Høringssvar og høringsnotat, fra forsvarsministeren

Forsvarsudvalget 2018-19
L 215 Bilag 1
Offentligt
Den 8. februar 2019
Sagsnr. S-2019-034
Dok.nr. D-2019-5075
ds/bef
AKADEMIKERNE
THE DANISH CONFEDERATION
OF PROFESSIONAL ASSOCIATIONS
Nørre Voldgade 29, 2. sal
DK – 1358
København K.
T +45 3369 4040
E ac@ac.dk
W www.ac.dk
Akademikernes høringssvar vedrørende lovforslag om æn-
dring af lov om Center for Cybersikkerhed
Akademikerne har modtaget høring vedrørende Forsvarsministeriets
forslag til lov om ændring af lov om Center for Cybersikkerhed og har
følgende bemærkninger:
Helt overordnet vil Akademikerne anbefale, at lovforslaget i den nuvæ-
rende affatning ikke fremsættes i Folketinget, og at Forsvarsministeriet i
stedet udarbejder et helt nyt lovforslag, hvor det reelt er muligt for hø-
ringsparterne (i en ny høring) at vurdere, hvilke beføjelser som Center
for Cybersikkerhed får, og hvordan disse beføjelser er afgrænset af ob-
jektive bestemmelser.
Når staten gør indgreb i borgernes grundlæggende ret til privatliv, er det
et krav efter retspraksis fra den Europæiske Menneskerettighedsdom-
stol, at disse indgreb sker via et retsgrundlag, som er klart og præcist,
og at anvendelsen af dette retsgrundlag skal være forudsigeligt for de
personer, som er omfattet af dets anvendelsesområde. Det lovudkast,
som er sendt i høring, lever ikke op til disse krav, fordi det er totalt
umuligt at vurdere rækkevidden af lovforslagets bestemmelser.
Det er også et krav, at indgreb i retten til privatliv skal være egnet til at
forfølge et formål af almen interesse, samt være nødvendigt og propor-
tionalt. Et indgreb kan kun anses for at være nødvendigt, hvis der ikke
findes mindre indgribende foranstaltninger, som kan opfylde formålet af
almen interesse.
I forhold til lovforslagets ansættelsesretlige aspekter skal det oplyses, at
Akademikerne ser med meget stor alvor herpå – særligt den del, der
vedrører spørgsmålet om målrettede indsamlinger af oplysninger, op-
sætning af fælder m.v. for konkret udvalgte medarbejdere i virksomhe-
der eller hos myndigheder.
Akademikerne finder det meget bekymrede, at en statslig myndighed
skal have mulighed for at optræde under fordækte identiteter, opsætte
fælder, målrette angreb mod enkelte medarbejdere/enkeltpersoner, og
at anvende kollegerne i den forbindelse m.v.
Forsvarsministeriet
Holmens Kanal 42
1060 København K
Side 2 af 3
Der vil være tale om en banebrydende ændring af de retssikkerheds-
principper, der gælder på det ansættelsesretlige område.
Det forhold, at Center for Cybersikkerhed gives tilladelse til at anmelde
en ansat til den ansattes arbejdsgiver for at have overtrådt interne IT-
sikkerhedsforskrifter, indeholder efter Akademikernes opfattelse to helt
uacceptable momenter, dels at centret anmelder til en privat juridisk
person og ikke til anklagemyndigheden, dels at der anmeldes i forhold til
overtrædelse af nogle lokalt udfærdigede IT-forskrifter, som i princippet
kan indeholde hvad som helst, som ikke har noget fæste i lovgivningen.
En medarbejder, der i øvrigt umiddelbart intet suspekt foretager sig, kan
uforvarende ”falde i fælden” – med de konsekvenser dette måtte have
for den enkeltes ansættelsesforhold. Lovforslaget anvender decideret
udtrykket at ”franarre medarbejdere bestemte oplysninger”. Det frem-
går, at det er for at teste den enkeltes omgang med mistænkelige af-
sendere, men der er f.eks. i udgangspunktet næppe tale om en mistæn-
kelig afsender, hvis der er tale om en kollega. Det er efter Akademiker-
nes opfattelse at gå alt for vidt.
Dette er yderst problematisk, og er desuden i sit udgangspunkt i strid
med de sædvanlige grundlovsfæstede rettigheder, EMK m.v.
Akademikerne vil derfor advare imod indførelse af regler, der på den vis
indfører legaliseret mistænkeliggørelse af ansatte, og tilsidesætter deres
grundlæggende rettigheder.
Det kan desuden bemærkes, at lovforslagets ansættelsesretlige aspekter
ikke er blevet drøftet mellem parterne – hverken på det offentlige eller
på det private område.
Det kan samtidig oplyses, at lovforslaget kan underminere de generelle
aftaler, som aftaleparterne på det offentlige område har indgået om
kontrolforanstaltninger. Formålet med disse aftaler er at skabe størst
mulig tryghed for de ansatte i forbindelse med en offentlig arbejdsgivers
eventuelle anvendelse af kontrolforanstaltninger.
Kontrolforanstaltninger skal være sagligt begrundede i driftsmæssige
årsager og have et fornuftigt formål. Kontrolforanstaltninger skal indret-
tes således, at der er et rimeligt forhold mellem formål og midler. Kon-
trolforanstaltningerne må ikke være krænkende over for medarbejderne,
og de må ikke forvolde medarbejderne tab eller nævneværdige ulemper.
På hjemmearbejdspladser må der ikke indføres kontrolforanstaltninger,
der krænker privatlivets fred.
Der er således grænser for, hvilke kontrolforanstaltninger en ledelse må
iværksætte over for sine medarbejdere. Der er også en orienteringspligt,
som man kun må se bort fra ved konkret mistanke om snyd.
Ingen af de beskyttelser efterleves, hvis Center for Cybersikkerhed får
hjemmel til at lave fiktive angreb.
Med venlig hilsen
Side 3 af 3
Dario Silic
D: 21353728
E: ds@ac.dk
— HØRINGSNOTAT 1
Høringsnotat
København, den 6. februar 2019
Høringssvar over udkast til forslag til lov om Center for
Cybersikkerhed. (Initiativer til styrkelse af cybersikkerheden).
(Sagsnr. 2018/006599).
Ved mail af 7. januar 2019 har
Forsvarsministeriet anmodet om Amnesty
Internationals eventuelle bemærkninger
til ovennævnte udkast til ændring af lov
om Center for Cybersikkerhed.
Generelle bemærkninger
Amnesty International er enig i den
grundlæggende betragtning bag udkastet:
At det er af afgørende betydning, at det
danske samfund sikres en effektiv
beskyttelse mod cyberangreb.
Men når man læser udkastet, efterlades
man med et indtryk af, at de seneste ti-
tolv års diskussioner om forholdet mellem
borgernes sikkerhed og borgernes
retssikkerhed – og hvordan vi sikrer, at
borgernes retssikkerhed ikke kommer
unødigt under pres - er gået ubemærket
hen i Forsvarsministeriet, FE og Center for
Cybersikkerhed.
Diskussionen om sikkerhed og
retssikkerhed har fyldt meget – især i
2006-2008 i forbindelse med
diskussioner om politiets beføjelser til at
iværksætte aflytninger og overvågninger -
og den retlige prøvelse af mistankekrav og
nødvendighed.
I 2016 afgjorde EU-domstolen i en sag
mod Sverige, at logningsdirektivet var i
strid med retten til privatliv efter artikel 8
i Den Europæiske
Menneskerettighedskonvention – og
afgørelsen burde have ført til, at den
danske regering havde ophævet den
danske logningsbekendtgørelse (som
påbyder danske internetudbydere at
gemme trafikdata i et år) – hvilket som
bekendt ikke skete og endnu ikke er sket.
Disse og mange andre diskussioner om
afvejningen mellem sikkerhed på den ene
side og retssikkerhed på den anden ses
ikke at have sat sig nogen spor i det
fremsendte udkast.
Tværtimod indeholder forslaget meget
betydelige udvidelser af Center for
Cybersikkerheds beføjelser, uden at der
på nogen måde søges at indføre nogen
former for uafhængig kontrol med
Centeret, således at man kunne have talt
om en balance mellem de betydeligt
udvidede beføjelser og behovet for at
beskytte myndighedernes,
virksomhedernes og borgernes privatliv.
Det fremgår af bemærkningerne, at
formålet med forslaget blandt andet er at
få flere myndigheder og virksomheder til
at indgå i Centerets
netsikkerhedstjeneste. Hidtil har alene et
fåtal af myndigheder og virksomheder
ønsket at lade sig indrullere i Centerets
netsikkerhedstjeneste, hvilket i
bemærkningerne henføres til, at det har
været for dyrt at deltage. Derfor skal det
fremover være gratis at være omfattet af
netsikkerhedstjenesten.
— HØRINGSNOTAT 2
Det er dog, som om forslagsstillerne ikke
selv tror på, at det er gebyret, som er
grunden til, at især virksomheder har
afholdt sig fra at slutte sig til
netsikkerhedstjenesten. En af de vigtigste
nyskabelser i forslaget er, at Centeret for
Cybersikkerhed, hvis forslaget vedtages,
kan pålægge myndigheder og
virksomheder at slutte sig til
netsikkerhedstjenesten. (Så vidt Amnesty
har kunnet forstå på de seneste dages
drøftelser i medierne, har kun to private
virksomheder sluttet sig til
netsikkerhedstjenesten under den
hidtidige ordning.)
Det afgørende nye er, at hvor Center for
Cybersikkerhed i dag kun monitorerer
datatrafik på de forbindelser, der går ind
og ud af de tilsluttede myndigheder og
virksomheder, skaber lovforslaget
mulighed for at installere
sikkerhedssoftware på f.eks. pc’ere,
servere, tablets, mobiltelefoner m.v. hos
de myndigheder og virksomheder, der er
tilsluttet netsikkerhedstjenesten.
Som noget nyt er det meningen, at
Centeret skal kunne installere
sikkerhedssoftware, ikke bare i den ydre
firewall, men også på den indre firewall,
herunder servere og stationære pc’er hos
den pågældende myndighed eller
virksomhed. Efter forslaget skal også
tablets og mobiltelefoner kunne tilsluttes.
Man må forstå, at de tilsluttede
myndigheder og virksomheder vil blive
underrettet, når der installeres
sikkerhedssoftware, honey pots, sink
holes osv. Men de medarbejdere, som
arbejder med de pågældende netværk og
pc’er, m.v. nævnes ikke. De skal ikke
underrettes om, at deres færden bliver
overvåget.
Man savner i det hele taget et overslag
over de praktiske konsekvenser, over hvor
mange myndigheder, virksomheder,
netværk, pc’er eller brugere, der samlet
set forventes at blive omfattet eller ”ramt”
af Center for Cybersikkerheds fremtidige
udvidede adgang til transportdata,
pakkedata og stationære data.
Som forslaget er formuleret, efterlader det
– bevidst eller ikke bevidst – et billede af,
at det blot er et hjørne af vores samfund,
der undergives en tættere, ureguleret
overvågning, hvor man reelt skulle
anerkende, at der snarere er tale om, at
vores samfund som sådant kan gå fra et
niveau af ureguleret overvågning til et
andet.
Særligt savnes en reel begrundelse for det
gennemgående fravær af domstolskontrol
med Centerets tilgang til oplysninger hos
myndigheder og virksomheder.
Konkrete bemærkninger
Om indgreb omfattet af grundlovens § 72.
Udkastet indeholder en række
bestemmelser – i udkastet til lovs kapitel
4 – indgreb omfattet af grundlovens § 72,
hvor der er tale om at foretage indgreb i
retten til privatliv – eller indgreb i
brevhemmeligheden.
Af udkastet til § 4 fremgår, at Center for
Cybersikkerhed skal kunne behandle
trafikdata, pakkedata og stationære data
hidrørende fra tilsluttede myndigheder
uden retskendelse med henblik på at
understøtte et højt
informationssikkerhedsniveau.
Hvor det i dag alene er
netværkskommunikation, Centeret kan
behandle, vil Centeret fremover kunne
behandle enkelte enheder (pc’ere) på
lokale netværk, smartphones og tablets.
Det anføres videre i bemærkningerne, side
18, at ”Det bemærkes, at anvendelsen af
sikkerhedssoftware – både med passiv og
aktiv funktionalitet – vil indebære en
udvidelse af Center for Cybersikkerheds
muligheder for at foretage indgreb, der er
omfattet af grundlovens § 72 om bl.a.
— HØRINGSNOTAT 3
undersøgelse af breve og andre papirer
(elektroniske data) og brud på
meddelelseshemmeligheden
(kommunikation gennem email og anden
internetkommunikation) med henblik på
at imødegå sikkerhedshændelser. Efter
grundlovens § 72 kan sådanne indgreb,
hvor ingen lov hjemler en særegen
undtagelse, alene ske efter en
retskendelse.”
Det fremgår videre af bemærkningerne, at
forslaget betyder, at de data, som kunne
udløse en sikkerhedsbegivenhed efter
forslaget ikke blot er data, som bevæger
sig mellem to forskellige virksomheder,
men også kan være ”private” data, der
befinder sig lagret på en pc hos en
medarbejder – som der derfor kan blive
tale om at tilgå.
Det konkluderes i bemærkningerne, at en
sådan tilgang til disse ”private” data vil
kunne udgøre et indgreb omfattet af
grundlovens § 72, hvorfor der efter
ministeriets opfattelse er behov for en
udtrykkelig hjemmel.
Forsvarsministeriet har derfor overvejet,
om der er behov for en ordning, hvor der
sker forudgående indhentelse af
retskendelse – men når side 18 frem til,
at det vil være for besværligt, og at man
derfor ikke bør indføre krav om en
retskendelse – hverken forudgående eller
efter den eventuelle sikkerhedshændelse:
”Indgrebet vil imidlertid som
udgangspunkt ske automatiseret, når
sikkerhedssoftwaren løbende scanner – og
dermed tilgår – filer for at identificere
eventuelle sikkerhedshændelser, og da
indgrebet dermed netop sker ved
scanning af ukendte data for at fastslå,
om der er tale om sikkerhedshændelser,
vil en domstolsprøvelse i givet fald ikke
kunne basere sig på en vurdering af
karakteren af de pågældende data, men
alene på en meget overordnet og generel
vurdering af, om f.eks. trusselsbilledet i
tilstrækkelig grad begrunder, at der
anvendes sikkerhedssoftware. Dette
område vurderes på den baggrund ikke at
være egnet til domstolsprøvelse. ” (Vores
udhævning).
Denne argumentation for ikke at anvende
domstolskontrol er efter Amnestys
opfattelse bagvendt. Når en domstol skal
tage stilling til, om der er tilstrækkeligt
grundlag for at gennemføre en ransagning
eller iværksætte en aflytning/overvågning,
så sker det vel også ud fra en samlet
vurdering af ”trusselsbilledet”, og ikke ud
fra en forventning om kvaliteten af de
konkrete data, som forventes at komme
frem ved ransagningen.
Forsvarsministeriet leverer ikke en holdbar
argumentation for, hvordan det
retfærdiggøres, at det, som ministeriet
selv kalder et indgreb omfattet af
grundlovens § 72, ikke i fremtiden skal
kræve domstolskontrol.
Endelig skal det bemærkes, at de retlige
kriterier for at tilgå disse data er ganske
løst formulerede – idet det eneste krav er,
at behandlingen sker for at understøtte
”et højt informationssikkerhedsniveau i
samfundet.”
Om forslag til ny § 5.
Efter forslaget til § 5 skal Centeret – ved
begrundet mistanke om en
sikkerhedshændelse – kunne behandle
stationære data (dvs. data, som er lagret i
netværk og pc’er i virksomheden eller hos
myndigheden) fra en myndighed eller
virksomhed, der ikke er tilsluttet
netsikkerhedstjenesten – uden
retskendelse – når
myndigheden/virksomheden har anmodet
Centeret om bistand, stillet de stationære
data til rådighed for
netsikkerhedstjenesten og givet skriftligt
samtykke til behandlingen – og
behandlingen vurderes at kunne bidrage
til at understøtte et højt
informationssikkerhedsniveau i
samfundet.
— HØRINGSNOTAT 4
Også for § 5 anerkender
Forsvarsministeriet, at bestemmelsen
isoleret omhandler situationer/indgreb,
der er omfattet af grundlovens § 72 – og
at der derfor er behov for positiv
lovhjemmel til at foretage de pågældende
indgreb.
Særligt i en situation hvor der efter
ministeriets opfattelse kan være tale om
myndigheder eller virksomheder med så
mange ansatte, at det reelt ikke er muligt
at indhente samtykke fra alle berørte
medarbejdere, er det nødvendigt –
konkluderer ministeriet - at der
tilvejebringes hjemmel til at foretage
indgreb omfattet af grundlovens § 72.
Det anføres i bemærkningerne, side 22:
”De sikkerhedstekniske undersøgelser er
aktiviteter, der til en vis grad kan
sammenlignes med de mange områder,
hvor offentlige myndigheder foretager
stikprøvekontroller, og hvor det ikke sker
efter forudgående retskendelse, idet en
domstolsprøvelse ikke vil være
meningsfuld, når der er tale om
stikprøver. Når der samtidig henses til, at
undersøgelsen foretages på baggrund af et
samtykke fra myndigheden eller
virksomheden selv – og at det således er
vanskeligt at opstille et retligt kriterium,
som domstolene vil kunne påse
overholdelsen af – bør undersøgelsen
kunne foretages uden retskendelse.”
(Vores udhævning)
Efter Amnestys opfattelse er
Forsvarsministeriets argumentation for
ikke at kræve domstolskontrol med
indgreb, som åbenbart vil være omfattet
af grundlovens § 72 også her nærmest
bagvendt.
For det første kan man ikke sammenligne
med stikprøvekontroller i
fødevareindustrien og andre brancher,
hvor stikprøvekontrol skal sikre en
forsvarlig kvalitet. De varer, som
kontrolleres i fødevareindustrien – og ikke
lever op til den krævede standard - er ikke
omfattet af retten til privatliv eller
brevhemmeligheden. Videre kan man ikke
læne sig tilbage og sige, at alt er godt, når
blot man har samtykke fra myndighedens
eller virksomhedens ledelse. Det ændrer
ikke på, at det vil være et indgreb
omfattet af grundlovens § 72 over for
medarbejderne, når Centeret går ind og
undersøger samtlige medarbejderes pc’er,
smartphones, tablet etc.
Endelig kortsluttes ræsonnementet i
forhold til domstolskontrollens formål, når
ministeriet konstaterer, at når det
”således er vanskeligt at opstille et retligt
kriterium, som domstolene vil kunne påse
overholdelsen af – bør undersøgelsen
kunne foretages uden retskendelse.”
(Vores udhævning).
Efter Amnestys opfattelse må svaret være,
at hvis man ikke kan opstille et retligt
kriterium, som skal være opfyldt, for at
Centeret kan gå ind og kontrollere en
given myndighed eller virksomhed, (og
som kan efterprøves af en domstol) så bør
Centeret afholde sig fra - eller ikke have
myndighed til at foretage sådanne
handlinger.
Også her er kravet om, at behandlingen
skal vurderes at bidrage til at understøtte
et højt informationssikkerhedsniveau et
nærmest tomt kriterium.
Om forslag til § 6
Også i forhold til de beføjelser, som
Center for Cybersikkerhed får til at
behandle trafikdata, pakkedata og
stationære data hidrørende fra de
tilsluttede myndigheder og virksomheder
– uden retskendelse - må man efterlyse
en retlig konstruktion, hvorefter Centeret
ville være undergivet uafhængig kontrol –
domstolskontrol. Som udkastet er
formuleret, vil Centeret kunne tilgå en
lang række personlige og rent private data
om borgerne, der ikke har saglig relevans
for sikkerhedshændelse.
— HØRINGSNOTAT 5
Om forslag til § 17, opbevaringstid
Det fremgår af § 17, stk. 1, at data, der er
omfattet af kapitel 4 – om indgreb, der er
omfattet af grundlovens § 72 – skal
slettes, når formålet med behandlingen er
opfyldt, eller efter højst 5 år, uanset om
formålet er opfyldt.
Data, som ikke hidrører fra en
sikkerhedshændelse, men fra bestemte
myndigheder, som særligt beskæftiger sig
med udenrigs-, sikkerheds- og
forsvarspolitiske forhold – og
virksomheder og organisationer, hvis
aktiviteter har særlig betydning for disse
forhold, må højst opbevares i 3 år. Er data
i medfør af § 16 videregivet til andre end
den myndighed eller virksomhed, som de
pågældende data hidrører fra, finder stk.
1 og 2 ikke anvendelse.
Dét forstår Amnesty International således,
at der ikke gælder nogen længste frist for
sletning af data, der er videregivet til
andre myndigheder eller virksomheder
end den, som de pågældende data
hidrører fra.
Det er ikke indlysende, hvorfor man skal
kunne gemme data, som ikke hidrører fra
en sikkerhedshændelse, i 3 år, eller
hvorfor slettefristen efter denne lov helt
ophæves, hvis data gives videre til andre
myndigheder eller virksomheder end dem,
som oplysningerne stammer fra.
En generel slettefrist på 5 år forekommer
også at være unødigt og uønskeligt lang,
når man betænker fraværet af uafhængig
retlig kontrol med Center for
Cybersikkerhed.
Amnesty International, 6. februar 2019.
Fra: Flemming Dreesen <FLD@da.dk>
Sendt: 5. februar 2019 15:34
Til: FMN-MYN-FORSVARSMINISTERIET
Emne: Korrektion/ DA's høringsvar: Høring over udkast til forslag til lov om
ændring af lov om Center for Cybersikkerhed
Vedhæftede filer: Høringsbrev.pdf; Høringsliste.pdf; Lovudkast.pdf
Kategorier: Mille
(FMI-KI besked: Denne mail kommer fra Internettet.)
DA skal alene til forslaget til § 6a bemærke, at de beskrevne forebyggelsesaktiviteter, der efter
anmodning af centret kan iværksættes på en virksomhed, må antages at være omfattet af de
gældende arbejds- ansættelsesretlige principper. DA og LO har således f.eks. indgået en aftale
om kontrolforanstaltninger af 27. oktober 2006.
DA skal i øvrigt henvise til høringssvar fra DI og DE.
Forsvarsministeriet bedes se bort fra DA’s mail fra 9. januar 2019.
Fra: Forsvarsministeriet <fmn@fmn.dk>
Sendt: 7. januar 2019 16:02
Emne: Høring over udkast til forslag til lov om ændring af lov om Center for Cybersikkerhed
FORSVARSMINISTERIET
Holmens Kanal 9, DK-1060 København K
Telefon + 45 72 81 00 00
Fax + 45 72 81 03 00
E-mail: fmn@fmn.dk
www.fmn.dk
Forsvarsministeriet sender hermed udkast til forslag til lov om ændring af lov om Center for
Cybersikkerhed (Initiativer til styrkelse af cybersikkerheden) i høring.
Til:
Forsvarsministeriet
Holmens Kanal 9
1060 København K
fmn@fmn.dk
Høringssvar til forslag til lov om ændring af lov nr.713 om Lov om Center
for Cybersikkerhed. Journal nr. 2018/006599,
Dansk Energi takker for muligheden for at afgive høringssvar på forslag til lov om ændring af
lov om Center for Cybersikkerhed.
Helt overordnet ser Dansk Energi positivt på, at Center for Cybersikkerhed (CFCS) arbejder
for at styrke cybersikkerheden i Danmark, og vi samarbejder naturligvis meget gerne herom.
Det er væsentligt, at vi sammen kan imødegå sikkerhedshændelser i de samfundsvigtige sek-
torer, og det vil uden tvivl kræve et tæt og tillidsfuldt samarbejde fra begge parters side.
I den forbindelse vil vi også gerne udtrykke vores forståelse for, at CFCS har behov for et mere
detaljeret indblik i trusselsbilledet mod danske virksomheder, der har særlig samfundsvigtig
betydning, herunder visse energi- og forsyningsvirksomheder. Som branche ser vi positivt på,
at energi- og telesektorerne kan bistå CFCS og bidrage til at skabe et opdateret og repræsen-
tativt trusselsbillede mod Danmark.
Lovforslaget står til at ramme bredt, og den kommende regulering vil således potentielt omfatte
både elnetselskaber, elproducenter, balanceansvarlige virksomheder og fibernet-selskaber
qua deres rolle som samfundsvigtige aktører i såvel energi- som telesektoren.
Lovforslaget rejser derfor også en række spørgsmål og bekymringer for disse aktører, ligesom
vi som branche efterspørger en ramme for det fremtidige samarbejde. Dette er nærmere ud-
dybet nedenfor under følgende hovedafsnit:
• Behov for præcisering af lovens omfang og konsekvens
• Videndeling og ramme om fremtidigt samarbejde
• Økonomi
• Sammenhængen til øvrige internationale initiativer
• Øvrige forhold.
Dok. ansvarlig: PHA / RPR / MOB
Sekretær: SLS
Sagsnr: s2019-060
Doknr: d2019-2047-11.3
04-02-2019
2
Behov for præcisering af lovens omfang og konsekvens
Dansk Energi ser behov for, at lovforslaget præciseres og uddybes i forhold til følgende tre
punkter:
• Omfattede virksomheder – frivilligt eller ved pålæg
• Omfanget af og behandlingen af oplysninger/data, der indsamles
• CFCS’ ansvar overfor virksomhederne.
Omfattede virksomheder
I forhold til de virksomheder, som efter forslaget skal være omfattet af loven, er der er et behov
for, at dette uddybes i lovforslaget. Det må klart fremgå, hvilke kriterier der kan indgå i CFCS’
vurdering af, hvilke virksomheder der kan tilsluttes netsikkerhedstjenesten, og hvilke der ved
eventuelt pålæg skal tilsluttes. Endvidere bør det uddybes, hvad der nærmere menes med
virksomheder af samfundsvigtig karakter og virksomheder af særlig samfundsvigtig karakter.
Der henvises til lovforslagets § 3 og bemærkningerne hertil.
Det er afgørende for virksomhederne, at denne vurdering foretages på proportionale og gen-
nemskuelige vilkår, ligesom det må kræves, at CFCS’ afgørelse herom er begrundet og kan
påklages. Dansk Energi efterspørger derfor, at der som minimum indsættes en klar præcise-
ring af lovbemærkninger, så det utvetydigt fremgår, hvilke kriterier der skal indgå i CFCS’ af-
gørelse efter forslagets § 3, stk. 3, og i afgørelse om pålæg efter forslagets § 3, stk. 4. Ligeså
bør det fremgå, hvad grundlaget er for udvælgelsen af virksomheder.
Dansk Energi opfordrer endvidere til dialog og forventningsafstemning i forhold til eventuelle
kritiske leverandører til virksomheder i energi- og telesektorerne, som forventes at blive om-
fattet af krav om tilslutning til netsikkerhedstjenesten.
Endelig bemærkes, at lovforslaget lægger op til, at det alene er et fåtal af virksomheder og
ikke en hel sektor, som forventes tilsluttet. Trusselsbilledet som CFCS’ netsikkerhedstjeneste
vil få indblik i fra energi- og telesektorerne vil derfor i sagens natur kun være en delmængde
af det samlede trusselsbillede mod energi- og telesektorerne.
Omfanget af og behandlingen af data
Lovforslaget lægger op til, at CFCS kan få kendskab til meget store mængder af data, hvor
data kan falde ind under det brede formål om ”at understøtte et højt informationssikkerhedsni-
veau” eller som kan benyttes til at ”opdage, analysere eller som kan bidrage til at imødegå
sikkerhedshændelser.” Disse meget store datamængder hos myndigheder og virksomheder
omfatter således også personhenførbare oplysninger som fx elforbrugsdata, telefonsamtaler
og internetforbrug, e-mailkorrespondancer, SMS’er, medarbejderes hjemmeside-besøg mv.
Der er derfor efter Dansk Energis opfattelse brug for en nærmere beskrivelse af, hvad der
ligger i at ”opdage, analysere eller som kan bidrage til at imødegå sikkerhedshændelser” eller
”understøtte et højt informationssikkerhedsniveau”. Dette er kun meget overfladisk behandlet
i lovforslaget, uanset at det er med sådanne brede formål, at der hjemles adgang for CFCS
uden retskendelse til at behandle trafikdata, pakkedata og stationære data. Der henvises i den
forbindelse til lovforslagets kapitel 4 og 4a, §§ 4-6 samt 6a-6c., og i særdeleshed til bemærk-
ningerne til disse bestemmelser.
3
Det er i den forbindelse Dansk Energis ønske, at datatilgangen så vidt muligt indskrænkes i
forhold til elforbrugsdata, telefonsamtaler og internetforbrug, indhold i e-mailkorrespondancer
og SMS’er, medarbejderes hjemmeside-besøg mv. eller anden data, som ikke er relevante for,
at CFCS ”kan opdage, analysere eller som kan bidrage til at imødegå sikkerhedshændelser”
eller som er egnet til at ”understøtte et højt informationssikkerhedsniveau.”
Det må være et krav at skulle sådanne irrelevante data alligevel komme til CFCS’ kendskab,
må de slettes forud for evt. videregivelse. I modsat fald kan det frygtes, at den indsamling af
data, som lovforslaget giver CFCS adgang til, får karakter af egentlig overvågning snarere end
sikring af vores cybersikkerhed.
Dansk Energi ønsker her at henlede CFCS’ opmærksomhed på, at det i sidste ende uvilkårligt
bliver den enkelte myndighed og virksomhed, som vil møde både borgere, kunder og medar-
bejdere, og dermed vil skulle forklare, argumentere og stå på mål for, at CFCS foretager denne
overvågning. Derfor er der behov for meget klare rammer for CFCS’ overvågning, således at
dette kan formidles i et klart og forståeligt sprog til alle.
Af bemærkningerne til nr. 3 fremgår, at adgang uden retskendelse er en videreførelse af gæl-
dende ret dog med en udvidelse til også at omfatte stationære data. Det fremgår endvidere, at
indgrebet kan foretages, ”når behandlingen vurderes at kunne bidrage til at understøtte et højt
informationssikkerhedsniveau”.
Det bør efter Dansk Energis opfattelse tilføjes, at adgang til data uden retskendelse fordrer, at
CFCS kan godtgøre, at der er en begrundet mistanke om en sikkerhedshændelse og i øvrigt
naturligvis, at indgrebet var nødvendigt for ikke at forspilde muligheden for at identificere en
sikkerhedshændelse.
Yderligere opfordres til, at forholdet til GDPR uddybes. Der henvises til afsnit 9 i de almindelige
bemærkninger, hvor det udtrykkeligt fremgår, at videregivelse af data jf. artikel 6 kan være i
overensstemmelse med databeskyttelsesforordningen ”i det omfang det er strengt nødvendigt
og forholdsmæssigt for at sikre net- og informationssikkerheden”. Dansk Energi vil derfor op-
fordre til, at det præciseres, efter hvilke kriterier CFCS kan finde, at det er ”strengt nødvendigt”
og ”forholdsmæssigt” for at sikre net- og informationssikkerhed.
Dansk Energi finder det uklart, hvorvidt forsyningskritiske IT-systemer (læs: ikke-administrative
IT-systemer) står til at blive omfattet af CFCS’ monitorering af data, fx IT-systemer som indgår
som en del af den operationelle drift af elnettet og elproduktionsanlæg. Såfremt dette er tilfæl-
det, bør det i forbindelse med Lovtekst §1, stk. 3, præciseres, at enheder i forsyningskritiske
IT-systemer (fx ”produktions- og proces-IT”), der anvendes til fysisk styring af den omtalte kri-
tiske infrastruktur, ligeledes er omfattet af lovforslaget.
Uagtet, at brug af kryptering kan udgøre en overvågningsmæssig udfordring, udgør kryptering
også en sikkerhedsforanstaltning for virksomhederne. Ud fra et sikkerhedsmæssigt synspunkt
anbefaler Dansk Energi derfor, at det fastholdes, at CFCS ikke kan forlange at få udleveret
krypteringsnøgler fra myndigheder, virksomheder eller borgere jf. lovbemærkningerne til nr. 3
(side 56). Dog er vi opmærksomme på, at der alligevel kan være helt særlige hensyn, der kan
retfærdiggøre en udlevering i samfundets interesse.
4
CFCS’ ansvar overfor virksomhederne
I lovbemærkninger til §6 (side 58) anføres det, at aktivt cyberforsvar kan indebære en risiko
for, at der kan ske fejl, og at det ”… således ikke (kan) udelukkes, at systemet ved en fejl
programmeres eller installeres på en måde, hvor ikke-skadelig netværkstrafik fejlagtigt bliver
påvirket, og hvor dette påfører tredjemand eller den tilsluttede myndighed eller virksomhed et
økonomisk tab.”
Dansk Energi ønsker at udtrykke bekymring overfor muligheden for brugen af aktivt cyberfor-
svar hos energi- og teleselskaberne – særligt, hvis det aktive cyberforsvar etableres på forsy-
ningskritiske IT-systemer.
Det bør derfor være et krav, at de virksomheder som – frivilligt eller ved pålæg – bliver omfattet
af CFCS’ aktive monitorering, overvågning, installation af sikkerhedssoftware, etablering af
honey pots mv. er velinformerede om de risici og konsekvenser, som et aktivt cyberforsvar kan
medføre. CFCS bør derfor ikke kunne pålægge en virksomhed at blive omfattet af aktiv moni-
torering, overvågning, installation af sikkerhedssoftware, etablering af honey pots mv., hvis
virksomheden ikke selv er indstillet på at acceptere de tilbageværende risici, som måtte blive
identificeret i dialogen med CFCS forud for tilslutning, og som en forudgående koordinering
mellem virksomheden og CFCS har søgt at begrænse til et minimum.
Dansk Energi tolker bemærkningerne således, at CFCS’ netværksovervågning kan føre til for-
retningsmæssige tab for virksomheden, herunder produktionstab, klagesager, GDPR-sager
el.lign. Dansk Energi efterspørger derfor en uddybning og redegørelse for det erstatningsan-
svar, som i sådanne tilfælde påhviler CFCS, herunder om dette vil blive en del af tilslutnings-
betingelserne, uanset om tilslutning foregår frivilligt eller efter pålæg. Dansk Energi forventer,
at en tilsluttet virksomhed, som evt. måtte lide et tab som følge af CFCS’ monitorering og
overvågning kompenseres herfor.
Det ønskes samtidig uddybet, i hvilket omfang CFCS yder support (incident respons, respons-
tid mv.), når CFCS går ind og blokerer trafik som led i en aktiv monitorering af data og et aktivt
cyberforsvar. Dette ønske for uddybning skal ses i sammenhæng med evt. monitorering af
forsyningskritiske IT-systemer, hvor en forsinkelse i datastrømme eller datapakker kan for-
styrre driften af elnet eller elproduktionsenheder og i værste fald lede til strømafbrydelser, fy-
sisk skade på elanlæg og potentiel personfare.
Det bør endvidere præciseres, at CFCS jf. den foreslåede § 6a og bemærkningerne hertil
alene må foretage forebyggende sikkerhedstekniske undersøgelser, såsom fx aktive scannin-
ger, penetrationstests, social engineering mv. mod tilsluttede virksomheder på frivillig basis og
alene på tidspunkter og mod angrebsmål mv., som er aftalt og koordineret med virksomheden
på forhånd.
Videndeling og ramme om fremtidigt samarbejde
Som nævnt indledningsvist fordrer en succes på dette område et tæt og tillidsfuldt samarbejde
mellem virksomheder og myndigheder. Dansk Energi er derfor positiv over, at CFCS med den
foreslåede §16 nu må videregive information om angreb og cybertrusler. Vi ser en sådan vi-
dendeling som en nødvendig forudsætning for et robust cyberforsvar og et hurtigt-reagerende
beredskab.
5
Med lovforslaget er CFCS sikret adgang til store mængder af data. Lovforslaget lægger dog
op til, at CFCS alene skal fokusere på de mest avancerede angreb, mens virksomhederne
selv vil skulle håndtere alle andre sikkerhedshændelser.
Det ønskes derfor uddybet, i hvilket omfang CFCS vil informere tilsluttede virksomheder om
(simple) sårbarheder eller trusler, som CFCS måtte få kendskab til, uagtet at lovforslaget læg-
ger op til, at sådanne informationer reelt forventes identificeret og håndteret af de ydelser og
services, som kommercielle IT-sikkerhedsfirmaer leverer til virksomhederne i dag.
Dansk Energi vil opfordre til en drøftelse af mulighederne for, at energi- og telesektorernes
virksomheder i rimeligt omfang kan modtage trusselsinformation og indikatorer fra CFCS også
for sikkerhedsrisici, som umiddelbart falder uden for CFCS fokusområde, men som er kommet
til CFCS’ kendskab. Tilsvarende kan virksomhederne bidrage med trusselsinformation og in-
dikatorer til CFCS, som ligger inden for CFCS’ fokusområde, og som opdages i kraft af virk-
somhedernes egen drift.
Dansk Energi finder, at det er i delingen af sådanne oplysninger om malware, oplevede og
afværgede sikkerhedshændelser mv., at CFCS, virksomhederne og de samfundsvigtige sek-
torer i fællesskab har mulighed for at skabe et optimalt informationssikkerhedsniveau. I Dansk
Energis optik er det derfor både i virksomhedernes og i samfundets interesse, at risici og sår-
barheder kommer til de(n) relevante virksomhed(er)s kendskab og håndteres på betryggende
vis, ligegyldigt hvem der måtte opnå eller besidde et givent kendskab før andre.
Dansk Energi anbefaler derfor, at CFCS bør videregive information og data til en tilsluttet virk-
somhed, når der er tale om begrundet mistanke om en alvorlig sikkerhedshændelse mod den
pågældende virksomhed, hvor angrebet vurderes som avanceret, eller hvor det vurderes, at
der er tale om en sikkerhedshændelse af væsentlig samfundsmæssig betydning.
CFCS’ videregivelse af information og data om tilsluttede virksomheder til tredjepart, herunder
fx danske myndigheder, andre netsikkerhedstjenester samt myndigheder og virksomheder i
øvrigt, bør som hovedregel ske efter forudgående accept fra den tilsluttede virksomhed, som
information og data er relateret til. Videregivelse af information til tredjepart bør i videst muligt
omfang ske i anonymiseret form, således at en given virksomhed ikke kan identificeres i de
data, som videregives.
Dansk Energi ser gerne en tættere dialog med CFCS om, hvordan energi- og telesektorerne
sammen med de øvrige samfundsvigtige sektorer kan skabe et fortroligt og tillidsbaseret rum
og platform med CFCS med henblik på at sikre bedst mulig tværsektoriel videndeling, i forhold
til at alle bidrager til det samlede trusselsbillede mod Danmark.
I forhold til fremtidig videndeling oplever Dansk Energi et presserende behov for at få klarlagt
rollefordelingen mellem CFCS (Cybersituationscentret, Netsikkerhedstjenesten og Trussels-
vurderingsenheden), de sektoransvarlige myndigheder, herunder de sektorspecifikke DCIS-
enheder, tilsynsmyndigheder og sektorernes medarbejdere samt eksisterende og fremtidige
sektorCERTer og virksomhederne.
6
Fra Dansk Energis side finder vi, at den fremtidige rollefordeling har afgørende betydning for
et succesfuldt samarbejde mellem myndigheder og virksomhederne både før, under og efter
en sikkerhedshændelse.
Økonomi
Lovforslaget omtaler i afsnit 3.1.1. om gældende ret at…”… virksomheder, der tilsluttes Center
for Cybersikkerheds netsikkerhedstjeneste, skal betale et årligt gebyr, som dækker centerets
udgifter til tilslutning og drift af den anvendte alarmenhed.” Senere fremgår det, at gebyret har
udgjort mellem 300.000 kr. og 400.000 kr. pr. alarmenhed afhængig af den valgte type alarm-
enhed. Efter forslaget er det imidlertid alene tilslutningen, som nu tilbydes uden betaling.
Det er derfor uklart, hvorledes omkostningerne til driften håndteres, herunder om driften skal
finansieres af virksomhederne, ligesom størrelsen af sådanne omkostninger bør konkretise-
res. Dette efterlader en række uafklarede spørgsmål, særligt når henses til, at der af bemærk-
ningerne fremgår, at virksomhederne alene forudsættes at have begrænsede udgifter som led
i et samarbejde med CFCS.
CFCS’ opgaver og varetagelse heraf er yderligere af national interesse. Dansk Energi efter-
spørger derfor en nærmere afklaring af, hvordan virksomhedernes omkostninger i forbindelse
med CFCS’ netsikkerhedstjeneste fordeles. Finansieringen af en sådan national opgave bør
ikke være på lokale elforbrugeres regning, men bør i Dansk Energis optik finansieres kollektivt.
Skulle ministeriet være uenig i, at omkostninger til netsikkerhedstjenesten skal finansieres kol-
lektivt, ønsker vi følgende forhold afklaret:
• Hvilke ressourcer/omkostninger skal virksomhederne forvente at skulle afholde/afse
ved tilslutning/indkøring?
• Hvilke efterfølgende driftsomkostninger skal virksomheder forvente at skulle af-
holde/afse ved løbende drift, herunder en løbende dialog med CFCS om verifikation af
data mv.?
• Hvilke omkostninger skal virksomheder forvente at skulle afholde/afse i forbindelse
med forebyggende sikkerhedsundersøgelser?
• Vil der være situationer, hvor CFCS vil opkræve betaling fra tilsluttede virksomheder?
I hvilke situationer?
Endelig anmodes ministeren om at afklare følgende to spørgsmål med Energi-, Forsynings-
og Klimaministeren:
• Vil dokumenterede meromkostninger (for elnetselskaberne) komme ind under de
samme regler, som gælder ved tilslutning til proaktive/reaktive IT-sikkerhedstjenester
jf. BEK425, §25 og §28?
• Og vil sådanne omkostninger være at anse som omfattet af § 26, stk. 3, om tilmelding
til IT-sikkerhedstjeneste i bekendtgørelse nr. 969 af 27. juni 2018 om indtægtsrammer
for netvirksomheder?
7
Sammenhængen til øvrige internationale initiativer
Dansk Energi finder det essentielt, at danske initiativer på cyber- og informationssikkerheds-
området harmoniseres og spiller sammen med relevante internationale krav og initiativer både
på EU-niveau og globalt. Eksempelvis findes der allerede i dag både energispecifikke initiativer
i regi af Council of European Energy Regulators (CEER) og Agency for the Cooperation of
Energy Regulators (ACER) samt mere tværsektorielle initiativer i regi af EU-kommissionen,
ENISA og FN1
.
Dette skal ses i lyset af, at cybertruslen er international, og at flere danske energiselskaber har
internationale aktiviteter, såvel som at udenlandske energiselskaber har aktiviteter i Danmark.
I det omfang der ikke sker en koordinering og harmonisering, vil ressourceforbrug og omkost-
ninger blot blive væsentlig forøget, uden at truslen bliver mindre af den grund; måske snarere
tværtimod.
I dén forbindelse finder vi det også relevant at spørge til virksomheders retsstilling, når og hvis
CFCS som national, dansk it-sikkerhedsmyndighed og del af Forsvarets Efterretningstjeneste
pålægger danske, samfundsvigtige virksomheder med internationale aktiviteter at være tilslut-
tet CFCS’ netsikkerhedstjeneste og dermed give CFCS adgang til at monitorere data og trafik,
som er relateret til aktiviteter i andre EU-lande eller i tredjelande.
I en international sammenhæng skal det bemærkes, at der rent formelt kan være begrænsnin-
ger i Danmarks muligheder for national lovgivning, i det omfang EU-retten kan siges at have
nået et niveau, at det såkaldte pre-emption i EU-retten tilsiger, at Danmark må afvente den
igangsatte EU-lovgivning på området. Dansk Energi skal anbefale, at dette forhold undersøges
nærmere. Dette nævnes ikke kun for at undgå den uheldige juridiske situation, der ellers kan
opstå. Det skal også understreges, at der ellers kan opstå et betydeligt spild af ressourcer,
såfremt en dansk implementeret retsstilling efterfølgende må vige for EU-praksis/lovgivning.
Pre-emption-aspekter i relation til EU bør således behandles i lovtekst.
Endelig henledes CFCS’ opmærksomhed på, at installation af sikkerhedssoftware på interne
systemer er en speciel udfordring, når virksomhederne har kontorer i andre lande, der er fuldt
integreret i de administrative IT-/tele-løsninger. De juridiske komplikationer (ansvarspådra-
gelse) relateret til dette bør vurderes og reflekteres i lovforslaget.
Øvrige forhold
- Lovbemærkningerne bør i højere grad afspejles direkte i lovtekst, fx i forhold til kriterier,
som lægges til grund for tilslutning (og evt. pålæg herom) og CFCS’ ansvar overfor virk-
somhederne.
1 Såsom udmøntning af EU’s Energy Expert Cyber Security Platform (EECSP) anbefalinger til EU
Kommissionen og globalt ’The Paris Call of 12 November 2018 for Trust and Security in Cyberspace’
underskrevet af 64 lande (inkl. Danmark), 300 virksomheder og flere end 150 NGO-organisationer.
8
- Det bør præciseres, hvilken sammenhæng lovforslaget vil have til den IT-sikkerhedstje-
neste, som virksomheder i el- og naturgassektorerne er underlagt jf. BEK425.
- I lovforslaget har CFCS en række operationelle rettigheder i forbindelse med et evt. cy-
berangreb. Det ønskes præciseret, hvordan grænsefladen er mellem den aktuelle virk-
somheds og CFCS’ operationelle ansvar og beføjelser, herunder klarlægning af relatio-
ner til den i el- og naturgassektorerne operationelle kontrolstruktur med Energinet samt
Energistyrelsens beføjelser.
- Det er en udfordring, at virksomhederne underlægges samtidig regulering fra flere mini-
sterier relateret til cybersikkerhed.
- Malware-begrebet inkluderer trafik-, pakke- og stationære data. Dansk Energi efterspør-
ger en præcisering af, om stationære data også kan være en del af andre filer; fx nøgler i
en registreringsdatabase.
- Vil sikkerhedssoftware være konstrueret således, at udvalgte IT-administratorer i organi-
sationen vil kunne slå den fra / ændre i den? Og vil IT-sikkerhedsmedarbejdere i en virk-
somhed få indsigt i de etablerede honey pots, så de ikke karambolerer med andre sik-
kerhedstjenester i virksomheden?
- Det bør overvejes, at honey pots og især deception-teknologier også indebærer mere
risiko. Afhængigt af hvilken honey pot-metode, der vil blive benyttet, kan sårbare syste-
mer blive en del af en virksomheds netværk, og derudover kan virksomheden risikere, at
angriberen bliver provokeret til at gennemføre destruktive handlinger.
Såfremt ovenstående giver anledning til spørgsmål, står Dansk Energi naturligvis til rådighed,
ligesom vi gerne deltager i et uddybende møde herom.
Med venlig hilsen
Dansk Energi
Regitze Prahl
Chefkonsulent
jsa@danskerhverv.dk
-/JSA
Side 1/3
Forsvarsministeriet
fmn@fmn.dk
Cc: tbl@kmn.dk og sbu@fmn.dk
4. februar 2019
Høring over lov om Center for Cybersikkerhed, sagsnr. 2018/006599
Generelle bemærkninger
Dansk Erhverv glæder sig over regeringens fornyede og skærpede fokus på informations- og cy-
bersikkerhed, herunder Erhvervspartnerskab for it-sikkerhed, lanceringen af SikkerDigital.dk,
Sikkerhedstjekket, samt strategi for cyber- og informationssikkerhed og de sektorspecifikke stra-
tegier, hvor Dansk Erhverv deltog i arbejde med teleinfrastruktur.
Dansk Erhverv anerkender behovet for løbende at vurdere om Center for Cybersikkerhed (CFCS)
har de nødvendige redskaber og beføjelser. Det aktuelle lovudkast lægger op til at give Forsvars-
ministeriet en række ganske udvidede beføjelser, som Dansk Erhverv stiller sig kritisk over for.
Dansk Erhverv mener, at lovforslaget går for langt, idet der ikke i lovforslaget i tilstrækkeligt om-
fang redegøres for, hvordan de foreslåede tiltag er proportionale i forhold til deres indgriben i
virksomhedernes private forhold. Desuden har lovforslaget et for ensidigt tilgang til virkemidler.
Dansk Erhverv kan derfor ikke støtte forslaget i sin nuværende form.
Specifikke bemærkninger
Påbud om tilslutning til CFCSs netsikkerhedstjeneste
Lovforslagets §3 giver CFCS mulighed for at pålægge virksomheder at lade sig tilslutte CFCSs sik-
kerhedstjeneste, herunder at CFCS vil kunne installere aktivt udstyr og software på virksomhe-
dens infrastruktur, som CFCS kontrollerer, samt pålægge virksomheden at indrette sin eksiste-
rende infrastruktur efter det. En sådan bestemmelse vil kunne ramme danske virksomheder ne-
gativt, fx hvad angår eksport, samt internationale samarbejde og teknologiudvikling. Lovforslaget
siger ikke, hvilke typer (”samfundsvigtige”) virksomheder som CFCF kan kræve tilslutning til,
hvilket Dansk Erhverv anser for nødvendigt at præcisere.
Dansk Erhverv kan ikke støtte, at der gives så vide beføjelser i udvælgelsen af, hvilke former for
virksomheder, der kan forlanges tilsluttet den forslåede ordning. Desuden savnes en uddybning
af, hvilke former for udstyr og software, der skal anvendes. Det er vigtigt for Dansk Erhverv, at
Side 2/3
beslutningen om deltagelse overlades til den enkelte virksomheder, og ligeledes er det er virksom-
hederne, der beslutter, hvilket udstyr og software der er relevant at anvende.
Ubegrænset adgang til data i virksomheder
Lovforslagets §4 giver CFCS meget vidtgående beføjelser til ”uden retskendelse [at] behandle tra-
fikdata, pakkedata og stationære data”. ”Stationære data” defineres som ”Data, som opbevares på
servere, cloudtjenester, pc’ere, lagerenheder, netværksenheder, mobile enheder og tilsvarende”.
Som Dansk Erhverv læser forslaget, indebærer det i praksis, at CFCS får uindskrænket adgang til
alle data i de tilsluttede virksomheder, herunder persondata, forretningshemmeligheder, kunde-
data, private dokumenter m.v. på alt fra virksomhedens servere til den enkelte ansattes telefon
eller laptop.
Der er uklart på hvilke præmisser CFCS kan anvende disse tekniske muligheder. Det skaber usik-
kerhed hos virksomhederne. Det handler ikke kun om, hvad CFCS kan og må foretage sig på en
virksomheds it-infrastruktur. Det handler også om, hvad virksomheden kan fortælle sine kunder
og samarbejdspartnere, herunder også hvordan CFCS samarbejder med tilsvarende tjenester i an-
dre lande.
Dansk Erhverv mener ikke, at det er proportionelt, at CFCS får en sådan i praksis ubegrænset ad-
gang til alle virksomhedens data. Dansk Erhverv kan derfor ikke støtte denne nye hjemmel.
Offentlige private samarbejder
Dansk Erhverv mener ikke, at man kan slutte, at fordi få virksomheder i dag er tilsluttet CFCS
netsikkerhedstjeneste, så er der få virksomheder der foretager monitorering af nettrafik, som er
præmissen i lovforslagets bemærkninger (bemærkninger til lovforslaget, side 11-).
Det er ikke korrekt, når lovforslaget slutter, at der i dag ikke foregår monitorering af nettrafik for
avancerede angreb. Flere virksomhederne investerer allerede i systemer, der eksempelvis kan
detektere mistænkelige mønstre i nettrafik, som kan være tegn på sikkerhedshændelser.
Dansk Erhverv finder, at det er en for unuanceret tilgang, når lovforslaget fokuserer alene på
CFCS egne systemer.
Dansk Erhverv opfordrer til at undersøge andre muligheder, fx tættere samspil mellem CFCS og
den enkelte virksomhed om allerede etablerede systemer. Det er i det hele taget oplagt at satse på
et samarbejde, rammer og evt. krav for de systemer virksomhederne benytter, frem for alene at
fokusere på at installere CFCSs egne teknologier som CFCS kontrollerer.
Persondataforordningen og lov om Center for Cybersikkerhed
De virksomheder der omfattes at den forslåede ordning skal overfor de personer, de behandler
personoplysninger om være i stand til at oplyse, at de indgår i CFCS overvågning. Oplysninger om
personer registret hos de omfattede virksomheder vil efter Dansk Erhvervs vurdering skulle infor-
meres i henhold til GDPR. Derfor opfordrer Dansk Erhverv Forsvarsministeriet til at bistå til
Side 3/3
dette ved at udarbejde en standard informationstekst med ministeriet som afsender, som virk-
somheder kan anvende og lade indgå i deres eksisterende persondatapolitikker
Persondataforordningen stilles skærpede krav om sikkerhed i forhold til behandling af personop-
lysninger, hvilket betyder at mange virksomheder over de seneste år har investeret betydeligt i at
opdaterer deres it-sikkerhed. Det er således helt oplagt at tænke i løsninger, der spiller sammen
med allerede implementerede sikkerhedsforanstaltninger.
Andre bemærkninger
Processen med persondataforordningen har medført en ny og anderledes samtale om persondata
i samfundet. Fra direktionslokalet til kakkelbordet, og det er grundlæggende sundt. Det aktuelle
lovforslag står i kontrast til dette, og ville efterlade tilsluttede virksomheder med et forklarings-
problem over for ansatte, kunder og samarbejdspartnere. Det kan i sidste ende få negative konse-
kvenser for den enkelte virksomheder, og for Danmark som land for investeringer og teknologiud-
vikling.
Dansk Erhverv mener den offentlige sektor - som landets ubetinget største dataansvarlige og den
dataansvarlige, der behandler flest personfølsomme og fortrolige personoplysninger - bør gå for-
rest og vise vejen for korrekt og etisk behandling af personoplysninger. Det gælder ikke mindst
Center for Cybersikkerhed.
It-kriminalitet er et globalt fænomen, som vi så det med angrebene, der forrige år hærgede lande
over hele verden, og som lagde tusindvis af it-systemer ned. Ingen enkeltaktør kan håndtere
denne udfordring alene - hverken nogen enkelt virksomhed eller nogen stat. Udfordringen kræver
derfor et samarbejde mellem offentlige og private spillere, og det kræver et internationalt samar-
bejde som i sidste ende globalt. Det var i det lys, at Dansk Erhverv bakkede op om en ”digital ge-
nevekonvention” (sommeren 2017), som oprindeligt foreslået af Brad Smith, president and chief
legal officer, Microsoft.
Der er behov for en vifte at indsatser, og det er afgørende at der sker som ligebyrdigt samspil mel-
lem offentlige og private spillere, og i et samarbejde hvor viden går begge veje. Der er andre må-
der at dele viden med CFCS end at give CFCS beføjelser til påbud og vidtrækkende dataadgang
med CFCS som den kontrollerende part. Dansk Erhverv mener, at Rådet for Digital Sikkerhed kan
spille en vigtig rolle som brobygger her, lige som Dansk Erhverv selvfølgelig selv står til rådighed
med vores dialog med erhvervslivet.
