Betænkning afgivet af Forsvarsudvalget den 24. april 2018

Betænkning afgivet af Forsvarsudvalget den 24. april 2018
Betænkning
over
Forslag til lov om ændring af lov om Center for Cybersikkerhed
(Konsekvensændringer som følge af databeskyttelsesforordningen og databeskyttelsesloven)
[af forsvarsministeren (Claus Hjort Frederiksen)]
1. Ændringsforslag
Enhedslistens, Alternativets, Radikale Venstres og Socia-
listisk Folkepartis medlemmer af udvalget har stillet 7 æn-
dringsforslag til lovforslaget.
2. Udvalgsarbejdet
Lovforslaget blev fremsat den 28. februar 2018 og var til
1. behandling den 15. marts 2018. Lovforslaget blev efter 1.
behandling henvist til behandling i Forsvarsudvalget.
Møder
Udvalget har behandlet lovforslaget i 2 møder.
Sammenhæng med andre lovforslag
Lovforslaget skal ses i sammenhæng med L 135 (Forslag
til lov om sikkerhed i net- og informationssystemer i trans-
portsektoren), som er behandlet i Transport-, Bygnings- og
Boligudvalget, L 139 (Forslag til lov om sikkerhed i net- og
informationssystemer for operatører af væsentlige internet-
udvekslingspunkter m.v.), som er behandlet i Forsvarsudval-
get, L 143 (Forslag til lov om krav til sikkerhed for net- og
informationssystemer inden for sundhedssektoren), som er
behandlet i Sundheds- og Ældreudvalget, og L 144 (Forslag
til lov om net- og informationssikkerhed for domænenavns-
systemer og visse digitale tjenester), som er behandlet i Er-
hvervs-, Vækst- og Eksportudvalget.
Høring
Et udkast til lovforslaget har inden fremsættelsen været
sendt i høring, og forsvarsministeren sendte den 13. decem-
ber 2017 dette udkast til udvalget, jf. FOU alm. del – bilag
49. Den 27. februar 2018 sendte forsvarsministeren de ind-
komne høringssvar og et notat herom til udvalget.
Spørgsmål
Udvalget har stillet 11 spørgsmål til forsvarsministeren til
skriftlig besvarelse, som denne har besvaret.
3. Indstillinger
Et flertal i udvalget (S, DF, V, LA og KF) indstiller lov-
forslaget til vedtagelse uændret.
Et mindretal i udvalget (EL og ALT) indstiller lovforsla-
get til vedtagelse med de stillede ændringsforslag. Hvis æn-
dringsforslagene bliver forkastet ved 2. behandling, vil min-
dretallet stemme imod lovforslaget ved 3. behandling.
Et andet mindretal i udvalget (RV) indstiller lovforslaget
til vedtagelse med de stillede ændringsforslag.
Et tredje mindretal i udvalget (SF) indstiller lovforslaget
til vedtagelse med de stillede ændringsforslag. Hvis æn-
dringsforslagene bliver forkastet ved 2. behandling, vil min-
dretallet stemme hverken for eller imod lovforslaget ved 3.
behandling.
Et fjerde mindretal i udvalget (IA) vil stemme hverken
for eller imod lovforslaget ved 3. behandling. Mindretallet
vil stemme hverken for eller imod de stillede ændringsfor-
slag.
4. Politiske bemærkninger
Enhedslistens, Alternativets og Socialistisk Folkepartis
medlemmer af udvalget finder, at beskyttelse af vores vitale
infrastruktur er et anliggende for hele samfundet, og derfor
ønsker vi Center for Cybersikkerhed placeret som en civil
myndighed. Når vi ser til vores nabolande, har mange andre
europæiske lande således også placeret lignende funktioner
som enheder under f.eks. deres justitsministerium eller in-
denrigsministerium eller i relation til de sektorer, der har
størst behov for beskyttelse.
