Fremsat den 27. marts 2019 af forsvarsministeren (Claus Hjort Frederiksen)

Fremsat den 27. marts 2019 af forsvarsministeren (Claus Hjort Frederiksen)
Forslag
til
Lov om ændring af lov om Center for Cybersikkerhed
(Initiativer til styrkelse af cybersikkerheden)
§ 1
I lov nr. 713 af 25. juni 2014 om Center for Cyber-
sikkerhed, som ændret ved lov nr. 443 af 8. maj 2018,
foretages følgende ændringer:
1. Kapitel 2 og 3 affattes således:
»Kapitel 2
Definitioner
§ 2. I denne lov forstås ved:
1) Sikkerhedshændelse: En hændelse, der negativt påvir-
ker eller vurderes at ville kunne påvirke tilgængelig-
hed, integritet eller fortrolighed af data, informations-
systemer, digitale netværk eller digitale tjenester.
2) Pakkedata: Indholdet af kommunikation, der transmit-
teres gennem digitale netværk eller tjenester.
3) Trafikdata: Data, som behandles med henblik på at
transmittere pakkedata.
4) Stationære data: Data, som opbevares på servere,
cloudtjenester, pc’ere, lagerenheder, netværksenheder,
mobile enheder og tilsvarende.
5) Malware: Trafikdata, pakkedata og stationære data,
hvor der er særligt bestyrket mistanke om, at data er
anvendt af en angrebsaktør med det formål at forårsage
et brud på informationssikkerheden.
6) Personoplysninger: Enhver form for information om en
identificeret eller identificerbar fysisk person.
7) Behandling: Enhver operation eller række af operatio-
ner med eller uden brug af elektronisk databehandling,
som oplysninger gøres til genstand for.
Kapitel 3
Center for Cybersikkerheds netsikkerhedstjeneste
§ 3. Center for Cybersikkerheds netsikkerhedstjeneste har
til opgave at opdage, analysere og bidrage til at imødegå
sikkerhedshændelser hos tilsluttede myndigheder og virk-
somheder, jf. stk. 2-4.
Stk. 2. De øverste statsorganer samt statslige myndigheder
kan efter anmodning blive tilsluttet netsikkerhedstjenesten.
Stk. 3. Regioner og kommuner samt virksomheder, der
har samfundsvigtig karakter, kan efter anmodning blive til-
sluttet netsikkerhedstjenesten, såfremt Center for Cybersik-
kerhed konkret vurderer, at tilslutningen vil kunne bidrage
til at understøtte et højt informationssikkerhedsniveau i sam-
fundet.
Stk. 4. Center for Cybersikkerhed kan i særlige tilfælde
påbyde virksomheder, der har særligt samfundsvigtig karak-
ter, samt regioner og kommuner at blive tilsluttet netsikker-
hedstjenesten med henblik på monitorering af netværkskom-
munikation. Påbuddet kan kun omfatte de dele af virksom-
heden, regionen eller kommunen, der har en væsentlig be-
tydning for Danmarks kritiske infrastruktur. Center for Cy-
bersikkerhed skal mindst hvert halve år vurdere, om et med-
delt påbud skal opretholdes.
Stk. 5. Forsvarsministeren kan fastsætte nærmere regler
om vilkårene for tilslutning efter stk. 2 og 3. Forsvarsmini-
steren kan desuden fastsætte nærmere regler om påbud efter
stk. 4, herunder om at myndigheder og virksomheder, der er
tilsluttet netsikkerhedstjenesten på baggrund af et påbud,
skal medvirke til netsikkerhedstjenestens opsætning og drift
af hardware og i den forbindelse skal stille de nødvendige
oplysninger om konfiguration og drift af deres digitale infra-
struktur til rådighed for netsikkerhedstjenesten.«
2. Kapitel 4 ophæves, og i stedet indsættes:
»Kapitel 4
Indgreb omfattet af grundlovens § 72
§ 4. Center for Cybersikkerheds netsikkerhedstjeneste kan
uden retskendelse behandle trafikdata, pakkedata og statio-
nære data hidrørende fra tilsluttede myndigheder og virk-
Lovforslag nr. L 215 Folketinget 2018-19
Forsvarsmin., j.nr. 2018/004202
AG000885
somheder, jf. § 3, stk. 2-4, med henblik på at understøtte et
højt informationssikkerhedsniveau i samfundet.
§ 5. Ved begrundet mistanke om en sikkerhedshændelse
kan Center for Cybersikkerheds netsikkerhedstjeneste uden
retskendelse behandle stationære data fra en myndighed el-
ler virksomhed, der ikke er tilsluttet netsikkerhedstjenesten,
når
1) myndigheden eller virksomheden har anmodet Center
for Cybersikkerhed om bistand, stillet de stationære da-
ta til rådighed for netsikkerhedstjenesten og givet
skriftligt samtykke til behandlingen, og
2) behandlingen vurderes at kunne bidrage til at under-
støtte et højt informationssikkerhedsniveau i samfun-
det.
§ 6. Efter aftale med en myndighed eller virksomhed, der
er tilsluttet Center for Cybersikkerheds netsikkerhedstjene-
ste i medfør af § 3, stk. 2 og 3, kan netsikkerhedstjenesten
ved begrundet mistanke om en sikkerhedshændelse uden
retskendelse blokere, omdanne eller omdirigere trafikdata
og pakkedata hidrørende fra netværk hos myndigheden eller
virksomheden med henblik på at understøtte et højt informa-
tionssikkerhedsniveau i samfundet.
Stk. 2. Stk. 1 finder tilsvarende anvendelse i forhold til
stationære data hos tilsluttede myndigheder og virksomhe-
der. Ved en konstateret sikkerhedshændelse kan netsikker-
hedstjenesten endvidere efter aftale med den tilsluttede
myndighed eller virksomhed slette de stationære data, der
har forårsaget sikkerhedshændelsen.
§ 6 a. Med henblik på at kunne rådgive myndigheder og
virksomheder om forebyggelse af sikkerhedshændelser kan
Center for Cybersikkerhed gennemføre forebyggende sik-
kerhedstekniske undersøgelser, når en myndighed eller virk-
somhed har anmodet centeret herom.
Stk. 2. Efter anmodning fra myndigheden eller virksom-
heden kan Center for Cybersikkerhed som led i den forebyg-
gende sikkerhedstekniske undersøgelse
1) uden retskendelse behandle trafikdata, pakkedata og
stationære data hos myndigheden eller virksomheden,
2) behandle offentligt tilgængelige data om myndigheden
eller virksomheden og dennes medarbejdere, og
3) iværksætte forebyggelsesaktiviteter rettet mod udvalgte
medarbejdere eller enheder i myndigheden eller virk-
somheden.
§ 6 b. Med henblik på at opnå viden om angrebsaktørers
metoder og værktøjer kan Center for Cybersikkerhed opsæt-
te fiktive angrebsmål, såfremt opsætningen vurderes at kun-
ne bidrage væsentligt til Center for Cybersikkerheds mulig-
heder for at understøtte et højt informationssikkerhedsni-
veau i samfundet.
Stk. 2. Benytter en angrebsaktør et fiktivt angrebsmål til
at deponere data, kan Center for Cybersikkerhed uden rets-
kendelse behandle de deponerede data med henblik på at op-
dage, analysere og bidrage til at imødegå sikkerhedshændel-
ser hos myndigheder og virksomheder eller at informere
borgere, myndigheder og virksomheder om, at de har været
udsat for en sikkerhedshændelse.
§ 6 c. Med henblik på at forhindre, standse eller begrænse
en nært forestående eller igangværende sikkerhedshændelse
kan Center for Cybersikkerhed gøre brug af domænenavne
og tilsvarende it-infrastruktur, som anvendes eller har været
anvendt af en angrebsaktør, forudsat at disse er ledige til re-
gistrering.
Stk. 2. Modtager Center for Cybersikkerhed som led i an-
vendelsen af it-infrastruktur efter stk. 1 data fra tredjemand,
kan centeret uden retskendelse behandle de modtagne data
med henblik på at opdage, analysere og bidrage til at imøde-
gå sikkerhedshændelser hos myndigheder og virksomheder
eller at informere borgere, myndigheder og virksomheder
om, at de har været udsat for en sikkerhedshændelse.
Kapitel 4 a
Edition
§ 7. Med henblik på at afdække sikkerhedshændelser kan
der meddeles en juridisk eller fysisk person pålæg om at fo-
revise eller udlevere oplysninger om brugeren af en e-mail-
konto, ip-adresse eller et domænenavn, såfremt oplysninger-
ne er undergivet den pågældendes rådighed.
Stk. 2. Pålæg efter stk. 1 må ikke meddeles, såfremt ind-
grebet står i misforhold til sagens betydning og det tab eller
den ulempe, som indgrebet kan antages at medføre.
§ 7 a. Afgørelse om pålæg om edition efter § 7 træffes af
retten efter Center for Cybersikkerheds begæring.
Stk. 2. Afgørelsen træffes af retten ved kendelse. Retsmø-
der holdes for lukkede døre. I kendelsen anføres de konkrete
omstændigheder i sagen, hvorpå det støttes, at betingelserne
for indgrebet er opfyldt. Kendelsen kan til enhver tid omgø-
res.
§ 7 b. Inden retten træffer afgørelse om pålæg om edition
efter § 7, skal der være givet den, der har rådighed over op-
lysningerne, adgang til at udtale sig.
Stk. 2. Taler hensynet til fremmede magter eller statens
sikkerhed derfor, kan retten eller Center for Cybersikkerhed
pålægge den, der har rådighed over oplysninger, som ønskes
forevist eller udleveret efter § 7, tavshedspligt med hensyn
til den pågældendes viden om sagen. Når pålæg meddeles en
erhvervsvirksomhed, gælder dette også for andre juridiske
og fysiske personer, der i kraft af deres tilknytning til virk-
somheden har fået kendskab til sagen.
Stk. 3. Pålæg efter stk. 2 kan ophæves af Center for Cy-
bersikkerhed eller retten. Center for Cybersikkerheds næg-
telse af at ophæve et pålæg skal efter begæring forelægges
retten. Den pågældende skal gøres bekendt med adgangen
hertil.
§ 7 c. Reglerne i retsplejelovens kapitel 63 om værneting
og kapitel 85 om kære til højere ret finder tilsvarende anven-
delse.
§ 7 d. Center for Cybersikkerhed foranlediger ved at rette
henvendelse til den, der har rådighed over oplysningerne, at
en kendelse om edition opfyldes. Rettens kendelse skal på
begæring forevises for den pågældende. Afviser den pågæl-
2
dende uden lovlig grund at efterkomme pålægget, finder
reglerne i retsplejelovens § 178 tilsvarende anvendelse.«
3. I § 8, stk. 1, 2. pkt., indsættes efter »forvaltningslovens
kapitel 4-6«: », fra §§ 3 og 5 og § 8, stk. 2, i lov om retssik-
kerhed ved forvaltningens anvendelse af tvangsindgreb og
oplysningspligter«.
4. § 8, stk. 2, nr. 1, affattes således:
»1) centerets behandling af sager om tilslutning til netsik-
kerhedstjenesten, jf. § 3, stk. 3 og 4,«.
5. Efter § 8 indsættes i kapitel 5:
Ȥ 8 a. Oplysninger, der er omfattet af denne lov, kan
overføres til opbevaring i arkiv efter reglerne i arkivlovgiv-
ningen.
Stk. 2. Forsvarsministeren kan fastsætte nærmere regler
om Center for Cybersikkerheds overførsel af oplysninger,
der skal bevares for eftertiden, til Rigsarkivet samt om cen-
terets opbevaring af sådanne oplysninger, indtil overførsel
til Rigsarkivet kan ske.
§ 8 b. Myndigheders og virksomheders samarbejde med
Center for Cybersikkerhed er ikke begrænset af bestemmel-
ser om tavshedspligt fastsat ved lov eller med hjemmel i lov,
jf. dog stk. 2.
Stk. 2. Forsvarsministeren kan fastsætte regler om, at nær-
mere angivne bestemmelser om tavshedspligt fastsat ved lov
eller med hjemmel i lov fortsat finder anvendelse på myn-
digheders og virksomheders samarbejde med Center for Cy-
bersikkerhed.«
6. § 14, stk. 2, ophæves.
7. Kapitel 7 affattes således:
»Kapitel 7
Analyse, videregivelse og sletning af data
§ 15. Center for Cybersikkerhed kan foretage automatise-
rede analyser af trafikdata, pakkedata og stationære data, der
er omfattet af kapitel 4. Manuelle analyser af data, der er
omfattet af kapitel 4, må alene finde sted i følgende tilfælde:
1) For at opdage, analysere og bidrage til at imødegå sik-
kerhedshændelser kan trafikdata analyseres i det om-
fang, det er nødvendigt.
2) Ved begrundet mistanke om en sikkerhedshændelse
kan pakkedata og stationære data analyseres i det om-
fang, det er nødvendigt for at afklare forhold vedrøren-
de hændelsen.
3) Som led i forebyggende sikkerhedstekniske undersø-
gelser efter § 6 a kan trafikdata, pakkedata og stationæ-
re data analyseres i det omfang, det er nødvendigt for at
gennemføre undersøgelserne.
4) Som led i det løbende arbejde med at understøtte et højt
informationssikkerhedsniveau på Forsvarsministeriets
område, herunder ved kontrol af, om kommunikation
indeholder klassificeret materiale, kan trafikdata og
pakkedata, der hidrører fra myndigheder på Forsvars-
ministeriets område, analyseres.
5) Som led i tekniske tests og konfiguration af netsikker-
hedstjenestens alarmenheder kan trafikdata og pakke-
data analyseres i det omfang, det er nødvendigt for at
gennemføre testen. Testen skal afsluttes, så snart for-
målet med testen er opfyldt. Analysen må alene foreta-
ges af medarbejdere, der varetager tekniske drifts- og
udviklingsopgaver for Center for Cybersikkerhed. Øv-
rige medarbejdere må ikke tilgå oplysninger, der hidrø-
rer fra tests. Malware, der ved en tilfældighed opdages
som led i en teknisk test, må dog analyseres af øvrige
medarbejdere i Center for Cybersikkerhed efter nr. 2.
§ 16. Center for Cybersikkerhed kan videregive trafikda-
ta, der er omfattet af kapitel 4, til:
1) Politiet, såfremt der er begrundet mistanke om en sik-
kerhedshændelse.
2) Den tilsluttede myndighed eller virksomhed, hvorfra de
pågældende data hidrører, såfremt der er begrundet
mistanke om en sikkerhedshændelse, og hvis det er
nødvendigt for udførelsen af Center for Cybersikker-
heds opgaver.
3) Danske myndigheder, udbydere af offentlige elektroni-
ske kommunikationsnet og -tjenester og andre netsik-
kerhedstjenester samt til myndigheder og virksomheder
i øvrigt i forbindelse med Center for Cybersikkerheds
udsendelse af sikkerhedsvarslinger, såfremt der er be-
grundet mistanke om en sikkerhedshændelse, og så-
fremt det er nødvendigt for udførelsen af Center for
Cybersikkerheds opgaver.
Stk. 2. Center for Cybersikkerhed kan videregive pakke-
data, der er omfattet af kapitel 4, til:
1) Politiet, såfremt der er begrundet mistanke om en sik-
kerhedshændelse.
2) Den tilsluttede myndighed eller virksomhed, hvorfra de
pågældende data hidrører, såfremt der er begrundet
mistanke om en sikkerhedshændelse.
Stk. 3. Center for Cybersikkerhed kan videregive statio-
nære data, der er omfattet af kapitel 4, til:
1) Politiet, såfremt der er begrundet mistanke om en sik-
kerhedshændelse.
2) Den myndighed, virksomhed eller borger, hvorfra de
pågældende data hidrører, såfremt der er begrundet
mistanke om en sikkerhedshændelse.
3) Andre netsikkerhedstjenester, såfremt Center for Cy-
bersikkerhed har modtaget de pågældende data i med-
før af § 6 b eller § 6 c.
Stk. 4. Center for Cybersikkerhed kan videregive mal-
ware, der er omfattet af kapitel 4, til:
1) Politiet.
2) Den myndighed eller virksomhed, hvorfra de pågæl-
dende data hidrører.
3) Danske myndigheder, udbydere af offentlige elektroni-
ske kommunikationsnet og -tjenester og andre netsik-
kerhedstjenester samt til myndigheder og virksomheder
i øvrigt i forbindelse med Center for Cybersikkerheds
udsendelse af sikkerhedsvarslinger.
3
Stk. 5. Stk. 1-4 finder ikke anvendelse på data, der stam-
mer fra tekniske test og konfiguration af netsikkerhedstjene-
stens alarmenheder. Center for Cybersikkerhed kan alene vi-
deregive sådanne data i følgende tilfælde:
1) Malware, der er opdaget ved en tilfældighed, kan vide-
regives til politiet, til den myndighed eller virksomhed,
hvorfra de pågældende data hidrører, til danske myn-
digheder, til udbydere af offentlige elektroniske kom-
munikationsnet og -tjenester og til andre netsikkerheds-
tjenester samt til myndigheder og virksomheder i øvrigt
i forbindelse med Center for Cybersikkerheds udsen-
delse af sikkerhedsvarslinger.
2) Trafikdata kan videregives til den tilsluttede myndig-
hed eller virksomhed, hvorfra de pågældende data hid-
rører.
Stk. 6. Uanset stk. 1-4 må Center for Cybersikkerhed i
forbindelse med forebyggende sikkerhedstekniske undersø-
gelser efter § 6 a alene videregive oplysninger vedrørende
myndighedens eller virksomhedens medarbejdere, hvis det
sker i anonymiseret form.
§ 17. Data, der er omfattet af kapitel 4, slettes, når formå-
let med behandlingen er opfyldt.
Stk. 2. Uanset at formålet med behandlingen ikke er op-
fyldt, jf. stk. 1, må
1) data, der knytter sig til en sikkerhedshændelse, højst
opbevares i 5 år,
2) data, der ikke knytter sig til en sikkerhedshændelse,
men som stammer fra myndigheder, som i særlig grad
beskæftiger sig med udenrigs-, sikkerheds- og forsvars-
politiske forhold, samt virksomheder og organisationer,
hvis aktiviteter har særlig betydning for disse forhold,
højst opbevares i 3 år, og
3) øvrige data, der ikke knytter sig til en sikkerhedshæn-
delse, højst opbevares i 13 måneder.
Stk. 3. Fristerne i stk. 2 regnes fra tidspunktet for Center
for Cybersikkerheds registrering af de pågældende data.
Stk. 4. Center for Cybersikkerhed kan opbevare backup af
data i op til 4 måneder efter udløb af fristerne i stk. 1 og 2.
Ved indlæsning af data fra backup skal Center for Cybersik-
kerhed sikre, at data, der tidligere er slettet efter stk. 1 eller
2, straks slettes igen.
Stk. 5. Er data i medfør af § 16 videregivet til andre end
den myndighed eller virksomhed, som data hidrører fra, fin-
der stk. 1 og 2 ikke anvendelse på disse data.
Stk. 6. I data, som Center for Cybersikkerhed får adgang
til som led i forebyggende sikkerhedstekniske undersøgelser
efter § 6 a, skal personoplysninger, der er indeholdt i disse
data, endvidere slettes eller anonymiseres, når den sikker-
hedstekniske undersøgelse er afsluttet. Konstaterer Center
for Cybersikkerhed, at der i de pågældende data er indeholdt
følsomme personoplysninger, skal disse slettes uden unødigt
ophold.
Stk. 7. Sletning efter fristerne i stk. 2, nr. 2 og 3, kan i helt
særlige tilfælde kortvarigt suspenderes, hvis væsentlige hen-
syn til varetagelsen af Center for Cybersikkerheds opgaver
gør det nødvendigt. Tilsynet med Efterretningstjenesterne
skal straks underrettes om suspension efter 1. pkt. og om
baggrunden for suspensionen.
§ 17 a. § 17 finder ikke anvendelse på data, der er depo-
neret på fiktive angrebsmål efter § 6 b eller modtaget via in-
frastruktur omfattet af § 6 c, såfremt Center for Cybersikker-
hed ikke udtager disse data til nærmere vurdering. Disse da-
ta slettes hurtigst muligt. Udtager Center for Cybersikkerhed
data til nærmere vurdering, skal sletning ske efter reglerne i
§ 17.«
8. I § 20 indsættes efter »kapitel 4,«: »4 a,«.
9. Efter kapitel 9 indsættes:
»Kapitel 9 a
Straffebestemmelser m.v.
§ 24 a. Med bøde straffes, medmindre strengere straf er
forskyldt efter den øvrige lovgivning, den, der undlader at
efterkomme et pålæg efter § 7 b, stk. 2.
Stk. 2. I regler, der udfærdiges i medfør af § 3, stk. 5, 2.
pkt., kan der fastsættes straf i form af bøde for overtrædelse
af bestemmelserne i reglerne.
Stk. 3. Der kan pålægges selskaber m.v. (juridiske perso-
ner) strafansvar efter reglerne i straffelovens 5. kapitel.«
§ 2
Stk. 1. Loven træder i kraft den 1. juli 2019.
Stk. 2. Loven finder ikke anvendelse på data, der er ind-
samlet før den 1. juli 2019. For sådanne data finder de hidtil
gældende regler anvendelse.
§ 3
Loven gælder ikke for Færøerne og Grønland, men kan
ved kongelig anordning helt eller delvis sættes i kraft for
Færøerne og Grønland med de ændringer, som de henholds-
vis færøske og grønlandske forhold tilsiger.
4
Bemærkninger til lovforslaget
Almindelige bemærkninger
Indholdsfortegnelse
1. Indledning
2. Baggrunden for lovforslaget
2.1. Om Center for Cybersikkerhed
2.2. Udviklingen i trusselsbilledet
2.3. Lovforslagets formål
3. Lovforslagets hovedindhold
3.1. Tilslutning til netsikkerhedstjenesten
3.1.1. Gældende ret
3.1.2. Forsvarsministeriets overvejelser
3.1.3. Den foreslåede ordning
3.2. Aktivt cyberforsvar
3.2.1. Gældende ret
3.2.2. Forsvarsministeriets overvejelser
3.2.3. Den foreslåede ordning
3.3. Sikkerhedssoftware på lokale netværk og enheder
3.3.1. Gældende ret
3.3.2. Forsvarsministeriets overvejelser
3.3.3. Den foreslåede ordning
3.3.3.1. Sikkerhedssoftware med passiv funktionalitet
3.3.3.2. Sikkerhedssoftware med aktiv funktionalitet
3.4. Forebyggende sikkerhedstekniske undersøgelser
3.4.1. Gældende ret
3.4.2. Forsvarsministeriets overvejelser
3.4.3. Den foreslåede ordning
3.4.3.1. Den sikkerhedstekniske undersøgelse
3.4.3.2. Anvendelse af offentligt tilgængelige oplysninger
3.4.3.3. Forebyggelsesaktiviteter rettet mod udvalgte medarbejdere eller enheder
3.5. Anvendelse og påvirkning af angrebsmål og angrebsinfrastruktur
3.5.1. Gældende ret
3.5.2. Forsvarsministeriets overvejelser
3.5.3. Den foreslåede ordning
3.5.3.1. Anvendelse af honey pots
3.5.3.2. Anvendelse af sinkholes
3.6. Påbud om udlevering af oplysninger på baggrund af forudgående kendelse
3.6.1. Gældende ret
3.6.2. Forsvarsministeriets overvejelser
3.6.3. Den foreslåede ordning
3.7. Videregivelse og analyse af data
3.7.1. Gældende ret
3.7.2. Forsvarsministeriets overvejelser
3.7.3. Den foreslåede ordning
3.8. Frister for sletning af data
3.8.1. Gældende ret
3.8.2. Forsvarsministeriets overvejelser
3.8.3. Den foreslåede ordning
3.8.3.1. Data, der er knyttet til en sikkerhedshændelse
3.8.3.2. Data, der ikke er knyttet til en sikkerhedshændelse
3.8.3.3. Suspension af slettefristen
3.8.3.4. Særlige sletteregler for visse data
3.8.3.5. Forholdet til arkivlovgivningen
3.9. Delvis undtagelse fra retssikkerhedsloven
3.9.1. Gældende ret
5
3.9.2. Forsvarsministeriets overvejelser
3.9.3. Den foreslåede ordning
4. Forholdet til databeskyttelsesforordningen og databeskyttelsesloven
4.1. Dataansvar
4.2. Myndigheder og virksomheders videregivelse af personoplysninger til Center for Cybersikkerhed
5. Forholdet til Den Europæiske Menneskerettighedskonvention
5.1. Foreskrevet ved lov
5.2. Anerkendelsesværdige formål
5.3. Nødvendigt i et demokratisk samfund
6. Økonomiske konsekvenser og implementeringskonsekvenser for det offentlige
7. Økonomiske og administrative konsekvenser for erhvervslivet m.v.
8. Administrative konsekvenser for borgerne
9. Miljømæssige konsekvenser
10. Forholdet til EU-retten
11. Hørte myndigheder og organisationer m.v.
12. Sammenfattende skema
1. Indledning
Cybertruslen er de seneste år øget markant, og der er i dag
en meget høj cybertrussel mod Danmark. Både i Danmark
og udlandet er der talrige eksempler på alvorlige cyberan-
greb, som har haft store konsekvenser for myndigheder og
virksomheder. Den hastige udvikling i trusselsbilledet bety-
der, at der er behov for at tilpasse lovgivningen, så Center
for Cybersikkerheds muligheder for at imødegå cyberangreb
mod den kritiske infrastruktur fremadrettet modsvarer trus-
lerne og den teknologiske udvikling.
Den alvorlige cybertrussel var allerede i 2011 baggrunden
for, at opgaver vedrørende it-sikkerhed blev ressortoverført
til Forsvarsministeriet, hvorefter en række forskellige myn-
digheders indsatser blev samlet i Center for Cybersikkerhed
som en del af Forsvarets Efterretningstjeneste. Siden 2014
har centerets virke været reguleret i lov om Center for Cy-
bersikkerhed.
I maj 2018 lancerede regeringen (Venstre, Liberal Allian-
ce og Det Konservative Folkeparti) en ny national strategi
for cyber- og informationssikkerhed. Af strategien fremgår
det, at Forsvarsministeriet vil fremsætte et forslag til ændret
lovgivning på cyberområdet, som vil medføre en styrkelse
af Center for Cybersikkerheds muligheder for at opdage og
stoppe cyberangreb samt styrke centerets analytiske arbejde.
Dette lovforslag er et led i udmøntningen af den nationale
strategi for cyber- og informationssikkerhed. Forsvarsmini-
steriet har i den forbindelse lagt afgørende vægt på, at lov-
givningsinitiativerne udmøntes med den fornødne respekt
for retssikkerheden og den personlige frihed. Der er således
tale om initiativer, der er målrettede og ikke går videre end
formålet tilsiger.
Regeringen (Venstre, Liberal Alliance og Det Konservati-
ve Folkeparti), Socialdemokratiet, Dansk Folkeparti og Ra-
dikale Venstre har den 27. februar 2019 indgået en politisk
aftale om lovforslaget. Aftalen er gengivet i den skriftlige
fremsættelsestale.
Henset til den hastige udvikling på cybersikkerhedsområ-
det vil der blive udarbejdet en rapport om erfaringerne med
den nye lovgivning, som oversendes til Folketinget tre år ef-
ter lovens ikrafttræden.
2. Baggrunden for lovforslaget
2.1. Om Center for Cybersikkerhed
Center for Cybersikkerhed blev oprettet den 18. december
2012 som en del af Forsvarets Efterretningstjeneste.
Center for Cybersikkerheds opgave er først og fremmest
at understøtte et højt sikkerhedsniveau i den digitale infra-
struktur, som samfundsvigtige funktioner er afhængige af.
Denne opgave løses bl.a. gennem Center for Cybersikker-
heds netsikkerhedstjeneste, som har til opgave at opdage,
analysere og bidrage til at imødegå sikkerhedshændelser,
herunder avancerede cyberangreb, mod myndigheder og
virksomheder, der er beskæftiget med samfundsvigtige
funktioner. Det sker i dag primært gennem de pågældende
myndigheders og virksomheders tilslutning til netsikker-
hedstjenesten. Ved tilslutning opsættes en alarmenhed hos
den enkelte myndighed eller virksomhed. Alarmenheden
monitorerer ind- og udgående netværkskommunikation, her-
under internetkommunikation.
Center for Cybersikkerhed varetager desuden funktionen
som Danmarks nationale it-sikkerhedsmyndighed og natio-
nalt kompetencecenter på cybersikkerhedsområdet. Rollen
som national it-sikkerhedsmyndighed indebærer en række
opgaver af både forebyggende og afhjælpende karakter. Det
gælder bl.a. oplysning, vejledning og rådgivning af danske
myndigheder og virksomheder i at styrke cybersikkerheden,
så risikoen for cyberangreb mindskes, og så cyberangreb,
hvis de lykkes, imødegås på den mest hensigtsmæssige må-
de. I den forbindelse har centeret en løbende dialog med re-
levante interessenter.
Derudover er Center for Cybersikkerhed myndighed for
informationssikkerhed og beredskab på teleområdet. Det be-
tyder, at centeret bl.a. stiller informationssikkerhedskrav til
teleudbydere og fører tilsyn på området, ligesom centeret
også rådgiver samfundets beredskabsaktører om telebered-
skab. Disse opgaver følger bl.a. af Europa-Parlamentets og
Rådets direktiv 2002/21/EF af 7. marts 2002 om fælles
rammebestemmelser for elektroniske kommunikationsnet og
-tjenester (rammedirektivet), som senest ændret ved Europa-
6
Parlamentets og Rådets direktiv 2009/140/EF af 25. novem-
ber 2009.
Center for Cybersikkerhed varetager desuden en række
tværgående myndighedsopgaver, herunder funktionen som
nationalt centralt kontaktpunkt og beredskabsenhed, der
håndterer it-sikkerhedshændelser (CSIRT). Disse opgaver
følger af Europa-Parlamentets og Rådets direktiv
2016/1148/EU af 6. juli 2016 om foranstaltninger, der skal
sikre et højt fælles sikkerhedsniveau for net- og informati-
onssystemer i hele Unionen (NIS-direktivet).
Med placeringen ved Forsvarets Efterretningstjeneste har
Center for Cybersikkerhed adgang til efterretningsmæssige
oplysninger, som er afgørende for at kunne levere den opti-
male beskyttelse mod avancerede cyberangreb. Center for
Cybersikkerhed drager nytte af de højt specialiserede kom-
petencer, som den efterretningsmæssige del af Forsvarets
Efterretningstjeneste har på cyberområdet.
Samtidig har Center for Cybersikkerhed en åben og udad-
vendt profil, og selv om Center for Cybersikkerhed og den
efterretningsmæssige del af Forsvarets Efterretningstjeneste
tilsammen udgør én myndighed, er de gennem lovgivningen
tillagt forskellige opgaver og virkemidler. Mens efterret-
ningsmæssige oplysninger af betydning for cybersikkerhe-
den uden begrænsning kan udveksles fra den efterretnings-
mæssige del til Center for Cybersikkerhed, gælder det ikke
den anden vej. Forsvarsministeren har således i administrati-
ve retningslinjer fastsat en række begrænsninger for Center
for Cybersikkerheds udveksling af data med den efterret-
ningsmæssige del af Forsvarets Efterretningstjeneste.
2.2. Udviklingen i trusselsbilledet
Danmark er et af verdens mest digitaliserede lande, hvil-
ket gør danske myndigheder og virksomheder særligt sårba-
re overfor cyberangreb. Cyberangreb mod den digitale infra-
struktur vil derfor kunne have store samfundsmæssige kon-
sekvenser, og ved vellykkede angreb mod danske myndig-
heder vil angriberne potentielt kunne få adgang til meget
store mængder følsomme oplysninger, herunder personop-
lysninger.
Cybertruslen er de seneste år øget markant, og både i Dan-
mark og udlandet er der talrige eksempler på alvorlige cyber-
angreb, som har haft store konsekvenser for myndigheder og
virksomheder. Et særligt omfattende cyberangreb, kendt
som NotPetya, spredte sig eksempelvis i 2017 fra Ukraine
og ramte især virksomheder i en række lande, herunder Dan-
mark, med meget store omkostninger til følge.
Forsvarets Efterretningstjeneste vurderer, at Danmark står
over for en meget høj cybertrussel, særligt fra fremmede sta-
ter. Nogle stater forsøger vedholdende at udføre cyberspio-
nage mod danske myndigheder og virksomheder, og de gør
det stadigt sværere at opdage deres aktiviteter. Visse stater
har desuden vist vilje til også at udføre mere offensive cyber-
angreb, der f.eks. har til formål at påvirke meningsdannelsen
i andre lande. Samtidig bliver avancerede hackerværktøjer
også tilgængelige for flere ikke-statslige aktører.
Danske myndigheder og virksomheder er i et vedvarende
kapløb med fremmede stater, hackergrupper og individer,
der hele tiden udvikler nye måder, hvormed de kan udnytte
cyberangreb til at nå deres politiske eller økonomiske mål.
Nogle stater udviser samtidig en mere offensiv adfærd, hvor
de er villige til at udføre angreb, der har andre formål end
cyberspionage, bl.a. hacking og lækage af følsomme oplys-
ninger samt destruktive cyberangreb.
Forsvarets Efterretningstjeneste vurderer, at truslen mod
offentlige myndigheder i Danmark fortsat vil gøre sig gæl-
dende på langt sigt, og at truslen dermed er blevet et grund-
vilkår. Sammenlignet med traditionel spionage er cyberspio-
nage en effektiv og relativt risikofri måde for fremmede sik-
kerheds- og efterretningstjenester at indhente informationer
på. Det gælder også i forhold til truslen mod danske virk-
somheder, hvor fremmede stater kan høste fordele af den vi-
den og teknologi, som andre har brugt ressourcer på at ud-
vikle. Endvidere kan cyberspionage understøtte andre typer
cyberangreb og trusler. Cyberspionage kan give en modstan-
der adgang til følsomme oplysninger, der senere kan bruges
til afpresning eller lækkes til offentligheden med henblik på
at påvirke meningsdannelsen. Endvidere kan cyberspionage
anvendes som forudsætning for senere destruktive cyberan-
greb, herunder hvis cyberspionagen giver adgang til kritiske
systemer.
2.3. Lovforslagets formål
Formålet med dette lovforslag er at opdatere lovgrundla-
get for Center for Cybersikkerhed, så det tilpasses det aktu-
elle trusselsbillede og den teknologiske udvikling. Med lov-
forslaget vil Center for Cybersikkerhed således få bedre mu-
ligheder for at løse de opgaver, som centeret er pålagt.
Lovforslaget indebærer for det første bedre muligheder for
at udnytte den beskyttelse, der ligger i Center for Cybersik-
kerheds netsikkerhedstjeneste. I dag er det en udfordring, at
relativt få myndigheder og virksomheder er tilsluttet netsik-
kerhedstjenesten, og at der dermed er mange samfundsvigti-
ge virksomheder, som ikke får monitoreret deres internettra-
fik for avancerede cybertrusler. En central årsag til den lave
tilslutning er, at tilslutningen er dyr, og at der i dag er krav
om fuld egenbetaling for tilslutning. Med lovforslaget fjer-
nes gebyret for tilslutning, således at tilslutning fremover vil
være gratis for offentlige myndigheder og virksomheder, der
har samfundsvigtig karakter, såfremt Center for Cybersik-
kerhed vurderer, at tilslutningen vil kunne bidrage til at un-
derstøtte et højt informationssikkerhedsniveau i samfundet.
Endvidere vil der med lovforslaget blive skabt mulighed for,
at der i helt særlige tilfælde vil kunne gives påbud til særligt
samfundsvigtige virksomheder eller myndigheder om at bli-
ve tilsluttet netsikkerhedstjenesten med henblik på monito-
rering af netværkskommunikation. Påbudsordningen vil ikke
omfatte monitorering ved hjælp af sikkerhedssoftware samt
aktivt cyberforsvar, jf. beskrivelsen nedenfor.
For det andet indebærer lovforslaget, at Center for Cyber-
sikkerheds netsikkerhedstjeneste vil kunne agere mere aktivt
i beskyttelsen af samfundsvigtige myndigheder og virksom-
heder. I dag kan centerets alarmenheder alene anvendes til at
7
registrere den skadelige trafik og derefter varsle myndighe-
den eller virksomheden om, at den har været udsat for et an-
greb. Med lovforslaget vil der blive skabt mulighed for at
anvende alarmenhederne til at stoppe igangværende cyber-
angreb, f.eks. ved at blokere eller omdirigere skadelig trafik
hos de myndigheder og virksomheder, som har ønsket at til-
slutte sig en sådan ordning.
For det tredje monitorerer Center for Cybersikkerhed i dag
kun datatrafik på de forbindelser, der går ind og ud af de til-
sluttede myndigheder og virksomheder. Det giver i stigende
grad udfordringer, dels fordi mere og mere datatrafik bliver
utilgængeligt på grund af kryptering, hvor det kan passere
alarmenhederne uden at udløse en alarm, og dels fordi det
ikke er muligt at opdage uregelmæssigheder, som sker på
pc’ere og servere hos de tilsluttede myndigheder og virk-
somheder. Den teknologiske udvikling udhuler således Cen-
ter for Cybersikkerheds mulighed for effektivt at opdage
trusler og hændelser. Lovforslaget indebærer derfor, at der
skabes mulighed for at installere sikkerhedssoftware på
f.eks. pc’ere og servere hos myndigheder og virksomheder,
der er tilsluttet centerets netsikkerhedstjeneste. Det vil udvi-
de centerets muligheder for tidligt at opdage cyberangreb
hos de tilsluttede organisationer. Sikkerhedssoftwaren vil
kunne opdage unormal aktivitet, såsom kommandoer om at
sende store mængder data til en ukendt enhed på internettet.
Installation af sikkerhedssoftwaren vil være frivillig, og
myndigheder og virksomheder vil således ikke kunne få på-
bud om at installere sikkerhedssoftware.
For det fjerde er Center for Cybersikkerhed i dag begræn-
set i sine muligheder for at støtte myndigheder og virksom-
heder med at gennemføre effektive forebyggende sikker-
hedstekniske undersøgelser. Dermed reduceres Center for
Cybersikkerheds muligheder for at udfylde centerets rolle
som national it-sikkerhedsmyndighed overfor eksempelvis
myndigheder og virksomheder, der efterspørger centerets bi-
stand til at identificere sårbarheder og vurdere robustheden
af deres systemer. Derfor indebærer lovforslaget, at der ind-
føres mulighed for, at Center for Cybersikkerhed efter aftale
kan gennemføre forebyggende sikkerhedstekniske undersø-
gelser. Det vil give mulighed for at scanne en organisations
netværk og informationssystemer og for at anvende offent-
ligt tilgængelige oplysninger om organisationen og dens
medarbejdere til at målrette simulerede angreb for at teste
sikkerheden under virkelighedslignende vilkår. Center for
Cybersikkerheds afrapportering vil altid være anonymiseret,
således at der ikke i forbindelse med den forebyggende sik-
kerhedstekniske undersøgelse videregives oplysninger om
konkrete medarbejderes handlinger eller undladelser til den
pågældende organisation.
For det femte har Center for Cybersikkerhed i dag kun
meget begrænset mulighed for at anvende metoder, hvor
centeret for eksempel kan opstille fiktive angrebsmål eller
kan søge at påvirke angrebsmål eller angrebsinfrastruktur, så
konsekvenserne af et igangværende angreb reduceres. Lov-
forslaget indebærer derfor, at der gives mulighed for, at
Center for Cybersikkerhed kan anvende såkaldte honey pots,
som vil kunne bruges som en form for afledningsmanøvre
og kilde til viden om aktører bag angreb, og såkaldte sink-
holes, som potentielt vil kunne afskære angrebsaktøren fra
at styre sin angrebsplatform.
Derudover indebærer lovforslaget, at der skabes mulighed
for, at Center for Cybersikkerhed gennem såkaldt edition ef-
ter rettens kendelse kan få udleveret oplysninger om bruge-
ren af en e-mailkonto, en ip-adresse eller et domænenavn,
hvis det er nødvendigt for at afdække sikkerhedshændelser.