Med venlig hilsen
Janus Sandsgaard
Fagchef for it og digitalisering
Høringssvar fra DI til udkast til forslag til lov om ændring af lov om Center
for Cybersikkerhed (Initiativer til styrkelse af cybersikkerheden)
DI takker for muligheden for at afgive høringssvar samt for den hidtidige dialog om
lovforslaget i regi af forskellige myndighedsfora samt briefingen for høringsparterne om
lovforslaget i Forsvarsministeriet.
Forslag til lov om ændring af lov om Center for Cybersikkerhed har til formål at
tilvejebringe de retlige rammer for en styrkelse af Center for Cybersikkerheds muligheder
for at opdage og stoppe cyberangreb samt styrke centerets analytiske arbejde. Centerets
grundlæggende hjemmel til at udføre sine opgaver er således ikke berørt i lovforslaget.
Særligt i lyset af, at Danmark er et af verdens mest digitaliserede lande, og at Danmark
derfor også er særligt sårbart overfor konsekvenserne af succesfulde cyberangreb, støtter
DI til fulde regeringens ønsker om at styrke sikkerhedsniveauet i den danske digitale
infrastruktur og om at beskytte Danmark mod cyberangreb. DI værdsætter også
samarbejdet med myndighederne om sektorstrategier for en styrket cybersikkerhed i
samfundskritiske sektorer, hvor særligt virksomhederne i telesektoren er blevet
inddraget.
Vigtig balance mellem muligheder og begrænsninger
Det er fortsat forholdsvist nyt, at kriminalitet, chikane, svindel, spionage og sabotage
foretages i den digitale verden, og vi er som samfund og i internationale sammenhænge
fortsat i en proces, hvor midlerne til at dæmme op for angrebene og til at sikre, at der er
konsekvenser, når man vælger at angribe i den digitale verden fremfor den fysiske, ikke er
tilstrækkelige .
DI ser det som helt afgørende, at der i denne proces opretholdes den nødvendige balance
mellem muligheder og begrænsninger, og at lovforslagets nye initiativer om styrkelse af
Center for Cybersikkerheds kompetencer ikke sker på bekostning af retssikkerheden eller
forudsigeligheden i myndighedsudøvelsen.
Forsvarsministeriet
Holmens Kanal 9
1060 København K
Vedr. sagsnummer 2018/006599.
4. februar 2019
MORV
Det er med andre ord vigtigt ikke at tabe retssikkerheden af syne, blot fordi kamppladsen
er flyttet fra den fysiske til den digitale verden.
Tre hovedbudskaber fra DI
Der er særligt tre elementer i lovforslaget, der er vigtige for DI at kommentere på.
Det drejer sig om den nye mulighed for at påbyde virksomheder at tilsluttes
netsikkerhedstjenesten, udvidelsen af Center for Cybersikkerheds ydelser, der er i direkte
konkurrence med det private marked for it-sikkerhed samt sammenhængen med den
internationale udvikling.
De tre elementer uddybes i det følgende, men hovedbudskaberne fra DI er:
• DI støtter som udgangspunkt alene en frivillig tilslutning til Center for
Cybersikkerheds netsikkerhedstjeneste. Lovforslaget introducerer i § 3, stk. 4 dog
muligheden for, at Center for Cybersikkerhed gennem påbud kan tvinge myndigheder
og virksomheder af særlig samfundsvigtig karakter til i særlige tilfælde at blive
tilsluttet netsikkerhedstjenesten. Grundlæggende ser DI den foreslåede mulighed for
at udstede påbud om tilslutning til netsikkerhedstjenesten som problematisk både for
retssikkerhed og konkurrenceevne for virksomheder i Danmark samt for Danmarks
evne til at tiltrække og fastholde internationale virksomheder.
• Foruden den eksisterende monitorering via netsikkerhedstjenesten vil Center for
Cybersikkerhed med lovforslaget få udvidet sine ydelser væsentligt – også til områder
der ikke er isoleret til centerets øvrige fokus på de allermest avancerede
sikkerhedshændelser. Tilsluttede virksomheder vil få tilbudt nye ydelser i form af et
aktivt cyberforsvar og af forebyggende it-sikkerhedsydelser. DI stiller sig uforstående
overfor, at der skal anvendes offentlige ressourcer på gratis at tilbyde disse nye
forebyggende it-sikkerhedstekniske undersøgelser og ydelser i forbindelse med aktivt
cyberforsvar, som i forvejen tilbydes på det private marked. Det er DI’s opfattelse, at
disse nye gratis ydelser er i konkurrence med det private marked, og dermed er
konkurrenceforvridende. DI stiller sig gerne til rådighed for at komme mere
balancerede løsninger nærmere, der både tilgodeser høj informationssikkerhed i
samfundskritiske funktioner, it-sikkerhedsleverandører og beskyttelse af Center for
Cybersikkerheds efterretningsmæssige kilder.
• DI understreger vigtigheden af, at nationale initiativer som dette lovforslag (og
tilhørende initiativer, som udmøntes i forlængelse heraf) harmoniseres og spiller
sammen med internationale initiativer i regi af EU og i globale sammenhænge. Dette
bør afdækkes nærmere, og i lovforslaget understreges som en ledende faktor. Selv
mindre divergenser i forhold til internationale regler vil være byrdefulde for mange
virksomheder.
Generelle bemærkninger til lovforslaget
Som en generel kommentar til lovforslaget bemærker DI, at der mangler en præcis
definition af flere af lovforslagets grundlæggende begreber som ”samfundsvigtig”, ”særlig
samfundsvigtig karakter”, ”opdage, analysere eller som kan bidrage til at imødegå
sikkerhedshændelser” og ”understøtte et højt informationssikkerheds-niveau”/”
understøtte et højt informationssikkerhedsniveau i den digitale infrastruktur, som
samfundsvigtige funktioner er afhængige af”.
Den manglende definition og afgrænsning af disse grundlæggende begreber gør
lovforslaget unødigt upræcist og dets konsekvenser svært at konkretisere i en praktisk
virkelighed for virksomhederne. Det betyder også, at de kompetencer, som lovforslaget
giver Center for Cybersikkerhed, ligeledes mangler afgrænsninger. Dette skaber grundlag
for bekymring på tværs af DI’s medlemskreds.
Lovforslaget indeholder omfattende lovbemærkninger, hvilket DI opfatter positivt. For at
skabe størst mulig transparens og retssikkerhed, efterspørger DI dog, at lovforslagets
lovbemærkninger i højere grad bliver afspejlet direkte i lovteksten.
Lovforslaget giver adgang til data relateret til sikkerhedshændelser. I praksis vil disse data
ofte være ’blandet sammen’ med andre typer af data, som ikke er indenfor lovens formål.
Både af økonomiske som tekniske grunde kan det være uforholdsmæssigt svært eller
teknisk begrænset at udskille og afgrænse data, som lovforslagets giver adgang til.
Derved vil Center for Cybersikkerhed have adgang til eller modtage data, som rækker
udover lovens lex specialis-karakter. Dette betyder igen, at det ikke er muligt for disse
principielt utilsigtede data at opnå en undtagelse i forhold til andre love. Det vil i denne
sammenhæng særligt sige i forhold til GDPR. DI efterlyser derfor, at relationen til GDPR
som minimum bør uddybes.
I en international sammenhæng skal det bemærkes, at der rent formelt kan være
begrænsninger i Danmarks muligheder for national lovgivning, såfremt EU-retten på
området kan siges at have nået et niveau, der aktiverer det såkaldte pre-emption-princip
i EU-retten. I en sådan situation må Danmark afvente den igangsatte EU-lovgivning på
området. Foruden den uheldige juridiske situation, der kan opstå, skal det også
understreges, at der kan opstå et betydeligt spild af ressourcer i både myndigheder og
virksomheder, såfremt en dansk implementeret retsstilling efterfølgende må vige for EU-
praksis/lovgivning. DI efterspørger derfor, at pre-emptionaspekter i relation til EU bør
behandles i lovteksten og undersøges nærmere.
Udover en potentiel risiko for, at lovforslagets elementer kan være i konflikt med EU-
rettens pre-emptionsprincip, er der også andre grunde til, at DI opfordrer til, forslagets
elementer samt ikke mindst de processer og standarder, der udmøntes på
bekendtgørelsesniveau afklares i forhold cybertruslens internationale karakter.
Udover at truslen fra internationale aktører er åbenbar, som det også anerkendes i
lovforslaget, har mange danske virksomheder udbredte internationale aktiviteter, ligesom
udenlandske selskaber opererer i Danmark. Det er derfor essentielt, at danske initiativer
på cyber- og informationssikkerhedsområdet harmoniseres og spiller sammen med
relevante internationale krav og initiativer både på EU-niveau og globalt. Eksempelvis
findes der allerede i dag både sektorspecifikke initiativer (f.eks. på energiområdet) samt
mere tværsektorielle initiativer i regi af EU-kommissionen, ENISA og FN.
Nye muligheder for at dele viden om eksempelvis malware
Videndeling er et grundlæggende element, hvis et cyberforsvar skal kunne stå mål med
udviklingen i metoder og teknik, der ligger bag de løbende cyberangreb, og hvis
cyberangreb skal opdages hurtigt. Derfor bifalder DI, at der i § 16 gives hjemmel til at
videregive data om blandt andet malware til relevante modtagere.
Samtidig fjernes den uhensigtsmæssighed i den eksisterende lov, der fratog Center for
Cybersikkerhed muligheden for at videregive pakkedata til den myndighed eller
virksomhed, som data kommer fra i første omgang for at fastslå, hvorvidt data er ondartet
eller ej. Det hilser DI velkommen.
Man kunne dog godt have ønsket sig en mere pædagogisk fremstilling af de mange
muligheder for videregivelse af data, som der fremgår af de 38 linjers beskrivelse af de
forskellige muligheder i § 16. Eventuelt i form af et skema.
DI bemærker derudover, at det bør præciseres, i hvilket omfang og i hvilke situationer, at
Center for Cybersikkerhed må udlevere information og data til andre myndigheder. Dette
er særligt vigtigt, idet lovens forældelsesregler ikke videreføres for udleveret information,
der i stedet ’blot’ skal følge modtagne myndigheds forældelsesregler. Det er endvidere
vigtigt, idet der som nævnt indledningsvist kan være data, som er ’blandet sammen’ af
tekniske/økonomiske grunde, og som derfor er underlagt eksempelvis GDPR-reglerne
m.h.t. sletning m.v.
Ny adgang til stationære data
Center for Cybersikkerheds adgang til data hos tilsluttede myndigheder og virksomheder
udvides med lovforslaget fra alene at omhandle netværkstrafik i form af trafik- og
pakkedata til nu også at omfatte stationære data. Stationære data er f. eks. data, som
opbevares på servere, cloudtjenester, pc’ere, lagerenheder, netværksenheder, mobile
enheder og tilsvarende.
Det vil sige, at det er svært at forestille sig data, som ikke er indeholdt i enten trafikdata,
pakkedata eller stationære data, og at man ved tilslutning til Center for Cybersikkerheds
netværkstjeneste dermed giver ubegrænset adgang til alle myndighedens eller
virksomhedens data, så længe at adgangen kan siges at understøtte et højt
informationssikkerhedsniveau i den danske digitale infrastruktur, hvilket som tidligere
nævnt mangler en mere præcis definition og afgræsning.
Denne udvidelse af området, hvor der ikke længere kræves retskendelse, fra særlige
begrundede data til nu reelt alle data, virker retssikkerhedsmæssigt bekymrende. DI er af
den opfattelse, at adgangen til myndigheder og virksomheders data bør målrettes bedre i
lovforslaget, så der er en reel begrænsning i centerets adgang til virksomhedsdata og
personlige informationer til alene data, der mere præcist understøtter formålet med
Center for Cybersikkerheds virke. Som hjemlen for nuværende er formuleret, er der ikke
proportionalitet til stede mellem centerets adgang til alle data uden retskendelse og
beskyttelse af personlige informationer og kritiske forretningsoplysninger.
Hvis en tilsvarende hjemmel var blevet indført af en myndighed i et andet land, ville dette
have vakt bekymring for de danske virksomheder, der opererede i det pågældende land.
Det er samtidig uklart, hvorledes Center for Cybersikkerhed i praksis vil tilgå stationære
data. Det gælder f.eks. i forhold til at tilgå data i cloudtjenester – særligt i situationer, hvor
tjenesten er placeret udenfor Danmarks grænser.
Svækkelse af Tilsynet med Efterretningstjenesterne
DI finder det endvidere særligt bekymrende, at der i lovforslaget indføres en mulighed for,
at centeret kan vælge ikke at følge en henstilling i en udtalelse fra Tilsynet med
efterretningstjenesterne og lade det være op til forsvarsministeren – centerets egen
øverste chef – at afgøre sagen. Dette svækker tilsynets mandat og kontrol med Center for
Cybersikkerhed og i sidste ende retssikkerheden.1
Påbud om tilslutning til netsikkerhedstjenesten
DI støtter alene en frivillig tilslutning til Center for Cybersikkerheds
netsikkerhedstjeneste. Lovforslaget introducerer i § 3, stk. 4 dog muligheden for, at Center
for Cybersikkerhed gennem påbud kan tvinge myndigheder og virksomheder af særlig
samfundsvigtig karakter til i særlige tilfælde at blive tilsluttet netsikkerhedstjenesten.
Lovteksten kommer ikke en afgræsning nærmere af, hvilke virksomheder det kunne være
eller i hvilke situationer, at påbuddet vil blive anvendt. Lovbemærkningerne giver en
række brede og ikke-udtømmende karakteristika. Samlet set er det uklart, hvor bredt
virksomheder af særlig samfundsvigtig karakter kan forstås, og principielt er der heller
ikke en lovmæssig begrænsning på frekvensen af anvendelsen af påbuddet, og hvad der
skal forstås ved ”særlige tilfælde”.
Denne ikke-transparente risiko for tvangstilslutning til netsikkerhedstjenesten
kombineret med den beskrevne udvidede adgang til pakkedata, trafikdata og stationære
data uden retskendelse er en tilsidesættelse af Grundlovens § 72, der værner om
privatlivets fred og sætter grænserne for, hvilke indgreb offentlige myndigheder kan
tillade sig i folks privatliv uden retskendelse, der som udgangspunkt kun er mulig gennem
en særegen lovhjemmel.
Videreføres muligheden for at tvinge virksomheder til at tilslutte sig
netsikkerhedstjenesten i det endelige lovforslag, er der et stærkt behov for forudsigelighed
i de situationer, som kan føre til, at en virksomhed tvinges til at være tilsluttet
netsikkerhedstjenesten, som der ikke skabes med det nuværende lovforslag. Det gælder
både for forudsigelighed for virksomhederne selv, men i høj grad også for danske
virksomheders internationale samarbejdspartnere, hvis data ikke er undtaget Center for
Cybersikkerheds adgang, eller hvor Center for Cybersikkerhed får adgang til data relateret
til aktiviteter i andre EU-lande eller i tredjelande.
Muligheden for tvangstilslutning sammen med en manglende forudsigelig i den
henseende kan have anseelige konsekvenser for særligt virksomheder med internationale
1 Der kan findes inspiration til begrænsninger i masseovervågning hos andre lande, der opretholder
demokratiske hensyn i f.eks. publikationen ”Upping the Ante on Bulk Surveillance - An International
Compendium of Good Legal Safeguards and Oversight Innovations” af Thorsten Wetzling and Kilian Vieth
fra november 2018.
aktiviteter. Virksomhedernes bekymringer eller manglende mulighed for at forudsige,
hvorvidt de eller deres samarbejdspartnere risikerer at få et påbud om tilslutning til
netsikkerhedstjenesten kan føre til overvejelser om at flytte aktiviteterne væk fra
Danmark eller fravælge Danmark til placering af datacentre etc.
Grundlæggende ser DI derfor den foreslåede mulighed for at udstede påbud om tilslutning
til netsikkerhedstjenesten som problematisk både for danske virksomheders
retssikkerhed og konkurrenceevne samt for Danmarks evne til at tiltrække og fastholde
internationale virksomheder.
Omkostninger og økonomiske konsekvenser for virksomheder
Det fremgår af lovforslagets bemærkninger, at Center for Cybersikkerheds opgave først og
fremmest er at understøtte et højt sikkerhedsniveau i den digitale infrastruktur, som
samfundsvigtige funktioner er afhængige af. Center for Cybersikkerhed har derfor ikke
varetagelse af den enkelte virksomheds informationssikkerhed som sin opgave.
Virksomheders tilslutning til netsikkerhedstjenesten handler om at tilgodese et
samfundsmæssigt ønske og interesse i, at samfundskritiske funktioner opretholdes uanset
den voksende cybertrussel.
Der er derfor kun rimeligt, at omkostningerne til at understøtte denne samfundsinteresse
er offentligt finansieret og ikke finansieres af de virksomheder, der enten pålægges eller
mere eller mindre frivilligt indgår i arbejdet med at opretholde et højt beskyttelsesniveau
af samfundskritiske funktioner ved tilslutning til netsikkerhedstjenesten. En offentlig
finansiering af omkostningerne ved at være tilsluttet netsikkerhedstjenesten via
finansloven eller forsvarsforliget vil således afspejle, at hele samfundet har en interesse i,
at de pågældende funktioner ikke helt eller delvist rammes af nedbrud eller hackes.
Samtidig argumenteres der i lovforslagets bemærkninger for, at Center for
Cybersikkerheds ydelser ikke kan stå alene, men bygger ovenpå generelle it-
sikkerhedsmæssige foranstaltninger i virksomhederne.
Disse forhold ligger til grund for, at det fremgår af lovforslaget, at virksomheder fremover
ikke opkræves gebyr for tilslutning til netsikkerhedstjenesten.
Lovforslaget efterlader dog en række økonomiske uklarheder i relation til
virksomhedernes omkostninger som følge af lovforslaget.
Som situationen er aktuelt, skal virksomheder, der tilsluttes Center for Cybersikkerheds
netsikkerhedstjeneste, betale et årligt gebyr, som dækker centerets udgifter til tilslutning
og drift af den anvendte alarmenhed. Af lovforslagets bemærkninger fremgår det, at
gebyret har udgjort mellem 300.000 kr. og 400.000 kr. pr. probe afhængig af den valgte
alarmenhed. I lovforslaget er det imidlertid alene tilslutningen, som nu tilbydes uden
betaling.
Det er derfor uklart, hvorledes omkostningerne til driften håndteres, herunder om driften
skal finansieres af virksomhederne, ligesom størrelsen af sådanne omkostninger bør
konkretiseres. Dette efterlader en række uafklarede spørgsmål, særligt henset til, at der af
bemærkningerne fremgår, at virksomhederne alene forudsættes at få begrænsede udgifter
som led i et samarbejde med Center for Cybersikkerhed.
Idet der er tale om samfundsvigtige funktioner, er det er DI’s holdning, at samtlige af
virksomhedernes omkostninger til samarbejdet med Center for Cybersikkerhed – og ikke
alene selve tilslutningen til netsikkerhedstjenesten - bør afholdes for offentlige midler
henset til ovenstående argumentation for, at tilslutningen er i samfundets overordnede
interesse fremfor den enkelte virksomheds interesse.
Imødekommes dette ikke i det endelige lovforslag, er der et behov for at afklare mere
præcist, hvilke ressourcer/omkostninger der kan blive relevante for virksomhederne i
forbindelse med løbende drift samt i forbindelse med forebyggende
sikkerhedsundersøgelser. DI ønsker i forlængelse heraf ligeledes at få afklaret, om der i
relation til andre gældende regler indenfor opretholdelse af et højt
informationssikkerhedsniveau i de samfundskritiske sektorer er mulighed for
kompensation af dokumenterede meromkostninger som følge af samarbejdet med Center
for Cybersikkerhed – f. eks. i medfør af §25 og §28 i bekendtgørelse nr. 425 af 1. maj 2018
og af § 26, stk. 3, i bekendtgørelse nr. 969 af 27. juni 2018.
Forhindringer for udbredt frivillig tilslutning
I forlængelse af de nævnte uklarheder i lovforslaget – særligt i forhold til definitioner på
grundlæggende begreber i lovforslaget og til de økonomiske konsekvenser for
virksomhederne fremstår der yderligere uklarheder i forhold til samarbejde mellem den
enkelte virksomhed og netsikkerhedstjenesten, i forhold til relationen mellem lovforslaget
og eksisterende IT-sikkerhedstjenester, som virksomheder i de samfundskritiske sektorer
allerede og i stigende omfang er omfattet af, og endelig i forhold til Center for
Cybersikkerheds ansvar og erstatningsansvar. DI efterspørger afklaring og præcisering
heraf i lovforslaget.
Der er eksempelvis tale om følgende udeståender:
• Virksomheder, der varetager samfundskritiske sektorer kan være underlagt
regulering fra flere ministerier. Der mangler en præcisering af en helt klar
ansvarsfordeling mellem Center for Cybersikkerhed, virksomhederne og eventuelle
tilsynsmyndigheder – særligt i et operationelt henseende i tilfælde af et konkret
cyberangreb .
• Anvendelse af honeypots og tilknyttede teknikker kan også indebære en risiko for
virksomheden – f.eks. i form af sårbare systemer indenfor virksomhedens perimeter
eller provokation af angriberen. Der ønskes en præcisering af et eventuelt
erstatningsansvar, der påhviler Center for Cybersikkerhed som følge af en
virksomheds eventuelle forretningsmæssige tab i forlængelse af Center for
Cybersikkerheds anvendelse af honeypots og deceptionteknologier.
• Samtidig risikerer virksomheden, at Center for Cybersikkerheds aktiviteter kan have
konsekvenser for virksomhedens drift. Forsinkelse i datastrømme eller datapakker
kan f. eks forstyrre driften i samfundskritiske sektorer og i værste fald lede til
eksempelvis strømafbrydelser og skade på elanlæg. Der eksisterer også en risiko for
produktionstab, klagesager (herunder GDPR-sager) eller andre forretningsmæssige
tab. Ligesom anvendelse af honeypots og tilknyttede teknikker også kan indebære en
risiko for virksomheden – f.eks. i form af sårbare systemer indenfor virksomhedens
perimeter eller provokation af angriberen. Der mangler en præcisering af i hvilket
omfang Center for Cybersikkerhed yder support i sådanne situationer, samt af hvilket
erstatningsansvar, der påhviler Center for Cybersikkerhed.
• Hvordan vil Center for Cybersikkerhed helt konkret samarbejde og dele viden om
f.eks. aktiv monitering, blokering eller manipulering af datastrømme, alarmer fra
honey-pots med den konkrete virksomhed. Det gælder både i forhold til resultater af
handlingerne, men også løbende videndeling, så den konkrete virksomhed i videst
muligt omfang er inddraget i centerets aktiviteter hos virksomheden.
Samlet set gør en lang række uklarheder i lovforslaget det svært at gennemskue de
praktiske konsekvenser af lovforslaget. DI vurderer, at dette samtidig vil gøre det mindre
attraktiv for virksomhederne at tilslutte sig netsikkerhedstjenesten frivilligt.
Lovforslagets uklarheder vil naturligvis være yderligere problematiske, såfremt at
virksomheder vil kunne tvinges til at tilslutte sig netsikkerhedstjenesten.
Konkurrenceforvridende nye initiativer
Foruden den eksisterende monitorering via netsikkerhedstjenesten vil Center for
Cybersikkerhed med lovforslaget få udvidet sine ydelser væsentligt. Tilsluttede
virksomheder vil få tilbudt nye ydelser i form af et aktivt cyberforsvar og af forebyggende
it-sikkerhedsydelser. Samtlige af Center for Cybersikkerhedsydelser tilbydes på det
private marked.
Der er i lovforslaget taget stilling til konkurrencen mellem Center for Cybersikkerheds
ydelser og de ydelser, som tilbydes på det private marked. Lovforslagets argumentation
er, at ydelserne i lovforslaget ikke vil påvirke det private marked for it-sikkerhedsydelser
negativt, da den sikkerhedsløsning, som centeret stiller til rådighed med
netsikkerhedstjenesten, er efterretningsbaseret, og at kommercielle udbydere på
markedet ikke kan tilbyde en tilsvarende løsning.
Argumentationen er allerhøjest valid i forhold til monitorering via centerets
netsikkerhedstjeneste, som kan have indikatorer fremkommet gennem
efterretningsindhentning og/eller efterretningssamarbejde, der kan være – men ikke
nødvendigvis er det – ukendte for det private marked.
Monitorering af internettrafik for avancerede trusler, aktivt cyberforsvar som eksempelvis
blokering af phishingmail og forebyggende it-sikkerhedstekniske undersøgelser - som
eksempelvis simulerede hackerangreb - tilbydes i vidt omfang på det private marked, som
der i større grad bør samarbejdes med om aktivt cyberforsvar og forebyggende it-
sikkerhedstekniske undersøgelser fremfor at udvide Center for Cybersikkerheds ydelser.
DI stiller sig uforstående overfor, at der skal anvendes offentlige ressourcer på gratis at
tilbyde nye forebyggende it-sikkerhedstekniske undersøgelser og ydelser i forbindelse
med aktivt cyberforsvar, som i forvejen tilbydes på det private marked.
Det er DI’s opfattelse, at disse nye gratis ydelser er i konkurrence med det private marked,
og dermed er konkurrenceforvridende.
DI vil i stedet opfordre regeringen til at styrke samarbejdet med det private marked for it-
sikkerhedsydelser. Selv hvis regeringen fastholder, at Center for Cybersikkerheds
netsikkerhedstjeneste og dens monitorering efter avancerede trusler baseret på
efterretningsmateriale skal bestå, kan myndigheder og virksomheder få ydelser indenfor
aktivt cyberforsvar og forebyggende it-sikkerhedstekniske undersøgelser leveret af det
private marked i samarbejde med Center for Cybersikkerhed uden dermed at miste den
efterretningsmæssige viden.
Det er samtidig rimeligt at stille spørgsmålstegn ved, hvorvidt at Center for
Cybersikkerhed er i stand til at levere disse nye ydelser på samme eller et højere niveau,
end det private marked kan tilbyde. Den hidtidige ydelse har ikke været en succes ad
frivillighedens vej. Kun to virksomheder er aktuelt tilsluttet. Det kan både være kvaliteten
af ydelsen i forhold til prisen, men også bekymring over Center for Cybersikkerheds
adgang til virksomhedens data.
Generelt vil DI opfordre regeringen til at gentænke samarbejdet med det private marked
for it-sikkerhedsydelser. Både regeringen og DI har som målsætning, at dansk it-
sikkerhed skal styrkes, og at it-sikkerhed skal være et konkurrenceparameter for
virksomheder i Danmark. DI opfordrer i forlængelse heraf regeringen til at finde løsninger
på, hvordan Center for Cybersikkerheds særlige efterretningsmæssige
kompetencer/viden i større grad skal sættes i spil hos it-sikkerhedsleverandører i
Danmark, fremfor at Center for Cybersikkerhed bevæger sig ind på det private markeds
område. DI stiller sig gerne til rådighed for at komme sådanne løsninger nærmere og finde
en balance, der både tilgodeser høj informationssikkerhed i samfundskritiske funktioner,
it-sikkerhedsleverandører og beskyttelse af Center for Cybersikkerheds
efterretningsmæssige kilder. Man kan også forestille sig, at Center for Cybersikkerhed på
nogle områder kan stille minimumskrav til myndigheder og virksomheders it-sikkerhed,
som private leverandører kan bidrage til at opfylde, i stedet for at myndighederne og
virksomhederne tilsluttes netsikkerhedstjenesten.
DI er endelig også bekymret over, at Centeret for Cybersikkerheds nye ydelser, der tilmed
nu er gratis, vil få myndigheder og virksomheder, som vil modtage ydelserne, til at
nedprioritere øvrige it-sikkerhedsmæssige foranstaltninger. Dette uanset, at det fremgår
af lovforslagets bemærkninger, at centerets ydelser ikke vil kunne træde i stedet for
kommercielle produkter, men vil alene kunne udgøre et ekstra lag af sikkerhed.
Der er brug for en langt tydeligere afgrænsning af Center for Cybersikkerheds ydelser som
kun et ekstra lag af sikkerhed, der alene baserer sig på efterretningsmæssige kilder og ikke
tilbyder nogen former for it-sikkerhed, der kan tilbydes uden efterretningsmæssig viden.
Behovet eksisterer både for at afstemme forventningerne til samarbejdet med Center for
Cybersikkerhed og for at afgrænse udviklingen af centerets ydelser til ikke at være i
konkurrence med det private marked.
Med venlig hilsen
Morten Rosted Vang
Chefkonsulent
DI Digital
1
Forsvarsministeriet
Holmens Kanal 9
1060 København K
Til fmn@fmn.dk, tbl@fmn.dk og sbu@fmn.dk
Sagsnr.: 2018/006599
Den 1. februar 2019
Høringssvar om forslag til Lov om ændring af lov om Center for Cybersikkerhed
DANSK IT er enig i hensigten med loven; at øge robustheden i Danmark og den generelle beskyttelse. Der er
en alvorlig cybertrussel mod Danmark og danske interesser. Det er også nødvendige tilpasninger af
gældende lov om Center for Cybersikkerhed på baggrund af de opnåede erfaringer. Det giver f.eks. god
mening, at Center for Cybersikkerhed kan monitorere andet end netværkstrafik, da netværkstrafik i
stigende grad krypteres, og dermed vil netværkstrafikken skulle dekrypteres for, at man kan se, om der er
et match på en angrebssignatur. Det er en naturlig teknologisk udvikling også at kunne opdage angreb på
hosts.
Det er også forståeligt, at der skal være mulighed for at blokere, fjerne eller omdirigere skadelig trafik –
modsat i dag, hvor skadelig trafik blot detekteres og derefter videresendes til offeret. Endelig er det
hensigtsmæssigt, at CFCS har vurderet, at sikkerhedstekniske test (f.eks. såkaldte penetrationstests), som
udføres af en offentlig myndighed, vil fordre særskilt hjemmel til at behandle persondata, da disse som led i
sikkerhedstesten vil kunne blive behandlet af myndigheden.
Der er dog også i lovforslaget fremsat bekymrende og vidtrækkende ønsker til centerets fremtidige
muligheder.
Overordnet er det DANSK IT’s holdning, at:
• Indgreb i grundlæggende rettigheder og frihedsrettigheder i loven skal begrænses til det strengt
nødvendige.
• Folketinget bør ikke vedtage en lov med så brede og generelle formuleringer, at en myndighed får ret
til at gribe ind i grundlæggende rettigheder uden forudgående effektiv kontrol.
• Loven skal opstille de præcise krav til et påbud, herunder udstrækning af påbuddet og hvem påbuddet
præcis retter sig til.
• Loven skal – som minimum – give mulighed for efterfølgende domstolsprøvelse af de tvangsindgreb,
der foretages, så det er muligt efterfølgende at få en effektiv vurdering af, om betingelserne for
indgrebet er/var opfyldt.
Ønsket om at CFCS kan påbyde virksomheder at blive tilsluttet netsikkerhedstjenesten, er i den foreslåede
ordning mere vidtgående og vidtrækkende end nødvendigt.
For det første vil et påbud alene være omfattet af almindelig rekursadgang. Det er der altså
ministerområdet selv, som vurderer og beslutter, om en virksomhed eller myndighed skal tvangstilsluttes
netsikkerhedstjenesten og dermed give indsigt i al kommunikation i virksomheden eller myndigheden. Ved
et så vidtgående indgreb bør CFCS’ vurdering af behov og nødvendighed suppleres med en vurdering eller
som minimum rapportering til en uafhængig part.
CFCS vurderer selv, at domstolsprøvning ikke er egnet til honeypots mv., da CFCS alene vil kunne henvise til
en generel trussel. Men i tilfælde af tvangstilslutning til netsikkerhedstjenesten bør CFCS kunne henvise til
2
en konkret trussel og konkret information, som muliggør domstolsprøvelse fremfor et administrativt
påbud. Alternativt - og som absolut minimum – bør CFCS pålægges at udarbejde en rapport om
tvangsindgrebet, som forlægges Tilsynet med Efterretningstjenester til godkendelse.
For det andet er der ingen bagkant på tvangsindgrebet. Når CFCS har udsendt et påbud, gælder det i
princippet på ubestemt tid. Der er intet krav i loven om, at påbuddet skal genovervejes efter en periode på
f.eks. 30 dage. Som loven er formuleret, vil en virksomhed eller myndighed kunne være tvangstilsluttet i
årevis uden genovervejelse fra CFCS’ side.
For det tredje bør loven forholde sig til, hvorledes en virksomhed skal opfylde et påbud uden at bryde f.eks.
aftalte hemmeligholdelsesforpligtelser eller udlevering til oplysning om konfiguration og drift, som
virksomheden ikke råder over, da disse i vist omfang tilhører en leverandør.
Når CFCS vil anvende host-agenter, bør det det i loven eller som minimum i en bekendtgørelse tydeliggøres,
hvordan f.eks. anvendelse af privatejede enheder håndteres, hvem der installerer, og hvem der
afinstallerer sikkerhedssoftware, samt hvilke test CFCS skal foretage, inden sikkerhedssoftware udrulles for
på den måde at sikre, at det ikke påvirker virksomhedens drift negativt.
Lovforslaget har i sage s atur fokus på CFCS’ ø sker og ehov. Det ge tages flere steder i lovforslaget, at
centeret har en åben og udadvendt profil, men der er ingen steder nævnt en forpligtelse for centeret til at
øge informationsdelingen til private sikkerhedsfirmaer, DCIS’er eller lig e de som følge af den yderligere
information, centeret får adgang til.
Det fremgår flere steder i lovforslaget, at de nye tiltag ikke påvirker det private marked for
sikkerhedsydelser negativt ed he vis i g til, at CFCS’ løs i ger aserer sig på efterret i gs aseret vide .
Det fremgår f.eks. i forbindelse med gebyrfritagelsen ved tilslutning til centeret.
Her må nødvendigvis følge, at netsikkerhedstjenesten alene har fokus på angreb fra andre stater, og at man
alene udnytter de tekniske kapaciteter til at opdage og imødegå (med aktivt cyberforsvar) angreb fra andre
stater. Hvis de tekniske kapaciteter også forventes anvendt til at stoppe cyberkriminelle og forhindre f.eks.
ransomware, må det alt andet lige forventes at påvirke det private marked for it-sikkerhedsydelser
negativt.
Det virker utænkeligt, at CFCS (som har til opgave at opdage, analysere og bidrage til at imødegå
sikkerhedshændelser, herunder avancerede cyberangreb) ved udnyttelse af muligheden for aktivt
cyberforsvar bevidst vil undlade - eller afskrive sig muligheden for - at blokere for kendte trusler i form af
f.eks. ransomware, hvis én af centerets kunder formodes at være ramt. På den baggrund er det næppe en
retvisende fremstilling, når der i bemærkningerne til lovforslaget står, at det ikke negativt påvirker det
private marked for sikkerhedsydelser.
Yderligere bemærkninger
DANSK IT har desuden følgende holdninger og anbefalinger til lovforslagets enkelte bestemmelser:
Til den foreslåede § 3 har DANSK IT følgende bemærkninger:
DANSK IT anbefaler, at de helt centrale begreber, der tillader CFCS at påbyde virksomheder, regioner og
kommuner at blive tilsluttet, defineres klart, herunder at det tydeliggøres i loven, præcis hvilke dele af de
pågældende virksomheders eller regioner/kommuners aktiviteter, der må anses for at være af
sa fu dsvigtig og særlig sa fu dsvigtig karakter . Dette er ikke mindst vigtigt i lyset af, at
3
forsvarsministeren til Politiken i maj 2018 udtalte, at et y era gre på e ko u e er ikke oget, der vil
lamme samfundet.
Der kan således efter DANSK IT’s opfattelse være behov for i lovteksten at få præciseret, hvor grænserne
går for, at noget kan anses for at være af samfundsvigtig og særlig samfundsvigtig karakter. Dette skal ses i
lyset af, at formålet med et eventuelt påbud er at understøtte et højt informationssikkerhedsniveau i
samfundet generelt. Det bemærkes herunder, at der af lovens bemærkninger side 15 fremgår, at der er tale
om en lille kreds af virksomheder og myndigheder, der er særligt samfundsvigtige, og at der på side 51 står,
at begrebet samfundsvigtig karakter vil imidlertid også omfatte virksomheder, som ikke i sig selv er
sa fu dsvigtige .
Med den uklarhed, der er omkring begrebet samfundsvigtig i lovforslaget, vil eksempelvis en
medievirksomhed kunne påbydes tilslutning. Det virker ikke proportionalt eller hensigtsmæssigt.
Loven bør udtrykkeligt og meget præcis forholde sig til, hvornår en tilsluttet virksomhed kan få oplyst, at
den pågældende har været udsat for et persondatasikkerhedsbrud, så virksomheden kan håndtere de
forpligtigelser, den har til anmeldelse til Datatilsynet og orientering af de registrerede.
Loven bør således klart angive, at hvis en virksomhed af CFCS er anmodet om at afvente med at anmelde et
sikkerhedsbrud/orientere de registrerede, så skal det altid af Datatilsynet anses for en rimelig begrundelse
for, at fristen på 72 timer ikke er overholdt. Ligeledes skal det anses som en lovlig forsinkelse, fsva.
databehandlere, der af CFCS er blevet anmodet om at afvente med at orientere den dataansvarlige.
DANSK IT anbefaler også, at loven indeholder nogle klare retningslinjer for, hvordan CFCS skal vægte
hensyn til opretholdelse af et højt informationssikkerhedsniveau over hensynet til den registreredes
rettigheder, så det bliver tydeliggjort, hvornår CFCS kan anmode en virksomhed om ikke at anmelde et
persondatasikkerhedsbrud, samt at afvente med at foretage foranstaltninger for at håndtere bruddet på
persondatasikkerheden, således at retsusikkerhed undgås.
Til den foreslåede § 5 har DANSK IT følgende bemærkninger:
Uanset at der er tale om en videreførelse af gældende ret, så mener DANSK IT, at der er behov for at
tydeliggøre reglerne, og henviser i øvrigt til forholdet til databeskyttelsesforordningen og reglerne om
videregivelse og behandling til andre formål end de oprindelige.
Til den foreslåede § 6, stk. 2, har DANSK IT følgende bemærkninger:
Det bør efter DANSK IT’s opfattelse i den foreslåede § 6, stk. 2, sidste punktum, præciseres i selve
lovteksten, at sletningen sker efter aftale med myndigheden/virksomheden. Det bør endvidere anføres, at
sletningen af personoplysninger, som er inficeret, kun bør ske, hvis det er strengt nødvendigt for at
opretholde et højt sikkerhedsniveau. Sletning af personoplysning kan udgøre et persondatasikkerhedsbrud,
særligt hvis der er tale om en permanent sletning af personoplysninger, der ikke findes andre
steder/umiddelbart lader sig genskabe.
Også her anbefaler DANSK IT, at lovgiver forholder sig til reguleringen i databeskyttelsesforordningen,
særligt reguleringen af forhold til anmeldelsespligten, underretningen af den registrerede, og hvem der
eventuelt skal bære udgifterne til genskabelse af personoplysninger.
Til den foreslåede § 6 a har DANSK IT følgende bemærkninger:
Det fremgår af bemærkningernes side 23 nederst - side 24 øverst, at CFCS ikke vil kunne opbevare
følsomme personoplysninger. Dette bør præciseres i loven, da CFCS i medfør af lovens § 11 har hjemmel til
4
at indsamle og behandle følsomme oplysninger, der er blevet offentliggjort af den pågældende, eller
såfremt behandlingen er omfattet af kapital 4, hvor § 6, a er foreslået placeret.
Til den foreslåede § 6 c har DANSK IT følgende bemærkninger:
DANSK IT anbefaler, at egre et offe tlige tilgæ gelige i § 6 , stk. 2, æ dres til forudsat de er ledige da
dette efter DANSK IT’s opfattelse er en mere retvisende betegnelse for, at et domæne, IP-adresse eller e-
mail ikke er ejet af nogen, men kan erhverves og anvendes af CFCS.
DANSK IT anbefaler også, at lovforslagets bemærkninger (side 64) gøres til en del af lovteksten, således at
CFCS får pligt til at rette henvendelse til ejeren af de pågældende data, hvis det er umiddelbart muligt, og
uden yderligere indsats, at identificere ejeren. DANSK IT forudsætter, at loven som anført andetsteds
indeholder en regulering af, hvorledes ejeren så skal forholde sig til anmeldelse af det brud på
persondatasikkerheden, der så må være tale om.
Til den foreslåede § 7 har DANSK IT følgende bemærkninger:
DANSK IT anbefaler, at der i § 7 c gives mulighed for, at forsvarsadvokaten kan give møde sammen med en
kyndig i it, da det ellers vil være meget vanskeligt for forsvarsadvokaten at udtale sig om den af CFCS
foretagne proportionalitetsvurdering. DANSK IT bemærker i den forbindelse, at det kunne være
hensigtsmæssigt, hvis det i § 7, stk. 3, blev præciseret, at ulempen skal vurderes i forhold til både
indehaveren og brugeren af IP-adressen.
Til den foreslåede 8, stk. 2 nr. 1. har DANSK IT følgende bemærkninger:
DANSK IT anbefaler, jf. det tidligere anførte, at der direkte i lovteksten tages stilling til, hvordan forholdene
til databeskyttelsesforordningen skal reguleres, særligt i forhold til opfyldelse af et påbud.
Yderligere information:
DANSK IT - Bredgade 25 A - 1260 København K
Tlf: 33 11 15 60 - Email: ks@dit.dk - web: www.dit.dk
1/2
02. februar 2019
Til Forsvarsministeriet
Sendt pr. mail til fmn@fmn.dk
med kopi til tbl@fmn.dk og sbu@fmn.dk
Dansk Journalistforbunds høringssvar vedrørende udkast til forslag
til lov om ændring af lov om Center for Cybersikkerhed (Initiativer til
styrkelse af cybersikkerheden), sagsnummer 2018/006599
Dansk Journalistforbund, DJ, skal hermed fremkomme med sit høringssvar
vedrørende ovennævnte udkast til forslag til lov.
DJ manglede på høringslisten:
Indledningsvist skal DJ bemærke sin kritik af, at hverken Dansk Journalistforbund eller
eksempelvis brancheorganisationen Danske Medier, DR eller TV2 optræder på Forsvars-
ministeriets høringsliste vedrørende et udkast til et lovforslag, som potentielt kan have en
overordentligt indgribende betydning for journalisters og mediers arbejdsforhold.
Generelt om cybersikkerhed:
Fra DJ’s side har vi forståelse for forsvarsministerens og andre politikeres ønske om og
behovet for en betydeligt øget indsats for at øge cybersikkerheden.
Der er ingen tvivl om, at de ting, der – tilsyneladende, i hvert fald – skete omkring valgene
i blandt andet USA, Frankrig, Tyskland og Sverige har været en øjenåbner.
Nej, vi må ikke være naive. Men der er på den anden side også nogle meget væsentlige,
demokratiske principper, som vi ikke må give fuldkommen køb på.
Allerede på det generelle plan er det DJ’s opfattelse, at det foreliggende lovudkast
går alt for vidt i sit indgreb.
DJ mener, at inden politikerne griber til en så detaljeret overvågning af al trafik i og
omkring en lang række myndigheder og virksomheder, som lovudkastet giver
mulighed for, så bør man grundigt overveje en række øvrige midler til at under-
støtte forsvaret af de væsentligste samfundsinstitutioner mod cyberangreb.
Eksempelvis bør man prioritere at oplære befolkningen i at kunne kende forskel på fakta
og fake på de sociale medier. Det teknologiske forsvar skal styrkes. Men det er mindst
lige så vigtigt, at befolkningens generelle evner til at kunne vurdere, om man er i gang
med at blive spundet en løgn på ærmet, bliver styrket.
Konkret om medierne:
Lovudkastet er heller ikke acceptabelt, når vi vurderer de konkrete dele af
lovudkastet, som vedrører medierne.
2/2
Medier og kommunikation nævnes direkte som et område for netsikkerhedstjenestens
virke. Lovudkastet giver potentielt mulighed for, at efterretningstjenesten kan overvåge al
kommunikation til og fra og i en medievirksomhed. Om nødvendigt med tvang.
Det er helt uacceptabelt. For dermed er man i lovudkastet langt inde og berøre
nogle af de væsentligste forudsætninger for at kunne bedrive den uafhængige
journalistik og medievirksomhed, som er definerende for et demokratisk samfund.
Man antaster mediernes uafhængighed i almindelighed og i særdeleshed mulig-
heden for, at medierne og den enkelte journalist skal kunne beskytte sine kilder.
Det er i den forbindelse kritisabelt, at man i bemærkningerne til lovudkastet ikke i det
mindste gør sig nogle overvejelser om disse principielle forhold.
Samtidigt argumenterer man med, at der ikke bliver en tvangsmæssig overvågning,
hvis virksomhederne, herunder medievirksomhederne, frivilligt går med til det.
Jo, men det er vel stadigvæk overvågning, selv om det er frivillig overvågning.
Konkret om mediernes muligheder for kildebeskyttelse:
Hvis der fra Forsvarsministeriets side ikke er forståelse for de ovennævnte principielle
betragtninger om mediernes uafhængighed og muligheden for at kunne beskytte sine
kilders identitet, så vil vi fra DJ’s side understrege følgende:
DJ opfordrer til, at mediernes og journalisternes mulighed for at kunne beskytte
sine kilders identitet eksplicit sikres i forbindelse med en justering af det
foreliggende udkast til lovforslag
Det kan eksempelvis ske ved, at der indsættes en direkte henvisning til retsplejelovens
§ 172 om kildebeskyttelse.
Hvis dette høringssvar giver anledning til yderligere spørgsmål eller kommentarer, står DJ
gerne til rådighed, mail DJ@journalistforbundet.dk.
Venlig hilsen
Hans Jørgen Dybro
politisk konsulent
dybjournalistforbundet.dk
Høringssvar
Høring over udkast til Lov om ændring af lov om Center for Cybersikkerhed
Lægeforeningen ser risiko for
- at fortroligheden mellem læge og patient bliver kompromitte-
ret, når en større personkreds får adgang til personfølsomme
helbredsdata, og
- at nogle patienters behandling som minimum bliver besvær-
liggjort, pga. risikoen for at personfølsomme journaloplysnin-
ger slettes
Endvidere mener Lægeforeningen, at lovforslaget i højere grad skal
sikre, at personfølsomme helbredsoplysninger ikke deles blandt per-
soner, der ikke har patienterne i aktuel behandling.
Lægeforeningen er blevet opmærksom på høring om ændring af lov om Cen-
ter for Cybersikkerhed. Lægeforeningen er ikke høringspart, men afgiver
hermed høringssvar.
Det skyldes ifølge lovudkastet, at kommuner, regioner og virksomheder der
har ”samfundsvigtig karakter” kan blive anmodet om at blive tilsluttet net-
sikkerhedstjenesten – og at man også kan få påbud om at blive tilsluttet.
Da sundhedssektoren er udpeget som en samfundskritisk sektor1
forventer
Lægeforeningen, at loven kan komme til at berøre medlemmer af Lægefor-
eningen direkte eller indirekte.
Lægeforeningen deler lovforslagets overordnede målsætning om at styrke
cybersikkerheden i vores samfund. Men vi har følgende punkter, der har be-
tydning for medlemmerne:
1) Udvidelse af personkredsen, der får adgang til journaldata
Lovudkastet vedrører indhentning og opbevaring af stationære data. I
sundhedsvæsenet er en stor del af de stationære data personfølsomme.
Det er sundhedsloven, der bl.a. regulerer, hvem der i dag har adgang til
patientfølsomme helbredsoplysninger til andre formål end behandling.
Lægeforeningen mener, at lovændringen medfører en væsentlig udvi-
delse af personkredsen, der kan få adgang til journaldata. Det medfører
en risiko for, at tilliden og fortrolighedsforholdet mellem læge og patient
kompromitteres. Vi mener derfor, at lovforslaget i højere grad skal
sikre, at personfølsomme helbredsoplysninger ikke deles blandt perso-
ner, der ikke har patienterne i aktuel behandling.
1
Strategi 2019- 2022: En styrket, fælles indsats for cyber- og informationssikkerhed,
Politisk Cyberforum for sundhedssektoren.
Formanden
30. januar 2019
Sagsnr: 2019 - 513/1675891
Domus Medica
Kristianiagade 12
2100 København Ø
Tlf.: 35448500
Tlf.: 35448141 (direkte)
E-post: dadl@dadl.dk
E-post: llg@DADL.DK
www.laeger.dk
Side 2/2
2) Sletning af stationære data
Lovudkastet indeholder i §6 en mulighed for, at Center for Cybersikker-
hed, kan slette stationære data. Lægeforeningen pointerer, at sletning
af journaldata vil være meget ødelæggende for patientbehandlingen og
foreslår, at det fremgår af loven, at sletning kun bør forekomme i yder-
ste nødstilfælde.
Lægeforeningen er opmærksom på lovbemærkningerne side 17 om, at
det er frivilligt at tilslutte sig det aktive cyberforsvar.
Lægeforeningen mener endvidere, at der er risiko for, at sundhedsvæ-
senets aktører ikke vil tilslutte sig det aktive cyberforsvar, hvis deres
indtryk er, at der er høj risiko for, at journaldata slettes.
3) Meromkostninger for læger i almen praksis og speciallægepraksis
I det omfang de virksomheder, der leverer lægesystemer, som prakti-
serende læger og praktiserende speciallæger anvender, bliver anmodet
eller pålagt at blive tilsluttet netsikkerhedstjenesten, gør vi opmærksom
på, at det, hvis det påfører leverandørerne et øget tidsforbrug eller lig-
nende, kan medføre meromkostninger for almen praktiserende læger
og praktiserende speciallæger gennem højere priser til leverandørerne.
Med venlig hilsen
Andreas Rudkjøbing
4. februar 2019
Sag 19-01326
Side 1/2
DM Aarhus · Åboulevarden 23 · 2. sal, 8000 Aarhus C · Telefon +45 38 15 66 00 · www.dm.dk
Forsvarsministeriet
Holmens Kanal 42
1060 København K
Danmark
E-mail: fmn@fmn.dk. Kopi til tbl@fmn.dk og sbu@fmn.dk
Dansk Magisterforenings høringssvar til Lov om ændring af lov om Center for Cybersikkerhed
Dansk Magisterforening (DM) afgiver hermed høringssvar til ændring af Lov om Center for Cybersikkerhed
(CFCS).
DM deler lovforslagets overordnede målsætning om at styrke indsatsen for større cybersikkerhed i
samfundet. Men vi er meget bekymrede over, at lovforslaget lægger op til at give CFCS adgang til at
iværksætte forebyggelsesaktiviteter rettet mod udvalgte medarbejdere uden en retskendelse.
I forhold til det konkrete forslag har DM valgt at fokusere på den del af udkastet, der omhandler
forebyggelsesaktiviteter rettet mod udvalgte medarbejdere eller enheder.
Vedr. forebyggelsesaktiviteter rettet mod udvalgte medarbejdere eller enheder
Af lovforslaget fremgår det, at CFCS i forbindelse med en sikkerhedsteknisk undersøgelse, kan anvende
social engineering i form af f.eks. spear-phishing, hvor der målrettes et simuleret angreb mod udvalgte
medarbejdere.
DM finder det dybt problematisk, at CFCS, efter aftale med virksomhedens ledelse, får adgang til at lægge
fælder ud for udvalgte medarbejdere, uden en retskendelse eller en konkret mistanke om en
sikkerhedshændelse.
Det fremgår ligeledes af lovforslaget, at medarbejderne først orienteres efter den sikkerhedstekniske
undersøgelse er afsluttet. Det er i det hele bekymrende, at en myndighed får mulighed for at narre bestemte
medarbejdere til uforvarende at bryde virksomhedens eller myndighedens retningslinjer.
DM finder ikke, at der er proportionalitet mellem forslagets formål og de konsekvenser, herunder
ansættelsesretlige konsekvenser for medarbejderen, som dette kan få. DM mener derfor, at:
 Det skal præciseres og afgrænses præcist hvornår og med hvilke midler CFCS har adgang til at
iværksætte yderligere forebyggelsesaktiviteter rettet mod medarbejdere.
 Virksomheder og myndigheder skal pålægges en orienteringspligt om, at der iværksættes
kontrolforanstaltninger, som der kun må ses bort fra, hvis CFCS har en konkret og begrundet
mistanke.
Side 2/2
Såfremt der måtte være spørgsmål eller kommentarer til vores bemærkninger ovenfor, er I velkommen til at
kontakte undertegnede.
Venlig hilsen
Camilla Gregersen
Formand
cg@dm.dk
Forsvarsministeriet
Holmens Kanal 9
1060 København K
30. januar 2019
Høringssvar vedr. udkast til forslag til lov om ændring af lov om
Center for Cybersikkerhed – sagsnummer 2018/006599
Danske Medier ønsker hermed at fremkomme med bemærkninger til Forsvarsministeriets
høring over det ovenfor nævnte lovudkast.
Indledningsvist bemærkes, at Danske Medier som præmis for lovudkastet anerkender, at der
er en høj cybertrussel mod Danmark, og at trusselsbilledet til stadighed forandres. Derfor har
foreningen heller ikke bemærkninger til det overordnede behov for at justere lovgrundlaget
for Center for Cybersikkerhed (CFCS) under Forsvarets Efterretningstjeneste.
Danske Medier finder imidlertid anledning til at kommentere enkelte elementer i forslaget,
herunder navnlig udformningen af den nye § 3 om CFCS’ netsikkerhedstjeneste.
Ad § 3
Det er magtpåliggende for Danske Medier, at private medievirksomheder i Danmark ikke
under nogen omstændigheder kan tvinges til at underlægge sig et system under en
efterretningstjeneste, hvorved man – uden retskendelse – kan behandle virksomhedernes
data, herunder indholdet af den kommunikation, der transmitteres.
En sådan ordning vil bringe mediernes muligheder for at producere fri og uafhængig
journalistik i fare og være ødelæggende for omverdenens tillid til, at medierne er i stand til at
beskytte deres kilder. Dette vil samtidig være i strid med artikel 10 i Den Europæiske
Menneskerettighedskonvention. Der henvises i øvrigt til Europarådets Parlamentariske
Forsamlings rekommandation 1950 (2011) om beskyttelsen af journalisters kilder, der i
punkt 12 direkte adresserer offentlige myndigheders indgreb i journalisters korrespondance
m.v. Derfor er foreningen selvsagt meget optaget af, hvilke virksomheder, der efter
lovudkastet kan blive tilsluttet CFCS’ netsikkerhedstjeneste og under hvilke betingelser.
Danske Medier konstaterer, at lovudkastets § 3, stk. 3, muliggør, at virksomheder, der har
”samfundsvigtig karakter” – ligesom efter den gældende CFCS-lov – efter anmodning kan
blive tilsluttet netsikkerhedstjenesten. Foreningen har ikke indvendinger mod denne
mulighed for virksomheder, selvom den ifølge bemærkningerne til lovforslagets enkelte
bestemmelser omfatter medier. Det fremgår således, at der ved samfundsvigtige funktioner
Side 2 af 2
forstås ”funktioner, som er særligt vigtige for samfundets og demokratiets opretholdelse og
sikkerhed samt borgernes tryghed”, herunder blandt andet medier.
