Fremsat den 2. maj 2014 af Forsvarsministeren (Nicolai Wammen)

Fremsat den 2. maj 2014 af Forsvarsministeren (Nicolai Wammen)
Forslag
til
Lov om Center for Cybersikkerhed
Kapitel 1
Opgaver og organisation
§ 1. Center for Cybersikkerhed har til opgave at under-
støtte et højt informationssikkerhedsniveau i den informati-
ons- og kommunikationsteknologiske infrastruktur, som sam-
fundsvigtige funktioner er afhængige af.
Stk. 2. Center for Cybersikkerhed er en del af Forsvarets
Efterretningstjeneste.
Kapitel 2
Definitioner
§ 2. I denne lov forstås ved:
1) Sikkerhedshændelse: En hændelse, der negativt påvir-
ker eller vurderes at ville kunne påvirke tilgængelig-
hed, integritet eller fortrolighed af data, informations-
systemer, digitale netværk eller digitale tjenester.
2) Pakkedata: Indholdet af kommunikation, der transmit-
teres gennem digitale netværk eller tjenester.
3) Trafikdata: Data, som behandles med henblik på at
transmittere pakkedata.
4) Personoplysninger: Enhver form for information om en
identificeret eller identificerbar fysisk person.
5) Behandling: Enhver operation eller række af operatio-
ner med eller uden brug af elektronisk databehandling,
som oplysninger gøres til genstand for.
Kapitel 3
Center for Cybersikkerheds netsikkerhedstjeneste
§ 3. Center for Cybersikkerheds netsikkerhedstjeneste har
til opgave at opdage, analysere og bidrage til at imødegå
sikkerhedshændelser hos myndigheder på Forsvarsministeri-
ets område samt hos øvrige tilsluttede myndigheder og virk-
somheder, jf. stk. 2 og 3.
Stk. 2. De øverste statsorganer samt statslige myndigheder
kan efter anmodning blive tilsluttet netsikkerhedstjenesten.
Stk. 3. Regioner og kommuner samt virksomheder, der er
beskæftiget med samfundsvigtige funktioner, kan efter an-
modning blive tilsluttet netsikkerhedstjenesten, såfremt Cen-
ter for Cybersikkerhed konkret vurderer, at tilslutningen vil
kunne bidrage til at understøtte et højt informationssikker-
hedsniveau i samfundet.
Stk. 4. Center for Cybersikkerhed kan fastsætte nærmere
regler om vilkårene for tilslutning efter stk. 3, herunder reg-
ler om betaling af gebyr for tilslutning.
Kapitel 4
Indgreb i meddelelseshemmeligheden
§ 4. Center for Cybersikkerheds netsikkerhedstjeneste kan
uden retskendelse behandle pakke- og trafikdata hidrørende
fra netværk hos tilsluttede myndigheder og virksomheder, jf.
§ 3, stk. 2 og 3, med henblik på at understøtte et højt infor-
mationssikkerhedsniveau i samfundet.
§ 5. Center for Cybersikkerheds netsikkerhedstjeneste kan
uden retskendelse behandle pakke- og trafikdata hidrørende
fra netværk hos myndigheder på Forsvarsministeriets områ-
de, jf. § 3, stk. 1, med henblik på at understøtte et højt infor-
mationssikkerhedsniveau på området.
§ 6. Ved begrundet mistanke om en sikkerhedshændelse
kan en myndighed eller virksomhed, som ikke er tilsluttet
Center for Cybersikkerheds netsikkerhedstjeneste efter § 3,
midlertidigt tilsluttes netsikkerhedstjenesten, som herefter
uden retskendelse kan behandle pakke- og trafikdata hidrø-
rende fra netværk hos myndigheden eller virksomheden, når
1) myndigheden eller virksomheden har anmodet Center
for Cybersikkerhed om at blive midlertidigt tilsluttet og
givet skriftligt samtykke til behandlingen,
2) behandlingen vurderes at kunne bidrage væsentligt til
Center for Cybersikkerheds muligheder for at sikre in-
formations- og kommunikationsteknologisk infrastruk-
tur, som samfundsvigtige funktioner er afhængige af,
og
3) den midlertidige tilslutning har en varighed på højst to
måneder.
