Høringssvar og høringsnotat fra forsvarsministeren

Dato: 30. september 2020
Enhed: JSN
Sagsnr.: 2020/004886
Dok.nr.: 138990
Bilag: Ingen
Forsvarsministeriet
Holmens Kanal 9
1060 København K
Side 1 af 14
KOMMENTERET HØRINGSOVERSIGT
vedrørende
forslag til lov om ændring af lov om
net- og informationssikkerhed
(Implementering af direktivet om oprettelse af en europæisk
kodeks for elektronisk kommunikation for så vidt angår sik-
kerhed i net og tjenester)
Et udkast til forslag til lov om ændring af lov om net- og informations-
sikkerhed (Implementering af direktivet om oprettelse af en europæisk
kodeks for elektronisk kommunikation for så vidt angår sikkerhed i net
og tjenester) har i perioden fra den 30. juli 2020 til den 27. august
2020 været sendt i høring hos følgende myndigheder og organisationer
m.v.:
Advokatrådet, Amnesty International, Bauer Media, Borch Teknik, Cibi-
com, Danmarks Radio, Dansk Beredskabskommunikation, Dansk Ener-
gi, Dansk Erhverv, Dansk Industri (DI), DANSK IT, Dansk Kabel TV,
Danske Advokater, Danske Regioner, Datatilsynet, Den Danske Dom-
merforening, DI Digital, Domstolsstyrelsen, Fibia, Forenede Danske
Antenneanlæg, GLOBALCONNECT, Hi3G Denmark, HORESTA, Institut
for Menneskerettigheder, IT-Branchen, IT-Politisk Forening, Justitia,
KL, Norlys, Præsidenten for Vestre Landsret, Præsidenten for Østre
Landsret, Retspolitisk Forening, Rigsrevisionen, Rådet for Digital Sik-
kerhed, samtlige byretspræsidenter, TDC, TeleDCIS, Teleindustrien
(TI), Telenor, Telia Company Danmark, TT-Netværket, TV 2 DTT og
Waoo.
Forsvarsministeriet har modtaget høringssvar fra:
Advokatrådet, Borch Teknik A/S, Datatilsynet, DI Digital, Huawei, Insti-
tut for Menneskerettigheder, Præsidenten for Københavns Byret, Præ-
sidenten for Vestre Landsret, Præsidenten for Østre Landsret, Region
Nordjylland, Region Sjælland, Region Syddanmark, Rigsrevisionen og
Teleindustrien(TI) og IT-Branchen (i fællesskab).
Nedenfor er gengivet de væsentligste punkter i de modtagne hørings-
svar. Forsvarsministeriets kommentarer til høringssvarene er angivet i
kursiv.
Forsvarsudvalget 2020-21
L 33 Bilag 1
Offentligt
Sagsnr.: 2020/004886
Dok.nr.: 138990
Side 2 af 14
Det bemærkes, at visse af høringsparterne i forlængelse af bemærk-
ningerne til nærværende lovforslag også har afgivet bemærkninger til
Forsvarsministeriets samtidige høring over udkast til lovforslag om æn-
dring af lov om elektroniske kommunikationsnet og -tjenester vedrø-
rende etablering af et mobilbaseret varslingssystem. Bemærkninger til
dette lovforslag fremgår af den separate høringsoversigt herom.
1. Generelt
Advokatrådet har oplyst, at man har besluttet ikke at afgive hørings-
svar.
Borch Teknik A/S og Institut for Menneskerettigheder har ikke be-
mærkninger til lovforslaget.
Præsidenterne for henholdsvis Vestre Landsret og Østre Landsret har
ikke ønsket at udtale sig om lovforslaget. Præsidenten for Københavns
Byret har på byretspræsidenternes vegne oplyst, at byretterne ikke
ønsker at udtale sig om lovforslaget.
Rigsrevisionen konstaterer, at lovforslaget ikke omhandler revisions-
eller regnskabsforhold i staten eller andre offentlige virksomheder, der
revideres af Rigsrevisionen, og Rigsrevisionen har derfor ikke behandlet
henvendelsen yderligere.
TI og IT-Branchen kvitterer positivt for, at udbydere af nummeruaf-
hængige interpersonelle kommunikationstjenester til forskel fra tidlige-
re nu bliver genstand for en række forpligtelser i relation til sikkerhe-
den i sådanne tjenester. TI og IT-Branchen finder det væsentligt at
sikre en ”level playing field” blandt elektroniske kommunikationstjene-
ster, der i stigende grad konkurrerer mod hinanden.
2. EU-implementering
DI Digital støtter en direktivnær implementering og noterer sig, at
princippet er indskrevet i de almindelige bemærkninger. DI er dog i
tvivl om, hvorvidt dette også praktiseres i de enkelte formuleringer.
Huawei opfordrer til, at implementeringen af EU’s teledirektiv gennem-
føres så tekstnært som muligt.
Teleindustrien og IT-Branchen kvitterer positivt for det, der betegnes
som en relativt tekstnær direktivimplementering.
Sagsnr.: 2020/004886
Dok.nr.: 138990
Side 3 af 14
Forsvarsministeriet har ved udarbejdelsen af lovforslaget lagt vægt på,
at implementeringen af EU’s telekodeks på Forsvarsministeriets område
sker i overensstemmelse med regeringens principper for implemente-
ring af erhvervsrettet EU-regulering, hvorefter den nationale regulering
som udgangspunkt ikke bør gå videre end minimumskravene i EU-
reguleringen. Forsvarsministeriet har derfor tilstræbt i videst muligt
omfang at implementere direktivets krav tekstnært. Det bemærkes dog
også, at direktivets krav er rammebestemmelser, som er forudsat
nærmere udmøntet af medlemsstaterne.
3. Definitioner og terminologi
TI og IT-Branchen kvitterer for, at der med ændringen søges en ens-
retning af definitionerne med de tilsvarende definitioner i teleloven. TI
og IT-Branchen anfører dog, at der i enkelte af definitionerne lægges
op til visse nuanceforskelle i ordvalget og opfordrer til, at definitionerne
affattes fuldstændig ordret i forhold til de tilsvarende definitioner i tele-
loven, så fortolkningstvivl undgås.
Net- og informationssikkerhedsloven bygger på en række begreber og
definitioner, der stammer fra teleloven. Lovens terminologi er målrettet
lovens særlige formål og sigte, men det fremgår af bemærkningerne til
de enkelte definitioner, at disse skal fortolkes i overensstemmelse med
de tilsvarende definitioner i teleloven og disses forarbejder og relevante
praksis.
Med nærværende lovforslag tilnærmes terminologien – som hørings-
parterne også anfører – yderligere den, som anvendes i teleloven.
Sammenholdt med høringsversionen af lovforslaget vil Forsvarsministe-
riet dog ændre definitionen af et ”elektronisk kommunikationsnet” i
overensstemmelse med et lovforslag fra Klima-, Energi- og Forsy-
ningsministeriet, hvor det tilsvarende begreb i teleloven foreslås æn-
dret.
3.1. Lovens titel
TI og IT-Branchen har forståelse for den foreslåede ændring af lovens
titel, der er en konsekvens af en tilsvarende begrebsændring i teledi-
rektivet. TI og IT-Branchen finder dog, at begreberne ”net og tjene-
ster” ikke bør anvendes i lovens titel og opfordrer i stedet til at anven-
de telelovens begreber ”elektroniske kommunikationsnet og
-tjenester”. TI og IT-Branchen opfordrer også mere generelt til at an-
vende ”elektroniske kommunikationsnet og -tjenester” konsekvent
gennem hele loven i stedet for ”net og tjenester”, herunder eksempel-
vis i ændringen af § 2, stk. 1, nr. 8, om ”sikkerhed i net og tjenester”.
TI og IT-Branchen kan i øvrigt ikke se en konkret begrundelse for æn-
Sagsnr.: 2020/004886
Dok.nr.: 138990
Side 4 af 14
dringen til det meget generelle begreb ”sikkerhed” og finder, at ”infor-
mationssikkerhed” er et bredere begreb.
Med lovforslaget foreslås lovens titel ændret fra ”lov om net- og infor-
mationssikkerhed” til ”lov om sikkerhed i net og tjenester”. Det skyl-
des, at EU’s telekodeks generelt anvender begrebet ”sikkerhed i net og
tjenester”, som er nærmere defineret i direktivets artikel 2, nr. 21. Det
vurderes ikke at være retvisende at anvende begrebet ”elektroniske
kommunikationsnet og -tjenester” i stedet for ”net og tjenester” alle
steder i loven, herunder i lovens titel, da det i givet fald ikke vil omfat-
te de nye NUIK-tjenester, som med lovforslaget bliver omfattet af lo-
ven.
3.2. Offentligt tilgængelige elektroniske kommunikationsnet og
-tjenester
Region Nordjylland finder definitionen af offentligt tilgængelige elektro-
niske kommunikationsnet og -tjenester meget bred og vurderer, at den
kan omfatte alle borgerrettede løsninger, som regionerne måtte udvikle
og/eller stille til rådighed for borgerne.
Der foretages med lovforslaget kun visse sproglige justeringer af defini-
tionen af offentligt tilgængelige elektroniske kommunikationsnet og
-tjenester, der således ikke ændres indholdsmæssigt. Definitionen sva-
rer som hidtil til telelovens definitioner af såvel offentlige elektroniske
kommunikationsnet som offentlig elektronisk kommunikationstjeneste.
3.3. Udbydere af NUIK-tjenester
Region Syddanmark finder det ikke helt klart, hvilke udbydere eller
hvilken type kommunikationsform, der er tænkt på.
Region Nordjylland finder, at lovforslaget skaber forvirring om omfat-
telsesniveauet, og at det er svært som aktør at vide, hvad man bliver
omfattet af, både i umiddelbar, men også i fjernere fremtid. Regionen
finder endvidere, at formuleringen ”som normalt ydes mod betaling”
giver anledning til usikkerhed i forhold til, hvilke borgerrettede løsnin-
ger der måtte være omfattet.
TI og IT-Branchen kvitterer positivt for den foreslåede definition, men
finder, at definitionen bør være identisk med den definition, som ved et
samtidigt lovforslag foreslås indsat som telelovens § 2, nr. 20, hvilket
også ifølge lovforslagets bemærkninger er hensigten. TI og IT-
Branchen foreslår, at der henvises til definitionen i teleloven og opfor-
drer i øvrigt til, at begrebet ikke forkortes. TI og IT-Branchen finder
endvidere, at udbydere af nummeruafhængige interpersonelle kommu-
Sagsnr.: 2020/004886
Dok.nr.: 138990
Side 5 af 14
nikationstjenester, der opretter forbindelse til offentligt tildelte num-
merressourcer, tillige bør være omfattet af definitionen. Sådanne tje-
nester er allerede omfattet af definitionen af en elektronisk kommuni-
kationstjeneste, jf. teleloven. TI og IT-Branchen finder det desuden
uklart, hvorvidt flere af branchens value-added tjenester vil blive om-
fattet af definitionen, herunder eksempelvis interaktive TV-produkter
eller e-mailtjenester tilknyttet slutbrugeres bredbåndsabonnement. TI
og IT-Branchen opfordrer desuden til, at det præciseres, hvad der me-
nes med ”som normalt ydes mod betaling”.
Med lovforslaget bliver udbydere af nummeruafhængige interpersonelle
kommunikationstjenester (udbydere af NUIK-tjenester) som noget nyt
omfattet af reguleringen vedrørende sikkerhed i net og tjenester. Defi-
nitionen af en NUIK-tjeneste svarer indholdsmæssigt til den tilsvarende
definition, der ved et samtidigt lovforslag fra Klima-, Energi- og Forsy-
ningsministeriet foreslås indsat i teleloven. I lovforslagets øvrige be-
stemmelser anvendes det forkortede begreb ”udbyder af NUIK-
tjenester” ud fra et hensyn til læsbarheden af de enkelte bestemmelser
i loven.
Lovforslagets definition af udbydere af nummeruafhængige interperso-
nelle kommunikationstjenester skal fortolkes i overensstemmelse med
forarbejderne til den foreslåede bestemmelse i teleloven, og der henvi-
ses på den baggrund nærmere til Klima-, Energi- og Forsyningsministe-
riets samtidige lovforslag om ændring af teleloven og forarbejderne
hertil.
For så vidt angår formuleringen ”som normalt ydes mod betaling” hen-
vises endvidere til betragtning 16 til EU’s telekodeks, hvoraf det bl.a.
fremgår, at i den digitale økonomi anser markedsdeltagerne i stigende
grad oplysninger om brugerne for at have monetær værdi. Elektroniske
kommunikationstjenester udbydes ofte til slutbrugeren, ikke kun mod
penge, men i stigende grad og navnlig mod afgivelse af personoplys-
ninger eller andre oplysninger. Begrebet betaling bør derfor også om-
fatte situationer, hvor slutbrugeren udsættes for reklamer som betin-
gelse for at få adgang til en tjeneste, og situationer hvor tjenesteudby-
deren omsætter personoplysninger, som vedkommende har indsamlet,
i penge i overensstemmelse med forordning (EU) 2016/679.
3.4. Sikkerhed i net og tjenester
Region Syddanmark anfører, at med definitionen af sikkerhed i net og
tjenester udvides sikkerhedsområdet til – ud over tilgængelighed, for-
trolighed og integritet – også at omfatte autenticitet. Regionen finder,
at der kunne være god mening i, at teleudbydere skal stille infrastruk-
tur til rådighed, der generelt på nettet kan verificere brugeres autenti-
Sagsnr.: 2020/004886
Dok.nr.: 138990
Side 6 af 14
citet. Det vil dog være en meget stor ændring i forhold til, hvordan
internettet fungerer i dag, idet der vil være store krav til håndtering af
privatlivets fred og fortrolighed, herunder fortrolighed i forhold til brev-
hemmeligheden.