Endvidere vil de nuværende meget restriktive rammer for
Center for Cybersikkerheds mulighed for at videregive data
blive lempet, så det i modsætning til i dag eksempelvis bli-
ver muligt at videregive selve den skadelige kode (mal-
ware), der ligger bag et angreb, til relevante aktører. Dertil
kommer en forlængelse af slettefristerne, således at Center
for Cybersikkerhed eksempelvis får mulighed for at gemme
data, der er knyttet til en konkret sikkerhedshændelse, og
som stammer fra indgreb i meddelelseshemmeligheden, i
fem år mod de tre år, der er tilfældet i dag.
3. Lovforslagets hovedindhold
3.1. Tilslutning til netsikkerhedstjenesten
3.1.1. Gældende ret
Det følger af den gældende § 3, stk. 2, i lov nr. 713 af 25.
juni 2014 om Center for Cybersikkerhed, som ændret ved
lov nr. 443 af 8. maj 2018, at de øverste statsorganer samt
statslige myndigheder kan blive tilsluttet Center for Cyber-
sikkerheds netsikkerhedstjeneste efter anmodning. Endvide-
re kan regioner og kommuner samt virksomheder, der er be-
skæftiget med samfundsvigtige funktioner, efter anmodning
blive tilsluttet, såfremt Center for Cybersikkerhed konkret
vurderer, at tilslutningen vil kunne bidrage til at understøtte
et højt informationssikkerhedsniveau i samfundet, jf. § 3,
stk. 3.
Det er således frivilligt for myndigheder og virksomheder,
om de ønsker at tilslutte sig netsikkerhedstjenesten. Statslige
myndigheder vil dog kunne modtage pålæg om at tilslutte
sig netsikkerhedstjenesten fra de respektive ressortministre
eller gennem regeringsbeslutninger.
Det er i forarbejderne til lov om Center for Cybersikker-
hed – jf. Folketingstidende 2013-14, A, L 192 som fremsat,
side 18 – forudsat, at regioner, kommuner og virksomheder,
der tilsluttes Center for Cybersikkerheds netsikkerhedstjene-
ste, skal betale et årligt gebyr, som dækker centerets udgifter
til tilslutning og drift af den anvendte alarmenhed. Det
samme er forudsat for så vidt angår statslige myndigheder,
idet hvert ministerområde dog tilbydes én vederlagsfri til-
slutning.
Størrelsen af gebyret for tilsluttede regioner, kommuner
og virksomheder er for 2019 fastsat i bekendtgørelse nr.
1599 af 14. december 2018 om tilslutning til Center for Cy-
bersikkerheds netsikkerhedstjeneste. Gebyret udgør 300.000
kr. excl. moms pr. alarmenhed af typen NSS-1 og 400.000
kr. excl. moms pr. alarmenhed af typen NSS-2. De to typer
af alarmenheder adskiller sig alene ved mængden af data,
der kan håndteres.
8
Ultimo oktober 2018 er status på tilslutning til Center for
Cybersikkerheds netsikkerhedstjeneste, at godt 60 myndig-
heder og virksomheder er tilsluttet, heraf kun enkelte myn-
digheder og virksomheder, der betaler gebyr.
3.1.2. Forsvarsministeriets overvejelser
Forsvarsministeriet finder, at der er behov for at øge antal-
let af myndigheder og virksomheder, som er tilsluttet Center
for Cybersikkerheds netsikkerhedstjeneste, med henblik på
at understøtte et højt informationssikkerhedsniveau i den di-
gitale infrastruktur, som samfundsvigtige funktioner er af-
hængige af.
Et øget antal af tilsluttede myndigheder og virksomheder
vil sætte centeret i stand til at varsle hurtigere og bredere om
trusler, ligesom et forbedret datagrundlag vil styrke cente-
rets muligheder for at udarbejde et nationalt situationsbille-
de og trusselsvurderinger samt styrke centerets rådgivning
til myndigheder og virksomheder om risici og passende sik-
kerhedstiltag.
Den nuværende ordning, hvor myndigheder og virksom-
heder som udgangspunkt betaler et årligt gebyr for tilslut-
ning til Center for Cybersikkerheds netsikkerhedstjeneste,
udgør imidlertid en hindring for en øget tilslutning til netsik-
kerhedstjenesten. Center for Cybersikkerhed vurderer såle-
des, at størrelsen af det årlige gebyr har afholdt en række
myndigheder og virksomheder fra at blive tilsluttet netsik-
kerhedstjenesten.
Der er behov for at sikre, at netsikkerhedstjenestens alarm-
enheder er udbredt til de myndigheder og private virksom-
heder, der har størst betydning for den infrastruktur, som
samfundsvigtige funktioner er afhængige af. Set ud fra et
samfundsmæssigt perspektiv er det således problematisk, at
der er myndigheder og virksomheder, som ikke er tilsluttet
netsikkerhedstjenesten, når der samtidig er tale om, at cyber-
angreb, der rammer de pågældende myndigheder og virk-
somheder, vil kunne have stor samfundsmæssig betydning.
Forsvarsministeriet finder på den baggrund, at der frem-
over ikke bør opkræves gebyr for tilslutning til netsikker-
hedstjenesten. Derudover finder Forsvarsministeriet, at der
bør være mulighed for i særlige tilfælde at pålægge regioner
og kommuner samt særligt samfundsvigtige virksomheder at
blive tilsluttet netsikkerhedstjenesten.
Det vurderes ikke, at en sådan ordning vil påvirke det pri-
vate marked for it-sikkerhedsydelser negativt. Den sikker-
hedsløsning, som Center for Cybersikkerhed stiller til rådig-
hed med netsikkerhedstjenesten, er efterretningsbaseret, og
kommercielle udbydere på markedet kan dermed ikke tilby-
de en tilsvarende løsning. Centerets netsikkerhedstjeneste
vil således aldrig kunne være et alternativ til private løsnin-
ger på området.
Netsikkerhedstjenestens ydelser udgør endvidere alene et
ekstra lag af sikkerhed, som skal supplere myndighedernes
og virksomhedernes øvrige it-sikkerhedsforanstaltninger.
Der er således ikke tale om, at centerets løsning kan erstatte
behovet for øvrige it-sikkerhedsløsninger.
Det bemærkes desuden, at hvis der i forbindelse med net-
sikkerhedstjenestens monitorering opstår en begrundet mis-
tanke om en sikkerhedshændelse, vil netsikkerhedstjene-
stens assistance og rådgivning til den pågældende myndig-
hed eller virksomhed ofte medføre, at der påpeges et konkret
behov for at højne informationssikkerhedsniveauet hos myn-
digheden eller virksomheden – og dermed skabes øget efter-
spørgsel efter ydelser fra private it-sikkerhedsleverandører.
3.1.3. Den foreslåede ordning
Det foreslås, at der fremover ikke opkræves gebyr for til-
slutning til netsikkerhedstjenesten.
Tilslutningen af regioner, kommuner og virksomheder vil
– som efter den gældende ordning – ske ud fra et hensyn til
statens sikkerhed. Der vil ved vurderingen af, om en myn-
dighed eller virksomhed tilbydes tilslutning, primært blive
lagt vægt på, om en tilslutning vil bidrage til at beskytte den
kritiske infrastruktur samt om tilslutningen bidrager til at gi-
ve Center for Cybersikkerheds situationscenter et samlet
overblik over den aktuelle angrebsaktivitet mod Danmark.
Tilslutning vil således – som efter den gældende ordning –
forudsætte, at Center for Cybersikkerhed konkret vurderer,
at tilslutningen vil kunne bidrage til at understøtte et højt in-
formationssikkerhedsniveau i samfundet. For virksomheder
forudsætter tilslutning endvidere, at den enkelte virksomhed
har samfundsvigtig karakter.
For at sikre en repræsentativ tilslutning til netsikkerheds-
tjenesten fra de forskellige sektorer og brancher, vil tilslut-
ning i nogle tilfælde alene blive tilbudt til én virksomhed,
som i det væsentligste er repræsentativ for andre virksomhe-
der inden for samme branche, idet det som udgangspunkt ik-
ke er nødvendigt for Center for Cybersikkerheds opgaveva-
retagelse, at alle virksomheder inden for samme branche er
tilsluttet. Det bemærkes i den forbindelse, at beslutningen
herom altid vil blive truffet på baggrund af saglige kriterier.
Der henvises til den foreslåede § 3, stk. 5, 1. pkt., i lovfor-
slagets § 1, nr. 1, og bemærkningerne hertil.
I forhold til den lille kreds af myndigheder og virksomhe-
der, som er særligt samfundsvigtige, men som ikke selv vil
være interesserede i en tilslutning til netsikkerhedstjenesten,
heller ikke selv om en sådan tilslutning er gratis, foreslås
det, at der skabes mulighed for at pålægge udvalgte virk-
somheder, regioner og kommuner, herunder regionalt og
kommunalt ejede virksomheder, at tilslutte sig netsikker-
hedstjenesten. Påbud vil alene kunne meddeles, hvis sådan-
ne myndigheder og virksomheder har en væsentlig betyd-
ning for Danmarks kritiske infrastruktur. Et påbud om til-
slutning vil kun omfatte netsikkerhedstjenestens monitore-
ring af netværkskommunikation og vil således hverken om-
fatte aktivt cyberforsvar, hvor der kan ske blokering af kom-
munikation, eller monitorering med sikkerhedssoftware på
lokale netværk og enheder, jf. henholdsvis afsnit 3.2 og 3.3
nedenfor.
Muligheden for at pålægge virksomheder, regioner og
kommuner at tilslutte sig netsikkerhedstjenesten skal også
ses i sammenhæng med forslaget om at fjerne det årlige ge-
9
byr for tilslutning til netsikkerhedstjenesten. Virksomheder,
regioner og kommuner, der pålægges at blive tilsluttet net-
sikkerhedstjenesten, vil således ikke skulle betale gebyr her-
for.
Der henvises til den foreslåede § 3, stk. 4, og stk. 5, 2.
pkt., i lovforslagets § 1, nr. 1, og bemærkningerne hertil.
3.2. Aktivt cyberforsvar
3.2.1. Gældende ret
Det gældende kapitel 4 i lov om Center for Cybersikker-
hed fastsætter netsikkerhedstjenestens muligheder for at fo-
retage indgreb i meddelelseshemmeligheden i forbindelse
med behandling af data hidrørende fra bl.a. tilsluttede myn-
digheder og virksomheder.
Center for Cybersikkerheds netsikkerhedstjeneste monito-
rerer i dag internettrafikken til og fra de tilsluttede myndig-
heder og virksomheder ved hjælp af alarmenheder, jf. be-
skrivelsen i afsnit 2.1 ovenfor. Alarmenhederne er passive i
den forstand, at de kopierer internettrafikken, hvorefter tra-
fikken ved hjælp af automatiserede analyseværktøjer under-
søges for ondsindet aktivitet. Når den automatiserede analy-
se udløser en alarm, håndteres denne efterfølgende af med-
arbejdere i centerets netsikkerhedstjeneste.
Der er ikke i lov om Center for Cybersikkerhed taget stil-
ling til muligheden for også at anvende aktivt cyberforsvar,
hvor angreb håndteres i realtid og f.eks. blokeres.
3.2.2. Forsvarsministeriets overvejelser
Center for Cybersikkerheds monitorering af netværkstra-
fikken hos tilsluttede myndigheder og virksomheder giver
ikke i dag de optimale muligheder for at bremse cyberan-
greb, inden de gør skade.
Det betyder eksempelvis, at Center for Cybersikkerhed i
dag i alarmenhederne kan konstatere, at en stor mængde da-
ta sendes til en ip-adresse, der er kendt for at indgå i en an-
grebsaktørs infrastruktur, eller at der sendes e-mails til med-
arbejdere i de tilsluttede myndigheder og virksomheder, som
har til formål at lokke passwords og brugernavne ud af med-
arbejderne (såkaldte phishing-mails). Men i disse tilfælde vil
Center for Cybersikkerheds mulighed for at reagere primært
bestå i en efterfølgende underretning af virksomheden eller
myndigheden, som så selv skal tage de nødvendige for-
holdsregler. Denne tidsmæssige forsinkelse betyder, at et
antal cyberangreb ikke når at blive bremset i tide.
Beskyttelsen af den samfundsvigtige infrastruktur vil der-
for kunne styrkes betydeligt, hvis det passive cyberforsvar
suppleres af et aktivt cyberforsvar, der kan håndtere cyber-
angreb i realtid.
En udvidelse af Center for Cybersikkerheds kompetencer
til også at omfatte et aktivt cyberforsvar vurderes ikke at vil-
le påvirke det private marked for it-sikkerhedsydelser nega-
tivt. Den sikkerhedsløsning, som centeret stiller til rådighed
med netsikkerhedstjenesten, er således efterretningsbaseret,
og kommercielle udbydere på markedet kan ikke tilbyde en
tilsvarende løsning.
Centerets netsikkerhedstjeneste vil dermed aldrig kunne
være et alternativ til private løsninger på området. Netsik-
kerhedstjenestens ydelser udgør endvidere alene et ekstra
lag af sikkerhed, som skal supplere myndighedernes og
virksomhedernes øvrige it-sikkerhedsforanstaltninger. Der
er således ikke tale om, at centerets løsning kan erstatte be-
hovet for øvrige it-sikkerhedsløsninger.
3.2.3. Den foreslåede ordning
Det foreslås, at der skabes et klart retligt grundlag for, at
Center for Cybersikkerhed kan anvende et aktivt cyberfor-
svar hos de tilsluttede myndigheder og virksomheder.
Det vil indebære, at centeret – ved hjælp af en teknisk løs-
ning – kan blokere, omdanne eller omdirigere ind- eller ud-
gående netværkskommunikation ved konstatering af en
kendt signatur på et cyberangreb. En signatur er en form for
digitalt fingeraftryk, som eksempelvis kan udvikles på bag-
grund af en analyse af et tidligere cyberangreb. Reaktionen
vil være fuldt automatiseret og foregå i realtid.
Blokering indebærer, at eksempelvis indgående phishing-
mails i en konstateret kampagne kan stoppes, inden de når
frem til myndigheden eller virksomheden, ligesom udgåen-
de trafik, hvor en angrebsaktør henter data fra myndigheden
eller virksomheden, potentielt vil kunne bremses. I visse til-
fælde vil det endvidere være muligt at uskadeliggøre kom-
munikationen ved f.eks. at omdanne en vedhæftet fil til et
format, hvor den ondsindede kode ikke kan eksekveres. Der-
udover vil kommunikationen kunne omdirigeres til en sepa-
rat server, hvor der kan foretages nærmere undersøgelse og
håndtering. Omdirigerede data vil efter endt undersøgelse og
håndtering blive sendt videre til modtageren, såfremt under-
søgelsen har vist, at der er tale om uskadelige data.
Det aktive cyberforsvar vil blive opsat til alene at reagere
på kendte signaturer og andre kendte indikatorer på et cyber-
angreb. Dermed vil f.eks. almindelige borgeres eller virk-
somheders e-mails til den tilsluttede myndighed eller virk-
somhed som det helt klare udgangspunkt ikke blive berørt.
Det vil dog kunne forekomme, at f.eks. en e-mail fra en bor-
ger, hvis computer er blevet inficeret med et kendt angrebs-
værktøj, og som ønsker at kommunikere med en tilsluttet
myndighed eller virksomhed, bliver blokeret af systemet.
Tilsvarende vil en e-mail kunne blive blokeret, hvis den fejl-
agtigt identificeres som inficeret.
Endvidere vil det kunne forekomme, at den tilsluttede
myndigheds eller virksomheds kommunikation med et be-
stemt internetdomæne, hvor der er kendte indikatorer på cy-
berangreb, vil blive blokeret. Det vil f.eks. indebære, at
medarbejdere hos den tilsluttede myndighed eller virksom-
hed ikke kan tilgå domænet, eller at domænet vil få begræn-
set funktionalitet.
Tilslutning til det aktive cyberforsvar vil altid være frivil-
lig for myndigheder og virksomheder, der således på bag-
grund af information om systemets funktionalitet og risiko-
en for fejl vil kunne tage stilling til, om de ønsker at blive
tilsluttet.
10
Center for Cybersikkerhed vil ikke med det aktive cyber-
forsvar få hjemmel til at foretage indgreb i meddelelseshem-
meligheden eller analysere data ud over det, der følger af det
nuværende hjemmelsgrundlag.
Der henvises til den foreslåede § 6, stk. 1, i lovforslagets §
1, nr. 2, og bemærkningerne hertil.
3.3. Sikkerhedssoftware på lokale netværk og enheder
3.3.1. Gældende ret
Center for Cybersikkerheds monitorering er i dag regule-
ret i §§ 4 og 5 i lov om Center for Cybersikkerhed, der for-
udsætter, at monitoreringen sker i forhold til netværkskom-
munikation.
Center for Cybersikkerhed har således ikke i dag mulig-
hed for at foretage monitorering af enheder, f.eks. pc’ere,
tilhørende en myndighed eller virksomhed, der er tilsluttet
centerets netsikkerhedstjeneste.
3.3.2. Forsvarsministeriets overvejelser
Center for Cybersikkerheds netsikkerhedstjeneste monito-
rerer løbende aktiviteterne på tilsluttede myndigheder og
virksomheders forbindelser til digitale netværk, herunder in-
ternettet, gennem opsatte alarmenheder, som er indstillet til
at reagere på bestemte signaturer og andre kendte indikato-
rer.
Indholdet af stadig mere internettrafik bliver imidlertid
utilgængeligt på grund af kryptering. Det medfører, at kryp-
teret trafik, der er knyttet til et cyberangreb, kan passere
alarmenhederne uden at udløse en alarm. Samtidig kan mo-
nitoreringen af ind- og udgående internettrafik ikke opdage
uregelmæssigheder, som alene foregår på enkelte enheder
(f.eks. pc’ere) på lokale netværk hos tilsluttede myndigheder
eller virksomheder.
Dette er en stigende udfordring for Center for Cybersik-
kerheds mulighed for effektivt at opdage og imødegå sikker-
hedshændelser hos tilsluttede myndigheder og virksomhe-
der.
Forsvarsministeriet finder, at disse udfordringer ved den
eksisterende monitorering af tilsluttede myndigheder og
virksomheders netværkstrafik bør imødegås ved at give
Center for Cybersikkerhed mulighed for også at monitorere
aktiviteter på lokale enheder. Det bør ske ved at supplere
centerets nuværende alarmenheder med installation af sik-
kerhedssoftware lokalt på de enkelte enheder, som anvendes
af myndigheden eller virksomheden. Disse enheder vil f.eks.
kunne være pc’ere, servere, smartphones og tablets.
Ved hjælp af sikkerhedssoftwaren vil skadelig kode, der
er indeholdt i krypteret trafik, og som ellers passerer igen-
nem alarmenhederne uden at udløse en alarm, kunne opda-
ges på den enkelte enhed, som modtager eller afsender tra-
fikken, og hvor der er sket afkryptering, eller hvor krypte-
ringen endnu ikke er sket. På samme vis vil angrebsaktørers
eventuelle forsøg på at hente data fra den enkelte enhed kun-
ne opdages, også selv om der anvendes en krypteret forbin-
delse. Endelig vil den lokale placering af softwaren give
mulighed for at opdage potentielt skadelig aktivitet på den
enkelte enhed, ligesom softwaren kan anvendes til beskyttel-
se af netværk, der ikke er forbundet til internettet.
Det bemærkes, at anvendelsen af sikkerhedssoftware – bå-
de med passiv og aktiv funktionalitet, jf. nedenfor – vil inde-
bære en udvidelse af Center for Cybersikkerheds mulighe-
der for at foretage indgreb, der er omfattet af grundlovens §
72 om bl.a. undersøgelse af breve og andre papirer (elektro-
nisk data) og brud på meddelelseshemmeligheden (kommu-
nikation gennem e-mail og anden internetkommunikation)
med henblik på at imødegå sikkerhedshændelser. Efter
grundlovens § 72 kan sådanne indgreb, hvor ingen lov hjem-
ler en særegen undtagelse, alene ske efter en retskendelse.
Hvor den nuværende monitorering via alarmenhederne pr.
definition altid vil omfatte kommunikation, der sker til eller
fra den enkelte myndighed eller virksomhed, og hvor moni-
toreringen oftest vil have karakter af indgreb i meddelelses-
hemmeligheden, vil der med dette initiativ også være tale
om, at der tilgås data, som opbevares på en lokal enhed. Det
vil i den forbindelse også kunne være aktuelt at tilgå (og ko-
piere) private data, som en medarbejder f.eks. har gemt på
en pc, såfremt disse data har udløst en alarm eller på anden
måde har givet begrundet mistanke om en sikkerhedshæn-
delse. Disse indgreb vil kunne være omfattet af grundlovens
§ 72, hvorfor der vurderes at være behov for en udtrykkelig
hjemmel.
Forsvarsministeriet har overvejet, om der som led i anven-
delsen af sikkerhedssoftware bør etableres en ordning, hvor
der sker forudgående indhentelse af retskendelse. Indgrebet
vil imidlertid som udgangspunkt ske automatiseret, når sik-
kerhedssoftwaren løbende scanner – og dermed tilgår – filer
for at identificere eventuelle sikkerhedshændelser, og da
indgrebet dermed netop sker ved scanning af ukendte data
for at fastslå, om der er tale om sikkerhedshændelser, vil en
domstolsprøvelse i givet fald ikke kunne basere sig på en
vurdering af karakteren af de pågældende data, men alene på
en meget overordnet og generel vurdering af, om f.eks. trus-
selsbilledet i tilstrækkelig grad begrunder, at der anvendes
sikkerhedssoftware. Dette område vurderes på den baggrund
ikke at være egnet til domstolsprøvelse.
Centerets anvendelse af sikkerhedssoftware vurderes ikke
at ville påvirke det private marked for it-sikkerhedsydelser
negativt. Sikkerhedssoftwaren kan sammenlignes med kom-
mercielle sikkerhedsprodukter, herunder bl.a. antivirus-soft-
ware, idet der dog til forskel fra kommercielle produkter vil
kunne søges efter de avancerede cyberangreb, som Center
for Cybersikkerhed har et særligt efterretningsmæssigt kend-
skab til. Der findes ikke på det private marked sammenlig-
nelige sikkerhedsydelser. Dermed vil sikkerhedssoftwaren
aldrig kunne træde i stedet for de kommercielle produkter,
men vil alene kunne udgøre et ekstra lag af sikkerhed.
11
3.3.3. Den foreslåede ordning
3.3.3.1. Sikkerhedssoftware med passiv funktionalitet
Det foreslås, at det nuværende hjemmelsgrundlag for Cen-
ter for Cybersikkerhed udvides til også at omfatte monitore-
ring af lokale enheder.
Den sikkerhedssoftware, der anvendes til monitoreringen,
vil som udgangspunkt være passiv – i den forstand, at even-
tuelle cyberangreb ikke bremses undervejs, men blot forsø-
ges opdaget med henblik på efterfølgende at kunne blive
håndteret. Softwaren kan i så fald sammenlignes med de ek-
sisterende alarmenheders virkemåde.
Sikkerhedssoftwaren vil løbende foretage scanninger efter
kendte signaturer og andre kendte indikatorer på cyberan-
greb på den enhed, hvor softwaren er installeret, og på den
baggrund kunne udløse en alarm. Softwaren vil endvidere
kunne søge efter uregelmæssigheder i de processer, der er
aktiveret på enheden eller i de netværk, som enheden er til-
knyttet, med henblik på at opdage angrebsaktivitet i syste-
met og udløse en alarm. Begge dele vil foregå automatiseret,
mens en efterfølgende behandling på baggrund af en alarm
typisk vil indebære en manuel analyse.
Sikkerhedssoftwaren vil kunne videregive generelle, tek-
niske oplysninger om eksempelvis kørende systemprocesser
og services på den enkelte enhed, hvor softwaren er installe-
ret, til Center for Cybersikkerhed. Disse tekniske oplysnin-
ger vil ved sammenligning med oplysningerne fra andre en-
heder kunne bruges til at opdage afvigelser fra normalbille-
det, som kan være tegn på uautoriseret aktivitet på systemet.
Dermed vil der kunne opdages angreb, som endnu ikke er
omfattet af en kendt signatur, og som derfor ikke normalt
ville udløse en alarm.
Den foreslåede ordning vil ikke indebære en ændring af
betingelserne for, hvornår Center for Cybersikkerheds med-
arbejdere manuelt må foretage analyse af indhold af filer og
kommunikation. Medarbejdere i netsikkerhedstjenesten vil
fortsat kun kunne foretage manuel behandling af sådanne
data i de tilfælde, hvor der er begrundet mistanke om en sik-
kerhedshændelse. Forslaget indebærer således ikke, at Cen-
ter for Cybersikkerhed får en generel, manuel adgang til
f.eks. pc’ere hos de tilsluttede myndigheder og virksomhe-
der, og centeret vil dermed ikke kunne tilgå indholdet af
medarbejderes data, medmindre disse data har udløst en
alarm eller de modtagne oplysninger om systemprocesser
viser, at der er en afvigelse fra normalbilledet.
Det foreslås, at installation af sikkerhedssoftwaren vil
kunne ske hos de myndigheder og virksomheder, der opfyl-
der lov om Center for Cybersikkerheds betingelser for til-
slutning til netsikkerhedstjenesten.
Anvendelse af sikkerhedssoftware vil kun ske efter aftale
med den enkelte myndighed eller virksomhed, og myndig-
heder og virksomheder vil således ikke kunne få påbud om
at installere sikkerhedssoftware. Det vil fremgå af aftalen
om tilslutning til netsikkerhedstjenesten, at det påhviler
myndigheder og virksomheder at orientere deres medarbej-
dere, herunder også nye medarbejdere, om den behandling
af data, der finder sted som led i Center for Cybersikkerheds
monitorering ved hjælp af sikkerhedssoftware.
Forslaget omfatter kun installation af sikkerhedssoftware
på myndighedens eller virksomhedens enheder. Installation
af sikkerhedssoftware hos leverandører (herunder databe-
handlere) vil forudsætte, at der indgås aftale med leverandø-
rerne herom. Der vil endvidere ikke kunne ske installation af
sikkerhedssoftware på f.eks. private smartphones eller
pc’ere, som medarbejderne anvender til at tilgå arbejdsrela-
terede e-mails.
Der henvises til den foreslåede § 4 i lovforslagets § 1, nr.
2.
3.3.3.2. Sikkerhedssoftware med aktiv funktionalitet
Det foreslås endvidere, at sikkerhedssoftwaren kan anven-
des i en udgave med aktiv funktionalitet, hvor der fastsættes
automatiske reaktioner på bestemte alarmer. Formålet vil
være at forebygge, stoppe eller begrænse cyberangreb.
En sådan reaktion vil f.eks. kunne være, at filer med be-
stemte typer af kendte angrebsværktøjer skal blokeres, slet-
tes, omdirigeres eller omdannes. Sikkerhedssoftwaren vil
bl.a. kunne blokere nærmere bestemte systemprocesser, som
udfører et cyberangreb. En fil med kendte angrebsværktøjer
vil derudover kunne omdannes til et format, hvor skadelig
kode ikke kan eksekveres. I de tilfælde, hvor en angrebsak-
tør forsøger at hente data, vil sikkerhedssoftwaren kunne
omdirigere data, således at der ikke sendes data ud af syste-
met.
Anvendelse af sikkerhedssoftware med aktiv funktionali-
tet indebærer en risiko for, at der sker fejl. Det kan eksem-
pelvis ikke udelukkes, at blokering af en nærmere bestemt
systemproces kan medføre, at dele af den pågældende orga-
nisations it-system går ned eller beskadiges. Det kan heller
ikke udelukkes, at systemet ved en fejl blokerer en e-mail
fra en borger på en lokal pc hos en sagsbehandler, før sags-
behandleren har konstateret, at e-mailen er modtaget.
Anvendelse af sikkerhedssoftwaren med aktiv funktionali-
tet vil altid være frivillig for myndigheder og virksomheder,
der således på baggrund af information om softwarens funk-
tionalitet og risikoen for fejl vil kunne tage stilling til, om
anvendelse af den aktive funktionalitet ønskes.
Der henvises til den foreslåede § 6, stk. 2, jf. stk. 1, sam-
menholdt med den foreslåede § 4 i lovforslagets § 1, nr. 2,
og bemærkningerne hertil.
3.4. Forebyggende sikkerhedstekniske undersøgelser
3.4.1. Gældende ret
Det følger af den gældende § 1, stk. 1, i lov om Center for
Cybersikkerhed, at centeret har til opgave at understøtte et
højt informationssikkerhedsniveau i den informations- og
kommunikationsteknologiske infrastruktur, som samfunds-
vigtige funktioner er afhængige af.
Lov om Center for Cybersikkerhed indeholder herudover
ikke en nærmere regulering af forebyggende sikkerhedstek-
niske undersøgelser.
12
3.4.2. Forsvarsministeriets overvejelser
Center for Cybersikkerhed har med det nuværende hjem-
melsgrundlag kun i meget begrænset omfang mulighed for
at foretage forebyggende sikkerhedstekniske undersøgelser
af systemer og netværk hos myndigheder og virksomheder,
som anmoder om centerets bistand hertil.
Som national it-sikkerhedsmyndighed og nationalt kom-
petencecenter for cybersikkerhed varetager Center for Cy-
bersikkerhed en række opgaver af forebyggende og afhjæl-
pende karakter. Det indebærer bl.a., at centeret rådgiver dan-
ske myndigheder og virksomheder vedrørende styrkelse af
cybersikkerheden, således at modstandskraften mod cyber-
angreb øges. Denne forebyggende indsats er et væsentligt
element i centerets løsning af sine opgaver.
Center for Cybersikkerhed oplever en stigende efterspørg-
sel fra myndigheder og virksomheder efter centerets bistand
til at vurdere robustheden af deres digitale infrastruktur og
identificere sårbarheder i systemer og netværk.
Ved udførelse af forebyggende sikkerhedstekniske under-
søgelser kan centeret afdække de områder og sårbarheder,
som en ondsindet angrebsaktør ville kunne udnytte til at op-
nå uautoriseret adgang til systemerne. En del af de sikker-
hedstekniske undersøgelser kan udgøre et simuleret angreb
på et informationssystem eller netværk, hvor målet er at få
adgang til systemets data og funktionalitet, for derigennem
at afdække og dokumentere potentielle angrebsvektorer og
sårbarheder, der vil kunne udnyttes af angrebsaktører. Cen-
teret kan på baggrund af undersøgelsen rådgive myndighe-
den eller virksomheden om, hvilke konkrete tiltag der kan
gennemføres for at opnå et højere sikkerhedsniveau.
Der vil ofte være tilfælde, hvor det ikke kan udelukkes, at
centeret i forbindelse med undersøgelsen får adgang til pri-
vate data og kommunikation tilhørende brugere. Det nuvæ-
rende hjemmelsgrundlag tillader imidlertid kun, at centeret
foretager sikkerhedstekniske undersøgelser, hvis en adgang
ikke vil indebære, at der foretages indgreb omfattet af
grundlovens § 72. Det vil kun være muligt, hvor det kan
fastslås, at alle data i systemerne ligger inden for myndighe-
dens eller virksomhedens råderet, eller hvor antallet af bru-
gere er så begrænset, at det vil være praktisk muligt at ind-
hente samtykke fra de pågældende.
Det bemærkes i den forbindelse, at det i organisationer
med flere tusinde medarbejdere ofte vil være særdeles van-
skeligt at indhente samtykke fra samtlige medarbejdere. Det
vil også kunne være kontraproduktivt at indhente et samtyk-
ke i forbindelse med en sikkerhedsteknisk undersøgelse, idet
samtlige medarbejdere dermed vil være orienteret om under-
søgelsen, hvilket kan føre til, at der ikke opnås et retvisende
billede af sikkerhedsniveauet.
Centeret er derfor med det nuværende hjemmelsgrundlag i
en række tilfælde nødt til at afslå en anmodning fra en myn-
dighed eller virksomhed, der ønsker centerets bistand til at
undersøge, i hvilket omfang deres systemer og netværk er
sårbare over for cyberangreb.
Sikkerhedstekniske undersøgelser vil altid ske efter aftale
med myndigheden eller virksomheden. Men for at kunne fo-
retage sikkerhedstekniske undersøgelser uden forinden at
indhente samtykke fra samtlige berørte medarbejdere, er det
nødvendigt, at der tilvejebringes hjemmel til, at centeret i
forbindelse med undersøgelserne kan foretage indgreb om-
fattet af grundlovens § 72.
De sikkerhedstekniske undersøgelser er aktiviteter, der til
en vis grad kan sammenlignes med de mange områder, hvor
offentlige myndigheder foretager stikprøvekontroller, og
hvor det ikke sker efter forudgående retskendelse, idet en
domstolsprøvelse ikke vil være meningsfuld, når der er tale
om stikprøver. Når der samtidig henses til, at undersøgelsen
foretages på baggrund af et samtykke fra myndigheden eller
virksomheden selv – og at det således er vanskeligt at opstil-
le et retligt kriterium, som domstolene vil kunne påse over-
holdelsen af – bør undersøgelsen kunne foretages uden rets-
kendelse.
Medarbejderne hos den pågældende myndighed eller virk-
somhed bør normalt ikke på forhånd blive orienteret om, at
der gennemføres en sikkerhedsteknisk undersøgelse. Dette
skyldes – som nævnt ovenfor – at en sådan orientering vil
føre til, at der ikke opnås et retvisende billede af sikkerheds-
niveauet. Det vil imidlertid følge af aftalen med Center for
Cybersikkerhed om gennemførelse af undersøgelserne, at
det er myndighedens eller virksomhedens ansvar at sikre, at
den sikkerhedstekniske undersøgelse, der aftales, er i over-
ensstemmelse med de eventuelle forpligtelser, som gælder
for myndigheden eller virksomheden, herunder aftaler om
kontrolforanstaltninger, lokalaftaler, lokale it-politikker osv.
Endvidere vil det følge af aftalen, at myndigheden eller virk-
somheden under alle omstændigheder efterfølgende skal ori-
entere medarbejderne om, at der har været gennemført en
sikkerhedsteknisk undersøgelse.
Det bemærkes, at private virksomheder i dag udbyder sik-
kerhedstekniske undersøgelser. Der er således ikke tale om
et nyt sikkerhedsteknisk redskab. Flere offentlige myndighe-
der, herunder på Forsvarsministeriets område, ønsker imid-
lertid ikke at benytte private firmaer til at foretage sikker-
hedstekniske undersøgelser, fordi myndighederne behandler
sensitive oplysninger, herunder klassificerede oplysninger,
som den private virksomhed vil kunne komme i besiddelse
af som led i en undersøgelse. Der vil således med forslaget
ikke ske en negativ påvirkning af det private marked for it-
sikkerhedsydelser.
3.4.3. Den foreslåede ordning
Det foreslås, at der skabes hjemmel til, at Center for Cy-
bersikkerhed kan gennemføre forebyggende sikkerhedstek-
niske undersøgelser.
Sikkerhedstekniske undersøgelser kan opdeles i tre ele-
menter. Hovedelementet består af selve den sikkerhedstek-
niske undersøgelse, hvor centeret forsøger at skaffe sig ad-
gang til den pågældende myndigheds eller virksomheds sy-
stemer og netværk. Dette element foreslås suppleret med to
yderligere elementer – henholdsvis profilering og målrettede
forebyggelsesaktiviteter rettet mod medarbejdere m.v. – som
vil forøge effekten af den sikkerhedstekniske undersøgelse.
13
Disse i alt tre elementer beskrives nedenfor.
3.4.3.1. Den sikkerhedstekniske undersøgelse
Selve den sikkerhedstekniske undersøgelse vil som ud-
gangspunkt blive udført i et trindelt forløb. Undersøgelsen
påbegyndes med, at der indsamles offentligt tilgængelige
oplysninger om eksempelvis myndighedens eller virksom-
hedens opbygning, it-infrastruktur m.v. Disse oplysninger
kan f.eks. bruges til at planlægge et simuleret angreb.
Der foretages herefter scanninger på ydersiden af myndig-
hedens eller virksomhedens netværk i søgen efter åbne net-
værksadgange, tjenester og sårbare applikationer, herunder
styresystemer, der ikke er opdateret. Selv om der ikke på
dette tidspunkt foretages indtrængen i systemerne, indebæ-
rer den aktive kommunikation med netværkene en mulighed
for, at myndigheden eller virksomheden nu kan opdage og
bremse aktiviteterne. Det er således også et led i undersøgel-
sen, at myndigheden eller virksomheden kan øve sig i at op-
dage og imødegå indtrængen i systemerne.
Hvis der konstateres sårbarheder i myndighedens eller
virksomhedens netværk eller informationssystemer, udnyt-
tes disse til at skaffe sig adgang til systemerne. Det undersø-
ges herefter, i hvilket omfang myndighedens eller virksom-
hedens data kan tilgås og hentes ud. Det undersøges endvi-
dere, om sårbarheder kan udnyttes til at skaffe sig særlige
rettigheder i systemerne, herunder administratorrettigheder,
med henblik på at sikre fortsat adgang til systemerne.
Undersøgelsen afsluttes med, at de etablerede adgange og
rettigheder m.v. lukkes ned. Myndigheden eller virksomhe-
den modtager efterfølgende en tilbagemelding fra Center for
Cybersikkerhed om erfaringerne fra undersøgelsen samt råd
og vejledning om, hvordan informationssikkerheden kan
styrkes. Rapporten vil være anonymiseret – forstået på den
måde, at den ikke vil indeholde en beskrivelse af de enkelte
medarbejderes handlinger eller undladelser i forbindelse
med undersøgelsen.
Undersøgelsen er som nævnt frivillig for myndigheden el-
ler virksomheden, og den foretages på baggrund af en aftale
med disse. Der vil i den forbindelse blive fastsat en nærmere
afgrænsning af formål og mål, herunder hvilke dele af forlø-
bet, undersøgelsen skal omfatte, og hvilke områder, der
eventuelt ikke må gøres til genstand for undersøgelse.
3.4.3.2. Anvendelse af offentligt tilgængelige oplysninger
Det foreslås, at den sikkerhedstekniske undersøgelse vil
kunne suppleres med anvendelse af offentligt tilgængelige
oplysninger til en form for social engineering. Som led i det-
te element søger Center for Cybersikkerhed at opnå viden
om medarbejdere i myndigheden eller virksomheden gen-
nem åbne kilder med henblik på at kunne målrette det simu-
lerede angreb yderligere.
Det vil i praksis kunne foregå ved, at centeret – som led i
den indledende del af undersøgelsen – indsamler offentligt
tilgængelige oplysninger, f.eks. fra avisartikler eller åbne
profiler på sociale medier, om medarbejdere. Der kan i den
forbindelse kun indsamles oplysninger om medarbejderne,
som er umiddelbart tilgængelige. Centeret vil desuden ikke
kunne opbevare følsomme oplysninger om medarbejderne,
herunder oplysninger om politisk overbevisning, seksuelle
forhold m.v.
Oplysningerne vil kunne anvendes af centeret til at skabe
eller lette adgangen til myndighedens eller virksomhedens
systemer, eksempelvis ved, at det bliver muligt at gætte
medarbejdernes passwords. Det vil således kunne være rele-
vant at indsamle oplysninger om navnet på medarbejderens
ægtefælle, børn, husdyr eller fødeby, fordi disse navne erfa-
ringsmæssigt ofte vil indgå i medarbejderens password. Op-
lysningerne vil endvidere kunne benyttes til at foretage mål-
rettede forebyggelsesaktiviteter, jf. afsnit 3.4.3.3 nedenfor.
Det vil være frivilligt for myndigheden eller virksomhe-
den, om dette element skal indgå i den konkrete sikkerheds-
tekniske undersøgelse.
3.4.3.3. Forebyggelsesaktiviteter rettet mod udvalgte
medarbejdere eller enheder
Det foreslås endvidere, at den sikkerhedstekniske under-
søgelse vil kunne suppleres med et yderligere element af so-
cial engineering, der har til formål at skabe eller eskalere ad-
gangen til systemerne.
