Høringsnotat og høringssvar fra erhvervsministeren

ERHVERVSMINISTEREN
24. februar 2021
ERHVERVSMINISTERIET
Slotsholmsgade 10-12
1216 København K
Tlf. 33 92 33 50
Fax. 33 12 37 78
CVR-nr. 10092485
EAN nr. 5798000026001
em@em.dk
www.em.dk
Folketingets Erhvervsudvalg
Vedlagt fremsender jeg til udvalgets orientering høringsnotat, høringssvar
og høringsliste vedr. forslag til Lov om supplerende bestemmelser til
forordningen om ENISA (Den Europæiske Unions Agentur for Cybersik-
kerhed), om cybersikkerhedscertificering af informations- og kommunika-
tionsteknologi og om ophævelse af forordning (EU) nr. 526/313 (forord-
ningen om cybersikkerhed) (lov om cybersikkerhedscertificering)
Med venlig hilsen
Simon Kollerup
Erhvervsudvalget 2020-21
L 174 Bilag 1
Offentligt


Høringsnotat vedrørende udkast til lovforslag om cybersikkerheds-
certificering (Lov om cybersikkerhedscertificering)
Lovforslaget gennemfører forordningen om cybersikkerhed, der bl.a. skal
etablere en fælles ramme for certificering af cybersikkerhed i EU. Forord-
ningen træder endeligt i kraft 28. juni 2021.
Med lovforslaget udpeges Sikkerhedsstyrelsen som myndighed for cyber-
sikkerhedscertificering i Danmark, og der fastsættes regler for, hvordan
styrelsen fører kontrol med de forskellige aktører på området.
Lovforslaget skal dermed bidrage til at sikre, at danske virksomheder fri-
villigt kan få certificeret produkter, tjenester eller processer inden for in-
formations- og kommunikationsteknologi. Certificeringen dokumenterer,
at sikkerheden i et produkt, en tjeneste eller proces er på et vist niveau,
typisk ved at produktet er produceret i overensstemmelse med en eller flere
standarder. Med lovforslaget sikres det ydermere, at certificeringen sker
under regulerede forhold, som Sikkerhedsstyrelsen overvåger.
Lovforslaget er sendt i offentlig høring fra 19. oktober til 16. november
2020. Lovforslaget fremgår af regeringens lovprogram med planlagt frem-
sættelse januar II 2021.
Der er i alt modtaget høringssvar fra fem af i alt 33 eksterne høringsparter,
som er hørt undervejs. Heraf har tre haft bemærkninger til udkastet til lov-
forslag.
De væsentligste bemærkninger fra de hørte parter til de enkelte emner i
lovudkastet gennemgås og kommenteres nedenfor.
Derudover har visse høringssvar givet anledning til enkelte redaktionelle
ændringer og præciseringer i lovteksten og bemærkningerne. Disse ændrer
ikke ved substansen i det pågældende forslag og omtales derfor ikke nær-
mere i dette notat.
2. Generelle bemærkninger
Lovforslaget er overordnet set blevet positivt modtaget. Der er generelt op-
bakning til at indføre certificeringsordninger inden for cybersikkerhed i
produkter, tjenester og processer.
Dansk Industri (DI) udtrykker generelt tilslutning til lovforslaget og de
kommende certificeringsordninger og udtrykker især tilfredshed med, at
det er en fælleseuropæisk ordning, så virksomhederne ikke skal leve op til
forskellige regler og krav i forskellige lande. Derudover udtrykker DI et
ønske om, at det undersøges, om der kan være synergi ved at koordinere
de nye europæiske cybersikkerhedscertificeringsordninger med en mærk-
ningsordning for it-sikkerhed og dataanvendelse, som DI og en række dan-
ske partnere i øjeblikket arbejder på. DI gør opmærksom på, at der er både
Erhvervsudvalget 2020-21
L 174 Bilag 1
Offentligt
2
ligheder og væsentlige forskelle på de opgaver, Sikkerhedsstyrelsen vare-
tager i dag med bemyndigelse af overensstemmelsesvurderingsorganer in-
den for bestemte områder, og så cybersikkerhed, hvorfor det er nødvendigt
med faglige kompetencer.