TI og IT-Branchen vurderer, at ændringen vil medføre, at teleoperatø-
rer i fremtiden eksempelvis skal rapportere til myndighederne, hvis
data og informationssystemer mv. ikke er, hvad de foregiver at være,
hvilket organisationerne finder rimeligt.
Med lovforslaget defineres sikkerhed i net og tjenester som net og tje-
nesters evne til på et givet fortrolighedsniveau at modstå handlinger,
der er til skade for tilgængeligheden, autenticiteten, integriteten eller
fortroligheden af disse net og tjenester, lagrede eller overførte eller
behandlede data eller de dermed forbundne tjenester, der tilbydes af
eller er tilgængelige via disse net eller tjenester.
Det indebærer, at sikkerhedskravene i loven fremadrettet også vil om-
fatte sikring af, at data og informationssystemer mv. er, hvad de fore-
giver at være, forstået som sikring af data og informationssystemers
ægthed eller originalitet. Ligeledes vil lovens underretningsforpligtelser
også kunne angå tilfælde, hvor ægtheden eller originaliteten af data og
informationssystemer mv. er påvirket eller risikerer at blive det.
Autenticiteten af net og tjenester vedrører således ikke verificering af
brugeres autenticitet.
3.5. Sikkerhedshændelse
TI og IT-Branchen støtter den foreslåede definition og støtter desuden,
at der ikke fokuseres på en potentiel, men en faktisk indvirkning på
sikkerheden. TI og IT-Branchen gør opmærksom på, at graden af den
faktiske negative påvirkning ikke kendes umiddelbart ved sikkerheds-
hændelsens begyndelse.
4. Bemyndigelser
DI Digital finder, at lovforslaget indeholder meget brede hjemler til se-
nere at fastlægge krav i bekendtgørelser. Såfremt myndighederne ikke
er parat til i loven at formulere kravene præcist allerede nu, ønsker
branchen ifølge DI Digital som minimum en afgrænsning af hjemlerne,
så alle kan se, hvilke grænser der gælder for de kommende bekendtgø-
relser.
Huawei finder, at væsentlige lovgivningsmæssige indgreb ikke bør im-
plementeres ved sekundær lovgivning i form af bekendtgørelser, da
Sagsnr.: 2020/004886
Dok.nr.: 138990
Side 7 af 14
bekendtgørelser ikke er underlagt den samme parlamentariske proces
som behandling af lovforslag i Folketinget med tilhørende offentlig hø-
ring. Huawei finder endvidere, at lovgivning via bekendtgørelser udgør
en udfordring for den generelle regulatoriske transparens og gennem-
skuelighed, da det er svært at overskue reguleringen i en samling af
sideordnede og delvist overlappende bekendtgørelser, der er forankret i
generelle mandater i den overordnede lovgivning. Huawei oplyser, at
virksomheden nøje følger implementeringen af EU’s telekodeks i hele
EU og kan konstatere, at størstedelen af medlemsstaterne har valgt at
implementere direktivet direkte ved lov. Huawei opfordrer til, at relate-
rede bekendtgørelser udstedes hurtigst muligt og senest den 21. de-
cember 2020.
Region Nordjylland ønsker teksten i lovforslaget præciseret, således at
relevante aktører ikke kan være i tvivl om omfatningsgraden af lov-
forslaget, da der ikke er nogen bekendtgørelser eller cirkulærer til at
understøtte definitionerne i lovforslaget.
Lov om net- og informationssikkerhed er en rammelov, der i dag er
udmøntet i fire bekendtgørelser. Af de fire bekendtgørelser indeholder
to bekendtgørelser bestemmelser, der implementerer rammedirektivet
og forsyningspligtdirektivet, der nu erstattes af EU’s telekodeks. Det
drejer sig om bekendtgørelse nr. 567 af 1. juni 2016 om informations-
sikkerhed og beredskab i net og tjenester og bekendtgørelse nr. 1256
af 27. november 2019 om oplysnings- og underretningspligter vedrø-
rende net- og informationssikkerhed.
Med lovforslaget justeres på baggrund af EU’s telekodeks visse af de
eksisterende rammer i loven, ligesom der tilføjes enkelte nye forpligtel-
ser, som Center for Cybersikkerhed bemyndiges til at udmønte nærme-
re. Lovforslaget viderefører således den nuværende lovs grundlæggen-
de struktur som rammelov. Det giver mulighed for, at de nærmere krav
kan tilpasses udviklingen i teknologi, best practices og trusselsbilledet.
Samtidig – og i denne sammenhæng mere afgørende – giver struktu-
ren den bedste mulighed for at tage højde for anbefalinger fra EU’s
Agentur for Cybersikkerhed (ENISA), der bl.a. har til opgave at fremme
medlemsstaternes samordning på området. Det forventes, at ENISA vil
udgive anbefalinger vedrørende bl.a. sikkerhedskrav og underretnings-
pligter i EU’s telekodeks i slutningen af 2020.
De bekendtgørelser, der skal udmønte lovforslaget, vil i overensstem-
melse med direktivets implementeringsfrist skulle udstedes med hen-
blik på ikrafttrædelse den 21. december 2020.
Sagsnr.: 2020/004886
Dok.nr.: 138990
Side 8 af 14
5. Forvaltningsretlige principper samt behandling af personop-
lysninger
Datatilsynet forudsætter, at enhver eventuel behandling af personop-
lysninger foranlediget af udkastet til lovforslag sker under iagttagelse
af reglerne i databeskyttelsesforordningen og databeskyttelsesloven.
Huawei opfordrer til, at der gives klar mulighed for at påklage CFCS’
afgørelser efter de nye regler til en højere instans, og at der generelt
sikres transparens i CFCS’ afgørelser.
Det bemærkes, at databeskyttelsesforordningen ikke finder anvendelse
for Center for Cybersikkerhed, idet forordningen ikke gælder for be-
handling af personoplysninger under udøvelse af aktiviteter, der falder
uden for EU-retten, jf. forordningens artikel 2, stk. 2, litra a. Dette føl-
ger også af § 3, stk. 2, i lov nr. 502 af 23. maj 2018 om supplerende
bestemmelser til forordning om beskyttelse af fysiske personer i for-
bindelse med behandling af personoplysninger og om fri udveksling af
sådanne oplysninger (databeskyttelsesloven), som fastslår, at loven og
databeskyttelsesforordningen ikke finder anvendelse på den behandling
af personoplysninger, som udføres for eller af politiets og forsvarets
efterretningstjenester.
Center for Cybersikkerheds behandling af personoplysninger er i stedet
reguleret i lov om Center for Cybersikkerhed (CFCS-loven), jf. lovbe-
kendtgørelse nr. 836 af 7. august 2019. I medfør af CFCS-loven gælder
en række centrale persondataretlige principper for Center for Cybersik-
kerheds behandling af personoplysninger, ligesom der er fastsat særli-
ge, skærpede regler for analyse, videregivelse og sletning af bestemte
kategorier af oplysninger, inklusiv personoplysninger.
Center for Cybersikkerheds afgørelser i medfør af net- og informations-
sikkerhedsloven kan påklages som led i almindelig administrativ rekurs.
Det ændrer lovforslaget ikke ved. Lovforslaget ændrer endvidere ikke
på, at Center for Cybersikkerhed i medfør af CFCS-loven i alle afgørel-
sessager konkret skal vurdere, om det er muligt at anvende forvalt-
ningslovens principper om partens aktindsigt, partshøring og begrun-
delse mv.
6. Minimumskrav til sikkerhed i net og tjenester samt anvendel-
se af internationale standarder
DI Digital opfordrer til, at lovforslaget henviser til, at minimumskrav i
videst muligt omfang skal basere sig på internationale standarder. Her-
ved vil implementeringen også være mere direktivnær. DI Digital hen-
viser til, at det fremgår af direktivets artikel 40, at procedurer og stan-
Sagsnr.: 2020/004886
Dok.nr.: 138990
Side 9 af 14
darder skal lægge sig op ad internationale standarder. Samtidig bør
den brede hjemmel afgrænses, så det fremgår, at der vil blive taget
højde for, at indgrebet skal være mindst muligt indgribende.
Huawei henviser til, at det fremgår af artikel 40, stk. 1, i EU’s teleko-
deks, at en medlemsstat skal træffe ”[…] passende og forholdsmæssige
tekniske og organisatoriske foranstaltninger for på passende vis at sty-
re risiciene for sikkerheden i net og tjenester”. Direktivets artikel 40,
stk. 5, uddyber henvisningen til tekniske og organisatoriske foranstalt-
ninger ved at specificere, at udgangspunktet for sådanne foranstaltnin-
ger ”[…] i videst muligt omfang baseres på europæiske og internationa-
le standarder”. Huawei anfører, at virksomheden er overbevist om, at
eventuelle risici adresseres bedst muligt ved at fastsætte kriterier, som
er målbare og verificerbare. Huawei opfordrer derfor til at tage euro-
pæiske og internationale standarder for sikkerhed i 5G i betragtning
ved udformning af lovgivningen, herunder lave specifikke henvisninger
til standarder såsom Network Equipment Security Assurance Scheme
og Security Assurance Specifications. Dermed sikres stabile rammer for
en ensartet og skræddersyet tilgang til sikkerhedsrevisioner samtidig
med, at strenge sikkerhedsstandarder afkræver et højt niveau af enga-
gement fra operatører og leverandører. Huawei henleder opmærksom-
heden på, at trusselsbilledet er i konstant forandring, og at en etable-
ring af eller henvisning til ”god skik” eller ”internationale standarder
eller krav” vil hjælpe leverandører med at overholde kravet om at kun-
ne identificere ”betydelige trusler”. ENISA opfordrer ligeledes til brugen
af en god skik-standard i identificeringen af trusler.
TI og IT-Branchen finder det rimeligt, at der stilles krav til kryptering
både på teleoperatørniveau og blandt nye typer af tjenesteudbydere. TI
og IT-Branchen anmoder dog om særlig forsigtighed og proportionalitet
i overvejelserne herom, da vidtgående (system)krav kan udgøre væ-
sentlige ekstraomkostninger for udbyderne. TI og IT-Branchen gør op-
mærksom på, at fremtidens mobile teknologier, herunder 5G, har kryp-
tering af data mellem mobilnetværkets radio access netværk og mobil
core-systemet indbygget som standard. TI og IT-Branchen oplyser i
øvrigt, at kryptering allerede er fuldt implementeret i risikostyringen
for danske teleudbydere, men har ikke kendskab til, hvorledes krypte-
ring anvendes for udbydere af NUIK-tjenester.
Region Nordjylland finder, at der mangler informationer om, hvilke mi-
nimumskrav til sikkerhed, der vil blive fastlagt af CFCS, og at der er
tale om en carte blanche til CFCS om, hvilke krav der vil blive stillet.
Lov om net- og informationssikkerhed har siden lovens ikrafttrædelse i
2015 indeholdt en bemyndigelse i lovens § 3, stk. 1, til at Center for
Cybersikkerhed inden for nærmere rammer kan fastsætte minimums-
Sagsnr.: 2020/004886
Dok.nr.: 138990
Side 10 af 14
krav til informationssikkerhed i net og tjenester. Bemyndigelsen er
udmøntet i bekendtgørelse nr. 567 af 1. juni 2016 om informationssik-
kerhed og beredskab i net og tjenester, og kravene er således velkend-
te for de danske teleudbydere, som er omfattet af loven i dag.
Med lovforslaget vil lovens § 3, stk. 1 – ligesom en række andre be-
stemmelser – fremadrettet også gælde for udbydere af NUIK-tjenester.
Derudover videreføres bestemmelsen med visse sproglige justeringer
som konsekvens af ændringer af lovens terminologi.
Det fremgår af bemærkningerne til den foreslåede bestemmelse, at
den nærmere udmøntning forudsættes at ske under hensyntagen til de
relevante fortolkningsbidrag i EU’s telekodeks. Det drejer sig navnlig
om betragtning 94, hvoraf det bl.a. følger, at de sikkerhedsforanstalt-
ninger, som udbyderne forpligtes til at træffe, bør tage hensyn til over-
holdelse af internationale standarder, samt artikel 40, stk. 1, om, at
det kan være relevant at anvende kryptering som foranstaltning til at
forhindre og minimere virkningen af sikkerhedshændelser. Det konsta-
teres i den forbindelse i bemærkningerne til bestemmelsen, at der i
vidt omfang er tale om foranstaltninger, som allerede i dag er omfattet
af bemyndigelsen i § 3, stk. 1.
Det bemærkes i øvrigt, at det ikke med bestemmelsen er hensigten, at
der skal stilles teknologispecifikke (system)krav til kryptering.
Forsvarsministeriet finder det ikke på nuværende tidspunkt proportio-
nalt at pålægge udbydere at anvende bestemte standarder. Der findes
således forskellige anerkendte internationale standarder, og det vil
kunne være ganske byrdefuldt for en virksomhed – der eventuelt er en
del af en større, international koncern – at blive pålagt at anvende en
bestemt standard fastlagt af myndighederne, herunder skifte fra én
standard (som er fælles for koncernen) til en anden.