Lovforslag nr. L 192 Folketinget 2013-14
Forsvarsmin. j.nr. 2013/003214
AG000560
§ 7. Ved begrundet mistanke om en sikkerhedshændelse
kan Center for Cybersikkerheds netsikkerhedstjeneste uden
retskendelse behandle data, som er indeholdt i eller hidrører
fra et informationssystem, der anvendes af en myndighed el-
ler virksomhed, når
1) myndigheden eller virksomheden har anmodet Center
for Cybersikkerhed om bistand, stillet informationssy-
stemet eller dataene herfra til rådighed for netsikker-
hedstjenesten og givet skriftligt samtykke til, at netsik-
kerhedstjenesten behandler dataene, og
2) behandlingen vurderes at kunne bidrage væsentligt til
Center for Cybersikkerheds muligheder for at sikre in-
formations- og kommunikationsteknologisk infrastruk-
tur, som samfundsvigtige funktioner er afhængige af.
Kapitel 5
Forholdet til anden lovgivning, behandling af
personoplysninger m.v.
§ 8. Center for Cybersikkerheds virksomhed er undtaget
fra lov om offentlighed i forvaltningen bortset fra lovens §
13. Center for Cybersikkerheds virksomhed er endvidere
undtaget fra forvaltningslovens kapitel 4-6 og fra lov om be-
handling af personoplysninger, jf. § 2, stk. 11, i lov om be-
handling af personoplysninger.
Stk. 2. Forsvarsministeren kan bestemme, at kapitel 8-10 i
lov om behandling af personoplysninger, lov om offentlig-
hed i forvaltningen samt forvaltningslovens kapitel 4-6 helt
eller delvis finder anvendelse for Center for Cybersikkerhed
vedrørende
1) centerets behandling af anmodninger om tilslutning til
netsikkerhedstjenesten, jf. § 3, stk. 3,
2) centerets virksomhed som myndighed for informations-
sikkerhed og beredskab på teleområdet og
3) centerets personalesager.
Stk. 3. Enhver form for behandling af personoplysninger i
Center for Cybersikkerhed er omfattet af kapitel 6. Ved be-
handling af data, herunder personoplysninger, i medfør af
kapitel 4 finder de særlige behandlingsregler i kapitel 7 end-
videre anvendelse.
Kapitel 6
Behandling af personoplysninger i Center for
Cybersikkerhed
§ 9. Center for Cybersikkerheds indsamling af personop-
lysninger skal ske til udtrykkeligt angivne og saglige formål,
og senere behandling må ikke være uforenelig med disse
formål. Senere behandling af personoplysninger, der alene
sker i historisk, statistisk eller videnskabeligt øjemed, anses
ikke for uforenelig med de formål, hvortil oplysningerne er
indsamlet.
Stk. 2. Personoplysninger, som behandles, skal være rele-
vante og tilstrækkelige og ikke omfatte mere, end hvad der
kræves til opfyldelse af de formål, hvortil oplysningerne
indsamles, og de formål, hvortil oplysningerne senere be-
handles.
§ 10. Behandling af personoplysninger må kun finde sted,
hvis
1) den pågældende person har givet sit udtrykkelige sam-
tykke hertil,
2) behandlingen er nødvendig af hensyn til opfyldelsen af
en aftale, som den pågældende person er part i, eller af
hensyn til gennemførelse af foranstaltninger, der træf-
fes på den pågældende persons anmodning forud for
indgåelsen af en sådan aftale,
3) behandlingen er nødvendig af hensyn til udførelsen af
en opgave i samfundets interesse,
4) behandlingen er nødvendig til beskyttelse af væsentlige
hensyn til statens sikkerhed eller rigets forsvar,
5) behandlingen er nødvendig af hensyn til udførelsen af
en opgave, der henhører under offentlig myndigheds-
udøvelse, som Center for Cybersikkerhed eller en tred-
jemand, til hvem oplysningerne videregives, har fået
pålagt,
6) behandlingen er nødvendig for, at Center for Cybersik-
kerhed eller den tredjemand, til hvem oplysningerne vi-
deregives, kan forfølge en berettiget interesse, og hen-
synet til den pågældende person ikke overstiger denne
interesse, eller
7) behandlingen vedrører personoplysninger, der er om-
fattet af kapitel 4.