Dansk Erhverv & Teleindustrien (DE & TI) udtrykker generel opbakning
til lovforslaget og hensigten med at øge sikkerheden i IKT-produkter, -
processer og -tjenester. DE & TI påpeger dog, at der kan gå lang tid, før
der kommer europæiske certificeringsordninger på grund af den måde, som
ordninger bliver vedtaget på i EU-regi. Herudover påpeges en mulig ud-
fordring i, at de konkrete certificeringsprodukter bliver så omkostnings-
tunge, at det i praksis kan favorisere større virksomheder – og dermed virke
konkurrenceforvridende f.eks. inden for markedet for bredbåndsløsninger.
Forbrugerrådet TÆNK (TÆNK) er generelt positive over for lovforslaget
og påpeger, at certificeringsordninger kan medvirke til at øge trygheden og
fremme tilliden til digitaliseringen, samt til at styrke forbrugernes databe-
skyttelse. Det er et område, som ligger TÆNK meget på sinde bl.a. fordi
IoT-produkter (forbrugerprodukter der kan tilsluttes internettet), ifølge
TÆNK, ofte er kendetegnet ved en kombination af utilstrækkelig sikker-
hed og problematisk indsamling af data, der deles med tredjepart.
Bemærkninger til konkrete emner:
Kommenteringen af høringssvarene vil ske med udgangspunkt i følgende
overordnede opdeling:
3.1. Kompetencer og finansiering
3.2. Frivillighed i certificeringsordningerne
3.3. Sammenhæng med øvrige mærkningsordninger
3.4. Adgang til virksomhederne
3.5. Information til brugerne
3.6. Ensartede definitioner
3.1 Kompetencer og finansiering
Dansk Industri (DI) bemærker, at det er væsentligt, at Sikkerhedsstyrelsen
trækker på kompetencer fra blandt andet Center for Cybersikkerhed og par-
terne bag DI’s mærkningsordning for cybersikkerhed og dataansvarlighed.
Dansk Erhverv & Teleindustrien (DE & TI) anfører, at det er vigtigt, at
SIK får de nødvendige kompetencer og ressourcer tilført, da opgaven vil
kræve begge dele. DE & TI vurderer, at det afsatte beløb på 2,7 mio. kr. til
at varetage myndighedsopgaven kan virke utilstrækkeligt henset til, at SIK
skal kunne behandle klager, foretage kontroller m.v., der også kræver
øgede kompetencer.
3
Kommentar
Ved indplaceringen af opgaven om certificering af cybersikkerhed er der
lagt vægt på, at den valgte myndighed har kompetencer og erfaring med
tilsvarende myndighedsudøvelse. I hovedtræk vil det sige arbejdet med at
påse overensstemmelse med relevante standarder og etablering, kvalitets-
sikring og kontrol af et certificeringssetup, der indeholder både akkredite-
ring og bemyndigelse af overensstemmelsesvurderingsorganer mv. Det har
Sikkerhedsstyrelsens omfattende erfaring med fra blandt andet fyrværkeri-
, gas-, og metrologiområdet.
Det anerkendes, at der ved løsning af den ny opgave skal ske opbygning af
både kompetencer og kapacitet. Undervejs i det arbejde trækker SIK på
blandt andre Center for Cybersikkerhed (CFCS) og Erhvervsstyrelsen
(ERST), som kan yde relevant faglig sparring. CFCS kommer til at få en
rådgivende funktion som faglig sparringspartner, men vil ikke bistå SIK i
forbindelse med tilsyn og kontrolarbejde hos virksomheder.
Cybersikkerhed er et område i hastig vækst, og det vil formentlig afspejle
sig i antallet af certificeringer i de kommende år. Udviklingen er dog be-
hæftet med usikkerhed, blandt andet fordi arbejdet med certificeringsord-
ningerne er blevet forsinket som følge af COVID-19. For at håndtere den
udfordring, er der lagt op til en genforhandling af områdets finansiering i
2023.
3.2 Frivillighed i ordningerne
Dansk Erhverv & Teleindustrien (DE og TI) skriver, at det er positivt, at
certificeringsordningerne er frivillige og gør derudover opmærksom på, at
det bør fremgå tydeligt, hvis nogle kategorier af produkter, tjenester eller
processer bliver omfattet af obligatorisk certificering (fx inden for de sam-
fundskritiske sektorer).