7. Påbud om konkrete foranstaltninger
DI Digital, Huawei, Region Nordjylland, Region Sjælland, Region Syd-
danmark samt TI og IT-Branchen finder, at den foreslåede § 3, stk. 3,
er for bredt formuleret. Høringsparterne opfordrer til, at det nærmere
defineres, hvornår der er tale om en ”betydelig trussel”, og at det af-
grænses nærmere, hvilke konkrete foranstaltninger der kan påbydes
med hjemmel i bestemmelsen, herunder de nærmere regler, der vil
blive udstedt af CFCS.
DI Digital påpeger i den forbindelse, at påbudsmuligheden i sig selv er
et stort indgreb i virksomhedernes ret til selv at imødegå trusler, og at
krav fra CFCS kan være omkostningstunge og indgribende. DI Digital
Sagsnr.: 2020/004886
Dok.nr.: 138990
Side 11 af 14
opfordrer til, at man enten bliver meget mere klar på, hvad man vil
stille af materielle krav, eller at man alternativt fastsætter, at CFCS
skal tage vidtgående hensyn til proportionalitetsprincippet og således
stille krav om mindst mulige indgribende foranstaltninger.
Huawei finder, at der som minimum bør fastsættes en tærskel for,
hvornår en trussel kan kvalificeres som ”betydelig”, inden den resulte-
rer i et påbud fra CFCS.
Region Sjælland anfører, at regionen er stærkt bekymret for, om lov-
forslaget giver CFCS hjemmel til beføjelser og mandater, der i sidste
ende kan føre til indgriben i regionernes selvstændige myndighedsudø-
velse samt registreredes og borgernes rettigheder. Det er Region Sjæl-
lands opfattelse, at CFCS med lovforslaget vil få mulighed for, ved
identifikation af en betydelig trussel, at prioritere handlinger i regioner-
nes it-infrastruktur uden involvering af regionale prioriteringer, kompe-
tencer og indsigt. Det er ifølge regionen problematisk, hvis lovforslaget
giver hjemmel til, at cybersikkerhed fra centralt hold kan prioriteres
over patientsikkerheden. Region Sjælland finder det desuden bekym-
rende, at der lægges op til, at påbud skal ske uden retskendelse.
Region Nordjylland og Region Sjælland ser behov for at præcisere,
hvorledes et påbud tænkes ophævet, når trusselsbilledet ændrer sig.
TI og IT-Branchen finder, at domstolene bør afsige kendelse om på-
buddet, hvis foranstaltningerne indebærer begrænsninger i grundlæg-
gende rettigheder. TI og IT-Branchen er bekymrede over det upræcise
omfang af bestemmelsen og finder, at CFCS tillægges en næsten ube-
grænset mulighed for at kræve, at konkrete udbydere foretager poten-
tielt særdeles indgribende og omkostningstunge foranstaltninger.
Der foretages med bestemmelsen, som foreslås indsat som lovens § 3,
stk. 3, en direktivnær implementering af artikel 41, stk. 1, i EU’s tele-
kodeks. Ordlyden af bestemmelsen er således formuleret meget tæt op
ad direktivets krav. Det er beskrevet nærmere i bemærkningerne til
bestemmelsen, hvordan den forudsættes udmøntet.
En indskrænkning af bestemmelsens rammer vil således indebære en
risiko for, at direktivet ikke implementeres korrekt og tilstrækkeligt.
Forsvarsministeriet har dog på baggrund af høringssvarene tilføjet i
bemærkningerne til bestemmelsen, at det forudsættes, at de konkrete
foranstaltninger, som Center for Cybersikkerhed kan påbyde i medfør
af de nærmere regler, der udstedes herom, i videst muligt omfang vil
være baseret på anerkendte internationale standarder eller tilsvarende.
Sagsnr.: 2020/004886
Dok.nr.: 138990
Side 12 af 14
Det bemærkes endvidere, at påbud fra Center for Cybersikkerhed un-
der alle omstændigheder vil skulle være proportionale, og at påbud kun
kan opretholdes, så længe grundlaget for påbuddet fortsat er til stede.
Der vil ikke med den foreslåede bestemmelse være hjemmel til at gøre
indgreb i grundlæggende rettigheder i grundlovens forstand, og det
ville dermed være en markant nyskabelse, såfremt påbudsmuligheden
blev underlagt et krav om retskendelse. Det er således heller ikke til-
fældet, når myndighederne på eksempelvis fødevareområdet eller ar-
bejdsmiljøområdet giver påbud efter den relevante lovgivning om at
bringe forhold i orden. Der er med den foreslåede bestemmelse alene
tale om, at Center for Cybersikkerhed kan påbyde en udbyder at tage
de nødvendige skridt til at håndtere en sikkerhedshændelse eller en
betydelig trussel om en sikkerhedshændelse – hvilket udbyderen i for-
vejen har pligt til – såfremt udbyderen ikke gør dette i rette tid og af
egen drift.
8. Underretning om sikkerhedshændelser
TI og IT-Branchen finder det relevant, at udbydere på det danske mar-
ked pålægges at informere Center for Cybersikkerhed om sikkerheds-
hændelser, og organisationerne anerkender, at de foreslåede ændrin-
ger af lovens § 4, nr. 3, er udtryk for direktivimplementering. TI finder
dog, at tilføjelsen af ”uden unødigt ophold” er en signifikant stramning
af bestemmelsen i forhold til i dag, hvor fristen er 14 dage. TI opfor-
drer til, at 14-dages fristen fastholdes ved udmøntning af bestemmel-
sen i bekendtgørelsen. TI og IT-Branchen er desuden særligt bekymret
over tilføjelsen af en ny § 4, nr. 4, om at udbydere generelt i alle til-
fælde skal underrette offentligheden ved sikkerhedshændelser, der har
haft væsentlig indvirkning på driften af net eller tjenester. TI og IT-
Branchen er bekymret over at skulle informere offentligheden om sik-
kerhedshændelser, der måtte være forsvarligt håndteret, idet der vil
være risiko for, at dette kan skabe unødig utryghed. Derudover er TI
og IT-Branchen bekymret over, at offentliggørelse af information om
sikkerhedstrusler kan anspore hackere til at gå målrettet mod en ud-
byder eller en sektor, der har været ramt. TI og IT-Branchen finder, at
udbyderen bør partshøres med mindre det af tidsmæssige grunde er
umuligt.
Med lovforslaget videreføres lovens eksisterende § 4, stk. 3 og 4, med
visse justeringer.
Forsvarsministeriet anerkender, at der med tilføjelsen af ”uden unødigt
ophold” til lovens § 4, stk. 3, sker en skærpelse af fristen for udbyder-
nes underretning af Center for Cybersikkerhed om sikkerhedshændel-
ser. Tilføjelsen følger dog direkte af artikel 40, stk. 2, i EU’s telekodeks,
Sagsnr.: 2020/004886
Dok.nr.: 138990
Side 13 af 14
og den nuværende 14-dages frist vurderes dermed ikke at kunne op-
retholdes.
Der er ikke med lovens § 4, stk. 4, tale om – hverken i dag eller efter
lovforslaget – at udbydere i alle tilfælde skal underrette offentligheden
ved sikkerhedshændelser, der har haft væsentlig indvirkning på driften
af net eller tjenester. I medfør af bestemmelsen kan Center for Cyber-
sikkerhed efter en konkret vurdering i det enkelte tilfælde påbyde en
udbyder at underrette offentligheden. Det vil fortsat være en forudsæt-
ning, at det godtgøres, at det vil være i offentlighedens interesse, at
sikkerhedshændelsen offentliggøres, jf. bemærkningerne til bestem-
melsen.
9. Informering af brugere om beskyttelsesforanstaltninger mv.
Region Nordjylland anfører, at det i praksis vil være yderst vanskeligt
at informere alle brugere på eksempelvis gæstenetværk på hospitaler
om en potentiel sikkerhedshændelse, og at der må gives plads til indi-
viduelle vurderinger af impactet for de relevante netværk. Regionen
finder, at det må anses for værende på grænsen af gældende lovgiv-
ning at logge så mange detaljer om enheder på eksempelvis gæstenet-
værk, at en bruger kan entydigt identificeres. Regionen anser derfor
kravet for urimeligt.
TI og IT-Branchen anfører, at organisationerne har svært ved at gen-
nemskue, hvorledes teleudbydere skal kunne informere en specifik
(gruppe af) forbrugere, der f.eks. anvender sikkerhedsmæssigt kom-
promitterbart udstyr, f.eks. en ukurant WiFi-router, når denne type
information ikke er kendt af teleudbyderen. TI og IT-Branchen aner-
kender dog også intentionen med forslaget. TI og IT-Branchen finder
det usikkert, om der i medfør af bestemmelsen skal etableres nye
funktioner i virksomheden og opfordrer til, at det præciseres, hvorledes
det forventes, at udbyderne kan designe et system, der kan håndtere
kravet. En eventuel løsning bør være omkostningseffektiv og proporti-
onal i forhold til den ønskede effekt.
Den foreslåede bestemmelse indebærer, at de omfattede udbydere skal
informere deres potentielt berørte brugere om mulige beskyttelsesfor-
anstaltninger eller afhjælpende foranstaltninger, som brugerne kan
træffe i tilfælde af en særlig og betydelig trussel om en sikkerheds-
hændelse i udbyderens net og tjenester. I visse tilfælde skal udbyderne
endvidere informere brugerne om selve truslen.
Det er således en forudsætning, at der er tale om en særlig og betyde-
lig trussel, og at brugerne selv kan foretage sig noget for at beskytte
sig mod eller afhjælpe truslen om en sikkerhedshændelse.
Sagsnr.: 2020/004886
Dok.nr.: 138990
Side 14 af 14
Det er ikke hensigten med bestemmelsen, at udbyderne skal indsamle
eller opbevare yderligere oplysninger om deres brugere til opfyldelse af
forpligtelsen. Ligeledes indebærer bestemmelsen ikke, at udbyderne
skal udvikle nye systemer specifikt til understøttelse af forpligtelsen.
10. Øvrige bemærkninger
Region Nordjylland anser det for usikkert, om offentlige instanser vil
være omfattet af definitionen af udbydere af NUIK-tjenester, hvorfor
regionen ikke mener, at det er korrekt, at implementering kan ske un-
der eksisterende bevillingsmæssige rammer.
TI og IT-Branchen har forståelse for og støtter, at den eksisterende §
3, stk. 3, om at traditionelle teleudbydere kan pålægges forpligtelser
ved hensyn af væsentlig samfundsmæssig betydning, videreføres som
§ 3, stk. 4, med de mindre, foreslåede sproglige præciseringer. TI og
IT-Branchen påpeger desuden, at omkostningerne for erhvervslivet ved
lovforslaget er usikre og virker særdeles underestimerede henset til
usikkerhederne om lovforslagets rækkevidde.
Der er ved vurderingen af omkostningerne for erhvervslivet taget ud-
gangspunkt i erfaringerne med net- og informationssikkerhedsloven fra
2015, herunder omkostningerne forbundet med loven. Udgifterne som
følge af lovforslaget for de traditionelle teleudbydere, som er omfattet
af loven i dag, vurderes på den baggrund at have et meget begrænset
omfang. Det skyldes, at der med lovforslaget kun foretages ganske få
ændringer af eksisterende krav og ganske få tilføjelser af nye krav,
som kan indebære merudgifter for disse udbydere. Som det fremgår af
Forsvarsministeriets bemærkninger til høringssvarene ovenfor, er de
nye forpligtelser i medfør af lovforslaget i en række tilfælde af væsent-
lig mindre omfang og rækkevidde end det umiddelbart antages af hø-
ringsparterne.
For udbydere af NUIK-tjenester, der med lovforslaget som noget nyt
bliver omfattet af reguleringen, forventes det – også i lyset af erfarin-
gerne med de samme krav, der allerede i dag gælder for de traditionel-
le teleudbydere – at omkostningerne vil være beskedne.
Det er i lovforslaget præciseret, at i det omfang stat, kommuner og
regioner udbyder offentligt tilgængelige elektroniske kommunikations-
net og -tjenester eller NUIK-tjenester, vil de krav, der efter lovforslaget
stilles til udbydere af disse net og tjenester, også omfatte stat, kom-
muner og regioner. Det vil kunne medføre økonomiske og administrati-
ve konsekvenser i samme omfang som for private udbydere.


Tak for henvendelsen.
Advokatrådet har besluttet ikke at afgive høringssvar.
Med venlig hilsen
Henriette Fagerberg Erichsen
Sekretær
Forsvarsudvalget 2020-21
L 33 Bilag 1
Offentligt
Kære Natasha Maj Christoffersen,
Mange tak for tilsendte materiale vedr. høringssvar 2020/004886.
Efter gennemlæsning af tilsendte materiale, har Borch Teknik A/S ikke yderligere
kommenaterer eller bemærkninger.
Venlig hilsen / Best regards
______________________
Klaus Aare Bang
CEO
Borch Teknik A/S
kab@borchteknik.dk
+45 25 23 38 97
J.nr. 2020-11-0439
Dok.nr. 248593
Sagsbehandler
Sara Thorning Hansen
Datatilsynet
Carl Jacobsens Vej 35
2500 Valby
T 3319 3200
dt@datatilsynet.dk
datatilsynet.dk
CVR 11883729
Forsvarsministeriet
Holmens Kanal 42
1060 København K
Sendt til: fmn@fmn.dk
Cc: nmc@fmn.dk og nls@fmn.dk
Udkast til forslag til lov om ændring af lov om net og
informationssikkerhed (Implementering af direktivet om oprettelse af
europæisk kodeks for elektronisk kommunikation for så vidt angår
sikkerhed i net og tjenester)
Ved brev af 30. juli 2020 har Forsvarsministeriet anmodet om Datatilsynets eventuelle be-
mærkninger til ovennævnte udkast.
