Betænkning afgivet 24/4-18

Betænkning afgivet af Erhvervs-, Vækst- og Eksportudvalget den 24. april 2018
Betænkning
over
Forslag til lov om net- og informationssikkerhed for domænenavnssystemer og
visse digitale tjenester
[af erhvervsministeren (Brian Mikkelsen)]
1. Udvalgsarbejdet
Lovforslaget blev fremsat den 7. februar 2018 og var til
1. behandling den 1. marts 2018. Lovforslaget blev efter 1.
behandling henvist til behandling i Erhvervs-, Vækst- og
Eksportudvalget.
Møder
Udvalget har behandlet lovforslaget i 2 møder.
Sammenhæng med andre lovforslag
Lovforslaget skal ses i sammenhæng med L 155, Forslag
til lov om ændring af lov om Center for Cybersikkerhed, og
L 139, Forslag til lov om sikkerhed i net- og informationssy-
stemer for operatører af væsentlige internetudvekslings-
punkter m.v., som er behandlet i Forsvarsudvalget, L 135,
Forslag til lov om sikkerhed i net- og informationssystemer i
transportsektoren, som er behandlet i Transport-, Bygnings-
og Boligudvalget, og L 143, Forslag til lov om krav til sik-
kerhed for net- og informationssystemer inden for sundheds-
sektoren, som er behandlet i Sundheds- og Ældreudvalget.
Høring
Et udkast til lovforslaget har inden fremsættelsen været
sendt i høring, og erhvervsministeren sendte den 1. novem-
ber 2017 dette udkast til udvalget, jf. ERU alm. del – bilag
32. Den 7. februar 2018 sendte erhvervsministeren de ind-
komne høringssvar og et notat herom til udvalget.
Teknisk gennemgang
Udvalget fik den 14. marts 2018 en teknisk gennemgang
af Center for Cybersikkerheds rolle i implementeringen af
NIS-direktivet ved forsvarministeren og embedsmænd.
Spørgsmål
Udvalget har stillet 10 spørgsmål til erhvervsministeren
til skriftlig besvarelse, som denne har besvaret.
1 af udvalgets spørgsmål til erhvervsministeren og den-
nes svar herpå er optrykt som bilag 2 til betænkningen.
2. Indstillinger og politiske bemærkninger
Et flertal i udvalget (S, DF, V, LA, RV og KF) indstiller
lovforslaget til vedtagelse uændret.
Radikale Venstres medlem af udvalget udtaler, at Radi-
kale Venstre havde ønsket, at Center for Cybersikkerhed var
blevet placeret som en civil myndighed under Forsvarets Ef-
terretningstjeneste, hvorved der bl.a. havde været en bedre
mulighed for aktindsigt, men desuagtet stemmer for lovfor-
slaget, der har til formål at implementere et vigtigt direktiv
fra EU til sikring af oplysninger også på erhvervsområdet.
Et mindretal i udvalget (EL, SF og ALT) vil stemme
hverken for eller imod lovforslaget ved 3. behandling.
Mindretallet bemærker, at det er vigtigt, at vi styrker be-
skyttelsen af vores vitale infrastruktur mod cyberangreb, og
etablering af nationale kontaktpunkter er derfor et fornuftig
tiltag. Imidlertid er mindretallet bekymret over, at CSIRT’en
og det nationale kontaktpunkt, som skal oprettes i medfør af
NIS-direktivet, placeres under Center for Cybersikkerhed
under Forsvarets Efterretningstjeneste og dermed ikke om-
fattes af relevante love for bl.a. persondatabeskyttelse.
Mindretallet mener, at Center for Cybersikkerheds aktivi-
teter i medfør af NIS-direktivet bør omfattes af databeskyt-
telsesloven og databeskyttelsesforordningen. Det fremgår
også tydeligt af NIS direktivet, at det er hensigten. Og derfor
har mindretallet stillet et ændringsforslag til L155, der skal
sikre dette.
Inuit Ataqatigiit, Tjóðveldi og Javnaðarflokkurin var på
tidspunktet for betænkningens afgivelse ikke repræsenteret
med medlemmer i udvalget og havde dermed ikke adgang til
at komme med indstillinger eller politiske udtalelser i be-
tænkningen.