Forbrugerrådet TÆNK (TÆNK) mener, at certificeringsordningerne bør
være obligatoriske, da det vil lette gennemsigtigheden ved sikkerhed i
komplekse produkter og bidrage til at samfundet bliver mindre sårbart for
cyberangreb. Derudover skal virksomheder ud fra en rimelighedsbetragt-
ning kunne tilbyde forbrugerne produkter med basal ÍT-sikkerhed.
Kommentar
De certificeringsordninger, der bliver vedtaget på europæisk niveau med
hjemmel i forordningen, vil som udgangspunkt være frivillige (jf. artikel
56, stk. 2), men der er flere muligheder for at gøre konkrete ordninger ob-
ligatoriske. Ordninger kan gøres obligatoriske af både Kommissionen og
de enkelte medlemslande, hvis det skønnes nødvendigt. Det bemærkes, at
4
loven ikke regulerer det konkrete indhold i de kommende certificeringsord-
ninger, herunder spørgsmålet om, hvorvidt ordningen skal være frivillige
eller obligatoriske.
3.3. Sammenhæng med øvrige mærkningsordninger
Både DI og TÆNK opfordrer til, at der sikres en form for sammenhæng
mellem den mærkningsordning for it-sikkerhed og ansvarlig dataanven-
delse, som de to organisationer er en del af, og så den kommende europæ-
iske cybersikkerhedscertificeringsordning. Hensynet er, at virksomheder
og forbrugere på den måde lettere kan navigere i ordningerne, ligesom en
koordineret og sammentænkt indsats må antages at have en mere effektiv
indvirkning på cybersikkerheden generelt. DI foreslår endvidere, at der evt.
kan oprettes et samarbejde omkring tilsynet med virksomhederne på tværs
af mærkningsordningen og de europæiske cybersikkerhedscertificerings-
ordninger.
Kommentar
Sikkerhedsstyrelsen (SIK) tager kontakt til parterne bag den nye mærk-
ningsordning for it-sikkerhed og ansvarlig dataanvendelse for at afklare
mulighederne for et samarbejde, da erfaringer og viden kan være med til
at berige og udvikle arbejdet med europæiske certificeringsordninger og
omvendt.
Det er dog væsentligt at være opmærksom på, at de europæiske certifice-
ringsordninger og mærkningsordningen for it-sikkerhed og ansvarlig da-
taanvendelse er meget forskellige.
De europæiske certificeringsordninger, som udstedes som retsakter fra
Kommissionen, har fokus på det enkelte produkt, tjeneste eller proces;
mens mærkningsordningen har fokus på virksomheden som helhed.
SIKs tilsyn er myndighedsbaseret, mens tilsynet med it-sikkerhed og an-
svarlig dataanvendelse har rod i branchen. Forordningen om cybersik-
kerhed forudsætter, at de organer der skal udstede certifikater, er akkre-
diteret hertil. Det gør mærkningsordningen ikke.
Selvom det givetvist giver god mening at gå i dialog om en form for sam-
arbejde eller erfaringsudveksling på området, kan de to ordninger derfor
for nuværende ikke håndteres under et, ligesom der ikke kan etableres et
decideret samarbejde om tilsyn.
SIK er dog som udgangspunkt enig i, at der på EU-niveau bør arbejdes for
en ensartet kommunikation, mærkning eller lignende på tværs af de enkelte
europæiske certificeringsordninger.
5
3.4 Adgang til virksomhederne
DI skriver vedrørende Sikkerhedsstyrelsens adgang til virksomhedernes
lokaler, som kan ske til enhver tid mod behørig legitimation og uden rets-
kendelse, at det i §13 bør præciseres, at der skal være tale om lokaler, der
er relevante for den konkrete certificering.
DI nævner specifikt, at hvis et overensstemmelsesvurderingsorgan udfører
andre forretningsaktiviteter på adressen, bør disse lokaler ikke automatisk
være omfattet.
Kommentar
Det følger af forordningen om cybersikkerhed, at cybersikkerhedscertifi-
ceringsmyndigheden skal kunne få adgang til alle lokaler hos overensstem-
melsesvurderingsorganer eller indehavere af en europæisk cybersikker-
hedsattest med henblik på at udføre undersøgelser i overensstemmelse med
EU-retten eller medlemsstaternes regler.
Det er dog kun muligt for Sikkerhedsstyrelsen at anvende bestemmelsen i
§13 til at tilvejebringe oplysninger til brug for et tilsyn. Det skal således
være formålet med adgangen, at der skal indhentes oplysninger, der er
nødvendige for selve tilsynet.