Udkastet giver umiddelbart ikke Datatilsynet anledning til bemærkninger, idet det dog forud-
sættes, at enhver eventuel behandling af personoplysninger foranlediget af udkastet sker un-
der iagttagelse af reglerne i databeskyttelsesforordningen og databeskyttelsesloven.
Med venlig hilsen
Sara Hansen
25. august 2020
Sagsnr.: DI-2018-15718
Til:
Forsvarsministeriet
fmn@fmn.dk med kopi til
nmc@fmn.dk,nls@fmn.dk,
nbb@fmn.dk , eba@fmn.dk
Den 27. august 2020
MOKR
Referencer: 2020/004886 og 2020/005122
Høringssvar vedr. informationssikkerhed i teleloven
1. Generelle bemærkninger
DI takker for muligheden for at afgive høringssvar til
høringerne om:
- Mobilvarselssystemet
- Øvrige ændringer i teleloven for så vidt
informationssikkerhed.
Dette høringssvar besvarer begge høringer.
Det skal nævnes generelt, at DI støtter en direktiv-nær
implementering, hvor man forsøger at komme tættest muligt
på kravene i de andre EU-lande. Udstyr, rutiner, kompetencer
og processer bliver i høj grad standardiserede på
europæisk/internationalt plan både for leverandører og
operatører og derfor giver det ikke mening, at man skal møde
27 forskellige tolkninger i medlemslandene. DI noterer sig og
støtter, at dette princip er indskrevet i de almindelige
bemærkninger. Der er dog tvivl om, hvorvidt dette også
praktiseres i de enkelte formuleringer.
Således er der flere bestemmelser med meget brede hjemler til
senere at fastlægge krav i bekendtgørelser. Hvis ikke
myndighederne er parat til i loven at formulere kravene
præcist allerede nu, ønsker branchen som minimum en
afgrænsning af hjemlerne, så alle kan se hvilke grænser, der
gælder for de kommende bekendtgørelser.
Videre bør der indføres som princip, at man lægger sig op af
standarder og definitioner, der er etablereret på internationalt
niveau. Det fremgår af direktivets art 40, at procedurer og
standarder skal lægge sig op af internationale standarder.
2
Endelig kan DI konstatere, at der hersker en betydelig
uklarhed på markedet om, hvilke sikkerhedsretningslinjer
teleselskaberne skal forholde sig til i forbindelse med
investeringer i nye net. DI skal derfor understrege behovet for,
at der fra regeringens side sikres klarhed om reglerne og ikke
mindst udmeldingerne på området.
2. Konkrete bemærkninger
§3 stk.1
Jf. ovenfor bør der være en henvisning til, at minimumskrav i
videst mulige omfang skal basere sig på internationale
standarder. Herved vil implementeringen også være mere
direktivnær. Samtidig bør den brede hjemmel afgrænses, så det
fremgår, at der vil blive taget højde for at indgrebet skal være
mindst muligt indgribende.
§ 3, stk. 3
CFCS giver i dette stykke sig selv et meget bredt mandat til at
stille krav om, at udbydere skal træffe konkrete
foranstaltninger. Det er i sig selv et stort indgreb i
virksomhedernes ret til selv at imødegå trusler, og dertil kan
krav fra CFCS være omkostningstunge og indgribende. Jf.
overfor er dette et oplagt eksempel på, hvor man i
hjemmelsbestemmelsen til en kommende bekendtgørelse enten
bliver meget mere klar på, hvad man vil stille af materielle
krav, og hvor vidtgående disse kan være, eller at man
alternativt afgrænser mandatet. Det kan være i form af, at
CFCS skal tage vidtgående hensyn til
proportionalitetsprincippet og således stille krav om mindst
mulige indgribende foranstaltninger for at imødegå en konkret
trussel eller lignende.
Mobilvarslingssystemet
DI vurderer, at et nyt mobilvarslingssystem kan bidrage med
ekstra sikkerhed og en bedre håndtering af kriser og ulykker og
således er et fornuftigt initiativ. Samtidig foreslås det i
lovforslaget, at staten afholder omkostningerne ved systemet.
Det støtter DI, alt den stund, at teleudbyderne ikke har nogen
kommerciel nytte af varslingssystemet – det tjener alene et
samfundsformål.
Når det kommercielt licenserede mobilnet anvendes i
katastrofesituationer og til beredskabskommunikation, bør
netværksoperatøren ikke kunne gøres ansvarlig for følgerne af
eventuelt svigtende kritisk kommunikation, idet tabene i en
krisesituation kan være uforholdsmæssigt store.
DI stiller sig naturligvis til rådighed for at uddybe
ovenstående.
Med venlig hilsen
3
Morten Kristiansen, Chefkonsulent, DI
Forsvarsministeriet
Holmens Kanal 9
1060 Copenhagen C
Denmark
Sendt til: fmn@fmn.dk og kopi til nmc@fmn.dk og nls@fmn.dk
Reference nummer: 2020/004886
27. august 2020
HØRINGSSVAR PÅ OFFENTLIG HØRING VEDRØRENDE UDKAST TIL
FORSLAG TIL LOV OM ÆNDRING AF LOV OM NET OG
INFORMATIONSSIKKERHED (IMPLEMENTERING AF DIREKTIVET OM
OPRETTELSE AF EN EUROPÆISK KODEKS FOR ELEKTRONISK
KOMMUNIKATION FOR SÅ VIDT ANGÅR SIKKERHED I NET OG TJENESTER)
Den 30. juli 2020 opfordrede det danske Forsvarsministerium (”Ministeriet”) til at
indsende høringssvar til offentlig høring om lov nr. 1567 af 2015 om ændring af lov om net og
informationssikkerhed (”Lovudkastet”), hvilket består i en delvis implementering af
Direktivet om oprettelse af en Europæisk Kodeks for Elektronisk Kommunikation navnlig
hvad angår sikkerhed i net og tjenester (”EECC” eller ”Direktivet”)
Huawei fremsætter hermed sine bemærkninger til Lovudkastet.
Implementering af lovgivning ved bekendtgørelse
Ministeriet anfører, at implementeringen er af ”teknisk karakter” i form af direkte
implementering af konkrete bestemmelser i EECC. Der er dog også flere steder mandat til
CFCS til at uddybe reguleringen yderligere. Huawei anser det på den baggrund for relevant
at fremhæve, at væsentlige lovgivningsmæssige indgreb ikke bør implementeres ved
sekundær lovgivning i form af bekendtgørelser. Dette er tilfældet, da bekendtgørelser ikke er
underlagt den samme parlamentariske proces om behandling af lovforslag i Folketinget med
tilhørende offentlig høring som er tilfældet for en lov. Lovgivning via bekendtgørelser udgør
derudover en udfordring for den generelle regulatoriske transparens og gennemskuelighed,
da det simpelthen er svært at overskue reguleringen i en samling af sideordnede og delvist
overlappende bekendtgørelser, der er forankret i generelle mandater i den overordnede
lovgivning.
Huawei følger nøje implementeringen af EECC i hele EU og kan konstatere, at størstedelen
af medlemsstaterne da også har valgt at implementere Direktivet direkte ved lov.
Huawei anser introduktion af ny lovgivning som en mulighed for at øge kvaliteten og
forudsigeligheden i lovgivningen og er positivt indstillet over den nye lovgivning. På denne
baggrund opfordrer Huawei til, at Ministeriet afstår fra at indføre materielle regulatoriske
krav i bekendtgørelser fremfor regulering ved lov og i øvrigt gennemfører implementeringen
af EECC så tekstnært som muligt.
Artikel 40 (1) i EECC foreskriver, at en medlemsstat skal træffe: ”[..]passende og
forholdsmæssige tekniske og organisatoriske foranstaltninger for på passende vis at styre
risiciene for sikkerheden i net og tjenester.” Artikel 40 (5) i EECC uddyber henvisningen til
tekniske og organisatoriske foranstaltninger ved at specificere, at udgangspunktet for
sådanne foranstaltninger ”[..]i videst muligt omfang baseres på europæiske og
internationale standarder”
Det er Huaweis mål at 5G netværket i Danmark og EU udstyres med den nyeste sikkerheds-
og cyber modstandsdygtighed. Huawei er samtidig overbevist om, at eventuelle risici
adresseres bedst muligt ved at fastsætte kriterier som er målbare og verificerbare.
Huawei opfordrer derfor Ministeriet til at tage europæiske og internationale standarder for
sikkerhed i 5G i betragtning i sin udformning af lovgivningen. På den baggrund bør
Ministeriet sikre, at lovgivningen indeholder specifikke henvisninger til standarder, såsom
NESAS (Network Equipment Security Assurance Scheme) og (Security Assurance
Specifications), navnlig på grund af deres uafhængige revisioner og evalueringer. Anvendelse
af de generelle sikkerhedsstandarder sikrer stabile rammer for en ensartet og skræddersyet
tilgang til sikkerhedsrevisioner. Samtidig afkræver strenge sikkerhedsstandarder et højt
niveau af engagement fra operatører og leverandører.
ENISAs Technical Guideline on Security Measures under the EECC 1 anfører følgende
anbefaling: “Competent authorities should take into account that some (especially the large)
providers may operate in several EU countries, and that it would be cumbersome for these
providers to adopt different standards in different countries. In this respect it could be
useful to allow providers to use international standards which are widely used across the
EU and in this way reduce compliance costs for these providers.”
Den generelle anvendelighed af NESAS ses ved, at flere globale leverandører nu er
certificeret af uafhængige sikkerhedsrevisorer under NESAS. Huawei ser dette som et
tydeligt udtryk for, at markedet generelt opfatter NESAS som en integreret del af fremtidens
sikkerhedspolitik for leverandørhåndtering.
I den forbindelse vil Huawei henlede Ministeriets opmærksomhed på, at trusselsbilledet er i
konstant forandring, og at en etablering af eller henvisning til ”god skik” eller ”internationale
standarder eller krav”, vil hjælpe leverandører med at overholde kravet om at kunne
identificere ”betydelige trusler”. Udkastet til de seneste ENISA Technical Guideline on
Security Measures under the EECC opfordrer ligeledes til brugen af en god skik-standard i
identificeringen af trusler: ”[..] Competent authorities should take into account that best
practices in network and information security are rapidly changing, because information
technology changes rapidly and because the capability of attackers changes rapidly.”2
Konkrete bemærkninger
Retssikkerhed og forudsigelighed i lovgivningen
Lovudkastet indfører en ny bestemmelse i § 3, stk. 3 der lyder som følger:
Stk. 3. Center for Cybersikkerhed kan påbyde udbydere af offentligt
tilgængelige elektroniske kommunikationsnet og -tjenester og udbydere
af NUIK-tjenester at træffe konkrete foranstaltninger, der er nødvendige
for at afhjælpe en sikkerhedshændelse eller hindre en sådan i at
forekomme, når en betydelig trussel er identificeret. Centeret
fastsætter nærmere regler herom”[vores fremhævelse]
Forarbejderne beskriver, at den nye § 3, stk. 3 tilføjes for at implementere EECC artikel 41
(1). Med henblik på at fremme retssikkerhed og forudsigelighed i lovgivningen opfordrer
Huawei Ministeriet til yderligere at afgrænse og kvalificere CFCS’s mandat.
1 Version 2.2, 08 juli 2020, s. 31 linje 670-674
2 Version 2.2, 08 juli 2020, s. 31 linje 681-683
For at opnå dette, anbefaler Huawei, at det defineres klart i Lovudkastet og dets forarbejder
hvad en ”betydelig trussel” indebærer, og, at der gives en mere detaljeret redegørelse for,
hvilke ”konkrete foranstaltninger” lovgiver forestiller sig.
Der bør som minimum fastsættes en tærskel for, hvornår en trussel kan kvalificeres som
”betydelig”, inden den resulterer i et påbud fra CFCS.
I den forbindelse mener Huawei, at det er relevant at understrege hovedformålene i EECC
om; at fremme forudsigeligheden i tilsynet med teleoperatører samt at fremme konkurrence
og tilskynde investeringer3. I EECC anføres det til dette formål, at: ”Der bør tilskyndes til
både reelle investeringer og konkurrence, som går hånd i hånd, således at økonomisk
vækst, innovation og forbrugernes valgmuligheder øges. 4 ” samt, at de nationale
myndigheder – for at forfølge disse mål bør ”[..]fremme forudsigelighed i reguleringen ved
at sikre en ensartet tilsynspraksis[..]5”
Huawei opfordrer til, at lovgivningen rammer den rette balance mellem rimelige 5G
udrulningspriser og sund konkurrence på markedet og samtidig fremmer investeringer samt
langsigtet innovation for at opnå målene i EECC. Den danske implementering bør inddrage
hensynene bag EECC, artikel 41 (5). Huawei foreslår derfor, at følgende tilføjes til den nye §
3, stk. 3:
Stk. 3. Center for Cybersikkerhed kan påbyde udbydere af offentligt
tilgængelige elektroniske kommunikationsnet og -tjenester og udbydere
af NUIK-tjenester at træffe konkrete foranstaltninger, der er nødvendige
for at afhjælpe en sikkerhedshændelse eller hindre en sådan i at
forekomme, når en betydelig trussel er identificeret. [I relevant
omfang skal der træffes foranstaltninger, herunder kryptering,
for at forhindre og begrænse sikkerhedshændelsers påvirkning
af slutbrugere samt andre elektroniske
kommunikationsnetværk -og tjenester, herunder nummer
uafhængige interpersonelle kommunikationstjenester. De
specifikke foranstaltninger bør i videst muligt omfang være
baseret på europæiske og internationale standarder] Centeret
fastsætter nærmere regler og anbefalinger herom baseret på
god skik”[vores fremhævelse]
Tidsperspektiv for udstedelsen af bekendtgørelser
Huawei bemærker, at medlemsstaterne har indtil den 21. december 2020 til at implementere
EECC, jf. Direktivets artikel 104 (1).