Dette element vil navnlig bestå af såkaldt spear-phishing,
hvor Center for Cybersikkerhed søger at målrette et simule-
ret angreb mod udvalgte medarbejdere.
Det vil f.eks. kunne foregå ved, at centeret – typisk på
baggrund af undersøgelser af offentligt tilgængelige oplys-
ninger – sender en e-mail til en bestemt medarbejder, hvor
centeret udgiver sig for at være en kollega på den pågælden-
de arbejdsplads. E-mailen vil være udformet på en sådan
måde, at den skal få medarbejderen til at sende oplysninger
til centeret, som centeret kan benytte til at skaffe sig adgang
til myndighedens eller virksomhedens netværk eller opnå
særlige rettigheder i systemerne, f.eks. administratorrettig-
heder. Det vil være kendetegnende for spear-phishing-mails,
at centeret udgiver sig for at være en anden for at franarre
medarbejdere bestemte oplysninger. Centeret vil dog kun
udgive sig for at være medarbejdere i den myndighed eller
virksomhed, der er genstand for undersøgelsen.
Dette element vil endvidere kunne indebære, at der place-
res usb-nøgler eller andre eksterne medier på myndighedens
eller virksomhedens område, som potentielt giver fjernad-
gang til systemerne, såfremt en medarbejder indsætter me-
diet i sin pc.
Det vil være frivilligt for myndigheden eller virksomhe-
den, om også dette element skal indgå i den konkrete sikker-
hedstekniske undersøgelse.
Det vil følge af aftalen med Center for Cybersikkerhed om
gennemførelse af den sikkerhedstekniske undersøgelse, at
myndigheden og virksomheden efter den sikkerhedstekniske
undersøgelse er afsluttet orienterer deres medarbejdere om
undersøgelsen.
Der henvises i det hele til den foreslåede § 6 a i lovforsla-
gets § 1, nr. 2, og bemærkningerne hertil.
14
3.5. Anvendelse og påvirkning af angrebsmål og
angrebsinfrastruktur
3.5.1. Gældende ret
Lov om Center for Cybersikkerhed regulerer ikke mulig-
heden for, at Center for Cybersikkerhed kan anvende fiktive
angrebsmål og påvirke angrebsinfrastruktur.
3.5.2. Forsvarsministeriets overvejelser
Center for Cybersikkerheds netsikkerhedstjeneste har med
de nuværende alarmenheder mulighed for at opdage cyber-
angreb, som anvender metoder, der i forvejen er kendt af
netsikkerhedstjenesten.
Centeret har imidlertid kun i meget begrænset omfang
mulighed for at anvende mere offensive metoder, hvor cen-
teret enten opstiller fiktive angrebsmål, som giver mulighed
for at lære om angrebsaktørernes metoder, eller hvor cente-
ret søger at påvirke angrebsinfrastruktur, så konsekvenserne
af et igangværende cyberangreb reduceres.
Center for Cybersikkerheds evne til at beskytte den digita-
le infrastruktur, som samfundsvigtige funktioner er afhængi-
ge af, vil kunne øges ved at anvende teknikker til at tilegne
sig større viden om udviklingen af nye angrebsmetoder og -
værktøjer, samt ved at anvende teknikker, der aktivt kan
bremse eller hæmme igangværende cyberangreb.
Ved anvendelse af sådanne teknikker kan det imidlertid
ikke udelukkes, at Center for Cybersikkerhed kommer i be-
siddelse af data, som stammer fra et cyberangreb – og hvor
der dermed kan blive tale om, at centeret dels skal foretage
indgreb omfattet af grundlovens § 72, dels skal behandle
personoplysninger.
Forsvarsministeriet har overvejet, om der bør etableres en
ordning, hvor der sker forudgående indhentelse af retsken-
delse. I de meget få tilfælde, hvor der som led i anvendelse
og påvirkning af angrebsmål og angrebsinfrastruktur måtte
opstå behov for, at Center for Cybersikkerhed tilgår data, vil
det imidlertid ikke på forhånd være muligt at afdække, om
centeret ved at tilgå sådanne data foretager et indgreb i med-
delelseshemmeligheden og hvem indgrebet i givet fald fore-
tages overfor. Dette vil således først kunne afdækkes, når
data analyseres og det f.eks. konstateres, at der blandt store
mængder tekniske oplysninger også indgår en meddelelse.
En domstolsprøvelse vil således ikke kunne baseres på en
vurdering af karakteren af data, men alene på en meget
overordnet vurdering af, om f.eks. trusselsbilledet i tilstræk-
kelig grad begrunder anvendelse af fiktive angrebsmål og
påvirkning af angrebsinfrastruktur, hvilket på tidspunktet for
domstolsprøvelsen alene vil kunne beskrives generelt og te-
oretisk. Dette område vurderes på den baggrund ikke at væ-
re egnet til domstolsprøvelse.
Anvendelse af sådanne teknikker vurderes ikke at kunne
påvirke det private it-sikkerhedsmarked negativt.
3.5.3. Den foreslåede ordning
Det foreslås, at Center for Cybersikkerhed gives mulighed
for at anvende fiktive angrebsmål og påvirke angrebsinfra-
struktur.
Lovhjemlen vil give Center for Cybersikkerhed mulighed
for at gøre brug af to teknikker. For det første opsætning af
fiktive angrebsmål, som er udstyret med potentielle sårbar-
heder, med det formål at tiltrække angrebsaktører, herunder
hjemmel til at foretage indgreb omfattet af grundlovens § 72
i denne forbindelse, jf. beskrivelsen af de såkaldte honey
pots i afsnit 3.5.3.1 nedenfor. For det andet overtagelse af en
del af en ondsindet aktørs angrebsinfrastruktur med henblik
på at standse eller begrænse et angreb, herunder hjemmel til
at foretage indgreb omfattet af grundlovens § 72 i denne for-
bindelse, jf. beskrivelsen af de såkaldte sinkholes i afsnit
3.5.3.2 nedenfor.
Den teknologiske udvikling gør, at de konkrete tekniske
metoder løbende vil skulle tilpasses angrebsaktørernes frem-
gangsmåder.
3.5.3.1. Anvendelse af honey pots
En honey pot er typisk et computersystem eller en server,
der indeholder sårbarheder og er placeret på netværket hos
et interessant angrebsmål med det formål at tiltrække sig op-
mærksomhed fra en angrebsaktør, der søger efter mål på
netværket. En honey pot vil således kun blive opdaget af an-
grebsaktører, der bevidst søger efter de pågældende sårbar-
heder.
Dermed lokkes angrebsaktøren til at bruge sine ressourcer
på at angribe et system, der er indrettet til formålet, i stedet
for reelle mål på netværket. Ved at lade systemet udsætte for
kompromittering kan Center for Cybersikkerhed endvidere
indsamle oplysninger om angrebsaktørens færden og brug af
kommandoer i systemet, herunder tilegne sig de angrebs-
værktøjer, som aktøren søger at placere på det sårbare sy-
stem.
En honey pot fungerer dermed både som afledningsman-
øvre i forsvaret af relevante netværk og som redskab til at
opnå større viden om angrebsaktørens værktøjer og fokus-
områder. Den særlige mulighed for på en honey pot at følge
med i et cyberangrebs fulde udstrækning vil kunne give
Center for Cybersikkerhed en dybere indsigt i de anvendte
angrebsmetoder og dermed et bedre grundlag for at styrke
beskyttelsen mod cyberangreb. Tilegnelsen af konkrete an-
grebsværktøjer og den efterfølgende analyse af angrebsaktø-
rens metoder m.v. kan således føre til udviklingen af nye
signaturer på cyberangreb og opdatering af alarmenhederne
hos tilsluttede myndigheder og virksomheder, således at lig-
nende angrebsforsøg kan opdages.
Honey pots vil efter omstændighederne kunne opsættes på
myndigheders og virksomheders egne netværk og eget ud-
styr, hvilket dog vil forudsætte samtykke fra de pågældende
myndigheder eller virksomheder.
Der henvises til den foreslåede § 6 b i lovforslagets § 1,
nr. 2, og bemærkningerne hertil.
15
3.5.3.2. Anvendelse af sinkholes
Ved anvendelse af et sinkhole vil Center for Cybersikker-
hed registrere rettighederne til eksempelvis et domænenavn,
der indgår i angrebsaktørens infrastruktur, og som ikke i for-
vejen er registreret, hvorefter den trafik, der ellers ville være
tilgået angrebsaktøren gennem det pågældende domæne, i
stedet modtages af Center for Cybersikkerhed som operatør
af sinkholet.
Desuden vil centeret på tilsvarende vis kunne købe adgang
til ip-adresser, der anvendes i et cyberangreb. Dermed kan
centeret f.eks. modtage data, som angrebsaktøren har hentet
fra en inficeret enhed, eller kommandoer, som angrebsaktø-
ren – via domænenavnet eller ip-adressen – sender til infice-
rede enheder.
Centeret vil tillige kunne registrere eksempelvis en e-mail-
adresse eller en konto på en kommunikationsplatform, når e-
mailadressen eller kontoen ikke i forvejen er registreret,
hvorefter den kommunikation, der ellers ville være tilgået
angrebsaktøren, i stedet modtages af Center for Cybersik-
kerhed. Dermed kan centeret f.eks. modtage meddelelser og
andre data, som angrebsaktøren ellers skulle have modtaget
fra en kompromitteret bruger eller inficeret enhed.
Centeret vil således med et sinkhole potentielt kunne af-
skære angrebsaktøren fra at styre dennes angrebsplatform –
og dermed standse et igangværende angreb.
Eftersom teknikken potentielt vil kunne bruges til at brem-
se omfattende cyberangreb, vil den kunne komme en bred
kreds af internetbrugere til gode. Det var f.eks. tilfældet med
det meget omtalte WannaCry-angreb, der fandt sted i 2017.
WannaCry var en ondsindet kode rettet mod en kendt sår-
barhed i en række styresystemer fra Microsoft. Den ondsin-
dede kode indeholdt en komponent, der krypterede udvalgte
filtyper og slettede originalerne, hvorefter offeret automatisk
blev opkrævet en løsesum for at få dekrypteret filerne. Den
ondsindede kode havde således karakter af ransomware. An-
grebet blev bremset af en privat it-sikkerhedsforsker, der
identificerede et domænenavn, som blev anvendt i angrebet,
men som dog ikke var blevet registreret af angrebsaktøren.
Ved at registrere domænenavnet kunne it-sikkerhedsforske-
ren dirigere trafikken over til en server, der dermed fungere-
de som et såkaldt sinkhole. Det bremsede i det konkrete til-
fælde angrebets spredning, og tillod samtidig forskeren at
dele information om, hvem der var ramt, med relevante par-
ter.
Der er altså tale om en sædvanlig og almindeligt anvendt
procedure for f.eks. opkøb af domænenavne. Proceduren vil
typisk kunne anvendes i tilfælde, hvor domænenavnet er le-
digt, fordi angrebsaktøren har undladt at registrere retten til
domænenavnet eller har undladt at forlænge en registrering,
eller hvor angrebsaktøren har undladt at registrere en e-mail-
adresse eller en konto på en kommunikationsplatform. Det
er derimod ikke hensigten, at Center for Cybersikkerhed
skal skaffe sig uberettiget adgang til et domænenavn eller en
konto på en kommunikationsplatform, f.eks. gennem hack-
ing, eller at der skal kunne gives påbud om, at et domæne-
navn eller en konto overdrages til centeret.
Der henvises til den foreslåede § 6 c i lovforslagets § 1,
nr. 2, og bemærkningerne hertil.
3.6. Påbud om udlevering af oplysninger på baggrund af
forudgående kendelse
3.6.1. Gældende ret
De sikkerhedshændelser, som Center for Cybersikkerhed
beskæftiger sig med, vil i en række tilfælde kunne være ud-
slag af en strafbar handling (eller forsøg herpå). Der er der-
for etableret et tæt samarbejde mellem centeret og politiet,
herunder Politiets Efterretningstjeneste, som indebærer, at
centeret videregiver oplysninger til politiet, når der er indi-
kationer på en strafbar handling, ligesom politiet underretter
centeret om sager, der kan have betydning for centerets
funktion.
Efter politiets begæring kan retten efter retsplejelovens §
804 som led i efterforskningen af en strafbar lovovertrædel-
se pålægge en person, der ikke er mistænkt, at forevise eller
udlevere en genstand, som den pågældende har rådighed
over, hvis genstanden eksempelvis kan tjene som bevis i en
straffesag (edition).
Bestemmelsen om edition kan bl.a. anvendes til at få op-
lysninger om, hvem der på et givet tidspunkt har været bru-
ger af en specifik ip-adresse eller e-mailkonto. Hvis efter-
forskningen f.eks. vedrører et hackerangreb, kan sådanne
oplysninger samtidig være afgørende for Center for Cyber-
sikkerheds mulighed for at undersøge en sikkerhedshændel-
se. I disse situationer vil politiet ofte videregive oplysnin-
gerne til centeret. Derudover indhenter politiet også i dag
editionskendelser i medfør af retsplejelovens § 804 efter an-
modning fra Center for Cybersikkerhed, forudsat at sikker-
hedshændelsen gøres til genstand for efterforskning hos po-
litiet.
Center for Cybersikkerhed undersøger imidlertid sikker-
hedshændelser, uanset om hændelserne er genstand for ef-
terforskning hos politiet eller ej. Centerets formål med un-
dersøgelserne vil være at søge at imødegå eller begrænse ef-
fekten af sikkerhedshændelserne.
Center for Cybersikkerhed har ikke i dag mulighed for at
anmode retten om at pålægge personer og virksomheder at
udlevere oplysninger om brugeren af en e-mailkonto, ip-
adresse eller et domænenavn, selvom det måtte være nød-
vendigt for at afdække forhold vedrørende en sikkerheds-
hændelse, herunder for at kunne underrette offeret for et cy-
berangreb om en kompromittering af vedkommendes it-sy-
stem.
3.6.2. Forsvarsministeriets overvejelser
Center for Cybersikkerhed får som udgangspunkt mistan-
ke om en sikkerhedshændelse ved alarmer, der udløses i
alarmenhederne, eller ved modtagelse af varslinger fra For-
svarets Efterretningstjeneste eller samarbejdspartnere. Cen-
teret vil imidlertid ikke nødvendigvis have et tilstrækkeligt
grundlag for at henføre aktiviteten til en bestemt angrebsak-
tør eller at identificere målet for et muligt angreb.
16
For at kunne afdække sådanne forhold har centeret typisk
behov for oplysninger om brugerne af e-mailkonti, ip-adres-
ser eller domænenavne, der knytter sig til hændelsen. Disse
oplysninger vil ofte foreligge hos et teleselskab eller en
webhostingvirksomhed.
Oplysninger om brugeren af en bestemt e-mailkonto, ip-
adresse eller et domænenavn er ofte afgørende for at kunne
vurdere karakteren og alvorligheden af en mistænkelig akti-
vitet. Brugeroplysningerne vil kunne anvendes til at iværk-
sætte eventuelle relevante modforanstaltninger ved at identi-
ficere dels den infrastruktur, som angrebet udgår fra, dels
målet for angrebet. Denne viden vil centeret bl.a. kunne be-
nytte til at orientere eventuelle ofre for et cyberangreb.
Da Center for Cybersikkerhed har behov for oplysninger-
ne med henblik på at kunne varetage centerets opgaver med
at afdække og imødegå cyberangreb, finder Forsvarsmini-
steriet, at der bør skabes en ny hjemmel til at centeret efter
rettens kendelse kan få udleveret oplysninger om brugeren
af en e-mailkonto, ip-adresse eller et domænenavn med hen-
blik på at afdække sikkerhedshændelser.
Det bemærkes i øvrigt, at udlevering af oplysninger om
brugeren af en e-mailkonto, ip-adresse eller et domænenavn
ikke vurderes at udgøre et indgreb i meddelelseshemmelig-
heden.
Forslaget vurderes ikke at påvirke det private it-sikker-
hedsmarked negativt.
3.6.3. Den foreslåede ordning
Det foreslås, at der skabes hjemmel til, at retten efter be-
gæring fra Center for Cybersikkerhed ved kendelse kan på-
lægge personer og virksomheder, typisk teleudbydere og
webhostingvirksomheder, at udlevere oplysninger om bru-
geren af en e-mailkonto, ip-adresse eller et domænenavn til
centeret, hvis det er nødvendigt for at afdække forhold ved-
rørende en sikkerhedshændelse.
Forslaget omfatter ikke udlevering af øvrige oplysninger,
der kan bidrage til at afdække forhold vedrørende en eventu-
el sikkerhedshændelse, herunder eksempelvis udlevering af
logfiler eller krypteringsnøgler fra myndigheder, virksomhe-
der eller borgere.
Den foreslåede ordning følger i det væsentligste bestem-
melserne om edition i retsplejelovens kapitel 74. Den fore-
slåede ordning adskiller sig imidlertid ved, at der ikke skal
være et krav om mistanke om en strafbar lovovertrædelse,
men derimod alene krav om, at oplysningerne skal kunne
medvirke til at afdække sikkerhedshændelser.
Ligesom efter retsplejelovens regler om edition vil der ik-
ke ske underretning af den pågældende bruger af e-mailkon-
toen, ip-adressen eller domænenavnet, medmindre
vedkommende efterfølgende sigtes af politiet. Det bemær-
kes dog, at de oplysninger, som Center for Cybersikkerhed
vil få udleveret som led i edition, ofte vil være oplysninger
om offeret for et cyberangreb. I disse situationer vil en væ-
sentlig del af formålet med at få udleveret oplysningerne
kunne være at informere den pågældende om angrebet.
Det bemærkes, at forslaget ikke ændrer ved den grundlæg-
gende ansvarsfordeling mellem Center for Cybersikkerhed
og politiet, herunder Politiets Efterretningstjeneste. Det vil
således fortsat være politiets opgave at forebygge og efter-
forske strafbare forhold samt forsøg herpå, herunder i rela-
tion til cyberangreb, og centeret vil fortsat videregive oplys-
ninger – herunder oplysninger, der er udleveret på baggrund
af editionskendelse – til politiet, når der er indikationer på
en formodet strafbar handling (eller et forsøg herpå). Dette
indebærer, at der fortsat vil være behov for en tæt dialog
mellem Center for Cybersikkerhed og politiet i forbindelse
med udførelsen af deres respektive forebyggende og efter-
forskningsmæssige opgaver.
Der henvises til de foreslåede §§ 7 - 7 f i lovforslagets § 1,
nr. 2, og bemærkningerne hertil.
3.7. Videregivelse og analyse af data
3.7.1. Gældende ret
Lov om Center for Cybersikkerhed skelner i dag mellem
trafikdata og pakkedata. Pakkedata er indholdet af kommu-
nikation (f.eks. indholdet i en e-mail, en vedhæftet fil eller
data, der sendes fra et program, som er downloadet på en
computer), mens trafikdata er metadata om kommunikation
(f.eks. oplysninger om, hvilken ip-adresse e-mailen stammer
fra eller som programmet sender data til).
Der er i loven knyttet langt strengere betingelser til be-
handling af pakkedata end til behandling af trafikdata. Cen-
ter for Cybersikkerhed kan f.eks. efter den gældende § 16
videregive trafikdata til en række myndigheder og virksom-
heder, mens pakkedata som udgangspunkt kun kan videregi-
ves til én modtager, nemlig politiet.
3.7.2. Forsvarsministeriets overvejelser
De restriktive betingelser for at videregive pakkedata ud-
gør en betydelig udfordring for Center for Cybersikkerheds
muligheder for at understøtte et højt informationssikker-
hedsniveau i den samfundsvigtige infrastruktur.
De nuværende videregivelsesregler for data tilvejebragt
gennem indgreb i meddelelseshemmeligheden er således til
hinder for, at Center for Cybersikkerhed i forbindelse med
håndteringen af sikkerhedshændelser kan videregive mal-
ware indeholdt i pakkedata samt phishing-mails til andre
end politiet.
De gældende regler tager dermed ikke højde for, at mal-
ware oftest vil foreligge som en del af indholdet af en kom-
munikation, f.eks. som en vedhæftet fil i en e-mail, ligesom
links til inficerede domæner og filer i phishing-mails også er
en del af indholdet. Det betyder, at behandlingen af malware
og phishing-mails er omfattet af de restriktive videregivel-
sesregler, og at centeret derfor er forhindret i at videregive
malware og phishing-mails til relevante myndigheder og
virksomheder, herunder eksempelvis teleudbydere og andre
netsikkerhedstjenester, der f.eks. ville kunne anvende disse
data til at styrke deres eget cyberforsvar ved at stoppe tilsva-
rende angreb mod dem selv.
17
De gældende regler giver endvidere ikke mulighed for, at
centeret kan videregive pakkedata til den tilsluttede myndig-
hed eller virksomhed, som de pågældende data stammer fra,
med henblik på at få bistand til at fastslå, om data reelt er
ondartet. Det kan eksempelvis være relevant i tilfælde, hvor
det konstateres, at myndighedens eller virksomhedens syste-
mer reagerer på kommandoer, der potentielt kan være ud-
tryk for angrebsaktivitet.
Derudover giver reglerne ikke mulighed for, at centeret i
forbindelse med test og konfiguration af alarmenhederne
kan videregive trafikdata, uden at der er begrundet mistanke
om en sikkerhedshændelse, til den tilsluttede myndighed el-
ler virksomhed med henblik på, at de kan fastslå og oplyse
karakteren af de pågældende data. En sådan videregivelses-
mulighed ville betyde, at centeret kunne etablere et normal-
billede af netværkstrafikken til og fra de enkelte myndighe-
der og virksomheder, således at det ville kunne fastslås,
hvornår specifikke datamønstre er en del af den rutinemæs-
sige trafik i netværket, og hvornår der er tale om afvigelser,
der kan være tegn på sikkerhedshændelser.
Endelig tager reglerne ikke højde for videregivelse af da-
ta, der stammer fra forebyggende sikkerhedstekniske under-
søgelser.
3.7.3. Den foreslåede ordning
Det foreslås for det første, at de nuværende rammer for vi-
deregivelse af pakkedata fra Center for Cybersikkerhed ud-
vides, således at centeret for det første får mulighed for at
videregive den meget lille delmængde af pakkedata, som
vurderes at være ondartet data i form af malware, til andre
end blot politiet.
Ved malware forstås i denne sammenhæng data, hvor der
er særligt bestyrket mistanke om, at data er anvendt af en
angrebsaktør med det formål at forårsage et brud på infor-
mationssikkerheden. Det kan eksempelvis være selve den
skadelige kode, phishing-mails eller kommandoer, der kan
være udtryk for angrebsaktivitet.
Kredsen af myndigheder og virksomheder – udover politi-
et – som centeret vil kunne videregive data til, foreslås af-
grænset på samme måde som i den gældende § 16, nr. 2, i
lov om Center for Cybersikkerhed. Der vil dermed være tale
om bl.a. virksomheder, der er tilsluttet netsikkerhedstjene-
sten, danske myndigheder og teleudbydere samt andre net-
sikkerhedstjenester, herunder tilsvarende netsikkerhedstje-
nester i Danmark og udlandet, f.eks. CERT’er, CSIRT’er,
ikt-sikkerhedsmyndigheder og efterretningstjenester. Disse
modtagere vil selvstændigt kunne anvende de pågældende
data til at styrke cybersikkerheden, f.eks. ved at beskytte de-
res egne og deres kunders infrastruktur mod angreb af
samme type. Desuden vil de på baggrund af de modtagne
data kunne give Center for Cybersikkerhed supplerende op-
lysninger, herunder om f.eks. tilsvarende eller relaterede an-
greb, som de er bekendt med.
Der henvises til den foreslåede § 16, stk. 4, nr. 2 og 3, i
lovforslagets § 1, nr. 7, og bemærkningerne hertil.
Det foreslås for det andet, at pakkedata generelt skal kun-
ne videregives til den tilsluttede myndighed eller virksom-
hed, som dataene stammer fra, hvis der er begrundet mistan-
ke om en sikkerhedshændelse.
Center for Cybersikkerheds videregivelse af data vil skul-
le ske i overensstemmelse med tavshedspligtsreglerne i
straffelovens § 152 og §§ 152 c-152 f og forvaltningslovens
§ 27. Centerets videregivelse af oplysninger til en anden for-
valtningsmyndighed vil desuden skulle ske i overensstem-
melse med forvaltningslovens § 28.
Det bemærkes, at danske modtageres behandling – herun-
der videregivelse – af de pågældende data vil være underlagt
de databeskyttelsesretlige regler. Offentlige myndigheder vil
desuden være underlagt bl.a. de nævnte regler i forvaltnings-
loven om videregivelse samt forvaltningslovens og straffelo-
vens regler om tavshedspligt.
Der henvises til den foreslåede § 16, stk. 2, nr. 2, i lovfor-
slagets § 1, nr. 7, og bemærkningerne hertil.
Det foreslås for det tredje, at trafikdata, der stammer fra
tekniske test og konfiguration af netsikkerhedstjenestens
alarmenheder, skal kunne videregives til den tilsluttede
myndighed eller virksomhed, hvorfra de pågældende data
hidrører.
Der henvises til den foreslåede § 16, stk. 5, nr. 2, i lovfor-
slagets § 1, nr. 7, og bemærkningerne hertil.
For det fjerde foreslås det, at malware, der opdages ved en
tilfældighed i forbindelse med behandling af data som led i
tekniske test og konfiguration af alarmenhederne, kan vide-
regives til samme kreds af myndigheder og virksomheder,
som det foreslås, at malware generelt kan videregives til.
Der henvises til den foreslåede § 16, stk. 5, nr. 1, i lovfor-
slagets § 1, nr. 7, og bemærkningerne hertil.
For det femte foreslås det, at Center for Cybersikkerhed
får adgang til at foretage manuelle analyser som led i tekni-
ske tests og konfiguration af netsikkerhedstjenestens alarm-
enheder. Analysen vil kunne omfatte trafikdata og pakkeda-
ta i det omfang, det er nødvendigt for at gennemføre testen.
Der kan i forbindelse med den løbende udvikling og drift
af alarmenhederne være behov for kortvarigt at tilgå trafik-
data og pakkedata. For det første er der behov for, at rele-
vante medarbejdere kan tilgå og anvende data i forbindelse
med udvikling af ny funktionalitet i alarmenhederne. Som
led i udviklingsarbejdet er der således behov for at teste, om
en given funktionalitet reagerer efter hensigten, når den ud-
sættes for faktiske datastrømme. For det andet er der i for-
bindelse med opsætning og konfiguration af alarmenhederne
på tilsvarende vis behov for at sikre sig, at enhederne funge-
rer korrekt. Ved at kunne tilgå data vil centeret kunne kon-
statere, om enheden kan håndtere mængden, hastigheden og
variationen af de unikke datastrømme, der hidrører fra den
tilsluttede myndighed eller virksomhed.
Der henvises til den foreslåede § 15, nr. 5, i lovforslagets
§ 1, nr. 7, og bemærkningerne hertil.
Det bemærkes, at der endvidere foreslås tilpasninger af
reglerne om Center for Cybersikkerheds hjemmel til analyse
18
og videregivelse af data som en konsekvens af de foreslåede
ordninger vedrørende sikkerhedssoftware, jf. afsnit 3.3,
forebyggende sikkerhedstekniske undersøgelser, jf. afsnit
3.4, og anvendelse og påvirkning af angrebsmål og angrebs-
infrastruktur, jf. afsnit 3.5.
Der henvises til de foreslåede §§ 15 og 16 i lovforslagets
§ 1, nr. 7, og bemærkningerne hertil.
Der vil ikke med de foreslåede ændringer af videregivel-
sesreglerne ske en udvidelse af Center for Cybersikkerheds
mulighed for at foretage indgreb, der er omfattet af grundlo-
vens § 72.
3.8. Frister for sletning af data
3.8.1. Gældende ret
Der gælder i medfør af § 14 i lov om Center for Cybersik-
kerhed en generel sletteregel for personoplysninger svarende
til bestemmelsen i § 5, stk. 5, i den tidligere gældende per-
sondatalov. Reglen indebærer, at personoplysninger skal
slettes, når det ikke længere er nødvendigt at opbevare dem.
Det følger dog af § 14, stk. 2, i lov om Center for Cybersik-
kerhed, at personoplysninger kan overføres til opbevaring i
arkiv efter reglerne i arkivlovgivningen.
Herudover gælder der i medfør af lovens § 17 særlige slet-
teregler for data, der er tilvejebragt på baggrund af indgreb i
meddelelseshemmeligheden, herunder bl.a. gennem den net-
værksmonitorering, som centeret foretager hos myndigheder
og virksomheder, der er tilsluttet centerets netsikkerhedstje-
neste.
Det følger således af lovens § 17, stk. 1 og 2, at data, der
er omfattet af kapitel 4 (om indgreb i meddelelseshemmelig-
heden), skal slettes, når formålet med behandlingen er op-
fyldt. Uanset, at formålet med behandlingen ikke er opfyldt,
må data, der knytter sig til en sikkerhedshændelse, højst op-
bevares i tre år, mens data, der ikke knytter sig til en sikker-
hedshændelse, højst må opbevares i 13 måneder. Den tre-
årige slettefrist for data knyttet til en sikkerhedshændelse lø-
ber dog på ny, hvis data inden for den tre-årige periode igen
konstateres anvendt i forbindelse med en sikkerhedshændel-
se.
3.8.2. Forsvarsministeriets overvejelser
De nuværende sletteregler for data, der er tilvejebragt på
baggrund af indgreb i meddelelseshemmeligheden, tillader
ikke i tilstrækkelig grad, at Center for Cybersikkerhed kan
opbevare oplysninger, som kan bidrage til at opdage og imø-
degå sikkerhedshændelser.
Data, der er knyttet til en sikkerhedshændelse, f.eks. op-
lysninger vedrørende et forsøgt eller succesfuldt cyberan-
greb, anvendes efterfølgende til at udvikle signaturer (indi-
katorer) til alarmenhederne, således at nye angreb, der kom-
mer fra samme kilde eller anvender samme værktøjer, kan
opdages. Centeret anvender desuden sin viden om angrebs-
aktører og angrebsmetoder, der er tilvejebragt på baggrund
af indgreb i meddelelseshemmeligheden, til at forsøge at
være på forkant med nye angrebsmetoder.
Selv om angrebsmetoderne løbende udvikler sig, ses det
jævnligt, at tidligere afprøvede teknikker forsøges anvendt
på ny. Det ses endvidere ofte, at tidligere anvendte metoder
eller delelementer heraf videreudvikles, så de genopstår i
nye variationer.
Hvis en angrebsmetode ikke har været anvendt de seneste
tre år, skal centeret imidlertid slette oplysningerne om meto-
den. Det indebærer, at centerets muligheder for at opdage, at
metoden genanvendes, vanskeliggøres betydeligt. Dertil
kommer, at sletning af oplysningerne vanskeliggør opdagel-
se af nye variationer af tidligere afprøvede metoder.
De restriktive betingelser for at opbevare data knyttet til
en sikkerhedshændelse har således i en række konkrete til-
fælde vist sig at udgøre en betydelig hindring for centerets
effektive beskyttelse af samfundsvigtig infrastruktur.
På tilsvarende vis er den nuværende pligt til inden 13 må-
neder at slette data, der ikke er knyttet til en sikkerhedshæn-
delse, uhensigtsmæssig i de tilfælde, hvor eksempelvis dan-
ske myndigheder er genstand for længerevarende angrebs-
kampagner.
Særligt når det gælder opdagelse af avancerede cyberan-
greb fra statsstøttede aktører har det i forbindelse med alvor-
lige angreb vist sig at være af meget stor betydning for Cen-
ter for Cybersikkerhed, at der skabes mulighed for, at cente-
ret kan tilgå ældre data med henblik på at afdække angrebets
iværksættelse og varighed, herunder eventuelt identificere
andre ofre for samme type angreb. Der vil her være tale om
data, som ikke på det foreliggende tidspunkt er identificeret
som knyttet til en sikkerhedshændelse.
Herudover tager formuleringen af den nuværende bestem-
melse i lovens § 14, stk. 2, vedrørende overførsel af person-
oplysninger til arkiv efter reglerne i arkivlovgivningen, ikke
i tilstrækkelig grad højde for, at der kan være oplysninger,
som ikke er personoplysninger, men som det kan være rele-
vant at bevare for eftertiden. Det følger af arkivloven, at da-
ta kan overføres til arkiv, men i overensstemmelse med ord-
ningen i databeskyttelsesloven bør forholdet til arkivlovgiv-
ningen tydeliggøres.
Endelig vurderes der at være behov for at kunne fastsætte
nærmere regler om Center for Cybersikkerheds behandling
af oplysninger, der skal bevares for eftertiden, men som af
praktiske eller sikkerhedsmæssige årsager ikke kan overfø-
res til Rigsarkivet.
3.8.3. Den foreslåede ordning
Det foreslås at udvide Center for Cybersikkerheds mulig-
heder for at opbevare data, der stammer fra indgreb i med-
delelseshemmeligheden, hvilket beskrives nærmere neden-
for.
3.8.3.1. Data, der er knyttet til en sikkerhedshændelse
For så vidt angår data, der er knyttet til en sikkerhedshæn-
delse, foreslås det, at slettefristen udvides til fem år. Det
skyldes et hensyn til at bevare Center for Cybersikkerheds
viden om tidligere anvendte angrebsmetoder.
19
Ved fastsættelse af den foreslåede tidsgrænse er der endvi-
dere lagt vægt på karakteren af de opbevarede data. Der er
således tale om data, hvor det specifikt er konstateret, at de
knytter sig til en sikkerhedshændelse.
Der henvises til den foreslåede § 17, stk. 2, nr. 1, i lovfor-
slagets § 1, nr. 12, med tilhørende bemærkninger.
3.8.3.2. Data, der ikke er knyttet til en sikkerhedshændelse
For så vidt angår data, der ikke er knyttet til en sikker-
hedshændelse, foreslås det, at slettefristen udvides til tre år
for data, der stammer fra myndigheder, som i særlig grad
beskæftiger sig med udenrigs-, sikkerheds- og forsvarspoli-
tiske forhold samt virksomheder og organisationer, hvis ak-
tiviteter har særlig betydning for disse forhold.
Den nuværende slettefrist på 13 måneder fastholdes for
data, der stammer fra øvrige myndigheder og virksomheder.
Det bemærkes i øvrigt, at data – uanset de absolutte slette-
frister – fortsat vil skulle slettes i medfør af lovens § 17, stk.
1, når formålet med behandlingen efter en konkret vurdering
er udtømt.
Der henvises til den foreslåede § 17, stk. 2, nr. 2, i lovfor-
slagets § 1, nr. 7, med tilhørende bemærkninger.
3.8.3.3. Suspension af slettefristen
Som supplement til den foreslåede forlængelse af de abso-
lutte slettefrister foreslås det endvidere, at der indføres mu-
lighed for i helt særlige tilfælde at suspendere slettefristerne
kortvarigt. Det vil indebære, at sletning kan undlades, hvis
væsentlige hensyn til varetagelsen af Center for Cybersik-
kerheds opgaver gør det nødvendigt.
Det kan f.eks. være i tilfælde, hvor der er konstateret en
sikkerhedshændelse, og hvor der er fare for, at relevant data,
der endnu ikke er analyseret, ellers skal slettes i medfør af
de absolutte slettefrister, før sikkerhedshændelsens fulde
omfang kan afdækkes.
Det følger af ordningen, at oplysningerne skal slettes, så
snart begrundelsen for at undlade sletning ikke længere er til
stede.
Der henvises til den foreslåede § 17, stk. 7, i lovforslagets
§ 1, nr. 7, og bemærkningerne hertil.
3.8.3.4. Særlige sletteregler for visse data
Som en konsekvens af de foreslåede § 6 b og § 6 c, der
skaber hjemmel til, at Center for Cybersikkerhed kan opsæt-
te fiktive angrebsmål samt gøre brug af domænenavne og
tilsvarende it-infrastruktur, som har været anvendt af en an-
grebsaktør, foreslås der særlige sletteregler for de data, som
Center for Cybersikkerhed får adgang til ved anvendelsen af
fiktive angrebsmål og overtaget angrebsinfrastruktur.
Disse data vil herefter ikke være omfattet af de almindeli-
ge sletteregler i § 17, såfremt Center for Cybersikkerhed ik-
ke udtager data til nærmere vurdering.
Der henvises til den foreslåede § 17 a i lovforslagets § 1,
nr. 7, og bemærkningerne hertil.
3.8.3.5. Forholdet til arkivlovgivningen
Det foreslås endvidere at flytte den nuværende bestem-
melse om forholdet til arkivlovgivningen til kapitel 5, der
omhandler forholdet til anden lovgivning. Derudover fore-
slås det at tydeliggøre, at bestemmelsen omfatter alle oplys-
ninger omfattet af lov om Center for Cybersikkerhed, og ik-
ke kun personoplysninger.
Endelig foreslås det, at der skabes hjemmel til, at der i en
bekendtgørelse kan fastsættes nærmere regler om centerets
overførsel af oplysninger, der skal bevares for eftertiden, til
Rigsarkivet samt om centerets opbevaring af sådanne oplys-
ninger, indtil overførsel til Rigsarkivet kan ske.
Der henvises til den foreslåede § 8 a i lovforslagets § 1,
nr. 5, og bemærkningerne hertil.
3.9. Delvis undtagelse fra retssikkerhedsloven
3.9.1. Gældende ret
Center for Cybersikkerhed er en del af Forsvarets Efterret-
ningstjeneste, og det følger af den gældende § 8, stk. 1, i lov
om Center for Cybersikkerhed, at centerets virksomhed som
udgangspunkt er undtaget fra lov om offentlighed i forvalt-
ningen bortset fra lovens § 13. Center for Cybersikkerheds
virksomhed er endvidere undtaget fra forvaltningslovens ka-
pitel 4-6 og fra databeskyttelsesloven og Europa-Parlamen-
tets og Rådets forordning 2016/679/EU af 27. april 2016 om
beskyttelse af fysiske personer i forbindelse med behandling
af personoplysninger og om fri udveksling af sådanne oplys-
ninger, jf. § 3, stk. 2, i databeskyttelsesloven, og fra lov om
retshåndhævende myndigheders behandling af personoplys-
ninger, jf. § 1, stk. 2, i lov om retshåndhævende myndighe-
ders behandling af personoplysninger.
Med lov nr. 442 af 9. juni 2004 om retssikkerhed ved for-
valtningens anvendelse af tvangsindgreb og oplysningsplig-
ter (retssikkerhedsloven) er der gennemført en samlet regu-
lering af en række spørgsmål, der vedrører tilfælde, hvor en
forvaltningsmyndighed har mulighed for uden for straffe-
retsplejen at foretage tvangsindgreb.
Det følger af retssikkerhedslovens § 1, stk. 1, at lovens ka-
pitel 2 og 3 finder anvendelse ved tvangsindgreb, som fore-
tages af den offentlige forvaltning uden for strafferetsplejen,
og som består i husundersøgelse eller undersøgelse eller be-
slaglæggelse af breve og andre papirer. Endvidere følger det
af § 1, stk. 2, at lovens kapitel 3 finder anvendelse ved
tvangsindgreb, som foretages af den offentlige forvaltning
uden for strafferetsplejen, og som består i undersøgelse af
andre lokaliteter, undersøgelse eller beslaglæggelse af andre
genstande, brud på meddelelseshemmeligheden eller efter-
syn eller anden undersøgelse af personer.
Center for Cybersikkerheds netsikkerhedstjeneste har efter
gældende ret hjemmel til at foretage indgreb i meddelelses-
hemmeligheden og er derfor omfattet af reglerne i retssik-
kerhedslovens kapitel 3.