Fra andre områder er det SIK’s erfaring, at der er behov for, at kontrol-
myndighederne – ligesom det er normen på andre områder i dag – kan få
adgang til lokaliteter uden retskendelse i de særlige tilfælde, hvor det skøn-
nes nødvendigt. Om det er nødvendigt afhænger således af en proportio-
nalitetsvurdering, herunder om formålet med adgangen kan opnås på an-
den vis. Der vil i alle tilfælde blive foretaget en konkret vurdering af, om
indgrebet er nødvendigt.
3.5 Information til brugerne
Dansk Erhverv & Teleindustrien (DE og TI) anfører, at det skal være mu-
ligt at få indsigt i, hvilke produkter, tjenester og processer, som lever op til
kravene om at modtage certificeringen.
Forbrugerrådet (TÆNK) skriver, at en frivillig ordning kræver stor velvil-
lighed fra virksomhedernes side - ikke bare i Danmark, men i hele EU - da
forbrugerne indkøber og anvender digitale produkter og tjenester på tværs
af grænser.
Ifølge TÆNK forpligter det også myndighederne, særligt Sikkerhedssty-
relsen, til at sikre tilstrækkelig information om, hvad certificeringsordnin-
gen og et evt. mærke indebærer, sørge for adgang til at se, hvem der har
tilsluttet sig ordningen samt oplyse om, hvilke konsekvenser det har at
6
købe/tilgå ikke-mærkede produkter og tjenester, herunder produkter im-
porteret fra lande uden for EU.
Kommentar
Sikkerhedsstyrelsen vil, evt. i samarbejde med Erhvervsstyrelsen, tilrette-
lægge en kommunikationsindsats i forbindelse med certificeringsordnin-
gernes ikrafttræden. Derudover vil der løbende blive kommunikeret i takt
med, at der vedtages certificeringsordninger på EU-niveau.
På EU-niveau bliver der lavet en fælles hjemmeside, hvor man kan få over-
blik over gældende certificeringsordninger.
3.6. Ensartede definitioner
DE & TI bemærker, at der bør være ensartede definitioner vedrørende cy-
bersikkerhed fra regeringen, så der undgås begrebsforvirring. Konkret
nævnes en definition fra den nationale cyber- og informationssikkerheds-
strategi, som DE & TI mener kan opfattes anderledes og mere snævert end
rammesætningen i nærværende lovforslag og den bagvedliggende forord-
ning.
Kommentar
Ensartede definitioner er væsentlige for forståelsen af formålet med rele-
vante strategier og lovgivning vedrørende cybersikkerhed.
I det konkrete tilfælde vurderes det, at forståelsen af cybersikkerhed i hen-
holdsvis den nationale cyber- og informationssikkerhedsstrategi og lov om
cybersikkerhedscertificering i al væsentlighed er ensartet. Det drejer sig i
begge tilfælde om at beskytte systemer og brugere. Forskellen imellem de
to begreber er, at brugerne ikke er fremhævet eksplicit i den nationale cy-
ber- og informationssikkerhedsstrategi, men at der her må lægges til
grund, at beskyttelse af relevante systemer i sidste ende også handler om
at beskytte brugerne.
Det vurderes endvidere at være uhensigtsmæssigt at afvige fra den bag-
vedliggende definition i forordningen i den lov, der udmønter forordningen
nationalt.


Høringsliste
Høring over udkast til forslag til lov om certificering af cybersik-
kerhed
Advokatsamfundet
Arbejderbevægelsens Erhvervsråd
Arbejdsmiljørådet
Certificerede Organers Forum
DANAK – Den Danske Akkrediteringsfond
Danmarks Aktive Forbrugere
Dansk Brand- og sikringsteknisk Institut
Dansk Byggeri
Dansk Erhverv
Dansk Industri
Dansk IT
Dansk Standard
Varefakta
Danske Advokater
FABA
Fagbevægelsens Hovedorganisation
Forbrugerlaboratoriet
Forbrugerombudsmanden
Forbrugerrådet Tænk
Foreningen af Rådgivende Ingeniører
Foreningen for Dansk Internethandel
Forsikring & Pension
Ingeniørforeningen i Danmark
IT-Branchen
KL
Legetøjsbranchen LEG
SMVdanmark
TEKNIQ Arbejdsgiverne
Teknologisk Institut
Teleindustrien
TÜV Nord Danmark ApS
19-10-2019
J.nr. EMN-00-01-
000008
ANHO
Nørregade 63
6700 Esbjerg
Tlf.: 33 73 20 00
sik@sik.dk
www.sik.dk
CVR nr. 27 40 31 23
Erhvervsudvalget 2020-21
L 174 Bilag 1
Offentligt
2/2
UL International Demko A/S
VELTEK


Fra: Henriette Fagerberg Erichsen
Til: Sikkerhedsstyrelsen Hovedpostkasse (SIK)
Emne: Sv: Høring over udkast til forslag til lov om certificering af cybersikkerhed (Sagsnr.: 2020 - 3)
Dato: 19. oktober 2020 11:50:13
Vedhæftede filer: image001.png
image003.png
image005.png
InlineImage 1.png
Tak for henvendelsen.