§ 11. Der må ikke behandles personoplysninger om race-
mæssig eller etnisk baggrund, politisk, religiøs eller filoso-
fisk overbevisning, fagforeningsmæssige tilhørsforhold og
personoplysninger om helbredsmæssige og seksuelle for-
hold.
Stk. 2. Bestemmelsen i stk. 1 finder ikke anvendelse, hvis
1) den pågældende person har givet sit udtrykkelige sam-
tykke til en sådan behandling,
2) behandlingen vedrører personoplysninger, som er ble-
vet offentliggjort af den pågældende person,
3) behandlingen er nødvendig for, at et retskrav kan fast-
lægges, gøres gældende eller forsvares,
4) behandlingen er nødvendig til beskyttelse af væsentlige
hensyn til statens sikkerhed eller rigets forsvar, eller
5) behandlingen vedrører personoplysninger, der er om-
fattet af kapitel 4.
§ 12. Der må ikke behandles personoplysninger om straf-
bare forhold, væsentlige sociale problemer og andre rent pri-
vate forhold end de i § 11, stk. 1, nævnte, medmindre det er
nødvendigt for varetagelsen af Center for Cybersikkerheds
opgaver.
Stk. 2. De i stk. 1 nævnte personoplysninger må ikke vi-
deregives. Videregivelse kan dog ske, hvis
1) den pågældende person har givet sit udtrykkelige sam-
tykke til videregivelsen,
2) videregivelsen sker til varetagelse af private eller of-
fentlige interesser, der klart overstiger hensynet til de
interesser, der begrunder hemmeligholdelse, herunder
hensynet til den, oplysningen angår,
3) videregivelsen er nødvendig for udførelsen af en myn-
digheds virksomhed eller påkrævet for en afgørelse,
som myndigheden skal træffe,
2
4) videregivelsen er nødvendig for udførelsen af en per-
sons eller virksomheds opgaver for det offentlige, eller
5) videregivelsen omfatter personoplysninger, der er om-
fattet af kapitel 4.
§ 13. Behandling af personoplysninger skal tilrettelægges
således, at der foretages fornøden ajourføring af oplysnin-
gerne. Der skal endvidere foretages den fornødne kontrol for
at sikre, at der ikke behandles urigtige eller vildledende per-
sonoplysninger. Personoplysninger, der viser sig urigtige el-
ler vildledende, skal snarest muligt slettes eller berigtiges.
§ 14. Indsamlede personoplysninger må ikke opbevares
på en måde, der giver mulighed for at identificere den på-
gældende person i et længere tidsrum end det, der er nød-
vendigt af hensyn til de formål, hvortil oplysningerne be-
handles.
Kapitel 7
Analyse, videregivelse og sletning af data
§ 15. Analyse af pakkedata, der er omfattet af §§ 4, 6 og
7, må kun finde sted ved begrundet mistanke om en sikker-
hedshændelse og kun i det omfang, det er nødvendigt for af-
klaring af forhold vedrørende hændelsen.
§ 16. Data, der er omfattet af §§ 4, 6 og 7, kan kun videre-
gives i følgende tilfælde:
1) Ved begrundet mistanke om en sikkerhedshændelse
kan data videregives til politiet.
2) Ved begrundet mistanke om en sikkerhedshændelse og
hvis det er nødvendigt for udførelsen af netsikkerheds-
tjenestens opgaver, kan trafikdata videregives til dan-
ske myndigheder, udbydere af offentlige elektroniske
kommunikationsnet og -tjenester, andre netsikkerheds-
tjenester, virksomheder, der er omfattet af §§ 4, 6 og 7,
samt til myndigheder og virksomheder i øvrigt i forbin-
delse med Center for Cybersikkerheds udsendelse af
sikkerhedsvarslinger.
§ 17. Data, der er omfattet af kapitel 4, slettes, når formå-
let med behandlingen er opfyldt.
Stk. 2. Uanset at formålet med behandlingen ikke er op-
fyldt, jf. stk. 1, må
1) data, der knytter sig til en sikkerhedshændelse, højst
opbevares i tre år, og
2) data, der ikke knytter sig til en sikkerhedshændelse,
højst opbevares i 13 måneder.
Stk. 3. Fristerne i stk. 2 regnes fra tidspunktet for Center
for Cybersikkerheds registrering af de pågældende data.