Danske Medier noterer, at der i tillæg til muligheden for virksomheder for frivillig tilslutning
til netsikkerhedstjenesten i § 3, stk. 3, endvidere ønskes indført en mulighed for, at CFCS kan
påbyde virksomheder, der har ”særligt samfundsvigtig karakter”, at blive tilsluttet
netsikkerhedstjenesten, jf. § 3, stk. 4. Foreningen finder det meget vidtgående og principielt
stærkt betænkeligt, at der ved lov indføres en mulighed for tvangsovervågning af private
virksomheder. Danske Medier konstaterer i øvrigt, at de i lovbemærkningerne nævnte
kriterier for, hvornår en virksomhed kan anses for at have særligt samfundsvigtig karakter,
ikke umiddelbart omfatter virksomheder, der udgiver massemedier. Foreninger finder
imidlertid, at det bør fremhæves explicit i bemærkningerne, at bestemmelsen ikke kan
anvendes på virksomheder, hvis hovedformål er at udgive massemedier omfattet af
medieansvarslovens § 1.
Ad kapitel 4
Danske Medier mener, at der i tillæg til den oven for foreslåede udelukkelse af at anvende § 3,
stk. 4, på medievirksomheder bør indsættes en reference i kapitel 4 til retsplejelovens §§ 169-
172 om vidnefritagelse m.v. Det bør således tydeliggøres, at CFCS ikke kan behandle data fra
virksomheder, der er tilsluttet netsikkerhedstjenesten, hvis der derved vil fremkomme
oplysninger om forhold, som ikke kan gøres til genstand for vidneforklaring i retten.
Det bemærkes, at lovudkastets forslag til kapitel 4 a om edition i § 7, stk. 2, netop indeholder
en reference til retsplejelovens §§ 169-172.
Danske Medier står naturligvis til rådighed, såfremt ovenstående bemærkninger ønskes
uddybet. Henvendelser herom kan rettes til chefjurist Holger Rosendal på telefon 3397 4000
eller email hrd@danskemedier.dk.
Med venlig hilsen
Danske Medier
Morten Langager
Adm. direktør
1 / 3
Forsvarsministeriet
Att.: Chefkonsulent Stine Østergren
Holmens Kanal 9
1060 København K
(Sendt via e-mail)
Høringssvar vedr. udkast til forslag til lov om ændring af lov om
Center for Cybersikkerhed
Der henvises til høringsbrev af 7. januar 2019 vedr. udkast til forslag om
ændring af lov om Center for Cybersikkerhed (Initiativer til styrkelse af
cybersikkerheden), sagsnummer: 2018/006599.
Vi noterer os, at der med lovforslaget foreslås, at bl.a. virksomheder, der
har samfundsvigtig karakter, kan anmode om at blive tilsluttet
netsikkerhedstjenesten hos Center for Cybersikkerhed (CFCS), jf. § 3,
stk. 3. I den forbindelse finder vi det positivt, at der fremover ikke vil blive
opkrævet et tilslutningsgebyr. Vi er af den opfattelse, at afskaffelsen af
tilslutningsgebyret vil kunne være med til at øge antallet af virksomheder,
som ønsker at blive tilsluttet CFCS’s netsikkerhedstjeneste. Det skal dog
bemærkes, at der fortsat kan være væsentlige omkostninger forbundet
ved at tilslutte sig netsikkerhedstjenesten.
Vi finder, at det er meget væsentligt, at virksomhedernes evt. tilslutning
til netsikkerhedstjenesten sker ad frivillighedens vej, og i en åben dialog
mellem virksomheden og CFCS. En tilslutning til netsikkerhedstjenesten
skal være til fælles gavn for virksomhedens cyberbeskyttelse og CFCS’s
opgavevaretagelse. Derfor finder vi det stærkt bekymrende, at der med
lovforslagets § 3, stk. 4 gives hjemmel til CFCS at kunne påbyde
virksomheder, at blive tilsluttet netsikkerhedstjenesten, såfremt en
virksomhed ikke selv ønsker at blive tilsluttet netsikkerhedstjenesten.
Denne mulighed finder vi både ubegrundet og uproportional. Efter vores
opfattelse, er muligheden for et påbud meget problematisk, da det vil
tvinge private virksomheder til at dele kundefølsomme data og
informationer med CFCS. Det er vores bekymring, at dette kan medføre,
4. februar 2019
Sagsnummer:
EMN-2016-00289
2 / 3
at kunderne finder andre tjenesteudbydere, hvor kunderne fuldt ud kan
sikre sig, at deres data og indsigt i deres processer holdes fortrolige og
ikke deles med tredjepart. Det er umiddelbart vores vurdering, at
fjernelsen af tilslutningsgebyret i sig selv vil være tilstrækkeligt til i
nødvendigt omfang at sikre tilslutning til CFCS’ netsikkerhedstjeneste –
og derfor er muligheden for et påbud ikke nødvendigt og bør ikke indgå i
den reviderede lov om Center for Cybersikkerhed.
Såfremt den rapport om erfaringer med den nye lovgivning, som skal
oversendes til Folketinget tre år efter lovens ikrafttræden, jf. side 9 i
udkastet konkret efterfølgende måtte begrunde et sådant behov, vil det
på dette tidspunkt kunne overvejes gennemført ved en senere
lovændring.
Skulle der med lovforslag forsat blive givet CFCS mulighed for at komme
med påbud om tilslutning til netsikkerhedstjenesten, er det vores
opfattelse at dette skal begrænses til offentlige myndigheder.
Det er yderligere vores vurdering, at enhver form for tilslutning til
netsikkerhedstjenesten kan have en finansiel indvirkning i forbindelse
med opsætningen og driften af hardware og software. I forslaget hedder
det, at de nærmere regler kan fastsættes af ministeriet (jf. § 3, stk. 5).
Særlig ved et evt. påbud bør der være mulighed for en kollektiv/national
finansiering i stedet for at kunne pålægge virksomhederne disse afledte
ekstraomkostninger, som der lægges op til, jf. bemærkningerne i
forslaget nedrest side 43.
Såfremt den nye lovgivning kommer til at indeholde en påbudsmulighed,
har vi noteret os, at der i lovforslaget gøres opmærksom på, at påbuddet
om tilslutning til netsikkerhedstjenesten udelukkende vil kunne meddeles
virksomheder, som har særlig samfundsvigtig karakter og væsentlig
betydning for Danmarks kritiske infrastruktur. I den forbindelse henvises
der til Europa-Parlamentets og Rådets direktiv 2016/1148/EU af 6. juli
2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau
for net- og informationssystemer i hele Unionen (NIS-direktivet), jf.
nederst side 53. Definitionen af hvad der forstås ved kritisk infrastruktur,
finder vi ikke er nærmere defineret i lovforslaget. Med henvisning til den
3 / 3
sektorspecifikke implementering af NIS-direktivet i Danmark, finder vi det
derfor væsentligt, at der er overensstemmelse mellem de virksomheder
den sektoransvarlige myndighed har udpeget, og dem som CFCS evt.
ønsker at påbyde tilslutning til netsikkerhedstjenesten. Ved de
sektorspecifikke implementeringer af NIS-direktivet er der generelt
opstillet klart fastlagte kriterier og processer for udvælgelse.
Med venlig hilsen
Morten Glamsø
Chefkonsulent
DANSKE REGIONER
DAMPFÆRGEVEJ 22
2100 KØBENHAVN Ø
+45 35 29 81 00
REGIONER@REGIONER.DK
REGIONER.DK
01-02-2019
EMN-2019-00127
1255493
Forsvarsministeriet
fmn@fmn.dk
Høringssvar vedr. forslag til lov om ændring af lov om Center for
Cybersikkerhed (Initiativer til styrkelse af cybersikkerheden)
Danske Regioner har den 7. januar 2019 modtaget ”udkast til forslag til lov om ændring
af lov om Center for Cybersikkerhed (Initiativer til styrkelse af cybersikkerheden)" i
høring.
Høringssvaret fremsendes med forbehold for godkendelse i Danske Regioners
bestyrelse den 7. februar 2019.
Cyber- og informationssikkerhed er stor og voksende kerneopgave for regionerne.
Danske Regioner er derfor positivt indstillet overfor nationale initiativer, der bidrager
til at styrke samfundets – og dermed regionernes – muligheder for at imødegå
cyberangreb mod den kritiske infrastruktur og ønsker naturligvis at bidrage til denne
udvikling og samarbejdet herom.
Danske Regioner bakker op om formålet med lovforslaget, men har også noteret sig,
at lovforslaget giver Center for Cybersikkerhed (CFCS) hjemmel til øgede beføjelser og
mandater, der i sidste ende kan føre til indgriben i regionernes selvstændige
myndighedsudøvelse, it-drift, patientsikkerheden samt borgernes rettigheder vedr.
databeskyttelse.
Det er i lovforslaget ikke klart, hvilke konsekvenser implementeringen af den nye
sikkerhedssoftware vil medføre, fx i relation til tilgængelighed, ydeevne, kliniske
godkendelser af udstyr. Set fra et regionalt og behandlingsmæssigt perspektiv er det
afgørende, at dette præciseres og at rolle- og ansvarsfordelingen fremgår tydeligt. Det
er i denne sammenhæng Danske Regioners opfattelse, at CFCS med lovforslaget vil få
mulighed for at prioritere handlinger i regionernes it-infrastruktur uden involvering af
regionale prioriteringer, kompetencer og indsigt med heraf følgende risici for nedbrud
i regionernes kritiske it-infrastruktur og dermed for patientkritiske hændelser. Såfremt
CFCS får en sådan bemyndigelse er det således afgørende, at de forskellige hensyn
afvejes nøje og at CFCS påtager sig et ansvar for eventuelle følger ved en indgriben i
regionernes ansvarsområde.
Danske Regioner savner derudover en præcisering af, hvordan den meget brede ad-
gang til data hos myndighederne, som CFCS får med lovforslaget, håndteres i over-
ensstemmelse med anden lovgivning, som Danske Regioner som offentlig myndighed
2
er underlagt, særligt databeskyttelseslovgivningen og regionernes forpligtigelser som
dataansvarlig, herunder varetagelsen af borgernes rettigheder.
De økonomiske konsekvenser af lovforslaget forventes behandlet efter DUT-reglerne.
Der er vedlagt et bilag med udbydende tekniske og tekstnære bemærkninger til
lovforslaget.
3
Bilag 1. Tekniske og tekstnære bemærkninger
Tekniske bemærkninger
Påbud om tilslutning til netsikkerhedstjenesten
Danske Regioner har noteret, at lovforslaget åbner op for, at CFCS, jf. § 3, kan påbyde
virksomheder, regioner og kommuner, der har særligt samfundsvigtig karakter at blive
tilsluttet netsikkerhedstjenesten, og, jf. § 4, at CFCS uden retskendelse kan behandle
trafikdata, pakkedata og stationære data hidrørende de tilsluttede myndigheder. Der
gøres opmærksom på, at dette er en indgriben i regionernes selvstændige
myndighedsudøvelse.
Danske Regioner har samtidigt noteret sig, at muligheden for påbud ikke gælder
regionernes egne aktive cyberforsvar, de forebyggende sikkerhedstekniske
undersøgelser og anvendelse og påvirkning af angrebsmål og angrebsinfrastruktur.
Danske Regioner finder det i den sammenhæng vigtigt at understrege, at det bør
fastholdes i den videre udformning af loven, at der ikke kan udstedes påbud for disse
tjenester.
Tilgængelighed
Danske Regioner skal indskærpe vigtigheden af, at netsikkerhedstjenesten skal
designes således, at hverken sikkerhedssoftwaren eller CFCS' handlinger har en negativ
indvirkning på regionernes drift, ydeevne og behov for tilgængelighed til applikationer.
Regionernes har et stort behov for stabil drift, da det blandt andet har betydning for
den enkelte klinikers arbejdsbetingelser og for patientsikkerheden. Dertil kommer, at
Danske Regioner også har et sektoransvar, der indebærer et ansvar for at opretholde
sikkerheden omkring borgerens behandling og sundhedsdata, således at fortrolighed,
integritet og tilgængelighed evares, jf. ”Strategi for y er- og informationssikkerhed
i sundhedssektoren 2019-2022”.
Præcisering af "begrundet mistanke om en sikkerhedshændelse"
Danske Regioner har noteret, at udkast til lovforslaget indebærer en række beføjelser
for CFCS i det tilfælde, at der er tale om en begrundet mistanke om en
sikkerhedshændelse. Eksempelvis kan CFCS, jf. § 6, ved begrundet mistanke om en
sikkerhedshændelse uden retskendelse blokere, omdanne eller omdirigere trafikdata
og pakkedata hos myndigheden. Blokering af regionens trafikdata og pakkedata kan
føre til, at tilgængeligheden af data i kliniske sammenhænge forstyrres, og at det
dermed i yderste konsekvens kan få konsekvenser for patientsikkerheden. Der er i den
sammenhæng behov for, at det konkretiseres nærmere, hvornår der er tale om en
begrundet mistanke om en sikkerhedshændelse. På sit nuværende grundlag er
formuleringen for åben for fortolkning af CFCS.
Danske Regioner skal generelt henstille til, at berørte myndigheder orienteres så tidlig
som mulig – i bedste fald inden den intervenerende handling foretages – om
handlinger fra CFCS på baggrund af begrundet mistanke. I forhold til den løbende
monitorering er det også væsentligt, at CFCS orienterer om de handlinger, der
foretages.
4
Danske Regioner anbefaler – som minimum – at såfremt tilslutningen til
netsikkerhedstjenesten sker på grund af påbud, skal CFCS pålægges at redegøre for
bevæggrundene for at udstede påbuddet.
Databeskyttelsesretlige bemærkninger
CFCS får med lovforslaget en meget bred adgang til både trafikdata, pakkedata og
stationære data hos myndighederne, herunder også personfølsomme og fortrolige
data. Dertil kommer, at det på foreliggende grundlag ikke er muligt at afgøre, hvilke
data CFCS opsamler, da der i princippet er adgang til alle typer data. Danske Regioner
finder det bekymrende, at denne brede adgang til data indebærer adgang til fortrolige
oplysninger og følsomme personoplysninger. Regioner er ligeledes bekymret for om
den brede adgang til data om både regionens medarbejdere og borgere, i tilstrækkelig
grad adresserer den registreredes rettigheder (jf. EU’s persondataforordning og
Databeskyttelseslovgivningen).
Bekymringerne gælder særlig henset til, at der kan sås tvivl om, hvorvidt borgernes og
patienternes rettigheder bliver tilstrækkeligt varetaget i lovforslaget, når CFCS
undtages fra retssikkerhedslovens § 3, som blandt andet fastslår, at forvaltningslovens
regler om partsaktindsigt finder anvendelse ved beslutninger om at iværksætte
tvangsindgreb. Denne bekymring gælder også, hvis CFCS’s virkso hed udtages fra
retssikkerhedslovens § 5, som stiller krav om underretning af parten i forbindelse med
iværksættelse af et tvangsindgreb, samt fra retssikkerhedslovens § 8, stk. 2, som bl.a.
stiller krav om, at der på begæring skal udleveres en rapport om udførelsen af
tvangsindgreb. Det vil indebære en indskrænkning af borgernes rettigheder.
Danske Regioner savner en præcisering af, hvordan lovforslaget er i overensstemmelse
med anden lovgivning, som Danske Regioner som offentlig myndighed er underlagt,
særligt databeskyttelseslovgivningen og Danske Regioners forpligtigelser som
dataansvarlig, herunder varetagelsen af de registreredes rettigheder. Hvilket samtidigt
skal ses i lyset af, af det i lovforslagets bemærkninger, jf. pkt. 1, hedder:
”Forsvarsministeriet har i den forbindelse lagt afgørende vægt på, at
lovgivningsinitiativerne udmøntes med den fornødne respekt for retssikkerheden og
den personlige frihed. Der er således tale om initiativer, der er målrettede og ikke går
videre e d for ålet tilsiger.”
Med henblik på at beskytte borgernes og patienternes rettigheder anbefales det, som
minimum, at databeskyttelsesloven, Europa-Parlamentets og Rådets forordning
2016/679/EU af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med
behandling af personoplysninger og om fri udveksling af sådanne oplysninger, lov om
offentlighed i forvaltningen og forvaltningslovens kapitel 4-6, finder anvendelse for
CFCS vedrørende centrets behandling af sager om tilslutning til netsikkerhedstjenesten
og ligeledes i de sager, hvor tilslutningen sker på baggrund af et påbud. Danske
Regioner efterspørger en klar stillingtagen til ansvars-konstruktionen for data, såfremt
der skal ske tilslutning til netsikkerhedstjenesten, eksempelvis om CFCS kan/skal
betragtes som en databehandler for regionerne, selvstændig dataansvarlig eller fælles
dataansvarlig.
5
Teknik og proces
Danske Regioner bemærker, at der i forhold til en eventuel udvidelse af den
eksisterende netsikkerhedstjeneste, fx ved påbud, er behov for at få præciseret
indholdet og omfanget af de tiltag og opgaver, som regionerne kan blive pålagt. Der er
blandt andet behov for en præcisering af pkt. 3.1 og 3.3.3.1. i bemærkningerne til
lovforslaget, hvor af det fremgår, at myndigheder kan blive pålagt at installere
sikkerhedssoftware med passiv funktionalitet på sine enheder. Den tekniske løsning er
ikke umiddelbart beskrevet tilstrækkeligt til, at der kan foretages endelig vurdering af,
hvilke komplikationer det vil have i relation til regionernes drift og forretning. Der er
flere aspekter, som er uklare eksempelvis, hvordan sikkerhedssoftwaren ses
vedligeholdt i forhold til skiftende windows/citrix miljøer, og hvorvidt CFCS kan
installere og opdatere uden om regioners s change managementproces – hvilket i sig
selv potentielt kan udgøre en sikkerhedsrisiko. Dertil kommer, at den konkrete
løsningsarkitektur ikke er beskrevet i forslaget, men det virker umiddelbart som meget
vidtrækkende, at tilslutning til netsikkerhedstjenesten fordrer installering af software
på den enkelte organisations enheder f.eks. p ’ere, servere og s art phones – hvilket
i sig selv er omfattende.
Danske Regioner vil gerne påpege, at det på det nuværende grundlag er uklart, i hvilket
omfang en installation af CFCS' sikkerhedssoftware vil påvirke driften af regionernes
servere. Men der vil være en udfordring forbundet med tilslutningen til
netsikkerhedstjenesten, hvis dette påvirker performance på regionernes netværk. Og
i den henseende er det afgørende for Danske Regioner, at installationer af
sikkerhedssoftwaren ikke besværliggør eller fordyrer opgradering, patchning eller
udvikling af infrastrukturen og designes således, at hverken sikkerhedssoftwaren eller
CFCS' handlinger har en negativ indvirkning på regionernes drift eller tilgængelighed til
applikationer.
Endvidere forudses det, at implementeringen af softwaren på klinisk godkendt udstyr
kan være en udfordring og udgør en risiko for, at implementering af
sikkerhedssoftwaren på klinisk godkendt udstyr medfører en uacceptabel situation,
hvor den kliniske godkendelse helt eller delvis bortfalder. Danske Regioner foreslår, at
hvis sikkerhedssoftwaren skal implementeres på klinisk godkendt udstyr, skal der som
minimum gennemføres en gennemgribende test, der viser, at sikkerhedssoftwaren
ikke påvirker udstyrets funktionalitet og bringer patientbehandlingen i fare.
Center for cybersikkerhed håndtering og vidensdeling
De foreslåede udvidede beføjelser og deraf forventede øgede antal tilslutninger til
netsikkerhedstjenesten vil øge den centraliserede datamængde hos CFCS. Dette, er
faktorer, der i endnu højere grad udsætter CFCS for en risiko i forhold til at lamme
kritiske dele af it-infrastrukturen i Danmark. Lovforslaget beskriver ikke, hvordan
denne øgede risiko imødegås eller hvordan eventuelle konsekvenser håndteres.
Danske Regioner sav er e a givelse af CFCS’s uligheder/forpligtelser til at give
regionernes adgang til indsamlede data, således at regionerne selv er i stand til at
anvende disse (til rapporter, statistik, hændelser, anbefalinger, rådgivning mv.) til at
løfte det generelle sikkerhedsniveau i regionerne.
6
Endeligt er der behov for en afdækning af, hvad tilslutning til netværkstjenesten løser
ift. til de opgaver og ansvar, myndighederne har ift. egen cyber- og
informationssikkerhed.
Økonomiske og administrative konsekvenser
Danske Regioner er positivt indstillet overfor, at tilslutningen til
netsikkerhedstjenesten bliver gebyrfri. I og med at ingen af regionerne på nuværende
tidspu kt er tilsluttet CFCS’s etværkstje este, vil regio er e derfor ikke opnå en
besparelse på grund af forslaget om, at det løbende gebyr for tilslutning af
netværkstjenesten bortfalder.
Det er uklart, hvor mange lokale ressourcer en eventuel tilslutning til
netværkstjenesten vil forudsætte i regionerne. Her tænkes blandt andet på
medvirkning til netsikkerhedstjenestens opsætning og driften af tilhørende hardware
og software. Da der ikke foreligger en tilstrækkelig beskrivelse af kravene til den
tekniske løsning, herunder hvilke forudsætninger der skal være opfyldt, er det
vanskeligt at be- eller afkræfte de fremførte antagelser vedr. de økonomiske
konsekvenser. Da regionernes systemlandskaber er store og komplekse, må det dog
forventes, at det ikke er en lille opgave at foretage implementeringen og driften,
hvorfor der må forventes et betydeligt ressourceforbrug til opgaven med evt.
tilslutning til netsikkerhedstjenesten.
Danske Regioner vil opfordre til, at der foretages en analyse af de tekniske og
økonomiske konsekvenser forud for DUT-behandlingen.
Tekstnære bemærkninger
Ad forslagets §1
Det er værd at bemærke, at det i bemærkninger til lovforslagets enkelte bestemmelser
vedr. § 1 anføres, at tilslutning til netsikkerhedstjenesten som en særlig variant kan
forekomme ved, at logoplysninger fra fx en myndigheds eget sikkerhedssystem
overføres til CFCS. Denne mulighed er væsentlig at opretholde, idet denne tilgang
muliggør, at den enkelte myndighed har klarhed over hvilke data, der tilgår CFCS, samt
muligheden for at få indblik i, hvilke informationer CFCS evt. videreformidler.
Ad forslagets § 3, stk. 1-4:
Det følger af lovforslagets § 3, stk. 1-4, at:
”Center for Cybersikkerheds netsikkerhedstjeneste har til opgave at opdage, analysere
og bidrage til at imødegå sikkerhedshændelser hos tilsluttede myndigheder og
virksomheder.
Stk. 2. De øverste statsorganer samt statslige myndigheder kan efter anmodning blive
tilsluttet netsikkerhedstjenesten. Stk. 3. Regioner og kommuner samt virksomheder,
der har samfundsvigtig karakter, kan efter anmodning blive tilsluttet
netsikkerhedstjenesten, såfremt Center for Cybersikkerhed konkret vurderer, at
tilslutningen vil kunne bidrage til at understøtte et højt informationssikkerhedsniveau
i samfundet. Stk. 4. Center for Cybersikkerhed kan i særlige tilfælde påbyde
virksomheder, regioner og kommuner, der har særligt samfundsvigtig karakter, at blive
tilsluttet etsikkerhedstje este .”
7
Den sikkerhedsløsning, som CFCS imidlertid stiller til rådighed med
netsikkerhedstjenesten, er efterretningsbaseret, hvilket formentlig besværliggør
Danske Regioner s mulighed for at få fornuftigt og brugbart feedback til eget brug. Der
er tilsyneladende ikke noget i lovforslaget, som pålægger CFCS at samarbejde, dele og
kvalificere feedback. Der er alene tale om tilbagelevering af rådata-grundlaget
(trafikdata, pakkedata og stationære data) for CFCS analyser og databrug.
Ad forslagets § 7, stk. 1-3;
Det foreslåede kapitel indebærer, at CFCS med henblik på at afdække
sikkerhedshændelser, som noget nyt, vil kunne anmode retten om at pålægge en
juridisk eller fysisk person at forevise eller udlevere oplysninger om brugeren af en e-
mailkonto, en ip-adresse eller et domænenavn, såfremt oplysningerne er undergivet
den pågældendes rådighed. Den foreslåede ordning følger i det væsentligste
bestemmelserne om edition i retsplejelovens kapitel 74. Den foreslåede § 7 adskiller
sig imidlertid ved, at der ikke vil være et krav om mistanke om en strafbar
lovovertrædelse, men derimod alene krav om, at oplysningerne skal kunne medvirke
til at afdække sikkerhedshændelser. Der vil i denne forbindelse heller ikke ske
underretning af den pågældende bruger.
Det er retssikkerhedsmæssigt betænkeligt, at der i forbindelse med ovenstående alene
er krav om, at oplysningerne skal kunne medvirke til at afdække sikkerhedshændelser
og ikke en konkret mistanke om strafbar lovovertrædelse.
Ad forslagets § 8a, stk. 1:
Det bør tydeliggøres i bemærkningerne, hvilke oplysninger som er arkiveringspligtige.
Ydermere bør det begrundes, hvorfor arkiveringen skal omfatte alle oplysninger
omfattet af CFCS og ikke kun personoplysninger.
Ad forslagets § 17, stk. 2, pkt. 3:
Det følger af lovforslagets § 17, stk. 2, pkt. 3, at øvrige data, der ikke knytter sig til en
sikkerhedshændelse, højest opbevares i 13 måneder. Umiddelbart savnes der en
uddybning af, hvad behovet er for, at disse data kan opbevares i 13 måneder. Det
fremstår ikke tydeligt, hvorfor det er nødvendigt, at data opbevares i længere tid, end
hvad der er relevant i forhold til formålet, jf. hovedreglen i § 17, stk. 1.
Ad forsalgets §18:
Det bemærkes, at CFCS med lovforslaget får en bredere adgang til både pakke data og
stationære data ift. gældende ret. CFCS opfordres til at genoverveje sine
foranstaltninger ift. §18 i den gældende lov om Center for Cybersikkerhed. CFCS bør
pålægges at logge i de tilfælde, at man tilgår pakke data og stationære data hos en
myndighed.
Ad nr. 9 under almindelige bemærkninger til lovforslaget
Det bemærkes, at:
”efter de gælde de § 8, stk. . r. , ka forsvars i istere beste e, at
databeskyttelsesloven, Europa-Parlamentets og Rådets forordning 2016/679/EU af 27.
april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af
personoplysninger og om fri udveksling af sådanne oplysninger, lov om offentlighed i
forvaltningen og forvaltningslovens kapitel 4-6 helt eller delvis finder anvendelse for
8
Center for Cybersikkerhed vedrørende centerets behandling af sager om tilslutning til
netsikkerhedstjenesten, jf. § 3, stk. 3.
Det foreslås, at forsvarsministeren ligeledes får hjemmel til at bestemme, at de nævnte
regler skal finde helt eller delvis anvendelse for Center for Cybersikkerhed vedrørende
centerets behandling af sager om tilslutning til netsikkerhedstjenesten efter den
foreslåede § , stk. , dvs. sager, hvor der sker tilslut i g på baggru d af et påbud.”
Med henblik på at beskytte borgernes og patienternes rettigheder anbefales det, som
minimum, at databeskyttelsesloven, Europa-Parlamentets og Rådets forordning
2016/679/EU af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med
behandling af personoplysninger og om fri udveksling af sådanne oplysninger, lov om
offentlighed i forvaltningen og forvaltningslovens kapitel 4-6, finder anvendelse for
CFCS vedrørende centrets behandling af sager om tilslutning til netsikkerhedstjenesten
og ligeledes i de sager, hvor tilslutningen sker på baggrund af et påbud.
VANDHUSET | Godthåbsvej 83, 8660 Skanderborg | KØBENHAVN | Vester Farimagsgade
1, 5. sal., 1606 København V | Tlf. 7021 0055 | danva@danva.dk | www.danva.dk Side 1 af 3
Forsvarsministeriet
Holmens Kanal 9
1060 København K
ATT.: fmn@fmn.dk, cc: tbl@fmn.dk og sbu@fmn.dk
Sagsnummer 2018/006599
DATO: 1. februar 2019
PROJEKTNR.: 3012
pm/sv/CEL
Høringssvar - ændring af lov om Center for Cybersik-
kerhed
Dansk Vand- og Spildevandsforening (DANVA) mener principielt, at Center for Cybersikker-
hed (CFCS) og Forsvarets Efterretningstjeneste(FE) bør have de rammer og den adgang til
data, informationer og viden, der er nødvendige for, at CFCS og FE kan være med til at
sikre og understøtte samfundet - bl.a. selskabernes IT, driften af forsyningerne mv.
DANVA mener, at det er vigtigt, at lov om Center for Cybersikkerhed løbende, efter behov,
justeres til gavn for cybersikkerheds- og efterretningsarbejdet. DANVA vil gerne fremover
sættes på høringslisten, så vi ikke en anden gang skal agere med afsæt i pressens omtale
af en høring.
DANVA vil gerne bidrage til at sikre forsyningsselskabernes informationssystemer, der er
afgørende for forsyningssikkerheden samt de produkter og services, som vandselskaberne
leverer til kunderne. Kritiske digitale systemer og data skal beskyttes effektivt, og CFCS vil
på mange måder kunne bidrage til at forbedre cybersikkerheden i forsyningsselskaber.
Udkast til forslag til lov om ændring af lov om Center for Cybersikkerhed finder vi er med
til at forbedre rammerne for cybersikkerheds- og efterretningsarbejdet, og vi værdsætter,
at der i bemærkningerne lægges vægt på, at der arbejdes frem mod at etablere et frugt-
bart og effektivt samarbejde med forsyningsselskaberne.
Vi vil gerne kvittere for, at det fremgår af lovbemærkningerne, at drikkevandsforsyning og
–distribution indgår som en særlig samfundsvæsentlig sektor. Vi forventer, at samarbejdet
mellem CFCS og vandsektoren udbygges i de kommende år til fælles fordel for CFCS og
vandsektoren.
Udover at loven løbende bør forbedres, anser vi det også for vigtigt, at der løbende tages
yderligere initiativer udenfor CFCS regi, der skaber gode vilkår for at forbedre cybersikker-
heden. Fx initiativer der kan forbedre videndeling, krav til leverandører, best-practices,
standarder mv.
Vi bemærker, at en del væsentlige forhold er beskrevet i bemærkningerne. Forhold, der er
afgørende for at få en god implementering og for CFCS’s virke. Væsentlige forhold er un-
derstreget nedenfor i 5 kortfattede afsnit sammen med få forslag til forbedringer af udka-
stet. Vi har i vores høringssvar primært fokus på forhold, der er afgørende for et velfunge-
rende cybersikkerhedssamarbejde mellem CFCS og vandsektorens forsyningsselskaber, da
vi finder, at det er her, DANVA fremadrettet har en central rolle.
Side 2 af 3
Velfungerende cybersikkerhedsarbejde, frugtbart og klart samarbejde
mellem CFCS og selskaberne
Det er vigtigt, at der etableres et frugtbart og velfungerende, dialogbaseret samarbejde
mellem CFCS og de selskaber, der, enten frivilligt eller via påbud, er med i netsikkerheds-
tjenesten. Dette indebærer, at det er synligt og klart, hvilke midler og mål samarbejdet er
baseret på. Derfor værdsætter vi, at der i bemærkningerne lægges vægt på, at samarbej-
det om netsikkerhedstjenesten tager højde for selskabernes behov, og at aftaler er dialog-
baserede.
Omfattede virksomheder
I forhold til de virksomheder, som efter forslaget skal være omfattet af loven, er der behov
for, at det uddybes, hvilke kriterier der kan indgå i CFCS’s vurdering af, hvilke virksomhe-
der der kan tilsluttes netsikkerhedstjenesten, og hvilke der ved eventuelt pålæg skal til-
sluttes, herunder hvad der nærmere menes med virksomheder af samfundsvigtig karakter
og virksomheder af særlig samfundsvigtig karakter.
Det er afgørende for virksomhederne, at påbudsafgørelser foretages på proportionale og
gennemskuelige vilkår, ligesom det må kræves, at CFCS’s afgørelse herom er begrundet
og kan påklages.
Påbud og aftaler - tidsbegrænsede og velbegrundede
CFCS og det enkelte selskab bør regelfast være i dialog om samarbejdet og justere påbud,
tilslutningsaftaler og øvrige samarbejdsaftaler. Vores betragtning er baseret på, at dette
sikrer, at påbud og aftaler regelmæssigt genovervejes og tilrettes, og samarbejdet justeres
for at undgå, at der opstår uhensigtsmæssigheder, unødig administration og arbejde.
Det er DANVAs opfattelse, at det bør tilføjes, at adgang til data uden retskendelse fordrer,
at CFCS kan godtgøre, at der er en begrundet mistanke og i øvrigt naturligvis, at indgrebet
var nødvendigt for at undgå, at formålet forspildes. Hertil skal lægges et almindeligt krav
om ret til domstolsprøvelse. Det forekommer retssikkerhedsmæssigt betænkeligt, at en
myndighed på så løst et grundlag som en vurdering af ”et højt informationssikkerhedsni-
veau” kan knægte en grundlovssikret ret om privatlivets fred.
Vi håber, at deltagelse i netsikkerhedstjenesten giver ’value for money’, så flere selskaber
vil indgå i netsikkerhedstjenesten.
Indvirkning på selskabernes økonomi og kompensation
Det er ikke velbeskrevet, hvilke omkostninger – direkte som indirekte – loven vil afsted-
komme for selskaberne. Selskaber, der som følge af den nye lov må afsætte ressourcer og
økonomi hertil, bør kompenseres, så samfundsvæsentlige selskaber ikke straffes økono-
misk og ressourcemæssigt: Fx hvis et selskab efter kriterier (der pt. er uklare) påbydes
deltagelse i netsikkerhedstjenesten og dermed pålægges omkostninger og må anvende
ressourcer på samarbejdet. Det synes at give mening, at sammenhængen med den økono-
miske regulering for vandsektoren overvejes, således at selskaberne sikres omkostnings-
dækning.
Erstatningsansvar ved sikkerhedsbrud forårsaget af CFCS
Fejl og sikkerhedsbrud kan opstå i forbindelse med CFCS’s og selskabernes samarbejde
både i forbindelse med databehandling og datakommunikation. Disse sikkerhedsbrud vil i
værste tilfælde kunne medføre store omkostninger for selskaberne eller på anden måde
have en negativ effekt på selskaberne. CFCS’s ansvar og erstatningsansvar i forbindelse
med sikkerhedsbrud, forårsaget af CFCS, bør beskrives i bemærkningerne om erstatnings-
ansvar side 58-59. Det skal sikres, at sandsynligheden for sikkerhedsbrud minimeres, og
at der er en ansvarsfordeling og organisering, der tager hånd om sikkerhedsbrud, så der
ikke opstår tvister mv.
Side 3 af 3
Sikring af selskabernes data, kundedata og databeskyttelsesloven
Beskyttelse af kunde- og selskabsdata er meget vigtig og bør prioriteres højt. Der bør
være saglige, faste og velbeskrevne regler for CFCS’s databehandling og sletning af data, i
det omfang det er muligt. CFCS bør kun behandle og analysere data efter klare regler og
bør ikke opbevare overflødige data. Selskaber bør underrettes regelfast, hvis data, herun-
der kundedata, blokeres eller slettes, og kommunikation forsinkes, så selskaberne er be-
kendt hermed og kan tage højde for dette. Det er afgørende, at persondata beskyttes, at
meddelelseshemmeligheden håndhæves, og at CFCS’s arbejde tager højde for databeskyt-
telsesloven.
Videndeling og udsendelse af advarsler og operationel information
De indsamlede data, information og viden skal deles til gavn for forsyningsselskaber m. fl.
I bemærkningerne kommer det også frem, at selskaberne får afrapportering af overvåg-
ningen og logs. Det er meget positivt, at der afrapporteres, og vi ser frem til, at det sker
på en operationel måde. Selskaber bør også videregive data, information og viden om cy-
bersikkerhed, herunder trusler, som selskaberne mener vil kunne bidrage til CFCS’s ar-
bejde.
CFCS bør generelt bestræbe sig på at publicere information og viden om cybersikkerhed til
gavn for forsyningskritiske selskaber fx via nyhedstjenester, databaser eller lign., hvor der
publiceres advarsler, Indicators of compromise, IOC, guidelines mv.
CFCS er en del af Danmarks efterretningstjeneste. Det indebærer, at en stor del af cen-
trets aktiviteter er fortrolige. Det medfører samtidig, at selskaber, øvrige myndigheder og
borgere må have tillid til centrets arbejde og aktiviteter. I forhold til samfundskritiske for-
syningsselskaber anbefaler DANVA, at der er fortrolighed og en så stor åbenhed som mu-
ligt mellem centret og selskaberne. Dette vil kunne danne et godt udgangspunkt for at par-
terne - samlet – kan arbejde effektivt med at forbedre cybersikkerheden.
DANVA står naturligvis til rådighed for en uddybning eller yderligere diskussion af indhol-
det.
Med venlig hilsen
Carl-Emil Larsen
DANVA
Ved e-mail af 7. januar 2019 har Forsvarsministeriet anmodet om Datatilsy-
nets bemærkninger til ovennævnte udkast til lovforslag.
1. Indledning
Databeskyttelsesforordningen1 og databeskyttelsesloven2 finder ikke
anvendelse på den behandling af personoplysninger, som udføres for eller af
politiets eller forsvarets efterretningstjenester, jf. databeskyttelseslovens § 3,
stk. 2.
Center for Cybersikkerhed (herefter CFCS) er en del af Forsvarets
Efterretningstjeneste, og databeskyttelsesforordningen og
databeskyttelsesloven finder derfor ikke anvendelse på de behandlinger af
personoplysninger, CFCS som dataansvarlig foretager.
Reglerne i databeskyttelsesforordningen og databeskyttelsesloven finder deri-
mod anvendelse på behandlinger af personoplysninger foretaget af
myndigheder og private virksomheder, som er tilsluttet CFCS’
netsikkerhedstjeneste eller på anden måde anmoder om bistand fra centeret og
i den forbindelse bl.a. videregiver personoplysninger til CFCS.
På den baggrund – og idet udkastet efter Datatilsynets opfattelse åbner op for
en bred behandling af personoplysninger, som hører under
databeskyttelsesforordningens og databeskyttelseslovens anvendelsesområde
– finder Datatilsynet anledning til at fremkomme med følgende
bemærkninger:
1 Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse
af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling
af sådanne oplysninger og om ophævelse af direktiv 95/46/EF.
2 Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af
fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af
sådanne oplysninger (databeskyttelsesloven).
Forsvarsministeriet
Holmens Kanal 42
1060 København K
Sendt til: fmn@fmn.dk
Cc: tbl@fmn.dk, sbu@fmn.dk og
jm@jm.dk
30-01-2019 Høring over udkast til forslag til lov om ændring af lov om Center for
Cybersikkerhed (Initiativer til styrkelse af cybersikkerheden) – sagsnum-
mer 2018/006599
Datatilsynet
Borgergade 28, 5.
1300 København K
CVR-nr. 11-88-37-29
Telefon 3319 3200
E-mail dt@datatilsynet.dk
www.datatilsynet.dk
J.nr. 2019-11-0188
Dok.nr. 61302
Sagsbehandler
Camilla Andersen
2
2. Generelle bemærkninger
2.1. I bemærkningerne til lovforslaget henvises der flere steder til persondata-
loven og de centrale principper heri. Der henvises bl.a. hertil i de særlige be-
mærkninger til § 1, nr. 4:
”Behandling af data, der indeholder personoplysninger, vil ske i overensstem-
melse med de generelle regler for Center for Cybersikkerheds behandling af
data, hvor en række af persondatalovens centrale principper er indarbejdet i lov
om Center for Cybersikkerhed, herunder krav til behandlingsgrundlag samt
krav om proportionalitet og dataminimering.”
Datatilsynet skal henstille til, at alle henvisninger til persondataloven ændres,
så der i stedet alene henvises til de gældende databeskyttelsesretlige regler.
2.2. Det fremgår af pkt. 1 i de almindelige bemærkninger, at der – henset til
den hastige udvikling på cybersikkerhedsområdet – vil blive udarbejdet en
rapport om erfaringerne med den nye lovgivning, som oversendes til Folketin-
get tre år efter lovens ikrafttræden.
Datatilsynet finder, at netop den hastige udvikling på området, men også det
forhold, at der som tidligere nævnt efter tilsynets opfattelse med udkastet ses
at blive åbnet op for en bred behandling af personoplysninger, taler for, at
rapporten om erfaringerne med den nye lovgivning oversendes til Folketinget
allerede ét år efter lovens ikrafttræden.
2.3. Det er endvidere Datatilsynets vurdering, at udkastet på følgende punkter
giver anledning til væsentlige uklarheder om de databeskyttelsesretlige regler:
 Definitionerne (udkastets § 1, nr. 1).
 Fordelingen af dataansvaret i forbindelse med behandling af personop-
lysninger, herunder særligt indsamling og videregivelse til de tilslut-
tede myndigheder og virksomheder.
 Behandlingsgrundlag i henhold til databeskyttelsesforordningens arti-
kel 6 og 9 samt databeskyttelseslovens § 8 for de tilsluttede myndighe-
der og virksomheder.
 Behandlingssikkerheden og forpligtelserne der følger af databeskyttel-
sesforordningens artikel 32-34.
Ovenstående punkter behandles nærmere nedenfor.
3. Konkrete bemærkninger
3.1. I udkastets § 1, nr. 1, foreslås § 2 i lov om Center for Cybersikkerhed
affattet således:
”§ 2. I denne lov forstås ved:
3
1) Sikkerhedshændelse: En hændelse, der negativt påvirker eller vurderes
at ville kunne påvirke tilgængelighed, integritet eller fortrolighed af
data, informationssystemer, digitale netværk eller digitale tjenester.
2) Pakkedata: Indholdet af kommunikation, der transmitteres gennem di-
gitale netværk eller tjenester.
3) Trafikdata: Data, som behandles med henblik på at transmittere pakke-
data.
4) Stationære data: Data, som opbevares på servere, cloudtjenester,
pc’ere, lagerenheder, netværksenheder, mobile enheder og tilsvarende.
5) Malware: Trafikdata, pakkedata og stationære data, hvor der er særligt
bestyrket mistanke om, at data er anvendt af en angrebsaktør med det
formål at forårsage et brud på informationssikkerheden.
6) Personoplysninger: Enhver form for information om en identificeret
eller identificerbar fysisk person.
7) Behandling: Enhver operation eller række af operationer med eller
uden brug af elektronisk databehandling, som oplysninger gøres til
genstand for.”
3.1.1. Af de særlige bemærkninger til udkastets § 1, nr. 1, fremgår følgende:
”Definitionen af begrebet behandling i nr. 7 er en uændret videreførelse af den
gældende § 1, nr. 5. Definitionen er identisk med den definition, der tidligere
var gældende efter persondatalovens § 3, nr. 2, og skal fortolkes i overensstem-
melse med denne bestemmelses forarbejder og relevante praksis.”
Begrebet behandling defineres i databeskyttelsesforordningens artikel 4, nr. 2,
imidlertid som enhver aktivitet eller række af aktiviteter – med eller uden
brug af automatisk behandling – som personoplysninger eller en samling af
personoplysninger gøres til genstand for.
Datatilsynet skal henstille til, at udtrykkene ”operationer” og ”elektronisk” i
lovteksten og bemærkningerne hertil ændres, således at indeholdet af bestem-
melsen kommer til at svare til de gældende databeskyttelsesretlige regler.
3.1.2. I den foreslåede § 2, stk. 1, nr. 1, defineres en sikkerhedshændelse som
en hændelse, der negativt påvirker eller vurderes at ville kunne påvirke til-
gængelighed, integritet eller fortrolighed af data, informationssystemer, digi-
tale netværk eller digitale tjenester.
Datatilsynet skal i den forbindelse oplyse, at der efter databeskyttelsesforord-
ningens artikel 33 gælder en generel forpligtelse for alle dataansvarlige til
som udgangspunkt at anmelde brud på persondatasikkerheden til Datatilsynet.
Et brud på persondatasikkerheden defineres i forordningens artikel 4, nr. 12,
som et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse,
tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger
der er transmitteret, opbevaret eller på anden måde behandlet.
En sikkerhedshændelse som defineret i den foreslåede § 2, stk. 1, nr. 1, ses
dermed også at kunne være et brud på persondatasikkerheden. Det er imidler-
tid alene de sikkerhedshændelser, der fører til hændelig eller ulovlig tilintet-
gørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personop-
4
lysninger, der også udgør et brud på persondatasikkerheden. En sikkerheds-
hændelse vil således ikke altid være et brud på persondatasikkerheden.
Datatilsynet finder, at det er vigtigt, at ovenstående præciseres og direkte
fremgår af bemærkningerne til udkastet.
3.1.3. I den foreslåede § 2, stk. 1, nr. 2-5, defineres begreberne pakkedata,
trafikdata, stationære data og malware.
Det er Datatilsynets opfattelse, at disse fire begreber også indeholder perso-
noplysninger, som defineret i databeskyttelsesforordningen og i den foreslå-
ede § 2, stk. 1, nr. 6. Dette ses dog ikke at fremgå af hverken de foreslåede
definitioner i § 2, stk. 1, nr. 2-5, eller bemærkningerne hertil. På nuværende
tidspunkt sondres der således skarpt imellem om oplysningerne hører under
enten et af begreberne ”pakkedata, trafikdata, stationære data, malware” eller
begrebet ”personoplysninger”, selv om der meget ofte vil være et betydeligt
sammenfald.
Det er efter Datatilsynets opfattelse vigtigt, at dette præciseres og direkte
fremgår af bemærkningerne til udkastet.
Der henvises endelig til det ovenfor under pkt. 2.1. anførte om henvisninger i
udkastets bemærkninger til ”persondataloven”.
3.2. Af udkastet fremgår det, at CFCS skal kunne tilbyde passivt og aktivt
cyberforsvar til de tilsluttede myndigheder og virksomheder. Endvidere vil
CFCS, efter aftale med den tilsluttede myndighed eller virksomhed, kunne
foretage forebyggende sikkerhedstekniske undersøgelser.
Det er Datatilsynets forståelse, at der kan ske behandling af personoplysninger
både i forbindelse med et passivt og aktivt cyberforsvar og i forbindelse med
forebyggende sikkerhedstekniske undersøgelser. Det er imidlertid ikke klart,
hvem der anses for dataansvarlig i forbindelse med disse behandlinger af per-
sonoplysninger.
Udkastet fastslår således på nuværende tidspunkt ikke, hvem der er data-
ansvarlig for den eventuelle behandling af personoplysninger, der vil ske som
følge af monitorering af lokale enheder i forbindelse med det passive cyber-
forsvar3, eller når CFCS efter aftale med den tilsluttede myndighed eller virk-
somhed foretager sikkerhedstekniske undersøgelser og i den forbindelse bl.a.
indsamler oplysninger om de ansatte via offentlige tilgængelige kilder.
Datatilsynet kan i den forbindelse oplyse, at en dataansvarlig i databeskyttel-
sesforordningens artikel 4, nr. 7, defineres som en fysisk eller juridisk person,
en offentlig myndighed, en institution eller et andet organ, der alene eller
sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der
må foretages behandling af personoplysninger.
3 Se de almindelige bemærkninger pkt. 3.3.3.1.
5
En databehandler defineres i forordningens artikel 4, nr. 8, som en fysisk eller
juridisk person, en offentlig myndighed, en institution eller et andet organ, der
behandler personoplysninger på den dataansvarliges vegne.
Datatilsynet har endvidere noteret sig, at det følger af bekendtgørelse om til-
slutning til Center for Cybersikkerheds netsikkerhedstjeneste4 § 2, at den eller
de alarmenheder, som opsættes i medfør af tilslutningsaftalen, jf. § 1, er Cen-
ter for Cybersikkerheds ejendom, og at centeret er dataansvarlig for data, der
indsamles og i øvrigt behandles i forbindelse med driften af alarmenheden.
Datatilsynet skal derfor henstille, at Forsvarsministeriet nærmere overvejer –
og i forlængelse heraf i udkastet præciserer – hvem der er dataansvarlig for de
behandlinger af personoplysninger, der sker som følge af det aktive og pas-
sive cyberforsvar og i forbindelse med forebyggende sikkerhedstekniske un-
dersøgelser, herunder om den ovennævnte bestemmelse i bekendtgørelsen om
tilslutning til Center for Cybersikkerheds netsikkerhedstjeneste bør fremgå af
udkastet eller bemærkningerne hertil, hvis CFCS må anses som dataansvarlig.
Datatilsynet skal i forlængelse heraf understrege vigtigheden af, at det er klart,
hvem der er dataansvarlig for de enkelte behandlinger af personoplysninger,
særligt for de registrerede, som efter de databeskyttelsesretlige regler har en
række rettigheder over for de dataansvarlige, men også for de tilsluttede myn-
digheder og virksomheder i forhold til deres forpligtelser efter de databeskyt-
telsesretlige regler, herunder overholdelse af de registreredes rettigheder.
3.3. Af pkt. 9 i udkastets almindelige bemærkninger om forholdet til EU-ret-
ten fremgår følgende:
”Databeskyttelsesforordningen vil imidlertid finde anvendelse for de myndig-
heder og virksomheder, som er tilsluttet Center for Cybersikkerheds netsikker-
hedstjeneste, eller som på anden vis anmoder om centerets bistand, eksempelvis
i forbindelse med cyberangreb eller som led i forebyggende sikkerhedstekniske
undersøgelser.
De tilsluttede myndigheder og virksomheder videregiver som led i samarbejdet
med netsikkerhedstjenesten data, herunder personoplysninger, til Center for
Cybersikkerhed. Denne videregivelse vil kunne ske indenfor rammerne af data-
beskyttelsesforordningen. I relation til almindelige personoplysninger henvises
til databeskyttelsesforordningens artikel 6 og til forordningens præambelbe-
tragtning 49, hvoraf det fremgår, at behandling af personoplysninger – i det
omfang, det er strengt nødvendigt og forholdsmæssigt for at sikre net- og infor-
mationssikkerheden – der foretages af eksempelvis Computer Emergency Re-
sponse Teams (CSIRT’er), udgør en legitim interesse for den berørte data-
ansvarlige.
Samme hensyn vurderes at gøre sig gældende for personoplysninger vedrø-
rende straffedomme og lovovertrædelser omfattet af databeskyttelsesforordnin-
gens artikel 10.
4 Bekendtgørelse nr. 1599 af 14. december 2018
6
I relation til behandling af særlige kategorier af personoplysninger omfattet af
databeskyttelsesforordningens artikel 9, henvises til bestemmelsens stk. 2, litra
g, hvorefter forbuddet mod behandling af sådanne personoplysninger ikke fin-
der anvendelse, når behandlingen er nødvendig af hensyn til væsentlige sam-
fundsinteresser på grundlag af EU-retten eller medlemsstaternes nationale ret
og står i et rimeligt forhold til det mål, der forfølges, respekterer det væsentlig-
ste indhold af retten til databeskyttelse og sikrer passende og specifikke foran-
staltninger til beskyttelse af den registreredes grundlæggende rettigheder og in-
teresser. Henvisningen til EU-retten eller medlemsstaternes nationale ret i arti-
kel 9, stk. 2, litra g, forudsætter, at behandlingen er forankret i f.eks. national
ret, for at udgangspunktet i artikel 9, stk. 1, om forbud mod behandling kan
fraviges. Forordningens artikel 9, stk. 2, litra g, stiller således krav om udfyld-
ning i national ret og kan ikke uden videre anvendes som behandlingshjemmel.
Der stilles imidlertid ikke krav om, at den nationale ret skal indeholde en ud-
trykkelig hjemmel til behandling af sådanne personoplysninger. Det vurderes
på den baggrund at være tilstrækkeligt, at myndigheders og virksomheders vi-
deregivelse af personoplysninger er forudsat i lov om Center for Cybersikker-
hed.”
Datatilsynet skal om behandling af almindelige personoplysninger henlede
opmærksomheden på databeskyttelsesforordningens artikel 6, hvorefter der
alene kan ske behandling af almindelige personoplysninger, i det omfang
mindst ét af følgende forhold gør sig gældende:
a) Den registrerede har givet samtykke til behandling af sine personop-
lysninger til et eller flere specifikke formål.
b) Behandling er nødvendig af hensyn til opfyldelse af en kontrakt, som
den registrerede er part i, eller af hensyn til gennemførelse af foran-
staltninger, der træffes på den registreredes anmodning forud for ind-
gåelse af en kontrakt.
c) Behandling er nødvendig for at overholde en retlig forpligtelse, som
påhviler den dataansvarlige.
d) Behandling er nødvendig for at beskytte den registreredes eller en an-
den fysisk persons vitale interesser.
e) Behandling er nødvendig af hensyn til udførelse af en opgave i sam-
fundets interesse eller som henhører under offentlig myndighedsudø-
velse, som den dataansvarlige har fået pålagt.
f) Behandling er nødvendig for, at den dataansvarlige eller en tredje-
mand kan forfølge en legitim interesse, medmindre den registreredes
interesser eller grundlæggende rettigheder og frihedsrettigheder, der
kræver beskyttelse af personoplysninger, går forud herfor, navnlig
hvis den registrerede er et barn.
Det følger endvidere af artikel 6, stk. 1, litra f, 2. afsnit, at litra f, første afsnit,
ikke gælder for behandling, som offentlige myndigheder foretager som led i
udførelsen af deres opgaver.
En offentlig myndighed vil dermed som udgangspunkt ikke kunne behandle
personoplysninger, herunder videregive personoplysninger til CFCS, på bag-
grund af legtime interesser i medfør af artikel 6, stk. 1, litra f.
7
Om behandling af oplysninger om strafbare forhold kan Datatilsynet endvi-
dere oplyse, at behandling af disse oplysninger er reguleret i databeskyttelses-
lovens § 8.
På den baggrund finder Datatilsynet, at Forsvarsministeriet skal overveje,
hvorvidt de tilsluttede myndigheder og virksomheders behandling af perso-
noplysninger i forbindelse med udkastet kan ske inden for rammerne af data-
beskyttelsesforordningen og databeskyttelsesloven.
Forsvarsministeriet skal i den forbindelse særligt overveje, om de tilsluttede
myndigheder har hjemmel i forordningens artikel 6, stk. 1, litra a-e til behand-
ling af almindelige personoplysninger, om de tilsluttede myndigheder og virk-
somheder har hjemmel i databeskyttelseslovens § 8 til behandling af oplysnin-
ger om strafbare forhold og endelig om reglerne i udkastet kan udgøre en na-
tional særregel i medfør af databeskyttelsesforordningens artikel 9, stk. 2, litra
g. Forsvarsministeriet skal i den forbindelse foretage en vurdering i henhold
til ”tjeklisten” om udarbejdelse af nye nationale særregler for behandling af
følsomme personoplysninger, som fremgår af side 229f i betænkning nr. 1565
om databeskyttelsesforordningen – og de retlige rammer for dansk lovgiv-
ning.