Advokatrådet har besluttet ikke at afgive høringssvar.
Med venlig hilsen
Henriette Fagerberg Erichsen
Sekretær
Advokatsamfundet, Kronprinsessegade 28, 1306 København K
D +45 33 96 97 28
hfe@advokatsamfundet.dk - www.advokatsamfundet.dk
Til: Sikkerhedsstyrelsen Hovedpostkasse (SIK (sik@sik.dk)
Fra: Anders Holt (anho@sik.dk)
Titel: Høring over udkast til forslag til lov om certificering af cybersikkerhed
Sendt: 19-10-2020 10:50
Hermed fremsendes høring over udkast til forslag til lov om certificering af cybersikkerhed.
Sikkerhedsstyrelsen anmoder om, at eventuelle bemærkninger sendes til sik@sik.dk senest den 16.
november 2020.
Venlig hilsen
Anders Holt
Fuldmægtig
Direkte: 33732036
Mobil: 25431636
E-mail: anho@sik.dk
Sikkerhedsstyrelsen
Esbjerg Brygge 30
6700 Esbjerg
Tlf.: +45 33 73 20 00
www.sik.dk
Denne e-mail og enhver vedhæftet fil er fortrolig. Hvis ikke du er den rette modtager, bedes du venligst
omgående kontakte os og derefter slette e-mailen og enhver vedhæftet fil. På forhånd tak.
Erhvervsudvalget 2020-21
L 174 Bilag 1
Offentligt
DANSK ERHVERV
Børsen
1217 København K
www.danskerhverv.dk
info@danskerhverv.dk
T. + 45 3374 6000
csj@danskerhverv.dk
CSJ/CSJ
Side 1/2
Sikkerhedsstyrelsen
Att.: Anders Holt
Nørregade 63
6700 Esbjerg
Den 16. november 2020
Høringssvar vedr. udkast til lov om certificering af cybersikkerhed
Hermed sender Dansk Erhverv og Teleindustrien et fælles høringssvar om udkast til lov om certi-
ficering af cybersikkerhed.
Generelle bemærkninger
Dansk Erhverv bakker op om lovforslagets hensigt om at øge sikkerheden i IKT-produkter, -pro-
cesser og -tjenester.
Cybersikkerhed defineres i den nationale cyber- og informationssikkerhedsstrategi som:
”Cybersikkerhed omfatter beskyttelse imod de sikkerhedsbrud, der opstår som følge
af angreb mod data eller systemer via en forbindelse til et eksternt net eller system.
Arbejdet med cybersikkerhed fokuserer således på sårbarheder ved sammenkoblin-
gen mellem systemer, herunder forbindelser til internettet.”
Der er altså tale om en mere snæver definition, som handler specifikt om systemsammenkobling,
hvor nærværende lovforslag kan opfattes som et, der i højere grad handler om informationssikker-
hed. Dansk Erhverv opfordrer regeringen til at være konsistent i anvendelsen af begreber, så unø-
dig forvirring undgås.
Placeringen af ansvaret hos Sikkerhedsstyrelsen betyder, at styrelsen vil få behov for kompetencer
og viden indenfor cybersikkerhed bl.a. for at kunne vurdere indholdet og behandle klagesager. Der-
for må der afsættes ressourcer til at sikre styrelsen disse.
Dansk Erhverv mener, at det er positivt, at certificeringsordningen er frivillig. Såfremt der findes
nogle kategorier af produkter, tjenester eller processer, hvor certificering vil være obligatorisk (fx
indenfor de samfundskritiske sektorer), bør dette fremgå tydeligt.