I retssikkerhedslovens kapitel 2 følger det af § 2, at
tvangsindgreb kun må anvendes, hvis mindre indgribende
foranstaltninger ikke er tilstrækkelige, og hvis indgrebet står
20
i rimeligt forhold til formålet med indgrebet. Efter § 3 finder
forvaltningslovens §§ 3-9 a, 10-18 og 22-26 (om inhabilitet,
vejledning, repræsentation, partsaktindsigt, begrundelse og
klagevejledning m.v.) anvendelse ved beslutninger om
iværksættelse af tvangsindgreb. Efter § 4 skal en myndighed
i sager om iværksættelse af tvangsindgreb, når den mundt-
ligt eller på anden måde bliver bekendt med oplysninger om
en sags faktiske grundlag eller eksterne faglige vurderinger,
der er af betydning for beslutningen om iværksættelse af
tvangsindgreb, snarest muligt gøre notat om indholdet af op-
lysningerne eller vurderingerne. Det gælder dog ikke, hvis
oplysningerne eller vurderingerne i øvrigt fremgår af sagens
dokumenter. En myndighed skal i sager om iværksættelse af
tvangsindgreb endvidere snarest muligt tage notat om væ-
sentlige sagsekspeditionsskridt, der ikke i øvrigt fremgår af
sagens dokumenter.
Herudover følger det af § 5, at parten forud for gennemfø-
relsen af en beslutning om iværksættelse af et tvangsindgreb
skal underrettes om beslutningen. Bestemmelsen fastsætter
en række krav til underretningen, herunder at underretnin-
gen skal ske skriftligt senest 14 dage, inden tvangsindgrebet
gennemføres. Kravet om forudgående underretning kan fra-
viges helt eller delvis, bl.a. hvis forudgående underretning
viser sig umulig eller er uforholdsmæssig vanskelig. Hvis en
beslutning om iværksættelse af tvangsindgreb gennemføres
uden forudgående underretning, skal beslutningen samtidig
med gennemførelsen af indgrebet meddeles parten skriftligt.
Efter § 6 må tvangsindgreb, der foretages uden for myn-
dighedernes embedssteder, som udgangspunkt kun foretages
mod forevisning af legitimation. Efter § 7 skal tvangsindgre-
bet foretages så skånsomt, som omstændighederne tillader
det.
Efter § 8 skal myndigheden udfærdige rapport om udførel-
sen af indgrebet, hvis myndigheden under gennemførelsen
af et tvangsindgreb finder, at den, som indgrebet er rettet
imod, har tilsidesat regler i lovgivningen m.v. Rapporten
skal snarest muligt udleveres til vedkommende. Hvis myn-
digheden ikke finder, at den, som indgrebet er rettet imod,
har tilsidesat regler i lovgivningen m.v., skal myndigheden
efter stk. 2 udfærdige og udlevere en rapport om udførelsen
af indgrebet, hvis en part fremsætter begæring om det.
I retssikkerhedslovens kapitel 3 følger det af § 9 bl.a., at
hvis en enkeltperson eller juridisk person med rimelig grund
mistænkes for at have begået en strafbar lovovertrædelse,
kan tvangsindgreb over for den mistænkte med henblik på at
tilvejebringe oplysninger om det eller de forhold, som mis-
tanken omfatter, alene gennemføres efter reglerne i retsple-
jeloven om strafferetsplejen. Denne regel gælder dog ikke,
hvis tvangsindgrebet gennemføres med henblik på at tilveje-
bringe oplysninger til brug for behandlingen af andre
spørgsmål end fastsættelse af straf.
3.9.2. Forsvarsministeriets overvejelser
Den monitorering, som Center for Cybersikkerheds net-
sikkerhedstjeneste foretager efter gældende ret, er omfattet
af retssikkerhedslovens kapitel 3. De indgreb i meddelelses-
hemmeligheden, som Center for Cybersikkerheds netsikker-
hedstjeneste foretager, sker primært, når centerets alarmen-
heder tilgår elektronisk kommunikation for at fastslå, om
kommunikationen er led i et cyberangreb.
Med lovforslaget vil Center for Cybersikkerhed også få
mulighed for at foretage indgreb omfattet af grundlovens §
72, når der anvendes sikkerhedssoftware til løbende at scan-
ne lokale enheder for tegn på cyberangreb, jf. afsnit 3.3, når
der foretages forebyggende sikkerhedsundersøgelser, jf. af-
snit 3.4, og når der tilgås data, som en angrebsaktør har de-
poneret i forbindelse med centerets anvendelse af honey
pots eller sinkholes, jf. afsnit 3.5. Disse indgreb vil efter om-
stændighederne kunne være omfattet af retssikkerhedslo-
vens § 1, stk. 1, hvorved både lovens kapitel 2 og 3 finder
anvendelse. Særligt i forhold til centerets adgang til data,
der er deponeret på honey pots eller sinkholes, vil det imid-
lertid være tvivlsomt, om adgang til disse data vil udgøre en
husundersøgelse eller undersøgelse eller beslaglæggelse af
breve og andre papirer, jf. retssikkerhedslovens § 1, stk. 1.
Kapitel 2 i retssikkerhedsloven stiller en række krav til
gennemførelsen af tvangsindgreb. Forsvarsministeriet finder
det naturligt at fastholde udgangspunktet om, at retssikker-
hedsloven finder anvendelse på Center for Cybersikkerheds
virksomhed. Det gælder ikke mindst i forhold til retssikker-
hedslovens § 2 om proportionalitetsprincippet og § 7, som
bl.a. fastslår, at tvangsindgrebet skal foretages så skånsomt
som muligt.
Forsvarsministeriet vurderer imidlertid, at enkelte af de
øvrige bestemmelser i kapitel 2 har en sådan karakter, at det
ikke vil være hensigtsmæssigt, at de finder anvendelse på
Center for Cybersikkerheds virksomhed. Det skyldes, at de
indgreb, som foretages af Center for Cybersikkerhed, adskil-
ler sig væsentligt fra de tvangsindgreb, der anvendes af for-
valtningen ved kontrolbesøg m.v. Centerets indgreb sker
som altovervejende hovedregel som led i en automatiseret
(maskinel) proces, og de sker mange tusinde gange i timen.
Indgrebene er endvidere karakteriserede ved, at de ikke er
rettet mod konkrete borgere eller virksomheder og ikke sker
som led i kontrol- eller tilsynsvirksomhed, men derimod har
til formål at fremfinde tekniske oplysninger i form af an-
grebsværktøjer eller resultaterne af cyberangreb – med hen-
blik på at forebygge og stoppe sådanne angreb. At fremfinde
disse oplysninger forudsætter imidlertid, at Center for Cy-
bersikkerhed foretager indgreb, der er omfattet af grundlo-
vens § 72 og af retssikkerhedsloven.
De tvangsindgreb, der gennemføres af Center for Cyber-
sikkerhed, sker ikke på baggrund af konkrete beslutninger i
de enkelte tilfælde, men – for så vidt angår anvendelse af
sikkerhedssoftware og sikkerhedstekniske undersøgelser –
primært på baggrund af generelle aftaler med myndigheder
eller virksomheder. Forsvarsministeriet finder derfor, at rets-
sikkerhedslovens § 3 om, at forvaltningslovens §§ 3-9 a,
10-18 og 22-26 (om inhabilitet, vejledning, repræsentation,
partsaktindsigt, begrundelse og klagevejledning m.v.) finder
anvendelse ved beslutninger om iværksættelse af tvangsind-
greb, ikke bør finde anvendelse for Center for Cybersikker-
hed. Det bemærkes i den forbindelse, at forvaltningslovens
§§ 3-6 om inhabilitet uanset dette vil finde anvendelse på de
21
aftaler om anvendelse af sikkerhedssoftware eller udførelse
af forebyggende sikkerhedstekniske undersøgelser, som ind-
gås mellem Center for Cybersikkerhed og en myndighed el-
ler virksomhed.
Retssikkerhedslovens § 5 fastsætter en række krav til un-
derretning af parten i forbindelse med gennemførelse af
tvangsindgreb. Derudover stiller retssikkerhedslovens § 8,
stk. 2, bl.a. krav om, at der på begæring af den, som indgre-
bet har rettet sig imod, skal udleveres en rapport om udførel-
sen af indgrebet.
Når borgere og virksomheder kommunikerer med tilslutte-
de myndigheder og virksomheder, indgår deres data i de lø-
bende indgreb, som foretages af Center for Cybersikkerhed.
Identiteten på de borgere og virksomheder, hvis data måtte
indgå i de løbende indgreb, kendes som altovervejende ho-
vedregel ikke af Center for Cybersikkerhed, hverken før,
under eller efter indgrebet. Det skal ses i lyset af, at formålet
med indgrebene ikke er at tilvejebringe oplysninger om borg-
ere eller virksomheder, ligesom formålet ikke er at indlede
en sag, der involverer borgere eller virksomheder. Center for
Cybersikkerheds netsikkerhedstjeneste opretter således ikke
sager vedrørende borgere eller virksomheder, der kommuni-
kerer med tilsluttede myndigheder eller virksomheder, hvor-
for de ikke bliver parter i sager, ligesom netsikkerhedstjene-
sten ikke har til opgave at iværksætte sanktioner mod borge-
re eller virksomheder. I det omfang der måtte være tale om
indgreb over for medarbejdere, som er ansat hos de tilslutte-
de myndigheder og virksomheder, henvises til beskrivelsen
af kompenserende foranstaltninger nedenfor. Hertil kom-
mer, at en stor del af de omhandlede tvangsindgreb sker på
baggrund af en automatiseret proces og rent teknisk på en
sådan måde, at det ikke i praksis vil være muligt forud for
indgrebets gennemførelse at underrette den, som indgrebet
er rettet imod, om Center for Cybersikkerheds beslutning
om at gennemføre indgrebet.
Det vurderes derfor, at Center for Cybersikkerheds virk-
somhed bør undtages fra kravene i § 5 om underretning i
forbindelse med de løbende indgreb som foretages af cente-
rets netsikkerhedstjeneste. Det vurderes endvidere, at cente-
rets virksomhed bør undtages fra kravet i § 8, stk. 2, hvoref-
ter der på begæring skal udarbejdes og udleveres en rapport
om det enkelte indgreb.
Det bemærkes i den forbindelse, at de hensyn, der ligger
bag retssikkerhedslovens § 5, i stort omfang opfyldes på an-
den vis.
I forhold til anvendelsen af sikkerhedssoftware vil det så-
ledes indgå som en del af tilslutningsaftalen mellem Center
for Cybersikkerhed og myndigheden eller virksomheden, at
der skal ske orientering af medarbejderne om monitorerin-
gen. Medarbejderne vil således fra deres arbejdsgiver mod-
tage forudgående information om indgrebet. I forhold til de
forebyggende sikkerhedstekniske undersøgelser vil det ind-
gå som en del af aftalen med myndigheden eller virksomhe-
den, at medarbejdere orienteres om undersøgelsen, efter at
den har fundet sted. Ved centerets adgang til data, der er de-
poneret på honey pots eller sinkholes, er det som nævnt
tvivlsomt, om adgang til disse data kan anses for omfattet af
retssikkerhedslovens kapitel 2. Centerets analyse af disse
data vil derudover ofte have til formål at udfinde og oriente-
re ofrene for et cyberangreb, hvorved den pågældende myn-
dighed, virksomhed eller borger, som data hidrører fra, i dis-
se tilfælde vil blive orienteret om, at centeret har haft ad-
gang til data.
3.9.3. Den foreslåede ordning
Det foreslås, at retssikkerhedslovens § 3, § 5 og § 8, stk.
2, ikke skal gælde for Center for Cybersikkerheds virksom-
hed.
Det foreslås i øvrigt, at orientering af de enkelte medarbej-
dere om indgrebene i forbindelse med anvendelse af sikker-
hedssoftware og udførelse af forebyggende sikkerhedstekni-
ske undersøgelser vil blive fastsat som led i de aftaler, der
indgås mellem Center for Cybersikkerhed og virksomheden
eller myndigheden. I forhold til anvendelsen af sikkerheds-
software vil det således fremgå af tilslutningsaftalen mellem
Center for Cybersikkerhed og myndigheden eller virksom-
heden, at det påhviler myndigheden eller virksomheden at
orientere medarbejderne, herunder nytiltrådte medarbejdere,
om monitoreringen. I forhold til de forebyggende sikker-
hedstekniske undersøgelser vil det indgå som en del af afta-
len med myndigheden eller virksomheden, at medarbejdere
orienteres om undersøgelsen, efter at den har fundet sted.
Der henvises til det foreslåede § 8, stk. 1, 2. pkt., i lovfor-
slagets § 1, nr. 3, og bemærkningerne hertil.
4. Forholdet til databeskyttelsesforordningen og databe-
skyttelsesloven
Europa-Parlamentets og Rådets forordning nr. 2016/679
af 27. april 2016 om beskyttelse af fysiske personer i forbin-
delse med behandling af personoplysninger og om fri ud-
veksling af sådanne oplysninger (databeskyttelsesforordnin-
gen) finder ikke anvendelse for Center for Cybersikkerhed,
idet forordningen ikke gælder for behandling af personop-
lysninger under udøvelse af aktiviteter, der falder uden for
EU-retten, jf. forordningens artikel 2, stk. 2, litra a. Dette
følger også af § 3, stk. 2, i lov nr. 502 af 23. maj 2018 om
supplerende bestemmelser til forordning om beskyttelse af
fysiske personer i forbindelse med behandling af personop-
lysninger og om fri udveksling af sådanne oplysninger (da-
tabeskyttelsesloven), som fastslår, at loven og databeskyttel-
sesforordningen ikke finder anvendelse på den behandling
af personoplysninger, som udføres for eller af politiets og
forsvarets efterretningstjenester.
Databeskyttelsesforordningen og databeskyttelsesloven vil
imidlertid finde anvendelse for de myndigheder og virksom-
heder, som er tilsluttet Center for Cybersikkerheds netsik-
kerhedstjeneste, eller som på anden vis anmoder om cente-
rets bistand, eksempelvis i forbindelse med cyberangreb el-
ler som led i forebyggende sikkerhedstekniske undersøgel-
ser.
22
4.1. Dataansvar
Center for Cybersikkerhed er som nævnt ikke omfattet af
de databeskyttelsesretlige regler, hvorfor centeret heller ikke
er omfattet af begrebet ”dataansvarlig” i databeskyttelsesfor-
ordningen og databeskyttelsesloven.
Centeret vil dog, i relation til de tilsluttede myndigheder
og virksomheder, være at betragte som en selvstændig data-
ansvarlig for den behandling af personoplysninger, som cen-
teret udfører. Disse behandlinger foretages eksempelvis i
forbindelse med netværksmonitorering, monitorering med
sikkerhedssoftware, aktivt cyberforsvar og som led i sikker-
hedstekniske undersøgelser. Centerets behandlinger sker her
til centerets egne formål og med egne hjælpemidler.
Myndigheder og virksomheder, der er tilsluttet Center for
Cybersikkerheds netsikkerhedstjeneste, eller som anmoder
centeret om bistand, vil fortsat være selvstændige dataan-
svarlige for deres egne behandlinger af personoplysninger-
ne, herunder indsamling og opbevaring. Disse myndigheder
og virksomheder vil i relation til deres egne behandlinger af
personoplysninger være ansvarlige for overholdelsen af kra-
vene i databeskyttelsesreguleringen, herunder i relation til
de registreredes rettigheder, behandlingssikkerhed og under-
retning om brud på persondatasikkerheden. Myndighederne
og virksomhederne vil imidlertid ikke være ansvarlige for
den behandling, som centeret udfører. Myndighederne og
virksomhederne vil således ikke skulle tage stilling til ek-
sempelvis behandlingssikkerheden ved Center for Cybersik-
kerheds behandling af personoplysninger.
Når Center for Cybersikkerhed får adgang til data hos
myndigheder og virksomheder, er det dermed at betragte
som en videregivelse mellem to selvstændige dataansvarli-
ge.
4.2. Myndigheder og virksomheders videregivelse af
personoplysninger til Center for Cybersikkerhed
De tilsluttede myndigheder og virksomheder videregiver
som led i samarbejdet med Center for Cybersikkerhed data,
herunder personoplysninger, til centeret. Denne videregivel-
se sker inden for rammerne af databeskyttelsesforordningen
og databeskyttelsesloven.
I relation til almindelige personoplysninger henvises der
for så vidt angår private virksomheder til databeskyttelses-
forordningens artikel 6, stk. 1, litra f. Det følger af denne be-
stemmelse, at behandling er lovlig, hvis den er nødvendig
for, at den dataansvarlige eller en tredjemand kan forfølge
en legitim interesse, medmindre den registreredes interesser
eller grundlæggende rettigheder og frihedsrettigheder, der
kræver beskyttelse af personoplysninger, går forud herfor,
navnlig hvis den registrerede er et barn. Det fremgår i den
forbindelse af databeskyttelsesforordningens præambelbe-
tragtning 49, at behandling af personoplysninger – i det om-
fang, det er strengt nødvendigt og forholdsmæssigt for at
sikre net- og informationssikkerheden – der foretages af ek-
sempelvis Computer Emergency Response Teams
(CERT’er), udgør en legitim interesse for den berørte data-
ansvarlige.
For så vidt angår offentlige myndigheder henvises der til
forordningens artikel 6, stk. 1, litra e, hvorefter behandling
bl.a. er lovlig, hvis behandlingen er nødvendig af hensyn til
udførelse af en opgave i samfundets interesse. Henset til, at
videregivelsen er nødvendig af hensyn til udførelsen af Cen-
ter for Cybersikkerheds opgaver, som består i at bidrage til
beskyttelse af den samfundsvigtige infrastruktur mod alvor-
lige cyberangreb, vurderer Forsvarsministeriet, at videregi-
velse af almindelige personoplysninger til Center for Cyber-
sikkerhed er omfattet af forordningens artikel 6, stk. 1, litra
e.
Det vurderes på den baggrund, at myndigheder og virk-
somheder med hjemmel i databeskyttelsesforordningens ar-
tikel 6 kan videregive almindelige personoplysninger til
Center for Cybersikkerhed.
I relation til behandling af oplysninger om strafbare for-
hold henvises der til § 8 i databeskyttelsesloven. Private
virksomheders videregivelse af oplysninger om strafbare
forhold vurderes at være omfattet af databeskyttelseslovens
§ 8, stk. 4, 2. pkt., hvorefter videregivelse bl.a. kan ske, når
det sker til varetagelse af offentlige interesser, der klart
overstiger hensynet til de interesser, der begrunder hemme-
ligholdelse. Som nævnt oven for vurderes formålet med vi-
deregivelsen at varetage væsentlige offentlige interesser,
som klart overstiger hensynet til den enkelte. Forsvarsmini-
steriet har ved vurderingen lagt vægt på, at Center for Cy-
bersikkerhed har til opgave at bidrage til beskyttelse af den
samfundsvigtige infrastruktur mod alvorlige cyberangreb.
Forsvarsministeriet har endvidere lagt vægt på, at centerets
analytikere ikke vil have til formål at bruge den konkrete
oplysning om et strafbart forhold, men derimod alene under-
søger data med henblik på at afdække sikkerhedshændelser.
Der henvises i den forbindelse til de restriktive analysebe-
stemmelser i den foreslåede § 15.
Offentlige myndigheders videregivelse af oplysninger om
strafbare forhold vurderes at være omfattet af databeskyttel-
seslovens § 8, stk. 2, 2. og 3. pkt., hvorefter videregivelse af
sådanne oplysninger bl.a. kan ske, hvis videregivelsen sker
til varetagelse af offentlige interesser, der klart overstiger
hensynet til de interesser, der begrunder hemmeligholdelse,
eller hvis videregivelsen er nødvendig for udførelsen af en
myndigheds virksomhed. Forsvarsministeriet henviser i den
forbindelse til overvejelserne i forhold til private virksomhe-
ders videregivelse af sådanne oplysninger, jf. ovenfor, idet
der tillige lægges vægt på, at videregivelsen af oplysninger-
ne vil være nødvendig for Center for Cybersikkerheds udfø-
relse af centerets opgaver.
Det vurderes på den baggrund, at myndigheder og virk-
somheder med hjemmel i databeskyttelseslovens § 8 kan vi-
deregive oplysninger om strafbare forhold til Center for Cy-
bersikkerhed.
I relation til behandling af særlige kategorier af personop-
lysninger omfattet af databeskyttelsesforordningens artikel
9, henvises til bestemmelsens stk. 2, litra g, hvorefter for-
buddet mod behandling af sådanne personoplysninger ikke
finder anvendelse, når behandlingen er nødvendig af hensyn
til væsentlige samfundsinteresser på grundlag af EU-retten
23
eller medlemsstaternes nationale ret og står i et rimeligt for-
hold til det mål, der forfølges, respekterer det væsentligste
indhold af retten til databeskyttelse og sikrer passende og
specifikke foranstaltninger til beskyttelse af den registrere-
des grundlæggende rettigheder og interesser.
Henvisningen til EU-retten eller medlemsstaternes natio-
nale ret i artikel 9, stk. 2, litra g, forudsætter, at behandlin-
gen er forankret i f.eks. national ret, for at udgangspunktet i
artikel 9, stk. 1, om forbud mod behandling kan fraviges.
Forordningens artikel 9, stk. 2, litra g, stiller således krav
om udfyldning i national ret og kan ikke uden videre anven-
des som behandlingshjemmel. Der stilles imidlertid ikke
krav om, at den nationale ret skal indeholde en udtrykkelig
hjemmel til behandling af sådanne personoplysninger. Det
vurderes på den baggrund at være tilstrækkeligt, at myndig-
heders og virksomheders videregivelse af personoplysninger
er forudsat i lov om Center for Cybersikkerhed. Forsvarsmi-
nisteriet har i den forbindelse foretaget en vurdering i hen-
hold til den tjekliste om udarbejdelse af nye nationale sær-
regler for behandling af følsomme personoplysninger, som
fremgår af betænkning nr. 1565 om databeskyttelsesforord-
ningen.
5. Forholdet til Den Europæiske Menneskerettigheds-
konvention
Efter Den Europæiske Menneskerettighedskonventions
(EMRK) artikel 8, stk. 1, har enhver ret til respekt for bl.a.
sit privatliv og familieliv. Det følger endvidere af artikel 8,
stk. 2, at ingen offentlig myndighed må gøre indgreb i udø-
velsen af denne ret, medmindre det sker i overensstemmelse
med loven og er nødvendigt i et demokratisk samfund af
hensyn til den nationale sikkerhed, den offentlige tryghed
eller landets økonomiske velfærd, for at forebygge uro eller
forbrydelse, for at beskytte sundheden eller sædeligheden el-
ler for at beskytte andres rettigheder og friheder.
Beskyttelsen efter artikel 8, stk. 1, omfatter både indgreb i
meddelelseshemmeligheden, f.eks. monitorering af e-mail-
korrespondance og internetkommunikation, samt ransag-
ning, og offentlige myndigheders indsamling, opbevaring og
anvendelse m.v. af personoplysninger generelt.
Lovforslaget indebærer, at Center for Cybersikkerhed
fremadrettet vil få mulighed for i større omfang end i dag at
foretage indgreb omfattet af EMRK artikel 8, stk. 1. Disse
indgreb omfatter monitorering af lokale enheder ved hjælp
af sikkerhedssoftware, jf. afsnit 3.3, behandling af oplysnin-
ger om medarbejdere i forbindelse med forebyggende sik-
kerhedstekniske undersøgelser, jf. afsnit 3.4, behandling af
deponerede data i forbindelse med anvendelse af fiktive an-
grebsmål og påvirkning af angrebsinfrastruktur, jf. afsnit
3.5, behandling af oplysninger på baggrund af en editions-
kendelse, jf. afsnit 3.6, samt monitorering på baggrund af
påbud om tilslutning til centerets netsikkerhedstjeneste, jf.
afsnit 3.1. Derudover indebærer lovforslaget, at der sker en
vis tilpasning af de nuværende analyse-, slette- og videregi-
velsesregler, jf. afsnit 3.7 og 3.8.
De foreslåede tiltag skal være i overensstemmelse med
EMRK artikel 8, stk. 2, hvilket indebærer, at de skal være
foreskrevet ved lov, at de skal varetage et eller flere aner-
kendelsesværdige formål, og at de skal være nødvendige i et
demokratisk samfund for at opnå det eller de omhandlede
formål.
De foreslåede tiltag skal vurderes i lyset af den samlede
ramme for Center for Cybersikkerheds virksomhed, således
at der foretages en samlet vurdering af, om de foreslåede til-
tag samt de nugældende regler for centerets virksomhed, der
foreslås videreført, samlet set er i overensstemmelse med
EMRK artikel 8.
Der findes en righoldig praksis fra Den Europæiske Men-
neskerettighedsdomstol (EMD) vedrørende indgreb i med-
delelseshemmeligheden og forholdet til EMRK artikel 8.
Sagerne spænder fra politiets målrettede indgreb i meddelel-
seshemmeligheden til efterretningstjenesternes såkaldte
bulkindhentning. Det karakteristiske for den foreliggende
praksis synes imidlertid at være, at den vedrører indhent-
ning, hvor formålet er at overvåge eller udfinde nærmere be-
stemte målpersoner, enten ud fra et strafferetligt efterforsk-
ningshensyn eller ud fra et hensyn til statens sikkerhed.
I modsætning til ved egentlig efterretningsvirksomhed og
politiets efterforskning foretager Center for Cybersikkerhed
imidlertid ikke en decideret registrering af de personoplys-
ninger, som centeret behandler, ligesom der ikke opereres
med sager om enkeltpersoner. Centeret søger via netsikker-
hedstjenesten primært at indsamle tekniske oplysninger,
som gør det muligt at undersøge og forebygge cyberangreb.
Som led i denne indsamling vil Center for Cybersikkerhed
dog uundgåeligt behandle personoplysninger, fordi person-
oplysningerne er indeholdt i de data, som indsamles med
henblik på at lokalisere de relevante tekniske oplysninger
om sikkerhedshændelser. De indgreb i meddelelseshemme-
ligheden, som uundgåeligt foretages af centeret i forbindelse
med eksempelvis monitoreringen af en myndigheds eller
virksomheds netværk eller enheder, vurderes på den bag-
grund at indebære et mindre intensivt indgreb i privatlivet
end de indgreb, der foretages med henblik på at udfinde
målpersoner.
Det vurderes herefter, at de krav til lovgivning om indgreb
i meddelelseshemmeligheden, som kan udledes af EMD’s
praksis, ikke uden videre kan overføres til lovgivning, der
vedrører indgreb i meddelelseshemmeligheden som led i op-
retholdelsen af et højt informationssikkerhedsniveau. Som
eksempel herpå kan nævnes de minimumskrav til lovgiv-
ning vedrørende indgreb i meddelelseshemmeligheden, som
EMD bl.a. opstiller i præmis 231 i Roman Zakharov v. Rus-
sia af 4. december 2015. Her stilles således bl.a. krav om, at
det skal fremgå af lovgivningen, hvilke kategorier af perso-
ner, som kan blive udsat for et indgreb, hvorimod Center for
Cybersikkerhed, som nævnt, ikke har til formål at overvåge
eller udfinde personer og dermed selvsagt ikke vil kunne an-
give sådanne kategorier.
I det følgende vurderes den foreslåede ordning i relation
til kravene i EMRK artikel 8, stk. 2, om, at ordningen skal
være foreskrevet ved lov, at ordningen skal varetage et eller
flere anerkendelsesværdige formål, og at ordningen skal væ-
24
re nødvendig i et demokratisk samfund for at opnå det eller
de omhandlede formål.
5.1. Foreskrevet ved lov
Kravet om, at indgreb skal være foreskrevet ved lov, inde-
bærer bl.a., at loven skal være tilgængelig, og effekten heraf
skal være forudsigelig for borgerne, jf. bl.a. EMD’s dom
Rotaru v. Romania af 4. maj 2000 (præmis 52). Domstolen
har endvidere fastslået, at i relation til love vedrørende ind-
greb i meddelelseshemmeligheden omfatter kravet om for-
udsigelighed, at loven skal være klar nok til at give borgerne
en tilstrækkelig indikation af de omstændigheder og betin-
gelser, der kan medføre, at offentlige myndigheder må fore-
tage indgreb i retten til privatliv, jf. EMD’s dom Roman
Zakharov v. Russia af 4. december 2015 (præmis 229).
Det vurderes, at den foreslåede ordning er forudsigelig for
borgerne. De foreslåede kapitler 4 og 4 a fastslår således ty-
deligt, under hvilke omstændigheder Center for Cybersik-
kerhed må foretage indgreb omfattet af beskyttelsen af pri-
vatlivet i EMRK’s artikel 8. Derudover fastsætter kapitel 6
en række krav til Center for Cybersikkerheds behandling af
personoplysninger, ligesom kapitel 7 fastsætter detaljerede
regler for Center for Cybersikkerheds analyse, videregivelse
og sletning af data. Det vurderes således samlet, at den fore-
slåede ordning opfylder kravet om at være foreskrevet ved
lov.
5.2. Anerkendelsesværdige formål
Ved vurderingen af, om ordningen varetager anerkendel-
sesværdige formål, har Forsvarsministeriet lagt vægt på, at
lovforslaget bunder i et hensyn til den nationale sikkerhed,
herunder sikring af et højt informationssikkerhedsniveau i
den samfundsvigtige infrastruktur, og den offentlige tryg-
hed.
Lovforslaget har således til formål at give Center for Cy-
bersikkerhed de nødvendige muligheder for at kunne løse
centerets opgaver med at opdage, analysere og bidrage til at
imødegå sikkerhedshændelser, og dermed bidrage til en me-
re effektiv beskyttelse af den samfundsvigtige infrastruktur
mod cyberangreb.
5.3. Nødvendigt i et demokratisk samfund
Det er endvidere et krav, at ordningen må anses for nød-
vendig i et demokratisk samfund for at forfølge de ovenfor
angivne hensyn. Heri ligger, at ordningen skal opfylde pro-
portionalitetsprincippet.
EMD anerkender, at de enkelte stater har en vis skønsmar-
gin i relation til indretningen af ordninger, hvor der foreta-
ges indgreb i meddelelseshemmeligheden ud fra hensynet til
statens sikkerhed.
Lovforslaget har som nævnt ovenfor til formål at sikre et
højt informationssikkerhedsniveau i den samfundsvigtige in-
frastruktur ved at give Center for Cybersikkerhed de nød-
vendige muligheder for at kunne opdage, analysere og bi-
drage til at imødegå cyberangreb. Den foreslåede ordning
vurderes i den forbindelse at være begrænset til det, der er
nødvendigt set i lyset af den teknologiske udvikling og den
meget alvorlige cybertrussel.
Domstolen fastslår, at ordninger, hvor der foretages ind-
greb i meddelelseshemmeligheden ud fra hensynet til statens
sikkerhed, skal være underlagt tilstrækkelige og effektive
sikkerhedsforanstaltninger mod eventuelt misbrug. Sådanne
sikkerhedsforanstaltninger omfatter bl.a. tilsyn, underret-
ningsmekanismer og retsmidler. Der henvises til dommen
Roman Zakharov v. Russia af 4. december 2015 (præmis
232).
Som nævnt ovenfor vurderes det, at Center for Cybersik-
kerheds monitorering af en myndigheds eller virksomheds
netværk eller enheder indebærer et mindre intensivt indgreb
omfattet af EMRK artikel 8 end de indgreb, der foretages
med henblik på at udfinde målpersoner.
Den foreslåede ordning indebærer desuden, at der fortsat
stilles klare krav til, hvornår Center for Cybersikkerhed må
analysere og videregive data. Derudover indebærer ordnin-
gen, at der fortsat fastsættes absolutte slettefrister for Center
for Cybersikkerheds opbevaring af data, der stammer fra
indgreb i meddelelseshemmeligheden. Det bemærkes i den
forbindelse, at de foreslåede ændringer af videregivelses- og
slettereglerne samlet set ikke vurderes at have en sådan ka-
rakter, at der ved centerets behandling af personoplysninger
ændres nævneværdigt på den hidtidige balance mellem på
den ene side hensynet til retssikkerheden og borgernes ret til
privatliv og på den anden side hensynet til at give Center for
Cybersikkerhed de nødvendige muligheder for at imødegå
den alvorlige cybertrussel mod Danmark.
Endelig videreføres de gældende regler om Tilsynet med
Efterretningstjenesternes varetagelse af opgaven med at føre
tilsyn med Center for Cybersikkerheds overholdelse af lo-
vens regler om behandling af personoplysninger. Tilsynet
med Efterretningstjenesterne er et særligt uafhængigt kon-
trolorgan, der agerer efter klage eller af egen drift. Tilsynet
kan i forbindelse med sin tilsynsvirksomhed kræve enhver
oplysning og alt materiale, der er af betydning herfor, og til-
synet har til enhver tid adgang til Center for Cybersikker-
heds lokaler. Tilsynet kan endvidere afkræve centeret skrift-
lige udtalelser om faktiske og retlige forhold af betydning
for tilsynets virksomhed. Tilsynet kan desuden afgive udta-
lelser overfor centeret, hvori tilsynet bl.a. kan tilkendegive
sin opfattelse af, om centeret overholder reglerne om be-
handling af personoplysninger. Hvis centeret undtagelsesvist
beslutter ikke at følge en henstilling i en udtalelse fra tilsy-
net, skal centeret underrette tilsynet herom og straks fore-
lægge sagen for forsvarsministeren til afgørelse. Tilsynet vil
desuden i forbindelse med behandling af klagesager vedrø-
rende Center for Cybersikkerhed i sine afgørelser kunne gi-
ve oplysninger om, at centeret har sagsbehandlet oplysnin-
ger om en klager og om indholdet af en sådan sagsbehand-
ling.
På den baggrund vurderes det, at den foreslåede ordning
opfylder proportionalitetsprincippet, og at ordningen samlet
set er i overensstemmelse med EMRK artikel 8.
25
6. Økonomiske konsekvenser og implementeringskonse-
kvenser for det offentlige
Lovforslaget indebærer en styrkelse af Center for Cyber-
sikkerheds netsikkerhedstjeneste. Dette er finansieret inden-
for rammerne af forsvarsforlig 2018-2023, og denne del af
lovforslaget har således ikke yderligere økonomiske konse-
kvenser for staten.
Øvrige statslige myndigheder vil som led i lovforslaget
kunne få tilbudt installation af sikkerhedssoftware på lokale
enheder og gennemførelse af forebyggende sikkerhedstekni-
ske undersøgelser, hvilket vil kunne give begrænsede udgif-
ter til myndighedernes samarbejde med Center for Cybersik-
kerhed i forbindelse med installation og drift af softwaren
og gennemførelse af undersøgelserne. Der vil typisk være
tale om udnyttelse af eksisterende personaleressourcer, og
udgifterne kan således ikke kvantificeres yderligere.
Regioner, kommuner og tilhørende institutioner, der alle-
rede er tilsluttet netsikkerhedstjenesten, vil opnå en bespa-
relse på grund af forslaget om, at det løbende gebyr for til-
slutning bortfalder, således at det bliver gratis at være tilslut-
tet netsikkerhedstjenesten. Vælger yderligere regioner, kom-
muner og tilhørende institutioner at blive tilsluttet netsikker-
hedstjenesten, vil der for disse være begrænsede merudgifter
i form af deres egne udgifter til samarbejde med Center for
Cybersikkerhed vedrørende medvirken til netsikkerhedstje-
nestens opsætning og drift af hardware og software samt ef-
terfølgende samarbejde i forbindelse med håndtering af kon-
krete sikkerhedshændelser.
Regioner og kommuner vil endvidere som led i lovforsla-
get kunne få tilbudt installation af sikkerhedssoftware på lo-
kale enheder og gennemførelse af forebyggende sikkerheds-
tekniske undersøgelser, hvilket vil kunne give begrænsede
udgifter til virksomhedernes samarbejde med Center for Cy-
bersikkerhed i forbindelse med installation, drift og gennem-
førelse. Der vil typisk være tale om udnyttelse af eksisteren-
de personaleressourcer, og udgifterne kan således ikke kvan-
tificeres yderligere.
Med lovændringen får Center for Cybersikkerhed desuden
mulighed for i visse tilfælde at pålægge bl.a. regioner og
kommuner at blive tilsluttet netsikkerhedstjenesten med
henblik på monitorering af netværkskommunikation. Fjer-
nelsen af gebyret for tilslutning forventes at øge incitamen-
tet til at tilslutte sig netsikkerhedstjenesten – og dermed
mindske behovet for at give påbud om tilslutning. I det om-
fang der alligevel måtte blive behov for at give påbud, vil de
økonomiske og administrative konsekvenser for kommuner-
ne og regionerne vedrøre medvirken til netsikkerhedstjene-
stens opsætning og drift af hardware samt efterfølgende
samarbejde i forbindelse med håndtering af konkrete sikker-
hedshændelser. Det forventes, at muligheden for at give på-
bud til regioner, kommuner og regionalt eller kommunalt
ejede selskaber maksimalt vil blive anvendt et et-cifret antal
gange om året. De administrative konsekvenser af loven for-
handles med de kommunale og regionale parter.
7. Økonomiske og administrative konsekvenser for er-
hvervslivet m.v.
Erhvervsvirksomheder, der allerede er tilsluttet Center for
Cybersikkerheds netsikkerhedstjeneste, vil opnå en bespa-
relse på grund af forslaget om, at det løbende gebyr for til-
slutning bortfalder, således at det bliver gratis at være tilslut-
tet netsikkerhedstjenesten. Vælger yderligere erhvervsvirk-
somheder at blive tilsluttet netsikkerhedstjenesten, vil der
for disse være begrænsede merudgifter i form af deres egne
udgifter til samarbejde med Center for Cybersikkerhed i for-
bindelse med installation, drift og gennemførelse.
Erhvervsvirksomheder vil endvidere som led i lovforsla-
get kunne få tilbudt installation af sikkerhedssoftware på lo-
kale enheder og gennemførelse af forebyggende sikkerheds-
tekniske undersøgelser, hvilket vil kunne give begrænsede
udgifter til virksomhedernes samarbejde med Center for Cy-
bersikkerhed i forbindelse med installation, drift og gennem-
førelse. Der vil typisk være tale om udnyttelse af eksisteren-
de personaleressourcer, og udgifterne kan således ikke kvan-
tificeres yderligere.
Med lovændringen får Center for Cybersikkerhed desuden
mulighed for i visse tilfælde at pålægge erhvervsvirksomhe-
der at blive tilsluttet netsikkerhedstjenesten med henblik på
monitorering af netværkskommunikation. Fjernelsen af ge-
byret for tilslutning til netsikkerhedstjenesten forventes at
øge incitamentet til at tilslutte sig netsikkerhedstjenesten –
og dermed mindske behovet for at give påbud om tilslut-
ning. I det omfang der alligevel måtte blive behov for at gi-
ve påbud, vil de økonomiske og administrative konsekven-
ser for erhvervslivet vedrøre medvirken til netsikkerhedstje-
nestens opsætning og drift af hardwaresamt efterfølgende
samarbejde i forbindelse med håndtering af konkrete sikker-
hedshændelser. Det forventes, at muligheden for at give på-
bud til virksomheder maksimalt vil blive anvendt et et-cifret
antal gange om året.
Det bemærkes i øvrigt, at lovforslaget ikke vurderes at på-
virke erhvervsvirksomheders mulighed for at teste, udvikle
og anvende nye digitale teknologier og forretningsmodeller.
Forsvarsministeriet vurderer på den baggrund, at principper-
ne for agil erhvervsrettet regulering ikke er relevante for
nærværende lovforslag.
8. Administrative konsekvenser for borgerne
Lovforslaget har ingen administrative konsekvenser for
borgerne.
9. Miljømæssige konsekvenser
Lovforslaget har ingen miljømæssige konsekvenser.
10. Forholdet til EU-retten
Europa-Parlamentets og Rådets forordning nr. 2016/679
af 27. april 2016 om beskyttelse af fysiske personer i forbin-
delse med behandling af personoplysninger og om fri ud-
veksling af sådanne oplysninger (databeskyttelsesforordnin-
gen) finder ikke anvendelse for Center for Cybersikkerhed,
idet forordningen ikke gælder for behandling af personop-
26
lysninger under udøvelse af aktiviteter, der falder udenfor
EU-retten, jf. forordningens artikel 2, stk. 2, litra a.