3.4. Af de særlige bemærkninger til udkastets § 1, nr. 3, fremgår følgende om
den foreslåede § 6:
”Med bestemmelsen skabes hjemmel til, at Center for Cybersikkerhed kan an-
vende aktivt cyberforsvar, hvor der reageres på cyberangreb i realtid. Det skal
ses i modsætning til den monitoreringsydelse, der kan tilbydes efter gældende
ret og efter den foreslåede § 4, og hvor monitoreringen er passiv i den forstand,
at internettrafik alene undersøges for ondartet aktivitet. Hvis der konstateres en
sådan ondartet aktivitet, håndteres denne efterfølgende af medarbejdere i cente-
rets netsikkerhedstjeneste.
Aktivt cyberforsvar efter den foreslåede bestemmelse indebærer, at centeret ved
hjælp af en teknisk løsning kan blokere, omdanne eller omdirigere netværks-
kommunikation ved konstatering af en kendt signatur (indikator) på et cyberan-
greb. Reaktionen vil være fuldt automatiseret og foregå i realtid.
[…]
Aktivt cyberforsvar vil – i modsætning til det passive cyberforsvar – indebære
risiko for, at der sker fejl. På samme vis som med eksisterende kommercielle
sikkerhedsløsninger kan det således ikke udelukkes, at systemet ved en fejl pro-
grammeres eller installeres på en måde, hvor ikke-skadelig netværkstrafik fejl-
agtigt bliver påvirket, og hvor dette påfører tredjemand eller den tilsluttede
myndighed eller virksomhed et økonomisk tab. Et eventuelt erstatningsansvar
for Center for Cybersikkerhed vil skulle vurderes efter de almindelige regler for
offentlige myndigheders erstatningsansvar.
[…]
Tilslutning til det aktive cyberforsvar vil altid være frivillig for myndigheder og
virksomheder, der således på baggrund af information om systemets funktiona-
litet og risikoen for fejl vil kunne tage stilling til, om de ønsker at blive tilslut-
tet.
8
[…]
Det foreslås med stk. 2, at stk. 1 finder tilsvarende anvendelse i forhold til sta-
tionære data hos tilsluttede myndigheder og virksomheder, samt at netsikker-
hedstjenesten ved en konstateret sikkerhedshændelse endvidere kan slette de
stationære data, der har forårsaget sikkerhedshændelsen.
I den aktive udgave vil der i sikkerhedssoftwaren kunne fastsættes automatiske
reaktioner på bestemte alarmer. Formålet vil være at forebygge, stoppe eller be-
grænse cyberangreb.
[…]
Sikkerhedssoftwaren vil blive indrettet således, at der automatisk genereres en
log over aktive reaktioner, som kan sendes til den tilsluttede myndighed eller
virksomhed.
Anvendelse af sikkerhedssoftwaren i en aktiv udgave vil altid være frivillig for
myndigheder og virksomheder, der således på baggrund af information om
softwarens funktionalitet og risikoen for fejl vil kunne tage stilling til, om an-
vendelsen ønskes.”
Datatilsynet skal i den forbindelse henlede opmærksomheden på reglerne i
databeskyttelsesforordningen om behandlingssikkerhed og brud på personda-
tasikkerheden.
Det følger af forordningens artikel 32, at den dataansvarlige og databehandle-
ren under hensyntagen til det aktuelle tekniske niveau, implementeringsom-
kostningerne og den pågældende behandlings karakter, omfang, sammenhæng
og formål samt risiciene af varierende sandsynlighed og alvor for fysiske per-
soners rettigheder og frihedsrettigheder gennemfører passende tekniske og
organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til
disse risici.
Af forordningens artikel 32, stk. 2, følger det endvidere, at der ved vurderin-
gen af, hvilket sikkerhedsniveau der er passende, navnlig skal tages hensyn til
de risici, som behandling udgør, navnlig ved hændelig eller ulovlig tilintetgø-
relse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplys-
ninger, der er transmitteret, opbevaret eller på anden måde behandlet.
Et brud på persondatasikkerheden defineres – som tidligere nævnt – i forord-
ningens artikel 4, nr. 12, som et brud på sikkerheden, der fører til hændelig
eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller
adgang til personoplysninger, der er transmitteret, opbevaret eller på anden
måde behandlet.
Den tilsluttede myndighed eller virksomhed bør derfor – eventuelt i samar-
bejde med CFCS – nærmere overveje, hvordan denne risiko for fejl fra CFCS’
side i forbindelse med det aktive cyberforsvar håndteres i forhold til den data-
ansvarliges forpligtelser i databeskyttelsesforordningens artikel 32, 33 og 34.
3.5. Som følge af det foreslåede passive cyberforsvar – men især det aktive
cyberforsvar og de forebyggende sikkerhedstekniske undersøgelser er det
9
endvidere Datatilsynets forståelse, at CFCS vil kunne få kendskab til brud på
persondatasikkerheden, som den tilsluttede myndighed eller virksomhed ikke
nødvendigvis selv er bekendt med.
Datatilsynet skal i den forbindelse igen henlede opmærksomheden på de for-
pligtelser den tilsluttede myndighed eller virksomhed har efter databeskyttel-
sesforordningens artikel 33 til at anmelde et brud på persondatasikkerheden
uden unødig forsinkelse og om muligt senest 72 timer efter, at denne er blevet
bekendt med bruddet. Der kan endvidere henvises til artikel 32 om den data-
ansvarliges forpligtelse til at sikre persondatasikkerheden.
På den baggrund forekommer det efter Datatilsynets opfattelse uhensigtsmæs-
sigt, at CFCS kan blive bekendt med et brud på persondatasikkerheden hos en
tilsluttet myndighed eller virksomhed, uden at CFCS ses at være forpligtet til
at oplyse den tilsluttede myndighed eller virksomhed herom.
Kopi af dette brev sendes til Justitsministeriets Lovafdeling til orientering.
Med venlig hilsen
Camilla Andersen
Fra: Mikael Sjöberg <MikaelSjoeberg@OestreLandsret.dk>
Sendt: 6. februar 2019 09:03
Til: FMN-MYN-FORSVARSMINISTERIET; FMN-TBL Larsen, Tina Kathrine Berg;
FMN-SBU Østergren, Stine Busch
Cc: Carina Marie Gjede Hansen; Ellen Busck Porsbo
Emne: høringssvar til Forsvarsministeriet (2018/0006599)
Kategorier: Tino
(FMI-KI besked: Denne mail kommer fra Internettet.)
Forsvarsministeriet
Holmens Kanal 9
1060 København K
Ved en mail af 7. januar 2019 har Forsvarsministeriet anmodet om eventuelle bemærkninger til høring over
udkast til forslag om ændring af lov om Center for Cybersikkerhed (initiativer til styrkelse af
Cybersikkerheden)( 2018/006599).
Det fremgår af lovbemærkningerne , at lovforslaget er et led i udmøntningen af den nationale strategi for
cyber- og informationssikkerhed, og at Forsvarsministeriet i den forbindelse har lagt afgørende vægt på, at
lovgivningsinitiativerne udmøntes med den fornødne respekt for retssikkerheden og den personlige frihed.
Initiativerne er målrettede og går efter udkastet ikke videre, end formålet tilsiger.
Udkastet til lovændring har været drøftet på et bestyrelsesmøde i Dommerforeningen.
En række af de indgreb, der kan foretages efter lovudkastet, vil – som det også fremgår i lovudkastets alm.
del, pkt. 3.3.2 – utvivlsomt være omfattet Grundlovens § 72. Af samme grund indeholder udkastet
udtrykkelig lovhjemmel til indgrebene for at imødekomme Grundlovens krav om, at indgreb kun kan ske
efter retskendelse, medmindre lovgivningen ”hjemler særegen undtagelse”.
Den meget væsentlige afgrænsning mellem på den ene side § 72-indgreb, der foretages som følge af
mistanke om et strafbart forhold, og som er omfattet af strafferetsplejen og dermed reguleret af
retsplejelovens bestemmelser om forudgående – eller undtagelsesvis efterfølgende – dommerkendelse, og
på den anden side andre indgreb, der ligeledes er omfattet af § 72, og som kan foretages uden retskendelse,
hvis der er skabt lovhjemmel, beror på en konkret vurdering og kan i praksis være vanskelig at drage. Den
endelige afgørelse af tvister herom henhører under domstolene. Grundlovens krav om forudgående
dommerkendelse – medmindre særegen hjemmel findes i lovgivningen – må også ses i lyset af denne
afgrænsningsproblematik, ligesom kravet om forudgående dommerkendelse helt grundlæggende tjener som
et værn mod personforfølgelse og andre former for magtfordrejning.
Dommerforeningen forudsætter i den forbindelse, at måtte man via de af lovforslaget omfattede indgreb,
som uden retskendelse giver adgang til trafikdata, pakkedata og nu tillige stationære data hidrørende fra
pc’ere, smartphones, tablets og servere hos myndigheder og virksomheder, der er tilsluttet (herunder
påtvunget tilsluttede), jf. lovudkastets forslag til § 4, komme i besiddelse af oplysninger, som rejser mistanke
om et strafbart forhold, vil sådanne oplysninger ikke kunne anvendes, medmindre der forholdes i
overensstemmelse med retsplejelovens straffeprocessuelle regler.
Dommerforeningen er bekendt med høringssvaret fra Københavns Byret, der er afgivet på
byretspræsidenternes vegne. Dommerforeningen kan tilslutte sig bemærkningerne om, at bistand af en
indgrebsadvokat i de situationer, der er omtalt i lovudkastets § 7, jf. § 7a er ufornøden.
Side 1 af 2
06-02-2019
https://fmn14.prod.kesdh.fsv/app/captia/getdocument.asp?errTemplate=errorDescripti...
Med venlig hilsen
Mikael Sjöberg
landsdommer/Formand for Den Danske Dommerforening
Direkte: + 45 99 68 65 01/ + 45 21 66 18 49
Side 2 af 2
06-02-2019
https://fmn14.prod.kesdh.fsv/app/captia/getdocument.asp?errTemplate=errorDescripti...
1/3
Dok. 18/06595-7 Offentlig/Public
Energinet
Tonne Kjærsvej 65
DK-7000 Fredericia
+45 70 10 22 44
info@energinet.dk
CVR-nr. 28 98 06 71
Dato:
4. februar 2019
Forfatter:
MVF/SGL
NOTAT
HØRINGSSVAR TIL
HØRINGSSVAR TIL
HØRINGSSVAR TIL
HØRINGSSVAR TIL UDKAST TIL FORSLAG T
UDKAST TIL FORSLAG T
UDKAST TIL FORSLAG T
UDKAST TIL FORSLAG TIL LOV OM
IL LOV OM
IL LOV OM
IL LOV OM
ÆNDRING AF LOV OM CE
ÆNDRING AF LOV OM CE
ÆNDRING AF LOV OM CE
ÆNDRING AF LOV OM CENTER FOR CYBERSIKKER
NTER FOR CYBERSIKKER
NTER FOR CYBERSIKKER
NTER FOR CYBERSIKKERHED
HED
HED
HED
(INITIATIVER TIL STY
(INITIATIVER TIL STY
(INITIATIVER TIL STY
(INITIATIVER TIL STYRKELSE AF CYBERSIKKE
RKELSE AF CYBERSIKKE
RKELSE AF CYBERSIKKE
RKELSE AF CYBERSIKKERHEDEN)
RHEDEN)
RHEDEN)
RHEDEN)
1. Indledning
Energinet takker for muligheden for at give bemærkninger til forslag til lov om ændring af lov
om center for Cybersikkerhed (Initiativer til styrkelse af cybersikkerheden), idet vi samtidig
bemærker, at Energinet ikke fremgår af høringslisten som direkte høringspart.
Energinet har gennemgået forslag til ’lov om ændring af lov om center for Cybersikkerhed (Initi-
ativer til styrkelse af cybersikkerheden)’ med fokus på de emner, der har særlig betydning for
Energinet, og har målrettet kommenteringen til disse.
Energinet anerkender, at det aldrig har været vigtigere at fortage vidensdeling indenfor områ-
det; herunder både erfaringsudveksling fra nationalt og international hændelser - samt udveks-
ling af operationel viden (de såkaldte ’Indicators Of Compromise – IOC’er) på tværs af sekto-
rerne, som har kritisk infrastruktur.
Det ses som et meget positivt tiltag at Center for Cybersikkerhed, nu også vil benytte sikker-
hedsteknologier, såsom de nævnte Honeypots (3.5.3.1) og sink-hole (3.5.3.2) teknologier.
2. Energinets bemærkninger til lovforslag
2.1 Placering af udstyr
Energinet bemærker, at der hverken i lovforslaget (eller de tilhørende noter) tydeligt beskrives,
hvor Center for Cybersikkerhed’s udstyr/software bliver placeret hos myndighe-
den/virksomheden.
Rent teknisk kan udstyr placeres på tre former for netværk modeller:
1. Udstyr/software kan placeres på netværket imellem myndigheden/virksomheden og
Internettet (et såkaldt DMZ netværk)
2. Udstyr/software kan placeres på det/de interne kontornetværk, ejet af myndighe-
den/virksomheden (de såkaldte IT netværk)
2/3
Dok. 18/06595-7 Offentlig/Public
3. Udstyr/software kan placeres på det/de interne industri-/produktionsnetværk, ejet af
myndigheden/virksomheden (de såkaldte Industrielle netværk)
Energinet er bekymrede, såfremt Center for Cybersikkerhed påtænker at kunne placere ud-
styr/software på det industrielle netværk. På dette netværk findes typisk industrielle enhe-
der/system såsom f.eks. ICS (Industrial control systems, SCADA (Supervisory Control And Data
Acquisition) PLC (Programmable Logic Controller) enheder – I Energisektoren styrer dette form
for udstyr f.eks. den danske forsyning af El –og Gas.
2.2 Industrielle enheder er ikke som almindelige IT-enheder
Ovenstående industrielle enheder er opbygget på en særlig måde – og har en helt særlig profil,
idet de som helhed styrer en række kritiske processer. Denne form for enheder er markant
anderledes end traditionelle IT-systemer.
Det ses som problematisk, at det beskrives 3.9.2 at ”..løbende at scanne lokale enheder for
tegn på cyberangreb..", idet en sådan scanning af industrielt udstyr – på netværk, CPU eller
RAM niveau - potentielt kan påvirke det industrielle udstyr negativt med efterfølgende risiko
for, at udstyret ikke længere vil fungere efter hensigten.
2.3 Konfigurationsmetode- og ressourcebehov
Særligt problematisk, ses beskrivelsen af 3.3.3.1. Sikkerhedssoftwaren. I lovforslaget beskrives
det, at denne kan benyttes i to former for konfiguration (hhv. passivt –og aktiv).
Uanset valg af konfigurationsmetode, er det Energinet’s faglige vurdering, baseret på konkret
produktviden – og erfaringsudveksling med samarbejdspartnere indenfor området, at der er en
markant risiko for, – særligt i industrielle miljøer – at softwaren ikke har tilstrækkelig indsigt og
forståelse af det normalt accepterede driftsmønster i et sådan produktionsmiljø – dette gælder
både ved de typiske industrielle enheder (PLC/RTU m.v) samt de tilhørende servere og PC-
arbejdsstationer, som understøtter det samlet produktions miljø.
Denne manglende indsigt vil derfor kunne påvirke f.eks. industrielle tidskritiske autonome drift
processer – hvorved at den nævnte sikkerhed software kan negativt påvirke forsyningselemen-
ter – og derved potentielt i værste tilfælde kunne påvirke forsyningsevnen.
Selv ved implementering af den passive konfiguration, kræver det et meget stort forarbejde af
et hold af specialister der besidder både IT-sikkerhed, Industriel sikkerhed samt Industriel pro-
ces baggrund at sikre en pålidelig implementering af et sådan sikkerheds software – Vi kan ikke
læse i lovforslaget, hvordan dette er indtænkt – og hvorvidt at Center for Cybersikkerhed stiller
mandskab og/eller afholder udgifterne til denne omfattende aktivitet, - dette er særligt rele-
vant, såfremt myndigheden/virksomheden er blevet pålagt en sådan implementering for at
blive tilsluttet netsikkerhedstjenesten.
2.4 Ingen internetforbindelse – ’By design’
Et typisk industrielt netværk, vil aldrig have en åben direkte forbindelse til Internettet. For at
Center for Cybersikkerhed kan få nytte af udstyret –og de tilhørende log & event indsamlinger,
vil det betyde at der rent netværksteknisk skal åbnes for en ekstraordinær adgang, fra netvær-
ket ud til Center for Cybersikkerhed, hvilket vil kunne reducere modstandsdygtigheden – og
dermed cybersikkerheden for det nævnte netværk.
3/3
Dok. 18/06595-7 Offentlig/Public
Vi forventer naturligvis ikke, at det er den tiltænkte effekt at reducerer cybersikkerheden hos
myndigheden/virksomheden, men desværre kan vi ikke læse i materialet om hvordan Center
for Cybersikkerhed konkret vil løse denne tekniske problemstilling.
2.5 Øget fokus på tilsyn
Som et led i indførslen af lovgivningen, så bliver det endnu vigtigere at sikre, et sikkert tilsyns-
koncept med CFCS. Der er en række anbefalinger i sidste tilsyn, hvor det bør sikres, at CFCS
afhjælper disse anbefalinger samt at dette gøres indenfor en acceptabel deadline samt der
sikres opfølgning herpå. Der bør ligeledes stilles krav (i lighed med Mikaels kommentar neden-
for) om periodisk sikkerhedstest af de ydelser, som CFCS leverer – herunder både hardware,
software og ydelser.
2.6 Anbefalinger
Baseret på ovenstående bekymringer, vil Energinet anbefale, at det i lovforslaget æn-
dres/tydeliggøres, at en virksomhed/myndighed ikke kan pålægges at skulle opstille Center for
Cybersikkerhed’s udstyr på netværk, såfremt der står industrielle enheder – alternativt at virk-
somhed/myndigheden kan fritages for pålæg, såfremt det via dialog sandsynliggøres, at en
sådan implementering vil kunne påvirke samfundsvigtige funktioner, herunder forsyningsevnen
hos myndigheden/virksomheden.
Vi vil anbefale, at det indføres i lovforslaget, at en virksomhed/myndighed, som frivilligt ønsker
at deltage – for egen regning - må have lov til at sikkerhedsteste udstyret, før det går i produk-
tion. Dette skal koordineres med Center for Cybersikkerhed og de tekniske resultater, samt
eventuelle sårbarheder fra testen skal derefter deles med Center for Cybersikkerhed, såfremt
Center for Cybersikkerhed ønsker dette. Et sådan tiltag ligger i tråd med almindelig praksis.
Islands Brygge 32D
2300 København S
Tlf. 3524 6000
Mail: FH@fho.dk
Forsvarsministeriet
fmn@fmn.dk
cc:
tbl@fmn.dk og sbu@fmn.dk
Sagsnr. 19-0588
Vores ref. AGV/M
Deres ref. 2018/006599
Den 4. februar 2019
Høringssvar – sagsnr. 2018/006599 - Høring over udkast til lovforslag til
lov om ændring af lov om Center for Cybersikkerhed (Initiativer til
styrkelse af cybersikkerheden)
FH har modtaget Forsvarsministeriets høring over udkast til lovforslag til lov om ændring af lov
om Center for Cybersikkerhed (Initiativer til styrkelse af cybersikkerheden).
Af høringen fremgår, at lovforslaget er et led i udmøntningen af den nationale strategi for
cyber- og informationssikkerhed.
I lovforslaget foreslås det, at der efter § 6 i den gældende lov om Center for Cybersikkerhed
indsættes følgende:
”§ 6 a. Med henblik på at kunne rådgive myndigheder og virksomheder om forebyggelse af
sikkerhedshændelser, kan Center for Cybersikkerhed gennemføre forebyggende sikkerhedstekniske
undersøgelser, når en myndighed eller virksomhed har anmodet centeret herom.
Stk. 2. Efter anmodning fra myndigheden eller virksomheden kan Center for Cybersikkerhed som led i
den forebyggende sikkerhedstekniske undersøgelse
1) uden retskendelse behandle trafikdata, pakkedata og stationære data hos myndigheden eller
virksomheden,
2) behandle offentlig tilgængelige data om myndigheden eller virksomheden og dennes
medarbejdere, og
3) iværksætte forebyggelsesaktiviteter rettet imod udvalgte medarbejdere eller enheder i
myndigheden eller virksomheden.”
Af bemærkningerne til lovforslaget fremgår det, at Center for Cybersikkerhed efter det
foreslåede § 6a, stk. 2, nr. 3 efter anmodning fra myndigheden eller virksomheden vil kunne
iværksætte forebyggelsesaktiviteter rettet mod udvalgte medarbejder eller enheder i
myndigheden eller virksomheden. De i bemærkningerne nærmere beskrevne
forebyggelsesaktiviteter i form af fx såkaldt spear phishing, er omfattet af aftalerne om
Side 2 af 2
kontrolforanstaltninger på det statslige, regionale og kommunale område (Cirkulære om aftale
om kontrolforanstaltninger, CIR nr. 9588 af 01/11/2010, Aftale om kontrolforanstaltninger
indgået mellem RLTN og Forhandlingsfællesskabet, samt Aftale om kontrolforanstaltninger
indgået mellem KL og Forhandlingsfællesskabet).
FH retter opmærksomheden på § 4, stk. 1, som er enslydende i cirkulæret/aftalerne, om
information til de ansatte 6 uger forud for iværksættelse af nye kontrolforanstaltninger samt
cirkulæret/aftalernes § 4, stk. 3, ligeledes enslydende i cirkulæret/aftalerne, hvoraf det
fremgår:
”Hvis formålet med kontrolforanstaltningen vil forspildes ved en forudgående information, eller tvingende
driftsmæssige grunde er til hinder herfor, skal kommunen informere de ansatte snarest muligt efter
iværksættelsen af kontrolforanstaltningen samt redegøre for årsagen til, at der ikke kunne ske en
forudgående information.”
En tilsvarende aftale om kontrolforanstaltninger indeholdende informationspligt er gældende
på det private område, jf. den af DA og LO indgåede aftale om kontrolforanstaltninger af 27.
oktober 2006.
Med venlig hilsen
Arne Grevsen
Finans Danmark | Amaliegade 7 | 1256 København K | www.finansdanmark.dk
Høringssvar
4. februar 2019
Dok. nr. FIDA-151247800-646019-v1
Kontakt Mette Stürup
Forsvarsministeriet
fmn@fmn.dk
tbl@fmn.dk
sbu@fmn.dk
Henvisning til sagsnummer 2018/006599.
Styrkelse af Center for Cybersikkerheds
mulighed for at forsvare Danmark samti-
dig med, at virksomhedernes retssikker-
hed sikres
Resumé
Danmark er et af verdens mest digitaliserede lande. Det gør os så mere sårbare
over for digitale angreb. Det er væsentligt at sikre, at der er adgang til samfunds-
kritiske tjenester som strøm, internet og finansielle tjenester. Finans Danmark me-
ner, at der er behov for at styrke Danmarks cybersikkerhed. Der er en reel risiko
for cyberangreb og for at blive hacket.
Et led i dette er, at Center for Cybersikkerhed har de rette værktøjer til at be-
kæmpe det stigende antal cyberangreb med. Vi støtter derfor lovforslagets in-
tentioner. Men vi finder de brede og upræcise hjemmeler betænkelige. Herun-
der giver det især anledning til bekymring, at er mulighed for at der skal gives ad-
gang til alle virksomheders trafik uden retskendelse. Når dette så kombineres
med muligheden for at pålægge en virksomhed at tilslutte sig centerets sensor-
netværk, kan det blive problematisk. Vi foreslår, at tilslutning sker ad frivillighe-
dens vej og i fælles dialog.
Endelig finder vi det væsentligt, at der sker en øget videndeling, og vi opfordrer
til, at der sker en endnu tættere dialog på operativ dialog med især de sam-
fundskritiske sektorer. Vi ser gerne denne videndelingsforpligtigelse stærkere un-
derstreget i lovforslaget.
Finans Danmark | Amaliegade 7 | 1256 København K | www.finansdanmark.dk 2
Høringssvar
4. februar 2019
Dok. nr. FIDA-151247800-646019-v1
Finans Danmarks bemærkninger til lov-
forslag om ændring af Lov om Center
for Cybersikkerhed
Generelle bemærkninger
Danmark er et af verdens mest digitaliserede lande. Det gør os så mere sårbare
over for digitale angreb. Det er væsentligt at sikre, at der er adgang til samfunds-
kritiske tjenester som strøm, internet og finansielle tjenester. Finans Danmark me-
ner, at der er behov for at styrke Danmarks cybersikkerhed. Der er en reel risiko
for cyberangreb og for at blive hacket.
Et led i dette er, at Center for Cybersikkerhed har et tilstrækkeligt overblik i for-
hold til aktuelle trusler og de rette værktøjer til at bekæmpe det stigende antal
cyberangreb med. Vi støtter derfor generelt set lovforslagets intentioner. Imidler-
tid finder vi det betænkeligt, at der påtænkes udstukket vide rammer i forhold til
at kunne kræve bestemte sikkerhedskomponenter installeret hos bestemte myn-
digheder/virksomheder.
Finans Danmark og Cybersikkerhed
Finans Danmarks og vores medlemmer er særdeles optaget af cyber- og infor-
mationssikkerhed. Det er en topprioritet for sektoren, og vi har i de seneste år ta-
get en lang række initiativer for at forbedre cyber- og informationssikkerheden i
sektoren, blandt andet med etablering af NFCERT (Nordic Financial CERT) og
FSOR (Finansielt Sektorforum for Operationel Robusthed). I sidstnævnte gennem-
fører sektoren bl.a. en meget omfattende red team test i de kommende år base-
ret på TIBER-DK rammeværket.
Derudover deltager Finans Danmark og Finans Danmarks medlemmer i en række
offentlige aktiviteter og samarbejder om netop cybersikkerhed. Det drejer sig om
fx Det Strategiske Samarbejdsforum i regi af Center for Cybersikkerhed og rege-
ringens advisory board for den Nationale Cyber- og informationssikkerhedsstra-
tegi. Vi deltager også i følgende samarbejder i regi af Erhvervsministeriet: Virk-
somhedsrådet for IT-sikkerhed og Erhvervspartnerskabet for øget it-sikkerhed i
dansk erhvervsliv.
Finans Danmark har bidraget til og er positive over for de nye sektorstrategier for
styrkelse af cyberrobustheden i energi-, tele-, søfart-, finans-, transport- og sund-
hedssektoren, der alle blev præsenteret primo januar 2019. Vi forventer, at disse
strategier vil bidrage til at skabe et robust fundament for et øget og nødvendigt
Finans Danmark | Amaliegade 7 | 1256 København K | www.finansdanmark.dk 3
Høringssvar
4. februar 2019
Dok. nr. FIDA-151247800-646019-v1
samarbejde mellem offentlige og private parter, så vi i fællesskab kan styrke cy-
berrobustheden i Danmark i de kommende år. Det er vigtigt, at Center for Cy-
bersikkerhed har de fornødne beføjelser for derved at kunne løfte sit ansvar i
denne forbindelse.
Specifikke kommentarer til lovforslaget:
Pålæg om tilslutning til sensornetværket
Finans Danmark finder det betænkeligt, at der påtænkes udstukket vide rammer
i forhold til at kunne kræve bestemte sikkerhedskomponenter installeret hos ud-
valgte myndigheder/virksomheder. Dette kan i sig selv udgøre en ny sikkerheds-
mæssig risiko.
Herunder kan der være grund til at bekymre sig over den brede hjemmel, der gi-
ver adgang til virksomhedernes data uden retskendelse. Når dette så kombineres
med muligheden for at pålægge en virksomhed at tilslutte sig centerets sensor-
netværk, kan det blive problematisk. Vi foreslår, at tilslutning sker ad frivillighe-
dens vej og i fælles dialog.
Det er ikke helt klart, hvem denne bestemmelse i loven retter sig imod, da den
ikke indeholder en nærmere definition af, hvem som kan blive pålagt et påbud
om tilslutning.
Lovforslaget forholder sig ikke til de komplikationer, der kan opstå, såfremt sensor-
netværk påvirker eksempelvis den tilsluttede virksomheds it-driftsstabilitet. Leverer
Center for Cybersikkerhed 24x7x365 support, hvis problemer opstår? Hvis er skyl-
den, hvis virksomheden pga. sensornetværket får en forhøjet nedetid af virksom-
hedens it-systemer?
Endvidere skal det bemærkes, at der i disse år finder en hård konkurrence sted i
forhold til, hvor nye tech-virksomheder etablerer sig. Dette gælder også inden for
finansiel teknologi, hvor Danmark har oplevet en positiv og markant vækst inden
for fintechvirksomheder. Der er en risiko for, at lovforslagets mulighed for at på-
lægge virksomheder at implementere sensornettet kan få en negativ indvirkning
på Danmarks muligheder for fortsat at tiltrække investorer og virksomheder.
Karakteren og placeringen af sensorerne kan også have stor betydning for virk-
somhederne, og derfor bør installation være med passive elementer og udeluk-
kende ske på ydersiden hos virksomhederne. Hvis tilslutningen skal have værdi for
virksomheden. Er det er væsentligt, at der altid sker notificering hos dem, der er
Finans Danmark | Amaliegade 7 | 1256 København K | www.finansdanmark.dk 4
Høringssvar
4. februar 2019
Dok. nr. FIDA-151247800-646019-v1
tilsluttet sensornetværket, når Center for Cybersikkerhed identificerer en kritisk
hændelse.
Virksomhederne bør derfor selv have læseadgang og adgang til at oprette reg-
ler. Virksomhederne bør også have adgang til de logs, som dannes på Center for
Cybersikkerhed’s enheder. Center for Cybersikkerhed må gerne begrænse ad-
gang til specifikke regler på sensorerne, hvis denne visen ikke kan deles af hensyn
til samarbejde med andre efterretningstjenester.
Selve tilslutningen til sensornetværket gøres fremadrettet gratis, men lovforslaget
forholder sig ikke til, at en tilslutning kan medføre omkostninger vedr. fx dekrypte-
ring af data, væsentlig kompleks systemarkitektur etc. Dette kan også medføre
udgifter for de tilsluttede virksomheder, hvis der ikke direkte kan gives adgang til
ukrypteret netværkstrafik
Samlet set mener Finans Danmark derfor, at påbud ikke bør være en del af lov-
forslaget.
Aktivt Cyberforsvar
Indgriben/behandling ved begrundet mistanke bør altid foretages proportionalt
med risikoen, herunder skal den indgribende handling vurderes i forhold til virk-
somhedens samlede aktiviteter og samfundsmæssige funktion. Vi henstiller til agt-
pågivenhed og særligt at oplyse om alle handlinger med evt. indgriben, der in-
debærer eks. nedlukning af systemer/services, blokeringer af datastrømme eller
sletning af data.
Vi kan ikke acceptere ændringer, der kan have en negativ forretningsmæssig
konsekvens i forhold til vores services uden at have mulighed for indsigelse eller
selv foretage en risikovurdering forud for sådanne handlinger. Derudover kom-
mer, at der er en risiko for “falske positiver”.
Vi finder, at berørte virksomheder har et krav på at modtage rettidig information
om alvorligheden og det potentielle omfang af en vurderet sikkerhedshændelse,
herunder eventuel behandling af netværket. Dels for at kunne etablere egne for-
svarsforanstaltninger på det præventive, opdagende og korrigerende plan, dels
for at være oplyst om eventuelle direkte og afledte forretningsmæssige risici, som
virksomheden skal tage højde for i den fortsatte daglige drift.
Ved konstaterede sikkerhedshændelser, hvor netsikkerhedstjenesten beslutter at
forhindre levering af disse data til virksomheden, skal sådanne beslutninger ligele-
Finans Danmark | Amaliegade 7 | 1256 København K | www.finansdanmark.dk 5
Høringssvar
4. februar 2019
Dok. nr. FIDA-151247800-646019-v1
des ske under hensyntagen/overvejelser af konsekvenser for virksomhedens fort-
satte drift. Vi mener, at netsikkerhedstjenesten kan have disse beføjelser i de situ-
ationer, hvor den nationale sikkerhed er truet eller er påvirket særlig negativt,
men henstiller til, at det skal foregå under ordnede forhold og i høj kvalitet i udfø-
relsen, hvor hensynet til konsekvensen for de berørte virksomheder er i højsædet.
Behov for øget videndeling mellem offentlige myndigheder og private virksom-
heder
I forbindelse med lovforslaget finder vi det væsentligt, at der er fokus på en øget
videndeling, og vi opfordrer til, at der sker en endnu tættere dialog på et opera-
tionelt niveau mellem de samfundskritiske sektorer, herunder mellem de kom-
mende sektor-”CERT’er”. I forbindelse med lovforslaget finder vi det væsentligt,
at der er fokus på øget videndeling, og vi opfordrer til, at der sker en endnu tæt-
tere dialog på et operationelt niveau mellem de samfundskritiske sektorer, herun-
der mellem de kommende sektor-CERT’er. Vi ser gerne denne videndelingsfor-
pligtigelse stærkere understreget i lovforslaget.
Pakkedata
Bestemmelsen i forhold til Center for Cybersikkerheds adgang til at videregive
data, jf. § 16, stk. 2, synes at være meget bred. Det bør præciseres under hvilke
forhold og til hvem?
Forholdet til lov om finansiel virksomhed
Bankerne er underlagt regler om bankhemmelighed både i Danmark men også i
udlandet. Der savnes en nærmere redegørelse for, hvordan disse regler spiller
sammen med, at Forsvarets Efterretningstjeneste ønsker adgang til al kommuni-
kation i finanssektoren. Der savnes en beskrivelse (eller en lempelse) af forholdet
til særlovgivningens (FIL’s) fortroligheds- eller tavshedspligtsbestemmelser.
En række finansielle institutter og virksomheder behandler også data for ikke-
danske kunder. Her skal man også overholde udenlandske regler og kan være
underlagt udenlandske tilsynsmyndigheder. Vi efterlyser, at lovforslaget forholder
sig til denne problemstillling, der formentlig også gælder for andre sektorer.
Tilslutning til Center for Cybersikkerhed kan ske ved, at man tilslutter sig ordnin-
gen, og det kan ske ved, at Center for Cybersikkerhed påbyder en virksomhed
at tilslutte sig. Hvis tilslutningen sker som følge af et påbud, kan det hævdes, at
enhver efterfølgende videregivelse af oplysninger fra banken til Center for Cy-
bersikkerhed er berettiget, da den følger af lov, jfr. FIL § 117. Hvis tilslutningen sker
frivilligt, kan videregivelse af oplysninger næppe ske med henvisning til FIL § 117
Finans Danmark | Amaliegade 7 | 1256 København K | www.finansdanmark.dk 6
Høringssvar
4. februar 2019
Dok. nr. FIDA-151247800-646019-v1
(berettiget videregivelse), og det kunne være ønskværdigt, at lovforslaget forhol-
der sig FIL § 117 og muligheden for at videregive oplysninger.
De finansielle outsourcingregler
Ad § 15: Hvilke kontroller er der etableret i forhold til at sikre Center for Cybersik-
kerhed’s adgang til virksomhedens kommunikation og data, som centret opnår
gennem sensornetværket ? Kan de tilsluttede virksomheder opnå en tilstrækkelig
indsigt i Forsvarets Efterretningstjeneste’s kontroller, fx gennem tilsynet med Cen-
ter for Cybersikkerhed? Dette er et formelt krav i Outsourcingbekendtgørelsen,
som gælder for finansielle institutioner i forhold til anvendte (kritiske) underleve-
randører.
Forholdet til de fire essentielle europæiske garantier i forhold til GPDR
De almindelige bemærkninger indeholder en analyse af forholdet til den Euro-
pæiske Menneskerettighedskonvention (EMRK), men ikke en specifik analyse af
forholdet til de fire essentielle europæiske garantier.
Fra Finans Danmarks side ser vi gerne, at lovforslaget udbygges med en analyse
af forholdet til de fire essentielle europæiske garantier, som de europæiske data-
tilsyn har beskrevet i ”Working Document 01/2016 on the justification of interferen-
ces with the fundamental rights to privacy and data protection through surveil-
lance measures when transferring personal data (WP 237)”.
De fire essentielle europæiske garantier har følgende indhold:
1. Myndigheder i tredjelandes adgang til og brug af personoplysninger hid-
rørende fra EU skal ske på grundlag af klare, præcise og tilgængelige
regler.
2. Myndigheder i tredjelandes adgang til og brug af personoplysninger hid-
rørende fra EU skal være nødvendig og proportional, der skal være ba-
lance mellem formålet (national sikkerhed) og indgrebet i de registrere-
des ret til beskyttelse af deres privatliv.
3. Der skal være en uafhængig og effektiv tilsynsmyndighed i tredjelandet.
4. Der skal være tilgængelige og effektive retsmidler for de registrerede i
tredjelandet.
I dag påkalder de fire essentielle europæiske garantier sig især opmærksomhed,
når personoplysninger om europæiske registrerede overføres fra EU til tredje-
lande uden for EU.
Finans Danmark | Amaliegade 7 | 1256 København K | www.finansdanmark.dk 7
Høringssvar
4. februar 2019
Dok. nr. FIDA-151247800-646019-v1
På længere sigt har EU-kommissionen imidlertid bebudet, at man vil kigge nær-
mere på, hvorvidt EU’s medlemslande også selv overholder de fire essentielle ga-
rantier, og hvordan – i det omfang dette ikke er tilfældet – det sikres, at garanti-
erne overholdes inden for EU’s grænser.
Lovforslaget indebærer, at Center for Cybersikkerhed fremadrettet vil få mulig-
hed for i større omfang end hidtil at indsamle personoplysninger af hensyn til nati-
onal sikkerhed. I dét lys henstiller Finans Danmark til, at lovgiver forholder sig til,
om forslaget i sin nuværende udformning sikrer tilstrækkelige garantier for de re-
gistrerede, når deres personoplysninger overføres til Danmark.
Specifikke bemærkninger
Er § 8 a omfattet af offentlig aktindsigt?
Med venlig hilsen
Mette Stürup
Direkte: +4527152020
Mail: ms@fida.dk
30.01.2019
Forsikring & Pension
Philip Heymans Allé 1
2900 Hellerup
Tlf.: 41 91 91 91
Fax: 41 91 91 92
fp@forsikringogpension.dk
www.forsikringogpension.dk
Henriette Günther Sørensen
Chefkonsulent
Dir. 41 91 91 74
hgs@forsikringogpension.dk
Sagsnr. GES-2019-00024
DokID 376113
Brancheorganisation
for forsikringsselskaber
og pensionskasser
Forsvarsministeriet
Sendt e-mail til fmn@fmn.dk
c.c. tbl@fmn.dk og sbu@fmn.dk
Lov om ændring af lov om Center for Cybersikkerhed - hørings-
svar - deres sagsnummer 2018/006599
Forsikring & Pension (F&P) værdsætter muligheden for at komme med bemærk-
ninger til lovforslaget om ændring af lov om Center for Cybersikkerhed.
Der er stor opbakning fra F&P til en mere fokuseret indsats, der bidrager til at
understøtte et højt informationssikkerhedsniveau i samfundet og til de overord-
nede tanker om, at Center for Cybersikkerhed (CFCS) får et bedre datagrundlag
til forebyggelse og bekæmpelse af cyberangreb i Danmark. Særligt forslaget om
mulighed for at kunne foretage forebyggende sikkerhedstekniske undersøgelser
og at kunne foretage anvendelse og påvirkning af angrebsmål og angrebsinfra-
struktur vil få stor betydning i det forebyggende arbejde. Det arbejde deltager
forsikrings- og pensionsbranchen gerne i og støtter den ambitiøse nationale dags-
orden om at beskytte samfundsvigtige funktioner og kritisk digital infrastruktur.
Forsikrings- og pensionsbranchen bruger i dag mange ressourcer på at følge cy-
ber-risikobilledet og beskytte borgernes personoplysninger. Derfor hilser bran-
chen det også velkomment, at det offentlige styrker Danmarks samlede robusthed
i forhold til cybersikkerhed gennem aktivt og frivilligt samarbejde mellem offent-
lige virksomheder og private samfundsvigtige virksomheder. Det vil styrke Dan-
marks samlede robusthed.
F&P finder dog, at lovforslaget i sin nuværende form er alt for vidtgående. Lov-
forslaget giver meget vidtgående rammer for CFCS’ adgang til virksomheders data
uden retskendelse. Samtidig med at der åbnes for adgang til, at CFCS kan påbyde
virksomheder at blive tilsluttet CFCS - hvis det har samfundsvigtig karakter –
uden at der foreligger en nærmere definition af samfundsvigtig. Videre skal det
bemærkes, at branchen finder det problematisk, at CFCS vil have mulighed for at
tilgå ikke alene danske data uden en retskendelse men også udenlandske data. I
de tilfælde, det er en finansiel koncern, vil CFCS derved få en videre adgang end
tiltænkt i lovforslaget. Det er problematisk, at der ikke er taget stilling til denne
udfordring, herunder om der vil være en udfordring i relation til persondatafor-
ordningen, at CFCS vil kunne tilgå andre EU borgeres persondata.
Forsikring & Pension
Sagsnr. GES-2019-00024
DokID 376113
Side 2
Forslaget er bekymrende i forhold til borgernes grundlæggende rettigheder og
frihedsrettigheder. Indgreb i borgernes grundlovsikrede rettigheder bør kun fore-
komme, hvis der er en væsentlig trussel, og det sker under iagttagelse af propor-
tionalitetsprincippet. Det er F&P’s vurdering, at lovforslaget i sin nuværende form
ikke imødekommer ovenstående.
Sektorstrategierne
Der er allerede med de seks sektorstrategier taget hul på at igangsætte initiativer,
der sikrer, understøtter og ruster samfundet mod cyberangreb. Initiativerne i sek-
torstrategierne igangsætter målrettede indsatser for de enkelte sektorer, ligesom
CFCS har en central rolle i forhold til at sikre de rette tværgående indsatser for de
seks kritiske sektorer. I delstrategien for den finansielle sektor lægges der op til,
at Finansielt Sektorforum for Operationel Robusthed (FSOR) fortsat bliver et vigtig
fora til at skabe overblik over operationelle risici på tværs af sektoren, sikre gen-
nemførelse af fælles tiltag ift., at skabe robusthed overfor cyberangreb og endelig
skabe rammer for samarbejde og vidensdeling. Der er også lagt op til at udvide
samarbejdet med den Nordiske finansielle CERT (NFCERT), så alle større finan-
sielle virksomheder, herunder forsikrings- og pensionsselskaber bliver en del af
disse fora. Det er derfor vigtigt, at disse eksisterende og velfungerende fora ikke
undermineres af den nye lovgivning, men i stedet indtænkes. CFCS deltager på
lige fod med de finansielle virksomheder allerede i disse fora.
Det er F&P’s anbefaling, at Forsvarsministeriet bør afvente og vurdere effekten af
de initiativer, der netop er igangsat, førend der gribes til en grundlæggende og
vidtrækkende ændring af lovgivningen, der giver CFCS ubegrænset adgang til
data fra regioner, kommuner og virksomheder, hvis dette tilbydes eller påbydes.
En indsats i den finansielle sektorstrategi går på, at viden skal udnyttes til at
bekæmpe it-sikkerhedstrusler effektivt. Her vil man styrke indberetning af hæn-
delser for at forbedre vidensgrundlaget. Det kan være en anden måde at dele data
med CFCS og herigennem se på, hvordan der kan ske en hurtigere, bedre og om
muligt realtime deling af data om cyberhændelser.
Retssikkerhed og proportionalitetsprincippet
Det er et grundlæggende princip i et retssamfund som Danmark, at indgreb i
grundlovssikrede rettigheder – her meddelelseshemmeligheden – både er 1; nød-
vendigt, 2; at der er særligt tungtvejende hensyn til fx statens sikkerhed, som
kan begrunde indgrebet, og 3; at der er proportionalitet mellem mål og middel
(proportionalitetsprincippet).
En anden konsekvens af lovforslaget er, at indgrebet i meddelelseshemmelighe-
den medfører videregivelse og behandling af store mængder personoplysninger.
Her bør der også foretages en afvejning af, om målet kan nås med mindre indgri-
bende metoder end totalovervågning af alle en virksomheds data.
Der lægges op til, at CFCS kan behandle en virksomheds data uden retskendelse
men efter frivillig ”aftale”. I særlige tilfælde kan en virksomhed også blive pålagt
tilslutning, hvorefter CFCS kan få adgang til alle virksomhedens data uden rets-
kendelse.
Forsikring & Pension
Sagsnr. GES-2019-00024
DokID 376113
Side 3
Det grundlæggende kriterium om, at indgrebet skal kunne bruges til at under-
støtte ”et højt informationssikkerhedsniveau” i samfundet er for upræcist define-
ret i lovforslagets bemærkninger og efterlader et meget vidt skøn hos CFCS. Det
bør defineres fuldstændigt klart og præcist i lovforslaget, hvad der skal til for at
udløse CFCS’ beføjelser.
Det er særligt vigtigt, at man overholder de grundlæggende retsprincipper i de
situationer, hvor centeret har beføjelse til i § 3, stk. 4, at udpege virksomheder
af særlig samfundsvigtig karakter, der skal tilsluttes netsikkerhedstjenesten. F&P
opfordrer til, at det præciseres i bemærkningerne, hvad definitionen ”samfunds-
vigtig” indebærer, og at det tydeliggøres, at proportionalitetsprincippet skal indgå
i vurderingen af, hvornår det er nødvendigt at udstede påbud om tilslutning.
Lovforslaget indeholder heller ikke nogen nærmere ramme for indgrebets omfang,
som sikrer, at CFCS anvender mindre indgribende midler end en totalovervågning
af virksomhedens data. F&P opfordrer derfor til, at der i lovforslaget pålægges
CFCS en forpligtelse til at undersøge, om målet kan nås på en mindre indgribende
måde end ved at overvåge alle virksomhedens data.
F&P finder endvidere, at de rammer, der opsættes i den foreslåede § 15 for be-
handling af data erhvervet ved indgreb i meddelelseshemmeligheden, er alt for
vide og upræcist definerede. P.t. står der blot, at manuel analyse kan foretages,
når det vurderes at være ”nødvendigt”. Det bør klart beskrives i bemærkningerne,
hvornår det er nødvendigt at foretage manuelle analyser af data.
Retsikkerheden og behandling af personoplysninger
Selvom det primære formål er overvågning af datatrafikken og ikke overvågning
af enkeltpersoner, finder F&P det særdeles vidtgående, at der som led i overvåg-
ningen vil ske behandling af store mængder personoplysninger uden forudgående
retskendelse og uden, at de almindelige retssikkerhedsmæssige garantier i fx
retssikkerhedsloven overholdes.
Forsikrings- og pensionsbranchen er i sagens natur en branche, der lever af at
behandle personoplysninger herunder mange følsomme oplysninger. En generel
overvågning, som inkluderer alle data om en forsikringsvirksomheds kunder, er
derfor meget vidtgående. For eksempel kan det nævnes, at et selskab som PFA
har 1,2 mio. kunder.
F&P mener derfor, at CFCS ikke bør få mulighed for at kunne påbyde forsikrings-
og pensionsselskaber at blive tilsluttet netsikkerhedstjenesten.
Specifikke bemærkninger
Nedenfor listes en række særlige opmærksomhedspunkter og specifikke bemærk-
ninger.
1. Frivillighed
Al anvendelse i den private sektor af netsikkerhedstjenesten bør i øvrigt ske fri-
villigt og med fuld gennemsigtighed for de deltagende virksomheder. Således bør
den enkelte virksomhed have underretning og rapportering i alle tilfælde, hvor
der foreligger mistanke om, eller er sket fuldbyrdet cyberangreb, mod virksom-
heden. Virksomheden skal ligeledes have mulighed for at tilkoble netsikkerheds-
tjenesten til sit eget SIEM-system, for bl.a. selv at kunne kontrollere, hvilke data
Forsikring & Pension
Sagsnr. GES-2019-00024
DokID 376113
Side 4
der oversendes til netsikkerhedstjenesten. Endelig skal den enkelte virksomhed
kunne frakoble netsikkerhedstjenesten umiddelbart, hvis den finder tjenesten
uhensigtsmæssig.
2. Formål
Det bør være et ultimativt krav, at hverken Forsvarets Efterretningstjeneste eller
Politiets Efterretningstjeneste skal kunne gøre brug af netsikkerhedstjenesten i
deres efterretningsmæssige virke således forstået, at ingen af de to tjenester kan
benytte netsikkerhedstjenesten til at overvåge eller på anden vis indhente oplys-
ninger om en af dem i anden sammenhæng mistænkt virksomhed.
3. De finansielle videregivelsesregler
Hvor der sker videregivelse af data fra finansielle virksomheder, vil disse endvi-
dere være underlagt Lov om Finansiel virksomhed kap. 9.
F&P opfordrer Forsvarsministeriet til at indhente en udtalelse fra Finanstilsynet
om, hvorvidt tilsynet anser en videregivelse af oplysninger fra forsikrings- og pen-
sionsselskaber for berettiget – både i situationen, hvor tilslutning til netsikker-
hedstjenesten sker på frivillig basis og i situationen, hvor tilslutning sker efter
konkret påbud.
4. Reguleringen bør præciseres – i særdeleshed på nedenstående
punkter:
4.1. Jf. § 3 stk. 5 kan Forsvarsministeren fastsætte reglerne om påbud, uden at
disse er nærmere defineret
4.2 Jf. § 5 kan netsikkerhedstjenesten uden retskendelse behandle data fra en
virksomhed, som ikke er tilsluttet (hvis det vurderes at kunne bidrage til at
understøtte et højt informationssikkerhedsniveau i samfundet), uden at dette
er nærmere præciseret
5. Tilsyn
Den tilhørende kontrolmyndighed bør føre periodiske tilsyn med, at sikkerhedsni-
veauet hos Center for Cybersikkerhed, og herunder netsikkerhedstjenesten, er på
et absolut højt niveau. Et brud på sikkerheden hos Center for Cybersikkerhed vil
kunne få katastrofale følger for hele samfundet, såfremt bruddet medførte uved-
kommendes adgang til netsikkerhedstjenestens funktionalitet og de indhentede
data.
6. Opfølgning
Ifølge kommentarerne til lovændringen skal Center for Cybersikkerhed efter tre
år udarbejde en rapport om erfaringerne med den nye lovgivning til Folketinget.
Henset til den alvorlige og hastige ændring i cybertruslerne, bør denne rapporte-
ring ske allerede efter første år og følges op med rapportering efter andet og
tredje år. Rapporten bør være offentlig tilgængelig.
7. Det tekniske setup og performance
Der udtrykkes bekymring vedrørende CFCS’ anvendte tekniske løsninger i forhold
til opretholdelse eller ændring af virksomhedens sikkerhedsniveau og eventuelle
påvirkning af systemernes og infrastrukturs ydeevne.
Forsikring & Pension
Sagsnr. GES-2019-00024
DokID 376113
Side 5
Afslutningsvist bemærkes, at F&P ikke har været på Forsvarsministeriets hørings-
liste. Fremadrettet bedes I være opmærksomme på dette og sørge for, at F&P er
på høringslisten og modtager orienteringerne. I bedes sende til Forsikring & Pen-
sion på fp@forsikringogpension.dk.
Med venlig hilsen
Henriette Günther Sørensen
Fra: Nella Festirstein <nellaf@tinganes.fo>
Sendt: 14. januar 2019 18:38
Til: FMN-MYN-FORSVARSMINISTERIET; FMN-TBL Larsen, Tina Kathrine Berg; FMN-SBU Østergren, Stine Busch
Cc: 'ro@fo.stm.dk'; VMR-Journal
Emne: Høringssvar fra Færøernes landsstyre over udkast til forslag til lov om ændring af lov om Center for Cybersikkerhed
(RIGS-FO Sagsnr.: 2017 - 647)
Vedhæftede filer: Høring over udkast til forslag til lov om ændring af lov om Center for Cybersikkerhed.pdf; Høringsbrev.pdf;
Høringsliste.pdf; Lovudkast.pdf; smime.p7s
Kategorier: Christina
(FMI-KI besked: Denne mail kommer fra Internettet.)
Til Forsvarsministeriet
Færøernes Landsstyre har fra Rigsombudsmanden på Færøerne fået tilsendt i høring “Forslag til Lov om ændring af lov om Center for
Cybersikkerhed (Initiativer til styrkelse af cybersikkerheden)”.
Ifølge lovudkastets § 3 skal loven ikke gælde direkte for Færøerne, men loven kan senere ved kongelig anordning helt eller delvist
sættes i kraft for Færøerne, såfremt færøske myndigheder anmoder herom.
Færøernes Landsstyre tager dette til efterretning og har på nuværende tidspunkt ikke andre bemærkninger til lovforslaget.
Venlig hilsen
Nella Festirstein
Afdelingschef
Lagmandens Kontor
Lovafdelingen
Tlf. +298 30 60 00
Direkte tlf. +298 55 80 76
Fra: Rigsombuddet <ro@fo.stm.dk>
Sendt: 9. januar 2019 08:22
Til: Nella Festirstein <nellaf@tinganes.fo>; Journalin hjá LMS <journalin@tinganes.fo>
Emne: Høring hos færøske myndigheder over udkast til forslag til lov om ændring af lov om Center for Cybersikkerhed (RIGS-FO
Sagsnr.: 2017 - 647)
Til Løgmansskrivstovuna
På vegne af Forsvarsministeriet fremsendes i høring udkast til forslag til lov om ændring av lov om Center for Cybersikkerhed.
Forsvarsministeriet har sat høringsfristen til at være senest 4. februar kl. 11.
Bemærkninger bedes sendt til fmn@fmn.dk, tbl@fmn.dk, sbu@fmn.dk med kopi til Rigsombuddet på ro@fo.stm.dk
Med venlig hilsen
John Johannessen
Administrativ kontorleder
Postboks 12
FO-110 Tórshavn
Tlf.: +298 731203
E-mail: jjo@fo.stm.dk
www.rigsombudsmanden.fo
Til:
Fra: Forsvarsministeriet (fmn@fmn.dk)
Titel: Høring over udkast til forslag til lov om ændring af lov om Center for Cybersikkerhed
Sendt: 07-01-2019 16:01:50
Side 1 af 2
06-02-2019
https://fmn14.prod.kesdh.fsv/app/captia/getdocument.asp?errTemplate=errorDescripti...
Den vedhæftede e-mail er blevet behandlet af Sikker E-mail Postkasse.
Modtaget af Sikker E-mail Postkasse: 07-01-2019 16:02:08,940 CET
Sikkerhedskontrollen af e-mailen gav følgende resultat:
Fortrolig (krypteret): Nej
Digital signatur: Gyldig
signatur verificeret: 07-01-2019 16:02:08,957 CET
Virksomhedscertifikat
Navn : Forsvarsministeriet Departementet - Forsvarsministeriet
CVR : CVR:25775635
Bemærkning:
Øvrige oplysninger:
Krypteringstilstand:
transport nøgle krypteret med: Ingen kryptering
data krypteret med: Ingen kryptering
Side 2 af 2
06-02-2019
https://fmn14.prod.kesdh.fsv/app/captia/getdocument.asp?errTemplate=errorDescripti...