Loven gælder for produkter, tjenester og processer, hvilket betyder at det fx i telesektoren vil være
muligt at certificere tjenester såsom bredbåndsforbindelser. Dette er en nødvendig udvikling og
kan være positivt for sikkerhedsniveauet af udbudte tjenester, men kan dog give en konkurrence-
fordel til de større selskaber indenfor et givent område.
DANSK ERHVERV
Fejl! Henvisningskilde ikke
fundet.2/2
Lovforslaget nævner ikke muligheder for indsigt i de sager, Sikkerhedsstyrelsen og/eller andre ak-
tører i certificeringsarbejdet, beskæftiger sig med. Det skal naturligvis være muligt at få indsigt i,
hvilke produkter, tjenester og processer, som lever op til kravene om at modtage certificeringen,
men der bør tages aktivt hensyn til at de interne mellemregninger i certificeringsprocessen, der kan
indeholde fortrolige oplysninger, ikke kommer til offentlighedens kendskab.
Dansk Erhverv er positive overfor lovforslaget, som særligt vil kunne bidrage til at flere IoT-pro-
dukter får et sikkerhedsmæssigt løft.
Lovforslaget indeholder ikke oplysninger om, hvilke standarder der skal danne grundlag for certi-
ficeringen. Disse skal fastsættes af ENISA i samarbejde med interessenter og ECCG. Dette vil for-
mentlig betyde, at der endnu kan gå lang tid, før certificeringerne kan finde anvendelse.
Specifikke bemærkninger
Afsnit 4, side 19: med lovforslaget afsættes 2,7 mio. kr. til myndighedsopgaven. Dette kan synes
utilstrækkeligt, når der tages højde for, at styrelsen skal kunne behandle klager, foretage kontroller
m.v., ligesom der skal medtages behovet for nye kompetencer (jf. ovenfor).
Med venlig hilsen,
Jakob Willer
Adm. direktør, Teleindustrien
Christian von Stamm Jonasson
Erhvervspolitisk konsulent, Dansk Erhverv
*SAG*
Høring over forslag til lov om certificering af cybersikkerhed
DI takker for modtagelsen af ovennævnte høring. DI finder det positivt, at der med cyber-
sikkerhedsforordningen etableres en ramme for europæisk cybersikkerhedscertifice-
ring, så virksomhederne fremadrettet undgår at skulle leve op til forskellige certifice-
ringskrav til deres produkter i de forskellige EU medlemslande.
Det fremgår af bemærkningerne til lovforslaget, at certificeringen er frivillig, og har det
formål, at virksomhederne kan markedsføre sine produkter som sikre. Formålet er således
i høj grad sammenfaldende med målet for den kommende mærkningsordning for it-sik-
kerhed og ansvarlig dataanvendelse, som DI etablerer i samarbejde med en række andre
parter med støtte fra Industriens Fond.
Mærkningsordningen er et mærke til virksomheder. Mærket har bl.a. til formål at give
dansk erhvervsliv et solidt løft for it-sikkerhed og ansvarlig dataanvendelse og give forret-
ningsværdi for den enkelte virksomhed. Ordningen vil tilbyde konkret vejledning og hjælp
til de virksomheder, der ønsker at øge deres sikkerhed.
Det vil derfor være oplagt at se på, om der er nogen synergieffekter i forhold til mærk-
ningsordningens arbejde, herunder tilsynet med om virksomhederne lever op til mærk-
ningsordningens otte krav, der skal efterleves, og Sikkerhedsstyrelsens arbejde som myn-
dighed for certificering af cybersikkerhed. Der bør derfor etableres mulighed for dialog
mellem de to typer tilsyn.
Det bemærkes, at selvom der er ligheder mellem de opgaver sikkerhedsstyrelsen varetager
i dag, så er der også væsentlige forskelle mellem bemyndigelse af overensstemmelsesvur-
deringsorganer inden for de områder styrelsen varetager i dag og IoT-produkter, software
mv. Det vil derfor være væsentligt at styrelsen trækker på den nødvendige faglige kompe-
tencer hos fx Center for Cybersikkerhed og som foreslået ovenfor, mærkningsordningen
for it-sikkerhed og ansvarlig dataanvendelse.