Center for Cybersikkerhed skal naturligvis kunne samar-
bejde med efterretningstjenester om trusselsvurderinger,
konkrete angreb etc. Men det er både principielt og praktisk
Til lovforslag nr. L 155 Folketinget 2017-18
AX021389
problematisk at lægge hele centeret og al dets arbejde under
Forsvarets Efterretningstjeneste, fordi det skaber en uhen-
sigtsmæssig lukkethed og risiko for deling af oplysninger og
de almindelige regler for datasikkerhed bliver sat ud af kraft.
Det er vigtigt, at vi får en god struktur for det vigtige ar-
bejde med cybersikkerhed, og derfor foreslår vi således, at
centerets arbejde fortsætter, men får en anden placering.
Tjóðveldi og Javnaðarflokkurin var på tidspunktet for be-
tænkningens afgivelse ikke repræsenteret med medlemmer i
udvalget og havde dermed ikke adgang til at komme med
indstillinger eller politiske udtalelser i betænkningen.
En oversigt over Folketingets sammensætning er optrykt
i betænkningen.
5. Ændringsforslag med bemærkninger
Æ n d r i n g s f o r s l a g
Af et mindretal (EL, ALT, RV og SF):
Til titlen
1) Titlen affattes således:
»Forslag til lov om ændring af lov om Center for
Cybersikkerhed og lov om Forsvarets
Efterretningstjeneste (FE)
(Ændringer i forbindelse med databeskyttelsesforordningen
og databeskyttelsesloven samt ny placering af Center for
Cybersikkerhed)«.
[Konsekvens af ophævelse af bestemmelser vedrørende pla-
ceringen af Center for Cybersikkerhed]
Til § 1
2) Før nr. 1 indsættes som nyt nummer:
»01. § 1, stk. 2, ophæves.«
[Ophævelse af bestemmelse om Center for Cybersikkerheds
placering som en del af Forsvarets Efterretningstjeneste]
3) I det under nr. 1 foreslåede § 8, stk. 1, 2. pkt., indsættes
efter »jf. § 1, stk. 2, i lov om retshåndhævende myndighe-
ders behandling af personoplysninger«: », jf. dog stk. 2«.
[Henvisning til ny bestemmelse om, at Center for Cybersik-
kerheds aktiviteter i medfør af NIS-direktivet omfattes af
databeskyttelsesloven og databeskyttelsesforordningen]
4) Efter nr. 1 indsættes som nyt nummer:
»02. I § 8 indsættes efter stk. 1 som nyt stykke:
»Stk. 2. Databeskyttelsesloven og Europa-Parlamentets og
Rådets forordning nr. 2016/679 af 27. april 2016 om beskyt-
telse af fysiske personer i forbindelse med behandling af
personoplysninger og om fri udveksling af sådanne oplys-
ninger finder dog anvendelse på Center for Cybersikkerheds
virke som tilsynsmyndighed for internetudvekslingspunkter,
national it-beredskabsenhed (CSIRT) og nationalt centralt
kontaktpunkt i medfør af Europa-Parlamentets og Rådets di-
rektiv nr. 2016/1148 af 6. juni 2016 om foranstaltninger, der
skal sikre et højt fælles sikkerhedsniveau for net- og infor-
mationssystemer i hele Unionen.««
Stk. 2 og 3 bliver herefter stk. 3 og 4.
[Ny bestemmelse om, at Center for Cybersikkerheds aktivi-
teter i medfør af NIS-direktivet omfattes af databeskyttelses-
loven og databeskyttelsesforordningen]
5) I det under nr. 2 foreslåede § 8, stk. 2, ændres »§ 8, stk.
2« til: »§ 8, stk. 3«.
[Konsekvens af ændringsforslag nr. 4]
6) Efter nr. 2 indsættes som nyt nummer:
»03. I § 8, stk. 3, 1. pkt., der bliver stk. 4, 1. pkt., indsættes
efter »Center for Cybersikkerhed«: », der ikke er omfattet af
stk. 2,«.«
[Konsekvens af ændringsforslag nr. 4]
Ny paragraf
7) Efter § 1 indsættes som ny paragraf:
Ȥ 01
I lov om Forsvarets Efterretningstjeneste (FE), jf.
lovbekendtgørelse nr. 1287 af 28. november 2017, foretages
følgende ændringer:
1. § 1, stk. 3, ophæves.