Ingeniørforeningen, IDA
Kalvebod Brygge 31-33
DK-1780 København V
Tlf. +45 33 18 48 48
Viden der styrker
ida.dk
Forsvarsministeriet
Holmens Kanal 9
1060 København K
fmn@fmn.dk
tbl@fmn.dk, sbu@fmn.dk
Svar på Høring over udkast til forslag til lov om ændring af lov om Center
for Cybersikkerhed (Initiativer til styrkelse af cybersikkerheden)
Ingeniørforeningen, IDA vil gerne takke for muligheden for at komme med svar på
Høring over udkast til forslag til lov om ændring af lov om Center for Cybersikker-
hed (Initiativer til styrkelse af cybersikkerheden).
Indledningsvist vil vi gerne understrege opbakning til en styrkelse af indsatsen for
en øget cybersikkerhedsindsats i Danmark. Det gælder både en aktiv indsats un-
der Forsvarsministeriets institutioner, men også myndighedernes generelle ind-
sats for at højne niveauet for både viden, kompetencer til at håndtere udfordrin-
gerne og den rådgivningsindsats, der er sat i værk fra forskellige myndigheder.
Det er IDAs opfattelse, at der er brug for en bredspektret indsats overfor både of-
fentlige institutioner, virksomheder samt borgerne som privatpersoner. IDA bidra-
ger generelt meget gerne – og aktivt – til denne indsats.
I forhold til fremlagte lovforslag har IDA dog følgende betænkeligheder:
Manglende ajourføring af kapitel 6 til GDPR
Center for Cybersikkerhed har i forbindelse med det aktuelle lovforslag ikke revi-
deret det såkaldte kapitel 6 i den eksisterende lov. Kapitel 6 omfatter Center for
Cybersikkerheds håndtering af personoplysninger, og følger den nu tidligere per-
sondatalov. Center for Cybersikkerhed har således valgt ikke at opdatere kapitel
6 til GDPR (EU's databeskyttelsesforordningen/loven), hvilket betyder, at Center
for Cybersikkerhed lægger op til at være undtaget fra GDPR.
IDA har bedt sit it-politiske panel1 forholde sig til, at Center for Cybersikkerhed
lægger op til at undtage sig selv fra at følge GDPR, og mere end hver anden me-
ner, at Center for Cybersikkerhed burde leve op til GDPR.
1
IDAs it-politiske panel består af it-professionelle medlemmer af IDA.
4. februar 2019
Side 2 af 5
På denne baggrund anbefaler IDA, at lovforslaget justeres, sådan at kapitel 6 op-
dateres til at følge formålet med GDPR.
Jf. §3 og kapitel 4 om øgede muligheder for Center for Cybersikkerheds net-
sikkerhedstjeneste.
Påbud
Center for Cybersikkerheds netsikkerhedstjeneste har til opgave at opdage, ana-
lysere og bidrage til at imødegå sikkerhedshændelser hos tilsluttede myndigheder
og virksomheder. Med forslaget i §3, stk. 4 kan Center for Cybersikkerhed i ”sær-
lige tilfælde påbyde virksomheder, regioner og kommuner, der har særlig sam-
fundsvigtig karakter at blive tilsluttet netsikkerhedstjenesten”.
IDA har forståelse for at dele af den kritiske danske infrastruktur (til trods for vi i
Danmark endnu ikke har en klar definition heraf) med fordel kunne falde ind under
et behov for øget overvågning. Det gælder ikke mindst de dele af den kritiske in-
frastruktur, der er ejet eller driftes af udenlandske virksomheder. Dog er det afgø-
rende nødvendigt, at det defineres klart, hvad der menes med kritisk infrastruktur,
herunder eventuelt dele af organisationer eller institutioner, og at der skelnes klart
i forhold til om denne infrastruktur involverer personfølsomme eller udelukkende
ikke-personfølsomme data.
IDA har bedt sit it-politiske panel forholde sig til dette påbud (jf. desuden tabel 1):
 63 pct. svarer, at Center for Cybersikkerhed skal have lov til at påbyde
virksomheder/myndigheder at være med i sensornetværket - forudsat det
alene sker i særlige og lovdefinerede tilfælde.
 24 pct. mener, at Center for Cybersikkerhed slet ikke skal have lov til at
påbyde virksomheder/myndigheder at være med i sensornetværket.
Tabel 1. Hvad tænker du om det?
Procent
CFCS skal have lov til at påbyde virksomheder/myndigheder at være med i
sensornetværket
11 %
CFCS skal have lov til at påbyde virksomheder/myndigheder at være med i
sensornetværket - forudsat det alene sker i særlige og lovdefinerede til-
fælde
63 %
CFCS skal ikke have lov til at påbyde virksomheder/myndigheder at være
med i sensornetværket
24 %
Ved ikke 2 %
Ønsker ikke at svare 0 %
I alt 100 %
Kilde: IDA Analyse (2019): Ny lov for CFCS – en analyse blandt IDAs it-politiske panel.
Note: IDAs it-politiske panel består af it-professionelle medlemmer af IDA.
Side 3 af 5
IDA må på denne baggrund påpege, at det som følge af de øgede beføjelser i §3,
er afgørende nødvendigt med en specifik beskrivelse af, hvilke virksomheder og
hvilke funktioner i regioner og kommuner, der vil kunne høre under denne defini-
tion – og dermed blive ramt af påbud.
Udvidelse af sensornetværkets funktionalitet
Med lovforslaget ønsker Center for Cybersikkerhed at udvide funktionaliteten i
sensornetværket. Det betyder, at man ønsker at lave dataindsamlingen in-line for
at kunne gøre sensorerne aktive. Derved får Center for Cybersikkerhed mulighed
for at manipulere med datatrafikken. Fx standse datahøst eller manipulere det
svar til en hacker, som myndigheden/virksomheden måtte levere ved hack.
IDA har bedt sit it-politiske panel forholde sig dette element i lovforslaget, og de
tilkender blandt andet følgende (jf. desuden tabel 1):
 64 pct. er uenig eller helt uenig i, at Center for Cybersikkerhed i alle til-
fælde skal have lov til at udvide funktionaliteten, herunder også i forbin-
delse med påbud
 46 pct. er enig eller helt enig i, at Center for Cybersikkerhed skal have
lov til at udvide funktionaliteten, men kun de i tilfælde hvor en virksom-
hed/myndighed frivilligt ønsker det – dvs. at man fortsat kan blive på den
gamle ordning, hvis man ønsker det.
Tabel 2. Hvad tænker du om forslaget om at udvide sensornetværkets funktion?
Helt
uenig
Uenig
Hverken
eller
Enig
Helt
enig
Ved
ikke
I alt
CFCS skal i alle tilfælde
have lov til at udvide funk-
tionaliteten, herunder også
i forbindelse med påbud
24 % 40 % 12 % 8 % 9 % 7 % 100 %
CFCS skal have lov til at ud-
vide funktionaliteten, men
kun de i tilfælde hvor en
virksomhed/myndighed
frivilligt ønsker det. Dvs. at
man fortsat kan blive på
den gamle ordning, hvis
man ønsker det
12 % 21 % 16 % 27 % 19 % 5 % 100 %
Kilde: IDA Analyse (2019): Ny lov for CFCS – en analyse blandt IDAs it-politiske panel.
Note: IDAs it-politiske panel består af it-professionelle medlemmer af IDA.
IDA anbefaler derfor, at Center for Cybersikkerhed skriver ind i loven, hvornår og i
hvilket omfang en udvidet funktionalitet af sensornetværket skal kunne bruges.
Det skal være klart for virksomheder og myndigheder, om de kan påbydes, at
Center for Cybersikkerhed indsamler data in-line eller om de kan forblive på/nøjes
med den gamle ordning. IDA anbefaler i den forbindelse, at Center for Cybersik-
kerhed gør det frivilligt for virksomheder og myndigheder selv at vælge, om de vil
Side 4 af 5
være med i netværket på ny eller gammel ordning.
Jf. §§ 4 - 6
IDA er betænkelig ved §§ 4 – 6, der er omfattet af Grundlovens § 72. §§ 4- 6 giver
mulighed for at Center for Cybersikkerheds netsikkerhedstjeneste ”uden retsken-
delse kan behandle trafikdata, pakkedata og stationære data hidrørende fra til-
sluttede myndigheder og virksomheder”. Formålet med Grundlovens § 72 er at
sikre, at myndighederne ikke krænker privatlivets fred. Under helt særlige om-
stændigheder kan der undviges fra Grundloven efter afvejning af proportionali-
tetsprincippet. Ved at tillade en efterretningstjeneste adgang til at behandle trafik-
data, pakkedata og stationære data fra f.eks. sundhedsmyndigheder eller visse
typer virksomheder, vil tjenesten herved få adgang til personfølsomme oplysnin-
ger om borgere og kunder, herunder social- og sundhedsoplysninger, data vedr.
genetik og biometri, samt oplysninger om bl.a. religiøse, politiske og seksuelle til-
hørsforhold, som ikke vedrører andre end borgeren selv og en evt. behandler.
IDA finder det problematisk, at det ikke er præcist formuleret, i) hvordan og i hvil-
ket omfang efterretningstjenesten vil få adgang til sådanne oplysninger og ii)
hvordan man vil håndtere disse oplysninger, f.eks. jf. regler i GDPR, der har til
formål at beskytte og sikre borgerens ret til egne data.
For det andet finder IDA ikke, at der er proportionalitet mellem den fuldstændige
adgang til hele spektret af personfølsomme oplysninger og det formål, der er ud-
gangspunktet for lovforslaget.
Sammenfatning i forhold til §§ 3-6
IDA kan derfor ikke støtte ændringsforslagene i §§ 3-6 med de nuværende formu-
leringer, mangel på præciseringer og afgrænsninger og vi anbefaler derfor, at der
afsøges alternative muligheder til at overvåge eventuelle hændelser i de omtalte
institutioner og virksomheder.
Jf. § 16
IDA har forståelse for det fornuftige i at kunne videresende information om data
eller malware til de aktører, der måtte være negativt berørt af en sikkerhedshæn-
delse. IDA er derfor positive overfor denne ændring.
Jf. §17
IDA anerkender, at Center for Cybersikkerhed har identificeret et behov for at ar-
kivere data i forbindelse med sikkerhedshændelser i en længere periode end hid-
til antaget, herunder når formålet er at kunne genbruge erfaringer til at modvirke
eller forebygge nye hændelser. IDA vil dog gerne i den forbindelse bemærke to
ting:
Side 5 af 5
1. Så længe Center for Cybersikkerhed er fuldt og helt underlagt Forsvarets Efter-
retningstjeneste, og herunder undtaget GDPR, offentlighedslov og forvaltningslov
kan vi ikke bakke op om en udvidelse af slettefristen. Dette primært fordi, at det
øger tidsrummet, hvori Center for Cybersikkerhed kan dele informationer med an-
dre. Hverken de distribuerede informationer eller disse andre, som data deles
med, kan der føres demokratisk kontrol med, fordi Center for Cybersikkerhed er
organisatorisk placeret, som det er. Og det finder IDA problematisk. Vil centeret
derfor øge slettefristerne, må der tilsvarende åbenhed og demokratisk kontrol
med ind i lovforslaget.
2. Slettefristen på de (foreslåede) fem år gælder alene for Center for Cybersikker-
hed. Er data delt med andre, gælder slettefristen ikke for dem. Det finder IDA pro-
blematisk, og mener, at det bør skrives ind i loven, at slettefristen er en absolut
størrelse, som også gælder for dem, som data er blevet delt med. Vi ser derfor in-
gen grund til at videregivelse af data eller informationer om hændelser skulle an-
nullere sletningsfristen. Derimod bør Center for Cybersikkerhed gøre modtagerne
af informationerne opmærksom på, at data skal slettes. Udgangspunktet for
denne holdning er, at data helt generelt kun bør opbevares i så lang tid, som det
er nødvendigt for at udføre en given opgave.
Med venlig hilsen
Grit Munk Helena Juul Jensen
Chefkonsulent Chefkonsulent
Politik, Analyse og Presse Politik, Analyse og Presse
Ingeniørforeningen, IDA Ingeniørforeningen, IDA
Høringssvar: Lov om Center for Cybersikkerhed
1
IT-Branchens svar på høring over udkast til forslag til lov om
ændring af lov om Center for Cybersikkerhed
IT-Branchen hilser Regeringens store fokus på cybersikkerhed velkommen. Cybersikkerhed er en
afgørende forudsætning for vores gennemdigitaliserede samfund, og derfor er det glædeligt, at
regeringen, med den nationale strategi for cyber og informationssikkerhed og de mange
sektorstrategier, har forstået at løfte indsatsen på området markant.
Center for Cybersikkerhed (CfCS) spiller en central rolle i regeringens indsats på
cybersikkerhedsområdet, og får med det nuværende lovforslag en endnu mere central rolle. CfCS
har de seneste år i høj grad vist sin berettigelse, og har været med til at øge awareness og hjælpe
danske myndigheder og virksomheder med at forebygge, imødegå og beskytte sig mod
cyberangreb.
IT-Branchen har dog en række bekymringer omkring den rolle, som CfCS vil få som følge af
Regeringens lovforslag.
1. Påbud om tilslutning til sensornetværket er problematisk
Det er højest problematisk, at lovforslaget lægger op til, at CfCS kan påbyde private virksomheder
at blive tilsluttet Netsikkerhedstjenesten.
For mange virksomheder kan det kan være kritisk at blive tvunget til tilslutning, uden at kunne
redegøre overfor kunder og ejerkreds, hvad data bliver brugt til og hvor de havner.
Vi har en lang tradition i Danmark for tillid og åbenhed, og Danmark har en international
styrkeposition, fordi der er tillid til dansk digitalisering, og fordi Danmark internationalt er kendt for,
at have et åbent statsapparat.
Tvangstilslutning til overvågningstjenesten risikerer derfor både at ramme danske virksomheders
eksport samt internationale investeringer i forskning og produktudvikling i Danmark.
2. Der mangler klarhed om hvem der kan blive påbudt tilslutning
Det er meget bekymrende at der ingen steder i lovforslaget er nærmere defineret, hvilke typer af
virksomheder der kan påbydes at blive tilsluttet Netsikkerhedstjenesten. Begrebet
”samfundsvigtige virksomheder” er et meget uklart og kan tolkes meget bredt.
Det overlades hermed til centeret selv og Forsvarsministeren egenhændigt at beslutte, hvilke
virksomheder der skal påbydes at blive tilsluttet. Det vil skabe en stor usikkerhed hos mange
virksomheder. IT-Branchen anbefaler derfor at man fastholder at anvende begrebet
samfundskritisk infrastruktur (jf. NIS-direktivet), samt definerer hvad begrebet dækker i Danmark
og lader det være scope for loven.
3. Mangel på effektivt demokratisk tilsyn
Med udvidelsen af CfCS’s beføjelser er der en stigende nødvendighed for at sikre at centrets
beføjelser ikke misbruges.
Lovforslaget lægger op til at skabe en myndighed, som får øgede beføjelser over for civilsamfundet
uden at være underlagt domstolsprøvelse eller offentlig kontrol – bortset fra Folketingets
kontroludvalg. Ud over mulighed for at påbyde tilslutning til sensornetværket får centeret blandt
andet også mulighed for jf. kapitel 4 at tilgå data hos private virksomheder uden retskendelse.
Høringssvar: Lov om Center for Cybersikkerhed
2
I en tid hvor den frie vestlige verden generelt går mod større åbenhed og kontrol med
efterretningsvæsenet, går Danmark den stik modsatte vej med dette lovforslag.
IT-Branchen vil på det kraftigste opfordre til at CfCS, underlægges almindelig parlamentarisk
kontrol, ligesom deres afgørelser bør kunne prøves ved civile domstole.
4. Gør tilslutning frivillig
IT-Branchen anbefaler derfor på det kraftigste, at tilslutning til Netsikkerhedstjenesten gøres
frivillig. Den enkelte virksomhed eller myndighed bør selv træffe beslutning om hvilke
sikkerhedsforanstaltninger de anvender. Hvis CfCS alligevel finder det afgørende at påbyde
tilslutning til Netsikkerhedstjenesten bør tilslutning i disse tilfælde kunne ske gennem
virksomhedernes eget valg af teknologi og udstyr. Udveksling af data vil med et sådan setup kunne
ske på den tilsluttede virksomheds præmisser, krypteret og i et standardiseret format.
5. Centerets aktiviteter vil konkurrere på ulige vilkår med kommercielle it-
sikkerhedsleverandører
Flere elementer i lovforslaget vil gøre CfCS i stand til at tilbyde og påbyde ydelser gratis, som i dag
tilbydes af kommercielle aktører. Det er yderst problematisk for det danske marked for it-
sikkerheds produkter og services.
I bemærkningerne til lovforslaget fremhæves flere steder, at CfCS kan noget private leverandører
ikke kan, da centerets løsning er efterretningsbaseret. Vi er ikke i tvivl om, at CfCS har adgang til
efterretningsviden, som it-leverandørerne ikke har, og at det kan give centret nogle muligheder,
som branchen ikke har. Men det kan kun være relevant for en lille delmængde af de aktiviteter
centeret har. Mange af centerets informationer kommer fra de kommercielle aktører og langt de
fleste aktiviteter vil kunne løses mindst ligeså godt af private aktører.
Med det nuværende lovforslag som udvider centerets aktiviteter markant, vil en stadigt større del af
centerets aktiviteter være i direkte og ulige konkurrence med private aktører. Som eksempler på
foreslåede aktiviteter, der vil konkurrere med private leverandører, kan nævnes muligheden for at
tilbyde et aktivt cyberforsvar (3.2), installation af sikkerhedssoftware på lokale netværk og enheder
(3.3) og forebyggende sikkerhedstekniske undersøgelser (3.4).
Hvis CfCS ligger inde med efterretningsmæssig information der kan forbedre den
sikkerhedssoftware, der allerede findes på markedet anbefaler IT-Branchen i øvrigt, at centeret
stiller disse til rådighed for de relevante private aktører så de kan indlejres i deres
sikkerhedssoftware.
6. Brug markedet aktivt som medspiller
I stedet for at tilbyde aktiviteter i konkurrence med markedet, vil IT-Branchen anbefale at CfCS i
langt højere grad gør brug af de kommercielle aktører. Danmark har ifølge Erhvervsstyrelsen over
260 it-sikkerhedsleverandører med omkring 3.000 ansatte. Hertil kan lægges de ansatte, som
internationale leverandører kan trække på i udlandet.
Den ekspertise som hele erhvervslivet besidder inden for IT sikkerhed kan bringes langt bedre i
spil, ved at CfCS alene forestår det efterretningsbaserede analysearbejde, mens fx den konkrete
dataindsamling og det aktive cyberforsvar kan overlades til den tilsluttede organisation selv eller
private aktører efter udbud. En model der kunne overvejes er fx stille minimumskrav til sikkerheden
i virksomheder der varetager kritisk infrastruktur, eller ved at indgå en rammeaftale med flere
Høringssvar: Lov om Center for Cybersikkerhed
3
leverandører, således at alle kan tilsluttede organisationer kan vælge mellem en række godkendte
løsninger.
Herved kan CfCS bruge deres kompetencer og ressourcer mere effektivt, ligesom ressourcerne i
den danske it-sikkerhedsbranche ligeledes kan bringes bedre i spil. Samlet set vil indsatsen kunne
nå ud til langt flere.
Vi stiller gerne op
IT-Branchen ser frem til den fortsatte dialog, og vi står naturligvis til rådighed for en uddybning af
ovenstående.
IT-Politisk Forening
c/o Jesper Lund
Carl Bernhards Vej 15, 2.tv
1817 Frederiksberg C
E-mail : bestyrelsen@itpol.dk
Web : http://www.itpol.dk
Dato : 4. februar 2019
Høringssvar vedr. udkast til forslag til lov
om ændring af lov om Center for
Cybersikkerhed (Sagsnr. 2018/006599)
Lovforslaget indeholder en række meget brede beføjelser
til Center for Cybersikkerhed, som er formuleret på en
særdeles uklar måde, hvor de kan betyde næsten hvad
som helst.
Konstruktionen omkring Center for Cybersikkerhed
indebærer allerede i dag meget omfattende indgreb i
borgernes grundlæggende rettigheder til privatliv og
beskyttelse af personlige oplysninger. Lovudkastet
medfører en betydelig udvidelse af disse allerede meget
omfattende indgreb, men det er umuligt at vurdere
rækkevidden af de nye udvidede indgreb på grund af
lovtekstens meget brede og upræcise formuleringer.
Udvidelsen af Center for Cybersikkerheds beføjelser
gælder både i forhold til antallet af tilsluttede
virksomheder og offentlige institutioner og mængden af
personoplysninger som Center for Cybersikkerhed kan få
adgang til. Hvor der tidligere alene var adgang til nettrafik,
er der med lovforslaget adgang til alle data via det nye
begreb ”stationære data”. Alle afgrænsninger af disse
meget vidtgående beføjelser er alene overladt til Center
for Cybersikkerheds egne vurderinger uden nogen
uafhængig kontrolfunktion.
IT-Politisk Forening vil anbefale, at lovforslaget i
den nuværende affatning ikke fremsættes i
Folketinget, og at Forsvarsministeriet i stedet udarbejder
1
Forsvarsministeriet
Holmens Kanal 42
1060 København K
Sendt per email til fmn@fmn.dk
med kopi til tbl@fmn.dk og sbu@fmn.dk
et helt nyt lovforslag, hvor det reelt er muligt for
høringsparterne (i en ny høring) at vurdere hvilke
beføjelser som Center for Cybersikkerhed får og hvordan
disse beføjelser er afgrænset af objektive bestemmelser.
En ”collect it all” beføjelse, som derefter alene begrænses
af Center for Cybersikkerheds egne vurderinger, er ikke
acceptabelt i et demokratisk samfund.
I
n
d
g
r
e
bi
g
r
u
n
d
l
æg
g
e
n
d
er
e
t
t
i
g
h
e
d
e
r
o
gE
MR
K
Når staten gør indgreb i borgernes grundlæggende ret til
privatliv, er det et krav efter retspraksis fra den
Europæiske Menneskerettighedsdomstol (EMD), at disse
indgreb sker via et retsgrundlag, som er klart og præcist,
og at anvendelsen af dette retsgrundlag skal være
forudsigeligt for de personer, som er omfattet af dets
anvendelsesområde. Det lovudkast, som er sendt i høring,
lever ikke op til disse krav, fordi det er totalt umuligt at
vurdere rækkevidden af lovforslagets bestemmelser.
Det er også et krav, at indgreb i retten til privatliv skal
være egnet til at forfølge et formål af almen interesse,
samt være nødvendigt og proportionalt. Et indgreb kan kun
anses for at være nødvendigt, såfremt der ikke findes
mindre indgribende foranstaltninger, som kan opfylde
formålet af almen interesse.
IT-Politisk Forening anser samfundets cybersikkerhed for at
være et formål af almen interesse, som kan begrunde
visse indgreb i retten til privatliv, men vi vil stille os stærkt
tvivlende over for, om den potentielt meget omfattende
bulkindhentning overhovedet er egnet til at opfylde
formålet. Derudover er der i lovforslaget absolut ingen
overvejelser om, hvorvidt andre, mindre indgribende
foranstaltninger kan opfylde formålet. I afsnittet om
nødvendighed henviser lovforslagets bemærkninger pkt.
4.3 alene meget overordnet til den skønsmargin, som EMD
anerkender at stater har. Det ændrer imidlertid ikke ved, at
Forsvarsministeriet skal overveje, om der er andre, mindre
indgribende foranstaltninger, som kan opfylde det almene
formål vedr. cybersikkerhed.
I forhold til kravet om proportionalitet henviser
Forsvarsministeriet til, at Tilsynet med
Efterretningstjenesterne (TET) fører tilsyn med Center for
2
Cybersikkerheds behandling af personoplysninger. Dette
tilsyn er imidlertid alene en legalitetskontrol med de
indhentede personoplysninger. Der er ingen uafhængige
kontrolforanstaltninger vedrørende omfanget af selve
indhentningen, som sker uden retskendelse og alene efter
vurderinger foretaget af Center for Cybersikkerhed.
Sammenholdt med de meget generelle beføjelser kan det
på ingen måde sikres, at kravene om proportionalitet
overholdes.
Det nævnes i lovforslagets pkt. 3.3.2, at overvågning
(bulkindhentning) på interne netværk og enheder ikke
vurderes til at være ”egnet til domstolsprøvelse”. På den
baggrund er den uafhængige forhåndskontrol fravalgt. Den
begrundelse er helt og aldeles uacceptabel i et
demokratisk samfund. Hvis de nuværende uafhængige
kontrolfunktioner som domstolene ikke er egnede til at
udføre kontrolopgaven med bulkindhentningen
hensigtsmæssigt, bør der oprettes nye uafhængige
kontrolfunktioner for denne aktivitet. Her kunne man
givetvis med fordel søge inspiration hos europæiske lande,
som har mere veludviklede systemer for uafhængig kontrol
og tilsyn med efterretningstjenesterne end Danmark.
Det fremhæves i lovforslaget, at Center for
Cybersikkerheds indgreb i retten til privatliv modsat den
almindelige bulkindhentning hos efterretningstjenester
(som Forsvarets Efterretningstjeneste) ikke foretages med
henblik på at udfinde målpersoner, og at indgrebet i retten
til privatliv derfor skulle være ”mindre intensivt”. Det er
imidlertid temmelig misvisende, idet Center for
Cybersikkerhed har specifikke beføjelser til at videregive
oplysninger om udfundne målpersoner til politiet ved
begrundet mistanke om en sikkerhedshændelse, og med
det nye lovforslag får Center for Cybersikkerhed sågar
hjemmel til at indhente yderligere oplysninger til
identifikation af udfundne målpersoner med
editionskendelser (lovforslagets kapitel 4 a).
Af de ovennævnte grunde, altså de meget uklare men
omfattende beføjelser til Center for Cybersikkerhed og en
helt utilstrækkelig og mangelfuld vurdering af om
lovforslaget er foreneligt med Den Europæiske
Menneskerettighedskonvention (EMRK), har IT-Politisk
Forening ikke fundet det formålstjenstligt at komme med
mere detaljerede kommentarer til lovforslagets
3
bestemmelser på nuværende tidspunkt.
T
v
a
n
g
s
mæs
s
i
gt
i
l
s
l
u
t
n
i
n
gt
i
l
u
ø
n
s
k
e
t
t
j
e
n
e
s
t
e
Som en overordnet kommentar vil IT-Politisk Forening dog
påpege, at Center for Cybersikkerhed trods meget store
bevillinger ikke har været i stand til at tilbyde en
netsikkerhedstjeneste, som danske virksomheder ønsker at
gøre brug af. Hverken Forsvarsministeriet eller Center for
Cybersikkerhed har udvist nogen interesse for at afdække
årsagerne til dette. Den manglende tilslutning fra private
virksomheder kunne i høj grad indikere, at der er behov for
grundlæggende reformer af den måde, som Center for
Cybersikkerhed er organiseret på og samarbejder med det
øvrige samfund (offentlige institutioner, private
virksomheder og organisationer, samt borgere). Det er
næppe udgiften på 400.000 kr. om året, som får store
private virksomheder af ”samfundsvigtig karakter” til at gå
uden om Center for Cybersikkerhed.
I den forbindelse vil det være oplagt at vurdere, om det er
hensigtsmæssigt at placere opgaver som næsten
udelukkende er civile og som indebærer behandling af
omfattende mængder personoplysninger hos Forsvarets
Efterretningstjeneste, en offentlig myndighed som er
undtaget fra væsentlige retsgarantier for beskyttelse af
borgerne som databeskyttelsesforordningen (GDPR) og
betydelige dele af offentlighedsloven og forvaltningsloven.
Med lovforslaget tilføjes i øvrigt en undtagelse fra
retssikkerhedsloven, som åbenbart blev glemt på listen
med undtagelser i 2014.
I stedet for disse helt nødvendige og essentielle
overvejelser om hvorfor det nuværende setup ikke skaber
værdi for samfundet, vælger Forsvarsministeriet med
lovforslaget at indføre mulighed for tvangsmæssig
tilslutning for de virksomheder og offentlige myndigheder,
som Center for Cybersikkerhed finder tilpas interessante
for tjenestens opgavevaretagelse. Det sker samtidig med
at overvågningsbeføjelsen udvides fra indgående og
udgående nettrafik til at omfatte samtlige data, som
behandles i IT-systemer (”stationære data”).
Det anføres i lovforslagets bemærkninger, at den tvungne
tilslutning kun forventes at ske i sjældne tilfælde (under 10
4
gange om året). Men det er langtfra sikkert (der er ikke en
juridisk bindende kvote for antallet af tvungne
tilslutninger), og fremadrettet kan det i øvrigt blive
særdeles vanskeligt at vurdere, hvor mange tilslutninger
der reelt er tvungne. Udsigten til at kunne modtage et
pålæg om tilslutning kan meget vel få flere private
virksomheder til at vælge en ”frivillig” tilslutning til Center
for Cybersikkerhed. Disse bemærkninger gælder også for
den nye overvågning på interne netværk og enheder
(adgang til ”stationære data”), som er frivillig for de
tilsluttede organisationer, undtagen når den i særlige
tilfælde er tvungen. Hvad det betyder er selvsagt meget
uklart.
For de borgere, som får deres personoplysninger
videregivet til Center for Cybersikkerhed, er der principielt
ingen forskel på om tilslutningen er frivillig eller tvungen.
Men den nye mulighed for tvungen tilslutning vil
uundgåeligt medføre, at der videregives langt flere
personoplysninger til Center for Cybersikkerhed, også via
de formelt frivillige (men i praksis måske reelt tvungne)
tilslutninger.
T
r
a
n
s
p
a
r
e
n
so
m t
i
l
s
l
u
t
t
e
d
eo
r
g
a
n
i
s
a
t
i
o
n
e
r
f
j
e
r
n
e
s
Transparensen omkring de tilsluttede virksomheder og
offentlige myndigheder fjernes fuldstændigt, uden at
Forsvarsministeriet på nogen måde redegør for
motivationen til dette. I bemærkningerne til den
nuværende § 3 i lov om Center for Cybersikkerhed står der:
Center for Cybersikkerhed vil regelmæssigt
offentliggøre, hvilke myndigheder og virksomheder
der er tilsluttet netsikkerhedstjenesten efter § 3, stk.
2 og 3.
Uden nogen kommentarer eller begrundelser er denne
transparensbestemmelse (der i øvrigt ikke var med i det
lovudkast, som blev sendt i høring i 2014) erstattet med:
Center for Cybersikkerhed vil regelmæssigt
offentliggøre, hvor mange myndigheder og
virksomheder, der er tilsluttet netsikkerheds-
tjenesten efter stk. 2 og 3, samt fordelingen på
sektorer.
5
Det er helt uacceptabelt, at borgerne på den måde bliver
frataget muligheden for at få information om hvornår de
kan blive overvåget af Center for Cybersikkerhed. Det
udelukker blandt andet, at borgerne selv kan træffe
passende foranstaltninger mod denne overvågning ved
eksempelvis at undgå de danske virksomheder, som er
under overvågning af Center for Cybersikkerhed, enten
frivilligt eller via tvangsmæssig foranstaltninger (påbud).
6
Side 1 af 2
Forsvarsministeriet
Holmens Kanal 9
1060 København K
Sags-ID: Sagsbehandler: MRC Deres ref.: 2018/006599 Dato: 04.02.2019
Høring vedrørende forslag til lov om ændring af lov om Center for Cybersikkerhed
ITD kvitterer for den fremsendte høring og muligheden for at komme med
bemærkninger til lovforslaget.
Indledningsvist bemærkes, at spørgsmålet om cybersikkerhed er højt prioriteret i ITD
grundet den stadig stigende betydning for transporterhvervet. Behovet for IT-
sikkerhed bliver væsentligt større, når flere processer og systemer er digitaliseret og
afhænger af hinanden. Det gælder blandt andet persondatabeskyttelse, håndtering af
fortrolige oplysninger og beskyttelse mod misbrug af data generelt.
Vejgodstransporten og -logistikken står over for en gennemgribende digitalisering i de
kommende årtier. Ændringerne har potentiale til at ændre verdenshandelen og åbne
for helt nye forretningsmodeller. Samtidig forventes fremtidens transportteknologier i
tiltagende grad at omfatte selvkørende og på sigt førerløse køretøjer, hvilket vil kræve
større systemer til overvågning og styring. Dermed øges også potentialet for
cybertrusler.
ITD hilser derfor lovforslaget velkomment og tilslutter sig ambitionen om en styrkelse
af Center for Cybersikkerhed.
På baggrund af ovenstående skal ITD dog understrege behovet for også at have fokus
på den digitale transportinfrastruktur i forbindelse med vurderingen af mulige
cybertrusler.
Endvidere skal ITD understrege behovet for fortrolighed omkring forretningskritiske
data. ITD anerkender behovet for øgede beføjelser til Center for Cybersikkerhed, men
det er helt afgørende, at oplysninger om virksomhedernes forretningsforhold af
konkurrencemæssige årsager beskyttes, og at der ligger helt klare retningslinjer for,
hvor langt Center for Cybersikkerhed kan gå uden tilsagn eller dommerkendelse.
ITD har ikke bemærkninger til lovforslagets enkelte bestemmelser.
Side 2 af 2
Med venlig hilsen
ITD
Mads Røddik Christensen
Chefkonsulent
Forsvarsministeriet
Holmens Kanal 42
1060 København K
Danmark
E-mail: fmn@fmn.dk med kopi til tbl@fmn.dk og sbu@fmn.dk
H Ø R I N G O V E R U D K A S T T I L F O R S L A G T I L L O V O M
Æ N D R I N G A F L O V O M C E N T E R F O R C Y B E R S I K K E R H E D
( I N I T I A T I V E R T I L S T Y R K E L S E A F
C Y B E R S I K K E R H E D E N )
Forsvarsministeriet har ved e-mail af 7. januar 2019 anmodet om
Institut for Menneskerettigheders eventuelle bemærkninger til et
udkast til forslag til lov om ændring af lov om Center for Cybersikkerhed
(initiativer til styrkelse af cybersikkerheden).
Instituttet har valgt at fokusere på følgende dele af udkastet: 1) påbud
om tilslutning til netsikkerhedstjenesten, 2) udvidet adgang til indgreb i
meddelelseshemmeligheden, og 3) ændrede frister for sletning af data.
SAMMENFATNING
Instituttet bemærker indledningsvist, at udkastet varetager det
væsentlige og anerkendelsesværdige formål at sikre Danmark mod
cybertrusler i form af blandt andet cyberspionage, cyberkriminalitet og
infrastrukturangreb og at sikre, at Danmark har et højt
cybersikkerhedsniveau.
Udkastet lægger op til betydelige kompetenceudvidelser for Center for
Cybersikkerhed på en række områder med den konsekvens, at centret
kommer i besiddelse af en betydelig mængde personoplysninger,
herunder følsomme personoplysninger.
Dette sker blandt andet ved en tvunget tilslutning til centrets såkaldte
netsikkerhedstjeneste, hvorfra centret kan monitorere al digital
korrespondance til og fra virksomheden eller myndigheden samt
såkaldt stationær data, som for eksempel private data på en
medarbejders pc.
Centret har i øvrigt også adgang til sådanne private data hos
virksomheder og myndigheder, der ikke er tilsluttet
netsikkerhedstjenesten – og uden et krav om retskendelse.
WILDERS PLADS 8K
1403 KØBENHAVN K
TELEFON 3269 8888
MOBIL 9132 5761
MAAK@HUMANRIGHTS.DK
MENNESKERET.DK
DOK. NR. 19/00103-2
4. FEBRUAR 2019
2/9
For samtlige de indhentede data er centret i øvrigt ikke forpligtet til at
slette disse før efter 5 år, hvis oplysningerne knytter sig til en
sikkerhedshændelse og 3 år, hvis oplysningerne ikke knytter sig til en
sikkerhedshændelse. En sikkerhedshændelse er blandt andet en
hændelse, der negativt påvirker tilgængelighed, integritet eller
fortrolighed af data, informationssystemer, digitale netværk eller
digitale tjenester.
Efter gældende ret er fristerne henholdsvis 3 år og 13 måneder.
Alt i alt kommer Center for Cybersikkerhed til at være i besiddelse af en
betydelig mængde data – og for en længere periode – end centret hidtil
har haft beføjelse til at indsamle og behandle.
Udvidelserne kan hver for sig og samlet føre til indgreb i retten til
respekt for privatliv, beskyttet i Den Europæiske
Menneskerettighedskonvention artikel 8, ligesom enkelte af
udvidelserne udgør et indgreb i meddelelseshemmeligheden, beskyttet
i grundlovens § 72.
 Instituttet anbefaler blandt andet, at ministeriet overvejer at
indsætte et krav om efterfølgende retskendelse ved Center for
Cybersikkerheds indhentelse af oplysninger, som udgør indgreb i
meddelelseshemmeligheden.
Instituttet vurderer endvidere, at der er risiko for uproportionale
indgreb ved en slettefrist på 3 år i stedet for 13 måneder for
oplysninger, som ikke vedrører sikkerhedshændelser.
 Instituttet anbefaler, at ministeriet i lovbemærkningerne nøje
redegør for, hvorledes det vil sikres, at en udvidelse af slettefristen
fra 13 måneder til 3 år ikke vil føre til uproportionale indgreb i
retten til respekt for privatliv.
Mere generelt har instituttet principielle betænkeligheder ved centrets
placering under Forsvarets Efterretningstjeneste (FE), som instituttet
også har rejst tidligere.
Instituttet bemærker i den forbindelse, at det eneste retsgrundlag, som
adskiller deli g af oplys i g fra Ce ter for Cy ersikkerhed til FE’s
efterretningsfunktioner er en vejledning fra Forsvarsministeriet.
Disse principielle bekymringer får fornyet aktualitet ved en udvidelse af
centrets beføjelser – navnlig i fraværet af effektive retsgarantier som
for eksempel krav om retskendelse og skærpede slettefrister.
 Instituttet anbefaler, at der i udkastet indføres en bestemmelse om
betingelserne for videregivelse af data fra centret til resten af
Forsvarets Efterretningstjeneste, således at forholdet reguleres på
lovniveau.
3/9
UDKASTETS INDHOLD
PÅBUD OM TILSLUTNING TIL CENTER FOR CYBERSIKKERHEDS
NETSIKKERHEDSTJENESTE
Med udkastet vil der blive skabt mulighed for, at Center for
Cybersikkerhed i særlige tilfælde ka på yde særligt samfundsvigtige
virksomheder eller myndigheder at blive tilsluttet centrets
netsikkerhedstjeneste (udkastets § 3, stk. 4).
Netsikkerhedstjenesten er en samlebetegnelse for Center for
Cybersikkerheds aktiviteter i forbindelse med at opdage, analysere og
bidrage til at imødegå sikkerhedshændelser (sikkerhedshændelser er i
udkastets § 2 defineret som hændelser, der negativt påvirker eller
vurderes at ville kunne påvirke tilgængelighed, integritet eller
fortrolighed af data, informationssyste er, digitale etværk eller
digitale tje ester). Netsikkerhedstje este o fatter alle de kapa iteter
ved Ce ter for Cy ersikkerhed, der på forskellig vis idrager til
monitorering, herunder CERT (Computer Emergency Response Team),
aktiviteter på det ivile og ilitære o råde, sikkerhedstek iske
aktiviteter samt støttefunktioner (jf. de særlige bemærkninger til § 1,
nr. 1).
Virksomheder og myndigheder, der varetager samfundsvigtige
funktioner, er ifølge udkastet navnlig funktioner inden for sundhed,
e ergi, tra sport, forsy i g, fi a s, forsk i g, edier og
ko u ikatio sa t fu ktio er, so har stor øko o isk etyd i g for
sa fu det. So ekse pler på virkso heder, der har ulighed for at
blive tilsluttet netsikkerhedstjenesten, nævnes forsyningsselskaber,
teleudbydere, internetudbydere, medicinalvirksomheder,
fødevarevirksomheder, virksomheder, der leverer vigtige komponenter
til Forsvaret, og virksomheder, der varetager driften af administrative
it-systemer for det offentlige eller for andre samfundsvigtige
virksomheder
Imidlertid omfatter begrebet også̊ virksomheder, som ikke i sig selv er
samfundsvigtige, men som kan være vigtige ud fra et
sikkerhedsperspektiv, for eksempel fordi deres servere er blevet
inficeret gennem et cyberangreb og nu anvendes som en del af en
angrebsaktørs infrastruktur (jf. de særlige bemærkninger til § 1, nr. 1).
En tilslutning til netsikkerhedstjenesten indebærer, at Center for
Cybersikkerhed kan monitorere en række kategorier af data, herunder
pakkedata (indholdet af digital kommunikation) og stationær data (se
nærmere nedenfor).
Center for Cybersikkerheds påbud om tilslutning til
netsikkerhedstjenesten kan påklages administrativt til
Forsvarsministeriet og kan indbringes for domstolene.
4/9
UDVIDET ADGANG TIL INDGREB I GRUNDLOVENS § 72
En af de beføjelser, som udvides med udkastet, er Center for
Cybersikkerheds adgang til indgreb i meddelelseshemmeligheden uden
krav om retskendelse.
Meddelelseshemmeligheden er beskyttet i grundlovens § 72 og er tillige
omfattet af retten til respekt for privatliv, som beskyttet i Den
Europæiske Menneskerettighedskonventions (EMRK) artikel 8.
Det følger af udkastet, at Center for Cybersikkerhed fremadrettet
blandt andet skal ku e tilgå data, so op evares på e lokal e hed
(såkaldt stationær data, som er data, der opbevares på servere,
loudtje ester, p ’er, lagere heder, etværkse heder, o ile e heder
og tilsvarende jf. udkastets § 2, nr. 4).
For så vidt angår virksomheder og myndigheder, som er tilknyttet
netsikkerhedstjenesten kan centret tilgå disse data uden retskendelse
og uden mistanke om en sikkerhedshændelse, forudsat det
understøtter et højt informationssikkerhedsniveau i samfundet
(forslagets § 4).
For så vidt angår virksomheder og myndigheder, som ikke er tilknyttet,
har Center for Cybersikkerhed adgang til lokale enheder (stationær
data) uden retskendelse, hvis der er begrundet mistanke om en
sikkerhedshændelse og den pågældende virksomhed eller myndighed
enten har givet samtykke eller hvis behandlingen vurderes at kunne
bidrage til at understøtte et højt informationssikkerhedsniveau i
samfundet (§ 5).
Af udkastet fremgår nærmere, at stationær data kan være private data,
som en medarbejder f.eks. har ge t på e p , e ar ejds o il eller
lignende.
Forsvarsministeriet fastslår i udkastet, at indgrebet ikke er egnet til
domstolsprøvelse, da indgrebet oftest vil ske automatiseret og ved
scanning af ukendt data for at fastslå, om der overhovedet er tale om
en sikkerhedshændelse i lovens forstand. En eventuel domstolsprøvelse
vil derfor ifølge i isteriets vurderi g ikke ku e asere sig på e
vurderi g af karaktere af de pågælde de data, e ale e på e eget
overordnet og generel vurdering af, om f.eks. trusselsbilledet i
tilstrækkelig grad begrunder indgrebet (de almindelige bemærkninger,
afsnit 3.3.2)
De foreslåede ord i g vil ikke i de ære e æ dri g af eti gelser e
for, hvornår Center for Cybersikkerhed a uelt å foretage a alyse af
indhold af filer og kommunikation, men derimod en udvidelse af, hvilke
filer og kommunikation, centret kan tilgå.
5/9
ÆNDREDE SLETTEFRISTER
Med udkastet ændres Center for Cybersikkerheds forpligtelser til at
slette oplysninger markant.
Efter gælde de ret skal data slettes, år for ålet ed eha dli ge er
opfyldt. Endvidere følger det af gældende ret, at ua set at for ålet
ed eha dli ge ikke er opfyldt, å data der k ytter sig til e
sikkerhedshæ delse, højst op evares i tre år, e s data der ikke
k ytter sig til e sikkerhedshæ delse, højst å op evares i 13
å eder.
Fremadrettet vil centret i medfør af udkastet have en slettefrist på 5 år
ved konstaterede sikkerhedshændelser og 3 år for data, der ikke
knytter sig til en sikkerhedshændelse.
Data omfattet af den nye 3 års frist (som altså ikke er knyttet til en
sikkerhedshændelse) vil ifølge udkastet stamme fra myndigheder, som i
særlig grad beskæftiger sig med udenrigs-, sikkerheds- og
forsvarspolitiske forhold, samt virksomheder og organisationer, hvis
aktiviteter har særlig betydning for disse forhold (jf. de almindelige
bemærkninger, afsnit 3.8.3.2).
FORSVARSMINISTERIETS VURDERING AF UDKASTET EFTER DEN
EUROPÆISKE MENNESKERETTIGHEDSKONVENTION
I udkastet vurderer ministeriet, at de foreslåede ændringer er
forenelige med artikel 8 om respekt for privatlivet i Den Europæiske
Menneskerettighedskonvention (EMRK).
Ministeriet vurderer i den forbindelse, at den praksis, som Den
Europæiske Menneskerettighedsdomstol (EMD) har udviklet
vedrørende indgreb i meddelelseshemmeligheden, ikke kan finde
anvendelse på centrets behandling af personoplysninger.
Ministeriet anfører i de almindelige bemærkninger, afsnit 4:
”I odsæt i g til ved ege tlig efterret i gsvirkso hed og
politiets efterforskning foretager Center for
Cybersikkerhed imidlertid ikke en decideret registrering af
de personoplysninger, som centeret behandler, ligesom
der ikke opereres ed sager o e keltperso er. […] De
indgreb i meddelelseshemmeligheden, som uundgåeligt
foretages af e teret […], vurderes på de aggru d at
indebære et mindre intensivt indgreb i privatlivet end de
indgreb, der foretages med henblik på at udfinde
ålperso er.”
6/9
INSTITUTTETS BEMÆRKNINGER
UDVIDET ADGANG TIL PERSONOPLYSNINGER MV.
Instituttet bemærker indledningsvist, at udkastet varetager det
væsentlige og anerkendelsesværdige formål at sikre Danmark mod
cybertrusler i form af blandt andet cyberspionage, cyberkriminalitet og
infrastrukturangreb og at sikre, at Danmark har et højt
cybersikkerhedsniveau.
Udkastet lægger op til betydelige kompetenceudvidelser for Center for
Cybersikkerhed på en række områder, blandt andet: 1. adgang til at
meddele påbud om tilslutning til netsikkerhedstjenesten med den følge,
at centret har adgang til en stor mængde data i form af trafikdata,
pakkedata og stationær data, 2. adgang til stationær data hos
virksomheder og myndigheder, der ikke er tilsluttet
netsikkerhedstjenesten, og 3. lempeligere slettefrister.
Hertil kommer en adgang til oplysninger, som retten kan pålægge
virksomheder at udlevere om brugeren af en e-mailkonto, ip-adresse
eller et domænenavn til centret (edition). I straffeprocessuel
sammenhæng kræver edition mistanke om en strafbar lovovertrædelse.
I de foreslåede regler vil der derimod alene være krav om, at
oplysningerne skal kunne medvirke til at afdække sikkerhedshændelser.
Disse udvidelser kan hver for sig og samlet føre til indgreb i retten til
respekt for privatliv, beskyttet i EMRK artikel 8.
Alt i alt kommer Center for Cybersikkerhed til at være i besiddelse af en
betydelig mængde data, blandt andet personoplysninger (herunder
følsomme personoplysninger), end centret hidtil har haft beføjelse til at
indsamle og behandle.
Center for Cybersikkerheds adgang til at påbyde tilslutning til
netsikkerhedstjenesten er betinget af, at en virksomhed eller en
myndighed af centret anses for at varetage samfundsvigtige funktioner.
Samfundsvigtige virksomheder og myndigheder som defineret i
udkastet er en ganske vid kategori, uden nærmere kvalificerede
kendetegn. Påbudskompetencen kan således få et bredt
anvendelsesområde på tværs af sektorer.
En tilknytning til netsikkerhedstjenesten indebærer, at centret har
adgang til langt mere data om virksomheder og myndigheder og disses
medarbejdere, end hvad der har været adgang til efter gældende ret (i
form af trafikdata, pakkedata og stationær data). Denne adgang er ikke
betinget af retskendelse eller noget mistankekrav om en
sikkerhedshændelse men skal alene understøtte et højt
informationssikkerhedsniveau i samfundet (§ 4).
7/9
For så vidt angår virksomheder og myndigheder, der ikke er tilknyttede,
har centret ligeledes en vid adgang til oplysninger – uden retskendelse
– hvis der er en begrundet mistanke om en sikkerhedshændelse. I disse
tilfælde skal centret (i fraværet af samtykke) blot vurdere, at
behandlingen understøtter et højt informationssikkerhedsniveau i
samfundet (§ 5, nr. 2).
Instituttet bemærker, at kravet om, at behandlingen af oplysninger
understøtter et højt informationsniveau i samfundet ikke kan anses for
en selvstændigt kvalificeret juridisk vurdering, men derimod blot er
sammenfaldende med selve formålet med Center for Cybersikkerhed,
jf. således lovens formålsbestemmelse, § 1.
Instituttet bemærker, at der i tilfælde, hvor virksomheden eller
myndigheden ikke er tilsluttet netsikkerhedstjenesten, eller er tilsluttet
efter påbud, er tale om et særligt intensiveret indgreb vis-a-vis
virksomheden/myndigheden, som efter EMRK artikel 8, stk. 2, er
underlagt en tilsvarende skærpet proportionalitetsvurdering.
I øvrigt bemærker instituttet, at det er tvivlsomt, om et samtykke fra
virksomheden eller myndigheden, eller frivillig tilslutning til tjenesten,
vil ændre på proportionalitetsvurderingen i forhold til centrets adgang
til følsomme personoplysninger om medarbejdere.
Ministeriet anfører, at indgrebet efter §§ 4 og 5 ikke er egnet til
domstolsprøvelse, da indgrebet skal fastslå, om der overhovedet er tale
om en sikkerhedshændelse i lovens forstand.
Instituttet bemærker, at denne usikkerhed vedrørende indholdet af den
identificerede data ikke nødvendigvis adskiller sig fra andre indgreb i
meddelelseshemmeligheden, hvorfor der netop stilles mere eller
mindre kvalificerede mistankekrav i de straffeprocessuelle regler, og
hvorfor disse netop er underlagt domstolsprøvelse.
Den betydelige udvidelse af kompetencer, som udkastet vil indebære,
stiller tilsvarende krav til fornødne retsgarantier. Ellers risikerer
indgrebene at være i strid med retten til respekt for privatliv, som
blandt andet beskyttet i EMRK artikel 8.
Efter instituttets vurdering gør det ikke i sig selv indgrebet uegnet til
domstolsprøvelse, at det er forbundet med usikkerhed, om der er en
sikkerhedshændelse.
Instituttet bemærker i øvrigt, at ministeriet ikke har taget stilling til, om
et krav om efterfølgende retskendelse ville være muligt henset til, at
indgrebet i første omgang sker automatisk.
 Instituttet anbefaler, at ministeriet i lovbemærkningerne redegør
for, hvordan usikkerheden ved en sikkerhedshændelse adskiller sig
fra usikkerheder, når der i øvrigt foretages indgreb i
8/9
meddelelseshemmeligheden samt overvejer at indsætte et krav om
efterfølgende retskendelse
 Uanset om ministeriet indarbejder anbefalingen om efterfølgende
retskendelse, anbefaler instituttet, at kravet om adgang til
stationær data fra myndigheder og virksomheder, der ikke er
tilsluttet netsikkerhedstjenesten eller som er tilsluttet ved et påbud,
skærpet betydeligt og ikke blot betinges af et krav, der har samme
ordlyd, som centrets formålsbestemmelse i § 1.
LEMPELIGERE SLETTEFRISTER
Adgangen til data skal tillige ses i lyset af slettefristerne, som yder en
retsgaranti i tilfælde, hvor en myndighed har videregående beføjelser til
personoplysninger.
Instituttet anerkender, at det er væsentligt, at Center for
Cybersikkerhed er i besiddelse af de fornødne oplysninger for effektivt
at beskytte mod cyberangreb.
Imidlertid skal centrets vide – og længerevarige – adgang til oplysninger
være proportionalt med formålet hermed.
Navnlig for så vidt angår adgangen til fremadrettet at opbevare
oplysninger, som ikke vedrører en sikkerhedshændelse i 3 år i stedet for
13 måneder kan dette efter instituttets vurdering føre til et
uproportionalt indgreb.
Instituttet bemærker i den forbindelse, at der allerede ved en
lovændring af 11. juni 2014 (L 192), skete en betydelig udvidelse fra den
dagældende slettefrist på 14 dage til 13 måneder.1
 Instituttet anbefaler, at ministeriet i lovbemærkningerne nøje
redegør for, hvorledes det vil sikres, at en udvidelse af slettefristen
fra 13 måneder til 3 år ikke vil føre til uproportionale indgreb i
retten til respekt for privatliv.
CENTER FOR CYBERSIKKERHEDS ORGANISERING
Center for Cybersikkerhed er organiseret under Forsvarets
Efterretningstjeneste (FE).
Instituttet skal i den forbindelse på ny fremhæve de principielle
bekymringer, som instituttet tidligere har rejst i forhold til Center for
1 Se instituttets høringssvar til den dagældende ændring her:
https://menneskeret.dk/sites/menneskeret.dk/files/media/researchpu
blications/hoeringssvar/hoeringssvar_afgivet_i_2014/marts%202014/m
arts_2014_tilgaengeligt/24_b_center_for_cybersikkerhed.pdf
9/9
Cybersikkerheds placering under FE, når centret varetager centrale,
civile samfundsstrukturer.2
Det eneste retsgrundlag, som adskiller deling af oplysning fra Center for
Cy ersikkerhed til FE’s efterret i gsfu ktio er er e vejled i g fra
Forsvarsministeriet.
Instituttet har tidligere fremhævet det betænkelige ved, at der ikke på
lovniveau er sikret en retssikkerhedsmæssig garanti imod videregivelse
af oplysninger fra centret til FE til brug for efterretningstjenestens
øvrige arbejde inden for det militære område.
Disse principielle bekymringer får fornyet aktualitet ved en udvidelse af
centrets beføjelser – navnlig i fraværet af effektive retsgarantier (som
domstolsprøvelse og skærpede slettefrister).
 Instituttet anbefaler, at der i udkastet indføres en bestemmelse om
betingelserne for videregivelse af data fra centret til resten af
Forsvarets Efterretningstjeneste, således at forholdet reguleres på
lovniveau.
Netop på grund af centrets placering under FE skal instituttet i øvrigt
bemærke, at centerets indsamling og håndtering af personoplysninger
skal vurderes i lyset af den retspraksis fra EMD, som vedrør
efterretningstjenesters adgang til og behandling af personoplysninger.
Instituttet er således ikke enig i, at centerets adgang til
personoplysninger er et mindre intensivt indgreb, end indgreb
foretaget i øvrigt af politiet og efterretningstjenesterne.
I stituttets e ærker i de for i delse, at EMD’s praksis og
betingelserne etableret heri, naturligvis skal anvendes tilpasset til det
formål og de opgaver, som Center for Cybersikkerhed varetager.
 På grund af Center for Cybersikkerheds organisatoriske placering
under Forsvarets Efterretningstjeneste anbefaler instituttet, at
ministeriet i lovbemærkningerne redegør for centrets adgang til
personoplysninger i lyset af den relevante praksis fra Den
Europæiske Menneskerettighedsdomstol om
efterretningstjenesterne.