En oversigt over Folketingets sammensætning er optrykt
i betænkningen.
Til lovforslag nr. L 144 Folketinget 2017-18
AX021384
Erhvervs-, Vækst- og Eksportudvalget 2017-18
L 144 Bilag 13
Offentligt
Hans Kristian Skibby (DF) Mette Hjermind Dencker (DF) Jan Rytkjær Callesen (DF) Per Nørhave (DF) Tilde Bork (DF)
Dorthe Ullemose (DF) Torsten Schack Pedersen (V) Preben Bang Henriksen (V) Eva Kjer Hansen (V)
Hans Christian Schmidt (V) Erling Bonnesen (V) Jane Heitmann (V) Villum Christensen (LA) Joachim B. Olsen (LA) nfmd.
Anders Johansson (KF) Erik Christensen (S) Karin Gaardsted (S) Peter Hummelgaard Thomsen (S) Kaare Dybvad (S)
Morten Bødskov (S) fmd. Kasper Roug (S) Thomas Jensen (S) Henrik Sass Larsen (S) Pelle Dragsted (EL)
Henning Hyllested (EL) René Gade (ALT) Ida Auken (RV) Lisbeth Bech Poulsen (SF) Karsten Hønge (SF)
Inuit Ataqatigiit, Tjóðveldi og Javnaðarflokkurin havde ikke medlemmer i udvalget.
Socialdemokratiet (S) 46
Dansk Folkeparti (DF) 37
Venstre, Danmarks Liberale Parti (V) 34
Enhedslisten (EL) 14
Liberal Alliance (LA) 13
Alternativet (ALT) 10
Radikale Venstre (RV) 8
Socialistisk Folkeparti (SF) 7
Det Konservative Folkeparti (KF) 6
Inuit Ataqatigiit (IA) 1
Tjóðveldi (T) 1
Javnaðarflokkurin (JF) 1
Uden for folketingsgrupperne (UFG) 1
2
Bilag 1
Oversigt over bilag vedrørende L 144
Bilagsnr. Titel
1 Høringssvar og høringsnotat, fra erhvervsministeren
2 Bilag tilbagetaget
3 Fastsat tidsplan for udvalgets behandling af lovforslaget
4 Notat i forlængelse af den tekniske gennemgang af Center for Cyber-
sikkerheds rolle i forbindelse med implementering af NIS-direktivet,
fra forsvarsministeren
5 Kopi af L 135 – svar på spm. 8 om, hvilke konkrete oplysninger det
forventes at ministeren og Center for Cybersikkerhed vil kunne eller
skulle udveksle med andre myndigheder både nationalt og i EU, fra
transport-, bygnings- og boligministeren og forsvarsministeren
6 Kopi af L 135 – svar på spm. 9 om, hvordan de andre EU-lande har
valgt at organisere gennemførelsen af NIS-direktivet, fra forsvarsmini-
steren, kopi til transport-, bygnings- og boligministeren
7 Præsentation fra den tekniske gennemgang om Center for Cybersik-
kerheds rolle i forbindelse med implementering af NIS-direktivet den
18/4-18, fra forsvarsministeren
8 Udkast til betænkning
9 Kopi af L 139 – svar på spm. 2 om, hvilke overvejelser regeringen har
gjort sig, med hensyn til hvem der skal have det overordnede myndig-
hedsansvar for cybersikkerhed i Danmark, fra forsvarsministeren
10 Kop af L 139 – svar på spørgsmål 3, om ministeren har overvejet at
udskille Center for Cybersikkerhed fra Forsvarets Efterretningstjene-
ste, således at centeret blev en selvstændig civil myndighed med an-
svar for den nationale it-sikkerhed, og underlagt offentlighedsloven,
persondataloven og forvaltningsloven, fra forsvarsministeren
11 Meddelelse om udskydelse af betænkningsafgivelse
12 2. udkast til betænkning
Oversigt over spørgsmål og svar vedrørende L 144
Spm.nr. Titel
1 Spm. om, hvilke forskelle der gør sig gældende i forhold til regler om
databeskyttelse, politisk kontrol, tilsyn, åbenhed og udveksling af op-
lysninger m.v., at Center for Cybersikkerhed placeres under Forsva-
rets Efterretningstjeneste, i forhold til hvis centret blev etableret som
en civil myndighed, til erhvervsministeren, og ministerens svar herpå
2 Spm. om, hvordan implementeringen af NIS-direktivet harmonerer
med databeskyttelsesdirektivet, til erhvervsministeren, og ministerens