I den forbindelse ønsker Huawei at understrege, at retssikkerhed og transparens i
lovgivningen er afgørende, ikke alene for Huawei, men for branchen som helhed. I den
henseende udgør den forholdsvis åbne henvisning til CFCS videre regulering en usikkerhed,
der ikke stemmer overens med de overordnede hensyn.
Huawei opfordrer derfor endvidere Ministeriet til at sikre, at relaterede bekendtgørelser
udstedes hurtigst muligt og senest den 21. december 2020.
Overordnet vil Huawei opfordre Ministeriet til at, afklare hvordan sådanne nærmere regler
vil blive fastlagt; i) ved udstedelsen af en ny bekendtgørelse som føjer til de eksisterende
3 Jf.. Artikel 3 (2) EECC
4 Jf. Artikel 3 (4) (a) EECC
5 Jf. Article 3 (4) (a) EECC
bekendtgørelser (Bekendtgørelse nr. 567 eller Bekendtgørelse nr. 1256), ii) ved at
introducere nye bekendtgørelser til fuld erstatning af de nævnte eksisterende
bekendtgørelser, eller iii) ved administrativ afgørelse.
Huawei har tillid til, at nye bekendtgørelser vil være genstand for offentlig høring og vil sætte
pris på muligheden for at give sit besyv med ved et høringssvar i den anledning.
Derudover opfordrer Huawei til, at der gives klar mulighed for at påklage CFCS’s afgørelser
under de nye regler til en højere instans, samt at der generelt sikres transparens i CFCS’
afgørelser.
***
Huawei står til rådighed for Ministeriets for spørgsmål eller kommentarer.
Med venlig hilsen,
JiangLichao
Adm. Direktør
Huawei Technologies Denmark Aps
Forsvarsministeriet
Holmens Kanal 42
1060 København K
Danmark
fmn@fmn.dk
kopi til nmc@fmn.dk og nls@fmn.dk
WILDERS PLADS 8K
1403 KØBENHAVN K
TELEFON 3269 8888
MOBIL 9132 5775
LGH@HUMANRIGHTS.DK
MENNESKERET.DK
DOK. NR. 20/01891-2
11. AUGUST 2020
H Ø R I N G S S V A R V E D R . I M P L E M E N T E R I N G A F
D I R E K T I V E T O M O P R E T T E L S E A F E N E U R O P Æ I S K
K O D E K S F O R E L E K T R O N I S K K O M M U N I K A T I O N
F O R S Å V I D T A N G Å R S I K K E R H E D I N E T O G
T J E N E S T E R
Forsvarsministeriet har ved e-mail af 30. juli 2020 anmodet om Institut
for Menneskerettigheders eventuelle bemærkninger til et udkast til
forslag til lov om ændring af lov om net- og informationssikkerhed
(Implementering af direktivet om oprettelse af en europæisk kodeks for
elektronisk kommunikation for så vidt angår sikkerhed i net og
tjenester)
Instituttet har ingen bemærkninger.
Der henvises til Forsvarsministeriets sagsnummer 2020/004886.
Med venlig hilsen
Lise Garkier Hendriksen
CHEFKONSULENT
Københavns Byret
Forsvarsministeriet
Holmens Kanal 9
1060 København K
Præsidenten
Domhuset, Nytorv 25
1450 København K.
Tlf. 99 68 70 15
CVR21 659509
adrninistration.kbh(adomstol.dk
J.nr. 9099.2020.37
Den 3. august 2020
Ved en mail af 30. juli 2020 har Forsvarsministeriet anmodet om eventuelle bemærkninger til
høring over udkast til forslag til lov om ændring af lov om net- og informationssikkerhed (Im
plementering af direktivet om oprettelse af en europæisk kodeks for elektronisk kommunikati
on for så vidt angår sikkerhed i net og tjenester).
Jeg skal i den anledning på vegne af byretspræsidenternes oplyse, at byretterne ikke ønsker
at udtale sig om udkastet.
Der henvises til Deres j.nr. 2020-004886.
Med
Sø rei
Vestre Landsret
Præsidenten
Forsvarsrninistenet
Holmens Kanal 9
1060 København K
Sendt pr. mail til frnnZZfmn.dk og nmc(ifinn.dk og nlsfmn.dk
J.nr. 40A-VL-50-20
Den 03/08-2020
Forsvarsministeriet har ved brev af 30. juli 2020 (sagsnr. 2020/004886) anmodet om
eventuelle bemærkninger til høring over udkast til forslag til lov om ændring af lov om net-
og inforrnationssikkerhed (Implementering afdirektivet om oprettelse af en europæisk kodeks
for elektronisk kommunikation for så vidt angår sikkerhed i net og tjenester).
I den anledning skal jeg meddele, at landsretten ikke ønsker at udtale sig om udkastet.
Med venlig hilsen
Helle B
Asmildklostervej 21 8800 Viborg Tlf. 99 68 80 00 www.vestrelandsret.dk
Østre Landsret
Præsidenten
Bredgade 59, 1260 København K. Tlf. 99 68 62 00 Mail: praesident@oestrelandsret.dk Hjemmeside: www.oestrelandsret.dk
Den 07-08-20
J.nr. 40A-ØL-51-20
Init: sdy
Forsvarsministeriet
Holmens Kanal 9
1060 København K
Sendt pr. mail til fmn@fmn.dk, nmc@fmn.dk og nls@fmn.dk
Forsvarsministeriet har ved brev af 30. juli 2020 (Sagsnr. 2020/004886) anmodet om eventuelle
bemærkninger til høring over udkast til forslag til lov om ændring af lov om net- og informati-
onssikkerhed (Implementering af direktivet om oprettelse af en europæisk kodeks for elektronisk
kommunikation for så vidt angår sikkerhed i net og tjenester).
I den anledning skal jeg meddele, at landsretten ikke ønsker at udtale sig om udkastet.
Regionshuset
Viborg
Regionssekretariatet
Skottenborg 26
Postboks 21
DK-8800 Viborg
Tel. +45 7841 0000
kontakt@rm.dk
www.rm.dk
Dato 27-08-2020
Sagsbehandler Malene Nyman
malene.nyman@stab.rm.dk
Tel. Sagsnr. 1-16-4-1-20
Side 1
Forsvarsministeriet
Holmens Kanal 9
1060 København K
Høringssvar fra Region Sjælland, Region Syddanmark og
Region Nordjylland vedr. udkast til forslag til lov om ændring
af lov om net- og informationssikkerhed
Region Sjælland
Region Sjælland bakker helt generelt op om nationale initiativer, der
bidrager til at styrke samfundets – og dermed regionernes –
muligheder for at imødegå cyberangreb mod kommunikationsnet- og
tjenester og ønsker naturligvis at bidrage til denne udvikling og
samarbejdet herom.
Region Sjælland er dog stærkt bekymret for, om lovforslaget er for
indgribende og giver Center for Cybersikkerhed (CFCS) hjemmel til
beføjelser og mandater, der i sidste ende kan føre til indgriben i
regionernes selvstændige myndighedsudøvelse samt registrerede og
borgernes rettigheder. Det er Region Sjællands opfattelse, at CFCS
med lovforslaget vil få mulighed for, ved identifikation af en betydelig
trussel, at prioritere handlinger i regionernes it-infrastruktur uden
involvering af regionale prioriteringer, kompetencer og indsigt.
Set i et regionalt perspektiv er det problematisk, hvis udformningen
af lovforslaget giver hjemmel til, at cybersikkerhed centralt fra kan
prioriteres over patientsikkerheden, da regionens telemedicinske
løsninger vil være omfattet af loven. Derudover er Region Sjælland
bekymret for, at det ikke af lovforslaget er klart, hvilke konsekvenser
et påbud om ”at træffe konkrete foranstaltninger, der er nødvendige
for at afhjælpe en sikkerhedshændelse eller hindre en sådan i at
forekomme”, jf. lovens § 3, stk. vil medføre, fx i relation til
tilgængelighed, ydeevne og økonomiske omkostninger forbundet
herved.
Region Sjælland finder det bekymrende, at der i loven lægges op til,
at et påbud skal ske uden retskendelse. Region Sjælland savner
derudover en nærmere afklaring af hjemlen for påbuddet, herunder
en præcisering af ”en betydelig trussel”. Videre er der behov for at
Side 2
præcisere, hvorledes et påbud tænkes ophævet, når trusselsbilledet
ændrer sig.
Region Syddanmark
Målgruppe
Den, der med et kommercielt formål stiller produkter, elektroniske
kommunikationsnet eller -tjenester til rådighed for andre. Begrebet
omfatter ikke udbydere af NUIK-tjenester.
NUIK
Der ændres en række formuleringer, bl.a. for at implementere EU-
forordningen vedrørende sikkerhed i net og tjenester.
Der er i alle tilfælde, hvor der er henvisning til udbydere tilføjet en ny
type udbydere (NUIK), og de defineres således:
Udbyder af NUIK-tjeneste: Udbyder af en nummeruafhængig
interpersonel kommunikationstjeneste i form af en tjeneste, som
normalt ydes mod betaling, og som muliggør direkte interpersonel og
interaktiv informationsudveksling via elektroniske kommunikationsnet
mellem et afgrænset antal personer, hvor de personer, der indleder
eller deltager i kommunikationen, bestemmer, hvem modtageren
eller modtagerne skal være. Omfattet er ikke tjenester, der blot
muliggør interpersonel og interaktiv kommunikation som en mindre
støttefunktion, der er tæt knyttet til en anden tjeneste. Tjenesten
etablerer ikke forbindelse til offentligt tildelte nummerressourcer, dvs.
et eller flere numre i nationale eller internationale nummerplaner,
eller muliggør ikke kommunikation med et eller flere numre i
nationale eller internationale nummerplaner.
Det må være nye services, der udbydes af en ny type udbydere, og
denne type udbydere har ikke ansvar for eller kan påvirke stabiliteten
eller opbygningen af de eksisterende udbyderes tjenester.
Det kunne være virksomheder, der sælger ydelser, der understøtter
Tetra (SINE), IoT, LoRaWan eller tillægsydelser, som skal bruge
allerede eksisterende netværk, der udbydes af andre udbydere.
Det er os ikke helt klart, hvilke udbydere der er tænkt på, ej heller
typen af kommunikationsform og type, der er tænkt på. Det er ej
heller nævnt, i hvilke situationer NUIK benyttes. Der er stor forskel
på kravene til NUIK udbyderne, hvis det er SINE kommunikation eller
i stedet ikke kritiskkommunikation ydelse, der udbydes.
Autenticitet
Der introduceres endvidere autenticitet som en parameter for
netværksydelser:
Loven anvender således i dag begrebet informationssikkerhed, hvilket
forstås som sikring af tilgængelighed, fortrolighed og integritet i net
og tjenester. Med definitionen af sikkerhed i net og tjenester udvides
Side 3
sikkerhedsområdet til – ud over tilgængelighed, fortrolighed og
integritet – også at omfatte autenticitet. Der henvises herom til
bemærkningerne til lovforslagets § 1, nr. 4.
Udbydernes ansvar har tidligere været at sikre at der skal være
forsvarsmekanismer, der skal kunne forhindre tab af tilgængelighed,
integritet og fortrolighed for den kommunikation der ”flyder” i
nettene. Der er tale om en ny definition af ”sikkerhed i net og
tjenester”, der skal implementere artikel 2 i EU’s telekodeks. Det
kunne være en udvidelse af begrebet, der er tilsagt af EU’s
implementering af NSIS standarden.
Der kunne være god mening i, at teleudbydere skal understøtte
standarden og stille infrastruktur til rådighed, der generelt på nettet
kan verificere brugeres autenticitet. Det vil dog være en meget stor
ændring i forhold til, hvordan Internettet fungerer i dag, idet der vil
være store krav til håndtering af privatlivets fred of fortrolighed –
herunder fortrolighed i henhold til brevhemmeligheden.
Beredskab
Der står i forslaget, at mobilnettet skal kunne bruges til
beredskabsmeldinger. Det kan det ikke i dag, både pga. at tjenesten
ikke er til rådighed, men også at der ikke er tilstrækkelig resiliens og
klassifikation for mobilnettet til at kunne understøtte situationer, hvor
beredskabsmeldinger er nødvendige. Ønsket om, at denne ydelse
skal kunne varetages af mobilnettet, er en følge af, at det gamle
system med sirener ikke dækker hele landet, og det er sikkert heller
ikke tidssvarende, og der er ikke planer om at udbygge det
eksisterende system.
Udbygning af redundans og resiliens samt udvikling af en digital
varslingstjeneste, hvor mobilnettet udgør kernen, udgør en ikke
ubetydelig udgift, idet mobilnettet ikke er designet til at kunne
understøtte beredskabssituationer. De eneste radiomaster, der er
klassificerede til dette, er Cibicoms master der benyttes til at udsende
tv og radio signaler samt bl.a. 450MHz digital netværk via firmaet
Net1.