Databeskyttelsesforordningen vil imidlertid finde anven-
delse for de myndigheder og virksomheder, som er tilsluttet
Center for Cybersikkerheds netsikkerhedstjeneste, eller som
på anden vis anmoder om centerets bistand, eksempelvis i
forbindelse med cyberangreb eller som led i forebyggende
sikkerhedstekniske undersøgelser.
Der henvises i den forbindelse til beskrivelsen i afsnit 4
ovenfor.
11. Hørte myndigheder og organisationer m.v.
Et udkast til lovforslaget har i perioden fra den 7. januar
2019 til den 4. februar 2019 været sendt i høring hos følgen-
de myndigheder og organisationer m.v.:
Advokatrådet, Akademikernes Centralorganisation (AC),
Amnesty International, Brancheorganisation for Den Danske
Vejgodstransport (ITD), Dansk Arbejdsgiverforening (DA),
Dansk Energi, Dansk Erhverv, Dansk Industri (DI), Dansk
Internet Forum (DIFO), DANSK IT, Danske Advokater,
Danske Rederier, Danske Regioner, Datatilsynet, Den Dan-
ske Dommerforening, DKCERT, Finans Danmark, Finans-
sektorens Arbejdsgiverforening, Foreningen Danske Oliebe-
redskabslagre, Foreningen af Vandværker i Danmark, Funk-
tionærernes og Tjenestemændenes Fællesråd (FTF), Institut
for Menneskerettigheder, ISP Sikkerhedsforum, IT-Bran-
chen, IT-Politisk Forening, Justitia, KL, Landbrug & Føde-
varer, Landsorganisationen i Danmark (LO), Ledernes Ho-
vedorganisation, Lægemiddelindustriforeningen (LIF), Pro-
cesindustriens Brancheforening, PROSA, Præsidenten for
Vestre Landsret, Præsidenten for Østre Landsret, Retspoli-
tisk Forening, Rigsombudsmanden i Grønland, Rigsom-
budsmanden på Færøerne, Rådet for Digital Sikkerhed,
samtlige byretspræsidenter, Statens IT-projektråd, Teleindu-
strien (TI) og Tilsynet med Efterretningstjenesterne.
12. Sammenfattende skema
Positive konsekvenser/mindreudgifter
(hvis ja, angiv omfang/Hvis nej, anfør
»Ingen«)
Negative konsekvenser/merudgifter
(hvis ja, angiv omfang/Hvis nej, anfør
»Ingen«)
Økonomiske konsekvenser for stat,
kommuner og regioner
Regioner, kommuner og tilhørende in-
stitutioner, der allerede er tilsluttet net-
sikkerhedstjenesten, vil opnå en bespa-
relse på grund af forslaget om, at det
løbende gebyr for tilslutning bortfal-
der.
Styrkelsen af Center for Cybersikker-
heds netsikkerhedstjeneste er finansie-
ret indenfor rammerne af forsvarsforlig
2018-2023.
Øvrige statslige myndigheder samt re-
gioner, kommuner og tilhørende insti-
tutioner vil kunne få begrænsede ud-
gifter til myndighedernes samarbejde
med Center for Cybersikkerhed.
Implementeringskonsekvenser for stat,
kommuner og regioner
Ingen. For stat, kommuner og regioner vil der
være begrænsede administrative kon-
sekvenser knyttet til disse myndighe-
ders samarbejde med Center for Cy-
bersikkerhed.
Økonomiske konsekvenser for er-
hvervslivet
Erhvervsvirksomheder, der allerede er
tilsluttet Center for Cybersikkerheds
netsikkerhedstjeneste, vil opnå en be-
sparelse på grund af forslaget om, at
det løbende gebyr for tilslutning bort-
falder.
Erhvervsvirksomheder vil kunne få be-
grænsede udgifter til virksomhedernes
samarbejde med Center for Cybersik-
kerhed.
Administrative konsekvenser for er-
hvervslivet
Ingen. For erhvervsvirksomheder vil der være
begrænsede administrative konsekven-
ser knyttet til virksomhedernes samar-
bejde med Center for Cybersikkerhed.
27
Administrative konsekvenser for bor-
gerne
Ingen. Ingen.
Miljømæssige konsekvenser Ingen. Ingen.
Forholdet til EU-retten Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om be-
skyttelse af fysiske personer i forbindelse med behandling af personoplysninger
og om fri udveksling af sådanne oplysninger (databeskyttelsesforordningen) fin-
der ikke anvendelse for Center for Cybersikkerhed, idet forordningen ikke gælder
for behandling af personoplysninger under udøvelse af aktiviteter, der falder
udenfor EU-retten, jf. forordningens artikel 2, stk. 2, litra a.
Databeskyttelsesforordningen vil imidlertid finde anvendelse for de myndigheder
og virksomheder, som er tilsluttet Center for Cybersikkerheds netsikkerhedstje-
neste, eller som på anden vis anmoder om centerets bistand eksempelvis i forbin-
delse med cyberangreb eller som led i forebyggende sikkerhedstekniske undersø-
gelser. De tilsluttede myndigheder og virksomheder videregiver som led i samar-
bejdet med netsikkerhedstjenesten data, herunder personoplysninger, til Center
for Cybersikkerhed. Denne videregivelse vil kunne ske indenfor rammerne af da-
tabeskyttelsesforordningen.
Er i strid med de fem principper for
implementering af erhvervsrettet EU-
regulering/Går videre end minimums-
krav i EU-regulering (sæt X)
JA NEJ
X
Bemærkninger til lovforslagets enkelte bestemmelser
Til § 1
Til nr. 1
Til den foreslåede § 2
Den gældende § 2 definerer fem centrale begreber i lov
om Center for Cybersikkerhed. Det foreslås, at disse begre-
ber videreføres uændret, men at der tilføjes yderligere to de-
finitioner.
Nr. 1 viderefører definitionen af begrebet sikkerhedshæn-
delse, der således fortsat defineres som en hændelse med en
negativ påvirkning af tilgængelighed, integritet eller fortro-
lighed af data, informationssystemer, digitale netværk eller
digitale tjenester. Begrebet sikkerhedshændelse omfatter
hændelser, der vurderes at ville kunne have den beskrevne
påvirkning. Definitionen indebærer, at enhver unormal situ-
ation, der potentielt kan kompromittere informationssyste-
mer, digitale netværk, digitale tjenester eller andre elektroni-
ske systemer eller data, der lagres, processeres eller trans-
mitteres af disse systemer, vil være at betragte som en sik-
kerhedshændelse. Begrebet sikkerhedshændelse omfatter
også brud på persondatasikkerheden, hvis et sådant brud i
øvrigt falder ind under definitionen af sikkerhedshændelse.
Begrebet omfatter data (herunder personoplysninger), in-
formationssystemer, digitale netværk og digitale tjenester.
Også hændelser, som rammer netværk, der ikke er forbundet
til internettet, kan have karakter af sikkerhedshændelser.
Et eksempel på en sikkerhedshændelse, der negativt påvir-
ker tilgængeligheden af en digital tjeneste, er et overbelast-
ningsangreb (denial-of-service angreb), hvor f.eks. en hjem-
meside rammes af et stort antal forespørgsler, så brugere ik-
ke kan få adgang til hjemmesiden. En sikkerhedshændelse,
der negativt påvirker integriteten af såvel data som et infor-
mationssystem, kan eksempelvis være indtrængen i en data-
base, hvor oplysninger ændres uden databaseejerens viden-
de. En sikkerhedshændelse, der negativt påvirker fortrolig-
heden af et informationssystem, kan være en såkaldt »tro-
jansk hest«, hvor der installeres et program på en myndig-
heds informationssystem, som muliggør uautoriseret kopie-
ring af data fra myndigheden.
Definitionen af begrebet sikkerhedshændelse omfatter ale-
ne sikkerhedshændelser på it-området og vil således f.eks.
ikke omfatte andre strafbare handlinger, der ikke er knyttet
til it-området (eksempelvis hærværk, tyveri eller terror).
Definitionen af begrebet pakkedata i nr. 2 er ligeledes en
uændret videreførelse. Pakkedata er således indholdet af
kommunikation, der transmitteres gennem digitale netværk
eller tjenester. Begrebet er ikke begrænset til internetbaseret
kommunikation. Det semantiske indhold af kommunikation,
der transmitteres gennem digitale netværk eller tjenester, vil
dermed være omfattet af begrebet pakkedata. Det kan f.eks.
være indholdet af en e-mailkorrespondance eller indholdet
af tilgåede hjemmesider. Derudover er det tekniske indhold
28
af kommunikationen, f.eks. HTML- eller XML-koder, om-
fattet af begrebet pakkedata. Pakkedata kan – men vil ikke
nødvendigvis altid – indeholde personoplysninger.
Bestanddelene af en internetkommunikation betegnes tek-
nisk som »pakker«. Denne tekniske betegnelse er ikke iden-
tisk med betegnelsen pakkedata efter den foreslåede § 2, nr.
2. En »pakke« i teknisk forstand vil således bestå af såvel
pakke- som trafikdata i lovforslagets forstand.
Det foreslåede nr. 3 viderefører definitionen af begrebet
trafikdata. Ved trafikdata forstås data, som behandles med
henblik på overførsel af pakkedata. Det vil sige data, som
beskriver oprindelse, destination og rutestyringsinformation,
herunder oprindelsesdomænet eller den oprindelige elektro-
niske adresse samt anden tilsvarende information.
Trafikdata kan eksempelvis være header-informationen i
digitale kommunikationsprotokoller, men vil også omfatte
protokoller, der udelukkende anvendes til rute- og kommu-
nikationsstyring, f.eks. DNS og SIP. Konkrete eksempler på
trafikdata er oplysninger om ip-adresser, e-mailadresser,
hjemmesideadresser, browserversioner, kommunikationens
varighed og tidspunktet for kommunikationen. Trafikdata
kan – men vil ikke nødvendigvis altid – indeholde personop-
lysninger.
Den foreslåede definition af begrebet stationære data i nr.
4 er ny. Mens pakke- og trafikdata, jf. de foreslåede nr. 2 og
3, er knyttet til kommunikation, der sker i et netværk, fore-
slås stationære data defineret som data, der opbevares på
servere, cloudtjenester, pc’ere, lagerenheder, netværksenhe-
der, mobile enheder og tilsvarende.
Eksempler på stationære data er et dokument eller et bille-
de, som findes på en medarbejders (tjenestelige) pc, eller en
database, der findes på en server hos en myndighed. Det ka-
rakteristiske for stationære data er, at de er lagret eller i øv-
rigt tilgængelige på en enhed – herunder »i skyen« – og ikke
er et egentligt led i en igangværende kommunikation. Statio-
nære data vil dog kunne være resultatet af en kommunika-
tion, f.eks. hvis e-mails opbevares på en mailserver eller er
blevet lagret eller fremvises på en medarbejders tjenestelige
pc, ligesom stationære data teknisk set kortvarigt kan være
led i en igangværende kommunikation, f.eks. det korte øje-
blik, der går fra en bruger vælger at afsende en e-mail, til
den forlader enhedens fysiske netværkslag. Så længe data er
tilgængelig på enheden og tilgås på denne, vil de have ka-
rakter af stationære data. Stationære data kan – men vil ikke
nødvendigvis altid – indeholde personoplysninger.
Den foreslåede definition af begrebet malware i nr. 5 er li-
geledes ny. Begrebet foreslås defineret som trafikdata, pak-
kedata og stationære data, hvor der er særligt bestyrket mis-
tanke om, at data er anvendt af en angrebsaktør med det for-
mål at forårsage et brud på informationssikkerheden.
Mens trafikdata, pakkedata og stationære data omfatter
data, der for langt størstedelens vedkommende er godartede
data, så er der med malware tale om en meget lille del-
mængde af trafikdata, pakkedata og stationære data, hvor
Center for Cybersikkerhed efter en konkret analyse har kon-
kluderet, at der er særligt bestyrket mistanke om, at data er
ondartet. Det vil typisk dreje sig om selve den kode, der an-
vendes til et angreb mod en myndighed eller virksomhed,
men også den tilknyttede kommunikation, f.eks. den konkre-
te e-mail, der er anvendt til at fremsende den ondartede ko-
de, eller som er anvendt til at fremsende et link til en skade-
lig hjemmeside. Malware kan – men vil ikke nødvendigvis
altid – indeholde personoplysninger.
At data skal være anvendt af en angrebsaktør indebærer
ikke, at Center for Cybersikkerhed skal kunne udpege en be-
stemt angrebsaktør som ophavsmand til de pågældende data.
Men begrebet malware vil ikke omfatte data, der utilsigtet
forårsager et brud på informationssikkerheden, f.eks. på
grund af en fejl i en softwareopdatering fra en leverandør,
idet der i så fald ikke er tale om, at data er anvendt af en an-
grebsaktør.
Ved brud på informationssikkerheden forstås brud på inte-
gritet, fortrolighed eller tilgængelighed af data, informati-
onssystemer, digitale netværk eller digitale tjenester.
Definitionen af begrebet personoplysninger i nr. 6 (som
enhver form for information om en identificeret eller identi-
ficerbar fysisk person) er en uændret videreførelse af den
gældende § 1, nr. 4. Definitionen er identisk med den defini-
tion, der tidligere var gældende efter persondatalovens § 3,
nr. 1, og skal fortolkes i overensstemmelse med denne be-
stemmelses forarbejder og relevante praksis.
Definitionen af begrebet behandling i nr. 7 (som enhver
operation eller række af operationer med eller uden brug af
elektronisk databehandling, som oplysninger gøres til gen-
stand for) er en uændret videreførelse af den gældende § 1,
nr. 5. Definitionen er identisk med den definition, der tidli-
gere var gældende efter persondatalovens § 3, nr. 2, og skal
fortolkes i overensstemmelse med denne bestemmelses for-
arbejder og relevante praksis.
Der henvises i øvrigt til afsnit 3.3 og 3.4 i de almindelige
bemærkninger.
Til den foreslåede § 3
Den foreslåede § 3 er en delvis videreførelse af den gæl-
dende § 3, og bestemmelsen vil fortsat fastsætte de overord-
nede rammer for Center for Cybersikkerheds netsikkerheds-
tjeneste.
Det foreslåede stk. 1 beskriver, at netsikkerhedstjenestens
opgave er at opdage, analysere og bidrage til at imødegå sik-
kerhedshændelser. Dette er indholdsmæssigt en uændret vi-
dereførelse af den gældende bestemmelse.
Netsikkerhedstjenesten er betegnelsen for Center for Cy-
bersikkerheds samlede aktiviteter i forbindelse med at opda-
ge, analysere og bidrage til at imødegå sikkerhedshændelser.
Netsikkerhedstjenesten omfatter således alle de kapaciteter
ved Center for Cybersikkerhed, der på forskellig vis bidra-
ger til monitoreringens gennemførelse, herunder CERT-akti-
viteterne på det civile og militære område, sikkerhedstekni-
ske aktiviteter (f.eks. forebyggende sikkerhedstekniske un-
dersøgelser, analyse af malware og forensicundersøgelser)
samt støttefunktioner.
29
Ved tilslutning til netsikkerhedstjenesten vil der som hidtil
blive indgået en tilslutningsaftale, der nærmere regulerer
specifikke forhold i relationen mellem netsikkerhedstjene-
sten og den enkelte tilsluttede myndighed eller virksomhed.
En tilslutningsaftale kan være tidsbegrænset, og der er ikke
nogen nedre grænse for aftalens varighed. Tilslutningen an-
ses for at være sket, når tilslutningsaftalen er indgået.
På Forsvarsministeriets område er det den militære it-sik-
kerhedsmyndighed, som pålægger myndigheder at blive til-
sluttet netsikkerhedstjenesten, og på dette område indgås ik-
ke tilslutningsaftaler. Der indgås endvidere ikke tilslutnings-
aftale, hvis tilslutningen sker på grundlag af et påbud efter
den foreslåede § 3, stk. 4. En myndighed eller virksomhed,
der er tilsluttet på grundlag af et påbud, vil dog til enhver tid
kunne vælge i stedet at indgå en tilslutningsaftale, der heref-
ter regulerer de specifikke forhold i relationen mellem net-
sikkerhedstjenesten og den pågældende myndighed eller
virksomhed.
En myndighed eller virksomhed, der tilsluttes netsikker-
hedstjenesten, vil modtage en sikkerhedsydelse, der aftales
nærmere mellem netsikkerhedstjenesten og myndigheden el-
ler virksomheden, og som er tilpasset den enkelte myndig-
heds eller virksomheds behov. Der vil eksempelvis kunne
ske en monitorering af myndighedens eller virksomhedens
forbindelse til internettet, således at netsikkerhedstjenesten
ved hjælp af en lokalt placeret alarmenhed kan opdage og
analysere sikkerhedshændelser, og der vil kunne installeres
sikkerhedssoftware på lokale enheder. På den baggrund – og
på baggrund af tilsvarende analyser hos de øvrige tilsluttede
myndigheder og virksomheder – kan netsikkerhedstjenesten
dels alarmere myndigheden eller virksomheden, når der
konstateres konkrete sikkerhedshændelser, dels udsende me-
re generelle varslinger. Sikkerhedsydelsen vil også kunne
omfatte aktivt cyberforsvar, hvor netsikkerhedstjenesten
blokerer, omdanner eller omdirigerer potentielt skadelige
data, jf. den foreslåede § 6.
Som en særlig variant af tilslutning til netsikkerhedstjene-
sten kan det forekomme, at der ikke hos myndigheden eller
virksomheden opsættes lokalt placerede alarmenheder eller
installeres sikkerhedssoftware, men i stedet sker en løbende
overførsel af logoplysninger og oplysninger om konstatere-
de og mulige sikkerhedshændelser fra myndighedens eller
virksomhedens eget sikkerhedssystem. De data, der i så fald
overføres fra myndigheden eller virksomheden til Center for
Cybersikkerhed, vil have karakter af stationære data, jf. de-
finitionen i den foreslåede § 2, nr. 4. Såfremt der er tale om
en sådan løbende overførsel, anses myndigheden eller virk-
somheden for at være tilsluttet netsikkerhedstjenesten, og
der indgås en tilslutningsaftale.
Stk. 2 er ligeledes en uændret videreførelse af den gælden-
de bestemmelse. Efter bestemmelsen kan de øverste statsor-
ganer samt statslige myndigheder efter anmodning blive til-
sluttet netsikkerhedstjenesten.
Netsikkerhedstjenestens ydelser stilles som udgangspunkt
til rådighed for statens institutioner. Som hidtil vil alle de
øverste statsorganer – det vil sige Folketinget med tilhøren-
de institutioner, regenten og domstolene – også kunne til-
sluttes netsikkerhedstjenesten.
Efter det foreslåede stk. 3 kan regioner og kommuner samt
virksomheder, der har samfundsvigtig karakter, efter an-
modning blive tilsluttet netsikkerhedstjenesten, såfremt Cen-
ter for Cybersikkerhed konkret vurderer, at tilslutningen vil
kunne bidrage til at understøtte et højt informationssikker-
hedsniveau i samfundet. Den gældende bestemmelse er i det
væsentligste videreført, dog således at kredsen af virksom-
heder, der kan tilsluttes efter den foreslåede bestemmelse,
vil omfatte virksomheder, der har samfundsvigtig karakter,
og ikke kun – som efter den gældende bestemmelse – virk-
somheder, der er beskæftiget med samfundsvigtige funktio-
ner.
Begrebet virksomheder, der har samfundsvigtig karakter,
omfatter først og fremmest de virksomheder, som efter den
gældende bestemmelse kan tilsluttes netsikkerhedstjenesten,
fordi de er beskæftiget med samfundsvigtige funktioner.
Ved samfundsvigtige funktioner forstås i denne sammen-
hæng funktioner, som er særligt vigtige for samfundets og
demokratiets opretholdelse og sikkerhed samt borgernes
tryghed, herunder funktioner inden for sundhed, energi,
transport, forsyning, finans, forskning, medier og kommuni-
kation samt funktioner, som har stor økonomisk betydning
for samfundet. Som eksempler på virksomheder, der har
mulighed for at blive tilsluttet netsikkerhedstjenesten, kan
nævnes forsyningsselskaber, teleudbydere, internetudbyde-
re, medicinalvirksomheder, fødevarevirksomheder, virksom-
heder, der leverer vigtige komponenter til Forsvaret, og
virksomheder, der varetager driften af administrative it-sy-
stemer for det offentlige eller for andre samfundsvigtige
virksomheder.
Begrebet samfundsvigtig karakter vil imidlertid også om-
fatte virksomheder, som ikke i sig selv er samfundsvigtige,
men som kan være vigtige ud fra et sikkerhedsperspektiv,
eksempelvis fordi deres servere er blevet inficeret gennem et
cyberangreb og nu anvendes som en del af en angrebsaktørs
infrastruktur. Det forudsættes, at disse virksomheder, som
ikke i sig selv er beskæftiget med samfundsvigtige funktio-
ner, alene tilsluttes netsikkerhedstjenesten, så længe om-
stændighederne gør, at de har samfundsvigtig karakter.
Den foreslåede ændring skal ses i lyset af, at der med lov-
forslaget lægges op til at gå bort fra den hidtidige ordning
med forskellige kriterier for tilslutning til netsikkerhedstje-
nesten alt efter, om der er tale om en midlertidig eller
permanent tilslutning til netsikkerhedstjenesten, jf. bemærk-
ningerne til den foreslåede § 4. Der vil således efter den
foreslåede ordning både kunne ske længerevarende og mid-
lertidig tilslutning af virksomheder, som har samfundsvigtig
karakter.
Bestemmelsen omfatter alle juridiske personer, der har
samfundsvigtig karakter.
I forhold til internetudbyderne og andre serviceudbydere,
der har samfundsvigtig karakter, vil tilslutningen alene om-
fatte udbyderens egen internetadgang, eget netværk, egne
pc’ere og tilsvarende. Derimod vil tilslutningen ikke omfatte
30
trafik, der udveksles fra kunde til kunde som led i den ud-
budte service (medmindre der er indgået en tilslutningsaftale
med den enkelte kunde). At en internetudbyder tilsluttes net-
sikkerhedstjenesten, indebærer således ikke, at netsikker-
hedstjenesten f.eks. kan monitorere udbyderens ADSL-kun-
ders eller hostingkunders internetkommunikation.
Da netsikkerhedstjenestens kapacitet er begrænset, fore-
slås det, at Center for Cybersikkerhed fortsat får hjemmel til
at foretage en konkret vurdering af, om en anmodning fra en
region, kommune eller virksomhed, der ønsker at blive til-
sluttet netsikkerhedstjenesten, kan imødekommes. Centerets
afgørelse vil blive truffet ud fra en overordnet vurdering af,
om den pågældende myndigheds eller virksomheds tilslut-
ning vil kunne bidrage til at understøtte et højt informations-
sikkerhedsniveau i samfundet.
Ved denne vurdering vil der som hidtil blive lagt vægt på
netsikkerhedstjenestens aktuelle kapacitet. Der vil endvidere
blive lagt vægt på, om den pågældende myndighed eller
virksomhed har en it-infrastruktur, der kan udnytte fordelene
ved den monitoreringsydelse, som leveres. Det forudsætter,
at it-infrastrukturen er hensigtsmæssigt indrettet, at den på-
gældende myndighed eller virksomhed har et tilfredsstillen-
de informationssikkerhedsniveau, og at it-driftsorganisatio-
nen har et beredskab, der kan håndtere alarmer fra netsikker-
hedstjenesten.
Der vil endvidere blive lagt vægt på, at netsikkerhedstje-
nesten samlet set opnår en samfundsmæssigt repræsentativ
dækning, således at netsikkerhedstjenesten dækker så mange
forskellige sektorer, brancher, virksomhedstyper og it-tek-
nologier som muligt, hvorved netsikkerhedstjenesten får op-
timale muligheder for at forebygge cyberangreb.
Såfremt Center for Cybersikkerhed ikke imødekommer en
anmodning om tilslutning, vil der være tale om en afgørelse,
der vil kunne påklages til Forsvarsministeriet som led i den
almindelige rekursadgang, ligesom afgørelsen vil kunne ind-
bringes for domstolene. Det bemærkes i den forbindelse, at
Center for Cybersikkerheds virksomhed er undtaget fra for-
valtningslovens kapitel 4-6, jf. den gældende § 8, stk. 1,
men at centeret i videst muligt omfang efterlever principper-
ne i forvaltningslovens kapitel 4-6.
Center for Cybersikkerhed vil regelmæssigt offentliggøre,
hvor mange myndigheder og virksomheder, der er tilsluttet
netsikkerhedstjenesten efter stk. 2 og 3, samt fordelingen på
sektorer.
Efter det foreslåede stk. 4 vil Center for Cybersikkerhed i
særlige tilfælde kunne påbyde virksomheder, der har særligt
samfundsvigtig karakter, samt regioner og kommuner at bli-
ve tilsluttet netsikkerhedstjenesten med henblik på net-
værksmonitorering. Påbuddet kan kun omfatte de dele af
virksomheden, regionen eller kommunen, der har en væsent-
lig betydning for Danmarks kritiske infrastruktur. Center for
Cybersikkerhed skal mindst hvert halve år vurdere, om et
meddelt påbud skal opretholdes.
Den foreslåede ordning omfatter påbud om tilslutning til
netsikkerhedstjenesten i form af monitorering af myndighe-
dens eller virksomhedens netværkskommunikation. Hvis en
virksomhed eller myndighed pålægges at blive tilsluttet net-
sikkerhedstjenesten, vil det derimod hverken omfatte instal-
lation af sikkerhedssoftware eller aktivt cyberforsvar, hvor
der efter den foreslåede § 6 kan ske blokering, omdannelse
eller omdirigering af kommunikation. Kun de dele af myn-
digheden eller virksomheden, der har en væsentlig betyd-
ning for Danmarks kritiske infrastruktur, kan omfattes af et
påbud. Hvis en virksomhed f.eks. har flere forretningsområ-
der eller afdelinger, der ikke deler it-infrastruktur, vil påbud-
det kun kunne omfatte de dele af virksomheden, som har
væsentlig betydning for Danmarks kritiske infrastruktur.
Hvis it-infrastrukturen er delt mellem sådanne forretnings-
områder og afdelinger, vil påbuddet kunne omfatte hele den
delte it-infrastruktur. Center for Cybersikkerhed vil dog
under alle omstændigheder skulle sikre, at såvel påbuddet
som udmøntningen heraf er proportional og således bl.a. kun
omfatter så lille en del af virksomheden, som det er muligt,
for at formålet med påbuddet kan opnås. Der vil kunne fast-
sættes nærmere regler herom i medfør af den foreslåede § 3,
stk. 5, 2. pkt.
Det vil kun være aktuelt at anvende muligheden for at på-
lægge virksomheder og myndigheder at blive tilsluttet net-
sikkerhedstjenesten, hvis det ikke har været muligt på frivil-
lig basis at indgå en tilslutningsaftale. Påbud kan således
kun gives, hvis mindre indgribende tiltag ikke har været til-
strækkelige, og Center for Cybersikkerhed skal mindst hvert
halve år foretage en vurdering af, om påbuddet skal opret-
holdes. Hvis centeret i øvrigt konstaterer, at betingelserne
for at meddele et påbud ikke længere er opfyldt, vil påbud-
det uden unødigt ophold skulle trækkes tilbage. Der vil i
medfør af den foreslåede § 3, stk. 5, 2. pkt., kunne fastsættes
supplerende regler om tidsbegrænsning og revurdering af
påbud.
Center for Cybersikkerheds påbud om tilslutning til net-
sikkerhedstjenesten vil kunne påklages til Forsvarsministeri-
et som led i den almindelige rekursadgang, ligesom afgørel-
sen vil kunne indbringes for domstolene. Det bemærkes i
den forbindelse, at Center for Cybersikkerheds virksomhed
er undtaget fra forvaltningslovens kapitel 4-6, jf. den gæl-
dende § 8, stk. 1, men at centeret i videst muligt omfang ef-
terlever principperne i forvaltningslovens kapitel 4-6. Det
indebærer bl.a., at Center for Cybersikkerhed forud for, at
centeret træffer afgørelse om at meddele et påbud, efter
principperne i forvaltningslovens § 19 i en række tilfælde vil
skulle høre den relevante part i sagen over de faktiske oplys-
ninger, som centeret forventer at lægge vægt på i afgørelsen.
Center for Cybersikkerheds afgørelse vil endvidere skulle
indeholde en begrundelse med henvisning til de retsregler, i
henhold til hvilke afgørelsen er truffet. Da afgørelsen til en
vis grad vil bero på et administrativt skøn, vil begrundelsen
tillige skulle angive de hovedhensyn, der har været bestem-
mende for skønsudøvelsen. Afgørelsen vil herudover skulle
indeholde en redegørelse for de oplysninger vedrørende sa-
gens faktiske omstændigheder, som er tillagt betydning for
afgørelsen, jf. principperne i forvaltningslovens § 24.
Der henvises i øvrigt til bemærkningerne til det foreslåede
stk. 5, 2. pkt., nedenfor.
31
Det foreslås med stk. 5, at forsvarsministeren kan fastsætte
nærmere regler om vilkårene for tilslutning efter stk. 2 og 3.
Forsvarsministeren kan desuden fastsætte nærmere regler
om påbud efter stk. 4, herunder om at myndigheder og virk-
somheder, der er tilsluttet netsikkerhedstjenesten på bag-
grund af et påbud, skal medvirke til netsikkerhedstjenestens
opsætning og drift af hardware og i den forbindelse skal stil-
le de nødvendige oplysninger om konfiguration og drift af
deres digitale infrastruktur til rådighed for netsikkerhedstje-
nesten.
Med den foreslåede bestemmelse ændres kompetencen til
fastsættelse af nærmere regler, således at de nærmere regler
om vilkår for tilslutning vil skulle udstedes af forsvarsmini-
steren og ikke som hidtil af Center for Cybersikkerhed.
Stk. 5, 1. pkt., er en delvis videreførelse af gældende ret,
hvorefter forsvarsministeren kan fastsætte regler om vilkåre-
ne for tilslutning, idet der dog ikke længere vil ske opkræv-
ning af gebyr for tilslutning. Reglerne vil bl.a. kunne regule-
re ejerskab til og håndtering af monitoreringsudstyr.
Efter stk. 5, 2. pkt., hvorefter forsvarsministeren kan fast-
sætte nærmere regler om påbud om tilslutning efter stk. 4,
vil der i de regler, som udstedes i medfør af bestemmelsen,
kunne fastsættes nærmere kriterier for, hvornår et påbud kan
udstedes. Kun myndigheder eller virksomheder, der både
har en særligt samfundsvigtig karakter og har en væsentlig
betydning for Danmarks kritiske infrastruktur vil være om-
fattet af ordningen. Der skal dermed være tale om myndig-
heder eller virksomheder, der leverer ydelser, som er så vig-
tige, at forhindring af disse kan have en væsentlig indvirk-
ning på samfundet, herunder i relation til f.eks. sikkerhed,
forsyning, økonomi eller sundhed.
Et væsentligt kriterium for, hvornår en myndighed eller
virksomhed anses for at have særligt samfundsvigtig karak-
ter, vil være den sektor, som myndigheden eller virksomhe-
den indgår i. De sektorer, som er omfattet af Europa-Parla-
mentets og Rådets direktiv 2016/1148/EU af 6. juli 2016 om
foranstaltninger, der skal sikre et højt fælles sikkerhedsni-
veau for net- og informationssystemer i hele Unionen (NIS-
direktivet), anses således for særligt samfundsvigtige. Det
drejer sig om sektorerne energi, transport, bankvæsen, finan-
sielle markedsinfrastrukturer, sundhed, drikkevandsforsy-
ning og -distribution samt digital infrastruktur. Øvrige dele
af samfundet, der ikke er omfattet af NIS-direktivet, kan dog
også være særligt samfundsvigtige, herunder navnlig tele-
sektoren, forsvarsindustrien, forskningsinstitutioner og virk-
somheder, der behandler beskyttelsesværdig information.
Herudover vil der blive lagt vægt på kriterier som antallet af
brugere, andre sektorers afhængighed af myndigheden eller
virksomheden, geografisk udbredelse og de konsekvenser,
som cyberangreb vil kunne have på økonomiske og sam-
fundsmæssige aktiviteter. Myndigheder og virksomheder,
som vil kunne meddeles påbud, vil eksempelvis være te-
leudbydere og energiselskaber, der leverer ydelser til et stort
antal kunder.
Det forudsættes, at Center for Cybersikkerhed forud for
meddelelse af et påbud har en dialog med den ansvarlige til-
synsmyndighed indenfor den pågældende sektor, og at der
er enighed mellem centeret og denne myndighed, inden der
meddeles påbud.
Det vil også i reglerne kunne fastsættes, at myndigheden
eller virksomheden skal orientere dennes medarbejdere om,
at der vil ske monitorering.
Som ved øvrige tilslutninger vil en tilslutning efter påbud
alene omfatte virksomhedens eller myndighedens egen in-
ternetadgang, eget netværk, egne pc’ere og tilsvarende. Der-
imod vil tilslutningen ikke omfatte trafik, der udveksles fra
kunde til kunde som led i services, som virksomheden eller
myndigheden udbyder. Hvis f.eks. en internetudbyder får
påbud om at blive tilsluttet netsikkerhedstjenesten, vil det
ikke indebære, at netsikkerhedstjenesten får adgang til udby-
derens ADSL-kunders eller hostingkunders internetkommu-
nikation.
Der vil endvidere kunne fastsættes regler om, at de virk-
somheder og myndigheder, som får påbud om tilslutning,
skal stille nødvendige oplysninger om konfiguration og drift
af deres digitale infrastruktur til rådighed for Center for Cy-
bersikkerhed. Disse oplysninger vil være en forudsætning
for, at centeret kan vurdere, hvor i organisationens infra-
struktur monitoreringen skal ske for at have optimal effekt.
Desuden vil det kunne fastsættes, at de pågældende myndig-
heder og virksomheder loyalt vil skulle medvirke til gen-
nemførelse af monitoreringen.
Det bemærkes, at Center for Cybersikkerhed ikke i med-
før af bestemmelsen vil kunne få adgang til f.eks. en virk-
somheds lokaler uden dommerkendelse. Retsvirkningen af,
at en virksomhed eller myndighed ikke efterlever et påbud
om tilslutning eller ikke medvirker loyalt ved tilslutningen,
vil i reglerne kunne fastsættes til bøde, jf. den foreslåede §
24 a.
Det bemærkes endvidere, at det følger af retsplejelovens §
997, stk. 3, at der i domme, hvorved nogen tilholdes at op-
fylde en forpligtelse mod det offentlige, som tvangsmiddel
kan fastsættes en fortløbende bøde, der tilfalder statskassen.
Denne mulighed for at fastsætte fortløbende bøder vil være
aktuel at anvende i sager, hvor en myndighed eller virksom-
hed afviser at medvirke til netsikkerhedstjenestens opsæt-
ning og drift af hardware og software eller afviser at stille de
nødvendige oplysninger til rådighed for netsikkerhedstjene-
sten.
Der henvises i øvrigt til afsnit 3.1 i de almindelige be-
mærkninger.
Til nr. 2
Med bestemmelsen foreslås det, at overskriften til kapitel
4 ændres fra »Indgreb i meddelelseshemmeligheden« til
»Indgreb omfattet af grundlovens § 72«.
Med ændringen tages der højde for, at der ved anvendelse
af aktivt cyberforsvar, jf. den foreslåede § 6, og sikkerheds-
tekniske undersøgelser, jf. den foreslåede § 6 a, udover ind-
greb i meddelelseshemmeligheden vil kunne være tale om
andre former for indgreb, der er omfattet af grundlovens §
72.
32
Til den foreslåede § 4
Den gældende § 4 giver Center for Cybersikkerheds net-
sikkerhedstjeneste hjemmel til at foretage indgreb i meddel-
elseshemmeligheden i forbindelse med behandling af pakke-
og trafikdata hidrørende fra netværk hos tilsluttede myndig-
heder og virksomheder. Den gældende § 5 giver en tilsva-
rende hjemmel vedrørende pakke- og trafikdata hidrørende
fra netværk hos myndigheder på Forsvarsministeriets områ-
de.
Den foreslåede nyaffattelse af § 4 indebærer, at de gæl-
dende §§ 4 og 5 samles i én bestemmelse, således at der ik-
ke længere i bestemmelsen skelnes mellem data, der hidrø-
rer fra myndigheder på Forsvarsministeriets område, og da-
ta, der hidrører fra andre myndigheder og virksomheder.
Samtidig foreslås det, at bestemmelsen udvides, så den ud-
over pakke- og trafikdata også omfatter stationære data, li-
gesom bestemmelsen vil omfatte både monitorering af net-
værkstrafik og monitorering via lokal sikkerhedssoftware.
Efter den foreslåede bestemmelse vil Center for Cybersik-
kerheds netsikkerhedstjeneste uden retskendelse kunne be-
handle trafikdata, pakkedata og stationære data hidrørende
fra tilsluttede myndigheder og virksomheder, jf. § 3, stk.
2-4, med henblik på at understøtte et højt informationssik-
kerhedsniveau i samfundet.
Netsikkerhedstjenesten har til opgave at opdage, analysere
og bidrage til at imødegå sikkerhedshændelser hos tilslutte-
de myndigheder og virksomheder. Netsikkerhedstjenesten
varetager opgaver i forhold til tilsluttede myndigheder og
virksomheder på det civile område samt myndigheder og in-
stitutioner på Forsvarsministeriets myndighedsområde. For
så vidt angår myndigheder på Forsvarsministeriets område
vil opgavevaretagelsen – herunder monitorering af net-
værkstrafik og monitorering via lokal sikkerhedssoftware –
udover i Danmark ske i udlandet i forbindelse med internati-
onale stabiliseringsindsatser og operationer.
Bestemmelsen er teknologineutral, og behandlingen vil
således kunne ske med de teknologier, der aktuelt giver de
bedste resultater. I dag sker der behandling af trafikdata og
pakkedata i et netværk af særlige alarmenheder, der monito-
rerer internettrafikken ved tilsluttede myndigheder og virk-
somheder. Alarmenhederne kopierer internettrafikken, hvor-
efter trafikken ved hjælp af automatiserede analyseværktøjer
undersøges for ondartet aktivitet. Når den automatiserede
analyse udløser en alarm, håndteres denne efterfølgende af
medarbejdere i Center for Cybersikkerheds netsikkerheds-
tjeneste.
Med bestemmelsens udvidelse til også at omfatte statio-
nære data, jf. definitionen i den foreslåede § 2, nr. 4, vil den
eksisterende monitorering kunne suppleres med installation
af sikkerhedssoftware lokalt på de enkelte enheder, som an-
vendes af myndigheden eller virksomheden. Disse enheder
vil f.eks. kunne være pc’ere, servere, smartphones og tab-
lets. Sikkerhedssoftwaren vil ikke i medfør af den foreslåede
bestemmelse kunne anvendes til at bremse cyberangreb un-
dervejs, men vil alene kunne anvendes til at opdage cyber-
angreb med henblik på, at de efterfølgende kan håndteres.
Sikkerhedssoftwaren vil dog også kunne have en aktiv funk-
tionalitet, jf. den foreslåede § 6.
Sikkerhedssoftwaren vil løbende foretage scanninger på
den enhed, hvor softwaren er installeret, efter kendte signa-
turer eller andre indikatorer på angrebsaktivitet, hvilket i gi-
vet fald vil udløse en alarm. Softwaren vil endvidere kunne
søge efter uregelmæssigheder i de processer, der er aktiveret
på enheden eller i de netværk, som enheden er tilknyttet,
med henblik på at opdage angrebsaktivitet i systemet og ud-
løse en alarm. Begge dele vil foregå automatiseret, mens en
efterfølgende behandling på baggrund af en alarm typisk vil
indebære en manuel analyse.
Sikkerhedssoftwaren kan herudover videregive generelle,
tekniske oplysninger om eksempelvis kørende systempro-
cesser og services på den enkelte enhed, hvor softwaren er
installeret, til Center for Cybersikkerhed. Disse tekniske op-
lysninger vil ved sammenligning med oplysningerne fra an-
dre enheder i samme netværk kunne bruges til at opdage af-
vigelser fra normalbilledet, som kan være tegn på uautorise-
ret aktivitet på systemet. Dermed vil der kunne opdages an-
greb, som endnu ikke er omfattet af en kendt signatur, og
som derfor ikke udløser en alarm.