Stk. 4. Er data videregivet i medfør af § 16, finder stk. 1
og 2 ikke anvendelse på disse data.
Kapitel 8
Sikkerhedsforanstaltninger
§ 18. Center for Cybersikkerhed træffer passende tekniske
og organisatoriske foranstaltninger mod, at oplysninger hæn-
deligt eller ulovligt tilintetgøres, fortabes eller forringes,
samt mod, at de kommer til uvedkommendes kendskab, mis-
bruges eller i øvrigt behandles i strid med loven.
Stk. 2. For oplysninger, som er af særlig interesse for
fremmede magter, skal Center for Cybersikkerhed træffe
foranstaltninger, der muliggør bortskaffelse eller tilintetgø-
relse i tilfælde af krig eller lignende forhold.
Kapitel 9
Tilsyn med behandling af personoplysninger
§ 19. Tilsynet med Efterretningstjenesterne, jf. § 16 i lov
om Politiets Efterretningstjeneste (PET), fører efter reglerne
i dette kapitel tilsyn med Center for Cybersikkerheds be-
handling af personoplysninger.
Stk. 2. Tilsynet udøver sine funktioner i fuld uafhængig-
hed.
§ 20. Tilsynet påser efter klage eller af egen drift, at Cen-
ter for Cybersikkerhed overholder reglerne i kapitel 4, 6 og
7 vedrørende behandling af personoplysninger.
§ 21. Tilsynet kan som led i sin virksomhed efter § 20 af-
give udtalelse over for Center for Cybersikkerhed.
Stk. 2. Tilsynet underretter forsvarsministeren om forhold,
som ministeren efter tilsynets opfattelse bør have kendskab
til.
Stk. 3. Hvis Center for Cybersikkerhed undtagelsesvis be-
slutter ikke at følge en henstilling i en udtalelse fra tilsynet,
jf. stk. 1, skal centeret underrette tilsynet herom og uden
unødigt ophold forelægge sagen for forsvarsministeren til
afgørelse.
§ 22. Tilsynet kan hos Center for Cybersikkerhed kræve
enhver oplysning og alt materiale, der er af betydning for
dets virksomhed.
Stk. 2. Tilsynets medlemmer og sekretariat har til enhver
tid mod behørig legitimation uden retskendelse adgang til
alle lokaler, hvorfra en behandling, som foretages for Center
for Cybersikkerhed, administreres, hvorfra der er adgang til
de oplysninger, som behandles, eller hvor tekniske hjælpe-
midler opbevares eller anvendes.
Stk. 3. Tilsynet kan afkræve Center for Cybersikkerhed
skriftlige udtalelser om faktiske og retlige forhold.
Stk. 4. Tilsynet kan anmode om, at en repræsentant for
Center for Cybersikkerhed er til stede med henblik på at re-
degøre for de behandlede sager.
§ 23. Tilsynets virksomhed er undtaget fra lov om offent-
lighed i forvaltningen bortset fra lovens § 13.
Stk. 2. Tilsynets virksomhed er undtaget fra forvaltnings-
lovens kapitel 4-6 og fra lov om behandling af personoplys-
ninger.
§ 24. Tilsynet afgiver en årlig redegørelse om sin virk-
somhed til forsvarsministeren. Redegørelsen offentliggøres.
Kapitel 10
Ikrafttrædelses- og overgangsbestemmelser m.v.
§ 25. Loven træder i kraft den 1. juli 2014.
Stk. 2. Lov nr. 596 af 14. juni 2011 om behandling af per-
sonoplysninger ved driften af den statslige varslingstjeneste
for internettrusler m.v. ophæves.
3
Stk. 3. Aftaler, der er indgået efter den i stk. 2 nævnte lov,
opretholdes, indtil de bortfalder efter deres indhold eller op-
siges.
Stk. 4. Loven finder ikke anvendelse på pakke- og trafik-
data, der er indsamlet efter den i stk. 2 nævnte lov. For så-
danne data finder de hidtil gældende regler anvendelse.
Stk. 5. Loven finder ikke anvendelse på begæringer om
aktindsigt, der er indgivet før lovens ikrafttræden. For så-
danne begæringer finder de hidtil gældende regler anvendel-
se.