Herom skrives der i forslaget:
Den foreslåede bestemmelse i § 5 a har til formål at sikre, at
mobiloperatørerne træffer alle nødvendige foranstaltninger for at
undgå, at udstyr og systemer, der anvendes i forbindelse med
transmission af offentlige advarsler, afbrydes. Mobiloperatørerne vil i
forlængelse af eksisterende forpligtelser til at sikre en robust
teleinfrastruktur i medfør af lovens § 3, stk. 1, og § 5, stk. 1, skulle
planlægge og sørge for opretholdelsen af uafbrudt transmission af
offentlige advarsler, herunder i relation til udstyr og systemer, der
anvendes til transmission af offentlige advarsler, bl.a. tage stilling til
Side 4
fremskaffelse af det nødvendige reserveudstyr, og sikring af
redundans og nødstrømsforsyning.
Der er derfor tale om en kvalitetsmæssig opgradering, der
understøtter den eksisterende praksis, hvor mobilnettet i dag bruges
til alle former for kommunikation, både af borgere og af
redningspersonel i bl.a. ambulancer. Det er kun få regioner, der ikke
bruger data services fra det generelle mobilnet. I tilfælde af bortfald
af de generelle kablede telefonitjenester, er Region Syddanmarks
kontrolcentral (AMK) afhængig af en backup procedure, der er
benytter mobilnettet fra flere udbydere.
At varsling skal funderes på en højteknologisk løsning, gør os som
land sårbare idet, der ved et sammenfald af sikkerhedshændelser,
kan være risiko for at teknikken går ned, og at varsling via
mobilnettet ikke får den ønskede udbredelse. Det vil give rigtig god
mening at foretage et teknologisk tilbagespring, der gør at vi i disse
situationer ikke bliver afhængig af smartphones og app-teknologi,
som ikke har en stabilitet og kvalitet der tilsiger det kan bruges når
det virkelig gælder.
CFCS
Kan i beredskabssituationer påbyde udbydere at foretage nærmere
angivne sikkerhedsforanstaltninger:
… kan Center for Cybersikkerhed i beredskabssituationer og i andre
ekstraordinære situationer påbyde erhvervsmæssige udbydere uden
unødigt ophold at iværksætte nærmere angivne
sikkerhedsforanstaltninger i tilfælde af en hændelse eller en trussel,
der i betydeligt omfang påvirker eller kan påvirke udbuddet af net
eller tjenester negativt.
samt:
Det fremgår af den gældende § 3, stk. 1, at Center for
Cybersikkerhed fastsætter regler om minimumskrav til
informationssikkerhed for udbydere af offentligt tilgængelige net og
tjenester. Reglerne kan omfatte krav om passende tekniske,
processuelle og organisatoriske foranstaltninger med henblik på
risikostyring i forhold til informationssikkerhed i net og tjenester og
opretholdelse af et passende informationssikkerhedsniveau, herunder
krav om, at sådanne foranstaltninger gennemføres på baggrund af
dokumenterede og ledelsesforankre-de processer.
Bestemmelsen implementerer i dag rammedirektivets artikel 13 a,
stk. 1 og 2.
Det følger af den foreslåede nyaffattelse af § 3, stk. 1, at Center for
Cybersikkerhed fastsætter regler om minimumskrav til sikkerhed i net
og tjenester for udbydere af offentligt tilgængelige elektroniske
kommunikationsnet og -tjenester og udbydere af NUIK-tjenester.
Side 5
Reglerne kan omfatte krav om passende tekniske, processuelle og
organisatoriske foranstaltninger med henblik på risikostyring i forhold
til sikkerhed i net og tjenester og opretholdelse af et passende
sikkerhedsniveau, herunder krav om, at sådanne foranstaltninger
gennemføres på baggrund af dokumenterede og ledelsesforankrede
processer.
Region Nordjylland
Fra Region Nordjyllands side hilser vi enhver passende tilpasning af
lovgivningen velkommen. Imidlertid finder vi, at det udsendte udkast
skaber mere forvirring om omfattelsesniveauet end gavnligt er. Der
er efter vores opfattelse tale om omfattende udvidelse af beføjelser
for Center for Cybersikkerhed (CFCS) i en sådan grad, at det er svært
som aktør at vide hvad man bliver omfattet af, både i umiddelbar,
men også fjernere fremtid.
Definitioner:
§ 2, definition 3:
Definitionen i udkastet er meget bred, og det er Region Nordjyllands
opfattelse, at denne kan omfatte alle borgerrettede løsninger, som
regionen/regionerne måtte udvikle og/eller stille til rådighed for
borgerne.
§ 2, definition 6:
Region Nordjylland finder det uklart hvornår en løsning falder ind
under definition. Især formuleringen ”…, som normalt ydes mod
betaling… ” giver anledning til usikkerhed ift. Hvilke borgerrettede
løsninger, der måtte være omfattet.
§ 3, stk. 1:
Den skrevne formulering giver ingen informationer om hvilke
minimumskrav til sikkerhed, der vil blive fastlagt af CFCS. Der er
reelt tale om carte blanche til CFCS om hvilke krav, der vil blive
stillet, og formuleringen ”Reglerne kan omfatte krav om passende
tekniske, processuelle og organisatoriske foranstaltninger…” giver
ikke regionerne nogen klarhed over hvordan eventuelle krav fra CFCS
vil blive fastlagt eller effektueret.
§3, stk. 3:
Det er meget uklart hvad kriterierne for ”en betydelig trussel” er. Er
dette en vurdering fra CFCS alene, eller enighed blandt ledende
aktører inden for sikkerhedsbranchen? Hvordan er aktører sikret ift.
at fjerne de af CFCS definerede konkrete foranstaltninger, når en
”betydelig trussel” ikke længere er til stede?
§4, nr. 5:
Side 6
Det vil i praksis være yderst vanskeligt at informere alle brugere på
eksempelvis gæstenetværk på hospitaler om en potentiel
sikkerhedshændelse. Der må gives plads til individuelle vurderinger af
impactet for de relevante netværk. Det må derudover anses for
værende på grænsen af gældende lovgivning at logge så mange
detaljer om enheder på eksempelvis gæstenetværk, at en bruger kan
entydigt identificeres.
Kommentarer til bemærkninger til lovforslaget:
Bemærkning 3.2.3 (side 11):
Det er særdeles vanskeligt for regionerne at gennemskue i hvor høj
grad vi omfattes af dette forslag til lovændringen. Det er desuden
ikke muligt at vurdere omfanget af krav, der kan blive stillet, hvad
enten regionerne fremadrettet er omfattet af § 2, definition 3 eller
§2, definition 6.
Bemærkning 3.3.3 (Side 12):
Det er vanskeligt at udarbejde et regulært høringssvar, idet
uklarheden omkring hvordan loven praktisk skal udmøntes er så stor,
at det er svært at vurdere, hvad der udfærdiges et høringssvar på.
Bemærkning 3.4.3 (Side 14):
Information til brugere om mulige beskyttelsesforanstaltninger
kræver at det er muligt at identificere brugerne. Indsamling af data
for at muliggøre dette, eksempelvis brugere der har været forbundet
til et gæstenetværk på et sygehus, vil være af et sådant omfang, at
det med stor sandsynlighed vil være i strid med eksisterende
lovgivning omkring logning. Kravet må derfor anses som værende
urimeligt.
Bemærkning 4 (Side 16):
I dette afsnit omtales kun telesektoren specifikt, hvorfor det må
antages, at lovgivningen kun er gældende for denne, men den
nævnte definition på NUIK-tjenester skaber uklarhed om hvorvidt
offentlige instanser fremadrettet vil være omfattet også. Det er derfor
Region Nordjyllands opfattelse, at en vurdering af at implementering
kan ske under eksisterende bevillingsmæssige rammer ikke er
korrekt, da ingen kender konsekvenserne ved implementering af
lovforslaget.
Bemærkning 5.2 (Side 17):
Placeringen af dette punkt og den nævnte vurdering fra Klima-,
Energi- og Forsyningsministeriet vedr. at der vil være 10-20 danske
internetbaserede kommunikationstjenester, der vil kunne blive
omfattet af definitionen indikerer, at regionerne som offentlig
myndighed ikke vil være opfattet som udbyder af NUIK-tjenester.
Imidlertid er definitionen på NUIK-tjenester så vag, at regionernes
borgerrettede løsninger kan opfattes som værende omfattet. Det er
Side 7
derfor Region Nordjyllands holdning, at det er nødvendigt at
præcisere dette yderligere
Bemærkning 10 (Side 19):
Vurderingen vedrørende positive/negative konsekvenser forudsætter
efter Region Nordjyllands opfattelse, at regionerne ikke er omfattet af
lovgivningen. Såfremt regionerne er omfattet, eksempelvis gennem
borgerrettede løsninger, er der risiko for at den nævnte vurdering
ikke vil være korrekt, idet omfang og/eller konsekvenser af
implementering af forslaget ikke er klarlagt.
Afsluttende kommentarer
Som region er Region Nordjylland bekendt med, at der påhviler
regionen et særligt ansvar for at beskytte data, herunder
personoplysninger. Det er dog ikke muligt ud fra den konkrete høring
at vurdere i hvilket omfang regionerne er omfattet af lovgivningen,
eller hvilke konsekvenser der vil være, såfremt regionerne er
omfattet af lovgivningen.
Antagelsen om at løsningerne kan implementeres indenfor
eksisterende bevillinger er en yderst risikabel antagelse, idet
aktørerne ikke har, og ikke kan forvente at få, overblik over hvilke
krav de kan blive mødt med fra udøvende myndighed.
Det er naturligt, at lovgivning ikke kan blive fuldt detaljeret omkring
alle forhold vedr. implementering, men idet der ikke er nogle
bekendtgørelser eller cirkulærer til at understøtte definitionerne i
lovforslaget, ønskes teksten i lovforslaget præciseret, således at
relevante aktører ikke kan være i tvivl om omfatningsgraden af
lovforslaget.
Med venlig hilsen
Region Sjælland, Region Syddanmark og Region Nordjylland
Forsvarsministeriet har den 30. juli 2020 sendt udkast til forslag til lov om ændring af lov om net- og
informationssikkerhed i høring.
Ministeriernes forpligtelse til at høre Rigsrevisionen er fastlagt af rigsrevisorloven, §§ 7 og 10
(Lovbekendtgørelse nr. 101 af 19/01/2012) og angår revisions- og/eller regnskabsforhold, der kan
have betydning for Rigsrevisionens opgaver.
Vi har gennemgået lovforslaget og kan konstatere, at det ikke omhandler revisions- eller
regnskabsforhold i staten eller andre offentlige virksomheder, der revideres af Rigsrevisionen.
Vi har derfor ikke behandlet henvendelsen yderligere.
Med venlig hilsen
Mette E. Matthiasen
Ledelsessekretariatet
Landgreven 4
DK-1301 København K
Tlf. +45 33 92 84 00
Dir. +45 33 92 85 73
mem@rigsrevisionen.dk
www.rigsrevisionen.dk
1/8
Forsvarsministeriet
Holmens Kanal 9
1060 København K
Sendt pr. mail til fmn@fmn.dk,
nmc@fmn.dk, nls@fmn.dk,
nbb@fmn.dk, eba@fmn.dk
Sagsnummer 2020/004886 &
Sagsnummer 2020/005122
København, 26. august 2020
Høring over forslag til lov om ændring af lov om net- og informationssikkerhed (implementering
af direktivet om oprettelse af en europæisk kodeks for elektronisk kommunikation for så vidt an-
går sikkerhed i net og tjenester) samt høring over udkast til forslag til lov om ændring af lov om
elektroniske kommunikationsnet og -tjenester (etablering af mobilbaseret varslingssystem)
Generelle bemærkninger
Teleindustrien og IT-Branchen (herefter høringsparterne) har noteret sig Forsvarsministeriets offentlige hø-
ring over lovforslaget om ændring af lov om net- og informationssikkerhed (NIS-loven) samt høringen over
udkast til forslag til lov om ændring af lov om elektroniske kommunikationsnet og -tjenester (Teleloven) fsva.
etablering af mobilbaseret varslingssystem) og fremsender herunder sine bemærkninger.
Da begge lovforslag, som er sendt i høring, omfatter delelementer af etableringen af mobilbaseret varslings-
system, fremkommer høringsparterne med ét samlet høringssvar på begge disse høringer.
Lovforslagene implementerer dele af direktiv 2018/1972/EU om oprettelse af en europæisk kodeks for elek-
tronisk kommunikation (herefter direktivet). Indledningsvist vil høringsparterne gerne kvittere positivt for
den relativt tekstnære direktivimplementering.
Høringsparterne kvitterer positivt for, at udbydere af nummeruafhængige interpersonelle kommunikations-
tjenester til forskel fra tidligere nu bliver genstand for en række forpligtelser i relation til sikkerheden i så-
danne tjenester. Samlet er der dog behov for en ensretning af definitioner med de tilsvarende definitioner i
Teleloven.
2/8
Høringsparterne sætter pris på Forsvarsministeriets udkast til ændring af Teleloven fsva. etablering af mobil-
baseret varslingssystem. Det gælder særligt beslutningen om, at et mobilt varslingssystem baseres på cell
broadcast-teknologi, samt at Forsvarsministeriet dækker udgifterne til etableringen og driften af et sådant
system.
Høringsparterne sætter desuden spørgsmålstegn ved den nye foreslåede forpligtelse om, at udbydere skal
informere brugere om mulige beskyttelsesforanstaltninger i tilfælde af en særlig og betydelig trussel om sik-
kerhedshændelse. Høringsparterne har svært ved at gennemskue, hvorledes teleudbydere skal kunne infor-
mere en specifik (gruppe af) forbrugere, der fx anvender sikkerhedsmæssigt kompromitterbart brugerudstyr,
og mener, at det bør præciseres, hvordan der tages beslutning om eventuel informering af brugere om po-
tentielle trusler eller sikkerhedshændelser og mulige beskyttelsesforanstaltninger konkret udmøntes i prak-
sis. Den konkrete udmøntning vil være afgørende for den faktiske mulighed for efterlevelse og for de reelle
omkostninger af løsningen. Løsning bør være omkostningseffektiv og proportional i forhold til den ønskede
effekt.