svar herpå
3 Spm. om, på hvilke områder det har betydning for borgerne, at Center
for Cybersikkerhed placeres under Forsvarets Efterretningstjeneste,
3
fremfor at centret etableres som en civil myndighed, til erhvervsmini-
steren, og ministerens svar herpå
4 Spm. om, på hvilke områder det har betydning for virksomheder, at
Center for Cybersikkerhed placeres under Forsvarets Efterretningstje-
neste, fremfor at centret etableres som en civil myndighed, til er-
hvervsministeren, og ministerens svar herpå
5 Spm., om ministeren vil tilsende udvalget en skematisk oversigt over
samtlige bemyndigelsesbestemmelser i lovforslaget med oplysninger
om, hvordan og med hvilket indhold de enkelte bemyndigelser vil bli-
ve udmøntet, til erhvervsministeren, og ministerens svar herpå
6 Spm., om ministeren vil oplyse, hvilke operatører der i henhold til lov-
forslaget anses for at være »operatører af væsentlige tjenester«, til er-
hvervsministeren, og ministerens svar herpå
7 Spm., om ministeren vil oplyse, hvilke udbydere der i henhold til lov-
forslaget anses for at være »større udbydere af digitale tjenester«, til
erhvervsministeren, og ministerens svar herpå
8 Spm., om ministeren vil uddybe, hvilke typer hændelser operatører og
udbydere skal indberette, herunder angive en række eksempler, til er-
hvervsministeren, og ministerens svar herpå
9 Spm. om, hvilke data operatører henholdsvis udbydere skal indberette
i tilfælde af en såkaldt hændelse, til erhvervsministeren, og ministe-
rens svar herpå
10 Spm., om ministeren vil uddybe, hvad der forstås ved »passende sik-
kerhedsforanstaltninger«, jf. at operatører og udbydere skal træffe
»passende sikkerhedsforanstaltninger« på baggrund af en vurdering af
de konkrete risici, til erhvervsministeren, og ministerens svar herpå
4
Bilag 2
Et af udvalgets spørgsmål til erhvervsministeren og dennes svar herpå
Spørgsmål og svar er optrykt efter ønske fra udvalget.
Spørgsmål:
Ministeren bedes tilsende udvalget en skematisk oversigt over samtlige bemyndigelsesbestemmelser i
lovforslaget med oplysninger om, hvordan og med hvilket indhold de enkelte bemyndigelser vil blive ud-
møntet.
Svar:
Nedenstående skema indeholder en oversigt over bemyndigelsesbestemmelser i lovforslaget.
Bestemmelse Myndighed Indhold
§ 3, stk. 2 Erhvervsmini-
steren
Erhvervsministeren udarbejder og opdaterer
en liste over væsentlige tjenester. Denne liste
er vedlagt udkast til bekendtgørelse om sik-
kerhed i net- og informationssystemer for
operatører af væsentlige tjenester på domæ-
nenavnsområdet som bilag 1. Udkastet til
bekendtgørelsen er sendt i offentlig høring.
Listen over væsentlige tjenester på topdo-
mænenavnsområdet består af domænenavne-
servertjenesten. På DNS-området er den væ-
sentlige tjeneste DNS-tjenesten.
§ 3, stk. 3 Erhvervsmini-
steren
Erhvervsministeren kan fastsætte nærmere
regler for afgrænsningen af kriterierne for,
hvem der betragtes som operatør af en væ-
sentlig tjeneste.
Afgrænsningen af disse kriterier fremgår af
§ 1 i udkast til bekendtgørelse om sikkerhed
i net- og informationssystemer for operatører
af væsentlige tjenester på domænenavnsom-
rådet, som er sendt i offentlig høring. Det
fremgår heraf, at:
a) En topdomænenavnsadministrator anses
for at være en operatør af væsentlige tjene-
ster, hvis administratoren og dennes koncer-
nforbundne selskaber har mere end 500.000
andenordens internetdomænenavne registre-
ret under topdomænenavnet.