Stk. 4 og 5 bliver herefter stk. 3 og 4.
2. I § 1, stk. 5, der bliver stk. 4, ændres »1-4« til: »1-3«.
3. I § 4, stk. 2, nr. 2, og § 5, stk. 2, nr. 2, ændres »§ 1, stk. 1
og 4« til: »§ 1, stk. 1 og 3«.«
[Ophævelse af bestemmelse om opgaver, som varetages af
Center for Cybersikkerhed, og konsekvensændringer som
følge heraf]
B e m æ r k n i n g e r
Til nr. 1
Titlen konsekvensændres.
Til nr. 2 og 7
Center for Cybersikkerhed er oprettet som en del af For-
svarets Efterretningstjeneste, hvilket fremgår af § 1, stk. 2, i
lov nr. 713 af 25. juni 2014 om Center for Cybersikkerhed.
Det fremgår desuden af § 1, stk. 3, i lov om Forsvarets Ef-
terretningstjeneste, jf. lovbekendtgørelse nr. 1287 af 28. no-
vember 2017, at Forsvarets Efterretningstjeneste er national
it-sikkerhedsmyndighed, militær varslingstjeneste for inter-
nettrusler m.v. (MILCERT) og statslig varslingstjeneste for
internettrusler (GovCERT). Disse opgaver varetages af Cen-
ter for Cybersikkerhed. Det foreslås, at bestemmelserne op-
hæves.
2
Til nr. 3 og 4
Med forslaget sættes databeskyttelsesloven og databe-
skyttelsesforordningen i kraft for Center for Cybersikker-
heds behandling af personoplysninger i forbindelse med de
opgaver, som Center for Cybersikkerhed bliver tillagt i for-
bindelse med implementeringen af Europa-Parlamentets og
Rådets direktiv 2016/1148 af 6. juni 2016 om foranstaltnin-
ger, der skal sikre et højt fælles sikkerhedsniveau for net- og
informationssystemer i hele Unionen (NIS-direktivet).
Til nr. 5 og 6
Konsekvensændringer som følge af forslaget om at ind-
sætte et nyt § 8, stk. 2, i lov om Center for Cybersikkerhed.
Marie Krarup (DF) Søren Espersen (DF) Jan Erik Messmann (DF) Jeppe Jakobsen (DF) Henrik Brodersen (DF)
Susanne Eilersen (DF) Peter Juel Jensen (V) Jakob Ellemann-Jensen (V) Marcus Knuth (V) Kristian Pihl Lorentzen (V)
Torsten Schack Pedersen (V) Michael Aastrup Jensen (V) Villum Christensen (LA) Carsten Bach (LA)
Rasmus Jarlov (KF) fmd. Annette Lind (S) Bjarne Laustsen (S) Henrik Dam Kristensen (S) Jan Johansen (S) nfmd.
Jesper Petersen (S) Simon Kollerup (S) Carsten Hansen (S) Nick Hækkerup (S) Eva Flyvholm (EL)
Søren Søndergaard (EL) Rasmus Nordqvist (ALT) Martin Lidegaard (RV) Lisbeth Bech Poulsen (SF)
Aaja Chemnitz Larsen (IA)
Tjóðveldi og Javnaðarflokkurin havde ikke medlemmer i udvalget.