Høringsparterne fremsender herunder sine specifikke bemærkninger til lovforslagene, hvor talmarkeringen
følger nummerering af foreslåede lovændringer i NIS-loven henholdsvis Teleloven.
Specifikke bemærkninger til ændring af NIS-loven
Nr. 1-3 om ændring af lovens titel
Høringsparterne har forståelse for den foreslåede ændring af lovens titel, da denne er som konsekvens af
tilsvarende begrebsændring i teledirektivet. I lyset af ændring af lovens definitioner bør anvendelsen af be-
greberne “net og tjenester” imidlertid ikke anvendes i overskriften, da de rejser tvivl om lovens anvendelses-
område. Høringsparterne opfordrer til, at telelovens begreber ”elektroniske kommunikationsnet og -tjene-
ster” anvendes i stedet, jf. også nedenfor. Høringsparterne undres dog over ændringen til det meget gene-
relle begreb ”sikkerhed”, da der ikke synes at være en konkret begrundelse herfor. Høringsparterne finder,
at ”informationssikkerhed” er et bredere begreb.
Nr. 4 om ensretning af definitioner med telelovens definitioner
Høringsparterne kvitterer for, at der med ændringen søges en ensretning af definitionerne med de tilsva-
rende definitioner i Teleloven. Der er dog i enkelte af definitionerne, hvor Forsvarsministeriet lægger op til
visse nuanceforskelle i ordvalget. Høringsparterne opfodrer generelt til, at definitionerne affattes fuldstæn-
digt ordret med tilsvarende definitioner i Teleloven, således at der ikke opstår fortolkningstvivl om definitio-
nerne i de to love skal forstås forskelligt.
Høringsparterne skal i øvrigt opfordre til, at definitionerne “elektroniske kommunikations net og -tjenester"
anvendes konsekvent gennem hele loven i stedet for “net- og tjenester”. Eksempelvis fremgår “net og -tje-
nester” fortsat af ændringen til § 2 stk. 1, nr. 8.
Nr. 4 om ny definition af udbyder af nummeruafhængig interpersonel kommunikationstjeneste jf. § 2, nr. 6
Høringsparterne kvitterer umiddelbart positivt for den foreslåede definition i medfør af § 2, nr. 6, af udbyder
af nummeruafhængig interpersonel kommunikationstjeneste (i lovforslaget udbydere af NUIK-tjenester). Hø-
ringsparterne mener, at denne definition bør være identisk med samme definition som foreslået i § 2, nr. 20
i Lov om Elektroniske kommunikations net og -tjenester (Teleloven), hvilket tillige fremgår som hensigten i
lovbemærkningernes side 8 g 23, således at der til enhver tid sikres en ensartet forståelse af begreberne.
Dette kan bør gøres ved henvisning til definitionen i Teleloven.
3/8
Høringsparterne gør desuden opmærksom på, at begrebet ”en nummeruafhængig interpersonel kommuni-
kationstjeneste” ikke forkortes i Teleloven. Således kunne der med fordel skabes mere ensartethed og juri-
disk klarhed ved at behandle samme begreb på samme måde. Høringsparterne anbefaler at skrive begrebet
fuldt ud gennemgående i loven.
Endvidere mener høringsparterne, at udbydere af nummeruafhængige interpersonelle kommunikationstje-
nester, der opretter forbindelse til offentligt tildelte nummerressourcer, tillige bør være omfattet af definiti-
onen. Sådanne tjenester er allerede omfattet af definitionen om en ”elektronisk kommunikationstjeneste”,
jf. Teleloven, da der er tale om en tjeneste, der helt eller delvis består i elektronisk overføring af kommuni-
kation i form af lyd, billeder, tekst eller kombinationer heraf ved hjælp af radio- eller telekommunikations-
teknik mellem nettermineringspunkter. Høringsparterne ønsker derfor dette entydigt afklaret i lovens be-
mærkninger.
Høringsparterne finder det desuden uklart, hvorledes flere af branchens value-added-tjenester vil blive om-
fattet af definitionen. Det være sig fremtidens interaktive TV-produkter, hvor kommunikation mellem TV-
brugere eller kundeservice muliggøres som en støttefunktion. Der kunne også være tale om e-mail-tjenester
tilknyttet slutbrugeres bredbåndsabonnement. Såfremt sådanne value-added tjenester menes omfattet, bør
det fremgå tydeligt af lovens bemærkninger. Høringsparterne gør tillige opmærksom på, at det er væsentligt
at sikre et ’level playing field’ i forhold til andre udbydere af fx e-mail-konti, der – såfremt ovenstående bør
være omfattet – tillige underlægges samme krav og forpligtelser.
Høringsparterne mener desuden, at det i lovens bemærkninger bør specificeres, hvad der menes med ”som
der normalt ydes mod betaling”, som både fremgår direkte af bestemmelsen og af lovbemærkningerne på
side 24. Det bør i lovens bemærkninger afklares, hvorvidt der alene er tale om en tjeneste, der normalt ydes
mod monetær betaling, eller om betalingen også kan udgøre adgang til brugerens data. Ovenfornævnte tje-
nester, interaktive tv-pakker og e-mail-tjenester, er eksempelvis ikke tjenester, som kunden betaler mone-
tært for, men er en value-added tjeneste i fx bredbåndsabonnementet.
Nr. 4 om ny definition af sikkerhed i net og tjenester jf. § 2, nr. 7
Høringsparterne noterer sig, at ”autenticiteten” nu også er indbefattet i definitionen af ”sikkerhed i net og
tjenester” jf. § 2, nr. 7, som teledirektivets artikel 2, nr. 21, foreskriver, værende i tillæg til tilgængeligheden,
integriteten og fortroligheden af elektroniske kommunikations net og -tjenester. Høringsparterne henfører
til, at ”autenticiteten” i lovbemærkningernes side 24 nærmere defineres som, ”at data og informationssyste-
mer mv. er, hvad de foregiver at være. Begrebet anses således at handle om ægthed og originalitet”.
Høringsparterne vurderer, at ændringen vil medføre, at teleoperatører i fremtiden fx skal rapportere til myn-
dighederne, hvis data og informationssystemer mv. således ikke er, hvad de foregiver at være.
Et eksempel herpå kunne i praksis være, hvis en ondsindet aktør implementerede et delelement i en opera-
tørs netværk, som operatøren ikke umiddelbart havde kendskab til. Derved ville en given kunde tilgå opera-
tørens systemer, som ikke nødvendigvis er, hvad de foregiver at være, nemlig operatørens fuldt kontrolle-
rede udstyr og systemer. Dette ville i så fald skulle rapporteres til myndighederne, når hændelsen bliver kendt
af operatøren.
Hvis ovenstående eksempel er korrekt forstået, finder høringsparterne det rimeligt, at teleoperatørerne bli-
ver genstand for en sådan forpligtelse.
Nr. 4 om ny definition af sikkerhedshændelse jf. § 2, nr. 8
Høringsparterne støtter den foreslåede definition af en sikkerhedshændelse og støtter desuden, at der ikke
fokuseres på en potentiel, men en faktisk, indvirkning på sikkerheden. Høringsparterne gør dog opmærksom
4/8
på, at graden af den ”faktiske negative påvirkning” ikke kendes umiddelbart ved sikkerhedshændelsens be-
gyndelse.
Nr. 6-9 om minimumskrav til informationssikkerhed for udbydere jf. § 3
Høringsparterne støtter den foreslåede ændring af § 3, stk. 1 og 3, om inkludering af nummeruafhængige
interpersonelle kommunikationstjenester med samme forbehold som anført ovenfor ved punkt 4. Det er her
væsentligt at sikre en level playing field blandt elektroniske kommunikationstjenester, der i stigende grad
konkurrerer med hinanden.
I den nye foreslåede § 3, stk. 3, anvendes begrebet ”betydelig trussel” om en sikkerhedshændelse, der kan
lede til påbud fra myndighederne om at træffe nødvendige foranstaltninger, hvis en sådan identificeres. Hø-
ringsparterne finder det hensigtsmæssigt, at begrebet specificeres i lovens bemærkningerne. Høringsparterne
finder det ligeledes hensigtsmæssigt, at det specificeres, hvilke typer påbud man påtænker at anvende, samt
hvilke konsekvenser disse påbud kan have for operatøren.
Som nævnt ovenfor kendes graden af den faktiske negative påvirkning af en sikkerhedshændelse, og dermed
tillige den faktiske negative påvirkning af en betydelig trussel om en sikkerhedshændelse, først senere i for-
løbet. Derfor kan det være vanskeligt konkret af vurdere den faktiske påvirkning af en betydelig trussel. Hø-
ringsparterne finder i øvrigt, at Domstolene bør afsige kendelse om påbuddet, hvis disse foranstaltninger
indebærer begrænsninger i de grundlæggende rettigheder.
Selvom vi forstår og anerkender hensynet med og baggrunden for den foreslåede bestemmelse, herunder
dens ophav i artikel 41 i teledirektivet, er vi bekymrede over det upræcise omfang af bestemmelsens række-
vidde i forhold til den kompetence, der tillægges CFCS. Omfanget af de konkrete foranstaltninger, CFCS kan
pålægge de enkelte udbydere at foretage, er kun i meget begrænset omfang specificeret i lovforslaget og kan
med den foreslåede ordlyd af bemærkningerne potentielt tolkes meget bredt.
Det fremgår således af bemærkningerne, at ”det vil afhænge af sikkerhedshændelsens karakter, hvilke foran-
staltninger der er nødvendige for at afhjælpe denne”, og at en udbyder kan blive pålagt at sikre, ”at leverancer
af hardware, firmware eller software, der kan udgøre en sårbarhed i den pågældende udbyders net eller tje-
neste, skal undersøges for sårbarheder, samt at foretage logisk og fysisk adgangskontrol til nærmere angivne
systemer eller udstyr og sikre sporbarhed heraf.”
Dermed tillægges CFCS en i praksis næsten ubegrænset mulighed for at kræve, at konkrete udbydere foreta-
ger potentielt særdeles indgribende og omkostningstunge foranstaltninger. Høringsparterne skal kraftigt op-
fordre til, at denne bestemmelse indsnævres, og at det i langt højere grad præciseres, hvor vidtrækkende
kompetencer CFCS får med denne bestemmelse.
Høringsparterne har forståelse for og støtter, at den foreslåede § 3, stk. 4, om at traditionelle teleudbydere
kan pålægges forpligtelser ved hensyn af væsentlig samfundsmæssig betydning, fortsætter som hidtil med
de mindre, foreslåede sproglige præciseringer.
I lovens bemærkninger på side 10 fremgår et ønske, med henvisning til teledirektivet, om at fremme krypte-
ring, som ikke umiddelbart er en del af det eksisterende lovgrundlag i dag, med mindre det anskues som en
del af den interne risikostyringsproces i medfør af lovens § 3, stk. 1. Høringsparterne anerkender dog også,
at denne bestemmelse stammer fra teledirektivets artikel 40, stk. 1.
For danske teleudbydere er kryptering i risikostyringen, fx af management styring af infrastrukturen, allerede
fuldt implementeret, hvorfor høringsparterne ikke umiddelbart kan se, hvorledes yderligere fremhævelse af
kryptering kan/bør ske i Danmark. Høringsparterne har dog ikke kendskab til, hvorledes kryptering anvendes
5/8
for udbydere af nummeruafhængige interpersonelle kommunikationstjenester. På den baggrund finder hø-
ringsparterne det rimeligt, at der stilles krav til kryptering både på teleoperatørniveau og blandt nye typer af
tjenesteudbydere. Endelig anmoder høringsparterne om særlig forsigtighed og proportionalitet i overvejel-
serne herom, da vidtgående (system-)krav herom kan udgøre væsentlige ekstraomkostninger for udbyderne.
Endelig ønsker høringsparterne at gøre opmærksom på, at fremtidens mobile teknologier, herunder 5G, har
kryptering af data mellem mobilnetværkets radio access netværk og mobil core-systemet indbygget som
standard.
I lovens bemærkninger på side 10, fremgår det desuden af udbydere af nummeruafhængige interpersonelle
kommunikationstjenester kan have egen teknisk infrastruktur. Høringsparterne gør i den anledning opmærk-
som på, at denne type infrastruktur ikke alene omhandler ”forbindelser til internetudbydernes net, som kan
blive omfattet sikkerhedskrav” jf. lovbemærkningernes side 10, men også andre typer af infrastrukturejer-
skab og drift af fx store datacentre, som bør tages højde for i lovforslaget og dets bemærkninger.
Nr. 11-14 om oplysnings- og underretningspligter for udbydere jf. § 4
Høringsparterne finder det relevant, at udbydere på det danske marked pålægges at informere CfCS om sik-
kerhedshændelser og anerkender, at den foreslåede ændring i § 4, nr. 3, om såvel tilføjelsen af udbydere af
nummeruafhængige interpersonelle kommunikationstjenester samt tilføjelsen af ”uden unødigt ophold” er
en implementering af teledirektivets artikel 40, stk. 2. TI finder dog, at tilføjelsen af ”uden unødigt ophold”
er en signifikant stramning af bestemmelsen i forhold til i dag, hvor fristen er 14 dage. TI skal opfordre til, at
denne frist fastholdes i den konkrete udmøntning i bekendtgørelsen.