Specifikke bemærkninger
§ 13
Det fremgår, at Sikkerhedsstyrelsen til enhver tid mod behørig legitimation og uden rets-
kendelse har ret til adgang til alle lokaler hos overensstemmelsesvurderingsorganer eller
Sikkerhedsstyrelsen
Att.: sik@sik.dk
16. november 2020
indehavere af en europæisk cybersikkerhedsattest med henblik på at føre kontrol. Det bør
præciseres, at der skal være tale om lokaler der er relevante for den konkrete certificering.
Såfremt et overensstemmelsesvurderingsorgan udfører andre forretningsaktiviteter på
adressen, bør disse lokaler således ikke automatisk være omfattet.
DI står naturligvis til rådighed for en uddybning af ovenstående bemærkninger.
Med venlig hilsen
Ida Kragh-Vodstrup
Chefkonsulent, DI
Fiolstræde 17 B, Postboks 2188, 1017 København K
taenk.dk · fbr@fbr.dk · +45 7741 7741
CVR: 6387 0528
Sikkerhedsstyrelsen
Sendt pr. e-mail til sik@sik.dk
18-11-2020
Dok. 204461/
Forbrugerrådet Tænks høringssvar om udkast til forslag til lov om certificering
af cybersikkerhed
I det vi takker for Sikkerhedsstyrelsens e-mail af 19. oktober 2020, skal Forbrugerrådet
Tænk hermed afgive sine bemærkninger.
IT-sikkerhed og databeskyttelse er et højt prioriteret område i Forbrugerrådet Tænk, og vi
ser derfor frem til at følge udviklingsarbejdet med en kommende dansk
cybersikkerhedscertificering, herunder arbejdet i Den Europæiske Unions Agentur for
Cybersikkerhed ENISA samt Sikkerhedsstyrelsen konkrete certificering af – og tilsyn med
blandt andet internetforbundne produkter (IoT).
Henset til digitaliseringens hastighed og forbrugernes stigende brug af IoT-produkter støtter
Forbrugerrådet Tænk i høj grad forslaget, men er på linje med vores søsterorganisation
BEUC i Bruxelles uforstående overfor, at så væsentligt et regelsæt, skal være frivilligt for
producenter at følge.
Certificeringskravene vil øge sikkerheden for den enkelte forbruger, lette
gennemsigtigheden for komplekse produkter, tjenester og processer og mindske risikoen for
cyberangreb til samfundets ulempe, hvilket samlet set vil øge trygheden og fremme tilliden
til digitaliseringen. Derfor mener vi, at kravene bør være bindende, men også fordi, det kun
er rimeligt, at virksomheder, der er mere optagede af profit end it-sikkerhed ikke går fri af at
skulle levere basal sikkerhed til forbrugerne.
Vi hæfter os dog ved, at virksomheder, i det øjeblik de tilslutter sig certificeringsordningen,
forpligtes til at efterleve kravene i certificeringen, og at Sikkerhedsstyrelsen kan fratage
certificerings-attester samt pålægge virksomheder at fjerne usikre produkter fra handlen. Vi
synes dette er meget vigtigt, ligesom Sikkerhedsstyrelsens adgang til at påbyde at
markedsføring indstilles eller afhjælpning af produkter foretages. Den klageadgang, som
forbrugerne har til Sikkerhedsstyrelsen er ligeledes af stor betydning for området.
En frivillig ordning kræver stor velvillighed fra virksomhedernes side, ikke bare i Danmark
men i hele EU, da forbrugerne indkøber og anvender digitale produkter og tjenester på
tværs af grænser.
Det forpligter også myndighederne, særligt Sikkerhedsstyrelsen, til at sikre tilstrækkelig
information om, hvad certificeringsordningen/evt. et mærke indebærer, sørge for adgang til
at se, hvem der har tilsluttet sig ordningen samt oplyse om, hvilke konsekvenser det har at
købe/tilgå ikke-mærkede produkter og tjenester, herunder produkter importeret fra lande
udenfor EU.
I forhold til selve kriterierne, som nu skal udvikles og danne fundamentet i
certificeringsordningen, hæfter vi os ved, at EU-Kommissionen i sikkerhedsforordningen
Fiolstræde 17 B, Postboks 2188, 1017 København K
taenk.dk · fbr@fbr.dk · +45 7741 7741
CVR: 6387 0528
fastslår, at de foruden krav om indbygget sikkerhed i hele produktets levetid, også er optaget
af indbygget privatlivsbeskyttelse. Forbrugerrådet Tænk støtter netop, at
certificeringskravene både stiller krav om sikkerhed og databeskyttelse by design og default.