§ 26. Loven gælder ikke for Færøerne og Grønland, men
kan ved kongelig anordning sættes helt eller delvis i kraft
for Færøerne og Grønland med de ændringer, som de færøs-
ke og grønlandske forhold tilsiger.
4
Bemærkninger til lovforslaget
Almindelige bemærkninger
Indholdsfortegnelse
1. Indledning
2. Baggrunden for lovforslaget
2.1. Oprettelsen af Center for Cybersikkerhed
2.2. Reguleringen af Center for Cybersikkerheds virksomhed
2.3. Udviklingen i trusselsbilledet
2.4. Lovforslagets formål
3. Lovforslagets hovedindhold
3.1. Center for Cybersikkerheds netsikkerhedstjeneste
3.1.1. Gældende ret
3.1.2. Forsvarsministeriets overvejelser
3.1.3. Den foreslåede ordning
3.2. Indgreb i meddelelseshemmeligheden
3.2.1. Gældende ret
3.2.2. Forsvarsministeriets overvejelser
3.2.3. Den foreslåede ordning
3.3. Forholdet til anden lovgivning samt behandling af personoplysninger i Center for Cybersikkerhed
3.3.1. Gældende ret
3.3.2. Forsvarsministeriets overvejelser
3.3.3. Den foreslåede ordning
3.4. Opbevaring og sletning af data
3.4.1. Gældende ret
3.4.2. Forsvarsministeriets overvejelser
3.4.3. Den foreslåede ordning
3.5. Videregivelse af data
3.5.1. Gældende ret
3.5.2. Forsvarsministeriets overvejelser
3.5.3. Den foreslåede ordning
3.6. Tilsyn med behandling af personoplysninger
3.6.1. Gældende ret
3.6.2. Forsvarsministeriets overvejelser
3.6.3. Den foreslåede ordning
4. Økonomiske og administrative konsekvenser for det offentlige
5. Økonomiske og administrative konsekvenser for erhvervslivet m.v.
6. Administrative konsekvenser for borgerne
7. Miljømæssige konsekvenser
8. Forholdet til EU-retten
9. Hørte myndigheder og organisationer m.v.
10. Sammenfattende skema
11. Bemærkninger til lovforslagets enkelte bestemmelser
12. Bilag: Evaluering af GovCERT-loven
1. Indledning
Der er den 1. maj 2014 indgået en politisk aftale om lov-
forslaget. Aftalen er gengivet i den skriftlige fremsættelses-
tale.
Danske myndigheder og virksomheder er i stigende grad
udsat for cyberangreb, hvor stater, grupper og enkeltperso-
ner forsøger at trænge ind i den danske it- og teleinfrastruk-
tur. Det kan således konstateres, at både statslige aktører,
aktivister og kriminelle organisationer bruger internettet til
at spionere mod Danmark eller til at anrette skade på eksem-
pelvis danske hjemmesider og servere. Truslen om sådanne
angreb medfører en betydelig og stigende sikkerhedsrisiko
for et højt digitaliseret samfund som det danske.
For at øge beskyttelsen mod cyberangreb oprettede rege-
ringen i 2012 Center for Cybersikkerhed som en del af For-
svarets Efterretningstjeneste. Center for Cybersikkerhed va-
retager funktionen som Danmarks nationale it-sikkerheds-
5
myndighed, og centerets hovedopgave er at styrke sikkerhe-
den i den informations- og kommunikationsteknologiske in-
frastruktur (ikt-infrastruktur), som samfundsvigtige funktio-
ner er afhængige af.
Formålet med dette lovforslag er at etablere et samlet lov-
grundlag for Center for Cybersikkerhed, herunder at styrke
centerets muligheder for at undersøge og forebygge cyber-
angreb samt at regulere centerets behandling af personoplys-
ninger.
2. Baggrunden for lovforslaget
2.1. Oprettelsen af Center for Cybersikkerhed
Ved kongelig resolution af 3. oktober 2011 blev ressortan-
svaret for sager vedrørende beskyttelse af kritisk it-infra-
struktur samt statens varslingstjeneste for internettrusler,
GovCERT, overført til Forsvarsministeriet.