5
b) En DNS-tjenesteudbyder anses for at væ-
re en operatør af væsentlige tjenester, hvis
udbyderen og dennes koncernforbundne sel-
skaber har
1) rekursive navneservere som mere end
100.000 brugere anvender, eller
2) autoritative navneservere, som har mere
end 100.000 andenordens internetdomæne-
navne tilsluttet.
§ 4, stk. 3 Erhvervsmini-
steren
Erhvervsministeren kan fastsætte nærmere
regler om tekniske og organisatoriske foran-
staltninger for at styre risiciene for sikkerhe-
den i net- og informationssystemer, samt for-
anstaltninger for at forebygge og minimere
konsekvensen af hændelser.
Disse regler er udmøntet i udkast til bekendt-
gørelse om sikkerhed i net- og informations-
systemer for operatører af væsentlige tjene-
ster på domænenavnsområdet, som er sendt i
offentlig høring.
Af udkastet fremgår bl.a., at operatørerne
skal gennemføre en risikovurdering og på
den baggrund træffe passende foranstaltnin-
ger for tab af tilgængelighed, autenticitet, in-
tegritet og fortrolighed. Endvidere at der skal
udarbejdes og gennemføres en ledelsesgod-
kendt net- og sikkerhedspolitik med ud-
gangspunkt i en anerkendt international stan-
dard. Sikkerhedspolitikken skal kommunike-
res til alle relevante medarbejdere, og sikker-
hedspolitikken skal løbende tilpasses, bl.a.
ved væsentlige ændringer af operatørens
virksomhed og i trusselsbilledet. Operatøren
skal etablere en sikkerhedsorganisation til
varetagelse af sikkerhedsopgaven, hvor rol-
ler og ansvar er fastlagt. Endelig skal opera-
tøren foretage risikostyring, fx med ud-
gangspunkt i en anerkendt international stan-
dard.
§ 5, stk. 4 Erhvervsmini-
steren
Erhvervsministeren fastsætter nærmere reg-
ler over for operatører af væsentlige tjenester
6
om underretning af hændelser og om kriteri-
erne for fastlæggelse af omfanget af en hæn-
delses konsekvenser.
I udkastet til bekendtgørelse om sikkerhed i
net- og informationssystemer for operatører
af væsentlige tjenester på domænenavnsom-
rådet er der fastsat bestemmelse om indbe-
retning af hændelser via virk.dk, ligesom
kriterier for, hvornår hændelser skal indbe-
rettes, fremgår. Disse kriterier er:
»1) at domænenavneservertjenesten har en
oppetid på mindre end 100 % eller
2) at en rekursiv server i DNS-tjenesten ikke
har været tilgængelig i over 6 timer eller i
over 2.000.000 brugertimer, idet udtrykket
»brugertime« henviser til antallet af berørte
brugere i en periode på 60 minutter eller
3) at en autoritativ navneserve i DNS-tjene-
sten ikke har været tilgængelig i over 6 timer
eller,
4) tab af integritet, autenticitet eller fortrolig-
hed i forbindelse med lagrede, overførte eller
behandlede data i forbindelse med domæne-
navneservertjenesten eller DNS-tjenesten,
som berører mere end 10.000 brugere.«
§ 8, stk. 3 Erhvervssty-
relsen
Erhvervsstyrelsen kan fastsætte nærmere
regler over for udbydere af digitale tjenester
om tekniske og organisatoriske foranstalt-
ninger for at styre risiciene for sikkerheden i
net- og informationssystemer, samt foran-
staltninger for at forebygge og minimere
konsekvensen af hændelser. Der vil her ale-
ne ske en henvisning til de regler, som er
fastlagt i Kommissionens gennemførelses-
forordning 2018/151/EU af 30. januar 2018
over for udbydere af digitale tjenester.
§ 9, stk. 4 Erhvervssty-
relsen
Erhvervsstyrelsen kan fastsætte nærmere
regler over for udbydere af digitale tjenester
om underretning og om kriterierne for fast-
7
læggelse af omfanget af en hændelses konse-
kvenser.