Der henvises til ministeriets sagsnummer 2018/006599.
Med venlig hilsen
Marya Akhtar
SPECIALKONSULENT
2 Ibid.
Dato: 5. februar 2019
Sags ID: SAG-2019-00318
Dok. ID: 2710582
E-mail: BETR@kl.dk
Direkte: 3370 3064
Weidekampsgade 10
Postboks 3370
2300 København S
www.kl.dk
Side 1 af 2
Til Forsvarsministeriet (Sag 2018/006599)
KL-svar på høring af forslag til lov om ændring af lov
om Center for Cybersikkerhed
Overordnet mener KL, at lovforslaget og den tilhørende tekst indeholder
gode intensioner ift. at give de kommunale myndigheder bedre mulighe-
der i arbejdet med cybersikkerhed.
Dog skal nævnes en bekymring, idet lovforslaget lægger op til, at Center
for Cybersikkerheds netsikkerhedstjeneste uden retskendelse kan be-
handle trafikdata, pakkedata og stationære data hidrørende fra tilsluttede
myndigheder og virksomheder med begrundelse om at understøtte et højt
informationssikkerhedsniveau. KL er naturligvis ikke bekendt med de
trusler, der måtte være, men finder det afgørende, at borgere er trygge
ved offentlige myndigheders håndtering af følsomme personoplysninger,
hvilket bl.a. også har været bærende for samarbejdet med Sundhedsmi-
nisteriet om cyberstrategi for sundhedsområdet. Det er KL's opfattelse, at
især ønsket om adgang til stationære data kan være med til at svække
borgernes tillid til, at følsomme oplysninger, som de har afgivet i f.eks. et
behandlingsforløb, vil kunne tilgås af Center for Cybersikkerhed (CFCS)
uden hverken medarbejdere eller borgeres viden og uden retskendelse.
Samarbejde på tværs af sektorerne
Forsvarsministeriet lægger op til at øge antallet af myndigheder og virk-
somheder, der tilsluttes netsikkerhedstjenesten, for at understøtte et højt
informationssikkerhedsniveau i den digitale infrastruktur, som samfunds-
vigtige funktioner er afhængige af. På baggrund af høringsmaterialet er
det uklart, i hvilket omfang kommunerne vil blive omfattet, og /eller om
det er noget, kommunerne evt. vil skulle anmode om. Det ser ud til, at
man også kan blive afvist. Der synes således at være tvivl om kommu-
nernes status ift. det tværgående samarbejde om cybersikkerhed.
I forbindelse med arbejdet med høringen er der opstået tvivl om en række
af de juridiske og tekniske forhold omkring det at være tilsluttet netsikker-
hedstjenesten. Det er tvivl ift. kommunernes mulighed for risikovurdering
af egen it-portefølje, sammenhængen mellem databeskyttelsesloven og
evt. udlevering af personoplysninger til CFCS, hvor der er krav, der skal
overholdes. Overvejelser om erstatningsansvar, såfremt det er nettjene-
sten, der er årsag til kompromittering af borgerdata og sammenhængen
med Datatilsynets udmeldinger om evt. overtrædelser af meddelelses-
hemmeligheden, krænkelser af medarbejderes private data mv.
Dato: 5. februar 2019
Sags ID: SAG-2019-00318
Dok. ID: 2710582
E-mail: BETR@kl.dk
Direkte: 3370 3064
Weidekampsgade 10
Postboks 3370
2300 København S
www.kl.dk
Side 2 af 2
Endelig synes der at være tvivl omkring underretning af bl.a. medarbej-
dere. Det fremgår både, at medarbejderne hos en myndighed ikke på for-
hånd bør blive orienteret om, at der gennemføres en sikkerhedsteknisk
undersøgelse, end ikke generelt. Der kan orienteres efterfølgende efter
aftale med CFCS , men samtidig fremgår det som en del af tilslutningsaft-
alen mellem CFCS og myndigheden, at der skal ske orientering af med-
arbejderne om monitoreringen.
Ovenstående synes også umiddelbart at stå i modsætning til Datatilsy-
nets praksis, hvorefter det er den absolutte hovedregel, at de registre-
rede på forhånd er orienterede om logning og mulig brug heraf. Det er
desuden generelt beskrevet som god databehandlingsskik.
KL indgår gerne i dialog om ovenstående. Det har ikke været muligt at
behandle lovforslaget politisk, hvorfor der tages forbehold for politisk be-
handling i KL.
Med venlig hilsen
Pia Færch
Kontorchef
Digitalisering og Teknologi
Københavns Byret
Forsvarsministeriet Præsidenten
Domhuset, Nytorv 25
Holmens Kanal 9 1450 København K.
1060 København K Tlf. 9968 70 15
CVR21 659509
administration.kbhdomsto1.dk
J.nr. 9099.2019.7
Den 1. februar 2019
Ved en mail af 7. januar 2019 har Forsvarsministeriet anmodet om eventuelle bemærkninger
til høring over udkast til forslag til lov om ændring af lov om Center for Cybersikkerhed (Initiati
ver til styrkelse af Cybersikkerheden).
Jeg skal i den anledning på byretspræsidenternes vegne oplyse, at byretterne har følgende
bemærkninger:
Ved afgørelse om edition efter lovudkastets § 7, jf. § 7 a, vil retten kunne meddele pålæg om
edition med hensyn til tre præcist afgrænsede oplysninger: oplysning om brugeren af en e
mailkonto, brugeren af en ip-adresse eller brugeren af et domænenavn. Det fremgår af be
mærkningerne til lovudkastet p. 29 blandt andet, “at udlevering af oplysninger om brugen af
en e-mailkonto, ip-adresse eller et domænenavn ikke vurderes at udgøre et indgreb i medde
lelseshemmeligheden”. Dette er i overensstemmelse med retspraksis, jf. UFR 2005. 777 V, og
UFR 2007.220. Retten skal efter lovudkastet påse, om editionen skal tjene til at afdække en
sikkerhedshændelse.
Efter retsplejelovens editionsregler kan anklagemyndigheden indhente samme type — men
også en lang række andre — oplysninger, hvis der er grund til at antage, at oplysningerne kan
tjene som bevis, bør konfiskeres eller ved lovovertrædelse er fravendt nogen, som kan kræve
dem tilbage.
Behandling af editionsbegæringer efter retsplejeloven foregår uden medvirken af indgrebsad
vokat.
Henset til den meget nøje afgrænsning af karakteren af oplysninger i lovudkastets § 7, stk. 1,
sammenholdt med, at oplysningerne skal tjene til at afdække en sikkerhedshændelse, ses der
ikke at være grundlag for at fravige det udgangspunkt, som er fastlagt i retsplejeloven, hvoref
ter der ved behandlingen af sådanne pålæg ikke medvirker indgrebsadvokat.
Det tilføjes, at editionspålægget hviler på en forudsætning om, at man ikke har kendskab til,
hvem der er bruger af den pågældende e-mailkonto, ip-adresse eller domænenavn. Bestem
melsen i forslaget § 7, stk. 2, forekommer derfor ikke relevant.
Der henvises til Deres j.nr. 2018/006599.
Med venlig hil
Sø ren
Ledernes høringssvar på høring over udkast til forslag til lov om
ændring af lov om Center for Cybersikkerhed
F
o
r
s
v
a
r
s
mi
n
i
s
t
e
r
i
e
t
H
o
l
me
n
s
K
a
n
a
l
9
1
0
6
0K
ø
b
e
n
h
a
v
nK
f
mn
@f
mn
.
d
k
C
c
:
t
b
l
@f
mn
.
d
k
,
s
b
u
@f
mn
.
d
k
K
ø
b
e
n
h
a
v
n
,
4
.
f
e
b
r
u
a
r
2
0
1
9
H
ø
r
i
n
g
s
s
v
a
r
o
m I
n
i
t
i
a
t
i
v
e
r
t
i
l
s
t
y
r
k
e
l
s
ea
f
c
y
b
e
r
s
i
k
k
e
r
h
e
-
d
e
n (
2
0
1
8
/
0
0
6
5
9
9
)
F
o
r
s
v
a
r
s
mi
n
i
s
t
e
r
i
e
t
h
a
r
u
d
s
e
n
d
t
u
d
k
a
s
t
t
i
l
æn
d
r
i
n
ga
f
l
o
vo
m C
e
n
t
e
r
f
o
r
C
y
b
e
r
s
i
k
k
e
r
h
e
d(
C
f
C
S
)
.
P
R
OS
A–
F
o
r
b
u
n
d
e
t
a
f
I
t
-
p
r
o
f
e
s
s
i
o
n
e
l
l
ee
r
b
l
e
v
e
t
i
n
v
i
t
e
r
e
t
t
i
l
a
t
u
d
t
a
l
es
i
go
m u
d
k
a
s
t
e
t
.
T
e
s
t
a
f
s
i
k
k
e
r
h
e
d
L
o
v
f
o
r
s
l
a
g
e
t
l
æg
g
e
r
o
pt
i
l
a
t
t
e
s
t
ed
et
i
l
s
l
u
t
t
e
d
eo
r
g
a
n
i
s
a
t
i
o
n
e
r
s
s
i
k
-
k
e
r
h
e
d
.
L
i
g
e
s
o
m d
e
t
e
r
e
ng
o
di
d
éa
t
t
j
e
k
k
e
,
a
t
f
ø
d
e
v
a
r
e
r
e
g
l
e
r
n
eo
v
e
r
h
o
l
d
e
s
,
s
åe
r
d
e
t
o
g
s
åe
ng
o
di
d
éa
t
t
e
s
t
e
,
a
t
o
r
g
a
n
i
s
a
t
i
o
n
e
r
n
el
e
v
e
r
o
pt
i
l
d
eI
T
-
f
o
r
s
k
r
i
f
-
t
e
r
,
s
o
m d
eh
a
r
f
o
r
p
l
i
g
t
e
t
s
i
gt
i
l
.
De
t
s
k
a
l
n
a
t
u
r
l
i
g
v
i
s
s
k
ep
åe
na
n
s
v
a
r
l
i
gmå
d
e
:
De
t
g
i
v
e
r
i
k
k
eme
n
i
n
ga
t
l
a
v
ee
np
e
n
e
t
r
a
t
i
o
n
s
t
e
s
t
p
åe
no
r
g
a
n
i
s
a
t
i
o
n
,
h
v
o
r
l
e
d
e
l
s
e
ni
k
k
eh
a
r
p
r
i
o
r
i
-
t
e
r
e
t
a
t
l
e
v
eo
pt
i
l
f
o
r
s
k
r
i
f
t
e
r
n
e
.
L
e
d
e
l
s
e
nb
ø
r
j
æv
n
l
i
g
t
a
f
h
o
l
d
eb
e
r
e
d
s
k
a
b
-
s
ø
v
e
l
s
e
r
,
h
v
o
r
s
i
k
k
e
r
h
e
d
e
nt
e
s
t
e
s
,
o
gC
f
C
Sk
u
n
n
ev
ær
eme
dt
i
l
a
t
a
f
h
o
l
d
e
d
i
s
s
e
.
V
i
b
e
t
r
a
g
t
e
r
g
r
u
n
d
l
æg
g
e
n
d
eI
T
-
s
i
k
k
e
r
h
e
dp
ål
i
n
j
eme
dG
DP
Rs
o
m e
t
l
e
-
d
e
l
s
e
s
a
n
s
v
a
r
,
h
v
o
r
f
o
r
v
i
s
o
m u
d
g
a
n
g
s
p
u
n
k
t
me
n
e
r
,
a
t
e
v
t
.
s
a
n
k
t
i
o
n
e
r
i
f
o
r
b
i
n
d
e
l
s
eme
dt
e
s
t
a
f
I
T
-
s
i
k
k
e
r
h
e
ds
k
a
l
l
æg
g
e
s
p
ål
e
d
e
l
s
e
n
.
E
nu
n
d
-
t
a
g
e
l
s
ek
a
nv
ær
e
,
h
v
i
s
e
nme
d
a
r
b
e
j
d
e
r
h
a
n
d
l
e
r
i
o
n
dt
r
o
,
h
v
i
l
k
e
t
v
i
me
n
e
r
,
e
k
s
i
s
t
e
r
e
n
d
el
o
v
g
i
v
n
i
n
gd
æk
k
e
r
fi
n
t
.
I
ø
v
r
i
g
t
fi
n
d
e
r
P
R
OS
Ad
e
t
b
e
k
y
mr
e
n
d
e
,
a
t
e
ns
t
a
t
s
l
i
gmy
n
d
i
g
h
e
ds
k
a
l
h
a
v
emu
l
i
g
h
e
df
o
r
a
t
o
p
t
r
æd
eu
n
d
e
r
f
o
r
d
æk
t
ei
d
e
n
t
i
t
e
t
e
r
,
a
n
s
p
o
r
ea
n
s
a
t
-
t
et
i
l
u
l
o
v
l
i
g
h
e
d
e
r
,
f
åd
é
nme
d
a
r
b
e
j
d
e
r
,
h
v
i
s
i
d
e
n
t
i
t
e
t
d
eh
a
r
o
v
e
r
t
a
g
e
t
,
t
i
l
a
t
”
r
e
a
g
e
r
eh
e
n
s
i
g
t
s
mæs
s
i
g
t
”
,
h
v
i
s
d
e
nb
e
r
ø
r
t
eme
d
a
r
b
e
j
d
e
r
h
e
n
v
e
n
d
e
r
s
i
g
,
o
gd
e
r
me
de
r
me
dt
i
l
a
t
k
o
mp
r
o
mi
t
t
e
r
ee
nk
o
l
l
e
g
ao
gi
d
e
t
h
e
l
e
t
a
g
e
t
,
a
t
d
e
t
s
k
a
l
v
ær
en
ø
d
v
e
n
d
i
g
t
me
dd
é
ns
l
a
g
s
b
e
f
ø
j
e
l
s
e
r
f
o
r
a
t
s
i
k
r
ee
t
f
o
r
n
u
f
t
i
g
t
s
i
k
k
e
r
h
e
d
s
n
i
v
e
a
ui
d
a
n
s
k
ev
i
r
k
s
o
mh
e
d
e
r
o
gi
n
s
t
i
t
u
t
i
o
n
e
r
.
S
t
o
r
u
d
v
i
d
e
l
s
ea
f
b
e
f
ø
j
e
l
s
e
r
L
o
v
f
o
r
s
l
a
g
e
t
l
æg
g
e
r
o
pt
i
l
e
nd
r
a
s
t
i
s
ku
d
v
i
d
e
l
s
ea
f
C
f
C
S
‘
b
e
f
ø
j
e
l
s
e
r
.
S
å
l
e
-
d
e
s
v
i
l
C
f
C
Si
n
s
t
a
l
l
e
r
es
i
k
k
e
r
h
e
d
s
s
o
f
t
wa
r
ep
ås
å
v
e
l
s
e
r
v
e
r
es
o
m k
l
i
e
n
t
e
r
.
De
t
t
ee
r
f
o
r
a
t
k
u
n
n
emo
n
i
t
o
r
e
r
ed
a
t
a
,
d
e
r
s
e
n
d
e
s
k
r
y
p
t
e
r
e
t
.
S
i
k
k
e
r
h
e
d
s
-
s
o
f
t
wa
r
ev
i
l
o
g
s
åk
u
n
n
et
i
l
g
åh
a
r
d
d
i
s
k
e
n
ep
åd
i
s
s
ema
s
k
i
n
e
r
.
De
t
b
e
t
y
d
e
r
i
p
r
i
n
c
i
p
p
e
t
,
a
t
C
f
C
Sv
i
l
k
u
n
n
el
æs
e
:
-
1
-
•
A
l
l
ed
a
t
a
,
d
e
r
fl
y
d
e
r
i
n
do
gu
da
f
o
r
g
a
n
i
s
a
t
i
o
n
e
n
•
A
l
l
ed
a
t
a
,
d
e
r
l
i
g
g
e
r
p
åa
l
l
eh
a
r
d
d
i
s
k
e
n
e
Ov
e
ni
d
e
t
t
ev
i
l
C
f
C
Sk
u
n
n
et
v
i
n
g
eo
r
g
a
n
i
s
a
t
i
o
n
e
r
t
i
l
a
t
t
i
l
s
l
u
t
t
es
i
g
.
De
t
t
ee
r
v
æs
e
n
t
l
i
g
t
u
d
v
i
d
e
d
eb
e
f
ø
j
e
l
s
e
r
t
i
l
C
f
C
Sv
i
r
k
e
.
F
o
r
v
e
n
t
e
l
i
g
t
v
i
l
C
f
C
Si
k
k
emi
s
b
r
u
g
ed
i
s
s
eb
e
f
ø
j
e
l
s
e
r
o
gv
i
l
n
æp
p
eh
e
l
l
e
r
k
r
æv
eu
d
r
u
l
n
i
n
g
a
f
s
i
k
k
e
r
h
e
d
s
s
o
f
t
wa
r
e
np
åa
l
l
ema
s
k
i
n
e
r
h
o
s
a
l
l
et
i
l
s
l
u
t
t
e
d
e
,
me
nl
o
v
e
n
g
i
v
e
r
d
i
s
s
eb
e
f
ø
j
e
l
s
e
r
,
h
v
i
l
k
e
t
i
s
i
gs
e
l
ve
r
p
r
o
b
l
e
ma
t
i
s
k
.
A
l
l
eægi
é
nk
u
r
v
De
r
fi
n
d
e
s
i
k
k
e1
0
0%s
i
k
k
e
r
h
e
d
.
De
t
t
i
l
b
y
d
e
r
C
f
C
Sd
ah
e
l
l
e
r
i
k
k
e
.
De
r
f
o
r
b
ø
r
ma
no
v
e
r
v
e
j
e
,
h
v
a
dd
e
r
v
i
l
s
k
e
,
h
v
i
s
C
f
C
Sb
l
i
v
e
r
k
o
mp
r
o
mi
t
t
e
r
e
t
–
d
e
t
k
a
nf
.
e
k
s
.
s
k
ev
i
ae
t
d
i
g
i
t
a
l
t
a
n
g
r
e
be
l
l
e
r
v
i
ame
d
a
r
b
e
j
d
e
r
e
,
s
o
m b
l
i
v
e
r
a
f
-
p
r
e
s
s
e
t
.
E
t
v
e
l
k
e
n
d
t
e
k
s
e
mp
e
l
e
r
S
t
u
x
n
e
t
,
s
o
m v
a
r
e
nv
i
r
u
s
,
d
e
r
b
l
e
vu
d
v
i
k
l
e
t
t
i
l
a
t
a
n
g
r
i
b
ei
r
a
n
s
k
eu
r
a
n
b
e
r
i
g
e
l
s
e
s
c
e
n
t
r
i
f
u
g
e
r
,
o
gs
o
m d
e
t
l
y
k
k
e
d
e
s
a
t
f
åi
n
d
i
b
e
r
i
g
e
l
s
e
s
a
n
l
æg
g
e
t
p
åt
r
o
d
s
a
f
d
es
k
r
a
p
p
es
i
k
k
e
r
h
e
d
s
f
o
r
a
n
s
t
a
l
t
n
i
n
g
e
r
,
d
e
r
h
e
l
t
s
i
k
k
e
r
t
h
a
r
v
ær
e
t
.
E
t
s
u
c
c
e
s
f
u
l
d
t
a
n
g
r
e
be
r
d
e
r
f
o
r
i
n
g
e
n
l
u
n
d
ee
t
u
t
æn
k
e
l
i
g
t
s
c
e
n
a
r
i
e
.
Me
dd
emu
l
i
g
h
e
d
e
r
,
s
o
m s
i
k
k
e
r
h
e
d
s
s
o
f
t
wa
r
e
ng
i
v
e
r
,
v
i
l
mu
l
i
g
h
e
d
e
nf
o
r
a
t
k
u
n
n
ef
åa
d
g
a
n
gt
i
l
a
t
f
j
e
r
n
s
t
y
r
es
i
k
k
e
r
h
e
d
s
s
o
f
t
wa
-
r
e
nv
ær
ee
t
me
g
e
t
v
ær
d
i
f
u
l
d
t
må
l
,
s
o
m ma
ns
a
g
t
e
n
s
k
u
n
n
ef
o
r
e
s
t
i
l
l
es
i
g
,
a
t
o
r
g
a
n
i
s
a
t
i
o
n
e
r
me
db
u
d
g
e
t
s
o
m n
a
t
i
o
n
a
l
s
t
a
t
e
r
v
i
l
l
ep
r
i
o
r
i
t
e
r
e
.
P
R
OS
A
e
r
b
e
k
y
mr
e
t
f
o
r
,
a
t
v
e
da
t
p
u
t
t
ea
l
l
eægi
é
nk
u
r
v
,
s
åu
d
s
æt
t
e
r
ma
ns
i
gf
o
r
e
nu
n
ø
d
i
gr
i
s
i
k
o
.
E
nb
e
d
r
el
ø
s
n
i
n
gv
i
l
v
ær
ea
t
g
ø
r
e
,
s
o
m v
i
g
ø
r
me
db
a
n
k
e
r
n
e
:
He
r
e
r
d
e
r
i
k
k
eé
ne
n
k
e
l
t
o
r
g
a
n
i
s
a
t
i
o
n
,
d
e
r
h
a
r
a
d
g
a
n
gt
i
l
a
l
l
eb
a
n
k
e
r
s
d
a
t
a
.
De
r
-
i
mo
de
r
d
e
r
s
k
a
r
p
t
o
p
d
e
l
t
eo
r
g
a
n
i
s
a
t
i
o
n
e
r
,
s
åh
v
i
s
é
nb
a
n
kb
l
i
v
e
r
k
o
mp
r
o
-
mi
t
t
e
r
e
t
,
s
åv
i
l
d
e
t
i
k
k
eb
e
t
y
d
e
,
a
t
a
l
l
ea
n
d
r
eb
a
n
k
e
r
s
a
mt
i
d
i
g
t
e
r
k
o
mp
r
o
-
mi
t
t
e
r
e
d
e
.
C
f
C
S
’
s
r
o
l
l
ek
u
n
n
ed
av
ær
ea
t
h
j
æl
p
eme
da
t
s
i
k
r
ed
ef
o
r
s
k
e
l
l
i
g
eo
r
g
a
n
i
s
a
-
t
i
o
n
e
r
,
u
d
e
na
t
C
f
C
Ss
e
l
vv
i
l
l
ef
åa
d
g
a
n
gt
i
l
u
d
s
t
y
r
e
t
.
Ma
n
g
e
l
p
åt
r
a
n
s
p
a
r
e
n
s
C
f
C
Sl
i
g
g
e
r
u
n
d
e
r
F
o
r
s
v
a
r
e
t
s
E
f
t
e
r
r
e
t
n
i
n
g
s
t
j
e
n
e
s
t
e(
F
E
)
.
De
t
e
r
h
e
l
t
n
a
t
u
r
-
l
i
g
t
,
a
t
d
e
r
n
ø
d
v
e
n
d
i
g
v
i
s
måv
ær
ee
t
c
e
n
t
e
r
u
n
d
e
r
F
E
,
s
o
m k
a
nu
d
v
e
k
s
l
e
h
e
mme
l
i
g
t
s
t
e
mp
l
e
d
ei
n
f
o
r
ma
t
i
o
n
e
r
me
du
d
e
n
l
a
n
d
s
k
ee
f
t
e
r
r
e
t
n
i
n
g
s
t
j
e
-
n
e
s
t
e
r
.
De
t
e
r
f
u
l
d
t
f
o
r
s
t
å
e
l
i
g
t
,
a
t
b
e
f
o
l
k
n
i
n
g
e
ni
k
k
ek
a
nf
åa
d
g
a
n
gt
i
l
v
i
s
-
s
ei
n
f
o
r
ma
t
i
o
n
e
r
,
s
o
m e
f
t
e
r
r
e
t
n
i
n
g
s
t
j
e
n
e
s
t
e
r
n
ei
n
d
h
e
n
t
e
r
.
Me
nc
e
n
t
e
r
e
t
s
v
i
r
k
eb
ø
r
v
ær
eb
e
g
r
æn
s
e
t
t
i
l
d
ee
l
e
me
n
t
e
r
,
s
o
m k
u
nk
a
n
v
a
r
e
t
a
g
e
s
a
f
e
ne
f
t
e
r
r
e
t
n
i
n
g
s
t
j
e
n
e
s
t
e–
d
ee
l
e
me
n
t
e
r
,
d
e
r
k
a
nv
a
r
e
t
a
g
e
s
a
f
e
t
i
k
k
e
-
mi
l
i
t
ær
t
c
e
n
t
e
r
,
b
ø
r
l
i
g
g
ei
e
nc
i
v
i
l
d
e
l
,
d
e
r
i
k
k
ee
r
u
n
d
e
r
l
a
g
t
s
a
mmeb
e
g
r
æn
s
n
i
n
g
e
r
i
i
n
d
s
i
g
t
.
R
o
l
l
e
ns
o
m Da
n
ma
r
k
s
n
a
t
i
o
n
a
l
eI
T
-
s
i
k
k
e
r
h
e
d
s
my
n
d
i
g
h
e
do
gn
a
t
i
o
n
a
l
t
k
o
mp
e
t
e
n
c
e
c
e
n
t
e
r
me
n
e
r
P
R
OS
Ab
e
d
r
ev
i
l
l
ek
u
n
n
ev
a
r
e
t
a
g
e
s
u
d
e
nf
o
r
e
f
t
e
r
r
e
t
n
i
n
g
s
t
j
e
n
e
s
t
e
r
n
e(
f
.
e
k
s
.
s
o
m e
t
c
e
n
t
e
r
u
n
d
e
r
I
n
d
e
n
r
i
g
s
mi
n
i
s
t
e
r
i
-
e
t
)
.
De
r
v
e
dk
a
nb
o
r
g
e
r
n
ef
åi
n
d
s
i
g
t
i
o
mf
a
n
g
e
t
a
f
c
e
n
t
e
r
e
t
s
v
i
r
k
e–
e
ni
n
d
-
s
i
g
t
s
o
m b
o
r
g
e
r
n
ee
r
f
r
a
t
a
g
e
t
v
e
da
t
l
æg
g
ec
e
n
t
e
r
e
t
u
n
d
e
r
F
E
.
-
2-
P
R
OS
Af
o
r
e
s
l
å
r
d
e
r
f
o
r
,
a
t
ma
n
,
i
s
t
e
d
e
t
f
o
r
a
t
g
i
v
eC
f
C
Sme
g
e
t
v
i
d
t
g
å
e
n
d
e
b
e
f
ø
j
e
l
s
e
r
,
o
p
d
e
l
e
r
C
f
C
Si
e
t
c
i
v
i
l
t
C
f
C
S(
f
.
e
k
s
.
u
n
d
e
r
I
n
d
e
n
r
i
g
s
mi
n
i
s
t
e
r
i
e
t
)
o
gi
e
t
mi
l
i
t
ær
t
C
f
C
S(
s
o
m f
o
r
b
l
i
v
e
r
u
n
d
e
r
F
E
)
.
De
t
c
i
v
i
l
ec
e
n
t
e
r
v
i
l
d
ak
u
n
-
n
eb
l
i
v
ed
e
t
n
a
t
i
o
n
a
l
ek
o
mp
e
t
e
n
c
e
c
e
n
t
e
r
,
d
e
r
h
j
æl
p
e
r
my
n
d
i
g
h
e
d
e
r
o
g
v
i
r
k
s
o
mh
e
d
e
r
me
da
t
s
i
k
r
ed
e
r
e
s
I
T
-
i
n
f
r
a
s
t
r
u
k
t
u
r
.
E
nu
d
v
e
k
s
l
i
n
ga
f
v
i
d
e
n
me
l
l
e
m d
et
oc
e
n
t
r
ev
i
l
s
e
l
v
f
ø
l
g
e
l
i
gv
ær
ee
nn
a
t
u
r
l
i
gd
e
l
,
me
nv
i
s
e
r
i
n
g
e
n
g
r
u
n
dt
i
l
,
a
t
d
ed
e
l
e
,
d
e
r
e
r
u
p
r
o
b
l
e
ma
t
i
s
k
ea
t
g
i
v
eb
e
f
o
l
k
n
i
n
g
e
ni
n
d
s
i
g
t
i
,
t
i
l
b
a
g
e
h
o
l
d
e
s
me
dh
e
n
v
i
s
n
i
n
gt
i
l
,
a
t
c
e
n
t
e
r
e
t
h
ø
r
e
r
u
n
d
e
r
F
E
.
Op
s
u
mme
r
i
n
g
De
t
e
r
P
R
OS
A
s
o
p
f
a
t
t
e
l
s
e
,
a
t
f
r
e
m f
o
r
a
t
u
d
s
t
y
r
eC
f
C
Sme
ds
åo
mf
a
t
t
e
n
d
e
b
e
f
ø
j
e
l
s
e
r
i
e
no
r
g
a
n
i
s
a
t
i
o
nu
d
e
nn
æv
n
e
v
ær
d
i
gd
e
mo
k
r
a
t
i
s
kk
o
n
t
r
o
l
b
ø
r
c
e
n
t
e
r
e
t
s
o
p
g
a
v
ev
ær
ea
t
o
p
s
t
i
l
l
es
i
k
k
e
r
h
e
d
s
k
r
i
t
e
r
i
e
r
o
gn
i
v
e
a
u
e
r
f
o
r
d
e
v
i
r
k
s
o
mh
e
d
e
r
o
gi
n
s
t
i
t
u
t
i
o
n
e
r
,
s
o
m a
r
b
e
j
d
e
r
me
ds
a
mf
u
n
d
s
k
r
i
t
i
s
k
eo
p
g
a
-
v
e
r
.
He
r
u
d
o
v
e
r
k
u
n
n
ed
e
r
v
ær
ee
no
p
g
a
v
eme
da
t
k
o
n
t
r
o
l
l
e
r
e
,
a
t
d
ep
å
-
g
æl
d
e
n
d
es
i
k
k
e
r
h
e
d
s
f
o
r
s
k
r
i
f
t
e
r
o
v
e
r
h
o
l
d
e
s
,
e
v
t
.
g
e
n
n
e
m e
t
s
a
ma
r
b
e
j
d
e
me
dv
i
r
k
s
o
mh
e
d
e
r
,
s
o
m u
d
b
y
d
e
r
d
i
g
i
t
a
l
es
i
k
k
e
r
h
e
d
s
l
ø
s
n
i
n
g
e
r
.
He
r
v
e
d
u
n
d
g
å
s
,
a
t
d
e
r
s
k
e
r
e
nc
e
n
t
r
a
l
i
s
e
r
i
n
ga
f
d
a
t
ame
de
nø
g
e
t
s
å
r
b
a
r
h
e
dt
i
l
f
ø
l
g
e
,
o
gd
e
t
g
i
v
e
r
d
ee
n
k
e
l
t
ev
i
r
k
s
o
mh
e
d
e
r
o
gi
n
s
t
i
t
u
t
i
o
n
e
r
mu
l
i
g
h
e
df
o
r
s
e
l
va
t
v
æl
g
e
,
h
v
i
l
k
es
i
k
k
e
r
h
e
d
s
s
y
s
t
e
me
r
d
e
r
p
a
s
s
e
r
t
i
l
d
e
r
e
s
f
o
r
r
e
t
n
i
n
g
.
V
e
n
l
i
gh
i
l
s
e
n
Ni
e
l
s
B
e
r
t
e
l
s
e
n
F
o
r
ma
n
d
-
3-
R E T S P O L I T I S K F O R E N I N G
HØRINGSSVAR
Til: Forsvarsministeriet.
Høring over udkast til forslag til lov om ændring af lov om Center
for Cybersikkerhed
Høringsbrev fra 7. januar 2019 - med svarfrist 4. februar 2019
Svar til: fmn@fmn.dk og tbl@fmn.dk og sbu@fmn.dk - Att: Sagsnr. 2018/006599
Retspolitisk Forening kan uden videre erkende, at den moderne IT-baserede kommunikation
skaber voldsomme udfordringer for både virksomheder, private og offentlige myndigheder.
Samtidig ophobes et uendeligt antal informationer af følsom karakter om borgerne. Det er derfor
indlysende, at der er behov for beskyttelse og overvågning af såvel ind- som udgående
datamængder for at forhindre, at uvedkommende kan tilegne sig disse oplysninger. Der imidlertid
væsentlige retssikkerhedsmæssige interesser knyttet til den måde, hvorpå overvågning,
opbevaring, videregivelse og sletning sker.
Foreningen har tidligere den 3. marts 2014 i et høringssvar over forslaget til lov om Center for
Cybersikkerhed udtalt sig kritisk om placeringen af styrkelsen af cybersikkerheden under
Forsvarets Efterretningstjeneste. Denne kritik står foreningen fortsat ved, men finder ikke
anledning til her at gentage argumentationen. Lovudkastet er tydeligvis en opfølgning af CFCS’
bidrag af 12. juni 2017 til evaluering af lov om cybersikkerhed. Vi finder det imidlertid
nødvendigt at påpege, at det ved forslagets udformning hverken ses eller synes overvejet, hvilke
konsekvenser det ville eller kunne have for en virksomhed at blive inddraget under nyordningen,
hvis virksomheden eksporterer sine produkter og/eller samarbejder med virksomheder i udlandet.
I lyset af den udvikling, som er i gang i flere lande, herunder også i Danmark, omkring det
kinesiske it- og kommunikationsselskab Huawei og dets mulige relationer til kinesiske
efterretningstjenester hverken kan eller bør dette aspekt imidlertid efter foreningens opfattelse
ignoreres.
Herefter har Retspolitisk Forening følgende bemærkninger til det fremsendte lovudkast:
Ad nr. 1 § 3.
Foreningen har ikke bemærkninger til denne bestemmelses stk’erne 1-3, der er baseret på et
frivillighedsprincip. Der er således ikke noget behov for rettens medvirken uanset, at aftalen er et
brud på meddelelseshemmeligheden. Myndigheder, virksomheder og andre er formentlig
opmærksomme på de gældende regler om beskyttelse af personlige oplysninger.
Bestemmelsens stk. 4, hvorefter Center for Cybersikkerhed i særlige tilfælde skal kunne påbyde
virksomheder, kommuner og regioner, der har særlig samfundsvigtig karakter at blive tilsluttet
netsikkerhedstjenesten. Det fremgår ikke af lovudkastets almindelige bemærkninger eller af
bemærkningerne til bestemmelsen (s. 53), hvilke særlige tilfælde, der er tænkt på udover, at en
aftale ikke kan opnås.
Foreningen skal anbefale, at det tydeliggøres, i hvilke situationer bestemmelsen er tænkt anvendt
samt, at der indføjes et krav om indhentning af rettens kendelse om tilslutning efter påbud. Det
forekommer retssikkerhedsmæssigt utilstrækkeligt at pege på administrativ rekurs til
Forsvarsministeriet med efterfølgende mulighed for domstolsprøvelse. Dette ønske understreges
af det forhold, at centrets virksomhed ikke er omfattet af forvaltningslovens begrundelseskrav.
Man kan således forestille sig, at et hospital uden begrundelse må acceptere et påbud om
tilslutning.
Ad nr. 3 § 4.
Det anføres i bestemmelsen, at Center for Cybersikkerheds netsikkerhedstjeneste uden
retskendelse kan behandle trafikdata, pakkedata og stationære data hidrørende fra tilsluttede
myndigheder og virksomheder, jf. § 3, stk. 2-4, med henblik på at understøtte et højt
informationssikkerhedsniveau i
samfundet. (Retspolitisk Forenings kursivering). Det fremgår ikke af lovudkastets bemærkninger,
hvad der menes med ”et højt informationsniveau i samfundet”. Det anføres (s. 55), at:
”Netsikkerhedstjenesten har til opgave at opdage, analysere og bidrage til at
imødegå sikkerhedshændelser os tilsluttede myndigheder og virksomheder.
Netsikkerhedstjenesten varetager opgaver i forhold til tilsluttede myndigheder og
virksomheder på det civile område samt myndigheder og institutioner på
Forsvarsministeriets myndighedsområde. For myndigheder på Forsvarsministeriets
områdes vedkommende vil opgavevaretagelsen – herunder monitorering af
netværkstrafik og monitorering via lokal sikkerhedssoftware – udover i Danmark
ske i udlandet forbindelse med internationale stabiliseringsindsatser og
operationer”.
Dette forekommer ikke som en tydeliggørelse af, hvad der skal forstås ved et højt
informationsniveau i samfundet.
Tilsvarende gælder, når dette kriterium anføres som grundlag for indgreb efter § 5 stk. 1 nr. 2 og
§ 6 stk. 1 selvom der her gælder et skriftligt samtykkekrav og efter § 6 et krav om forudgående
tilslutning.
Ad nr. 6-11.
Foreningen har ingen bemærkninger.
Ad nr. 12 § 16 stk. 3 nr. 3.
Foreningen har ingen bemærkninger til videregivelse til fremmede netsikkerhedstjenester, såfremt
det sikres, at der ikke videregives personoplysninger, der er modtaget i medfør af §§ 6 b og 6 c.
Ad § 17, stk. 2, nr. 1-2.
Foreningen anbefaler, at personoplysningerne indeholdt i data, der hidrører fra
sikkerhedshændelser, anonymiseres efter 1 år. De i stk. 2, nr. 1 angivne frister bør nedsættes til 3
år.
Foreningen har ikke yderligere bemærkninger til lovudkastet.
København, den 4. februar 2019
Bjørn Elmquist Leif Hermann
Formand bestyrelsesmedlem
3. februar 2019
Side 1
Rådet for Digital Sikkerhed
Toldbodgade 12, 1253 København K
Telefon: +45 9137 5600 mail: info@digitalsikkerhed.dk web: www.digitalsikkerhed.dk
Forsvarsministeriet
Holmens Kanal 9
1060 København K
Rådet for Digital Sikkerheds høringssvar til Lov om ændring af Lov om
Center for Cybersikkerhed
Rådet for Digital Sikkerhed (herefter Rådet) takker for muligheden for at afgive bemærkninger til
udkastet til Lov om ændring af Lov om Center for Cybersikkerhed, som er sendt i offentlig høring
d. 8. januar d.å.
Rådet har først og fremmest noteret sig, at regeringen har god fokus på informations- og
cybersikkerhed. Der er gennem det seneste år iværksat mange gode tiltag. Finansministeriets
strategi for cyber- og informationssikkerhed, Digitaliseringsstyrelsens portal Sikker Digital,
Erhvervsstyrelsen og Rådets Sikkerhedstjekket, Erhvervsstyrelsens Privacy-kompas, som er ved at
blive moderniseret, Justitsministeriets revision af Lov om TV-overvågning, Sektorstrategierne for
sikkerhed og senest men ikke mindst nu revisionen af Lov om Center for Cybersikkerhed. Rådet er
meget tilfredse med regeringens fokus. Det er afgørende for, at borgerne kan have tillid til
digitalisering af samfundet, at der er god fokus på informationssikkerhed i både den offentlige og
private sektor. Alle regeringens tiltag bidrager på forskellig vis hertil.
Rådets skal med dette brev komme med sine bemærkninger til ovennævnte lov.
Bemærkninger til Lov om ændring af Lov om Center for Cybersikkerhed
Rådet har overordnet noteret sig, at Center for Cybersikkerhed (herefter CFCS) har et ønske om at
udvide sine muligheder for at gribe ind forskellige steder i den digitale infrastruktur med det
formål at understøtte et højt informationssikkerhedsniveau ved at opdage, analysere og bidrage til
at imødegå sikkerhedshændelser. Rådet mener, at de udfordringer CFCS søger at løse er af kritisk
betydning for rigets sikkerhed og stabilitet, hvorfor vi støtter op om behovet for at øge
sikkerheden på den kritiske infrastruktur, hvor dette lovforslag er en ud af flere potentielle
løsninger. Rådet mener samtidig, at det er vigtigt løbende at vurdere, om CFCS har de rette midler
for at beskytte danske interesser i lyset af den teknologiske udvikling tillige med udviklingen i
trusselsbilledet. Det er ved en sådan vurdering helt centralt, at midlerne er proportionale henset
til borgernes fundamentale rettigheder i et demokratisk samfund og private virksomheders
3. februar 2019
Side 2
Rådet for Digital Sikkerhed
Toldbodgade 12, 1253 København K
Telefon: +45 9137 5600 mail: info@digitalsikkerhed.dk web: www.digitalsikkerhed.dk
interesser og behov for at holde deres data fortrolige. En række af de midler, som fremgår af
lovforslaget, kan i Rådets optik ikke anses for at leve op til et sådant proportionalitetsprincip.
Rådet bemærker dog, at hvor lovforslaget har en række fundamentale problemer, så er den
underliggende problemstilling, der søges adresseret af en sådan vigtighed, at det er afgørende, at
der findes holdbare løsninger hertil. Hvor det er Rådets opfattelse, at lovforslaget som det
foreligger ved høringen ikke er denne løsning, kan elementer heraf alligevel danne inspiration for
løsninger. Eksempelvis kunne man overordnet opnå den underliggende målsætning ved at 1)
Sætte minimumskrav til sikkerhed og beredskab for de organisationer, der indgår i den kritiske
infrastruktur; 2) Opsætte CFCS services til krypteret modtagelse af relevante anonymiserede
sikkerhedshændelser og/eller logninger; 3) Opsætte en statslig pulje af økonomiske midler til
finansiering af de nødvendige tiltag og værktøjer ude i de enkelte organisationer. På denne vis
opnås det ønskede formål, samtidig med at virksomheder og privates rettigheder respekteres, og
tilgang til reel data stadig kan betinges af en dommerkendelse.
Med en sådan alternativ tilgang i tankerne findes nedenfor Rådets øvrige bemærkninger til
lovforslaget, som det foreligger ved høringen.
Sikkerhedssoftware og adgang til stationære data
Forslagets § 3, stk. 1 indebærer jf. bemærkningerne p. 50, at CFCS fremadrettet skal kunne
monitorere de tilsluttedes forbindelse til internettet, skal kunne installere sikkerhedssoftware på
lokale enheder hos de tilsluttede og overføre oplysninger fra den tilsluttedes egne
sikkerhedssystemer til CFCS. Videre fremgår det af § 4, at der lægges op til, at CFCS får adgang til
stationære data – foruden de trafik- og pakkedata, som CFCS allerede har adgang til. I § 15 lægges
der videre op til, at CFCS kan foretage automatiserede analyser af trafikdata, pakkedata og
stationære data. Disse kan suppleres af manuelle analyser.
Rådet noterer sig, at det er en betydelig udvidelse af de beføjelser, som CFCS har i dag. I dag kan
CFCS alene opsamle trafik- og pakkedata på ydersiden af den tilsluttedes firewall. I fremtiden er
det med forslaget tanken, at CFCS kommer dybt ind i den tilsluttedes infrastruktur og kan tilgå alle
data. CFCS vil dermed få adgang til forretningshemmeligheder, alle oplysninger om ansatte,
kunder og borgere, de ansattes private filer m.v. Rådet har noteret sig, at CFCS ikke får adgang til
internetudbydernes kunders kommunikation og dermed som udgangspunkt ikke borgernes private
kommunikation med hinanden.
I forslaget præciseres det ikke, hvilken sikkerhedssoftware CFCS har i tankerne at installere i de
tilsluttede myndigheder og virksomheders infrastruktur. Der gives dog flere steder indikationer af
softwarens funktionalitet1, der bl.a. omfatter:
1
”unormal aktivitet” (p. 12), ”blokere, omdanne eller omdirigere” (p. 16), ”reagere på kendte signaturer” (p.17),
”opdage uregelmæssigheder… på enkelte enheder (f.eks. pc’er)” (p. 18) og ”servere, smartphones og tablets” (p. 18),
”beskyttelse af netværk, der ikke er forbundet til internettet” (p. 18), ”tilgå data, som opbevares på en lokal enhed”
(p. 18), sammenligning med ”antivirus-software” (p. 19), ”uregelmæssigheder i de processer, der er aktiveret på
enheden eller i de netværk, som enheden er tilknyttet” (p. 19), ”opdage afvigelser fra normalbilledet” (p. 19),
”forebyggende sikkerhedstekniske undersøgelser… [der]… afdække[r] områder og sårbarheder (p. 21), ”simuleret
3. februar 2019
Side 3
Rådet for Digital Sikkerhed
Toldbodgade 12, 1253 København K
Telefon: +45 9137 5600 mail: info@digitalsikkerhed.dk web: www.digitalsikkerhed.dk
Logopsamling fra systemer og end-points og opsamling af flowdata på indersiden af firewallen,
således at der kan reageres på baggrund af på forhånd definerede genkendelse af trafikmønstre
og angrebsvektorer. Der er formodentlig desuden tale om forskellige produkter til overvågning af
end-points, hvor der søges efter malware, kontakt til skadelige sider og analyseres afvigende
brugeradfærd (logon på mærkelige tidspunkter, kopiering af større mængder filer, osv.). Der er
videre formodentlig tale om analyse af netværkstrafik og for så vidt angår den aktive software,
mulighed for at reagere på cyberangreb i realtid. På netværk og endpoints kan der søges efter
bestemte signaturer. Der tales videre om at gennemføre skanninger på ydersiden af firewallen
med henblik på at identificere og udnytte sårbarheder. Der tales om at overvåge systemprocesser
og services. Videre nævnes der nogle få sikkerhedsteknologier eller begreber: spearphishing mails,
spredning af skadelige usb-nøgler, anvendelsen af honeypots og sinkholes samt social engineering.
Der er med andre ord tale om en bred vifte af teknologier med funktionalitet, som allerede
udbydes af det private marked, og allerede mange steder er installeret af myndigheder og
virksomheder.
Rådet finder, at anvendelsen af disse teknologier er rigtig fornuftige sikkerhedstiltag. Anvendelsen
af dem bør baseres på en risikovurdering, og hvor risici tilsiger det, kan de med fordel
implementeres som korrigerende foranstaltninger.
CFCS vil med disse softwareteknologier kunne få adgang til alle de tilsluttede myndigheder og
virksomheders data – herunder forretningskritiske data, strategiske data, intellectual property
rights, personoplysninger i form af sundhedsoplysninger, biometriske data, genetiske data,
sagsbehandling relateret til etnisk tilhørsforhold, oplysninger om seksuelt, politisk, religiøst og
filosofisk tilhørsforhold om ansatte hos de tilsluttede (følsomme personoplysninger) (se f.eks.
bemærkningerne p. 18, 24, 61 og 62) (endda med mulige ansættelsesretlige konsekvenser),
sagsbehandling om landets mest udsatte borgere (se f.eks. beskrivelsen p. 59), CPR-numre,
personalefiler for de ansatte hos tilsluttede (fortrolige personoplysninger) og en lang række andre
oplysninger – f.eks. fra de ansatte eller data om kunder, som er lagret (almindelige
personoplysninger). Teknologierne kan således i vid udstrækning anvendes til at krænke
privatlivets fred, som adresseret i Grundlovens § 72. I lovforslaget bemærkes det da også, at
installation af software og undersøgelse af data på lokale enheder kræver særskilt lovgivning for
ikke at være i modstrid med Grundlovens § 72. Udgangspunktet for § 72 er, at myndighederne
ikke må krænke privatlivets fred. Helt undtagelsesvist kan der laves lovgivning, som under særligt
vigtige omstændigheder kan tilsidesætte borgerens ret efter Grundloven – f.eks. hvis politiet jager
en forbryder i et hus, og ikke kan nå at indhente dommerkendelse. Der skal således foretages en
proportionalitetsvurdering mellem to hensyn. Rådet bemærker, at de grænser, der i lovforslagets
bemærkninger pp. 55-60 søges opstillet for CFCS adgang til de tilsluttedes data, er uklare. Rådet er
således usikker på, i hvilket omfang CFCS foruden søgning med software faktisk vil have adgang til
angreb” (p. 21), ”dokumentere potentielle angrebsvektorer og sårbarheder” (p. 21), ”skanninger på ydersiden… i
søgen efter åbne netværksadgange, tjenester og sårbare applikationer” (p. 23 og p. 60), ”social engineering” (p. 23 og
p. 61), ”spear-phishing” mails (p. 24 og p. 61), usb-nøgler, ”honeypots og sinkholes” (p. 26 og p. 62), ”monitorering af
netværkstrafik og monitorering via lokal sikkerhedssoftware” (p. 55), ”kørende systemprocesser og services” (p. 55),
”logfiler” (p. 55), ”reagere på cyberangreb i realtid” (p. 58).
3. februar 2019
Side 4
Rådet for Digital Sikkerhed
Toldbodgade 12, 1253 København K
Telefon: +45 9137 5600 mail: info@digitalsikkerhed.dk web: www.digitalsikkerhed.dk
med andre - herunder manuelle midler - at tilgå de tilsluttedes data. Rådet bemærker videre, at
denne præcisering bør fremgå af loven og ikke alene af bemærkningerne.
Foruden privacy problemet vil det for internationale virksomheder være problematisk at lagre
data om udviklingsprojekter i et land, hvor efterretningstjenesten systematisk tilgår data.
Tilsvarende vil det være problematisk at iværksætte udviklingsprojekter i sådanne lande. Endelig
er der en risiko for, at danske virksomheder ikke kan indgå som partner i sådanne
udviklingsprojekter. Der er derfor en risiko for, at internationale virksomheder vil gå uden om
Danmark, når der skal besluttes, hvor udviklingsprojekter kan foregå.
Rådet mener, at de foreslåede adgange for en myndighed i en efterretningstjeneste ikke lever op til
et gængs proportionalitetsprincip for et demokratisk samfund, givet mængden af kritiske data og
personoplysninger der søges tilgået uden dommerkendelse. Rådet anbefaler, at det præciseres og
afgrænses præcist i hvilket omfang og med hvilke midler, CFCS kan tilgå de tilsluttedes data. Videre
er det en udfordring for danske virksomheder, at CFCS kigger med i fortrolige internationale
projekter.
Påbud
I henhold til forslagets § 3, stk. 4 er det hensigten, at CFCS kan påbyde, virksomheder, regioner og
kommuner, der har særligt samfundsvigtig karakter at blive tilsluttet netsikkerhedstjenesten.
Videre følger det af § 3, stk. 4 at de parter, der har modtaget påbud skal medvirke til
netsikkerhedstjenestens opsætning og drift af hardware og software.
Rådet noterer sig, at det foreslåede påbud gælder tilslutning til CFCS. Rådet skal igen bemærke, at
man kunne forestille sig alternative veje til at arbejde med påbud. F.eks. kunne man give
myndigheder og virksomheder indenfor kritisk infrastruktur påbud om at udarbejde
risikovurderinger og/eller påbud om at installere konkrete tekniske sikkerhedsforanstaltninger,
som de selv administrerer, uden at CFCS skal have adgang til data eller kun begrænset
anonymiseret adgang. Det er vigtigt at overveje, hvordan man kan gøre påbud så lidet indgribende
overfor data, som muligt. Slutteligt kunne man igen gøre disse tiltag statsfinansieret igennem en
pulje, hvorfra virksomhederne kan søge omkostningsdækning for tilslutningsomkostninger. Dette
vil bidrage til en tættere tilslutning og derved øget sikkerhed i den kritiske infrastruktur.
Rådet mener, at det bør være op den enkelte myndighed eller virksomhed, hvilke
sikkerhedsforanstaltninger de ønsker at tage – herunder om de ønsker tilslutning til CFCS. Rådet
anbefaler, at hvis man vil påbyde myndigheder og virksomheder sikkerhedsforanstaltninger, at
dette så gøres på så lidet en indgribende måde som muligt, og hvor omkostninger hertil afholdes af
staten.
Aktiv versus passiv sikkerhedssoftware
Forslagets § 6, stk. 1 lægger op til, at den software, som installeres hos myndigheder og
virksomheder, kan være aktiv og blokere, omdanne eller omdirigere trafik- og pakkedata. I § 6, stk.
2 fastslås det, at tilsvarende finder anvendelse for stationære data – tillige med sletning.
3. februar 2019
Side 5
Rådet for Digital Sikkerhed
Toldbodgade 12, 1253 København K
Telefon: +45 9137 5600 mail: info@digitalsikkerhed.dk web: www.digitalsikkerhed.dk
Endelig lægges der i §§ 6a-c op til, at CFCS kan gennemføre sikkerhedstekniske undersøgelser,
installere sikkerhedssoftware, tilgå offentlige informationer andre steder og rette
forebyggelsesaktiviteter mod enkelte medarbejdere, tillige med muligheden for at gøre brug af
honeypots og sinkholes.
Rådet bemærker igen, at vi ikke finder det proportionalt at gennemføre de skitserede tiltag og
anbefaler i stedet alternative tilgange med samme målsætning.
Sletning ved videregivelse
I § 17 lægges der op til en forlængelse af slettefristerne.
Henset til den tid, der som gennemsnit går før en sikkerhedshændelse opdages, og i tilknytning
hertil, hvor længe det tager at efterforske en sag – særligt APT-angreb, som må antage at være
CFCS fokus-område – har Rådet ikke overordnet bemærkninger til de forlængede slettefrister.
I henhold til § 17, stk. 5 lægges der op til, at hvis data er videregivet, skal slettefristerne angivet i §
16 ikke gælde. Herefter gælder der jf. forslagets § 17, stk. 6, at personoplysninger skal slettes, når
de sikkerhedstekniske undersøgelser er afsluttet. Det præciseres videre p. 34, at data i medfør af §
17, stk. 1 skal slettes, når formålet med behandlingen efter konkret vurdering er udtømt. Det
forekommer på den baggrund uklart, i hvilket omfang videregivne data skal slettes.
Rådet mener ikke, at videregivelse kan fravige sletningskrav for data, hvis formål er opfyldt. Rådet
skal derfor henstille til 1) at det fastslås at alle data – inkl. videregivne data – slettes når formålet
er opfyldt og 2) at der ligesom på det persondataretlige område fastlægges et krav om
underretning ved sletning, således at de aktører, til hvem data er videregivet, underrettes om at
CFCS har foretaget sletning, og at modtagere derfor skal overveje, om de forsat skal lagre data.
Andre forhold
Med forslaget lægges der i § 7 samt §§ 7a-f op til at vedtage editionsbestemmelser og i § 8 op til at
undtage CFCS fra Lov om retssikkerhed.
Rådet har ikke bemærkninger til disse undtagelser.
Konkurrence
I tal kan man af CFCS’ årsberetning for 2017 se, at der var 39 tilslutningsaftaler fordelt på 25 civile
myndigheder, 12 militære myndigheder og 2 private virksomheder2. I høringsmaterialets side 11
fastslås det, at ”relativt få myndigheder og virksomheder er tilsluttet netsikkerhedstjenesten, og at
der dermed er mange samfundsvigtige virksomheder, som ikke får monitoreret deres
internettrafik for avancerede cybertrusler”. Det lægges således til grund af Forsvarsministeriet, at
fordi der er så relativt få tilslutninger, så sker der ikke en monitorering af internettrafik for
avancerede cybertrusler. For at løse dette problem lægges der p. 14 op til at gøre tjenesten gratis.
2
https://fe-ddis.dk/cfcs/publikationer/Documents/CFCS_Beretning_2017.pdf, p. 4.