Høringsparterne finder tilføjelsen af ny nr. 4 i § 4 særligt bekymrende, om at udbydere generelt i alle tilfælde
skal underrette offentligheden ved sikkerhedshændelser, der har haft væsentlig indvirkning på driften af net
eller tjenester.
Høringsparterne er bekymret over udsigten til i medfør af den foreslåede § 4, stk. 4, at skulle informere of-
fentligheden som sådan om sikkerhedshændelser, der i øvrigt måtte være forsvarligt håndteret. Der vil være
stor risiko for, at en generel udmelding til offentligheden om en afsluttet trussel kunne skabe unødig utryg-
hed.
Samtidig bør det overvejes nøje, hvilke risici der løbes, ved at der kommer information om sikkerhedstrusler
ud i offentligheden. Høringsparterne er bekymret for, at hvis der er offentlighed om en trussel (uanset om
denne anses for at være afsluttet), kan anspore hackere til at gå målrettet mod en udbyder eller en sektor,
der har været ramt.
Høringsparterne skal i stedet foreslå, at bestemmelsen ændres således, at udbyderne i stedet forpligtes til at
informere konkrete berørte kunder om sikkerhedshændelsen og eventuelt om, hvilke forholdsregler de kon-
kret berørte kunder kan tage i den forbindelse, eller alternativt blødgøres med tilføjelse af ”hvor det findes
relevant”.
Høringsparterne sætter imidlertid spørgsmålstegn ved den nye foreslåede bestemmelse i § 4, stk. 5, om at
udbydere skal informere brugere om mulige beskyttelsesforanstaltninger i tilfælde af en særlig og betydelig
trussel om sikkerhedshændelse. Høringsparterne har således svært ved at gennemskue, hvorledes teleudby-
dere skal kunne informere en specifik (gruppe af) forbrugere, der fx anvender sikkerhedsmæssigt kompro-
mitterbart brugerudstyr (CPE), fx en ukurant WiFi-router, når denne type information ikke er kendt af tele-
udbyderen. Høringsparterne anerkender dog også, at teleudbyderne har en interesse i at sikre et så sikkert
netværk, som muligt, hvorfor intentionen med forslaget giver god mening.
6/8
Usikkerheden omkring udmøntningen af kravene i medfør af § 4, nr. 4, indebærer, at det for visse udbydere
i branchen er usikkert, om der skal etableres nye funktioner i virksomheden til at håndtere sådanne nye krav.
Det er således nærliggende, at det vil have yderligere omkostningsmæssige konsekvenser for sådanne udby-
dere at opfylde kravene.
Af bemærkningerne til lovforslaget fremgår det derudover, at "Som i dag indebærer dette, at udbyderne efter
påbud skal underrette offentligheden, eller at CFCS kan foretage underretning af offentligheden, hvis det
godtgøres, at dette er i offentlighedens interesse". Det kan have stor skadegørende effekt på en udbyder,
hvis det påbydes en udbyder at melde ud til brugere og offentligheden om mulige trusler eller hvis der af
CFCS meldes offentligt ud om mulige trusler. Dette gør sig særligt gældende, når selve hjemmelsgrundlaget
for at udstede påbud vedrørende sikkerhedstrusler er uklart. Derfor bør det i loven og bemærkningerne fast-
lægges under hvilke omstændigheder denne ret til at meddele påbud og egen offentliggørelse kan udnyttes,
herunder at udbyderen får mulighed for at blive partshørt, medmindre det af tidsmæssige grunde er umuligt.
Endelig bør det derfor præciseres, hvordan der tages beslutning om eventuel informering af brugere om
potentielle trusler eller sikkerhedshændelser og mulige beskyttelsesforanstaltninger konkret udmøntes i
praksis.
Høringsparterne finder, at den konkrete udmøntning af bestemmelsen i en bekendtgørelse vil være afgø-
rende for den faktiske mulighed for efterlevelse og for de reelle omkostninger af løsningen. Høringsparterne
mener, at den løsning, som tænkes implementeret i Danmark, bør være omkostningseffektiv og proportional
i forhold til den ønskede effekt. Som eksempel kunne en samlet informationsportal om kompromitterbart
brugerudstyr, som bliver bekendt for teleudbyderen, gøres tilgængeligt for offentligheden og udbyderens
kunder på en samlet internetside. Der er mange eksempler på, at dette ikke i praksis er muligt, da udbyderne
ikke har de nødvendige processer og data til at sikre effektiv, praksis udmøntning af en sådan løsning. Hø-
ringsparterne finder således, at det som minimum tydeliggøres i lovbemærkningerne, hvorledes myndighe-
derne forventer, at udbydere kan designe et system, som kan håndtere dette, og samtidig beskrive de væ-
sentlige omkostninger, der eventuelt vil være forbundet med et sådant system.
Andre bemærkninger
Høringsparterne har ingen indholdsmæssige bemærkninger til lovforslagets punkter 17-27.
Høringsparterne anser desuden, at de i lovbemærkningerne anførte økonomiske konsekvenser for erhvervs-
livet virker særdeles underestimerede særligt henset til lovforslagets mange usikkerheder. Lovforslaget læg-
ger op til, både direkte og indirekte gennem efterfølgende udmøntning i bekendtgørelser, at flere nye syste-
mer skal designes, indkøbes og implementeres hos udbyderne. Derudover bidrager usikkerheden om kravene
til beskyttelsesforanstaltninger og kryptering tillige til øget usikkerhed om omkostningerne. Når det endnu
ikke er fuldt ud belyst, hvilke foranstaltninger og lignende loven og efterfølgende bekendtgørelser vil med-
føre, er det ikke muligt for høringsparterne at vurdere omfanget af de økonomiske konsekvenser for de en-
kelte selskaber. Samtidig må det forventes, at når udbydere af nummeruafhængige interpersonelle kommu-
nikationstjenester indbefattes en række nye krav, vil det medføre øgede omkostninger for erhvervslivet.
7/8
Specifikke bemærkninger til etablering af mobilbaseret varslingssystem jf. NIS-lovens § 5 a og Telelovens
§§ 61 a og 81
Generelt
Høringsparterne støtter Forsvarsministeriets forslag til etablering af mobilbaseret varslingssystem jf. NIS-lo-
vens § 5 a og Telelovens §§ 61 a og 81. I særdeleshed beslutningen om, at et mobilt varslingssystem baseres
på cell broadcast-teknologi, samt at Forsvarsministeriet afholder omkostningerne ved etablering og drift af
et sådant system.
Nr. 1 om etablering af mobilbaseret varslingssystem jf. Teleloven § 61 a
Høringsparterne ser positivt på implementeringen af teledirektivets artikel 108, 2. pkt., om et offentligt mo-
bilbaseret varslingssystem, der kan udsende offentlige advarsler om overhængende eller truede nødsituati-
oner og katastrofer. En forpligtelse til at indføre et sådant system er dog ikke uproblematisk, da mobilselska-
berne ikke på nuværende tidspunkt råder over et sådant, og ikke selv har incitament til at indføre systemer,
der ikke understøtter driften af selskabernes netværk og forretning. Høringsparterne deler Forsvarsministe-
riets vurdering af etableringsomkostninger på ca. 140 mio. kr. og årlige driftsomkostningerne på 10 mio. kr.
For at undgå unødige tunge økonomiske byrder på erhvervslivet, sætter høringsparterne stor pris på, som
det indgår i lovforslaget om ændring af Teleloven, at staten afholder udgifterne forbundet med etablering og
drift af det mobilbaserede offentlige varslingssystem. Høringsparterne støtter tillige, at staten også vil af-
holde dokumenterede udgifter forbundet med krav i medfør af den foreslåede bestemmelse, som ikke alle-
rede følger af de gældende §§ 3 og 5 i NIS-loven. I forlængelse heraf sætter høringsparterne pris på lovbe-
mærkningerne til nr. 1 om, at mobiloperatørerne forud for større økonomiske dispositioner kan have en di-
alog med de relevante beredskabsmyndigheder med henblik på at afklare, om dispositioner har en karakter,
hvor der kan ydes refusion.
Desuden støtter høringsparterne op om Forsvarsministeriets overvejelser og vurdering af, at et mobilbaseret
varslingssystem bør baseres på cell broadcast-system. Høringsparterne er enige i, at den foreslåede løsning
baseret på cell broadcast-teknologien er den bedste løsning til formålet, blandt andet på grund af de fordele,
der nævnt i høringsmaterialet, herunder særligt det forhold, at alle nyere mobiltelefoner kan modtage så-
danne beskeder, og at der ikke sker registrering af personoplysninger i forbindelse med brug af systemet.
Der kan synes at være en begrebsforvirring til, hvem pligtsubjektet i medfør af forpligtelsen i den foreslåede
bestemmelse i Telelovens § 61 a, hvor begrebet ”Udbydere af elektroniske kommunikationstjenester i mobil-
net og udbydere af mobilnet” anvendes. Dette begreb er imidlertid ikke nærmere defineret i Teleloven. Hø-
ringsparterne anbefaler således, at det gøres klart for hvem denne forpligtelse konkret påhviler såvel i Tele-
lovens § 61 a og NIS-lovens § 5a med korrekt anvendelse af klart definerede begreber jf. Telelovens § 2 og
NIS-lovens § 2. Således anbefaler TI, at Telelovens § 61 a, stk. 1, affattes:
Ӥ 61 a. Udbydere af offentlige elektroniske kommunikationsnet og -tjenester i mobilnet og
udbydere af mobilnet skal på vegne af beredskabsaktører udsende offentlige advarsler om
overhængende eller truende alvorlige nødsituationer og katastrofer til berørte slutbrugere. Ud-
byderne skal udsende offentlige advarsler til de slutbrugere, der i varslingsperioden opholder
sig i nærmere angivne geografiske områder, straks efter modtagelse af anmodning herom.”
Samt at NIS-lovens § 5a affattes:
8/8
”§ 5 a. Center for Cybersikkerhed fastsætter regler om, at udbydere, som i medfør af telelovens
§ 61 a skal udsende offentlige advarsler om overhængende eller truende alvorlige nødsituati-
oner og katastrofer, skal træffe alle nødvendige foranstaltninger til at sikre uafbrudt transmis-
sion af advarslerne.”
Nr. 16 om uafbrudt transmission af offentlige advarsler jf. NIS-lovens § 5 a
Høringsparterne ser frem til at bidrage konstruktivt i forbindelse med den konkrete udmøntning af bestem-
melsen i bekendtgørelsen, herunder hvorledes ”alle nødvendige foranstaltninger til at sikre uafbrudt trans-
mission af advarslerne” konkret skal forstås, da dette synes noget uklart. Heriblandt hvad der menes med
”uafbrudt”, som ikke indgår i ændringen af Telelovens § 61 a. Høringsparterne anbefaler, at den konkrete
løsning er fleksibel samt at krav hertil er proportionelle.
I forlængelse heraf vil høringsparterne sætte pris på en bekræftelse af, at opfyldelse af kravet om ”uafbrudt
transmission” er dækket af Forordning om foranstaltninger vedrørende adgang til det åbne internet artikel
3, stk. 3, 3. afsnit, hvori det fremgår, at udbyderen af internetadgangstjenester kan foretage mere vidtgående
trafikstyringsforanstaltninger, hvis det er nødvendigt for at overholde lovgivning, for at opretholde integrite-
ten og sikkerheden i nettet eller for at forebygge truende overbelastning af nettet og afbøde virkningerne af
ekstraordinære eller midlertidige overbelastning af nettet.
Da systemet skal kunne tages i brug senest den 22. juni 2022, og da der vi være tale om et teknisk kompliceret
setup med høje driftssikkerhedskrav, sætter høringsparterne pris på, at der med lovforslaget er lagt op til et
tæt samarbejde mellem mobilselskaberne og Forsvarsministeriet om indførelsen af systemet, herunder ud-
vikling, test, etablering og drift, samt ikke mindst en løbende dialog om de nødvendige økonomiske disposi-
tioner med henblik på at sikre, at mobiloperatørerne kun disponerer således, at der kan ydes refusion af de
afholdte udgifter.
Afsluttende bemærkninger
Høringsparterne står naturligvis til rådighed måtte Forsvarsministeriet, Klima-, Energi- og Forsyningsministe-
riet, Center for Cybersikkerhed, Energistyrelsen eller andre relevante myndigheder have opklarende spørgs-
mål til ovenstående.
Med venlig hilsen
Mette Lundberg, direktør, IT-Branchen
Jakob Willer, direktør, Teleindustrien


Side 1 af 1
Dato: 7. oktober 2020
Sagsnr.: 2020/006013
Dok.nr.: 134363
Bilag: 2
FORSVARSMINISTEREN
Holmens Kanal 9
1060 København K
Tlf.: +45 7281 0000
Fax: +45 7281 0300
E-mail: fmn@fmn.dk
www.fmn.dk
EAN: 5798000201200
CVR: 25 77 56 35
Folketingets Forsvarsudvalg
Christiansborg
Hermed fremsendes kommenteret høringsoversigt og høringssvar ved-
rørende forslag til lov om ændring af lov om net- og informationssik-
kerhed (Implementering af direktivet om oprettelse af en europæisk
kodeks for elektronisk kommunikation for så vidt angår sikkerhed i net
og tjenester).
Lovforslaget har været i høring i perioden fra den 30. juli 2020 til den
27. august 2020.
Med venlig hilsen
Trine Bramsen
Forsvarsudvalget 2020-21
L 33 Bilag 1
Offentligt