Af regeringsgrundlaget af samme dato, »Et Danmark, der
står sammen«, fremgår det endvidere, at »[r]egeringen vil
med respekt for retssikkerheden og den personlige frihed
styrke beskyttelsen mod cyberangreb. En robust infrastruk-
tur for informations- og kommunikationsteknologi er vigtig
for landets økonomi og sikkerhed. For at styrke beskyttelsen
mod cyberangreb mv. samles de forskellige myndigheders
indsats i et IT sikkerhedscenter (under Forsvarsministeriet),
der skal varetage opgaven som den nationale IT-sikkerheds-
myndighed og Governmental Computer Emergency Re-
sponse Team (GovCERT).«
På den baggrund blev Center for Cybersikkerhed den 18.
december 2012 oprettet som en del af Forsvarets Efterret-
ningstjeneste. Baggrunden for placeringen af Center for Cy-
bersikkerhed ved Forsvarets Efterretningstjeneste var særligt
at opnå synergieffekter i form af eksempelvis udnyttelse af
Forsvarets Efterretningstjenestes erfaringer inden for it-sik-
kerhedsområdet, viden om det internationale trusselsbillede
på cyberområdet og særlige adgang til oplysninger fra ud-
landet om cybertrusler.
Center for Cybersikkerhed varetager bl.a. følgende opga-
ver:
– GovCERT (Governmental Computer Emergency Re-
sponse Team), der er den statslige varslingstjeneste for
internettrusler. GovCERT blev oprettet i 2009 og var
tidligere en del af IT- og Telestyrelsen.
– MILCERT (Military Computer Emergency Response
Team), der er varslingstjeneste for internettrusler på For-
svarsministeriets område og siden oprettelsen i 2010 har
været en del af Forsvarets Efterretningstjeneste.
– National it-sikkerhedsmyndighed. Politiets Efterretnings-
tjeneste varetager dog funktionen som it-sikkerhedsmyn-
dighed på Justitsministeriets område.
– Informationssikkerhed og beredskab på teleområdet. Op-
gaven blev tidligere varetaget af IT- og Telestyrelsen.
Center for Cybersikkerheds opgaver er nærmere beskrevet
i bemærkningerne til den foreslåede § 1.
I forbindelse med oprettelsen af Center for Cybersikker-
hed besluttede regeringen, at forsvarsministeren skulle frem-
sætte et lovforslag, der regulerer Center for Cybersikkerheds
virksomhed. Dette forslag til lov om Center for Cybersik-
kerhed udmønter regeringsbeslutningen.
2.2. Reguleringen af Center for Cybersikkerheds virksomhed
Forsvarets Efterretningstjenestes virksomhed er reguleret
ved lov nr. 602 af 12. juni 2013 om Forsvarets Efterret-
ningstjeneste (FE-loven), der trådte i kraft den 1. januar
2014. Lovens § 1, stk. 3, har følgende ordlyd: »Forsvarets
Efterretningstjeneste er national it-sikkerhedsmyndighed,
militær varslingstjeneste for internettrusler m.v. (MIL-
CERT) og statslig varslingstjeneste for internettrusler (Gov-
CERT). Opgaver i medfør heraf er ikke omfattet af kapitel
2-7, men reguleres særskilt«. Bestemmelsen indebærer, at
Center for Cybersikkerhed er omfattet af FE-lovens § 2, som
fastslår, at Forsvarets Efterretningstjeneste er underlagt og
virker under ansvar over for forsvarsministeren, samt at For-
svarets Efterretningstjeneste inden for sit ansvarsområde
holder Forsvarsministeriet underrettet om forhold af betyd-
ning for Danmark og danske interesser, om forhold af væ-
sentlig betydning for tjenestens virksomhed og om vigtigere
enkeltsager.
GovCERT’s virksomhed er i øvrigt reguleret ved lov nr.
596 af 14. juni 2011 om behandling af personoplysninger
ved driften af den statslige varslingstjeneste for internettrus-
ler m.v. (GovCERT-loven). Forslaget til GovCERT-loven
blev ved Folketingets 3. behandling den 1. juni 2011 vedta-
get med 111 stemmer for og ingen stemmer imod forslaget.