3. februar 2019
Side 6
Rådet for Digital Sikkerhed
Toldbodgade 12, 1253 København K
Telefon: +45 9137 5600 mail: info@digitalsikkerhed.dk web: www.digitalsikkerhed.dk
Rådet vil gerne rejse tvivl om, hvorvidt mange samfundsvigtige myndigheder ikke får monitoreret
deres internettrafik for avancerede trusler. Rådet er af den opfattelse, at der på det private marked
findes mange sikkerhedsteknologier, der monitorerer internettrafik for avancerede cybertrusler.
Rådet finder, at det er uheldigt signal, at Forsvarsministeriet ikke tillægger nogen videre vægt til
den betydelige effekt disse private leverandører har på sikkerheden i Danmark. Det bemærkes, at
den lavere tilslutning til CFCS ligeledes kunne skyldes, at det udbudte produkt står
konkurrencemæssigt svagere på funktionalitet og/eller pris ift. det private marked, eller at CFCS’
formål som efterretningstjeneste opfattes som i uoverensstemmelse med de kommercielle
virksomheders interesser. Det er meget tænkeligt, at CFCS’ produkt ikke foretrækkes af
virksomheder og myndigheder, i forhold til alternativer fra det private marked.
Forsvarsministeriet hævder flere steder i høringsmaterialet at både de eksisterende tiltag med
monitorering af trafik via sensorer såvel som de fremtidige tiltag, hvor der skal installeres
software, der kan reagere aktivt og tilgå stationære data, ikke påvirker det private marked for IT-
sikkerhedsprodukter og -services - f.eks. pp. 14, 16, 19, 22, 25 og 29. Argumentet som gives af
Forsvarsministeriet er bl.a., at den tjeneste, som CFCS stiller til rådighed, er efterretningsbaseret,
hvilket de private tjenester ikke er. Da de nødvendige tekniske tiltag for at opnå CFCS’ ønskede
formål er tilgængelige på det private marked, finder Rådet ikke dette argument overbevisende.
Rådet er af den opfattelse, at lovforslaget vil have en meget betydelig konkurrenceforvridende
effekt. Rådet skal derfor anbefale, at CFCS i stedet for at tilbyde software, tilbyder
efterretningsmæssig information og lader denne indgå i den software, der allerede findes på
markedet. Konkret foreslås det, at CFCS stiller f.eks. efterretningsbaseret information om skadelige
IP-adresser, signaturer af malware m.v. til rådighed for de tilsluttede myndigheder og
virksomheder til indlejring i deres sikkerhedssoftware.
Rådet noterer sig videre, at det p. 15 nævnes, at CFCS i visse tilfælde alene vil tilbyde sin gratis
service til én virksomhed i en given branche. Rådet skal bemærke, at i henhold til GDPR pålægges
myndigheder og virksomheder at implementere betydelige organisatoriske og tekniske
sikkerhedsforanstaltninger. Dette har betydelige omkostninger for virksomhederne. Med forslaget
p. 15 er der altså én virksomhed i hver branche, som potentielt kan spare millioner af kroner på at
foretage investering i sikkerhedsprodukter ved blot at anvende CFCS i stedet. Dette vil også
medvirke til at skabe konkurrenceforvridning i disse brancher.
Rådet er af den opfattelse, at forslaget ikke alene vil skabe konkurrenceforvridning på IT-
sikkerhedsmarkedet, men også potentielt på de markeder, der er omfattet af kritisk infrastruktur.
Rådet står naturligvis til rådighed for en uddybelse af ovenstående synspunkter.
På bestyrelsens vegne
Henning Mortensen
Formand, Rådet for Digital Sikkerhed
1
Forsvarsministeriet
fmn@fmn.dk
tbl@fmn.dk
sbu@fmn.dk
4. februar 2019
Høring vedrørende udkast til ”Forslag til Lov om ændring af lov om Center for
Cybersikkerhed” (sagsnummer 2018/006599)
Teleindustrien (”TI”) har nu haft mulighed for at gennemgå Forsvarsministeriets ud-
kast til ”Forslag til Lov om ændring af lov om Center for Cybersikkerhed”.
TI anerkender Forsvarsministeriets sikkerhedsdagsorden, der afspejler det eksiste-
rende trusselsbillede mod den digitale infrastruktur. Som følge heraf forstår TI beho-
vet for via lovgivning at give relevante myndigheder de nødvendige redskaber til at
understøtte et tilstrækkeligt sikkerhedsniveau.
TI er dog samtidig af den opfattelse, at der med lovforslaget er tale om en meget ind-
gribende regulering, og at forslagene på nogle punkter synes at gå længere, end hvad
der kan retfærdiggøres og forsvares som proportionalt. Endvidere er det TIs opfat-
telse, at lovforslaget på nogle punkter ikke er tilstrækkeligt præcist til at kunne sikre
den nødvendige forudsigelighed og klarhed i reguleringen.
Det er på den baggrund TIs opfattelse, at lovforslaget bør justeres med henblik på at
sikre, at myndighedernes redskaber og muligheder for indgriben i virksomheders og
enkeltpersoners rettigheder sker inden for på forhånd specificerede rammer og ved
iagttagelse af proportionalitet.
I det følgende skal TI fremkomme med sine konkrete bemærkninger til ”Forslag til Lov
om ændring af lov om Center for Cybersikkerhed”.
2
Definitioner
I forslaget til ny § 2, nr. 3 fremgår, at ”Trafikdata” defineres som ”Data, som behand-
les med henblik på at transmittere pakkedata”. TI finder anvendelsen af begrebet
”Trafikdata” uhensigtsmæssig, da samme begreb i forvejen anvendes - med en anden
definition - i ”bekendtgørelse om udbud af elektroniske kommunikationsnet og -tjene-
ster” (§ 2, nr.2).
Det bør desuden præciseres i lovteksten, og ikke kun i bemærkningerne til den fore-
slåede § 3, stk. 4, at Center for Cybersikkerhed (”CFCS”) ikke har adgang til observa-
tion af teletrafik mellem virksomheders kunder.
Endelig fremgår det af forslag til ny § 2, nr. 5, at ”Malware” udgør ”Trafikdata, pakke-
data og stationære data, hvor der er særligt bestyrket mistanke om, at data er an-
vendt af en angrebsaktør med det formål at forårsage et brud på informationssikker-
heden.”
Det er TI’s vurdering, at en definition af begrebet ”Malware” udelukkende bør inde-
holde en objektiv, teknisk beskrivelse af, hvad der betragtes som malware og ikke en
kvalificering af, at en ”særligt bestyrket mistanke” kan medføre subsumption af data
under begrebet. Sidstnævnte vil medføre uforudsigelighed, da begrebets definition
hermed vil afhænge af CFCS’ subjektive vurdering af den pågældende data.
Præcisering af begrebet ”tilslutning”
Forslaget til den nye lovgivning indeholder efter TI’s vurdering ikke en tilstrækkelig
præcisering af, hvad en ”tilslutning” til netsikkerhedstjenesten indebærer. Dette gæl-
der både for så vidt angår frivillige tilslutninger efter aftale (§ 3, stk. 3) samt tilfælde,
hvor CFCS efter forslaget skal kunne pålægge påbud om tilslutning (§ 3, stk. 4).
Det har stor betydning for tilsluttede virksomheder, hvor stort et antal punkter i net-
tet, som en tilslutning indebærer installationer i, samt hvor det pågældende udstyr
placeres.
I det tilfælde, at den nye lovgivning kommer til at indeholde mulighed for CFCS til at
udstede påbud om tilslutning, bør de deraf følgende installationer hos virksomheder
udelukkende kunne påbydes installeret under iagttagelse af proportionalitet, jf. nær-
mere nedenfor.
Derudover bør det gøres klart, på hvilke øvrige vilkår der forventes indgået aftale
mellem CFCS og virksomheder om tilslutning til netsikkerhedstjenesten. Herunder bør
forhold vedrørende kommunikation, rapportering, fejlretning, kompetencer, ansvars-
fordeling, m.v. indgå. En aftaleskabelon kan eventuelt vedlægges som bilag til lov-
forslaget.
3
Påbud om tilslutning
Med lovforslaget foreslås det, at CFCS gives hjemmel til at påbyde tilslutning til CFCS’
netsikkerhedstjeneste. Samtidig foreslås det, at gebyret for tilslutning til tjenesten
bortfalder.
TI finder det som udgangspunkt positivt, at gebyret forslås fjernet, men TI finder
samtidig den nævnte mulighed for påbud om tilslutning både ubegrundet og upropor-
tional, jf. nedenfor.
Det er TI’s vurdering, at fjernelsen af tilslutningsgebyret i sig selv vil være tilstrække-
ligt til i nødvendigt omfang at sikre tilslutning til CFCS’ netsikkerhedstjeneste. Af
denne årsag er det TI’s vurdering, at det ikke er nødvendigt at indføre muligheden for
at meddele myndigheder og virksomheder et påbud om tilslutning.
TI skal desuden bemærke, at det faktum, at en virksomhed – også en virksomhed,
der råder over samfundskritisk infrastruktur – ikke er tilknyttet netsikkerhedstjene-
sten, ikke er ensbetydende med, at der ikke i tilstrækkeligt omfang sker monitorering
af virksomhedens infrastruktur. Virksomhederne har en egen interesse i at sikre sig
mod angreb udefra, hvorfor det er TI’s formodning, at langt de fleste virksomheder,
der råder over kritisk infrastruktur, i forvejen er tilstrækkeligt beskyttet, hvorfor der
ikke synes at eksistere et selvstændigt behov for at kunne tvinge virksomheder til at
blive tilsluttet netsikkerhedstjenesten.
Det er på den baggrund TI’s forslag, at den reviderede lov om Center for Cybersikker-
hed ikke skal indeholde ovenstående påbudsmulighed. Såfremt den rapport om erfa-
ringer med den nye lovgivning, som oversendes til Folketinget tre år efter lovens
ikrafttræden, jf. side 9 i udkast til ”Forslag til Lov om ændring af lov om Center for
Cybersikkerhed” konkret måtte begrunde et sådant behov, vil dette kunne overvejes
gennemført ved en senere lovændring.
Såfremt den nye lovgivning mod TI’s anbefaling kommer til at indeholde en påbuds-
mulighed, er det TI’s vurdering, at loven ikke indeholder tilstrækkelige kriterier for,
hvem et påbud kan rettes mod. Det fremgår af forslag til § 3, stk. 4, at:
”Center for Cybersikkerhed kan i særlige tilfælde påbyde virksomheder,
regioner og kommuner, der har særligt samfundsvigtig karakter, at blive
tilsluttet netsikkerhedstjenesten. ”
Det synes dog ikke at være specificeret, hvad der udgør en virksomhed, region eller
kommune med ”særlig samfundsvigtig karakter”. Særligt bemærkningerne til lov-
forslagets enkelte bestemmelser synes at ophæve forudsigeligheden af hvilke enhe-
der, der kan betragtes som havende ”særligt samfundsvigtig karakter”. Her fremgår
det, at (side 51):
”Begrebet samfundsvigtig karakter vil imidlertid også omfatte virksomhe-
der, som ikke i sig selv er samfundsvigtige, men som kan være vigtige ud
fra et sikkerhedsperspektiv, eksempelvis fordi deres servere er blevet infi-
4
ceret gennem et cyberangreb og nu anvendes som en del af en angrebs-
aktørs infrastruktur. Det forudsættes, at disse virksomheder, som ikke i
sig selv er beskæftiget med samfundsvigtige funktioner, alene tilsluttes
netsikkerhedstjenesten, så længe omstændighederne gør, at de har sam-
fundsvigtig karakter.”
En specificering af begrebet ”særligt samfundsvigtig karakter ” kunne eventuelt for-
muleres med inspiration fra definitionen af ”væsentlige erhvervsmæssige udbydere af
offentligt tilgængelige net og tjenester” som defineret i ”Bekendtgørelse om informati-
onssikkerhed og beredskab i net og tjenester” (§ 1, nr. 5). En præcisering bør fremgå
direkte af lovteksten.
Det skal understreges, at TI ikke er uenige i ovenstående betragtning om, at en i sig
selv ikke-samfundsvigtig virksomhed efter omstændighederne via tilslutning til CFCS’s
netsikkerhedstjeneste vil kunne bidrage til højere digital sikkerhed. Sammenholdes
det ovenfor citerede imidlertid med forslag til ny § 3, stk. 4 (CFCS’ mulighed for at
udstede påbud om tilslutning), synes CFCS’ mulighed for at kræve virksomheder, re-
gioner og kommuner tilsluttet netsikkerhedstjenesten at være stort set uindskrænket,
hvilket retssikkerhedsmæssigt er problematisk.
Proportionalitet
Det er væsentligt at sikre overholdelse af grundlæggende frihedsprincipper og privatli-
vets fred, også i situationer, hvor der er trusler mod sikkerheden. Indgreb i meddelel-
seshemmeligheden skal begrænses til det mindst mulige under hensyntagen til opret-
holdelse af samfundskritisk infrastruktur. Det er afgørende, at der er klare og afgræn-
sede rammer for hvor og hvordan, indgrebene kan finde sted. Bemærkningerne til for-
slaget bør udbygges til at beskrive den proportionalitetsvurdering, som CFCS skal fo-
retage, forud for en beslutning om udstedelse af påbud, således at det sikres, at for-
målet med påbuddet ikke kan opnås ad andre veje.
Det er TI’s forståelse, at forslaget til ny lovgivning skal medføre hjemmel til, at CFCS
kan udstede påbud om tilslutning med installation af passivt udstyr på såvel ’ydersi-
den’ som ’indersiden’ hos virksomhederne. Dette fremgår efter TI’s vurdering ikke
klart af forslaget til ny lovtekst.
Enhver installation på ’indersiden’ hos en virksomhed vil indebære tilstedeværelse af
en fremmed IT-enhed i virksomhedens infrastruktur, hvilket i sig selv forøger risikoen
for fejl i virksomhedens infrastruktur, ligesom den fremmede IT-enhed potentielt kan
medføre en forringelse af virksomhedens samlede IT-sikkerhed. Som eksempel kan
nævnes risikoen for interferens mellem CFCS’ installerede ’agenter’ og virksomhedens
egne ’agenter’.
Monitorering på ’indersiden’ skal også ses i forhold til indgreb i meddelelseshemmelig-
heden, hvor bemærkningerne til lovforslaget (s. 18) oplyser, at installation af agenter
på virksomhedens enheder kan give adgang til ansattes private oplysninger. Installati-
onen vil dermed være langt mere indgribende over for den enkelte ansatte end over-
vågning af trafikken ind og ud af virksomheden.
5
Derudover vil CFCS’ udstyr samlet kunne medføre en centralisering af kritiske oplys-
ninger, der dermed vil udgøre et særligt attraktivt mål for cyberangreb. Sammenhol-
des dette med, at Tilsynet med Efterretningstjenesterne de seneste år har udtrykt kri-
tik over fejl i Forsvarets Efterretningstjeneste og Center for Cybersikkerhed
(https://politiken.dk/udland/art6960996/Forsvarets-Efterretningstjeneste-har-stadig-
ikke-styr-p%C3%A5-it-sikkerheden, https://fe-ddis.dk/Nyheder/nyhedsar-
kiv/2018/Pages/TET17.aspx), er det TI’s vurdering, at CFCS’ installationer kan udgøre
en ikke ubetydeligt risiko for tilsluttede virksomheder.
Ovenstående gør sig naturligvis i højeste grad gældende, når der er tale om ’aktivt’
udstyr på ’indersiden’ af en virksomheds IT-infrastruktur, jf. også afsnit 3.3.3.2 (side
20) i udkast til ”Forslag til Lov om ændring af lov om Center for Cybersikkerhed”,
hvoraf fremgår:
”Anvendelse af sikkerhedssoftware med aktiv funktionalitet indebærer en
risiko for, at der sker fejl. Det kan eksempelvis ikke udelukkes, at bloke-
ring af en nærmere bestemt systemproces kan medføre, at dele af den på-
gældende organisations it-system går ned eller beskadiges. Det kan heller
ikke udelukkes, at systemet ved en fejl blokerer en e-mail fra en borger på
en lokal pc hos en sagsbehandler, før sagsbehandleren har konstateret, at
e-mailen er modtaget.”
Da karakteren og placeringen af de med en tilslutning medfølgende installationer har
stor betydning for virksomhederne, deres kunder, samarbejdspartnere og ansatte, jf.
ovenfor, er det TI’s klare holdning, at såfremt CFCS med den endelige lovtekst får
mulighed for udstedelse af påbud om tilslutning, skal denne kun kunne medføre in-
stallation af ’passive’ elementer, og udelukkende på ’ydersiden’ hos virksomhederne. I
modsat fald bør det præciseres, at påbud om installation af udstyr på ’indersiden’ hos
en virksomhed udelukkende kan ske i særlige og udtømmende specificerede tilfælde.
Herudover bør det være et krav, at virksomhederne informeres fyldestgørende og
vedvarende om installation og funktion af udstyr på ’indersiden’, herunder særligt ’ak-
tivt’ udstyr på ’indersiden’, da enhver blokering, omdannelse eller omdirigering af data
dels kan medføre fejl, der påvirker virksomhedernes kundeforhold. Ligeledes vil
manglende viden om en blokering betyde, at virksomhederne vil opleve den mang-
lende datatrafik (som følge af blokeringen) som en fejl og dermed bruge unødige res-
sourcer på fejlretning i egne systemer.
Derudover bør lovteksten indeholde en utvetydig kvalificering af, hvorledes det sikres,
at CFCS’ indgreb er proportionale, samt at også proportionaliteten efterprøves, ek-
sempelvis af Tilsynet med Efterretningstjenesterne.
Forslaget lægger op til en evaluering efter tre år, men for at give størst mulig transpa-
rens om omfanget og effekten af indgrebene, bør der årligt, eksempelvis i CFCS’ be-
retning, gøres rede for udviklingen i forhold til netsikkerhedstjenesten, herunder an-
tallet af påbud, resultatet af overvågningen, omfanget af blokering, m.v.
Yderligere skal det understreges, at installation af udstyr på ’indersiden’ hos virksom-
heder vil kunne medføre en væsentlig forøgelse af virksomhedens ressourceforbrug i
6
forhold til det påkrævede ressourceforbrug, der udspringer af installationer på ’ydersi-
den’ hos virksomheden.
Selvom gebyret for tilslutning bortfalder, vil der fortsat påhvile en virksomhed, der bli-
ver påbudt at tilslutte sig netsikkerhedstjenesten, en potentielt betragtelig omkostning
i forhold til implementering, udrulning og sikring af udstyrets kompatibilitet med eksi-
sterende udstyr i virksomhedernes digitale infrastruktur. Det forekommer således ge-
nerelt misvisende, at der ikke er taget hensyn hertil i forbindelse med den i lovforsla-
get foretagne vurdering af økonomiske konsekvenser for erhvervslivet.
Endelig skal TI bemærke, at der i lovforslaget ikke synes at være taget stilling til,
hvordan eventuelle netnedbrud og skader som følge af CFCS’ installationer skal hånd-
teres både i forhold til fejlsøgning, genopretninger, erstatninger m.m. Det samme
gælder i forhold til CFCS’ mulighed for at omdanne og blokere indhold, hvorved ek-
sempelvis forretningskritisk information kan risikere at gå tabt. Regulering af ansvaret
for sådanne følger af CFCS’ aktivitet og en eventuel erstatning for tab i medfør heraf,
er der ikke taget stilling til i lovteksten, hvilket TI finder yderst problematisk. Disse
forhold bør afklares, før lovforslaget fremsættes endeligt.
Edition
CFCS gives med forslaget til den nye lovgivning hjemmel til ved pålæg at indhente op-
lysninger om brugeren af en e-mailkonto, IP-adresse eller et domænenavn (forslag til
ny § 7, stk. 1). Efter TI’s vurdering mangler bestemmelsen en definition af, hvad der
menes med at ”afdække sikkerhedshændelser” samt med hvilket nærmere afgrænset
formål, der må indhentes oplysninger. Særligt, når forslag til ny § 7, stk. 1 sammen-
holdes med de sædvanlige editionskrav, må det konstateres, at der mangler et krav
om, at der skal foreligge konkret mistanke.
CFCS har på informationsmøde om forslaget oplyst, at hensigten med forslaget er at
kunne identificere ofre for cyberangreb og at informere disse om angrebet. I de indle-
dende bemærkninger til forslaget (s. 28) nævnes der dog både identifikation af an-
grebsaktører og mål for angreb, og gruppen af brugere, der kan kræves oplysninger
om, er ikke nærmere beskrevet i lovteksten eller de specifikke bemærkninger til den
foreslåede bestemmelse. Det bør præciseres i lovteksten og uddybes i bemærknin-
gerne, hvilke parter identifikationen sigter mod, herunder hvilket formål der kan vare-
tages gennem edition.
TI har noteret sig, at adgangen til edition ikke kun er rettet mod tilsluttede virksom-
heder, men derimod omfatter alle udbydere, der tildeler burgere e-mailadresser, do-
mænenavne og IP-numre. En udvidelse af editionsadgangen vil uden tvivl medføre
yderligere administrative byrder og omkostninger for udbyderne. Anvendelsen af edi-
tion bør derfor i videst muligt omfang forsøges minimeret af CFCS, og udbyderne bør
kompenseres for omkostningerne ved at yde CFCS bistand svarende til den omkost-
ningsdækning, udbyderne har ret til ved bistand til politiets indgreb i meddelelses-
hemmeligheden efter telelovens 10 (se lovbemærkningerne til § 10, stk. 2).
7
Det bør ligeledes præciseres, at muligheden for at indhente oplysninger i henhold til
forslag til ny § 7, stk. 1 om en bruger eller medarbejder hos en tilsluttet virksomhed
udelukkende kan ske, såfremt oplysningen ikke kan skaffes via den tilsluttede virk-
somhed. Ud over at sidstnævnte vil begrænse byrderne hos udbyderne, vil det være
naturligt, at den tilsluttede virksomhed inddrages, når CFCS vil kontakte medarbej-
dere og brugere hos den tilsluttede virksomhed.
I forhold til ovenstående pålæg om udlevering af oplysninger om brugeren bag en IP-
adresse skal TI gøre opmærksom på, at udbydere af internetadgang i væsentligt om-
fang anvender den såkaldte NAT-teknologi, hvor mange brugere tildeles det samme
IP-nummer. Der vil derfor kunne være flere tusinde brugeroplysninger tilknyttet hvert
IP-nummer, og en udlevering af en sådan mængde oplysninger vil dels udgøre et
uproportionalt indgreb, og dels være forbundet med et uproportionalt stort ressource-
forbrug for de tilsluttede virksomheder. En IP-adressen består af både et IP-nummer
og et portnummer, hvorfor det vil være nødvendigt at oplyse begge dele, for at kunne
identificere en bestemt bruger bag en IP-adresse. Det bør derfor præciseres, at udle-
vering af oplysninger om brugeren bag en IP-adresse udelukkende kan ske, såfremt
kendelsen både indeholder oplysning om det relevante IP-nummer og portnummer.
Videregivelse af oplysninger
TI kan konstatere, at kredsen, som CFCS kan videregive oplysninger til med lovforsla-
get foreslås udvidet betragteligt. Det er TI’s vurdering, at CFCS’ videregivelse af op-
lysninger kan medføre en forøget sikkerhedsrisiko. Det bør i lovforslaget sikres, at op-
lysninger om en specifik virksomhed ikke deles med samarbejdspartnere, som den
pågældende virksomhed ikke ønsker at dele oplysninger med. Det bør generelt sikres,
at der ikke sker videregivelse af data, der indeholder virksomhedsspecifikke oplysnin-
ger, der hermed indikerer, hvor den pågældende data stammer fra. Dette vil eksem-
pelvis kunne være tilfældet for kode på malware.
Det bør desuden af lovteksten fremgå, at CFCS’ samarbejdspartnere skal have et til-
strækkeligt højt sikkerhedsniveau. Det er i denne sammenhæng TI’s opfattelse, at
samarbejdspartnerne som minimum bør have et sikkerhedsniveau som tilsvarer kra-
vene til teleoperatørerne, jf. lov om net- og informationssikkerhed for domænenavns-
systemer og visse digitale tjenester.
Sletning af videregivet data
Det fremgår af forslag til ny § 17, stk. 4, at:
”Center for Cybersikkerhed kan opbevare backup af data i op til 4 måne-
der efter udløb af fristerne i stk. 1 og 2. Ved indlæsning af data fra backup
skal Center for Cybersikkerhed sikre, at data, der tidligere er slettet efter
stk. 1 eller 2, straks slettes igen.”
8
Det forekommer uhensigtsmæssigt at anvende et ’slettebegreb’, som giver mulighed
for at indlæse slettet data fra en backup. Det er TI’s vurdering, at slettet data defini-
tivt og i sagens natur ikke bør kunne (gen)indlæses.
Derudover fremgår det af forslag til ny § 17, stk. 5, at:
”Er data i medfør af § 16 videregivet til andre end den myndighed eller
virksomhed, som data hidrører fra, finder stk. 1 og 2 ikke anvendelse på
disse data.”
Der bør efter TI’s vurdering ikke gælde udvidede opbevaringsfrister for videregivet
data. Det bør derfor i den endelige lovtekst sikres, at videregivet data bliver slettet
rettidigt.
Påvirkning af det private marked
På en række områder foreslås det, at CFCS kan foretage visse forebyggende sikker-
hedsforanstaltninger, hvor det ikke kan afvises, at aktiviteterne helt eller delvist vil
være i konkurrence med private udbydere af sikkerhedsydelser. For at sikre, at
CFCS’s aktiviteter ikke unødigt skader udbuddet på det private marked, skal TI derfor
opfordre til, at CFCS i videst muligt omfang udbyder opgaverne til private sikkerheds-
firmaer således, at de kan forestå de forebyggende sikkerhedsforanstaltninger for
CFCS. TI ser også gerne, at CFCS vælger flere alternative udbydere således, at de til-
sluttede virksomheder kan vælge blandt de valgte udbydere, da der kan være udby-
dere, som af forretningsmæssige grunde ikke kan arbejde internt hos den tilsluttede
virksomhed.
Beskikkelse af advokat for den, et indgreb vedrører
Slutteligt skal TI bemærke, at foreningen kan støtte det hensyn, der med forslag til ny
§ 7b m.fl. er taget til den, som indgreb vedrører. Det er væsentligt at sikre domstols-
prøvelse af indgreb i meddelelseshemmeligheden og privatlivets fred, herunder at
sikre varetagelsen af hensynet til den, udleveringen af oplysninger vedrører. Derfor er
forslaget om beskikkelse af advokat efter TI’s vurdering et særdeles hensigtsmæssigt
tiltag, som værner positivt om et indgrebssubjekts retssikkerhed.
Med venlig hilsen
Jakob Willer, direktør, Teleindustrien
1
FMN-TBL Larsen, Tina Kathrine Berg
Fra: Mikkel Hippe Brun <mhb@tradeshift.com>
Sendt: 4. februar 2019 11:59
Til: FMN-MYN-FORSVARSMINISTERIET
Cc: FMN-TBL Larsen, Tina Kathrine Berg; FMN-SBU Østergren, Stine Busch
Emne: 2018/006599 - Høring over udkast til forslag til lov om ændring af lov om Center for
Cybersikkerhed
(FMI-KI besked: Denne mail kommer fra Internettet.)
Til rette vedkommende,
På vegne af Tradeshift ApS (CVR 35391282) fremsendes respons på ovenstående høring.
Det er glædeligt at se, at Center for Cybersikkerhed tager yderligere initiativ til at sikre Danmarks informations-
og cybersikkerhed.
Vores perspektiv er at vi er en multinational virksomhed med hovedkvarter i San Francisco, USA. Vi har
kontorer i 15 lande og har udviklingsteams i så forskellige lande som USA, Danmark, Belgien, Rumænien,
Rusland og Kina. Vi har mere end 500 multinationale kunder på vores cloud-baserede platform og ca. 1,5
millioner virksomheder på platformen. I Danmark har vi et stort kontor i København med 160 medarbejdere,
som vi forventer at udvide til 300 medarbejdere. Vi har også netop åbnet kontor i Århus. Vi er en af de danske
‘Unicorns’ med en værdi på over 1,2 milliarder USD.
Vores kunder er multinationale selskaber og offentlige myndigheder over hele verden. Vores cloud-løsning
indeholder handelsdata (kataloger, ordrer, logistikdokumenter, fakturaer og betalingsinformation) for vores
kunder. Disse data er naturligvis ekstremt følsomme, og vores kunder er meget sensitive overfor hvem, der
har adgang til disse data. Vi benytter cloud-tjenester til opbevaring af data rundt omkring i verden (AWS,
Google, etc).
Samtidig med at vi sætter pris på at Center for Cybersikkerhed øger beredskabet og skærper de værktøjer,
der står til centerets rådighed, så er vi også bekymrede over rækkevidden og den udvidede ret til at anvende
disse værktøjer uden retskendelse.
Helt konkret har vi følgende indvendinger:
§3
CFCS kan påbyde virksomheder som Tradeshift at blive tilsluttet, og det er alene Forsvarsministeren, der kan
fastsætte de nærmere regler om vilkårene for tilslutning. Denne ændring er for vidtgående. I princippet betyder
forslaget, at CFCS vil kunne få adgang til alle de data, som Tradeshift behandler. Det omfatter f.eks. fremmed
offentlige myndigheders data herunder handelsdata indenfor forsvarsindustrien og sundhedsvæsenet.
Udlevering af data bør altid ske på en konkret vurdering og med retskendelse. Der bør i særdeleshed tages
hensyn til at udlevering af data og integration med netsikkerhedstjenesten ikke kompromitterer fremmede
myndigheders data eller data indenfor særligt sensitive industrier.
§4
At CFCS netsikkerhedstjeneste kan behandle data uden retskendelse kan i yderste konsekvens betyde, at en
virksomhed som Tradeshift ikke længere kan drives i Danmark. Der skal være en konkret vurdering og en
retskendelse.
2
§5
Tradeshift ligger inde med terabytes af stationære data. Som nævnt er disse data stærkt følsomme og
indbefatter data fra udenlandske virksomheder og offentlige myndigheder. En tilgængeliggørelse af disse data
til CFCS vil ganske givet kompromitere den lovgivning som vi er omfattet af i andre lande. Anmodning bør altid
ske med retskendelse.
Venlig hilsen
--
Mikkel Hippe Brun
Co-founder & SVP of APAC
Email: mhb@tradeshift.com
WhatsApp / Cell: +45 3118.9102
Executive Assistant: Isabela Justo - isj@tradeshift.com
Wechat: hippebrun
Twitter: @hippebrun @tradeshift
TRADESHIFT
All your suppliers. All in one place.
tradeshift.com ‫׀‬ tradeshift blog
Østre Landsret
Præsidenten
Bredgade 59, 1260 København K. Tlf. 99 68 62 00 Mail: praesident@oestrelandsret.dk Hjemmeside: www.oestrelandsret.dk
Den 06/02-2019
J.nr. 40A-ØL-4-19
Init: RSL
Forsvarsministeriet
Holmens Kanal 9
1060 København K
Sendt pr. e-mail til: fmn@fmn.dk, tbl@fmn.dk og sbu@fmn.dk
Forsvarsministeriet har ved brev af 7. januar 2019 (Sagsnr. 2018-006599) anmodet om eventuel-
le bemærkninger til høring over udkast til forslag til lov om ændring af lov om Center for Cyber-
sikkerheden (Initiativer til styrkelse af cybersikkerheden).
I den anledning skal jeg meddele, at landsretten er bekendt med Dommerforeningens udtalelse af
6. februar 2019 om anførte lovudkast, og at landsretten i det hele kan henholde sig til denne udta-
lelse.


Dato: 27. marts 2019
Enhed: JSN
Sagsnr.: 2019/001470
Dok.nr.: 890670
Bilag: 2
FORSVARSMINISTEREN
Holmens Kanal 9
1060 København K
Tlf.: 728 10000
Fax: 728 10300
E-mail: fmn@fmn.dk
www.fmn.dk
EAN: 5798000201200
CVR: 25 77 56 35
Side 1 af 1
Folketingets Forsvarsudvalg
Christiansborg
Hermed sendes kommenteret høringsoversigt og høringssvar vedrø-
rende forslag til lov om ændring af lov om Center for Cybersikkerhed
(Initiativer til styrkelse af cybersikkerheden).
Lovforslaget har været i høring i perioden fra den 7. januar 2019 til den
4. februar 2019.
Med venlig hilsen
Claus Hjort Frederiksen
Forsvarsudvalget 2018-19
L 215 Bilag 1
Offentligt


Dato: 27. marts 2019
Enhed: JSN
Sagsnr.: 2019/000950
Dok.nr.: 890135
Bilag: Ingen
Forsvarsministeriet
Holmens Kanal 9
1060 København K
Tlf.: 728 10000
Fax: 728 10300
E-mail: fmn@fmn.dk
www.fmn.dk
EAN: 5798000201200
CVR: 25 77 56 35
Side 1 af 29
KOMMENTERET HØRINGSOVERSIGT
vedrørende
forslag til lov om ændring af lov om Center for Cybersik-
kerhed (Initiativer til styrkelse af cybersikkerheden)
Et udkast til lovforslaget har i perioden fra den 7. januar 2019 til den
4. februar 2019 været sendt i høring hos følgende myndigheder og
organisationer m.v.:
Advokatrådet, Akademikernes Centralorganisation (AC), Amnesty
International, Dansk Arbejdsgiverforening (DA), Dansk Energi, Dansk
Erhverv, Dansk Industri (DI), Dansk Internet Forum (DIFO), DANSK
IT, Danske Advokater, Danske Rederier, Danske Regioner, Datatilsy-
net, Den Danske Dommerforening, DKCERT, Finans Danmark, Finans-
sektorens Arbejdsgiverforening, Foreningen af Vandværker i Dan-
mark, Foreningen Danske Olieberedskabslagre, Funktionærernes og
Tjenestemændenes Fællesråd (FTF), Institut for Menneskerettighe-
der, ISP Sikkerhedsforum, IT-Branchen, IT-Politisk Forening, ITD,
Justitia, KL, Landbrug & Fødevarer, Landsorganisationen i Danmark
(LO), Ledernes Hovedorganisation, Lægemiddelindustriforeningen
(LIF), Procesindustriens Brancheforening, PROSA, Præsidenten for
Vestre Landsret, Præsidenten for Østre Landsret, Retspolitisk For-
ening, Rigsombudsmanden i Grønland, Rigsombudsmanden på Færø-
erne, Rådet for Digital Sikkerhed, samtlige byretspræsidenter, Sta-
tens IT-projektråd, Teleindustrien (TI) og Tilsynet med Efterretnings-
tjenesterne.
Forsvarsministeriet har modtaget høringssvar fra:
Advokatrådet, Akademikerne, Amnesty International, Dansk Arbejds-
giverforening (DA), Dansk Energi, Dansk Erhverv, DANSK IT, Dansk
Journalistforbund, Dansk Magisterforening, Danske Medier, Danske
Rederier, Danske Regioner, Danske Vandværker, DANVA, Datatilsy-
net, Den Danske Dommerforening, DI, DIFO, DR, Energinet, Fagbe-
vægelsens Hovedorganisation, Finans Danmark, Finanssektorens Ar-
bejdsgiverforening, Forsikring og Pension, Færøernes Landsstyre,
Ingeniørforeningen (IDA), Institut for Menneskerettigheder, IT-
Branchen, IT-Politisk Forening, ITD, KL, Københavns Byret, Lederne,
Lægeforeningen, PROSA, Præsidenten for Vestre Landsret, Præsiden-
ten for Østre Landsret, Retspolitisk Forening, Rådet for Digital Sikker-
Forsvarsudvalget 2018-19
L 215 Bilag 1
Offentligt
Sagsnr.: 2019/000950
Dok.nr.: 890135
Side 2 af 29
hed, Teleindustrien, Tilsynet med Efterretningstjenesterne og Trade-
shift ApS.
Nedenfor er gengivet de væsentligste punkter i de modtagne hørings-
svar. Forsvarsministeriets kommentarer til høringssvarene er angivet
i kursiv.
1. Generelt
Færøernes Landsstyre har ikke bemærkninger til lovforslaget. Præsi-
denten for Vestre Landsret har ikke ønsket at udtale sig om lovforsla-
get.
Dansk Energi, Dansk Erhverv, DANSK IT, Dansk Journalistforbund,
Dansk Magisterforening, Danske Medier, Danske Regioner, Danske
Vandværker, DANVA, DI, DIFO, DR, Finans Danmark, Finanssekto-
rens Arbejdsgiverforening, Forsikring og Pension, Ingeniørforeningen
(IDA), Institut for Menneskerettigheder, IT-Branchen, ITD, KL, Leder-
ne, Lægeforeningen, Rådet for Digital Sikkerhed, Teleindustrien og
Tradeshift anerkender lovforslagets overordnede målsætning om
styrkelse af cybersikkerheden.
2. Definitioner og terminologi
Datatilsynet henstiller til, at de definitioner i lovforslaget, som tager
udgangspunkt i databeskyttelsesreguleringen – såsom ”behandling” –
ændres, således at de svarer til de definitioner, der følger af databe-
skyttelsesforordningen. Datatilsynet bemærker endvidere, at pakke-
data, trafikdata, stationære data og malware også kan indeholde per-
sonoplysninger, som defineret i databeskyttelsesforordningen og i
den foreslåede § 2, stk. 1, nr. 6, i lovforslaget. Tilsynet bemærker
desuden, at der i lovforslaget sondres skarpt mellem, om oplysnin-
gerne hører under enten et af begreberne ”pakkedata, trafikdata,
stationære data og malware” eller begrebet ”personoplysninger”, selv
om der meget ofte vil være et betydeligt sammenfald. Det er efter
Datatilsynets opfattelse vigtigt, at dette præciseres og direkte frem-
går af bemærkningerne til lovforslaget. Datatilsynet finder endvidere,
at det bør præciseres, at begrebet sikkerhedshændelse også omfatter
brud på persondatasikkerheden.
Efter den gældende § 8, stk. 3, i lov om Center for Cybersikkerhed,
der ikke foreslås ændret, er enhver form for behandling af personop-
lysninger i Center for Cybersikkerhed omfattet af lovens kapitel 6.
Ved behandling af data, herunder personoplysninger, hvor der i med-
før af kapitel 4 er sket indgreb omfattet af grundlovens § 72, finder
de særlige behandlingsregler i kapitel 7 endvidere anvendelse.
Lovens struktur er således, at reglerne i kapitel 6 gælder for enhver
behandling af personoplysninger, således som disse defineres i lovens
Sagsnr.: 2019/000950
Dok.nr.: 890135
Side 3 af 29
§ 2, nr. 4, der foreslås videreført uændret som § 2, nr. 6. Hvis der er
tale om data, herunder personoplysninger, som er tilvejebragt ved
indgreb, der er omfattet af grundlovens § 72, finder de særligt re-
striktive behandlingsregler i kapitel 7 endvidere anvendelse. Det gæl-
der, uanset om data indeholder personoplysninger eller ej.
Forsvarsministeriet vil for god ordens skyld tilføje i bemærkningerne,
at pakkedata, trafikdata, stationære data og malware kan indeholde
personoplysninger. Forsvarsministeriet vil endvidere præcisere i be-
mærkningerne, at en sikkerhedshændelse også vil kunne omfatte
brud på persondatasikkerheden.
Teleindustrien anfører, at en definition af begrebet ”malware” udeluk-
kende bør indeholde en objektiv, teknisk beskrivelse af, hvad der be-
tragtes som malware, og ikke en kvalificering af, at en ”særligt be-
styrket mistanke” kan medføre subsumption af data under begrebet.
Teleindustrien mener, at sidstnævnte vil medføre uforudsigelighed,
da begrebets definition hermed vil afhænge af Center for Cybersik-
kerheds subjektive vurdering af de pågældende data.
En objektiv og teknisk beskrivelse af malware ville skulle omfatte en
lang række forskelligartede typer data i form af typeeksempler på
kendte angrebsmetoder. Henset til den hastige teknologiske udvikling
er det Forsvarsministeriets opfattelse, at en sådan beskrivelse af,
hvad der aktuelt betragtes som malware, vil være stærkt uhensigts-
mæssig, da der så vil være behov for en lovændring, hver gang an-
grebsaktører tager nye typer angrebsværktøjer i brug.
I lovforslaget er malware derfor defineret som data, hvor der er sær-
ligt bestyrket mistanke om, at data er anvendt af en angrebsaktør
med det formål at forårsage et brud på informationssikkerheden.
Det bemærkes i den forbindelse, at særligt bestyrket mistanke er det
kriterium, der bl.a. anvendes i retsplejeloven i forbindelse med vare-
tægtsfængsling efter lovens § 762, stk. 2. Der er således tale om et
meget højt mistankekrav.
DANSK IT anbefaler, at begrebet ”offentligt tilgængelig” i § 6 c vedrø-
rende sinkholes ændres til ”forudsat de er ledige”, da dette efter
DANSK IT’s opfattelse er en mere retvisende betegnelse for, at et
domæne, ip-adresse eller e-mail ikke er ejet af nogen, men kan er-
hverves og anvendes af Center for Cybersikkerhed.
Forsvarsministeriet vil ændre den foreslåede § 6 c i overensstemmel-
se med det af DANSK IT anbefalede.
Sagsnr.: 2019/000950
Dok.nr.: 890135
Side 4 af 29
3. Center for Cybersikkerheds generelle adgang til data
En række høringsparter kritiserer, at Center for Cybersikkerhed med
lovforslaget vil få adgang til meget store mængder data på baggrund
af et bredt kriterium om, at adgangen til data kan ske med henblik på
at understøtte et højt informationssikkerhedsniveau i samfundet.
Danske Regioner, IDA og Lægeforeningen udtrykker bekymring over
Center for Cybersikkerheds adgang til personfølsomme oplysninger.
Lægeforeningen mener, at lovforslaget i højere grad skal sikre, at
personfølsomme helbredsoplysninger ikke deles blandt personer, der
ikke har patienterne i aktuel behandling.
Dansk Journalistforbund anfører endvidere, at der gives mulighed for,
at en efterretningstjeneste kan overvåge al kommunikation til, fra og
i en medievirksomhed, hvilket Dansk Journalistforbund anser for pro-
blematisk i forhold til mediernes uafhængighed i almindelighed og i
særdeleshed muligheden for, at medierne og den enkelte journalist
kan beskytte sine kilder.
Lovforslaget lægger op til, at Center for Cybersikkerhed som led i
centerets opgave med at opdage, analysere og bidrage til at imødegå
it-sikkerhedshændelser kan behandle data fra myndigheder og virk-
somheder, såfremt behandlingen kan bidrage til at understøtte et højt
informationssikkerhedsniveau i samfundet.
Centerets behandling omfatter imidlertid både en maskinel og en ma-
nuel behandling af data.
Der er en forholdsvis bred adgang til at foretage maskinel behandling,
hvilket skyldes, at den maskinelle (og helt automatiserede) scanning
af data, der foretages af centerets alarmenheder, nødvendigvis må
omfatte al ind- og udgående trafik hos en myndighed eller virksom-
hed for at kunne opdage cyberangreb. Kun ved at gennemføre denne
maskinelle scanning kan det fastslås, om der potentielt er sket en it-
sikkerhedshændelse.
Centerets brede adgang til maskinel behandling af data skal ses i
sammenhæng med de restriktive analyseregler i den foreslåede § 15,
hvorefter Center for Cybersikkerhed kun i nærmere opregnede tilfæl-
de må tilgå data manuelt. Det følger således af den foreslåede § 15,
stk. 1, nr. 2, at manuelle analyser af indholdet af data (pakkedata og
stationære data) i forbindelse med monitorering alene må ske, så-
fremt der er begrundet mistanke om en (it-)sikkerhedshændelse og
kun i det omfang, det er nødvendigt for afklaring af forhold vedrøren-
de hændelsen.
Bestemmelsen indebærer, at Center for Cybersikkerheds analytikere
kun kan tilgå indhold af kommunikation (pakkedata) og øvrige ind-
Sagsnr.: 2019/000950
Dok.nr.: 890135
Side 5 af 29
holdsdata (stationære data), hvis det sker som led i centerets arbejde
med it-sikkerhedshændelser. Det indebærer, at analytikerne som det
klare udgangspunkt ikke vil kunne tilgå korrespondance. Kun hvis der
opstår en begrundet mistanke om, at der er sket en it-sikkerheds-
hændelse – typisk i form af et cyberangreb – kan analytikerne tilgå
disse data, og i så fald kun de data, som det er nødvendigt at tilgå for
at analysere selve it-sikkerhedshændelsen. Analytikernes tilgang til
data logges i Center for Cybersikkerheds systemer, og al tilgang til
personoplysninger er underlagt både egenkontrol og Tilsynet med
Efterretningstjenesternes løbende, uafhængige kontrol.
Dansk Energi henleder opmærksomheden på, at installation af sik-
kerhedssoftware på interne systemer er en særlig udfordring, når
virksomheder har kontorer i flere lande, der er fuldt integreret i de
administrative it- og teleløsninger. Finans Danmark efterlyser også,
at lovforslaget forholder sig til problemstillingen, hvor en række fi-
nansielle institutter og virksomheder behandler data for ikke-danske
kunder og i den forbindelse skal overholde udenlandske regler og er
underlagt et udenlandsk tilsyn. Forsikring og Pension finder det også
problematisk, at der ikke er taget stilling til situationen, hvor centeret
vil få adgang til udenlandske data.
Center for Cybersikkerhed kan i relation til virksomheder alene fore-
tage monitorering af data i Danmark. Det afgørende vil således være,
om virksomhedens behandling af data finder sted i Danmark eller i
udlandet – ikke om der er tale om oplysninger, der stammer fra
Danmark eller fra udlandet.
4. Påbud om tilslutning til netsikkerhedstjenesten
En lang række høringsparter er generelt kritiske overfor lovforslagets
nye initiativ vedrørende påbud om tilslutning til Center for Cybersik-
kerheds netsikkerhedstjeneste, herunder især muligheden for at give
påbud om installation af sikkerhedssoftware på lokale netværk og
enheder.
Som det er anført i lovforslaget, forudsættes det, at påbud kun an-
vendes meget sjældent og kun i yderste konsekvens. Vurderingen er,
at der maksimalt vil blive givet et lavt et-cifret antal påbud om året.
Formålet med påbudsordningen er at give Center for Cybersikkerhed
et værktøj, som kan anvendes i de sjældne situationer, hvor f.eks. en
virksomhed er af afgørende vigtighed for Danmarks infrastruktur,
men hvor virksomheden ikke selv ønsker at samarbejde med Center
for Cybersikkerhed. Uden muligheden for påbud vil det være overladt
til denne virksomhed selv at træffe beslutninger, som kan gøre
virksomheden til det svage led i den danske infrastruktur. Men
rammes en sådan virksomhed af et alvorligt cyberangreb, vil
Sagsnr.: 2019/000950
Dok.nr.: 890135
Side 6 af 29
konsekvenserne af dette angreb ikke blot ramme virksomheden selv,
men potentielt hele samfundet.
Forsvarsministeriet har noteret sig, at en lang række høringsparter
giver udtryk for en særlig bekymring over, at påbudsordningen også
omfatter monitorering via sikkerhedssoftware på lokale netværk og
enheder. Høringsparterne henviser især til, at centeret dermed vil få
adgang til virksomhedernes forretningshemmeligheder, ligesom
høringsparterne henviser til risikoen for, at installation af sikkerheds-
software kan gå ud over it-systemernes stabilitet. Forsvarsministeriet
vil på den baggrund tilpasse lovforslaget, således at påbuds-
muligheden alene omfatter ekstern monitorering ved hjælp af alarm-
enheder.
En lang række høringsparter påpeger endvidere, at det ikke ud fra
lovforslaget er muligt entydigt at fastslå, om en konkret virksomhed
vil få et påbud eller ej. Dermed er det svært for virksomhederne at
vurdere, om de risikerer at få et påbud. En række høringsparter
finder således, at begrebet ”særligt samfundsvigtig karakter” bør
præciseres i lovforslaget.
Der er ikke i lovforslaget fastsat objektive kriterier, der gør det muligt
for en konkret virksomhed entydigt at vurdere, om den vil få et
påbud. Objektive kritierier kan vanskeligt opstilles, da det ikke f.eks.
er antal ansatte, antal kunder, omsætningens størrelse og tilsvarende
kriterier, der i sig selv viser, om en virksomhed er så samfundsvigtig,
at et påbud kan være aktuelt.
Et påbud må derfor nødvendigvis baseres på et skøn, men dette skøn
vil skulle udøves indenfor de rammer, der er fastsat i lovforslaget.
Lovforslaget beskriver således, at kravet er, at en virksomhed eller
myndighed skal være særligt samfundsvigtig (og kriterierne herfor
beskrives), samt at den skal have væsentlig betydning for Danmarks
kritiske infrastruktur. Det indebærer, at langt de færreste virksom-
heder vil blive omfattet.
Center for Cybersikkerhed skal desuden i videst muligt omfang efter-
leve principperne i forvaltningslovens kapitel 4-6. Det indebærer
bl.a., at Center for Cybersikkerhed forud for, at centeret træffer afgø-
relse om at meddele et påbud, efter principperne i forvaltningslovens
§ 19 i en række tilfælde vil skulle høre den relevante part i sagen
over de faktiske oplysninger, som centeret forventer at lægge vægt
på i afgørelsen. Center for Cybersikkerheds afgørelse vil endvidere
skulle indeholde en begrundelse med henvisning til de retsregler, i
henhold til hvilke afgørelsen er truffet. Da afgørelsen til en vis grad vil
bero på et administrativt skøn, vil begrundelsen tillige skulle angive
de hovedhensyn, der har været bestemmende for skønsudøvelsen.
Afgørelsen vil herudover skulle indeholde en redegørelse for de op-
Sagsnr.: 2019/000950
Dok.nr.: 890135
Side 7 af 29
lysninger vedrørende sagens faktiske omstændigheder, som er tillagt
betydning for afgørelsen, jf. principperne i forvaltningslovens § 24.
Flere høringsparter anfører, at lovforslagets initiativ om fjernelse af
gebyret for tilslutning i sig selv vil være tilstrækkeligt til at sikre til-
slutning til netsikkerhedstjenesten, og at det derfor ikke er nødven-
digt med en påbudsordning.
Forsvarsministeriet er enig i vurderingen af, at en fjernelse af gebyret
for tilslutning vil medføre, at flere virksomheder vil ønske at blive
tilsluttet Center for Cybersikkerheds netsikkerhedstjeneste. Dette er
også baggrunden for, at det – som anført ovenfor – forventes, at på-
budsordningen kun vil skulle anvendes et lavt et-cifret antal gange
om året.
DANSK IT og IT-Branchen påpeger, at der alene er almindelig rekurs-
adgang i forhold til påbud, og at der som minimum bør være rekurs
til en uafhængig myndighed. Retspolitisk Forening anbefaler, at der
indføres et krav om indhentning af retskendelse om tilslutning efter
påbud, idet det efter foreningens opfattelse er retssikkerhedsmæssigt
utilstrækkeligt at pege på administrativ rekurs med efterfølgende
mulighed for domstolsprøvelse, bl.a. set i lyset af, at centerets virk-
somhed ikke er omfattet af forvaltningslovens begrundelseskrav.
DANSK IT og DANVA opfordrer endvidere til, at der bør være en tids-
mæssig grænse for påbuddet, således at meddelte påbud genoverve-
jes efter en periode.
Som nævnt ovenfor vil Center for Cybersikkerheds afgørelse om at
meddele påbud om tilslutning skulle begrundes. Afgørelsen vil som
led i den almindelige rekursadgang kunne påklages til Forsvarsmini-
steriet. Det skal endvidere understreges, at afgørelsen vil kunne ind-
bringes for domstolene.
Forsvarsministeriet vil tilpasse lovforslaget, således at det fremgår, at
påbud om tilslutning skal revurderes mindst hvert halve år.
Dansk Erhverv bemærker, at påbudsordningen vil betyde, at Center
for Cybersikkerhed vil kunne installere aktivt udstyr og software på
en virksomheds infrastruktur samt kunne pålægge virksomheden at
indrette sin virksomhed efter det. En sådan bestemmelse vil efter
Dansk Erhvervs opfattelse kunne ramme danske virksomheder nega-
tivt, f.eks. hvad angår eksport, internationalt samarbejde og teknolo-
giudvikling. Dansk Energi og IDA henviser ligeledes til, at der ved
påbud kan installeres aktiv software i en virksomhed, og at dette ikke
bør kunne pålægges en virksomhed.
Sagsnr.: 2019/000950
Dok.nr.: 890135
Side 8 af 29
Som nævnt ovenfor vil Forsvarsministeriet tilpasse lovforslaget,
således at påbudsmuligheden alene omfatter ekstern monitorering
ved hjælp af alarmenheder.
Det skal understreges, at muligheden for at meddele påbud om til-
slutning alene vil omfatte monitorering via alarmenheder med passiv
funktionalitet. Den aktive funktionalitet, hvor der bl.a. kan ske slet-
ning, blokering og omdannelse af data, vil alene kunne anvendes ef-
ter aftale med den pågældende virksomhed eller myndighed.
DANSK IT anfører desuden, at lovforslaget bør forholde sig til, hvor-
dan en virksomhed skal opfylde et påbud uden at bryde aftalte hem-
meligholdelsesforpligtelser, eller udlevere oplysninger om konfigurati-
on og drift, som virksomheden ikke råder over, da de tilhører en leve-
randør.
Det skal understreges, at Center for Cybersikkerhed alene behandler
tilvejebragte data ud fra et formål om at opdage, analysere og bidra-
ge til at imødegå it-sikkerhedshændelser.
Derudover bemærkes det, at danske myndigheder på en række om-
råder har mulighed for at få adgang til virksomheders data, enten på
baggrund af et lovkrav eller efter forudgående kendelse. Principielt er
Center for Cybersikkerheds adgang til data ikke anderledes end disse
andre ordninger, dog således at rammerne for, hvilke data, som Cen-
ter for Cybersikkerhed kan tilgå, hvordan de skal behandles samt
hvornår og til hvem, oplysninger om sikkerhedshændelser efterføl-
gende kan videregives, er detaljeret reguleret og – for så vidt angår
personoplysninger – undergivet tilsyn fra et særligt kontrolorgan.
Dansk Journalistforbund, Danske Medier og DR betoner vigtigheden
af, at medievirksomheder i Danmark ikke under nogen omstændighe-
der kan tvinges til at underlægge sig et system, hvorved man uden
retskendelse kan behandle virksomhedernes data, herunder indholdet
af den kommunikation, der transmitteres.
Medier vil ikke kunne meddeles påbud om tilslutning til netsikker-
hedstjenesten, da de ikke er omfattet at den foreslåede § 3, stk. 4.
5. Indgreb omfattet af grundlovens § 72
Flere organisationer, herunder DI, Forsikring og Pension, IDA og KL,
giver udtryk for bekymring over, at Center for Cybersikkerhed kan
behandle data uden retskendelse. Amnesty International finder ikke,
at Forsvarsministeriet leverer en holdbar argumentation for, hvorfor
der ikke kan ske domstolskontrol af centerets indgreb omfattet af
grundlovens § 72. Dansk Energi og DANVA mener, at Center for Cy-
bersikkerheds adgang til data uden retskendelse bør fordre, at cen-
tret kan godtgøre begrundet mistanke, og at indgrebet var nødven-
Sagsnr.: 2019/000950
Dok.nr.: 890135
Side 9 af 29
digt. Institut for Menneskerettigheder anbefaler, at der redegøres for,
hvordan usikkerheden ved en sikkerhedshændelse adskiller sig fra
usikkerheder, når der i øvrigt foretages indgreb i meddelelseshemme-
ligheden, og henstiller til, at der efterfølgende indhentes en retsken-
delse.