Sikkerhedssoftware vil alene kunne anvendes på myndig-
hedens eller virksomhedens enheder. Installation af sikker-
hedssoftware hos leverandører (herunder databehandlere) vil
forudsætte, at der indgås aftale med leverandørerne herom,
og der vil ikke ske installation af sikkerhedssoftware på
f.eks. private smartphones eller pc’ere, som medarbejderne
anvender til at tilgå arbejdsrelaterede e-mails.
Tilsluttede myndigheder og virksomheder vil endvidere
kunne vælge at udlevere krypteringsnøgler og certifikater til
netsikkerhedstjenesten med henblik på dekryptering af data i
alarmenhederne. Center for Cybersikkerhed vil dog ikke
kunne forlange krypteringsnøgler udleveret fra myndighe-
der, virksomheder eller borgere.
Endelig indebærer bestemmelsen, at Center for Cybersik-
kerhed hos tilsluttede myndigheder og virksomheder kan fo-
retage indgreb, der er omfattet af grundlovens § 72, i statio-
nære data, som myndigheden eller virksomheden stiller til
rådighed for centeret. Tilsluttede myndigheder og virksom-
heder kan i medfør af bestemmelsen udlevere eksempelvis
logfiler fra myndighedens eller virksomhedens eget sikker-
hedsudstyr, herunder hardware og software. Dette kan even-
tuelt ske automatiseret ved løbende videregivelse af logfiler
eller data fra sikkerhedshændelser til centeret.
En myndighed eller virksomhed kan eksempelvis også
stille stationære data til rådighed for centeret, hvis myndig-
heden eller virksomheden har mistanke om, at en server, pc,
smartphone eller lignende har været udsat for et cyberangreb
og har behov for bistand til en nærmere undersøgelse af, om
det er tilfældet. Det vil være en forudsætning, at myndighe-
den eller virksomheden anmoder Center for Cybersikkerhed
om bistand. Der er tale om en delvis videreførelse af den
ordning, der følger af den gældende § 7.
33
Der henvises i øvrigt til afsnit 3.3, herunder navnlig afsnit
3.3.3.1, i de almindelige bemærkninger om sikkerhedssoft-
ware med passiv funktionalitet.
Til den foreslåede § 5
Efter den gældende § 7 kan Center for Cybersikkerheds
netsikkerhedstjeneste ved begrundet mistanke om en sikker-
hedshændelse uden retskendelse behandle data, som er inde-
holdt i eller hidrører fra et informationssystem, der anvendes
af en myndighed eller virksomhed, når myndigheden eller
virksomheden har anmodet Center for Cybersikkerhed om
bistand, stillet informationssystemet eller dataene herfra til
rådighed for netsikkerhedstjenesten og givet skriftligt sam-
tykke til, at netsikkerhedstjenesten behandler dataene. Det er
endvidere en forudsætning, at behandlingen vurderes at kun-
ne bidrage væsentligt til Center for Cybersikkerheds mulig-
heder for at sikre informations- og kommunikationsteknolo-
gisk infrastruktur, som samfundsvigtige funktioner er af-
hængige af.
Det foreslås, at bestemmelsen videreføres som ny § 5. Be-
stemmelsen tilpasses dog, således at den i stedet for det hid-
tidige begreb, ”data, som er indeholdt i eller hidrører fra et
informationssystem”, omfatter det nye begreb ”stationære
data”, jf. definitionen i den foreslåede § 2, nr. 4.
Endvidere foreslås det, at bestemmelsen fremover kun
omfatter behandlingen af stationære data fra myndigheder
og virksomheder, der ikke er tilsluttet Center for Cybersik-
kerheds netsikkerhedstjeneste. For tilsluttede myndigheder
og virksomheder reguleres adgangen til stationære data i den
foreslåede § 4, jf. bemærkningerne ovenfor til denne be-
stemmelse.
Bestemmelsen omfatter også såkaldt incident response
(bistand til håndtering af konkrete sikkerhedshændelser).
Som led heri kan centeret bl.a. anvende software til analyse
af de stationære data, der er stillet til rådighed for centeret af
myndigheden eller virksomheden. Såfremt der herudover er
behov for egentlig monitorering ved hjælp af alarmenheder
eller sikkerhedssoftware, vil der skulle ske tilslutning til net-
sikkerhedstjenesten efter den foreslåede § 3.
Herudover foreslås en tilpasning af kriteriet i nr. 2, således
at stationære data kan behandles, når behandlingen vurderes
at kunne bidrage til at understøtte et højt informationssikker-
hedsniveau i samfundet. Efter gældende ret er det tilsvaren-
de kriterium, at behandlingen skal kunne bidrage væsentligt
til Center for Cybersikkerheds muligheder for at sikre infor-
mations- og kommunikationsteknologisk infrastruktur, som
samfundsvigtige funktioner er afhængige af. Med forslaget
vil der gælde samme kriterium som for tilslutning til netsik-
kerhedstjenesten efter det foreslåede § 3, stk. 3.
Bortset herfra er der tale om en videreførelse af gældende
ret.
Anvendelse af bestemmelsen forudsætter fortsat, at der er
begrundet mistanke om en sikkerhedshændelse. Der vil såle-
des skulle foreligge konkrete indikationer, der peger i ret-
ning af, at en sikkerhedshændelse har fundet eller vil finde
sted.
Det er efter det foreslåede nr. 1 et krav, at myndigheden
eller virksomheden har anmodet Center for Cybersikkerhed
om bistand, stillet de stationære data til rådighed for netsik-
kerhedstjenesten og givet skriftligt samtykke til behandlin-
gen.
Efter det foreslåede nr. 2 er det et krav, at netsikkerheds-
tjenesten forud for behandlingen af data konkret skal have
vurderet, at behandlingen kan bidrage til at understøtte et
højt informationssikkerhedsniveau i samfundet. I forhold til
virksomheder er det således ikke et krav, at en virksomhed
selv beskæftiger sig med samfundsvigtige funktioner.
Til den foreslåede § 6
Den foreslåede § 6 er ny og indebærer, at Center for Cy-
bersikkerheds netsikkerhedstjeneste efter aftale med en
myndighed eller virksomhed, der er tilsluttet i medfør af § 3,
stk. 2 og 3, ved begrundet mistanke om en sikkerhedshæn-
delse uden retskendelse vil kunne blokere, omdanne eller
omdirigere trafikdata og pakkedata hidrørende fra netværk
hos myndigheden eller virksomheden med henblik på at un-
derstøtte et højt informationssikkerhedsniveau i samfundet.
Med bestemmelsen skabes hjemmel til, at Center for Cy-
bersikkerhed kan anvende aktivt cyberforsvar, hvor der rea-
geres på cyberangreb i realtid. Det skal ses i modsætning til
den monitoreringsydelse, der kan tilbydes efter gældende ret
og efter den foreslåede § 4, og hvor monitoreringen er
passiv i den forstand, at internettrafik alene undersøges for
ondartet aktivitet. Hvis der konstateres en sådan ondartet ak-
tivitet, håndteres denne efterfølgende af medarbejdere i cen-
terets netsikkerhedstjeneste.
Aktivt cyberforsvar efter den foreslåede bestemmelse in-
debærer, at centeret ved hjælp af en teknisk løsning kan blo-
kere, omdanne eller omdirigere netværkskommunikation
ved konstatering af en kendt signatur (indikator) på et cyber-
angreb. Reaktionen vil være fuldt automatiseret og foregå i
realtid.
Blokering indebærer eksempelvis, at indgående phishing-
mails i en konstateret kampagne kan stoppes, inden de når
frem til myndigheden eller virksomheden, ligesom udgåen-
de trafik med data, som en angrebsaktør henter fra myndig-
heden eller virksomheden, potentielt vil kunne bremses. I
visse tilfælde vil det endvidere være muligt at uskadeliggøre
kommunikationen ved f.eks. at omdanne en vedhæftet fil til
et format, hvor skadelig kode ikke kan eksekveres. En om-
dannelse vil imidlertid ikke indebære, at det semantiske ind-
hold af kommunikationen ændres, uden at dette vil fremgå
tydeligt, f.eks. ved en angivelse af, at et skadeligt link er
slettet fra en e-mail. Derudover vil kommunikationen i visse
tilfælde kunne omdirigeres til en separat server, hvor der
(bl.a. manuelt) kan foretages nærmere undersøgelse og
håndtering. I modsætning til blokerede data vil omdirigerede
data efter endt undersøgelse og håndtering blive sendt videre
til modtageren, såfremt undersøgelsen har vist, at der er tale
om uskadelige data.
Ved en aktiv reaktion vil den tilsluttede myndighed eller
virksomhed kunne modtage en automatisk genereret log
34
over kommunikation, der er blevet blokeret, omdannet eller
omdirigeret. Videregivelse til den tilsluttede myndighed el-
ler virksomhed af logfiler vil, såfremt de indeholder data
omfattet af kapitel 4, være reguleret af den foreslåede § 16.
Aktivt cyberforsvar vil – i modsætning til det passive cy-
berforsvar – indebære risiko for, at der sker fejl. På samme
vis som med eksisterende kommercielle sikkerhedsløsninger
kan det således ikke udelukkes, at systemet ved en fejl pro-
grammeres eller installeres på en måde, hvor ikke-skadelig
netværkstrafik fejlagtigt bliver påvirket, og hvor dette påfø-
rer tredjemand eller den tilsluttede myndighed eller virk-
somhed et økonomisk tab. Et eventuelt erstatningsansvar for
Center for Cybersikkerhed vil skulle vurderes efter de al-
mindelige regler for offentlige myndigheders erstatningsan-
svar.
Det kan endvidere ikke udelukkes, at systemet ved en fejl
udelukker en borger fra f.eks. at sende e-mails til de tilslut-
tede myndigheder. En sådan blokering vil eksempelvis kun-
ne betyde, at en borger ikke får behandlet en ansøgningssag,
eller at der bliver truffet en mangelfuld afgørelse, idet bor-
gerens oplysninger ikke når frem til den pågældende sagsbe-
handler. En e-mail, der fejlagtigt blokeres, vil imidlertid bli-
ve anset for at være kommet frem til den pågældende myn-
dighed, hvis den er kommet frem til myndighedens netværk,
men derefter er blevet blokeret af det aktive cyberforsvar –
også selv om e-mailen dermed ikke er registreret som mod-
taget af myndigheden. Dermed vil det for myndigheden
kunne udgøre en sagsbehandlingsfejl, hvis der som følge af
blokeringen træffes en forvaltningsretlig afgørelse på et
mangelfuldt faktuelt grundlag. En sådan sagsbehandlingsfejl
vil efter omstændighederne kunne medføre afgørelsens
ugyldighed og – såfremt erstatningsbetingelserne i øvrigt er
opfyldt – erstatningsansvar for myndigheden. Det bemærkes
for god ordens skyld, at hvis systemet blokerer en borgers e-
mail, som er inficeret med malware, vil dette – uanset om
den pågældende borger var uvidende om infektionen – ikke
anses for at være en fejl.
Det vil være naturligt, at de tilsluttede myndigheder på de-
res hjemmesider i relevant omfang orienterer om, at det kan
forekomme, at kommunikation blokeres af sikkerhedsmæs-
sige årsager. Konkret vil det f.eks. kunne ske i form af en
kort informationstekst, der bringes tydeligt på myndighe-
dens kontaktside. Det bemærkes i den forbindelse, at aktivt
cyberforsvar normalt ikke vil indebære, at der sker bloke-
ring af henvendelser via de kontakt- og ansøgningsformula-
rer på myndigheders hjemmesider, hvor der alene er mulig-
hed for at indtaste tekstbaserede oplysninger.
Tilslutning til det aktive cyberforsvar vil altid være frivil-
lig for myndigheder og virksomheder, der således på bag-
grund af information om systemets funktionalitet og risiko-
en for fejl vil kunne tage stilling til, om de ønsker at blive
tilsluttet.
Der henvises i øvrigt til afsnit 3.2 i de almindelige be-
mærkninger om et aktivt cyberforsvar.
Det foreslås med stk. 2, at stk. 1 tilsvarende finder anven-
delse i forhold til stationære data hos tilsluttede myndighe-
der og virksomheder, samt at netsikkerhedstjenesten ved en
konstateret sikkerhedshændelse endvidere efter aftale med
den tilsluttede myndighed eller virksomhed kan slette de sta-
tionære data, der har forårsaget sikkerhedshændelsen.
Der vil være tale om en generel aftale, der typisk vil blive
indgået i forbindelse med tilslutningsaftalen, og som vil
fastsætte rammerne for sletning.
I den aktive udgave vil der i sikkerhedssoftwaren kunne
fastsættes automatiske reaktioner på bestemte alarmer. For-
målet vil være at forebygge, stoppe eller begrænse cyberan-
greb.
Det kan eksempelvis være, at filer med bestemte typer af
kendt angrebsaktivitet skal blokeres, slettes, omdirigeres el-
ler omdannes. Sikkerhedssoftwaren vil bl.a. kunne blokere
nærmere bestemte systemprocesser, som udfører et cyberan-
greb. En fil med kendte indikatorer på angrebsaktivitet vil
derudover kunne omdannes til et format, hvor den skadelige
kode ikke kan eksekveres. En omdannelse vil imidlertid ik-
ke indebære, at det semantiske indhold af filen ændres, uden
at dette vil fremgå tydeligt, f.eks. ved en angivelse af, at et
skadeligt link er slettet fra en e-mail. I de tilfælde, hvor en
angrebsaktør forsøger at hente data, vil sikkerhedssoftwaren
kunne omdirigere data, således at der ikke sendes data ud af
systemet. Det følger af bestemmelsen, at Center for Cyber-
sikkerhed endvidere ved en konstateret sikkerhedshændelse
kan slette de stationære data, der har forårsaget sikkerheds-
hændelsen.
Sikkerhedssoftwaren vil blive indrettet således, at der au-
tomatisk genereres en log over aktive reaktioner, som kan
sendes til den tilsluttede myndighed eller virksomhed.
Anvendelse af sikkerhedssoftwaren vil altid være frivillig
for myndigheder og virksomheder, der således på baggrund
af information om softwarens funktionalitet og risikoen for
fejl vil kunne tage stilling til, om anvendelsen ønskes.
Der henvises i øvrigt til afsnit 3.3 i de almindelige be-
mærkninger, herunder navnlig afsnit 3.3.3.2 om sikkerheds-
software med aktiv funktionalitet.
Til den foreslåede § 6 a
Den foreslåede § 6 a er ny, og med bestemmelsen vil Cen-
ter for Cybersikkerhed med henblik på at kunne rådgive
myndigheder og virksomheder om forebyggelse af sikker-
hedshændelser kunne gennemføre forebyggende sikkerheds-
tekniske undersøgelser, når en myndighed eller virksomhed
har anmodet centeret herom.
Efter anmodning fra myndigheden eller virksomheden vil
Center for Cybersikkerhed som led i den sikkerhedstekniske
undersøgelse uden retskendelse kunne behandle trafikdata,
pakkedata og stationære data hos myndigheden eller virk-
somheden samt behandle offentligt tilgængelige data om
myndigheden eller virksomheden og dennes medarbejdere.
Desuden vil centeret kunne iværksætte forebyggelsesaktivi-
teter rettet mod udvalgte medarbejdere eller enheder i myn-
digheden eller virksomheden.
Bestemmelsen vil give Center for Cybersikkerhed mulig-
hed for at foretage forebyggende sikkerhedstekniske under-
35
søgelser, hvor centeret kan afdække de områder og sårbar-
heder, som en angrebsaktør vil kunne udnytte til at opnå
uautoriseret adgang til myndigheders og virksomheders sy-
stemer med risiko for driftsforstyrrelser og tyveri eller mani-
pulation af data til følge. De sikkerhedstekniske undersøgel-
ser vil altid ske efter nærmere aftale med myndigheden eller
virksomheden, og de vil typisk udgøre et simuleret angreb
på et informationssystem eller netværk, hvor målet er at få
adgang til systemets data og funktionalitet, for derigennem
at afdække og dokumentere potentielle angrebsvektorer og
sårbarheder, der vil kunne udnyttes af angrebsaktører. Cen-
teret kan på baggrund af undersøgelsen rådgive myndighe-
den eller virksomheden om, hvilke konkrete tiltag der kan
gennemføres for at opnå et højere sikkerhedsniveau.
Den sikkerhedstekniske undersøgelse udføres som ud-
gangspunkt i et trindelt forløb. Undersøgelsen påbegyndes
med, at der indsamles eller modtages offentligt tilgængelige
oplysninger om eksempelvis myndighedens eller virksom-
hedens opbygning, domæner m.v. Disse oplysninger kan
f.eks. bruges til at planlægge et simuleret angreb.
Der foretages herefter scanninger på ydersiden af myndig-
hedens eller virksomhedens netværk i søgen efter åbne net-
værksadgange, tjenester og sårbare applikationer, herunder
styresystemer, der ikke er opdaterede.
Hvis der konstateres sårbarheder i organisationens net-
værk eller informationssystemer, udnyttes disse til at skaffe
sig adgang til systemerne. Centeret vil som led heri kunne få
adgang til data om eller fra myndigheden eller virksomhe-
den og dennes medarbejdere, og det foreslås med stk. 2, nr.
1, at centeret efter anmodning fra myndigheden eller virk-
somheden uden retskendelse kan behandle trafikdata, pakke-
data og stationære data hos myndigheden eller virksomhe-
den.
Behandlingen omfatter også den efterfølgende undersø-
gelse af, i hvilket omfang myndighedens eller virksomhe-
dens data kan tilgås og udtrækkes. Det undersøges endvide-
re, om sårbarheder kan udnyttes til at skaffe sig særlige ret-
tigheder i systemerne, herunder administratorrettigheder,
med henblik på at sikre fortsat adgang til systemerne.
Undersøgelsen afsluttes med, at de etablerede adgange og
rettigheder m.v. lukkes ned. Myndigheden eller virksomhe-
den modtager efterfølgende en tilbagemelding fra Center for
Cybersikkerhed om erfaringerne fra undersøgelsen samt råd
og vejledning om, hvordan informationssikkerheden kan
styrkes. Center for Cybersikkerheds afrapportering vil altid
være anonymiseret, således at der ikke i forbindelse med
den forebyggende sikkerhedstekniske undersøgelse videre-
gives oplysninger om de enkelte medarbejderes handlinger
eller undladelser til den undersøgte myndighed eller virk-
somhed, jf. den foreslåede § 16, stk. 6.
Undersøgelsen er altid frivillig for myndigheden og virk-
somheden, og den foretages på baggrund af en aftale med
denne. Der vil i den forbindelse blive fastsat en nærmere af-
grænsning af formål og mål, herunder hvilke dele af forlø-
bet, undersøgelsen skal omfatte, og hvilke områder, f.eks.
specifikke databaser, der eventuelt ikke må gøres til gen-
stand for undersøgelse. Det kan i den forbindelse aftales, at
centeret gives forudgående adgang til systemerne gennem
f.eks. et legitimt brugernavn og password, og dermed ikke
skal forsøge at trænge ind i disse udefra, men blot undersø-
ge, i hvilket omfang adgangen kan udnyttes til at opnå særli-
ge rettigheder og udtrække data. Aftalen vil blive indgået
med myndigheden eller virksomheden, og der vil derfor ik-
ke blive indgået aftaler med de enkelte medarbejdere.
Efter det foreslåede stk. 2, nr. 2, kan Center for Cybersik-
kerhed endvidere efter anmodning fra myndigheden eller
virksomheden behandle offentligt tilgængelige data om
myndigheden eller virksomheden og dennes medarbejdere.
Dermed vil det være muligt at supplere den sikkerhedstekni-
ske undersøgelse med anvendelse af offentligt tilgængelige
oplysninger til en form for social engineering. Som led i det-
te element søger Center for Cybersikkerhed gennem offent-
ligt tilgængelige oplysninger at opnå viden om medarbejde-
re i myndigheden eller virksomheden med henblik på at
kunne målrette det simulerede angreb yderligere.
Det vil i praksis kunne foregå ved, at centeret – som led i
den indledende del af undersøgelsen – indsamler offentligt
tilgængelige oplysninger, f.eks. fra avisartikler eller åbne
profiler på sociale medier, om medarbejdere. Der kan i den
forbindelse kun indsamles oplysninger, som er umiddelbart
tilgængelige om medarbejderne. Derimod kan der ikke tages
kontakt til medarbejderne med henblik på at opnå yderligere
oplysninger, ligesom der ikke kan sendes såkaldte venne-an-
modninger med henblik på at opnå et større indblik i medar-
bejderens profiler på sociale medier. Der kan heller ikke
indsamles oplysninger om medarbejderne gennem tredjepar-
ter eller tredjeparters profiler på sociale medier. Centeret vil
desuden ikke kunne opbevare følsomme oplysninger om
medarbejderne, herunder oplysninger om politisk overbevis-
ning, seksuelle forhold m.v.
De indsamlede oplysninger kan anvendes af centeret til at
skabe eller lette adgangen til organisationens systemer, ek-
sempelvis ved at det bliver muligt at gætte medarbejdernes
passwords. Det vil således kunne være relevant at indsamle
oplysninger om navnet på en medarbejders ægtefælle, børn,
husdyr eller fødeby, fordi disse navne erfaringsmæssigt ofte
vil indgå i medarbejderens password.
Det vil være frivilligt for myndigheden eller virksomhe-
den, om undersøgelser af offentligt tilgængelige oplysninger
skal indgå i den konkrete sikkerhedstekniske undersøgelse.
Efter det foreslåede stk. 2, nr. 3, vil Center for Cybersik-
kerhed efter anmodning fra myndigheden eller virksomhe-
den kunne iværksætte forebyggelsesaktiviteter rettet mod
udvalgte medarbejdere eller enheder i myndigheden eller
virksomheden. Dermed vil det være muligt at supplere den
sikkerhedstekniske undersøgelse med et yderligere element
af social engineering, der har til formål at skabe eller eskale-
re adgangen til systemerne. Dette element vil navnlig bestå
af såkaldt spear-phishing, hvor Center for Cybersikkerhed
søger at målrette et simuleret angreb mod udvalgte medar-
bejdere eller enheder.
36
Det vil f.eks. kunne foregå ved, at centeret – eventuelt på
baggrund af undersøgelser af offentligt tilgængelige oplys-
ninger efter stk. 2, nr. 2 – sender en e-mail til en bestemt
medarbejder, hvor centeret udgiver sig for at være en kolle-
ga på den pågældende arbejdsplads. E-mailen vil være ud-
formet på en sådan måde, at den skal få medarbejderen til at
sende oplysninger til centeret, som centeret kan benytte til at
skaffe sig adgang til myndighedens eller virksomhedens net-
værk eller opnå særlige rettigheder i systemerne, f.eks. ad-
ministratorrettigheder. Det vil være kendetegnende for spe-
ar-phishing-mails, at centeret udgiver sig for at være en an-
den for at franarre medarbejdere bestemte oplysninger. Cen-
teret vil dog kun udgive sig for at være medarbejdere i den
myndighed eller virksomhed, der er genstand for undersø-
gelsen. Hvis centeret udgiver sig for at være en ”ægte” med-
arbejder i den pågældende myndighed eller virksomhed,
skal der være tale om en medarbejder, som er bekendt med
den sikkerhedstekniske undersøgelse og omfanget heraf, og
som derfor kan reagere hensigtsmæssigt på eventuelle hen-
vendelser fra kollegaer om de modtagne spear-phishing-
mails.
Dette element vil f.eks. også kunne indebære, at der place-
res usb-nøgler eller andre eksterne medier på myndighedens
eller virksomhedens område, som potentielt giver fjernad-
gang til systemerne, såfremt en medarbejder indsætter usb-
nøglen eller mediet i sin computer.
Det vil være frivilligt for myndigheden eller virksomhe-
den, om dette element af social engineering skal indgå i den
konkrete sikkerhedstekniske undersøgelse.
Center for Cybersikkerhed vil i forbindelse med sikker-
hedstekniske undersøgelser kunne blive opmærksom på, at
en myndigheds eller virksomheds medarbejdere foretager en
handling, der udgør en overtrædelse af arbejdspladsens it-
sikkerhedsregler. Sådanne oplysninger vil alene kunne vide-
regives til myndigheden eller virksomheden i anonymiseret
form.
Der henvises i øvrigt til afsnit 3.4 i de almindelige be-
mærkninger.
Til den foreslåede § 6 b
Den foreslåede § 6 b er ligeledes ny. Med bestemmelsen
vil Center for Cybersikkerhed med henblik på at opnå viden
om angrebsaktørers metoder og værktøjer kunne opsætte
fiktive angrebsmål, såfremt opsætningen vurderes at kunne
bidrage væsentligt til Center for Cybersikkerheds mulighe-
der for at understøtte et højt informationssikkerhedsniveau i
samfundet.
Bestemmelsen vil indebære, at Center for Cybersikkerhed
får mulighed for at opsætte såkaldte honey pots. En honey
pot er typisk et computersystem eller en server, der indehol-
der sårbarheder og er placeret på netværket hos interessante
angrebsmål med det formål at tiltrække sig opmærksomhed
fra en angrebsaktør, der søger efter mål på netværket. En ho-
ney pot vil således kun blive opdaget af angrebsaktører, der
bevidst søger efter de pågældende sårbarheder.
Dermed lokkes angrebsaktøren til at bruge sine ressourcer
på at angribe et system, der er indrettet til formålet, i stedet
for reelle mål på netværket. Ved at lade systemet udsætte for
kompromittering kan Center for Cybersikkerhed endvidere
indsamle oplysninger om angrebsaktørens færden og brug af
kommandoer i systemet, herunder tilegne sig de angrebs-
værktøjer, som angrebsaktøren søger at placere på det sårba-
re system.
Honey pots vil efter omstændighederne kunne opsættes på
tilsluttede myndigheder og virksomheders egne netværk og
eget udstyr, hvilket dog vil forudsætte samtykke fra de på-
gældende myndigheder eller virksomheder.
Med stk. 2 foreslås det, at hvis en angrebsaktør benytter et
fiktivt angrebsmål til at deponere data, vil Center for Cyber-
sikkerhed uden retskendelse kunne behandle de deponerede
data med henblik på at opdage, analysere og bidrage til at
imødegå sikkerhedshændelser hos myndigheder og virksom-
heder eller at informere borgere, myndigheder og virksom-
heder om, at de har været udsat for en sikkerhedshændelse.
Som udgangspunkt vil trafikken på en honey pot bestå af
angrebsaktørens afsøgning af systemet, og ved Center for
Cybersikkerheds tilgang til denne trafik vil der ikke i sig
selv ske indgreb omfattet af grundlovens § 72. Det kan
imidlertid ikke udelukkes, at en angrebsaktør i særlige til-
fælde vil anvende en honey pot til at deponere data, der er
hentet som led i et angreb mod tredjemand. Centeret vil i gi-
vet fald ved at tilgå data i en honey pot kunne foretage ind-
greb omfattet af grundlovens § 72, f.eks. for at forsøge at
identificere offeret for det pågældende angreb.
I det omfang, det vil være muligt umiddelbart at identifi-
cere ejeren af de pågældende data, vil Center for Cybersik-
kerhed rette henvendelse til vedkommende og orientere om
forholdet, ligesom centeret vil kunne rette henvendelse til
relevante myndigheder, f.eks. netsikkerhedstjenester i det
land, hvor angrebet har fundet sted. Såfremt det ikke umid-
delbart er klart, hvem de pågældende data stammer fra, her-
under om data måtte stamme fra flere forskellige kilder, vil
data hurtigst muligt blive slettet, medmindre Center for Cy-
bersikkerhed udtager data til nærmere analyse. Der henvises
i den forbindelse til den foreslåede § 17 a og bemærkninger-
ne hertil.
Behandling af data, der indeholder personoplysninger, vil
ske i overensstemmelse med de generelle regler for Center
for Cybersikkerheds behandling af data, hvor en række af
persondatalovens centrale principper er indarbejdet i lov om
Center for Cybersikkerhed, herunder krav til behandlings-
grundlag samt krav om proportionalitet og dataminimering.
Der henvises i øvrigt til afsnit 3.5 i de almindelige be-
mærkninger.
Til den foreslåede § 6 c
Den foreslåede § 6 c er også ny. Efter bestemmelsen vil
Center for Cybersikkerhed med henblik på at forhindre,
standse eller begrænse en nært forestående eller igangvæ-
rende sikkerhedshændelse kunne gøre brug af domænenavne
og tilsvarende it-infrastruktur, som anvendes eller har været
37
anvendt af en angrebsaktør, forudsat at disse er ledige til re-
gistrering.
Bestemmelsen vil indebære, at Center for Cybersikkerhed
får mulighed for at anvende såkaldte sinkholes. Center for
Cybersikkerhed vil f.eks. kunne registrere rettighederne til
et domæne, der indgår i angrebsaktørens infrastruktur, og
som ikke i forvejen er registreret, eller få allokeret en ip-
adresse. Derefter vil den trafik, der ellers ville være tilgået
angrebsaktøren gennem det pågældende domæne eller den
pågældende ip-adresse, i stedet modtages af Center for Cy-
bersikkerhed som operatør af sinkholet. Det kan f.eks. dreje
sig om data, som angrebsaktøren har hentet fra en inficeret
enhed, eller om kommandoer, som angrebsaktøren – via do-
mænet – sender til inficerede enheder. Centeret vil tillige
kunne registrere eksempelvis en e-mailadresse eller en kon-
to på en kommunikationsplatform, når e-mailadressen eller
kontoen ikke i forvejen er registreret, hvorefter den kommu-
nikation, der ellers ville være tilgået angrebsaktøren, i stedet
modtages af Center for Cybersikkerhed. Dermed kan cente-
ret f.eks. modtage meddelelser og andre data, som angrebs-
aktøren skulle have modtaget fra en kompromitteret bruger
eller inficeret enhed. Det vil også i disse tilfælde være en
forudsætning, at e-mailadressen eller kontoen anvendes eller
har været anvendt af en angrebsaktør.
Centeret vil således med et sinkhole potentielt kunne af-
skære angrebsaktøren fra at styre dennes angrebsplatform og
dermed standse et igangværende angreb.
Proceduren vil særligt kunne anvendes i tilfælde, hvor et
domæne er ledigt, fordi angrebsaktøren har undladt at regi-
strere retten til domænet eller har undladt at forlænge en re-
gistrering, eller hvor angrebsaktøren har undladt at registrere
en e-mailadresse eller en konto på en kommunikationsplat-
form. Center for Cybersikkerhed vil ikke kunne skaffe sig
uberettiget adgang til et domæne eller en konto på en kom-
munikationsplatform, f.eks. gennem hacking, ligesom der
ikke vil kunne gives påbud om, at et domæne eller en konto
overdrages til centeret. Den foreslåede bestemmelse påvir-
ker dog ikke Center for Cybersikkerheds muligheder for at
samarbejde med andre myndigheder i situationer, hvor disse
myndigheder i medfør af anden lovgivning har fået råderet
over domænenavne eller anden tilsvarende it-infrastruktur,
herunder ved at den pågældende myndighed har fået over-
draget et beslaglagt domænenavn eller en konto på en kom-
munikationsplatform.
Med stk. 2 foreslås det, at hvis Center for Cybersikkerhed
som led i anvendelsen af it-infrastruktur efter stk. 1 modta-
ger data fra tredjemand, kan centeret uden retskendelse be-
handle de modtagne data med henblik på at opdage, analyse-
re og bidrage til at imødegå sikkerhedshændelser hos myn-
digheder og virksomheder eller at informere borgere, myn-
digheder og virksomheder om, at de har været udsat for en
sikkerhedshændelse.
Ved anvendelse af teknikken kan det således ikke udeluk-
kes, at Center for Cybersikkerhed kommer i besiddelse af
data, som stammer fra et angreb – og hvor der dermed kan
blive tale om, at centeret dels skal foretage indgreb omfattet
af grundlovens § 72, dels skal behandle personoplysninger,
f.eks. fordi der sendes data, som stammer fra et cyberan-
greb, til et sinkhole.
I det omfang, det vil være muligt umiddelbart at identifi-
cere ejeren af de pågældende data, vil Center for Cybersik-
kerhed rette henvendelse til vedkommende og orientere om
forholdet, ligesom det vil kunne være hensigtsmæssigt for
centeret at rette henvendelse til relevante myndigheder,
f.eks. netsikkerhedstjenester i det land, hvor angrebet har
fundet sted. Såfremt det ikke umiddelbart er klart, hvem de
pågældende data stammer fra, herunder om data måtte stam-
me fra flere forskellige kilder, vil data i stedet blive slettet.
Der henvises i den forbindelse til den foreslåede § 17 a og
bemærkningerne hertil.
Behandling af data, der indeholder personoplysninger, vil
ske i overensstemmelse med de generelle regler for Center
for Cybersikkerheds behandling af data, hvor en række af
persondatalovens centrale principper er indarbejdet i lov om
Center for Cybersikkerhed, herunder krav til behandlings-
grundlag samt krav om proportionalitet og dataminimering.
Der henvises i øvrigt til afsnit 3.5 i de almindelige be-
mærkninger.
Det foreslås, at der indsættes et nyt kapitel 4 a med over-
skriften »Edition«.
Det foreslåede kapitel indebærer, at Center for Cybersik-
kerhed med henblik på at afdække sikkerhedshændelser som
noget nyt vil kunne anmode retten om at pålægge en juridisk
eller fysisk person at forevise eller udlevere oplysninger om
brugeren af en e-mailkonto, en ip-adresse eller et domæne-
navn, såfremt oplysningerne er undergivet den pågældendes
rådighed.
Den foreslåede ordning følger i det væsentligste bestem-
melserne om edition i retsplejelovens kapitel 74. Den fore-
slåede § 7 adskiller sig imidlertid ved, at der ikke vil være et
krav om mistanke om en strafbar lovovertrædelse, men deri-
mod alene krav om, at oplysningerne skal kunne medvirke
til at afdække sikkerhedshændelser.
Ligesom efter retsplejelovens regler om edition vil der ik-
ke ske underretning af den pågældende bruger af e-mailkon-
toen, ip-adressen eller domænenavnet, medmindre
vedkommende efterfølgende sigtes af politiet.
Til den foreslåede § 7
Den foreslåede § 7 er ny. Efter bestemmelsen kan der med
henblik på at afdække sikkerhedshændelser meddeles en ju-
ridisk eller fysisk person pålæg om at forevise eller udlevere
oplysninger om brugeren af en e-mailkonto, en ip-adresse
eller et domænenavn, såfremt oplysningerne er undergivet
den pågældendes rådighed.
Pålæg kan således alene gives, såfremt oplysningerne er
undergivet den pågældendes rådighed. Bestemmelsen inde-
bærer dermed ikke, at personer og virksomheder pålægges
at opbevare oplysninger, som de ikke ellers ville opbevare.
Der er alene tale om en pligt til – efter rettens kendelse – at
udlevere foreliggende oplysninger til Center for Cybersik-
kerhed.
38
Med stk. 2 foreslås det, at pålæg om edition ikke må med-
deles, såfremt indgrebet står i misforhold til sagens betyd-
ning og det tab eller den ulempe, som indgrebet kan antages
at medføre. Bestemmelsen indebærer, at der skal foretages
en proportionalitetsvurdering forud for meddelelsen af et på-
læg.
Til den foreslåede § 7 a
Efter den foreslåede § 7 a, stk. 1, træffes afgørelse om på-
læg om edition af retten efter Center for Cybersikkerheds
begæring.
Det foreslåede stk. 2 indebærer endvidere, at afgørelsen
træffes af retten ved kendelse. Derudover følger det af den
foreslåede bestemmelse, at retsmøder holdes for lukkede dø-
re, at der i kendelsen anføres de konkrete omstændigheder i
sagen, hvorpå det støttes, at betingelserne for indgrebet er
opfyldt, og at kendelsen til enhver tid kan omgøres.
Til den foreslåede § 7 b
Med § 7 b foreslås det, at der, inden retten træffer afgørel-
se om pålæg om edition, skal være givet den, der har rådig-
hed over oplysningen, adgang til at udtale sig.
Den, der har rådighed over oplysningen, vil typisk være
en teleudbyder, herunder en internetudbyder, eller en DNS-
hostingudbyder, en domæneadministrator, en domæneregi-
strator eller en webhostingvirksomhed. Det forudsættes, at
denne adgang til at udtale sig udøves på skrift. Udtalelsen
vil kunne ske på baggrund af oplysninger fra Center for Cy-
bersikkerhed om, hvilke nærmere oplysninger, der ønskes
udleveret, samt en generel oplysning om at oplysningerne
ønskes udleveret med henblik på afdækning af forhold ved-
rørende en sikkerhedshændelse.
Det foreslås med stk. 2, at retten eller Center for Cybersik-
kerhed, såfremt hensynet til fremmede magter eller statens
sikkerhed taler derfor, kan pålægge den, der har rådighed
over oplysningen, som ønskes forevist eller udleveret efter
stk. 1, tavshedspligt med hensyn til den pågældendes viden
om sagen. Det kan eksempelvis være tilfældet, hvor en te-
leudbyder får viden om, at Center for Cybersikkerhed øn-
sker oplysninger om brugeren af en nærmere bestemt ip-
adresse, som er eller har været benyttet i forbindelse med et
cyberangreb. Når pålæg om tavshedspligt meddeles en er-
hvervsvirksomhed, gælder dette også for andre, der i kraft af
deres tilknytning til virksomheden har fået kendskab til sag-
en, f.eks. medarbejdere eller samarbejdspartnere.
Med stk. 3 foreslås det, at pålæg om tavshedspligt kan op-
hæves af Center for Cybersikkerhed eller retten. Det foreslås
endvidere, at såfremt Center for Cybersikkerhed nægter at
ophæve pålægget, skal spørgsmålet herom forelægges retten
efter begæring. Den pågældende skal gøres bekendt med ad-
gangen til at indbringe spørgsmålet for retten.
Til den foreslåede § 7 c
Den foreslåede § 7 c indebærer, at reglerne i retsplejelo-
vens kapitel 63 om værneting og kapitel 85 om kære til hø-
jere ret finder tilsvarende anvendelse.
Til den foreslåede § 7 d
Det foreslås med § 7 d, at Center for Cybersikkerhed for-
anlediger, at en kendelse om edition opfyldes ved at rette
henvendelse til den, der har rådighed over oplysningen. Ret-
tens kendelse skal på begæring forevises for den pågælden-
de.
Afviser den pågældende uden lovlig grund at efterkomme
pålægget, finder reglerne i retsplejelovens § 178 tilsvarende
anvendelse. Dette indebærer bl.a., at der kan pålægges den,
der har rådighed over oplysningen, en bøde eller efter om-
stændighederne løbende bøder, hvis den pågældende uden
lovlig grund afviser at efterkomme pålægget.
Der henvises i øvrigt til afsnit 3.6 i de almindelige be-
mærkninger.
Til nr. 3
Til den foreslåede § 8
Center for Cybersikkerhed er en del af Forsvarets Efterret-
ningstjeneste, og det følger af den gældende § 8, stk. 1, i lov
om Center for Cybersikkerhed, at centerets virksomhed som
udgangspunkt er undtaget fra lov om offentlighed i forvalt-
ningen bortset fra lovens § 13. Center for Cybersikkerheds
virksomhed er endvidere undtaget fra forvaltningslovens ka-
pitel 4-6 og fra databeskyttelsesloven og Europa-Parlamen-
tets og Rådets forordning 2016/679/EU af 27. april 2016 om
beskyttelse af fysiske personer i forbindelse med behandling
af personoplysninger og om fri udveksling af sådanne oplys-
ninger, jf. § 3, stk. 2, i databeskyttelsesloven, og fra lov om
retshåndhævende myndigheders behandling af personoplys-
ninger, jf. § 1, stk. 2, i lov om retshåndhævende myndighe-
ders behandling af personoplysninger.
