Henvendelse af 16/3-21 vedrørende lovforslag om leverandørsikkerhed i den kritiske teleinfrastruktur, fra Teleindustrien

1
16. marts 2021
Til Forsvarsudvalget
Foretræde for Folketingets Forsvarsudvalg 18. marts 2021 vedrørende L190: Forslag
til Lov om leverandørsikkerhed i den kritiske teleinfrastruktur
Indledende bemærkninger
Sikkerhed er af højeste prioritet for telebranchen, og TI finder det positivt, at regeringen sætter
fokus på den digitale infrastrukturs samfundskritiske funktion. En velfungerende og sikker
teleinfrastruktur er afgørende for det danske samfund, teleselskabernes kunder og naturligvis
også branchen selv. Med det afsæt har branchen over de seneste 10 år investeret 70 mia. kr. i
at udbygge den digitale infrastruktur i Danmark med fokus på både dækning, kapacitet og
sikkerhed. Udbygningen er sket i tæt dialog med danske myndigheder, herunder særligt Center
for Cybersikkerhed (CFCS).
Staten og teleselskaberne har helt sammenfaldende interesser i at sikre en høj grad af
sikkerhed. Det er telebranchens klare opfattelse, at hensynet til leverandørsikkerhed i den
kritiske teleinfrastruktur kan sikres uden at tilsidesætte den grundlæggende retssikkerhed, som
normalt forventes i et retssamfund.
Telebranchens grundlæggende bekymringer
Det fremsatte forslag medfører, at CFCS får mulighed for at træffe meget indgribende
beslutninger vedrørende anvendelsen af leverandører og teknisk udstyr i de danske telenet. De
foreslåede regler gælder både nyt udstyr og eksisterende udstyr i nettene og har potentielt
store økonomiske konsekvenser for teleselskaberne.
Lovforslagets definitioner af, hvad der potentielt kan underlægges regulering, og hvad
kriterierne for indgreb er, er meget uklare og medfører betydelig usikkerhed og
uforudsigelighed i reguleringen på området.
Samtidig undtages CFCS med lovforslaget fra at skulle følge forvaltningslovens kapitel 4-6.
Forvaltningslovens kapitel 4-6 vedrører de helt grundlæggende forvaltningsretlige regler, der
har til formål at sikre den basale retssikkerhed for de selskaber og borgere, der underlægges
offentlig regulering. Det vedrører retten til indsigt, retten til at udtale sig, retten til at blive hørt
og retten til at få en begrundelse for et indgreb.
Endelig afskæres teleselskaber, der underlægges regulering efter forslaget, fra den almindelige
administrative klageadgang. Den prøvelsesmulighed, der er ved domstolene, er reelt meget
begrænset, idet selskaberne er afskåret fra indsigt i sagens fakta og er uden mulighed for at
repræsentere sig selv i sagen. Med den afgrænsede indsigt og det manglende uvildige tilsyn
med de indgreb og den forvaltning, der udføres af CFCS i regi af Forsvarets Efterretning-
stjeneste, afskæres området også i praksis fra nogen form for politisk kontrol og værn mod
ubegrundede eller usikkert dokumenterede indgreb i selskabernes kommercielle aftaler.
Forsvarsudvalget 2020-21
L 190 - Bilag 2
Offentligt
2
Konkrete forslag til justeringer
TI er i sit høringssvar fremkommet med en række forslag til justeringer, som ikke er afspejlet i
det fremsatte forslag. TI’s høringssvar kan ses https://www.teleindu.dk/wp-
content/uploads/2021/01/4-januar-2021-h%C3%B8ringssvar-vedr-
leverand%C3%B8rsikkerhed.pdf
TI vil i sin præsentation for Forsvarsudvalget afgrænse sine forslag til tre konkrete punkter,
som vil kunne bidrage til at sikre en større grad af retssikkerhed for de selskaber, der evt.
underlægges regulering. Det vedrører:
1) Rettighed for virksomheder til at blive partshørt og få en begrundelse for
indgreb
Undtagelsen for forvaltningsloven i § 5 bør fjernes eller ændres. Der bør være en pligt
for CFCS til at foretage høring af det relevante teleselskab vedrørende faktuelle forhold,
som ikke er hemmelige. Efter den almindelige forvaltningslov kan oplysninger, der
vedrører national sikkerhed allerede i dag undtages fra offentlighed. Høring af
teleselskabet er en forudsætning for at kunne vurdere proportionaliteten i et eventuelt
indgreb. En høring vil endvidere betyde, at selskabets betydelige tekniske indsigt i
leverandørens forhold vil kunne indgå i CFCS’s overvejelser, og det vil bedre sikre
opfyldelse af lovforslagets bestemmelse om, at hensynet til statens sikkerhed ikke
effektivt kan varetages ved mindre indgribende foranstaltninger. Der er en tilsvarende
pligt til høring af den berørte virksomhed i forslag til screeningslov L191.
2) Pligt for Center for Cybersikkerhed til at høre andre myndigheder
Pligten til at høre andre myndigheder, herunder Energistyrelsen og Erhvervsstyrelsen
(der har myndighed og teknisk indsigt på teleområdet), vil bidrage til at sikre, at
afgørelser træffes på et mere oplyst og kvalificeret grundlag. Sagens faktuelle oplysning
er endvidere en forudsætning for at kunne vurdere proportionaliteten i et eventuelt
indgreb og sikre, at hensynet til statens sikkerhed ikke effektivt kan varetages ved
mindre indgribende foranstaltninger i overensstemmelse med lovforslagets
bestemmelser. Der er en tilsvarende pligt til inden beslutning om indgreb at høre andre
myndigheder i forslag til screeningslov L191.
3) Kriteriet for at nedlægge forbud mod indgåelse af aftale om service og
reservedele på eksisterende udstyr bør være, at der foreligger en væsentlig og
konkret trussel
Efter det fremsatte lovforslag gælder der et særligt hensyn for aftaler, der allerede er
indgået og udstyr, der allerede er implementeret i udbydernes net. Dvs. indgreb med
tilbagevirkende kraft. I sådanne situationer skal der, efter § 3, foreligge en væsentlig og
mere konkretiseret trussel mod statens sikkerhed end ved et forbud rettet mod
indgåelse af nye leverandøraftaler efter § 2. Et teleselskab indkøber typisk udstyr med
en forventet levetid på fx 10 år og indgår samtidig en service- og vedligeholdelsesaftale,
som skal fornyes eller genforhandles efter fx 5 år. Som bestemmelserne i §§ 2 og 3 er
formuleret vil en genforhandling eller indgåelse af en aftale om service eller reservedele
til eksisterende udstyr i udbyderens net være omfattet § 2, hvor der ikke er krav om, at
truslen skal være væsentlig og konkret. Nedlægger CFCS forbud mod indgåelse af en ny
aftale om servicering af eksisterende udstyr vil det de facto medføre, at udbyderen må
tage udstyret ud af brug før tid. Dette skaber stor usikkerhed for både eksisterende
leverandøraftaler og for indgåelsen af nye aftaler. Af den grund bør kravene til, hvornår
CFCS kan nedlægge forbud mod aftaler om service og reservedele til eksisterende udstyr
ikke være omfattet af § 2, men i stedet afgrænses til de situationer, som gælder efter §
3, nemlig, at der skal foreligge en væsentlig og konkret trussel mod statens sikkerhed.