Socialdemokratiet (S) 46
Dansk Folkeparti (DF) 37
Venstre, Danmarks Liberale Parti (V) 34
Enhedslisten (EL) 14
Liberal Alliance (LA) 13
Alternativet (ALT) 10
Radikale Venstre (RV) 8
Socialistisk Folkeparti (SF) 7
Det Konservative Folkeparti (KF) 6
Inuit Ataqatigiit (IA) 1
Tjóðveldi (T) 1
Javnaðarflokkurin (JF) 1
Uden for folketingsgrupperne (UFG) 1
3
Bilag 1
Oversigt over bilag vedrørende L 155
Bilagsnr. Titel
1 Høringssvar og høringsnotat fra forsvarsministeren
2 Tidsplan for udvalgets behandling af lovforslaget
3 Revideret tidsplan for udvalgets behandling af lovforslaget
4 Kopi til orientering af svar på Transport-, Bygnings- og Boligudval-
gets L 135 – spørgsmål 12, om regeringens holdning til ændringsfor-
slagene fra Enhedslisten, fra forsvarsministeren
5 Udkast til betænkning
Oversigt over spørgsmål og svar vedrørende L 155
Spm.nr. Titel
1 Spm. om, i hvilket omfang de hidtil gældende regler bliver videreført
1:1 i den nye lovgivning vedrørende Center for Cybersikkerhed, til
forsvarsministeren, og ministerens svar herpå
2 Spm. om, hvilken lovgivning og hvilke regler inden for persondata,
offentlighed og åbenhed der ikke kommer til at gælde for Center for
Cybersikkerhed, men som ville være gældende, hvis centeret ikke var
placeret i FE, men var sin egen civile myndighed under forsvaret, til
forsvarsministeren, og ministerens svar herpå
3 Spm., om ministeren vil indgå i en dialog om, hvilken myndighed i
Danmark der bør have det fremtidige ansvar for koordination og kom-
munikation med borgere, virksomheder og offentlige myndigheder om
det civile samfunds it-sikkerhed, til forsvarsministeren, og ministerens
svar herpå
4 Spm., om lovforslaget vil betyde ændringer i de hidtil gældende ret-
ningslinjer for Center for Cybersikkerheds håndtering af personoplys-
ninger, eller om retningslinjerne vil være uændrede, når nye databe-
skyttelsesregler træder i kraft, til forsvarsministeren, og ministerens
svar herpå
5 Spm. om oversendelse af en oversigt, der viser, hvor de øvrige EU-
lande har placeret deres centrale cybersikkerhedsmyndighed organisa-
torisk, til forsvarsministeren, og ministerens svar herpå
6 Spm., om det ville være muligt at udskille Center for Cybersikkerhed
fra Forsvarets Efterretningstjeneste og gøre centeret til en civil myn-
dighed, til forsvarsministeren, og ministerens svar herpå
7 Spm. om, hvorfor regeringen ikke ser det som en mulighed at gøre
Center for Cybersikkerhed til en civil myndighed, så der ikke skal
vedtages særregler for centerets datahåndtering, til forsvarsministeren,
og ministerens svar herpå
8 Spm. om, hvad det er for særlige forhold i Danmark, der – i modsæt-
ning til i andre europæiske lande – gør det nødvendigt, at den centrale
cybersikkerhedsmyndighed skal være en del af efterretningstjenesten
med deraf følgende undtagelse fra at skulle være underlagt vigtige
4
persondatabeskyttelsesregler, til forsvarsministeren, og ministerens
svar herpå
9 MFU spm. om, hvordan ministeren agter at udmønte sin bemyndigelse
til at kunne bestemme, at databeskyttelsesforordningen og den nye da-
tabeskyttelseslov helt eller delvis skal finde anvendelse, til forsvarsmi-
nisteren, og ministerens svar herpå
10 MFU spm. om, hvorfor de bestemmelser i loven, der er baseret på den
nuværende persondatalov, fortsat vil skulle fortolkes i overensstem-
melse med forarbejder til og praksis efter persondataloven, når denne
ophæves og ikke vil skulle fortolkes i lyset af reglerne i databeskyttel-
sesforordningen og den nye databeskyttelseslov, til forsvarsministe-
ren, og ministerens svar herpå
11 MFU spm., om ministeren vil yde teknisk bistand til formuleringen af
et ændringsforslag, til forsvarsministeren, og ministerens svar herpå
5