Efter grundlovens § 72 må indgreb i meddelelseshemmeligheden ale-
ne ske efter en retskendelse, med mindre der ved lov er fastsat en
særegen undtagelse.
En sådan særegen undtagelse har været gældende siden 2011, hvor
GovCERT, der senere blev en del af Center for Cybersikkerhed, ved
lov fik hjemmel til at foretage indgreb i meddelelseshemmeligheden
uden retskendelse. Denne hjemmel blev videreført med lov om Cen-
ter for Cybersikkerhed i 2014, og det er samme type hjemmel, som
lovforslaget bygger på.
Der er to særlige karakteristika for Center for Cybersikkerheds moni-
toreringsaktiviteter:
For det første har aktiviteterne primært en forebyggende karakter.
Det indebærer, at centeret monitorerer internettrafik og – efter lov-
forslaget – aktivitet på lokale enheder. Det sker for at opdage even-
tuelle it-sikkerhedshændelser, men monitoreringen sker ikke på bag-
grund af en konkret mistanke om, at den enkelte myndighed eller
virksomhed er ramt af en it-sikkerhedshændelse. Formålet er netop
at være på forkant, således at en it-sikkerhedshændelse opdages (og
gerne stoppes), hvis den indtræffer. Dermed eksisterer der ikke på
forhånd et mistankegrundlag, som vil kunne afprøves af en domstol.
For det andet sker der som led i monitoreringen en fuldautomatisk
analyse af store mængder datatrafik. Også af denne årsag vil det ikke
være muligt at etablere en ordning, hvor hvert indgreb i meddelel-
seshemmeligheden kræver en kendelse, da det ville forudsætte, at
der blev meddelt flere tusinde kendelser i timen.
Advokatrådet anfører, at det er retssikkerhedsmæssigt betænkeligt,
at det udelukkende overlades til Center for Cybersikkerhed at vurde-
re, hvornår centeret kan indsamle oplysninger, uden nogen form for
domstolskontrol. Advokatrådet foreslår, at der som minimum bør ske
en efterfølgende domstolskontrol.
Som altovervejende hovedregel sker Center for Cybersikkerheds mo-
nitorering på baggrund af en aftale mellem centeret og den enkelte
myndighed eller virksomhed. I denne aftale fastsættes omfanget af
monitoreringen nærmere, f.eks. hvilke af myndighedens eller virk-
somhedens netværksforbindelser, som monitoreringen skal omfatte.
Kun i helt særlige tilfælde vil monitoreringen fremover kunne ske på
baggrund af et påbud.
Sagsnr.: 2019/000950
Dok.nr.: 890135
Side 10 af 29
Center for Cybersikkerheds mulighed for at tilgå data er detaljeret
reguleret i lovforslaget. Den foreslåede § 15 fastsætter således ram-
merne for, hvornår centeret må fortage automatiserede, maskinelle
analyser af data, og hvornår centerets analytikere må foretage ma-
nuelle analyser af data. Tilsynet med Efterretningstjenesterne kon-
trollerer, at centerets behandling af personoplysninger sker i overens-
stemmelse med disse regler.
Dommerforeningen udtaler, at foreningen forudsætter, at måtte man
via de af lovforslaget omfattede indgreb, som uden retskendelse giver
adgang til trafikdata, pakkedata og nu tillige stationære data hidrø-
rende fra pc’ere, smartphones, tablets og servere hos myndigheder
og virksomheder, der er tilsluttet (herunder påtvunget tilsluttede), jf.
lovudkastets forslag til § 4, komme i besiddelse af oplysninger, som
rejser mistanke om et strafbart forhold, vil sådanne oplysninger ikke
kunne anvendes, medmindre der forholdes i overensstemmelse med
retsplejelovens straffeprocessuelle regler.
Det skal understreges, at Center for Cybersikkerheds formål med at
foretage indgreb, der er omfattet af grundlovens § 72, udelukkende
er at opdage, analysere og bidrage til at imødegå it-sikkerhedshæn-
delser. Center for Cybersikkerhed behandler alene de tilvejebragte
data med dette formål.
En it-sikkerhedshændelse vil kunne udgøre et strafbart forhold. Efter-
forskningen og strafforfølgningen af strafbare forhold henhører imid-
lertid under politiets og anklagemyndighedens kompetence – og vil
skulle ske i overensstemmelse med den regulering, der gælder for
politiet og anklagemyndigheden, ikke med hjemmel i lov om Center
for Cybersikkerhed.
6. Aktivt cyberforsvar
Dansk Energi udtrykker bekymring over aktivt cyberforsvar og anfø-
rer, at det ikke kan afvises, at tredjemand eller tilsluttede virksomhe-
der og myndigheder lider økonomisk tab, såfremt det aktive cyberfor-
svar f.eks. ødelægger systemer eller blokerer mails. DANVA mener,
at erstatningsansvar ved sikkerhedsbrud forårsaget af Center for Cy-
bersikkerheds udstyr bør beskrives nærmere. Dansk Energi oplyser,
at man forventer, at der gives en kompensation, hvis en virksomhed
lider tab som følge af Center for Cybersikkerheds installerede udstyr.
KL og DI giver udtryk for tilsvarende overvejelser om erstatningsan-
svar.
Advokatrådet opfodrer til en undersøgelse af, hvordan det kan af-
hjælpes at have konsekvenser for borgerne, såfremt aktiv sikker-
hedssoftware ved en fejl blokerer en borgers mail til en myndighed.
Sagsnr.: 2019/000950
Dok.nr.: 890135
Side 11 af 29
DANSK IT anfører, at sletning som led i det aktive cyberforsvar bør
ske efter aftale med myndigheden eller virksomheden, og at det end-
videre bør anføres i lovforslaget, at sletningen af personoplysninger
kun bør ske, hvis det er strengt nødvendigt for at opretholde et højt
sikkerhedsniveau. Teleindustrien anfører, at påbud om tilslutning ale-
ne bør omfatte ”passive” elementer.
Lægeforeningen giver udtryk for, at sletning af journaldata vil være
meget ødelæggende for patientbehandling.
Efter lovforslaget vil aktivt cyberforsvar udelukkende blive anvendt
efter aftale med den pågældende myndighed eller virksomhed. Aktivt
cyberforsvar indgår således ikke i den foreslåede påbudsordning.
Der vil dermed altid være en dialog mellem myndigheden eller
virksomheden og Center for Cybersikkerhed, hvor de nærmere
rammer for anvendelse af det aktive cyberforsvar kan aftales, her-
under hvilke it-systemer, der skal omfattes af aktivt cyberforsvar,
samt hvordan risikoen for utilsigtede driftsproblemer reduceres til et
niveau, der for begge parter er acceptabelt. Det vil ligeledes være
den enkelte myndighed eller virksomhed, der kan tage stilling til, om
aktivt cyberforsvar skal anvendes på it-systemer, hvor der er risiko
for, at kommunikation med kunder og borgere påvirkes, og tage
stilling til, hvordan kunder og borgere i givet fald skal orienteres.
Såfremt en handling eller undladelse fra Center for Cybersikkerheds
side resulterer i en skade, der medfører et tab for en person eller en
virksomhed, vil et eventuelt erstatningsansvar skulle vurderes efter
de almindelige regler for offentlige myndigheders erstatningsansvar.
7. Sikkerhedstekniske undersøgelser
Akademikerne finder det meget bekymrende, at en statslig myndig-
hed skal have mulighed for bl.a. at målrette sikkerhedstekniske un-
dersøgelser mod medarbejdere. Akademikerne finder bl.a., at den
foreslåede ordning som udgangspunkt vil være i strid med grundlovs-
fæstede rettigheder og Den Europæiske Menneskerettighedskonven-
tion.
Fagbevægelsens Hovedorganisation konstaterer, at f.eks. spear-
phishing er reguleret i aftaler om kontrolforanstaltninger på det stats-
lige, regionale og kommunale område (og ligeledes det private),
hvorefter medarbejdere skal varsles om foranstaltninger, medmindre
formålet med foranstaltningen herved forspildes. Såfremt dette er
tilfældet, skal medarbejderne orienteres snarest efter iværksættelse
af foranstaltninger, og der skal redegøres for, hvorfor der ikke kunne
orienteres på forhånd. DA bemærker, at det må antages, at de fore-
byggende sikkerhedstekniske undersøgelser er omfattet af de gæl-
dende arbejds- og ansættelsesretlige principper. DA henviser i den
Sagsnr.: 2019/000950
Dok.nr.: 890135
Side 12 af 29
forbindelse til, at DA og LO f.eks. har indgået en aftale om kontrolfor-
anstaltninger.
Dansk Magisterforening finder det endvidere dybt problematisk, at
der efter organisationens opfattelse kan lægges fælder ud for udvalg-
te medarbejdere, og at det kan få ansættelsesretlige konsekvenser
for medarbejdere, hvilket anses som uproportionalt i forhold til lov-
forslagets formål. Lederne udtrykker bekymring for, at ledere skal
medvirke til en situation, hvorefter deres medarbejdere kan miste
deres arbejde. PROSA udtrykker også bekymring og anfører samtidig,
at eventuelle sanktioner, hvis der er brud på it-sikkerheden, bør være
overfor lederne og ikke medarbejderne, medmindre medarbejderne
handler i ond tro.
Dansk Magisterforening mener endvidere, at det skal præciseres og
afgrænses, hvornår og med hvilke midler Center for Cybersikkerhed
har adgang til at iværksætte forebyggelsesaktiviteter rettet mod
medarbejderne, og at virksomheder og myndigheder som udgangs-
punkt bør pålægges en orienteringspligt overfor medarbejderne om,
at der iværksættes kontrolforanstaltninger.
Advokatrådet finder det betænkeligt, at en offentlig myndighed kan
gøre brug af metoder, hvorefter en medarbejder lokkes til at bryde
en myndigheds eller virksomheds sikkerhedsregler.
Formålet med Center for Cybersikkerheds sikkerhedstekniske under-
søgelser vil ikke være at bidrage til, at der kan indledes personalesa-
ger mod medarbejdere, der har udvist mangel på sikkerhedsbevidst-
hed. Formålet med undersøgelserne er derimod at højne det generel-
le sikkerhedsniveau i myndigheden eller virksomheden.
Sikkerhedstekniske undersøgelser vil endvidere kun blive gennemført
efter anmodning fra en myndighed eller virksomhed, ligesom under-
søgelserne tilpasses den enkelte myndigheds eller virksomheds behov
og ønsker. Det vil være op til den pågældende myndighed eller virk-
somhed at sikre, at den sikkerhedstekniske undersøgelse, der konkret
aftales med Center for Cybersikkerhed, lever op til eventuelle forplig-
telser, som gælder for myndigheden eller virksomheden, herunder
aftaler om kontrolforanstaltninger, lokalaftaler, lokale it-politikker
osv.
Forsvarsministeriet vil på baggrund af bemærkningerne fra hørings-
parterne tilpasse lovforslaget, således at Center for Cybersikkerheds
afrapportering efter sikkerhedstekniske undersøgelser for så vidt an-
går myndighedens eller virksomhedens medarbejdere vil være ano-
nymiseret. Oplysninger om identiteten på medarbejdere, der f.eks.
har begået et sikkerhedsbrud, vil dermed ikke blive udleveret til den
myndighed eller virksomhed, som er genstand for undersøgelsen.
Sagsnr.: 2019/000950
Dok.nr.: 890135
Side 13 af 29
Centerets afrapportering til myndigheder og virksomheder efter en
sikkerhedsteknisk undersøgelse vil dermed for så vidt angår myndig-
hedens eller virksomhedens medarbejdere være en anonymiseret
gennemgang af centerets observationer. Hvis der konstateres mang-
lende sikkerhedsbevidsthed blandt medarbejderne, vil Center for Cy-
bersikkerhed f.eks. anbefale myndigheden eller virksomheden at
gennemføre yderligere uddannelse af medarbejderne generelt.
8. Edition
Danske Regioner anser det for retssikkerhedsmæssigt betænkeligt, at
der i forbindelse med sager om udlevering af oplysninger på bag-
grund af forudgående kendelse alene er krav om, at oplysningerne
skal kunne medvirke til at afdække sikkerhedshændelser og ikke en
konkret mistanke om en strafbar lovovertrædelse.
Teleindustrien anfører, at udbyderne bør kompenseres for omkost-
ningerne ved at yde Center for Cybersikkerhed bistand i forbindelse
med edition svarende til den omkostningsdækning, udbyderne ifølge
Teleindustrien har ret til ved politiets indgreb i meddelelseshemme-
ligheden.
Editionsordningen har til formål at give Center for Cybersikkerhed de
nødvendige oplysninger til, at centeret kan imødegå eller begrænse
effekten af en it-sikkerhedshændelse, f.eks. ved at underrette offeret
for et cyberangreb om en kompromittering af vedkommendes it-
system. Center for Cybersikkerhed undersøger it-sikkerheds-
hændelser, uanset om der er konkret mistanke om en strafbar lov-
overtrædelse eller ej, og uanset om hændelsen er genstand for efter-
forskning hos politiet eller ej. Det vurderes på den baggrund ikke at
være hensigtsmæssigt at indføre et krav om mistanke om en strafbar
lovovertrædelse, idet det vil hindre centeret i på et tidligt tidspunkt at
underrette offeret for en it-sikkerhedshændelse.
Editionsordningen indebærer udelukkende, at der skal udleveres op-
lysninger fra udbydernes kundedatabase i form af kontaktoplysninger
på den kunde, som er bruger af et bestemt domænenavn mv. Der er
således ikke tale om, at der skal udleveres loggede oplysninger eller
foretages tekniske foranstaltninger. På den baggrund er det For-
svarsministeriets vurdering, at udbydernes omkostninger vil være
meget begrænsede.
Teleindustrien bemærker, at organisationen kan støtte det hensyn,
der med den foreslåede § 7 b m.fl. er taget til den, som indgreb ved-
rører. Organisationen understreger væsentligheden af domstolsprø-
velse af indgreb i meddelelseshemmeligheden og privatlivets fred,
herunder at sikre varetagelsen af hensynet til den, udleveringen af
oplysninger vedrører. Derfor er forslaget om beskikkelse af advokat
efter Teleindustriens vurdering et særdeles hensigtsmæssigt tiltag,
Sagsnr.: 2019/000950
Dok.nr.: 890135
Side 14 af 29
som værner positivt om et indgrebssubjekts retssikkerhed. DANSK IT
anbefaler, at advokaten møder sammen med en it-kyndig.
Præsidenten for Københavns Byret bemærker på byretspræsidenter-
nes vegne, at anklagemyndigheden efter retsplejelovens editionsreg-
ler kan indhente samme type – men også en lang række andre – op-
lysninger, og at behandlingen af editionsbegæringer efter retsplejelo-
ven foregår uden medvirken af indgrebsadvokat. Henset til den me-
get nøje afgrænsning af karakteren af oplysninger, som editionsord-
ningen i lovforslaget omfatter, sammenholdt med, at oplysningerne
skal tjene til at afdække en sikkerhedshændelse, ses der efter by-
retspræsidenternes opfattelse ikke at være grundlag for at fravige det
udgangspunkt, som er fastlagt i retsplejeloven, hvorefter der ved
behandlingen af sådanne pålæg ikke medvirker indgrebsadvokat.
Dommerforeningen bemærker, at foreningen tilslutter sig bemærk-
ningen om, at bistand af en indgrebsadvokat er ufornøden. Præsiden-
ten for Østre Landsret henholder sig i det hele til Dommerforeningens
høringssvar.
Forsvarsministeriet vil på baggrund af de samstemmende bemærk-
ninger fra byretspræsidenterne, Dommerforeningen og Præsidenten
for Østre Landsret tilpasse lovforslaget, således at der ikke vil skulle
medvirke indgrebsadvokater ved behandling af editionssager.
Præsidenten for Københavns Byret bemærker i øvrigt på byretspræ-
sidenternes vegne, at editionspålægget hviler på en forudsætning
om, at man ikke har kendskab til, hvem der er bruger af den pågæl-
dende e-mailkonto, ip-adresse eller domænenavn, hvorfor bestem-
melsen i lovforslagets § 7, stk. 2, ikke forekommer relevant.
Forsvarsministeriet vil på baggrund af bemærkningen fra byretspræ-
sidenterne tilpasse lovforslaget.
9. Slettefrister
Amnesty International finder ikke, at der er en klar begrundelse for,
hvorfor data, der ikke hidrører fra en sikkerhedshændelse, skal kunne
gemmes i tre år, eller hvorfor videregivet data ikke skal slettes. Am-
nesty International finder desuden, at en generel slettefrist på fem år
forekommer at være unødig og uønskeligt lang.
Institut for Menneskerettigheder anbefaler, at der i lovbemærknin-
gerne nøje redegøres for, hvorledes det sikres, at en udvidelse af
slettefristen ikke vil føre til uproportionale indgreb i retten til respekt
for privatliv.
IDA anerkender, at Center for Cybersikkerhed har identificeret et be-
hov for at arkivere data i forbindelse med sikkerhedshændelser i en
længere periode end hidtil antaget, men bemærker, at de ikke kan
Sagsnr.: 2019/000950
Dok.nr.: 890135
Side 15 af 29
bakke op om en udvidelse af slettefristen, når centret er underlagt
Forsvarets Efterretningstjeneste, og at det i øvrigt er problematisk, at
slettefristen ikke gælder for andre, når data er delt. Rådet for Digital
Sikkerhed mener ikke, at videregivelse af data bør fravige slettekrav
for data, hvis formål er opfyldt. Rådet anbefaler endvidere, at der
stilles krav om underretning ved sletning, således at de aktører, til
hvem data er videregivet, underrettes om, at centeret har foretaget
sletning. Teleindustrien finder heller ikke, at der skal gælde udvidede
slettefrister for videregivet data
Retspolitisk Forening anbefaler, at personoplysninger indeholdt i data
anonymiseres efter et år, og at fristen for at slette data tilknyttet en
sikkerhedshændelse nedsættes til tre år.
Som det fremgår af afsnit 3.8.2 i de almindelige bemærkninger til det
fremsatte lovforslag er baggrunden for udvidelsen af opbevaringsfri-
sterne, at de restriktive regler for opbevaring af data knyttet til en it-
sikkerhedshændelse i en række konkrete tilfælde har vist sig at udgø-
re en betydelig hindring for centerets beskyttelse af samfundsvigtig
infrastruktur. Det foreslås på den baggrund, at slettefristen for data
tilknyttet en sikkerhedshændelse udvides fra tre til fem år.
På tilsvarende vis er den nuværende pligt til inden 13 måneder at
slette data, der ikke er knyttet til en it-sikkerhedshændelse, uhen-
sigtsmæssig i de tilfælde, hvor eksempelvis danske myndigheder er
genstand for længerevarende angrebskampagner. For så vidt angår
data, der ikke er tilknyttet en it-sikkerhedshændelse, foreslås opbe-
varingsfristen udvidet fra 13 måneder til tre år, men kun for data, der
stammer fra myndigheder, som i særlig grad beskæftiger sig med
udenrigs-, sikkerheds- og forsvarspolitiske forhold, samt virksomhe-
der og organisationer, hvis aktiviteter har særlig betydning for disse
forhold.
Udvidelsen af slettefristerne er således resultatet af nøje overvejel-
ser, og udvidelsen er begrænset til det, som er nødvendigt, for at
centeret kan udføre sine opgaver.
Derudover bemærkes det, at Center for Cybersikkerhed fortsat i med-
før af det foreslåede § 17, stk. 1, er forpligtet til at slette data, når
formålet med behandlingen efter en konkret vurdering er udtømt.
Det følger af § 17, stk. 5, at slettefristerne i § 17, stk. 1 og 2, ikke
finder anvendelse på data, der er videregivet til andre end den myn-
dighed eller virksomhed, hvorfra data hidrører. Bestemmelsen er en
videreførelse af gældende ret, idet undtagelsen fra slettereglerne dog
ikke vil omfatte situationer, hvor videregivelsen alene er sket til den
myndighed eller virksomhed, som data hidrører fra. I de tilfælde vil
Center for Cybersikkerhed fortsat skulle slette data efter stk. 1 og 2.
Sagsnr.: 2019/000950
Dok.nr.: 890135
Side 16 af 29
Uanset at slettereglerne i stk. 1 og 2 ikke finder anvendelse, vil per-
sonoplysninger indeholdt i data fortsat skulle behandles i overens-
stemmelse med den gældende § 14, hvorefter indsamlede personop-
lysninger ikke må opbevares på en måde, der giver mulighed for at
identificere den pågældende person i et længere tidsrum end det, der
er nødvendigt af hensyn til de formål, hvortil oplysningerne behand-
les.
10. Forholdet til den Europæiske Menneskerettighedskonven-
tion og proportionalitetsprincippet
IT-Politisk Forening anfører, at der er foretaget en helt utilstrækkelig
og mangelfuld vurdering af, om lovforslaget er foreneligt med Den
Europæiske Menneskerettighedskonvention.
Institut for Menneskerettigheder anbefaler på grund af Center for
Cybersikkerheds organisatoriske placering under Forsvarets Efterret-
ningstjeneste, at der i bemærkningerne redegøres for centerets ad-
gang til personoplysninger i lyset af den relevante praksis fra Den
Europæiske Menneskerettighedsdomstol.
Forholdet til Den Europæiske Menneskerettighedskonvention (EMRK)
er indgående beskrevet i afsnit 5 i de almindelige bemærkninger til
det fremsatte lovforslag. I den forbindelse er der foretaget en nær-
mere vurdering af den foreslåede ordning i relation til kravene i EMRK
art. 8, stk. 2. På baggrund heraf er det Forsvarsministeriets vurde-
ring, at den foreslåede ordning samlet set er i overensstemmelse
med EMRK art. 8.
En række høringsparter har anført, at de ikke anser de foreslåede
udvidelser af Center for Cybersikkerheds beføjelser for at være i
overensstemmelse med proportionalitetsprincippet. I den forbindelse
efterlyses en præcisering af, hvordan proportionaliteten konkret sik-
res.
De foreslåede udvidelser af Center for Cybersikkerheds beføjelser er
nøje overvejet, herunder i forhold til proportionalitetsprincippet.
Derudover bemærkes det, at Center for Cybersikkerhed er underlagt
det almindelige forvaltningsretlige proportionalitetsprincip. Det inde-
bærer f.eks., at centeret altid skal benytte den løsning, der vil virke
mindst indgribende for at opnå det ønskede mål. Center for Cybersik-
kerhed vil derfor altid indgå i en dialog med den pågældende myn-
dighed eller virksomhed med henblik på at finde den mest hensigts-
mæssige og mindst indgribende løsning.
Sagsnr.: 2019/000950
Dok.nr.: 890135
Side 17 af 29
11. Behandlingen af personoplysninger og forholdet til data-
beskyttelsesforordningen
11.1. Undtagelse fra databeskyttelsesforordningen
Datatilsynet bemærker, at databeskyttelsesforordningen og databe-
skyttelsesloven ikke finder anvendelse på den behandling af person-
oplysninger, som udføres for eller af politiets eller forsvarets efterret-
ningstjenester. Datatilsynet henstiller dog til, at lovforslagets henvis-
ninger til persondataloven ændres, så der i stedet henvises til de
gældende databeskyttelsesretlige regler.
IDA henviser til, at Center for Cybersikkerhed i forbindelse med lov-
forslaget ikke har revideret kapitel 6 vedrørende håndtering af per-
sonoplysninger, som nu følger den tidligere persondatalov. Dette
lægger efter IDA’s vurdering op til, at centret undtager sig selv fra
GDPR. IDA’s it-panel vurderer, at centret bør leve op til GDPR, og en
justering anbefales.
Center for Cybersikkerhed er ikke omfattet af databeskyttelsesforord-
ningen og databeskyttelsesloven, da centeret er en del af Forsvarets
Efterretningstjeneste. Lov om Center for Cybersikkerhed indeholder
imidlertid en detaljeret regulering af centerets behandling af person-
oplysninger, som er baseret på den tidligere gældende persondatalov.
Uanset at disse bestemmelser indgår i lov om Center for Cyber-
sikkerhed, vil fortolkningen af bestemmelserne naturligt skulle ske i
overensstemmelse med den mangeårige praksis, som er udviklet for
de tilsvarende bestemmelser i persondataloven.
Folketinget vedtog den 3. maj 2018 lovforslag L 155 om konsekvens-
ændringer af lov om Center for Cybersikkerhed som følge af data-
beskyttelsesforordningen og databeskyttelsesloven. Med denne lov-
ændring besluttede Folketinget, at gældende ret i videst muligt
omfang skulle videreføres, således at lovens bestemmelser om
behandling af personoplysninger fortsat skulle baseres på princip-
perne fra persondataloven og ikke tilpasses til databeskyttelses-
forordningen og databeskyttelsesloven.
Forsvarsministeriet finder ikke anledning til at fravige denne ordning,
men det bemærkes dog, at lov om Center for Cybersikkerhed giver
forsvarsministeren hjemmel til at sætte databeskyttelsesforordningen
og databeskyttelsesloven i kraft for udvalgte dele af Center for
Cybersikkerheds aktiviteter. Denne mulighed ændrer lovforslaget ikke
på.
11.2. Præcisering af dataansvar
Danske Regioner savner præcisering af, hvad den brede adgang for
Center for Cybersikkerhed til data betyder i forhold til anden lovgiv-
Sagsnr.: 2019/000950
Dok.nr.: 890135
Side 18 af 29
ning, f.eks. i forhold til GDPR, herunder den ansvarskonstruktion, der
med lovforslaget er tiltænkt. Danske Regioner spørger, om Center for
Cybersikkerhed kan betragtes som databehandler, selvstændig data-
ansvarlig eller fælles dataansvarlig.
Datatilsynet henstiller til, at det overvejes og præciseres, hvem der
er dataansvarlig for de behandlinger af personoplysninger, der sker
som følge af det aktive og passive cyberforsvar og i forbindelse med
forebyggende sikkerhedstekniske undersøgelser. Datatilsynet under-
streger i forlængelse heraf vigtigheden af, at det er klart, hvem der
er dataansvarlig for de enkelte behandlinger af personoplysninger,
særligt for de registrerede, som efter de databeskyttelsesretlige reg-
ler har en række rettigheder over for de dataansvarlige, men også for
de tilsluttede myndigheder og virksomheder i forhold til deres forplig-
telser efter de databeskyttelsesretlige regler, herunder overholdelse
af de registreredes rettigheder.
Dansk Energi, DANSK IT, DI, Finanssektorens Arbejdsgiverforening
og KL finder, at forholdet til databeskyttelsesforordningen bør uddy-
bes. DANVA finder det afgørende, at Center for Cybersikkerheds ar-
bejde tager højde for databeskyttelsesloven.
Danske Erhverv finder, at tilsluttede myndigheder og virksomheder –
for at leve op til databeskyttelsesforordningens oplysningspligter
overfor de registrerede – skal kunne oplyse, at de indgår i Center for
Cybersikkerheds monitorering. Dansk Erhverv opfordrer derfor For-
svarsministeriet til at udarbejde en standard-informationstekst i for-
hold til databeskyttelsesforordningen, som en tilsluttet virksomhed
kan indeholde i sin personalepolitik i forhold til behandling af person-
data.
Der vil i lovforslaget blive tilføjet en nærmere beskrivelse af dataan-
svaret for de behandlinger af personoplysninger, som sker i for-
bindelse med Center for Cybersikkerheds aktiviteter.
Center for Cybersikkerhed vil endvidere til brug for de tilsluttede
virksomheder og myndigheder udarbejde en standardbeskrivelse af
centerets behandling af personoplysninger.
11.3. Myndigheders og virksomheders ansvar efter databe-
skyttelsesforordningen i relation til tilslutning og videregivel-
se af data til Center for Cybersikkerhed
Datatilsynet finder, at det skal overvejes nærmere, om de tilsluttede
myndigheder eller virksomheders behandling i forbindelse med vide-
regivelse af personoplysninger i overensstemmelse med lovforslaget
kan ske inden for rammerne af databeskyttelsesforordningen og da-
tabeskyttelsesloven.
Sagsnr.: 2019/000950
Dok.nr.: 890135
Side 19 af 29
Forsvarsministeriet vil præcisere lovforslagets bemærkninger om
videregivelse af data med henblik på at tydeliggøre de databeskyt-
telsesretlige hjemler til videregivelse af persondata i forbindelse med,
at myndigheder og virksomheder tilsluttes Center for Cybersikkerheds
netsikkerhedstjeneste eller anmoder om bistand fra centeret.
11.4. Brud på persondatasikkerheden
Datatilsynet anfører, at Center for Cybersikkerhed vil kunne få kend-
skab til brud på persondatasikkerheden, som den tilsluttede myndig-
hed eller virksomhed ikke nødvendigvis selv er bekendt med. Datatil-
synet henleder i den forbindelse opmærksomheden på de forpligtel-
ser, den tilsluttede myndighed eller virksomhed har efter databeskyt-
telsesforordningens artikel 33 til at anmelde et brud på persondata-
sikkerheden uden unødig forsinkelse og om muligt senest 72 timer
efter, at denne er blevet bekendt med bruddet. Datatilsynet henviser
endvidere til artikel 32 om den dataansvarliges forpligtelse til at sikre
persondatasikkerheden. På den baggrund forekommer det efter Data-
tilsynets opfattelse uhensigtsmæssigt, at Center for Cybersikkerhed
kan blive bekendt med et brud på persondatasikkerheden hos en til-
sluttet myndighed eller virksomhed, uden at centeret er forpligtet til
at oplyse den tilsluttede myndighed eller virksomhed herom.
DANSK IT anfører, at sletning af personoplysninger som led i det ak-
tive cyberforsvar kan udgøre et persondatasikkerhedsbrud. DANSK IT
anbefaler, at lovgiver forholder sig til databeskyttelsesreguleringen,
herunder i forhold til bl.a. anmeldelsespligt og underretning af de
registrerede ved et brud på persondatasikkerheden.
Center for Cybersikkerheds netsikkerhedstjeneste har til opgave at
opdage, analysere og bidrage til at imødegå it-sikkerhedshændelser.
Som led i en it-sikkerhedshændelse vil der ofte være sket et brud på
persondatasikkerheden.
Når Center for Cybersikkerhed konstaterer en væsentlig it-sikker-
hedshændelse, vil den videre håndtering at hændelsen ske i tæt
samarbejde med den ramte myndighed eller virksomhed. Som det
klare udgangspunkt vil det således ikke kunne forekomme, at Center
for Cybersikkerhed er bekendt med en væsentlig it-
sikkerhedshændelse, der også indebærer et brud på persondatasik-
kerheden, uden at den tilsluttede myndighed eller virksomhed også
er bekendt hermed – og kan foretage det fornødne.
Eneste undtagelse hertil er situationer, hvor Center for Cybersikker-
hed ikke kan identificere den myndighed eller virksomhed, der er
ramt af en væsentlig it-sikkerhedshændelse, samt den typisk korte
periode, hvor centeret samler de nødvendige oplysninger om en væ-
sentlig it-sikkerhedshændelse inden den første kontakt til den ramte
myndighed eller virksomhed.
Sagsnr.: 2019/000950
Dok.nr.: 890135
Side 20 af 29
Det vil dog forekomme, at centeret konstaterer en it-
sikkerhedshændelse, som også er et brud på persondatasikkerheden,
men hvor it-sikkerhedshændelsens karakter gør, at centeret ikke fo-
retager sig yderligere – f.eks. fordi der ud fra en it-sikkerhedsmæssig
synsvinkel er tale om en uvæsentlig it-sikkerhedshændelse. For-
svarsministeriet skal i den forbindelse bemærke, at det ikke ligger
inden for Center for Cybersikkerheds opgaver at foretage monitore-
ring med det formål at opdage eventuelle brud på persondatasikker-
heden.
Sker der mod forventning et brud på persondatasikkerheden som
følge af en fejl begået af Center for Cybersikkerhed, underretter cen-
teret den tilsluttede myndighed eller virksomhed, som derefter kan
foretage sig det fornødne.
12. Datasikkerhed
Danske Regioner udtrykker bekymring for sikkerheden omkring den
øgede datamængde hos Center for Cybersikkerhed. Advokatrådet er
bekymret for den store mængde data, som Center for Cybersikkerhed
vil indsamle med de nye værktøjer og opfordrer til, at det overvejes,
om det er nødvendigt at indsamle så store mængder af data, da det
giver mulighed for misbrug. Rådet finder det endvidere bemærkelses-
værdigt, at der ikke er større fokus på sikkerhed omkring de indsam-
lede data. PROSA udtrykker en tilsvarende bekymring for, at én myn-
dighed opbevarer så mange data og anfører, at det bør overvejes,
hvad der skal gøres, hvis Center for Cybersikkerhed bliver kompro-
mitteret.
DANVA henviser til, at kunde- og selskabsdata er meget vigtige, og at
sikkerheden omkring disse bør prioriteres højt. ITD understreger be-
hovet for fortrolighed omkring forretningstekniske data og betegner
det som helt afgørende, at oplysninger om virksomheders konkurren-
cemæssige forhold beskyttes.
Center for Cybersikkerhed er national it-sikkerhedsmyndighed og
Danmarks kompetencecenter for cybersikkerhed. Centeret er desuden
en del af en efterretningstjeneste og er i sit virke særdeles fokuseret
på sikkerhed.
Centerets medarbejdere er desuden sikkerhedsgodkendt på meget
højt niveau og vant til at håndtere sensitive og klassificerede oplys-
ninger i overensstemmelse med sikkerhedsbestemmelser mv. End-
videre er centerets it-systemer underlagt særligt restriktive
sikkerhedskrav, og hertil kommer, at Tilsynet med Efterretnings-
tjenesterne som uafhængigt kontrolorgan fører tilsyn med, at Center
for Cybersikkerheds behandling af personoplysninger sker i overens-
stemmelse med lovgivningen.
Sagsnr.: 2019/000950
Dok.nr.: 890135
Side 21 af 29
Finans Danmark bemærker, at lovforslaget ikke forholder sig til den
situation, hvor Center for Cybersikkerheds systemer påvirker den
tilsluttede virksomheds driftsstabilitet. Finanssektorens Arbejdsgiver-
forening finder, at det er vigtigt at sikre, at de tiltag, centeret gen-
nemfører, ikke skader virksomhedernes egne foranstaltninger til sik-
ring af datasikkerheden. Forsikring og Pension udtrykker bekymring
om, hvorvidt centerets anvendte tekniske løsninger vil kunne ændre
en virksomheds sikkerhedsniveau og eventuelt påvirke systemernes
og infrastrukturens ydeevne. IT-Branchen anbefaler, at virksomhe-
derne ved et påbud om tilslutning får mulighed for selv at vælge tek-
nologi og udstyr, der benyttes til centerets monitorering. Danske Re-
gioner, DIFO og Forsikring og Pension finder det ikke klart, hvilke
konsekvenser installation af software fra Center for Cybersikkerhed
vil have på allerede eksisterende it-systemer, og hvad centrets an-
svar er, hvis systemer hos tilsluttede myndigheder påvirkes af den
installerede software. Den tekniske løsning vurderes ikke tilstrække-
ligt beskrevet, og Danske Regioner opfordrer til, at beskrivelsen ud-
dybes i bemærkningerne. Dansk Erhverv og Energinet savner ligele-
des beskrivelse af det tekniske udstyr, der kan installeres, og Energi-
net finder, at Center for Cybersikkerheds udstyr potentielt kan påvir-
ke industrielt udstyr på en negativ måde. Energinet nævner i den
forbindelse, at der vil være en særlig risiko ved at anvende sikker-
hedssoftware i lukkede industrielle systemer, da der ved tilslutning
skabes en adgang til internettet med deraf følgende sikkerhedsrisiko.
DANSK IT finder, at det bør tydeliggøres, hvordan anvendelse af ek-
sempelvis privatejet sikkerhedssoftware håndteres med henblik på at
sikre, at anvendelsen ikke påvirker virksomhedens drift negativt.
Center for Cybersikkerheds monitoreringsudstyr er gennemtestet for
at sikre, at udstyret ikke i sig selv vil indebære en øget sikkerhedsri-
siko. Center for Cybersikkerhed vil derudover altid i samarbejde med
den enkelte myndighed eller virksomhed forsøge at identificere, hvor-
dan udstyret kan installeres på den mest hensigtsmæssige måde.
I relation til monitorering via sikkerhedssoftware vil Forsvarsministe-
riet som nævnt ovenfor tilpasse lovforslaget, således at sikkerheds-
software ikke vil være omfattet af påbudsmuligheden. Installation af
sikkerhedssoftware vil dermed altid ske efter aftale med den pågæl-
dende myndighed eller virksomhed, som vil kunne afveje risiciene
ved monitorering med sikkerhedssoftware inden en eventuel tilslut-
ning.
Det bemærkes i øvrigt, at den softwareløsning, som vil blive anvendt,
vil variere fra system til system, ligesom den vil være under løbende
udvikling. Forsvarsministeriet finder det på den baggrund ikke hen-
sigtsmæssigt, at der på et område med så hastig teknisk udvikling
fastsættes tekniske rammer for softwaren i lovforslaget.
Sagsnr.: 2019/000950
Dok.nr.: 890135
Side 22 af 29
Sagsnr.: 2019/000950
Dok.nr.: 890135
Side 23 af 29
13. Vidensdeling og åbenhed
Danske Regioner savner en angivelse af centerets muligheder for at
vidensdele i forhold til indsamlede data. Dansk Energi ønsker uddy-
bet, hvordan virksomheder får besked om mindre alvorlige sårbarhe-
der eller trusler, som centeret måtte få kendskab til. Finans Danmark
finder også, at berørte virksomheder har et krav på at modtage retti-
dig information om alvorligheden og det potentielle omfang af en
vurderet sikkerhedshændelse. DANVA og Finans Danmark opfordrer
til vidensdeling og åbenhed. DIFO mener, at Center for Cybersikker-
hed skal forpligtes til at dele data med virksomheder og myndigheder
og bistå de tilsluttede myndigheder med den viden, der kommer ud af
overvågning. DANSK IT og IT-Branchen opfordrer til vidensdeling
med private sikkerhedsfirmaer, hvis Center for Cybersikkerhed ligger
inde med relevant viden. Dansk Energi opfordrer til et tæt og tillids-
fuldt samarbejde. DI ser også behov for øget vidensdeling.
Dansk Erhverv opfordrer til at fokusere på offentlige-private samar-
bejder og nævner, at der er behov for et ligebyrdigt samspil mellem
offentlige og private spillere i et samarbejde, hvor viden går begge
veje. Dansk Erhverv finder på den baggrund, at der er andre måder
at dele viden med centeret på end at give centeret beføjelser til bl.a.
påbud.
PROSA mener, at der er mangel på transparens, fordi Center for Cy-
bersikkerhed ligger under en efterretningstjeneste, og PROSA fore-
slår, at rollen som Danmarks nationale it-sikkerhedsmyndighed og
nationale kompetencecenter bør ligge under f.eks. Indenrigsministe-
riet, samtidig med, at et center, der beskæftiger sig med hemmelige,
klassificerede oplysninger, skal blive under Forsvarets Efterretnings-
tjeneste.
Institut for Menneskerettigheder anbefaler, at der i lovforslaget indfø-
res en bestemmelse om betingelserne for videregivelse af data fra
centeret til resten af Forsvarets Efterretningstjeneste, således at for-
holdet reguleres på lovniveau.
Center for Cybersikkerhed har til opgave at understøtte et højt sik-
kerhedsniveau i den digitale infrastruktur, som samfundsvigtige funk-
tioner er afhængige af. I den forbindelse er en af centerets primære
opgaver at opdage, analysere og bidrage til at imødegå it-
sikkerhedshændelser hos myndigheder og virksomheder, der er be-
skæftiget med samfundsvigtige funktioner. En stor del af denne fore-
byggende indsats kan kun ske i tæt samarbejde og dialog med de
relevante myndigheder og virksomheder. Center for Cybersikkerhed
har derfor allerede i dag stor fokus på vidensdeling.
Centeret indgår således løbende i dialog med de enkelte virksomhe-
der og myndigheder om konkrete it-sikkerhedshændelser. Derudover
Sagsnr.: 2019/000950
Dok.nr.: 890135
Side 24 af 29
vidensdeler centeret også mere bredt i forbindelse med centerets
udsendelse af bl.a. varslinger, vejledninger og trusselsvurderinger.
Centeret har endvidere oprettet en række interessentfora, herunder
et vidensdelingsnetværk for decentrale cyber- og informationssikker-
hedsenheder i de samfundskritiske sektorer, samt et strategisk sa-
marbejdsforum for virksomheder og brancheorganisationer.
Center for Cybersikkerhed arbejder løbende på at udvikle og forbedre
sin rådgivnings- og vidensdelingsindsats, og Forsvarsministeriet fin-
der det naturligt, at dette udviklingsarbejde sker i tæt dialog med
relevante interessenter.
Forsvarsministeriet vil desuden tage initiativ til, at der bliver oprettet
et offentligt-privat cybersikkerhedsråd. Formålet med rådet er at kva-
lificere myndighedernes arbejde og styrke det digitale demokrati,
herunder udbredelse af viden om – og forståelse for – de trusler og
muligheder, som digitaliseringen og den nye teknologi medfører. Rå-
det vil have deltagelse af Digitaliseringsstyrelsen, Center for Cyber-
sikkerhed og repræsentanter med særlig it-sikkerhedsmæssig kom-
petence fra den private sektor, brancheorganisationer, forskningsver-
denen og forbrugersiden.
IT-Politisk Forening bemærker, at der mangler transparens, idet der
med lovforslaget fjernes mulighed for offentliggørelse af tilsluttede
organisationer.
Det fremgår af bemærkningerne til den foreslåede § 3, stk. 3, at Cen-
ter for Cybersikkerhed regelmæssigt vil offentliggøre, hvor mange
myndigheder og virksomheder, der er tilsluttet netsikkerhedstjene-
sten efter bestemmelsens stk. 2 og 3, samt fordelingen på sektorer.
I dag offentliggøres der jævnligt en liste over de myndigheder og
virksomheder, der er tilsluttet, men der har blandt virksomhederne
været en bekymring over, at der dermed offentliggøres oplysninger
om, hvordan den enkelte virksomheds cyberforsvar er indrettet (eller
ikke er indrettet).
14. Konkurrence med private it-sikkerhedsfirmaer
Flere høringsparter udtrykker bekymring for, at Center for Cybersik-
kerhed vil komme til at konkurrere med private it-sikkerhedsfirmaer,
hvis gebyret for tilslutning til netsikkerhedstjenesten bortfalder og
centerets værktøjer udvides med sikkerhedssoftware og forebyggen-
de sikkerhedstekniske undersøgelser.
DANSK IT og IT-Branchen mener, at lovforslaget, såfremt det vedta-
ges, får betydning for det private marked, idet det vil gøre Center for
Cybersikkerhed i stand til at tilbyde og påbyde ydelser, som i dag
tilbydes af kommercielle aktører, og at det vil skabe ulige konkurren-
Sagsnr.: 2019/000950
Dok.nr.: 890135
Side 25 af 29
ce. Rådet for Digital Sikkerhed er af den opfattelse, at lovforslaget vil
have en meget betydelig konkurrenceforvridende effekt.
Teleindustrien opfordrer til, at Center for Cybersikkerhed i videst mu-
ligt omfang skal udbyde opgaverne til private sikkerhedsfirmaer, så-
ledes at de kan forestå de forebyggende sikkerhedsforanstaltninger
for centeret. Teleindustrien ser også gerne, at Center for Cybersik-
kerhed vælger flere alternative udbydere, således at de tilsluttede
virksomheder kan vælge blandt disse udbydere, da der kan være ud-
bydere, som af forretningsmæssige grunde ikke kan arbejde internt
hos den tilsluttede virksomhed.
DI stiller sig endvidere uforstående overfor, at der skal anvendes of-
fentlige ressourcer på gratis at tilbyde ydelser, som i forvejen tilbydes
på det private marked, og organisationen mener, at ydelserne er
konkurrenceforvridende.
Som det er understreget i lovforslaget, er det Forsvarsministeriets
vurdering, at lovforslagets nye initiativer ikke vil påvirke det private
marked for it-sikkerhedsløsninger negativt.
Center for Cybersikkerhed har fokus på de avancerede cybertrusler,
der typisk kommer fra statslige eller statssponsorerede angrebsaktø-
rer. At en myndighed eller virksomhed bliver tilsluttet Center for Cy-
bersikkerheds netsikkerhedstjeneste vil aldrig indebære, at virksom-
heden så kan undlade at anvende en ”almindelig” it-sikkerhedsløsning
til håndtering af de langt hyppigere forekommende ”almindelige” cy-
bertrusler. Center for Cybersikkerheds løsning kan alene supplere
myndighedens eller virksomhedens it-sikkerhedsløsning, aldrig er-
statte den.
I forhold til forebyggende sikkerhedstekniske undersøgelser, så for-
udsættes det, at de gennemføres hos myndigheder og virksomheder,
hvor der gør sig særlige sikkerhedshensyn gældende, hvorefter de
ikke ønsker at anvende private it-sikkerhedsfirmaer, eller hvor sik-
kerhedsundersøgelser hos et mindre antal repræsentative virksomhe-
der kan give et billede af den generelle sikkerhedstilstand i en sam-
fundsvigtig sektor.
15. Økonomiske konsekvenser
Danske Regioner er positive over for gebyrfrihed, men betegner det
som uklart, hvor mange ekstra ressourcer der kræves for at installere
og drifte Center for Cybersikkerheds hardware og software. DANVA,
Dansk Energi og DI stiller ligeledes spørgsmålstegn ved, hvilke om-
kostninger virksomhederne forventes at afholde. Danske Rederier er
positive overfor afskaffelsen af gebyr, men bemærker, at der fortsat
kan være væsentlige omkostninger forbundet med at være tilsluttet
netsikkerhedstjenesten. Finans Danmark bemærker, at lovforslaget
Sagsnr.: 2019/000950
Dok.nr.: 890135
Side 26 af 29
ikke forholder sig til, at tilslutning til Center for Cybersikkerheds net-
sikkerhedstjeneste kan medføre omkostninger i forbindelse med ek-
sempelvis dekryptering af data eller kompleks systemarkitektur. Tele-
industrien anfører, at selv om gebyret bortfalder, vil der fortsat på-
hvile en virksomhed en potentielt betragtelig omkostning i forhold til
implementering, udrulning og sikring af udstyrets kompatibilitet med
virksomhedens eksisterende udstyr.
Lægeforeningen udtrykker bekymring for meromkostninger for læger
i almen praksis og speciallægepraksis og i de virksomheder, der leve-
rer lægesystemer, hvis de bliver anmodet om eller pålagt at tilslutte
sig netsikkerhedstjenesten.
Rådet for Digital Sikkerhed anfører, at der bør afsættes en statslig
pulje til finansiering af de nødvendige tiltag og værktøjer hos de en-
kelte organisationer.
Virksomheder og myndigheder, der allerede er tilsluttet Center for
Cybersikkerheds netsikkerhedstjeneste, vil opnå en besparelse på
grund af forslaget om, at det løbende gebyr for tilslutning bortfalder.
For virksomheder eller myndigheder, der efterfølgende tilsluttes cen-
terets netsikkerhedstjeneste, vil der være begrænsede merudgifter i
forhold til udgifter til samarbejde med centeret i forbindelse med cen-
terets installation af hardware og software samt drift og gennemførel-
se, herunder samarbejde med centeret i forbindelse med håndtering
af konkrete sikkerhedshændelser.
Der henvises i øvrigt til beskrivelsen i afsnit 6 og 7 i de almindelige
bemærkninger til det fremsatte lovforslag vedrørende henholdsvis de
økonomiske konsekvenser og implementeringskonsekvenser for det
offentlige og de økonomiske og administrative konsekvenser for er-
hvervslivet mv.
16. Sammenhæng med sektorstrategier samt anden regulering
Danske Regioner bemærker, at regionerne har et sektoransvar, der
indebærer et ansvar for at opretholde sikkerheden omkring borgernes
behandling og sundhedsdata. Dansk Energi ønsker endvidere at få
klarlagt rollefordelingen mellem Center for Cybersikkerhed, sektoran-
svarlige myndigheder, sektor-CERT’er og virksomheder. DI finder
også, at der er behov for en klar ansvarsfordeling mellem Center for
Cybersikkerhed, virksomhederne og eventuelle tilsynsmyndigheder.
Danske Rederier påpeger herudover, at det er væsentligt, at der er
overensstemmelse mellem de virksomheder, som en sektoransvarlig
myndighed har udpeget som følge af NIS-direktivet, og dem, som
Center for Cybersikkerhed ønsker at påbyde tilslutning til netsikker-
hedstjenesten. Også Forsikring og Pension henviser til sektorstrategi-
Sagsnr.: 2019/000950
Dok.nr.: 890135
Side 27 af 29
erne og mener, at ny lovgivning bør afvente effekten af de tiltag, der
er iværksat.
Lovforslaget er et led i udmøntningen af den nationale strategi for
cyber- og informationssikkerhed, der blev lanceret i maj 2018. Det
fremgår således af strategien, at Forsvarsministeriet vil fremsætte et
forslag til ændret lovgivning på cyberområdet, som vil medføre en
styrkelse af Center for Cybersikkerheds muligheder for at opdage og
stoppe cyberangreb samt styrke centerets analytiske arbejde.
Det indgår ikke i strategien, at der skal foretages ændringer i sektor-
ansvaret, og det ændrer lovforslaget heller ikke på.
Det følger af strategien, at der skal ske en fælles indsats på cyber- og
informationssikkerhedsområdet, herunder en styrkelse af indsatsen i
seks samfundskritiske sektorer: Energi, sundhed, tele, finans, søfart
og transport. Udmøntningen af denne indsats medfører, at hver sek-
tor skal udarbejde en sektorstrategi og opstille en decentral cyber- og
informationssikkerhedsenhed (DCIS). Rolle og ansvarsfordelingen
mellem de decentrale cyber- og informationssikkerhedsenheder og
Center for Cybersikkerhed bliver for hver sektor beskrevet i en sam-
arbejdsaftale.
Dansk Energi finder det essentielt, at danske initiativer på cyber- og
informationssikkerhedsområdet harmoniseres og spiller samen med
relevante internationale krav og initiativer både på EU-niveau og re-
gionalt. Dansk Energi bemærker i den forbindelse, at det vil være
spild af ressourcer, hvis den danske regulering efterfølgende vil skulle
vige for EU-praksis eller -regulering. DI understreger vigtigheden af,
at nationale initiativer som dette lovforslag (og tilhørende initiativer,
som udmøntes i forlængelse heraf) harmoniseres og spiller sammen
med internationale initiativer i regi af EU og i globale sammenhænge.
DI påpeger, at selv mindre divergenser i forhold til internationale reg-
ler vil være byrdefulde for mange virksomheder.
Forsvarsministeriet følger løbende udviklingen på cyberområdet, her-
under i relation til EU-regulering, og ministeriet tager i den forbindel-
se stilling til, om udviklingen medfører et behov for ændring i den
nationale regulering.
Finans Danmark efterspørger bl.a. en beskrivelse af, hvordan regler-
ne i lovforslaget spiller sammen med reglerne om finansiel virksom-
hed. Finanssektorens Arbejdsgiverforening og Forsikring og Pension
foreslår, at Finanstilsynet høres om, hvorvidt videregivelse af oplys-
ninger fra finansielle virksomheder er berettiget efter den finansielle
lovgivning.
Med henblik på at tydeliggøre forholdet mellem reglerne i lovforslaget
og regler om tavshedspligt i anden lovgivning vil Forsvarsministeriet
Sagsnr.: 2019/000950
Dok.nr.: 890135
Side 28 af 29
indsætte en bestemmelse i lovforslaget om, at myndigheders og virk-
somheders samarbejde med Center for Cybersikkerhed ikke er be-
grænset af bestemmelser om tavshedspligt fastsat ved lov eller med
hjemmel i lov.
Danske Regioner bemærker til den foreslåede § 8 a, stk. 1, at det bør
tydeliggøres i bemærkningerne, hvilke oplysninger, som er arkive-
ringspligtige. Ydermere bør det begrundes, hvorfor arkiveringen skal
omfatte alle oplysninger og ikke kun personoplysninger.
Det fremgår af bemærkningerne til den foreslåede § 8 a, stk. 1, at
bestemmelsen indebærer, at Center for Cybersikkerhed vil kunne
overføre oplysninger til opbevaring i arkiv i det omfang Rigsarkivaren
har fastsat bevarings- og kassationsbestemmelser for de pågældende
bestemmelser.
Det er således Rigsarkivaren, der træffer beslutning om, hvilke oplys-
ninger, der skal overføres til arkiv.
Det fremgår endvidere af bemærkningerne, at den foreslåede æn-
dring skyldes, at det ikke kan udelukkes, at der af Rigsarkivaren ud-
stedes bevarings- og kassationsbestemmelser vedrørende oplysnin-
ger, som ikke er personoplysninger.
17. Øvrige bemærkninger
Datatilsynet bemærker, at det fremgår af de almindelige bemærknin-
ger til lovforslaget, at der vil blive udarbejdet en rapport om erfarin-
gerne med den nye lovgivning, som oversendes til Folketinget tre år
efter lovens ikrafttræden. Datatilsynet finder, at rapporten om erfa-
ringerne med den nye lovgivning bør oversendes til Folketinget alle-
rede ét år efter lovens ikrafttræden. Forsikring og Pension anbefaler
også, at rapporten oversendes allerede efter ét år og følges op med
rapportering efter andet og tredje år.
Forsvarsministeriet vurderer, at der vil være behov for en vis periode
med den nye lovgivning, før der kan gøres status over erfaringerne.
Forsvarsministeriet finder derfor, at en rapport om erfaringerne med
loven først bør oversendes efter tre år.
DI finder det særligt bekymrende, at Tilsynet med Efterretningstjene-
sterne svækkes ved, at der i lovforslaget indføres en mulighed for, at
centeret kan vælge ikke at følge en henstilling i en udtalelse fra tilsy-
net.
Det anførte må bygge på en misforståelse, idet lovforslaget ikke in-
deholder en sådan ændring – ej heller andre ændringer, der vedrører
Tilsynet med Efterretningstjenesternes kompetence. Efter gældende
ret er der for Center for Cybersikkerhed, FE og PET etableret identi-
Sagsnr.: 2019/000950
Dok.nr.: 890135
Side 29 af 29
ske ordninger, som indebærer, at hvis tjenesterne undtagelsesvist
beslutter ikke at følge en henstilling i en udtalelse fra tilsynet, så skal
den pågældende tjeneste underrette tilsynet herom og uden unødigt
ophold forelægge sagen for ressortministeren til afgørelse. Hvis mini-
steren vælger ikke at følge henstillingen, skal regeringen underrette
Folketingets Udvalg vedrørende Efterretningstjenesterne herom.