4. Endvidere er det Tilsynet med Efterretningstjenesterne – og ikke Data-
tilsynet – der fører tilsyn med Center for Cybersikkerheds behandling af
personoplysninger.
Tilsynet med Efterretningstjenesterne er et uafhængigt kontrolorgan, der
efter klage eller af egen drift påser, at Center for Cybersikkerhed overhol-
der reglerne vedrørende behandling af personoplysninger. Tilsynet kan
hos Center for Cybersikkerhed kræve enhver oplysning og alt materiale,
der er af betydning for tilsynets virksomhed. Man kan som borger klage
til tilsynet, hvis man mener, at centeret ulovligt behandler personoplys-
ninger om en. Tilsynet afgiver endvidere hvert år en redegørelse til for-
svarsministeren om tilsynets virksomhed i forhold til Center for Cyber-
sikkerhed, og redegørelsen offentliggøres.
5. Herudover følger det af § 8, stk. 2, i lov om Center for Cybersikkerhed,
at forsvarsministeren kan bestemme, at kapitel 8-10 i persondataloven,
kapitel 4-6 i forvaltningsloven samt offentlighedsloven helt eller delvist
skal finde anvendelse for Center for Cybersikkerheds virksomhed som
bl.a. myndighed for informationssikkerhed og beredskab på teleområdet.
Der har indtil videre ikke vist sig behov for at anvende denne bemyndi-
gelse, idet der behandles ganske få personoplysninger i forbindelse med
centerets virksomhed på teleområdet.
Med lovforslag L 155 om ændring af lov om Center for Cybersikkerhed,
der er fremsat for Folketinget den 28. februar 2018, foreslås det bl.a., at
den nævnte bemyndigelse tilpasses til den kommende regulering på data-
beskyttelsesområdet og NIS-området, således at forsvarsministeren vil
kunne bestemme, at databeskyttelsesforordningen og den foreslåede data-
beskyttelseslov også helt eller delvist skal finde anvendelse for de myn-
dighedsopgaver, som Center for Cybersikkerhed tillægges som led i im-
plementeringen af NIS-direktivet.”
Med venlig hilsen
Brian Mikkelsen