Det foreslås, at Center for Cybersikkerheds virksomhed
undtages fra § 3, § 5 og § 8, stk. 2, i lov nr. 442 af 9. juni
2004 om retssikkerhed ved forvaltningens anvendelse af
tvangsindgreb og oplysningspligter (retssikkerhedsloven).
De pågældende bestemmelser finder ikke i dag anvendelse
på centerets virksomhed, som bl.a. indebærer, at der løbende
foretages indgreb i meddelelseshemmeligheden i forbindelse
med centerets monitorering af ind- og udgående kommuni-
kation hos tilsluttede myndigheder og virksomheder.
Forslagene om, at Center for Cybersikkerhed kan anvende
sikkerhedssoftware til monitorering og at centeret i forbin-
delse med udførelse af forebyggende sikkerhedstekniske un-
dersøgelser kan foretage indgreb omfattet af grundlovens §
72, medfører imidlertid at disse indgreb kan blive omfattet
af de pågældende bestemmelser, jf. retssikkerhedslovens §
1, stk. 1, nr. 2.
Den foreslåede bestemmelse indebærer, at Center for Cy-
bersikkerheds virksomhed undtages fra retssikkerhedslovens
§ 3, som bl.a. fastslår, at forvaltningslovens regler om parts-
aktindsigt finder anvendelse ved beslutninger om at iværk-
sætte tvangsindgreb. Derudover vil centerets virksomhed
blive undtaget fra retssikkerhedslovens § 5, som stiller krav
om underretning af parten i forbindelse med iværksættelse
af et tvangsindgreb. Endelig vil centerets virksomhed blive
39
undtaget fra retssikkerhedslovens § 8, stk. 2, som bl.a. stiller
krav om, at der på begæring skal udleveres en rapport om
udførelsen af tvangsindgreb.
Baggrunden for undtagelsen er særligt, at de indgreb, som
foretages af Center for Cybersikkerhed, adskiller sig væsent-
ligt fra de tvangsindgreb, der anvendes af forvaltningen ved
kontrolbesøg m.v. som led i forvaltningens kontrol- og til-
synsvirksomhed. Centerets indgreb sker som altovervejende
hovedregel som led i en automatiseret proces, og de sker
mange tusinde gange i timen. Indgrebene er endvidere ka-
rakteriserede ved, at de ikke er rettet mod konkrete borgere
eller virksomheder, men derimod har til formål at fremfinde
tekniske oplysninger i form af angrebsværktøjer eller resul-
taterne af cyberangreb – med henblik på at forebygge og
stoppe sådanne angreb.
Der henvises i øvrigt til afsnit 3.9 i de almindelige be-
mærkninger.
Til nr. 4
Efter den gældende § 8, stk. 2, nr. 1, kan forsvarsministe-
ren bestemme, at databeskyttelsesloven, Europa-Parlamen-
tets og Rådets forordning 2016/679/EU af 27. april 2016 om
beskyttelse af fysiske personer i forbindelse med behandling
af personoplysninger og om fri udveksling af sådanne oplys-
ninger, lov om offentlighed i forvaltningen og forvaltnings-
lovens kapitel 4-6 helt eller delvis finder anvendelse for
Center for Cybersikkerhed vedrørende centerets behandling
af sager om tilslutning til netsikkerhedstjenesten, jf. § 3, stk.
3.
Det foreslås, at forsvarsministeren ligeledes får hjemmel
til at bestemme, at de nævnte regler skal finde helt eller del-
vis anvendelse for Center for Cybersikkerhed vedrørende
centerets behandling af sager om tilslutning til netsikker-
hedstjenesten efter den foreslåede § 3, stk. 4, d.v.s. sager,
hvor der sker tilslutning på baggrund af et påbud.
Til nr. 5
Til den foreslåede § 8 a
Efter den gældende § 14, stk. 2, kan personoplysninger
overføres til opbevaring i arkiv efter reglerne i arkivlovgiv-
ningen.
Det foreslås, at der i kapitel 5 vedrørende forholdet til an-
den lovgivning indsættes en ny § 8 a, hvorefter oplysninger
omfattet af loven kan overføres til opbevaring i arkiv efter
reglerne i arkivlovgivningen.
Den foreslåede bestemmelse indebærer, at Center for Cy-
bersikkerhed vil kunne overføre oplysninger til opbevaring i
arkiv i det omfang, Rigsarkivaren har fastsat bevarings- og
kassationsbestemmelser for de pågældende oplysninger. Der
er således blot tale om en tydeliggørelse af, hvad der allere-
de følger af arkivlovgivningen. Den foreslåede ændring
skyldes, at det ikke kan udelukkes, at der af Rigsarkivaren
udstedes bevarings- og kassationsbestemmelser vedrørende
oplysninger, som ikke er personoplysninger. Da bestemmel-
sen ikke som hidtil kun vedrører personoplysninger, foreslås
bestemmelsen flyttet fra kapitel 6 vedrørende behandlingen
af personoplysninger til kapitel 5 vedrørende forholdet til
anden lovgivning.
Det bemærkes i øvrigt, at i det omfang Center for Cyber-
sikkerheds oplysninger opbevares i systemer, der er fælles
for hele Forsvarets Efterretningstjeneste, overføres oplysnin-
gerne til opbevaring i arkiv efter de bevarings- og kassati-
onsbestemmelser, der af Rigsarkivet er fastsat for Forsvarets
Efterretningstjeneste. Der er ikke på nuværende tidspunkt
fastsat bevarings- og kassationsbestemmelser for oplysnin-
ger, der særskilt behandles af Center for Cybersikkerhed.
Som noget nyt foreslås det med stk. 2, at forsvarsministe-
ren kan fastsætte nærmere regler om Center for Cybersik-
kerheds overførsel af oplysninger, der skal bevares for efter-
tiden, til Rigsarkivet samt om centerets opbevaring af sådan-
ne oplysninger, indtil overførsel til Rigsarkivet kan ske.
Rigsarkivaren kan fastsætte bevarings- og kassationsbe-
stemmelser for centeret, der indebærer, at centeret skal be-
vare oplysninger af historisk interesse.
Selv om oplysningerne skal slettes i medfør af slettebe-
stemmelserne i lov om Center for Cybersikkerhed, skal op-
lysninger af historisk interesse således overføres til Rigsar-
kivet i medfør af bestemmelser om bevaring og kassation
udstedt af Rigsarkivet, og disse oplysninger må derfor ikke
destrueres eller slettes.
I visse tilfælde vil disse bevaringsværdige oplysninger af
praktiske eller sikkerhedsmæssige årsager ikke kunne over-
føres til Rigsarkivet. Det forudsættes derfor, at der bl.a. fast-
sættes nærmere regler om, at Center for Cybersikkerhed skal
behandle sådanne oplysninger adskilt fra centerets øvrige
oplysninger, indtil overførsel kan ske. Det forudsættes end-
videre, at der fastsættes særlige adgangsbegrænsninger for
sådanne oplysninger.
Bemyndigelsen forventes anvendt, såfremt der af Rigsar-
kivaren udstedes bevarings- og kassationsbestemmelser for
oplysninger, der særskilt behandles af Center for Cybersik-
kerhed.
Der henvises i øvrigt til afsnit 3.8.3.5 i de almindelige be-
mærkninger.
Til den foreslåede § 8 b
Det foreslås endvidere, at der indsættes en ny § 8 b, hvor-
efter myndigheders og virksomheders samarbejde med Cen-
ter for Cybersikkerhed ikke er begrænset af bestemmelser
om tavshedspligt fastsat ved lov eller med hjemmel i lov.
Bestemmelsen indebærer, at myndigheder og virksomhe-
der ikke i deres samarbejde med centeret er bundet af mod-
stående tavshedspligtsforskrifter. Det gælder bl.a. for de
særlige tavshedspligter der måtte gælde ifølge selskabslov-
givningen eller inden for finans- og hvidvasklovgivningen.
Bestemmelsen indebærer ikke, at myndigheder og virk-
somheder får en udvidet forpligtelse til at samarbejde med
Center for Cybersikkerhed eller stille oplysninger til rådig-
hed for centeret. Men hvis en myndighed eller virksomhed
samarbejder med centeret, vil det materiale, der som led i
40
samarbejdet tilgår centeret, ikke være omfattet af begræns-
ninger, der følger af tavshedspligt efter anden lovgivning.
Center for Cybersikkerheds medarbejdere er ved den vide-
re behandling af oplysningerne begrænset af de almindelige
regler om tavshedspligt i straffelovens § 152 og forvalt-
ningslovens § 27. Bestemmelsernes hovedindhold er, at of-
fentligt ansatte ikke uberettiget må videregive eller udnytte
fortrolige oplysninger.
Det foreslås med stk. 2, at forsvarsministeren bemyndiges
til at fastsætte regler om, at nærmere angivne bestemmelser
om tavshedspligt fastsat ved lov eller med hjemmel i lov
fortsat finder anvendelse på myndigheders og virksomhe-
ders samarbejde med Center for Cybersikkerhed.
Med bestemmelsen vil der være mulighed for, at forsvars-
ministeren i en bekendtgørelse kan fravige udgangspunktet
efter stk. 1 om, at myndigheders og virksomheders samar-
bejde med Center for Cybersikkerhed ikke er begrænset af
bestemmelser om tavshedspligt fastsat ved lov eller med
hjemmel i lov.
Bemyndigelsen forventes anvendt i særlige tilfælde, hvor
f.eks. Danmarks EU-retlige forpligtelser medfører, at der er
behov for, at anden lovgivnings bestemmelser om tavsheds-
pligt helt eller delvist finder anvendelse, efter at oplysninger
er videregivet fra en myndighed eller virksomhed til Center
for Cybersikkerhed.
Til nr. 6
Til den foreslåede § 14
Det foreslås, at den gældende § 14, stk. 2, hvorefter person-
oplysninger kan overføres til opbevaring i arkiv efter regler-
ne i arkivlovgivningen, ophæves. Ophævelsen er en konse-
kvens af den foreslåede § 8 a, jf. lovforslagets § 1, nr. 5.
Til nr. 7
Til den foreslåede § 15
Efter den gældende § 15 må analyse af pakkedata, der er
omfattet af de gældende §§ 4, 6 og 7, kun finde sted ved be-
grundet mistanke om en sikkerhedshændelse og kun i det
omfang, det er nødvendigt for afklaring af forhold vedrøren-
de hændelsen. Den gældende bestemmelse omfatter manuel-
le analyser, d.v.s. analyser, der foretages af Center for Cy-
bersikkerheds sikkerhedsanalytikere.
Det foreslås, at § 15 videreføres, men tilpasses som konse-
kvens af bl.a. de nye former for data, der vil være behov for
at analysere som følge af bl.a. muligheden for at anvende
sikkerhedssoftware, jf. den foreslåede § 4.
Det foreslås, at Center for Cybersikkerhed kan foretage
automatiserede analyser af trafikdata, pakkedata og statio-
nære data, der er omfattet af kapitel 4. Dette er for så vidt
angår trafikdata og pakkedata en uændret videreførelse af
gældende ret, hvilket dog hidtil kun er fremgået forudsæt-
ningsvist af bestemmelsen og af bemærkningerne til denne,
jf. Folketingstidende 2013-14, A, L 192, s. 27, som fremsat.
Stationære data er tilføjet som konsekvens af indførelsen af
denne nye kategori af data, jf. den foreslåede § 2, nr. 4.
De automatiserede analyser af data sker løbende i cente-
rets alarmenheder, hvor data, der transmitteres til og fra til-
sluttede myndigheder og virksomheder, bl.a. sammenholdes
med signaturer og scannes for andre indikatorer på kendte
angrebsformer. Tilsvarende automatiserede analyser af sta-
tionære data vil finde sted i den kommende sikkerhedssoft-
ware, jf. den foreslåede § 4. Som resultat af denne form for
automatiserede analyser vil centerets medarbejdere kunne få
præsenteret analytiske resultater, f.eks. en oversigt over de
tekniske systemprocesser, der aktuelt anvendes på de pc’ere,
som monitoreres. Hvis medarbejderne på den baggrund har
behov for at tilgå de bagvedliggende data, vil der være tale
om en manuel analyse.
Efter det foreslåede nr. 1 må manuelle analyser af trafik-
data finde sted for at opdage, analysere og bidrage til at imø-
degå sikkerhedshændelser. Analysen kan ske i det omfang,
det er nødvendigt. Der er tale om en ny bestemmelse, da
rammerne for manuelle analyser af trafikdata ikke hidtil har
været udtrykkeligt reguleret i loven.
Efter det foreslåede nr. 2 må manuelle analyser af pakke-
data og stationære data finde sted ved begrundet mistanke
om en sikkerhedshændelse i det omfang, det er nødvendigt
for afklaring af forhold vedrørende hændelsen. Manuelle
analyser af trafikdata under tilsvarende omstændigheder vil
være omfattet af det foreslåede nr. 1. Bestemmelsen er ny
for så vidt angår stationære data, hvilket er en konsekvens af
de foreslåede ordninger om sikkerhedssoftware på lokale
netværk og enheder, jf. den foreslåede § 6, forebyggende
sikkerhedstekniske undersøgelser, jf. den foreslåede § 6 a,
samt anvendelse og påvirkning af angrebsmål og angrebsin-
frastruktur, jf. de foreslåede §§ 6 b og 6 c.
Bestemmelsen indebærer, at Center for Cybersikkerheds
analytikere kun kan tilgå indhold af kommunikation (pakke-
data) og øvrige indholdsdata (stationære data), hvis det sker
som led i centerets arbejde med sikkerhedshændelser. Det
indebærer, at analytikerne som det klare udgangspunkt ikke
vil kunne tilgå f.eks. sundhedsdata, el-regninger eller e-mail-
korrespondance. Kun hvis der opstår en begrundet mistanke
om, at der er sket en sikkerhedshændelse – typisk i form af
et cyberangreb – kan analytikerne tilgå disse data, og i så
fald kun de data, som det er nødvendigt at tilgå for at analy-
sere selve sikkerhedshændelsen.
Efter det foreslåede nr. 3 må manuelle analyser af trafik-
data, pakkedata og stationære data endvidere finde sted som
led i forebyggende sikkerhedstekniske undersøgelser efter
den foreslåede § 6 a i det omfang, det er nødvendigt for at
gennemføre undersøgelserne. Bestemmelsen er ny og er en
konsekvens af den foreslåede ordning om forebyggende sik-
kerhedstekniske undersøgelser, jf. den foreslåede § 6 a.
Med nr. 4 foreslås det, at manuelle analyser af trafikdata
og pakkedata, der hidrører fra myndigheder på Forsvarsmi-
nisteriets område, desuden må ske som led i det løbende ar-
bejde med at understøtte et højt informationssikkerhedsni-
41
veau på Forsvarsministeriets område, herunder ved kontrol
af, om kommunikation indeholder klassificeret materiale.
Rammerne for analyse af pakkedata, der hidrører fra myn-
digheder på Forsvarsministeriets område, har ikke hidtil væ-
ret reguleret i lov om Center for Cybersikkerhed, men den
foreslåede bestemmelse viderefører gældende ret. Således
følger det af § 4 i Forsvarsministeriets retningslinjer vedrø-
rende behandling af data i og fra Center for Cybersikkerheds
netsikkerhedstjeneste, at analyse af pakkedata hidrørende fra
netværk hos myndigheder på Forsvarsministeriets område
kun må finde sted ved begrundet mistanke om en sikker-
hedshændelse og som led i det løbende arbejde med at un-
derstøtte et højt informationssikkerhedsniveau på Forsvars-
ministeriets område, herunder ved kontrol af, om kommuni-
kation indeholder klassificeret materiale. Endvidere følger
det af retningslinjernes § 4, stk. 2, at analyse kun må ske i
det omfang, det er nødvendigt for afklaring af forhold ved-
rørende hændelsen eller nødvendigt for at understøtte et højt
informationssikkerhedsniveau på Forsvarsministeriets områ-
de.
Den særlige ordning vedrørende myndigheder på For-
svarsministeriets område skyldes, at disse myndigheder be-
handler store mængder klassificeret materiale. Der er derfor
behov for, at Center for Cybersikkerhed kan foretage analy-
ser, der ikke kun vedrører sikkerhedshændelser, men også
skal afdække, om der forsætligt eller uagtsomt sendes klas-
sificeret materiale fra myndighedernes netværk.
Efter det foreslåede nr. 5 kan analyse endvidere ske som
led i tekniske tests og konfiguration af netsikkerhedstjene-
stens alarmenheder. Analysen må alene omfatte trafikdata
og pakkedata i det omfang, det er nødvendigt for at gennem-
føre testen. Testen skal afsluttes, så snart formålet med te-
sten er opfyldt. Analysen må alene foretages af medarbejde-
re, der varetager tekniske drifts- og udviklingsopgaver for
Center for Cybersikkerhed. Øvrige medarbejdere må ikke
tilgå oplysninger, der hidrører fra tests. Malware, der ved en
tilfældighed opdages som led i en teknisk test, må dog ana-
lyseres af øvrige medarbejdere i Center for Cybersikkerhed
efter det foreslåede nr. 2. Bestemmelsen er ny og er begrun-
det i behovet for kortvarigt at tilgå trafikdata og pakkedata.
Der kan i forbindelse med den løbende udvikling og drift
af alarmenhederne være behov for kortvarigt at tilgå trafik-
data og pakkedata. For det første er der behov for, at rele-
vante medarbejdere kan tilgå og anvende data i forbindelse
med udvikling af ny funktionalitet i alarmenhederne. Som
led i udviklingsarbejdet er der således behov for at teste, om
en given funktionalitet reagerer efter hensigten, når den ud-
sættes for faktiske datastrømme. For det andet er der i for-
bindelse med opsætning og konfiguration af alarmenhederne
på tilsvarende vis behov for at sikre, at enhederne fungerer
korrekt. Ved at kunne tilgå data vil centeret kunne konstate-
re, om enheden kan håndtere mængden, hastigheden og va-
riationen af de unikke datastrømme, der hidrører fra den til-
sluttede myndighed eller virksomhed.
Data, der anvendes som led i tekniske tests, vil fortsat væ-
re omfattet af de absolutte slettefrister for data efter § 17.
Der henvises i øvrigt til afsnit 3.7.3 i de almindelige be-
mærkninger (det femte forslag).
Til den foreslåede § 16
Efter den gældende § 16 kan data, der er omfattet af de
gældende §§ 4, 6 og 7, videregives til politiet ved begrundet
mistanke om en sikkerhedshændelse. Ved begrundet mistan-
ke om en sikkerhedshændelse og hvis det er nødvendigt for
udførelsen af netsikkerhedstjenestens opgaver, kan trafikda-
ta desuden videregives til danske myndigheder, udbydere af
offentlige elektroniske kommunikationsnet og -tjenester, an-
dre netsikkerhedstjenester, virksomheder, der er omfattet af
de gældende §§ 4, 6 og 7, samt til myndigheder og virksom-
heder i øvrigt i forbindelse med Center for Cybersikkerheds
udsendelse af sikkerhedsvarslinger.
Videregivelse af trafikdata sker således bl.a. i forbindelse
med, at Center for Cybersikkerhed udsender sikkerhedsvars-
linger, hvor centeret eksempelvis gør myndigheder og virk-
somheder opmærksomme på, at en bestemt ip-adresse an-
vendes til cyberangreb. Sådanne varslinger giver myndighe-
der og virksomheder mulighed for at tage deres forholdsreg-
ler, f.eks. ved at blokere den pågældende ip-adresse i en lo-
kal firewall, og undersøge (f.eks. ved at gennemgå logfiler),
om de selv har været udsat for cyberangreb.
Ved begrundet mistanke om en sikkerhedshændelse og
med henblik på nærmere undersøgelse af hændelsen, kan
der endvidere ske videregivelse af trafikdata til f.eks. andre
netsikkerhedstjenester, herunder tilsvarende netsikkerheds-
tjenester i Danmark og udlandet, f.eks. CERT’er, CSIRT’er,
ikt-sikkerhedsmyndigheder og efterretningstjenester.
Det er ikke hensigten med bestemmelsen at begrænse
Center for Cybersikkerheds mulighed for at anvende gængse
søgefunktioner på internettet til at indsamle oplysninger om
mulige sikkerhedshændelser. Når der opstår mistanke om en
mulig sikkerhedshændelse, kan det således være relevant at
undersøge, om der foreligger offentligt tilgængelige oplys-
ninger om, at eksempelvis den anvendte ip-adresse i andre
sammenhænge har været anvendt som led i et cyberangreb.
Sådanne oplysninger kan foreligge i form af offentlige un-
dersøgelsesrapporter, artikler, blogopslag og lignende. Al-
mindelig søgning efter sådanne offentligt tilgængelige op-
lysninger anses for at have en materielt anderledes beskaf-
fenhed end den videregivelse, der er omfattet af bestemmel-
sen, uanset at sådanne søgninger i visse tilfælde vil blive
logget og dermed i princippet kan siges at have karakter af
en videregivelse.
Hvis der er tale om personoplysninger, vil principperne
om relevans og proportionalitet, jf. den gældende § 9, stk. 2,
tillige skulle iagttages. Der vil dermed alene kunne videregi-
ves personoplysninger, som er relevante og tilstrækkelige
for at opnå formålet med den konkrete videregivelse.
Det bemærkes, at Center for Cybersikkerheds videregivel-
se af personoplysninger fortsat vil være underlagt tilsyn af
Tilsynet med Efterretningstjenesterne, jf. de gældende §§
19-24.
42
Det foreslås, at § 16 videreføres, men således at mulighe-
derne for videregivelse øges.
Det foreslås med stk. 1, nr. 1, at Center for Cybersikker-
hed kan videregive trafikdata, der er omfattet af kapitel 4, til
politiet, såfremt der er begrundet mistanke om en sikker-
hedshændelse. Der er tale om en videreførelse af gældende
ret, og Center for Cybersikkerhed vil dermed fortsat kunne
videregive trafikdata, der stammer fra indgreb i meddelel-
seshemmeligheden, til dansk politi (og anklagemyndighe-
den). Dermed sikres, at centeret kan videregive alle relevan-
te oplysninger til politiet i de tilfælde, hvor det kan være re-
levant for politiet at indlede en strafferetlig efterforskning.
Videregivelse vil kun ske, hvis der er mistanke om et straf-
bart forhold eller et forsøg herpå. Efterforskningen og straf-
forfølgningen af det strafbare forhold vil henhøre under po-
litiets og anklagemyndighedens kompetence – og vil skulle
ske i overensstemmelse med den regulering, der gælder for
politiet og anklagemyndigheden, ikke efter reglerne i lov om
Center for Cybersikkerhed.
Kravet om, at der skal være tale om en begrundet mistan-
ke om en sikkerhedshændelse, indebærer, at Center for Cy-
bersikkerhed alene kan videregive de pågældende data, hvis
der foreligger konkrete indikationer, der peger i retning af,
at en sikkerhedshændelse har fundet eller vil finde sted.
Det foreslås med stk. 1, nr. 2, at Center for Cybersikker-
hed endvidere kan videregive trafikdata, der er omfattet af
kapitel 4, til den tilsluttede myndighed eller virksomhed,
hvorfra de pågældende data hidrører, såfremt der er begrun-
det mistanke om en sikkerhedshændelse, og hvis det er nød-
vendigt for udførelsen af Center for Cybersikkerheds opga-
ver.
Kravet om, at der skal være tale om en begrundet mistan-
ke om en sikkerhedshændelse, indebærer, at Center for Cy-
bersikkerhed alene kan videregive de pågældende data, hvis
der foreligger konkrete indikationer, der peger i retning af,
at en sikkerhedshændelse har fundet eller vil finde sted.
Der er indholdsmæssigt tale om en videreførelse af gæl-
dende ret.
Endvidere foreslås det med stk. 1, nr. 3, at Center for Cy-
bersikkerhed kan videregive trafikdata til danske myndighe-
der, udbydere af offentlige elektroniske kommunikationsnet
og -tjenester og andre netsikkerhedstjenester samt til myn-
digheder og virksomheder i øvrigt i forbindelse med Center
for Cybersikkerheds udsendelse af sikkerhedsvarslinger, så-
fremt der er begrundet mistanke om en sikkerhedshændelse,
og hvis det er nødvendigt for udførelsen af netsikkerhedstje-
nestens opgaver.
Kravet om, at der skal være tale om en begrundet mistan-
ke om en sikkerhedshændelse, indebærer, at Center for Cy-
bersikkerhed alene kan videregive de pågældende data, hvis
der foreligger konkrete indikationer, der peger i retning af,
at en sikkerhedshændelse har fundet eller vil finde sted.
Der er tale om en videreførelse af gældende ret.
Det foreslås med stk. 2, nr. 1, at Center for Cybersikker-
hed kan videregive pakkedata, der er omfattet af kapitel 4,
til politiet, såfremt der er begrundet mistanke om en sikker-
hedshændelse. Der er tale om en videreførelse af gældende
ret, og Center for Cybersikkerhed vil dermed fortsat kunne
videregive pakkedata, der stammer fra indgreb i meddelel-
seshemmeligheden, til dansk politi (og anklagemyndighe-
den). Dermed sikres, at centeret kan videregive alle relevan-
te oplysninger til politiet i de tilfælde, hvor det kan være re-
levant for politiet at indlede en strafferetlig efterforskning.
Videregivelse vil kun ske, hvis der er mistanke om et straf-
bart forhold eller et forsøg herpå. Efterforskningen og straf-
forfølgningen af det strafbare forhold vil henhøre under po-
litiets og anklagemyndighedens kompetence – og vil skulle
ske i overensstemmelse med den regulering, der gælder for
politiet og anklagemyndigheden, ikke efter reglerne i lov om
Center for Cybersikkerhed.
Kravet om, at der skal være tale om en begrundet mistan-
ke om en sikkerhedshændelse, indebærer, at Center for Cy-
bersikkerhed alene kan videregive de pågældende data, hvis
der foreligger konkrete indikationer, der peger i retning af,
at en sikkerhedshændelse har fundet eller vil finde sted.
Det foreslås med stk. 2, nr. 2, at Center for Cybersikker-
hed endvidere kan videregive pakkedata, der er omfattet af
kapitel 4, til den tilsluttede myndighed eller virksomhed,
hvorfra de pågældende data hidrører, såfremt der er begrun-
det mistanke om en sikkerhedshændelse.
Bestemmelsen er ny og indebærer, at videregivelse af pak-
kedata til den tilsluttede myndighed eller virksomhed for det
første vil kunne ske, når der er mistanke om en sikkerheds-
hændelse. Her vil videregivelsen kunne være nødvendig for
at få myndighedens eller virksomhedens bistand til at fast-
slå, om der rent faktisk er tale om en sikkerhedshændelse.
Videregivelse vil for det andet kunne ske, hvis der er kon-
stateret en sikkerhedshændelse. Her vil videregivelsen kun-
ne være nødvendig, for at den tilsluttede myndighed eller
virksomhed kan tage de fornødne forholdsregler.
Om baggrunden for bestemmelsen henvises til lovforsla-
gets almindelige bemærkninger, afsnit 3.7.3.
Det foreslåede stk. 3 er nyt og regulerer Center for Cyber-
sikkerheds mulighed for at videregive stationære data, som
er en ny kategori af data, der defineres i den foreslåede § 2,
nr. 4. Stationære data er data, som opbevares på servere,
cloudtjenester, pc’ere, lagerenheder, netværksenheder, mo-
bile enheder og tilsvarende. Bestemmelsen er en konsekvens
af de foreslåede ordninger om sikkerhedssoftware på lokale
netværk og enheder, jf. den foreslåede § 6, forebyggende
sikkerhedstekniske undersøgelser, jf. den foreslåede § 6 a,
samt anvendelse af angrebsmål og påvirkning af angrebsin-
frastruktur, jf. de foreslåede §§ 6 b og 6 c.
Det foreslås med stk. 3, nr. 1, at Center for Cybersikker-
hed kan videregive stationære data, der er omfattet af kapitel
4, til politiet, såfremt der er begrundet mistanke om en sik-
kerhedshændelse. Der er tale om samme rammer for videre-
givelse, som gælder for trafikdata og pakkedata. Center for
Cybersikkerhed vil dermed kunne videregive stationære da-
ta, der stammer fra indgreb i meddelelseshemmeligheden, til
dansk politi (og anklagemyndigheden). Dermed sikres, at
centeret kan videregive alle relevante oplysninger til politiet
43
i de tilfælde, hvor det kan være relevant for politiet at indle-
de en strafferetlig efterforskning. Videregivelse vil kun ske,
hvis der er mistanke om et strafbart forhold eller et forsøg
herpå. Efterforskningen og strafforfølgningen af det strafba-
re forhold vil henhøre under politiets og anklagemyndighe-
dens kompetence – og vil skulle ske i overensstemmelse
med den regulering, der gælder for politiet og anklagemyn-
digheden, ikke efter reglerne i lov om Center for Cybersik-
kerhed.
Endvidere foreslås det med stk. 3, nr. 2, at Center for Cy-
bersikkerhed kan videregive stationære data, der er omfattet
af kapitel 4, til den myndighed, virksomhed eller borger,
hvorfra de pågældende data hidrører, såfremt der er begrun-
det mistanke om en sikkerhedshændelse. Der er tale om
samme rammer for videregivelsen, som gælder for pakkeda-
ta.
Med bestemmelsen vil Center for Cybersikkerhed få mu-
lighed for at få myndighedens eller virksomhedens bistand
til at fastslå, om data rent faktisk er ondartet. Center for Cy-
bersikkerhed vil endvidere få mulighed for at tilbagelevere
data, der er blevet stjålet fra en myndighed, virksomhed el-
ler borger, og som Center for Cybersikkerhed efterfølgende
f.eks. får adgang til i forbindelse med opsætning af honey
pots eller sinkholes efter de foreslåede §§ 6 b og 6 c.
Efter stk. 3, nr. 3, vil der endvidere kunne ske videregivel-
se til andre netsikkerhedstjenester, såfremt Center for Cy-
bersikkerhed har modtaget de pågældende data i medfør af
de foreslåede § 6 b eller § 6 c.
Det foreslåede stk. 4 er nyt og regulerer Center for Cyber-
sikkerheds mulighed for at videregive malware, der er en ny
kategori af data, som defineres i den foreslåede § 2, nr. 5.
Malware er trafikdata, pakkedata og stationære data, hvor
der er særlig bestyrket mistanke om, at data er anvendt af en
angrebsaktør med det formål at forårsage et brud på infor-
mationssikkerheden.
Efter bestemmelsens nr. 1 vil malware, der er omfattet af
kapitel 4, kunne videregives til politiet, efter nr. 2 til den
myndighed eller virksomhed, hvorfra de pågældende data
hidrører, og efter nr. 3 til danske myndigheder, udbydere af
offentlige elektroniske kommunikationsnet og -tjenester og
andre netsikkerhedstjenester samt til myndigheder og virk-
somheder i øvrigt i forbindelse med Center for Cybersikker-
heds udsendelse af sikkerhedsvarslinger.
Efter gældende ret kan pakkedata – herunder malware –
alene videregives til politiet. Det foreslås, at muligheden for
at videregive malware udvides for at give en bredere kreds
af modtagere mulighed for selvstændigt at anvende de på-
gældende data til at styrke cybersikkerheden, f.eks. ved at
beskytte deres egne og deres kunders infrastruktur mod an-
greb af samme type, jf. nr. 3. Desuden vil de på baggrund af
de modtagne data kunne give Center for Cybersikkerhed
supplerende oplysninger om f.eks. tilsvarende angreb, som
de er bekendt med. Der henvises til lovforslagets almindeli-
ge bemærkninger, afsnit 3.7.3.
Det foreslås herudover, at muligheden for at videregive
malware udvides til at omfatte den myndighed eller virk-
somhed, hvorfra de pågældende data hidrører, jf. nr. 2. Her-
ved gives den tilsluttede myndighed mulighed for at bidrage
med viden om det fundne malware og kunne erhverve viden
om fremtidige hændelser.
Det bemærkes, at danske modtageres behandling – herun-
der videregivelse – af de pågældende data vil være underlagt
databeskyttelsesreguleringen. Offentlige myndigheder vil
desuden være underlagt forvaltningslovens regler om vide-
regivelse samt forvaltningslovens og straffelovens regler om
tavshedspligt.
Det foreslås med stk. 5, at videregivelsesbestemmelserne i
stk. 1-4 ikke finder anvendelse på data, der stammer fra tek-
niske test og konfiguration af netsikkerhedstjenestens alarm-
enheder, og at Center for Cybersikkerhed alene vil kunne vi-
deregive sådanne data i de tilfælde, der beskrives i bestem-
melsens nr. 1 og 2.
Efter stk. 5, nr. 1, kan malware, der er opdaget ved en til-
fældighed, videregives til politiet, den myndighed eller virk-
somhed, hvorfra de pågældende data hidrører, til danske
myndigheder, udbydere af offentlige elektroniske kommuni-
kationsnet og -tjenester og andre netsikkerhedstjenester samt
til myndigheder og virksomheder i øvrigt i forbindelse med
Center for Cybersikkerheds udsendelse af sikkerhedsvarslin-
ger.
Med bestemmelsen sikres det således, at malware, der op-
dages tilfældigt som led i tekniske tests, kan behandles på
samme vis som øvrig malware, jf. den foreslåede stk. 4.
Endvidere vil der i forhold til de myndigheder og virksom-
heder, hvorfra data stammer, efter det foreslåede stk. 5, nr.
2, være mulighed for videregivelse af trafikdata.
Begge bestemmelser i stk. 5 er nye. Om baggrunden her-
for henvises til lovforslagets almindelige bemærkninger, af-
snit 3.7.3.
Det foreslåede stk. 6 indebærer, at Center for Cybersikker-
hed uanset stk. 1-4 i forbindelse med forebyggende sikker-
hedstekniske undersøgelser efter § 6 a alene må videregive
oplysninger vedrørende myndighedens eller virksomhedens
medarbejdere, hvis det sker i anonymiseret form.
Med bestemmelsen sikres det, at en medarbejders handlin-
ger eller undladelser i forbindelse med en forebyggende sik-
kerhedsteknisk undersøgelse ikke vil blive videregivet til
den myndighed eller virksomhed, der undersøges. Oplysnin-
ger vedrørende myndighedens eller virksomhedens medar-
bejdere vil således altid være anonymiseret i Center for Cy-
bersikkerheds afrapportering på en forebyggende sikker-
hedsteknisk undersøgelse.
Til den foreslåede § 17
Den gældende § 17 fastsætter de tidsmæssige rammer for
Center for Cybersikkerheds opbevaring af de data, der be-
handles i medfør af kapitel 4 og dermed behandles på bag-
grund af indgreb i meddelelseshemmeligheden.
Efter den gældende § 17, stk. 1, skal data, der er omfattet
af det gældende kapitel 4, slettes, når formålet med behand-
lingen er opfyldt. Endvidere følger det af bestemmelsens
stk. 2, at uanset at formålet med behandlingen ikke er op-
44
fyldt, må data, der knytter sig til en sikkerhedshændelse,
højst opbevares i tre år, mens data, der ikke knytter sig til en
sikkerhedshændelse, højst må opbevares i 13 måneder. Efter
stk. 3 regnes fristerne fra tidspunktet for Center for Cyber-
sikkerheds registrering af de pågældende data. Efter stk. 4
finder reglerne i stk. 1 og 2 ikke anvendelse på data, der er
videregivet i medfør af den gældende § 16.
Bestemmelsen skal ses i sammenhæng med den gældende
§ 14, hvorefter indsamlede personoplysninger generelt ikke
må opbevares på en måde, der giver mulighed for at identifi-
cere den pågældende person i et længere tidsrum end det,
der er nødvendigt af hensyn til de formål, hvortil oplysnin-
gerne behandles. Mens § 14 finder anvendelse på al behand-
ling af personoplysninger i Center for Cybersikkerhed, fin-
der de særlige regler i § 17 alene anvendelse på de data, der
er omfattet af kapitel 4.
Såfremt en virksomhed eller myndighed opsiger en tilslut-
ningsaftale med netsikkerhedstjenesten, vil en sådan opsi-
gelse indebære, at Center for Cybersikkerhed snarest muligt
sletter pakke- og trafikdata og stationære data, der stammer
fra myndigheden eller virksomheden. Sletningen vil omfatte
alle data, som centeret har behandlet på baggrund af tilslut-
ningsaftalen med den pågældende myndighed eller virksom-
hed – dog ikke data, der konkret knytter sig til en sikker-
hedshændelse, da disse data fortsat i relevant omfang vil bli-
ve anvendt til at beskytte de øvrige tilsluttede myndigheder
og virksomheder mod cyberangreb, ligesom de potentielt vil
kunne indgå i politiets efterforskning af strafbare forhold.
Det foreslås med stk. 1, at data, der er omfattet af kapitel
4, skal slettes, når formålet med behandlingen er opfyldt.
Der er tale om en videreførelse af gældende ret.
Bestemmelsen indebærer, at der fortsat vil ske en løbende
vurdering af de behandlede data med henblik på at sikre, at
data, der ikke længere er relevante i forhold til netsikker-
hedstjenestens formål og aktiviteter, straks slettes.
Bestemmelsen omfatter alle data, der behandles på bag-
grund af indgreb omfattet af grundlovens § 72.
Det foreslåede stk. 2 fastsætter øvre grænser for, hvor læn-
ge data, der ikke er slettet efter stk. 1, kan opbevares. Be-
stemmelsen finder dermed anvendelse på data, hvor det er
blevet vurderet, at der fortsat er behov for behandling i net-
sikkerhedstjenesten. Uanset at formålet med behandlingen
således i disse tilfælde endnu ikke er opfyldt, vil data skulle
slettes inden for de absolutte frister, som er fastsat i bestem-
melsen.
Efter det foreslåede stk. 2, nr. 1, må data, der knytter sig
til en sikkerhedshændelse, uanset at formålet med behand-
lingen ikke er opfyldt, højst opbevares i 5 år. Data, der er
knyttet til en sikkerhedshændelse, kan f.eks. være en ip-
adresse, som har været anvendt ved et cyberangreb mod en
dansk myndighed, eller en e-mail-adresse, som har været an-
vendt til at sende phishing-mails til danske myndigheder.
Sådanne data vil især blive anvendt i netsikkerhedstjene-
stens monitoreringsudstyr for at give mulighed for, at nye
angreb, som kommer fra samme kilde, eller som anvender
samme angrebsmetode og -værktøjer, straks kan opdages.
Efter bestemmelsen må data, der knytter sig til en sikker-
hedshændelse, højst opbevares i fem år, hvorefter de skal
slettes. Det er en udvidelse i forhold til gældende ret, hvor
den maksimale opbevaringsperiode er tre år. Såfremt data
inden for den fem-årige periode igen konstateres anvendt i
forbindelse med en sikkerhedshændelse, vil en ny fem-årig
periode starte.
Det foreslåede stk. 2, nr. 2, vedrører data, der ikke er knyt-
tet til en sikkerhedshændelse, men som stammer fra myn-
digheder, som i særlig grad beskæftiger sig med udenrigs-,
sikkerheds- og forsvarspolitiske forhold, samt virksomheder
og organisationer, hvis aktiviteter har særlig betydning for
disse forhold. Det foreslås, at sådanne data kan opbevares i
højst tre år.
Der er tale om en ny bestemmelse, som etablerer en særlig
ordning for data, der hidrører fra en mindre gruppe af myn-
digheder, virksomheder og organisationer. Det vil eksempel-
vis dreje sig om udvalgte ministerier og om organisationer,
herunder forskningsinstitutioner, der bidrager til den danske
udenrigspolitik eller varetager opgaver i den forbindelse, og
virksomheder, der leverer materiel og ydelser til Forsvaret.
Der er tale om særligt sensitive data for staten, og det er
data, der i særlig grad kan være af interesse for statsstøttede
aktører, der spionerer mod Danmark. Den længere slettefrist
indebærer en forbedring af mulighederne for at undersøge
længerevarende eller ældre sikkerhedshændelser. Der kan
således særligt i forbindelse med opdagelse af avancerede
cyberangreb fra statsstøttede aktører opstå behov for at tilgå
ældre data med henblik på at afdække angrebets iværksæt-
telse og varighed, herunder eventuelt identificere andre ofre
for angrebet.