I udkastet til bekendtgørelse om net- og in-
formationssikkerhed for visse digitale tjene-
ster, som er sendt i offentlig høring, er der
fastsat bestemmelse om indberetning af hæn-
delser via virk.dk. Med hensyn til kriterier
for, hvornår hændelser skal indberettes, hen-
viser der i bekendtgørelsen til Kommissio-
nens gennemførelsesforordning
2018/151/EU af 30. januar 2018, hvor krite-
rierne er fastlagt.
§ 19, nr. 2 Finanstilsynet I medfør af § 19, nr. 2, i lovforslaget foreslås
det at indsætte et nyt 2. pkt. i § 71, stk. 2, i
lov om finansiel virksomhed. Med bestem-
melsen bemyndiges Finanstilsynet til at fast-
sætte nærmere regler om hændelsesrapporte-
ring for de finansielle virksomheder, der ud-
peges som operatører af væsentlige tjenester,
herunder kan Finanstilsynet fastsætte nær-
mere regler om, at Finanstilsynet og Center
for Cybersikkerhed underrettes ved en hæn-
delse, der har en negativ indvirkning på sik-
kerheden i virksomhedens net- og informati-
onssystemer.
Bemyndigelsen til at fastsætte nærmere reg-
ler om hændelsesrapportering, vil blive ud-
møntet ved udkast til bekendtgørelse om æn-
dring af bekendtgørelse om ledelse og sty-
ring af pengeinstitutter m. fl., som blev sendt
i offentlig høring den 28. februar 2018 med
høringsfrist den 28. marts 2018.
§ 19, nr. 3 Finanstilsynet I medfør af § 19, nr. 3, i lovforslaget foreslås
det at indsætte en ny § 307 a, i lov om finan-
siel virksomhed, hvoraf det følger, at Finans-
tilsynet udpeger de finansielle virksomheder,
som er operatører af væsentlige tjenester
mindst hvert andet år.
Det følger endvidere af bestemmelsen, at Fi-
nanstilsynet i den forbindelse skal lægge
vægt på, at:
8
de tjenester, der leveres, er væsentlige for
opretholdelsen af kritiske samfundsmæssige
eller økonomiske aktiviteter,
leveringen af tjenesten afhænger af net- og
informationssystemer, og
en hændelse vil få væsentlige forstyrrende
virkninger for leveringen af tjenesten.
Det følger endelig af forslaget til § 307 a,
stk. 3, at Finanstilsynet kan fastsætte nærme-
re regler om udpegning af operatører af væ-
sentlige tjenester og de kriterier Finanstilsy-
net kan lægge vægt på ved udpegningen.
Finanstilsynet vil dermed kunne fastsætte
nærmere regler for udpegningen efter stk. 1.
Finanstilsynet kan herunder nærmere fast-
sætte hvilke kriterier, der skal være opfyldt,
for at et penge- eller realkreditinstitut udpe-
ges som en operatør af væsentlige tjenester.
§ 20, nr. 2 Finanstilsynet I medfør af § 20, nr. 2, i lovforslaget foreslås
det at indsætte en ny § 58 a i lov om kapital-
markeder. I medfør af den foreslåede § 58 a,
stk. 3, bemyndiges Finanstilsynet til at fast-
sætte nærmere regler om udpegning af ope-
ratører af væsentlige tjenester og de kriterier,
som Finanstilsynet kan lægge vægt på i for-
bindelse med udpegningen.
Finanstilsynet bemyndiges endvidere til at
fastsætte nærmere regler om hændelsesrap-
portering for operatører af markedspladser
og centrale modparter (CCPere), der udpe-
ges som operatører af væsentlige tjenester,
herunder kan Finanstilsynet fastsætte nær-
mere regler om, at Finanstilsynet og Center
for Cybersikkerhed underrettes ved en hæn-
delse, der har en negativ indvirkning på sik-
kerheden i virksomhedens net- og informati-
onssystemer.
9
Bemyndigelsen til at fastsætte nærmere reg-
ler om hændelsesrapporteringen, vil blive
udmøntet ved udkast til bekendtgørelse om
hændelsesrapportering for operatører af væ-
sentlige tjenester, som blev sendt i offentlig
høring den 28. februar 2018 med høringsfrist
den 28. marts 2018.
10