Årsagen er, at IoT-produkter desværre, foruden ringe sikkerhed, ofte er kendetegnet ved en
vidtgående dataindsamling og automatisk deling af data til 3. parter. Dette er en udvikling,
som vi gerne ser minimeret gennem tekniske krav til designet, så datahøst ikke blot er et
emne, som forbrugerne kan finde information om i de alenlange, komplicerede vilkår, der
medfølger IoT-produkter (typisk i den app, som downloades sammen med installationen af
produktet).
Også dataetik er et emne, som for alvor er kommet på dagsorden i Danmark og som foruden
privacy kunne have relevans for de kriterier, der skal udvikles i cybersikkerheds-
certificeringen. I den forbindelse skal vi henvise til den danske mærkningsordning for it-
sikkerhed og ansvarlig dataanvendelse, som både erhvervs- og forbrugersiden står bag.
Vi håber i det hele taget, at der sker en koordinering mellem de to certificeringsordninger,
både af hensyn til virksomhederne, som gerne skulle efterleve dem begge og forbrugerne,
som skal navigere efter dem, så de forhåbentlig lettere kan træffe et oplyst valg.
Desuden skal nævnes Dataetisk Råd, som netop har offentliggjort et konkret værktøj
målrettet myndighedernes databehandling og samkøring, og som også kan bruges som
inspiration til kriterie-udviklingen. Endelig skal vi opfordre til at indhente input fra
Cybersikkerhedsrådet, som pt. diskuterer behovet for øget sikkerhed i IoT og hvor der i
øvrigt er konsensus om, at IoT-produkter både skal styrkes i forhold til sikkerhed og
privatlivsbeskyttelse.
Forbrugerrådet Tænk skal afslutningsvis nævne, at vores seneste digitale kampagne, netop
omhandlede sikkerhed i IoT-produkter. Vi deler gerne vores materiale, herunder de
forbrugerkrav, som er udviklet på europæisk plan af BEUC, ANEC og Consumers
International. Desuden bemærkes, at Datatilsynet konkret behandler en sag om ringe
sikkerhed i størstedelen af de digitale ringeklokker, som vi testede i forbindelse med
kampagnen.
I er naturligvis velkommen til at kontakte undertegnede for uddybning eller lignende.
Med venlig hilsen
Vicedirektør Mette Raun Fjordside Chefjurist Anette Høyrup
Fra: Foreningen af Rådgivende Ingeniører
Til: Sikkerhedsstyrelsen Hovedpostkasse (SIK)
Emne: SV: Høring over udkast til forslag til lov om certificering af cybersikkerhed
Dato: 27. oktober 2020 10:41:43
Vedhæftede filer: image002.png
image001.png
image003.png
image005.png
FRI takker for muligheden for at afgive høringssvar på ovenstående høring.
Vi har ingen bemærkninger til den, da den ikke direkte påvirker rammebetingelserne for
rådgivende ingeniørvirksomheder.
Med venlig hilsen
Ulrik Ryssel Albertsen
Erhvervspolitisk Chef
Foreningen af Rådgivende Ingeniører
Fra: Anders Holt <anho@sik.dk>
Sendt: 19. oktober 2020 10:51
Til: Sikkerhedsstyrelsen Hovedpostkasse (SIK) <sik@sik.dk>
Emne: Høring over udkast til forslag til lov om certificering af cybersikkerhed
Hermed fremsendes høring over udkast til forslag til lov om certificering af cybersikkerhed.
Sikkerhedsstyrelsen anmoder om, at eventuelle bemærkninger sendes til sik@sik.dk senest den
16. november 2020.
Venlig hilsen
Anders Holt
Fuldmægtig
Direkte: 33732036
Mobil: 25431636
E-mail: anho@sik.dk
Sikkerhedsstyrelsen
Esbjerg Brygge 30
6700 Esbjerg
Tlf.: +45 33 73 20 00
www.sik.dk
Denne e-mail og enhver vedhæftet fil er fortrolig. Hvis ikke du er den rette modtager, bedes du venligst omgående
kontakte os og derefter slette e-mailen og enhver vedhæftet fil. På forhånd tak.