Det vil fremgå af tilslutningsaftalen med centerets netsik-
kerhedstjeneste – eller i tilfælde af påbud om tilslutning, af
afgørelsen herom – hvorvidt centeret anser den pågældende
myndighed eller virksomhed for omfattet af bestemmelsen.
Såfremt en myndighed eller virksomhed, der ikke tidligere
har været omfattet af bestemmelsen, ved varetagelse af nye
opgaver eller indgåelse af nye aftaler kommer til i særlig
grad at beskæftige sig med eller have betydning for uden-
rigs-, sikkerheds- og forsvarspolitiske forhold, vil der blive
udarbejdet et tillæg til tilslutningsaftalen eller truffet afgø-
relse herom.
Hvis en tilsluttet myndighed eller virksomhed under til-
slutningen vurderes at have ændret status, således at den
omfattes af det foreslåede stk. 2, nr. 2, vil bestemmelsen ale-
ne finde anvendelse på data, der indsamles efter det tids-
punkt, hvor tilslutningsaftalen er ændret. Tidligere indsam-
lede data vil således fortsat være omfattet af den almindelige
slettefrist efter den foreslåede stk. 2, nr. 3. Hvis en tilsluttet
virksomhed hidtil har været omfattet af stk. 2, nr. 2, men
ændrer status og omfattes af stk. 2, nr. 3, vil dette ligeledes
kun gælde for data indsamlet efter det tidspunkt, hvor tilslut-
ningsaftalen er ændret.
Det foreslåede stk. 2, nr. 3, vedrører øvrige data, der ikke
er knyttet til en sikkerhedshændelse. Det foreslås, at sådanne
45
data må opbevares i højst 13 måneder. Dette er en viderefø-
relse af gældende ret.
Med stk. 3 foreslås det, at de frister for sletning, som føl-
ger af stk. 2, regnes fra det tidspunkt, hvor Center for Cyber-
sikkerhed har registreret de pågældende data, hvilket svarer
til tidspunktet for centerets lagring af data. Dette er en vide-
reførelse af gældende ret.
Ved behandling af stationære data, regnes fristen fra det
tidspunkt, hvor data er modtaget hos eller stillet til rådighed
for Center for Cybersikkerhed.
Med stk. 4 foreslås det, at Center for Cybersikkerhed kan
opbevare backup af data i op til fire måneder efter udløb af
fristerne i stk. 2. Ved indlæsning af data fra backup skal
Center for Cybersikkerhed sikre, at data, der tidligere er
slettet efter stk. 1 eller 2, straks slettes igen.
Der er tale om en ny bestemmelse.
Med stk. 5 foreslås det, at stk. 1 og 2 ikke finder anvendel-
se på data, der i medfør af § 16 er videregivet til andre end
den myndighed eller virksomhed, som data hidrører fra.
Når data er videregivet, har Center for Cybersikkerhed i
sagens natur ikke mulighed for at sikre, at der efterfølgende
sker en sletning hos modtageren, ligesom centeret selv vil
være forpligtet til at registrere de udsendte varslinger m.v.
Bestemmelsen indebærer, at data, der er videregivet, hver-
ken hos Center for Cybersikkerhed eller hos modtagerne af
varslingerne vil skulle slettes efter stk. 1 og 2. Der er tale
om en videreførelse af gældende ret, idet undtagelsen fra
slettereglerne dog ikke vil omfatte situationer, hvor videre-
givelsen alene er sket til den myndighed eller virksomhed,
som data hidrører fra. I de tilfælde vil Center for Cybersik-
kerhed fortsat skulle slette data efter stk. 1 og 2.
Den myndighed eller virksomhed, som data er videregivet
til, vil fortsat skulle slette data efter de for myndigheden el-
ler virksomheden relevante regler, og ikke efter lov om Cen-
ter for Cybersikkerheds sletteregler.
Uanset at slettereglerne i stk. 1 og 2 ikke finder anvendel-
se, vil personoplysninger indeholdt i data fortsat skulle be-
handles i overensstemmelse med den gældende § 14, hvor-
efter indsamlede personoplysninger ikke må opbevares på
en måde, der giver mulighed for at identificere den pågæl-
dende person i et længere tidsrum end det, der er nødvendigt
af hensyn til de formål, hvortil oplysningerne behandles.
Det foreslåede stk. 6 er nyt. Det foreslås med bestemmel-
sen, at i data, som Center for Cybersikkerhed får adgang til
som led i forebyggende sikkerhedstekniske undersøgelser
efter § 6 a, skal personoplysninger, der er indeholdt i disse
data, endvidere slettes eller anonymiseres, når den sikker-
hedstekniske undersøgelse er afsluttet. Såfremt Center for
Cybersikkerhed konstaterer, at der i de pågældende data er
indeholdt følsomme personoplysninger, skal disse slettes
uden unødigt ophold.
Bestemmelsen er en konsekvens af den foreslåede § 6 a,
der skaber hjemmel til, at Center for Cybersikkerhed kan
gennemføre forebyggende sikkerhedstekniske undersøgel-
ser, når en myndighed eller virksomhed har anmodet cente-
ret herom.
Bestemmelsen fastsætter supplerende sletteregler for de
data, som Center for Cybersikkerhed får adgang til ved gen-
nemførelsen af sikkerhedstekniske undersøgelser. Personop-
lysninger, der er indeholdt i sådanne data, vil skulle slettes
eller anonymiseres, når den sikkerhedstekniske undersøgelse
er afsluttet, hvilket sker i forbindelse med afgivelse af en af-
sluttende rapport til den pågældende myndighed eller virk-
somhed. Såfremt Center for Cybersikkerhed konstaterer, at
der i data, som Center for Cybersikkerhed får adgang til som
led i forebyggende sikkerhedstekniske undersøgelser efter §
6 a, er indeholdt følsomme personoplysninger, slettes disse
uden unødigt ophold.
Med stk. 7 foreslås det, at sletning efter fristerne i stk. 2,
nr. 2 og 3, i helt særlige tilfælde kortvarigt kan suspenderes,
hvis væsentlige hensyn til varetagelsen af Center for Cyber-
sikkerheds opgaver gør det nødvendigt. Tilsynet med Efter-
retningstjenesterne skal straks underrettes om suspension ef-
ter 1. pkt. og om baggrunden for suspensionen.
Der er tale om en ny bestemmelse.
Bestemmelsen vil kunne anvendes i helt særlige tilfælde,
hvor der er mistanke om en sikkerhedshændelse, og hvor der
er fare for, at relevant data, der endnu ikke er analyseret, el-
lers skal slettes i medfør af de absolutte slettefrister, før sik-
kerhedshændelsens eventuelle omfang kan afdækkes. Sus-
pensionens varighed vil afhænge af den pågældende sikker-
hedshændelses kompleksitet og af omfanget af de data, der
skal analyseres. Det forudsættes, at der kun i særligt kom-
plekse og omfattende tilfælde kan ske suspension i mere end
tre måneder.
Data vil skulle slettes, så snart begrundelsen for at undlade
sletning ikke længere er til stede.
Det forudsættes, at underretningen af Tilsynet med Efter-
retningstjenesterne alene skal ske, hvis der er tale om data,
der er omfattet af tilsynets kompetence efter kapitel 9, d.v.s.
Center for Cybersikkerheds behandling af personoplysnin-
ger. Såfremt der undtagelsesvist måtte være tale om, at en
suspension af slettefristen udelukkende vedrører data, der
ikke indeholder personoplysninger, vil Tilsynet med Efter-
retningstjenesterne således ikke skulle underrettes.
Der henvises i øvrigt til afsnit 3.8 i de almindelige be-
mærkninger.
Til den foreslåede § 17 a
Den foreslåede § 17 a er ny. Bestemmelsen er en konse-
kvens af de foreslåede § 6 b og § 6 c, der skaber hjemmel til,
at Center for Cybersikkerhed kan opsætte fiktive angrebs-
mål samt gøre brug af domænenavne og tilsvarende it-infra-
struktur, som har været anvendt af en angrebsaktør.
Bestemmelsen fastsætter særlige sletteregler for de data,
som Center for Cybersikkerhed får adgang til ved anvendel-
sen af fiktive angrebsmål og overtagelse af angrebsinfra-
struktur. Data, der er deponeret på fiktive angrebsmål efter
den foreslåede § 6 b eller modtaget via infrastruktur omfat-
tet af den foreslåede § 6 c, skal slettes hurtigst muligt, så-
46
fremt Center for Cybersikkerhed ikke udtager data til nær-
mere vurdering. I disse tilfælde vil data derfor ikke være
omfattet af slettereglerne i § 17, idet der sker en hurtigere
sletning end den, der følger af den foreslåede § 17, stk. 1 og
2.
Udtager Center for Cybersikkerhed derimod data til nær-
mere vurdering, skal sletning ske efter de almindelige regler
i den foreslåede § 17.
De angrebsværktøjer og lignende, som en angrebsaktør
selv anvender i forbindelse med brugen af et fiktivt angrebs-
mål, anses ikke for deponerede data og er ikke omfattet af
de særlige sletteregler i bestemmelsen.
Der henvises i øvrigt til afsnit 3.5 og afsnit 3.8.3.4 i de al-
mindelige bemærkninger.
Til nr. 8
Til den foreslåede § 20
Efter den gældende § 20 påser Tilsynet med Efterretnings-
tjenesterne efter klage eller af egen drift Center for Cyber-
sikkerheds overholdelse af de gældende regler i kapitel 4, 6
og 7 vedrørende behandling af personoplysninger.
Som konsekvens af det foreslåede kapital 4 a, hvorefter
der vil ske behandling af personoplysninger i forbindelse
med edition, foreslås Tilsynet med Efterretningstjenesternes
kompetence udvidet til også at omfatte dette kapitel.
Til nr. 9
Det foreslås, at der indsættes et nyt kapitel 9 med over-
skriften »Straffebestemmelser m.v.«.
Til den foreslåede § 24 a
Den foreslåede § 24 a er ligeledes ny.
Det foreslås med stk. 1, at undladelse af at efterkomme
Center for Cybersikkerheds pålæg om tavshedspligt efter
den foreslåede § 7 b, stk. 2, kan straffes med bøde, medmin-
dre strengere straf er forskyldt efter den øvrige lovgivning.
Bestemmelsen vil eksempelvis indebære, at en teleudbyder,
som har fået pålæg om tavshedspligt vedrørende dennes vi-
den om, at Center for Cybersikkerhed har anmodet om op-
lysninger om brugeren bag en nærmere bestemt ip-adresse,
vil kunne straffes med bøde, såfremt den pågældende te-
leudbyder efter modtagelsen af tavshedspålægget orienterer
brugeren af ip-adressen eller medierne om sin viden.
Med stk. 2 bemyndiges forsvarsministeren til at fastsætte
straf i form af bøde for overtrædelse af bestemmelser i reg-
ler, som udfærdiges i medfør af det foreslåede § 3, stk. 5, 2.
pkt. Efter § 3, stk. 5, 2. pkt., vil der kunne fastsættes regler
om, at de myndigheder og virksomheder, som får påbud om
tilslutning, skal medvirke til netsikkerhedstjenestens opsæt-
ning og drift af hardware og software og i den forbindelse
skal stille de nødvendige oplysninger om konfiguration og
drift af deres digitale infrastruktur til rådighed for netsikker-
hedstjenesten. Det vil således være manglende efterlevelse
heraf, som vil kunne gøres strafbart i medfør af de fastsatte
regler.
Efter det foreslåede stk. 3 kan der pålægges selskaber m.v.
(juridiske personer) strafansvar efter reglerne i straffelovens
5. kapitel. Bestemmelsen indebærer, at der også i regler,
som udfærdiges i medfør af loven, kan fastsættes regler om,
at der kan pålægges selskaber m.v. (juridiske personer)
strafansvar efter reglerne i straffelovens 5. kapitel.
Til § 2
Det foreslås med stk. 1, at loven træder i kraft den 1. juli
2019. Med stk. 2 foreslås det, at loven ikke finder anvendel-
se på data, der er indsamlet før den 1. juli 2019. For sådanne
data finder de hidtil gældende regler anvendelse.
Til § 3
Efter § 26 i lov om Center for Cybersikkerhed gælder lo-
ven ikke for Færøerne og Grønland, men kan ved kongelig
anordning helt eller delvis sættes i kraft for Færøerne og
Grønland med de ændringer, som henholdsvis de færøske og
grønlandske forhold tilsiger. Det foreslås, at en tilsvarende
ordning skal gælde for denne lov.
47
Bilag 1
Lovforslaget sammenholdt med gældende lov
Gældende formulering Lovforslaget
§ 1
I lov nr. 713 af 25. juni 2014 om Center for Cy-
bersikkerhed, som ændret ved lov nr. 443 af 8. maj
2018, foretages følgende ændringer:
1. Kapitel 2 og 3 affattes således:
Kapitel 2 »Kapitel 2
Definitioner Definitioner
§ 2. I denne lov forstås ved:
1) Sikkerhedshændelse: En hændelse, der nega-
tivt påvirker eller vurderes at ville kunne påvirke
tilgængelighed, integritet eller fortrolighed af data,
informationssystemer, digitale netværk eller digita-
le tjenester.
2) Pakkedata: Indholdet af kommunikation, der
transmitteres gennem digitale netværk eller tjene-
ster.
3) Trafikdata: Data, som behandles med henblik
på at transmittere pakkedata.
4) Personoplysninger: Enhver form for informa-
tion om en identificeret eller identificerbar fysisk
person.
5) Behandling: Enhver operation eller række af
operationer med eller uden brug af elektronisk da-
tabehandling, som oplysninger gøres til genstand
for.
§ 2. I denne lov forstås ved:
1) Sikkerhedshændelse: En hændelse, der nega-
tivt påvirker eller vurderes at ville kunne påvirke
tilgængelighed, integritet eller fortrolighed af data,
informationssystemer, digitale netværk eller digita-
le tjenester.
2) Pakkedata: Indholdet af kommunikation, der
transmitteres gennem digitale netværk eller tjene-
ster.
3) Trafikdata: Data, som behandles med henblik
på at transmittere pakkedata.
4) Stationære data: Data, som opbevares på ser-
vere, cloudtjenester, pc’ere, lagerenheder, net-
værksenheder, mobile enheder og tilsvarende.
5) Malware: Trafikdata, pakkedata og stationære
data, hvor der er særligt bestyrket mistanke om, at
data er anvendt af en angrebsaktør med det formål
at forårsage et brud på informationssikkerheden.
6) Personoplysninger: Enhver form for informa-
tion om en identificeret eller identificerbar fysisk
person.
7) Behandling: Enhver operation eller række af
operationer med eller uden brug af elektronisk da-
tabehandling, som oplysninger gøres til genstand
for.
Kapitel 3 Kapitel 3
Center for Cybersikkerheds netsikkerhedstjeneste Center for Cybersikkerheds netsikkerhedstjeneste
48
§ 3. Center for Cybersikkerheds netsikkerheds-
tjeneste har til opgave at opdage, analysere og bi-
drage til at imødegå sikkerhedshændelser hos myn-
digheder på Forsvarsministeriets område og hos
øvrige tilsluttede myndigheder og virksomheder,
jf. stk. 2 og 3.
Stk. 2. De øverste statsorganer samt statslige
myndigheder kan efter anmodning blive tilsluttet
netsikkerhedstjenesten.
Stk. 3. Regioner og kommuner samt virksomhe-
der, der er beskæftiget med samfundsvigtige funk-
tioner, kan efter anmodning blive tilsluttet netsik-
kerhedstjenesten, såfremt Center for Cybersikker-
hed konkret vurderer, at tilslutningen vil kunne bi-
drage til at understøtte et højt informationssikker-
hedsniveau i samfundet.
Stk. 4. Center for Cybersikkerhed kan fastsætte
nærmere regler om vilkårene for tilslutning efter
stk. 3, herunder regler om betaling af gebyr for til-
slutning.
§ 3. Center for Cybersikkerheds netsikkerheds-
tjeneste har til opgave at opdage, analysere og bi-
drage til at imødegå sikkerhedshændelser hos til-
sluttede myndigheder og virksomheder, jf. stk. 2-4.
Stk. 2. De øverste statsorganer samt statslige
myndigheder kan efter anmodning blive tilsluttet
netsikkerhedstjenesten.
Stk. 3. Regioner og kommuner samt virksomhe-
der, der har samfundsvigtig karakter, kan efter an-
modning blive tilsluttet netsikkerhedstjenesten, så-
fremt Center for Cybersikkerhed konkret vurderer,
at tilslutningen vil kunne bidrage til at understøtte
et højt informationssikkerhedsniveau i samfundet.
Stk. 4. Center for Cybersikkerhed kan i særlige
tilfælde påbyde virksomheder, der har særligt sam-
fundsvigtig karakter, samt regioner og kommuner
at blive tilsluttet netsikkerhedstjenesten med hen-
blik på monitorering af netværkskommunikation.
Påbuddet kan kun omfatte de dele af virksomhe-
den, regionen eller kommunen, der har en væsent-
lig betydning for Danmarks kritiske infrastruktur.
Center for Cybersikkerhed skal mindst hvert halve
år vurdere, om et meddelt påbud skal opretholdes.
Stk. 5. Forsvarsministeren kan fastsætte nærmere
regler om vilkårene for tilslutning efter stk. 2 og 3.
Forsvarsministeren kan desuden fastsætte nærmere
regler om påbud efter stk. 4, herunder om at myn-
digheder og virksomheder, der er tilsluttet netsik-
kerhedstjenesten på baggrund af et påbud, skal
medvirke til netsikkerhedstjenestens opsætning og
drift af hardware og i den forbindelse skal stille de
nødvendige oplysninger om konfiguration og drift
af deres digitale infrastruktur til rådighed for net-
sikkerhedstjenesten.«
2. Kapitel 4 ophæves, og i stedet indsættes:
Kapitel 4 »Kapitel 4
Indgreb i meddelelseshemmeligheden Indgreb omfattet af grundlovens § 72
§ 4. Center for Cybersikkerheds netsikkerheds-
tjeneste kan uden retskendelse behandle pakke- og
trafikdata hidrørende fra netværk hos tilsluttede
myndigheder og virksomheder, jf. § 3, stk. 2 og 3,
med henblik på at understøtte et højt informations-
sikkerhedsniveau i samfundet.
§ 4. Center for Cybersikkerheds netsikkerheds-
tjeneste kan uden retskendelse behandle trafikdata,
pakkedata og stationære data hidrørende fra tilslut-
tede myndigheder og virksomheder, jf. § 3, stk.
2-4, med henblik på at understøtte et højt informa-
tionssikkerhedsniveau i samfundet.
49
§ 5. Center for Cybersikkerheds netsikkerheds-
tjeneste kan uden retskendelse behandle pakke- og
trafikdata hidrørende fra netværk hos myndigheder
på Forsvarsministeriets område, jf. § 3, stk. 1, med
henblik på at understøtte et højt informationssik-
kerhedsniveau på området.
§ 6. Ved begrundet mistanke om en sikkerheds-
hændelse kan en myndighed eller virksomhed, som
ikke er tilsluttet Center for Cybersikkerheds netsik-
kerhedstjeneste efter § 3, midlertidigt tilsluttes net-
sikkerhedstjenesten, som herefter uden retskendel-
se kan behandle pakke- og trafikdata hidrørende
fra netværk hos myndigheden eller virksomheden,
når
1) myndigheden eller virksomheden har anmodet
Center for Cybersikkerhed om at blive midlertidigt
tilsluttet og givet skriftligt samtykke til behandlin-
gen,
2) behandlingen vurderes at kunne bidrage væ-
sentligt til Center for Cybersikkerheds muligheder
for at sikre informations- og kommunikationstek-
nologisk infrastruktur, som samfundsvigtige funk-
tioner er afhængige af, og
3) den midlertidige tilslutning har en varighed på
højst 2 måneder.
§ 7. Ved begrundet mistanke om en sikkerheds-
hændelse kan Center for Cybersikkerheds netsik-
kerhedstjeneste uden retskendelse behandle data,
som er indeholdt i eller hidrører fra et informati-
onssystem, der anvendes af en myndighed eller
virksomhed, når
1) myndigheden eller virksomheden har anmodet
Center for Cybersikkerhed om bistand, stillet infor-
mationssystemet eller dataene herfra til rådighed
for netsikkerhedstjenesten og givet skriftligt sam-
tykke til, at netsikkerhedstjenesten behandler data-
ene, og
2) behandlingen vurderes at kunne bidrage væ-
sentligt til Center for Cybersikkerheds muligheder
for at sikre informations- og kommunikationstek-
nologisk infrastruktur, som samfundsvigtige funk-
tioner er afhængige af.
§ 5. Ved begrundet mistanke om en sikkerheds-
hændelse kan Center for Cybersikkerheds netsik-
kerhedstjeneste uden retskendelse behandle statio-
nære data fra en myndighed eller virksomhed, der
ikke er tilsluttet netsikkerhedstjenesten, når
1) myndigheden eller virksomheden har anmodet
Center for Cybersikkerhed om bistand, stillet de
stationære data til rådighed for netsikkerhedstjene-
sten og givet skriftligt samtykke til behandlingen,
og
2) behandlingen vurderes at kunne bidrage til at
understøtte et højt informationssikkerhedsniveau i
samfundet.
50
§ 6. Efter aftale med en myndighed eller virk-
somhed, der er tilsluttet Center for Cybersikker-
heds netsikkerhedstjeneste i medfør af § 3, stk. 2
og 3, kan netsikkerhedstjenesten ved begrundet
mistanke om en sikkerhedshændelse uden retsken-
delse blokere, omdanne eller omdirigere trafikdata
og pakkedata hidrørende fra netværk hos myndig-
heden eller virksomheden med henblik på at under-
støtte et højt informationssikkerhedsniveau i sam-
fundet.
Stk. 2. Stk. 1 finder tilsvarende anvendelse i for-
hold til stationære data hos tilsluttede myndigheder
og virksomheder. Ved en konstateret sikkerheds-
hændelse kan netsikkerhedstjenesten endvidere ef-
ter aftale med den tilsluttede myndighed eller virk-
somhed slette de stationære data, der har forårsaget
sikkerhedshændelsen.
§ 6 b. Med henblik på at opnå viden om angrebs-
aktørers metoder og værktøjer kan Center for Cy-
bersikkerhed opsætte fiktive angrebsmål, såfremt
opsætningen vurderes at kunne bidrage væsentligt
til Center for Cybersikkerheds muligheder for at
understøtte et højt informationssikkerhedsniveau i
samfundet.
Stk. 2. Benytter en angrebsaktør et fiktivt an-
grebsmål til at deponere data, kan Center for Cy-
bersikkerhed uden retskendelse behandle de depo-
nerede data med henblik på at opdage, analysere
og bidrage til at imødegå sikkerhedshændelser hos
myndigheder og virksomheder eller at informere
borgere, myndigheder og virksomheder om, at de
har været udsat for en sikkerhedshændelse.
§ 6 c. Med henblik på at forhindre, standse eller
begrænse en nært forestående eller igangværende
sikkerhedshændelse kan Center for Cybersikker-
hed gøre brug af domænenavne og tilsvarende it-
infrastruktur, som anvendes eller har været anvendt
af en angrebsaktør, forudsat at disse er ledige til re-
gistrering.
Stk. 2. Modtager Center for Cybersikkerhed som
led i anvendelsen af it-infrastruktur efter stk. 1 data
fra tredjemand, kan centeret uden retskendelse be-
handle de modtagne data med henblik på at opda-
ge, analysere og bidrage til at imødegå sikkerheds-
51
hændelser hos myndigheder og virksomheder eller
at informere borgere, myndigheder og virksomhe-
der om, at de har været udsat for en sikkerheds-
hændelse.
Kapitel 4 a
Edition
§ 7. Med henblik på at afdække sikkerhedshæn-
delser kan der meddeles en juridisk eller fysisk
person pålæg om at forevise eller udlevere oplys-
ninger om brugeren af en e-mailkonto, ip-adresse
eller et domænenavn, såfremt oplysningerne er un-
dergivet den pågældendes rådighed.
Stk. 2. Pålæg efter stk. 1 må ikke meddeles, så-
fremt indgrebet står i misforhold til sagens betyd-
ning og det tab eller den ulempe, som indgrebet
kan antages at medføre.
§ 7 a. Afgørelse om pålæg om edition efter § 7
træffes af retten efter Center for Cybersikkerheds
begæring.
Stk. 2. Afgørelsen træffes af retten ved kendelse.
Retsmøder holdes for lukkede døre. I kendelsen
anføres de konkrete omstændigheder i sagen, hvor-
på det støttes, at betingelserne for indgrebet er op-
fyldt. Kendelsen kan til enhver tid omgøres.
§ 7 b. Inden retten træffer afgørelse om pålæg
om edition efter § 7, skal der være givet den, der
har rådighed over oplysningerne, adgang til at ud-
tale sig.
Stk. 2. Taler hensynet til fremmede magter eller
statens sikkerhed derfor, kan retten eller Center for
Cybersikkerhed pålægge den, der har rådighed
over oplysninger, som ønskes forevist eller udleve-
ret efter § 7, tavshedspligt med hensyn til den på-
gældendes viden om sagen. Når pålæg meddeles
en erhvervsvirksomhed, gælder dette også for an-
dre juridiske og fysiske personer, der i kraft af de-
res tilknytning til virksomheden har fået kendskab
til sagen.
Stk. 3. Pålæg efter stk. 2 kan ophæves af Center
for Cybersikkerhed eller retten. Center for Cyber-
sikkerheds nægtelse af at ophæve et pålæg skal ef-
ter begæring forelægges retten. Den pågældende
skal gøres bekendt med adgangen hertil.
52
§ 7 c. Reglerne i retsplejelovens kapitel 63 om
værneting og kapitel 85 om kære til højere ret fin-
der tilsvarende anvendelse.
§ 7 d. Center for Cybersikkerhed foranlediger
ved at rette henvendelse til den, der har rådighed
over oplysningerne, at en kendelse om edition op-
fyldes. Rettens kendelse skal på begæring forevises
for den pågældende. Afviser den pågældende uden
lovlig grund at efterkomme pålægget, finder reg-
lerne i retsplejelovens § 178 tilsvarende anvendel-
se.«
§ 8. Center for Cybersikkerheds virksomhed er
undtaget fra lov om offentlighed i forvaltningen
bortset fra lovens § 13. Center for Cybersikkerheds
virksomhed er endvidere undtaget fra forvaltnings-
lovens kapitel 4-6 og fra databeskyttelsesloven og
Europa-Parlamentets og Rådets forordning
2016/679/EU af 27. april 2016 om beskyttelse af
fysiske personer i forbindelse med behandling af
personoplysninger og om fri udveksling af sådanne
oplysninger, jf. § 3, stk. 2, i databeskyttelsesloven,
og fra lov om retshåndhævende myndigheders be-
handling af personoplysninger, jf. § 1, stk. 2, i lov
om retshåndhævende myndigheders behandling af
personoplysninger.
3. I § 8, stk. 1, 2. pkt., indsættes efter »forvalt-
ningslovens kapitel 4-6«: », fra §§ 3 og 5 og § 8,
stk. 2, i lov om retssikkerhed ved forvaltningens
anvendelse af tvangsindgreb og oplysningspligter«.
Stk. 2. Forsvarsministeren kan bestemme, at data-
beskyttelsesloven, Europa-Parlamentets og Rådets
forordning 2016/679/EU af 27. april 2016 om be-
skyttelse af fysiske personer i forbindelse med be-
handling af personoplysninger og om fri udveks-
ling af sådanne oplysninger, lov om offentlighed i
forvaltningen og forvaltningslovens kapitel 4-6
helt eller delvis finder anvendelse for Center for
Cybersikkerhed vedrørende
1) centerets behandling af anmodninger om til-
slutning til netsikkerhedstjenesten, jf. § 3, stk. 3,
2-3) ---
4. § 8, stk. 2, nr. 1, affattes således:
»1) centerets behandling af sager om tilslutning
til netsikkerhedstjenesten, jf. § 3, stk. 3 og 4,«.
5. Efter § 8 indsættes i kapitel 5:
Ȥ 8 a. Oplysninger, der er omfattet af denne lov,
kan overføres til opbevaring i arkiv efter reglerne i
arkivlovgivningen.
53
Stk. 2. Forsvarsministeren kan fastsætte nærmere
regler om Center for Cybersikkerheds overførsel af
oplysninger, der skal bevares for eftertiden, til
Rigsarkivet samt om centerets opbevaring af så-
danne oplysninger, indtil overførsel til Rigsarkivet
kan ske.
§ 8 b. Myndigheders og virksomheders samar-
bejde med Center for Cybersikkerhed er ikke be-
grænset af bestemmelser om tavshedspligt fastsat
ved lov eller med hjemmel i lov, jf. dog stk. 2.
Stk. 2. Forsvarsministeren kan fastsætte regler
om, at nærmere angivne bestemmelser om tavs-
hedspligt fastsat ved lov eller med hjemmel i lov
fortsat finder anvendelse på myndigheders og virk-
somheders samarbejde med Center for Cybersik-
kerhed.«
§ 14. ---
Stk. 2. Personoplysninger kan overføres til opbe-
varing i arkiv efter reglerne i arkivlovgivningen.
6. § 14, stk. 2, ophæves.
7. Kapitel 7 affattes således:
Kapitel 7 »Kapitel 7
Analyse, videregivelse og sletning af data Analyse, videregivelse og sletning af data
§ 15. Analyse af pakkedata, der er omfattet af §§
4, 6 og 7, må kun finde sted ved begrundet mistan-
ke om en sikkerhedshændelse, og kun i det omfang
det er nødvendigt for afklaring af forhold vedrø-
rende hændelsen.
§ 15. Center for Cybersikkerhed kan foretage
automatiserede analyser af trafikdata, pakkedata og
stationære data, der er omfattet af kapitel 4. Manu-
elle analyser af data, der er omfattet af kapitel 4,
må alene finde sted i følgende tilfælde:
1) For at opdage, analysere og bidrage til at imø-
degå sikkerhedshændelser kan trafikdata analyse-
res i det omfang, det er nødvendigt.
2) Ved begrundet mistanke om en sikkerheds-
hændelse kan pakkedata og stationære data analy-
seres i det omfang, det er nødvendigt for at afklare
forhold vedrørende hændelsen.
3) Som led i forebyggende sikkerhedstekniske
undersøgelser efter § 6 a kan trafikdata, pakkedata
og stationære data analyseres i det omfang, det er
nødvendigt for at gennemføre undersøgelserne.
4) Som led i det løbende arbejde med at under-
støtte et højt informationssikkerhedsniveau på For-
svarsministeriets område, herunder ved kontrol af,
54
om kommunikation indeholder klassificeret mate-
riale, kan trafikdata og pakkedata, der hidrører fra
myndigheder på Forsvarsministeriets område, ana-
lyseres.
5) Som led i tekniske tests og konfiguration af
netsikkerhedstjenestens alarmenheder kan trafikda-
ta og pakkedata analyseres i det omfang, det er
nødvendigt for at gennemføre testen. Testen skal
afsluttes, så snart formålet med testen er opfyldt.
Analysen må alene foretages af medarbejdere, der
varetager tekniske drifts- og udviklingsopgaver for
Center for Cybersikkerhed. Øvrige medarbejdere
må ikke tilgå oplysninger, der hidrører fra tests.
Malware, der ved en tilfældighed opdages som led
i en teknisk test, må dog analyseres af øvrige med-
arbejdere i Center for Cybersikkerhed efter nr. 2.
§ 16. Data, der er omfattet af §§ 4, 6 og 7, kan
kun videregives i følgende tilfælde:
1) Ved begrundet mistanke om en sikkerheds-
hændelse kan data videregives til politiet.
2) Ved begrundet mistanke om en sikkerheds-
hændelse, og hvis det er nødvendigt for udførelsen
af netsikkerhedstjenestens opgaver, kan trafikdata
videregives til danske myndigheder, udbydere af
offentlige elektroniske kommunikationsnet og -tje-
nester, andre netsikkerhedstjenester og virksomhe-
der, der er omfattet af §§ 4, 6 og 7, samt til myn-
digheder og virksomheder i øvrigt i forbindelse
med Center for Cybersikkerheds udsendelse af sik-
kerhedsvarslinger.
§ 16. Center for Cybersikkerhed kan videregive
trafikdata, der er omfattet af kapitel 4, til:
1) Politiet, såfremt der er begrundet mistanke om
en sikkerhedshændelse.
2) Den tilsluttede myndighed eller virksomhed,
hvorfra de pågældende data hidrører, såfremt der
er begrundet mistanke om en sikkerhedshændelse,
og hvis det er nødvendigt for udførelsen af Center
for Cybersikkerheds opgaver.
3) Danske myndigheder, udbydere af offentlige
elektroniske kommunikationsnet og -tjenester og
andre netsikkerhedstjenester samt til myndigheder
og virksomheder i øvrigt i forbindelse med Center
for Cybersikkerheds udsendelse af sikkerhedsvars-
linger, såfremt der er begrundet mistanke om en
sikkerhedshændelse, og såfremt det er nødvendigt
for udførelsen af Center for Cybersikkerheds opga-
ver.
Stk. 2. Center for Cybersikkerhed kan videregive
pakkedata, der er omfattet af kapitel 4, til:
1) Politiet, såfremt der er begrundet mistanke om
en sikkerhedshændelse.
2) Den tilsluttede myndighed eller virksomhed,
hvorfra de pågældende data hidrører, såfremt der
er begrundet mistanke om en sikkerhedshændelse.
Stk. 3. Center for Cybersikkerhed kan videregive
stationære data, der er omfattet af kapitel 4, til:
55
1) Politiet, såfremt der er begrundet mistanke om
en sikkerhedshændelse.
2) Den myndighed, virksomhed eller borger,
hvorfra de pågældende data hidrører, såfremt der
er begrundet mistanke om en sikkerhedshændelse.
3) Andre netsikkerhedstjenester, såfremt Center
for Cybersikkerhed har modtaget de pågældende
data i medfør af § 6 b eller § 6 c.
Stk. 4. Center for Cybersikkerhed kan videregive
malware, der er omfattet af kapitel 4, til:
1) Politiet.
2) Den myndighed eller virksomhed, hvorfra de
pågældende data hidrører.
3) Danske myndigheder, udbydere af offentlige
elektroniske kommunikationsnet og -tjenester og
andre netsikkerhedstjenester samt til myndigheder
og virksomheder i øvrigt i forbindelse med Center
for Cybersikkerheds udsendelse af sikkerhedsvars-
linger.
Stk. 5. Stk. 1-4 finder ikke anvendelse på data,
der stammer fra tekniske test og konfiguration af
netsikkerhedstjenestens alarmenheder. Center for
Cybersikkerhed kan alene videregive sådanne data
i følgende tilfælde:
1) Malware, der er opdaget ved en tilfældighed,
kan videregives til politiet, til den myndighed eller
virksomhed, hvorfra de pågældende data hidrører,
til danske myndigheder, til udbydere af offentlige
elektroniske kommunikationsnet og -tjenester og
til andre netsikkerhedstjenester samt til myndighe-
der og virksomheder i øvrigt i forbindelse med
Center for Cybersikkerheds udsendelse af sikker-
hedsvarslinger.
2) Trafikdata kan videregives til den tilsluttede
myndighed eller virksomhed, hvorfra de pågælden-
de data hidrører.
Stk. 6. Uanset stk. 1-4 må Center for Cybersik-
kerhed i forbindelse med forebyggende sikkerheds-
tekniske undersøgelser efter § 6 a alene videregive
oplysninger vedrørende myndighedens eller virk-
somhedens medarbejdere, hvis det sker i anony-
miseret form.
§ 17. Data, der er omfattet af kapitel 4, slettes,
når formålet med behandlingen er opfyldt.
§ 17. Data, der er omfattet af kapitel 4, slettes,
når formålet med behandlingen er opfyldt.
56
Stk. 2. Uanset at formålet med behandlingen ikke
er opfyldt, jf. stk. 1, må
1) data, der knytter sig til en sikkerhedshændelse,
højst opbevares i 3 år og
2) data, der ikke knytter sig til en sikkerhedshæn-
delse, højst opbevares i 13 måneder.
Stk. 3. Fristerne i stk. 2 regnes fra tidspunktet for
Center for Cybersikkerheds registrering af de på-
gældende data.
Stk. 4. Er data videregivet i medfør af § 16, fin-
der stk. 1 og 2 ikke anvendelse på disse data.
Stk. 2. Uanset at formålet med behandlingen ikke
er opfyldt, jf. stk. 1, må
1) data, der knytter sig til en sikkerhedshændelse,
højst opbevares i 5 år,
2) data, der ikke knytter sig til en sikkerhedshæn-
delse, men som stammer fra myndigheder, som i
særlig grad beskæftiger sig med udenrigs-, sikker-
heds- og forsvarspolitiske forhold, samt virksom-
heder og organisationer, hvis aktiviteter har særlig
betydning for disse forhold, højst opbevares i 3 år,
og
3) øvrige data, der ikke knytter sig til en sikker-
hedshændelse, højst opbevares i 13 måneder.
Stk. 3. Fristerne i stk. 2 regnes fra tidspunktet for
Center for Cybersikkerheds registrering af de på-
gældende data.
Stk. 4. Center for Cybersikkerhed kan opbevare
backup af data i op til 4 måneder efter udløb af fri-
sterne i stk. 1 og 2. Ved indlæsning af data fra
backup skal Center for Cybersikkerhed sikre, at
data, der tidligere er slettet efter stk. 1 eller 2,
straks slettes igen.
Stk. 5. Er data i medfør af § 16 videregivet til an-
dre end den myndighed eller virksomhed, som data
hidrører fra, finder stk. 1 og 2 ikke anvendelse på
disse data.
Stk. 6. I data, som Center for Cybersikkerhed får
adgang til som led i forebyggende sikkerhedstekni-
ske undersøgelser efter § 6 a, skal personoplysnin-
ger, der er indeholdt i disse data, endvidere slettes
eller anonymiseres, når den sikkerhedstekniske un-
dersøgelse er afsluttet. Konstaterer Center for Cy-
bersikkerhed, at der i de pågældende data er inde-
holdt følsomme personoplysninger, skal disse slet-
tes uden unødigt ophold.
Stk. 7. Sletning efter fristerne i stk. 2, nr. 2 og 3,
kan i helt særlige tilfælde kortvarigt suspenderes,
hvis væsentlige hensyn til varetagelsen af Center
for Cybersikkerheds opgaver gør det nødvendigt.
Tilsynet med Efterretningstjenesterne skal straks
underrettes om suspension efter 1. pkt. og om bag-
grunden for suspensionen.
§ 17 a. § 17 finder ikke anvendelse på data, der
er deponeret på fiktive angrebsmål efter § 6 b eller
57
modtaget via infrastruktur omfattet af § 6 c, så-
fremt Center for Cybersikkerhed ikke udtager disse
data til nærmere vurdering. Disse data slettes hur-
tigst muligt. Udtager Center for Cybersikkerhed
data til nærmere vurdering, skal sletning ske efter
reglerne i § 17.«
§ 20. Tilsynet påser efter klage eller af egen drift,
at Center for Cybersikkerhed overholder reglerne i
kapitel 4, 6 og 7 vedrørende behandling af person-
oplysninger.
8. I § 20 indsættes efter »kapitel 4,«: »4 a,«.
9. Efter kapitel 9 indsættes:
»Kapitel 9 a
Straffebestemmelser m.v.
§ 24 a. Med bøde straffes, medmindre strengere
straf er forskyldt efter den øvrige lovgivning, den,
der undlader at efterkomme et pålæg efter § 7 b,
stk. 2.
Stk. 2. I regler, der udfærdiges i medfør af § 3,
stk. 5, 2. pkt., kan der fastsættes straf i form af bø-
de for overtrædelse af bestemmelserne i reglerne.
Stk. 3. Der kan pålægges selskaber m.v. (juridi-
ske personer) strafansvar efter reglerne i straffelo-
vens 5. kapitel.«
58