Endvidere er Center for Cybersikkerhed som helhed om-
fattet af Forsvarsministeriets retningslinjer af 13. maj 2013
for behandling af personoplysninger m.v. i Center for Cy-
bersikkerhed ved Forsvarets Efterretningstjeneste. Med ret-
ningslinjerne er der fastsat en række bestemmelser om be-
handlingsgrundlag og behandlingssikkerhed ved behandling
af personoplysninger i Center for Cybersikkerhed. Bestem-
melserne bygger på principperne i persondataloven. Ret-
ningslinjerne fastsætter derudover en række bestemmelser
om den interne udveksling af oplysninger mellem Center for
Cybersikkerhed og den øvrige del af Forsvarets Efterret-
ningstjeneste.
Retningslinjerne kan ses på Center for Cybersikkerheds
hjemmeside, www.cfcs.dk.
2.3. Udviklingen i trusselsbilledet
Det danske samfund er i stigende grad afhængigt af at
kunne anvende mulighederne på internettet. Internettet er i
dag af central betydning for befolkningens økonomiske vel-
færd og sociale relationer og for centrale, vigtige samfunds-
funktioner samt erhvervslivets forretnings- og konkurrence-
vilkår.
Informations- og kommunikationsteknologi (ikt) og digi-
talisering får stadig større betydning for den danske økono-
mi, og betydningen forventes fortsat at stige i årene frem-
over. Digitalisering er en af de vigtigste faktorer, der kan bi-
drage til at øge produktiviteten i virksomhederne samt skabe
nye produkter, tjenester og forretningsmodeller.
6
I december 2012 fremlagde Europa-Kommissionen såle-
des en opdateret version af sin ikt-strategi fra 2010 (Europas
Digitale Dagsorden). Heri fremhæves det, at Europas fremti-
dige vækst og konkurrenceevne afhænger af evnen til at ud-
nytte alle de digitale muligheder. På trods af fremskridt på
den digitale dagsorden er der ifølge Kommissionen behov
for at gøre mere, hvis Europa skal opnå den vækst og kon-
kurrenceevne, som ikt kan bibringe. Kommissionen vurde-
rer, at fuld implementering af den opdaterede ikt-strategi vil
øge EU’s bruttonationalprodukt med 5 pct. frem mod 2020
(svarende til 1.500 euro pr. borger).
Cyberangrebet på Georgien under den kortvarige væbnede
konflikt med Rusland i 2008 samt de omfattende og koordi-
nerede cyberangreb mod Estland i 2007, der satte en række
vigtige samfundsfunktioner ud af drift, er eksempler på cy-
berangreb, der har været med til at sætte cybersikkerhed på
den internationale dagsorden. Det er endvidere konstateret,
at it-baseret spionage og tyveri af intellektuel ejendom i de
senere år har medført et betragteligt værditab i flere lande.
Forsvarets Efterretningstjeneste vurderer, at de alvorligste
cybertrusler mod Danmark i øjeblikket kommer fra statslige
aktører, der udnytter internettet til at spionere og stjæle
dansk intellektuel ejendom, f.eks. patenteret viden, forsk-
ningsresultater og forretningshemmeligheder. Truslen kom-
mer navnlig fra stater, som bruger informationerne til at un-
derstøtte deres egen økonomiske, militære og samfunds-
mæssige udvikling. Der er tegn på, at nogle stater bruger
private hackere til at udføre cyberangreb på statens vegne.
En stat kan på denne måde unddrage sig et juridisk og poli-
tisk ansvar, da det ofte er vanskeligt at påvise, at den pågæl-
dende stat står bag.
Truslen på cyberområdet kommer også fra såkaldte hack-
tivister, dvs. hackere, hvis aktivitet ofte er politisk motive-
ret. Derudover kan hackere have økonomiske motiver.
Hackerne kan besidde store tekniske færdigheder og er i
stand til at forstyrre eller anrette skade på eksempelvis dan-
ske hjemmesider og servere.
Imidlertid er også militante islamister i stigende grad be-
gyndt at vise interesse for at anvende internettet til at udføre
cyberangreb, og al-Qaida har i en video opfordret til såkaldt
elektronisk jihad mod vestlige lande. De militante islamister
anser dog fortsat cyberangreb og hacking for sekundære an-
grebsmåder i forhold til traditionelle terrorangreb.
Et særligt fokusområde er den såkaldte insider-trussel,
som kommer fra ansatte, der ubevidst eller bevidst bryder
sikkerheden på deres arbejdsplads og derved medvirker til
tyveri af data eller overfører skadelig software. Dette kan
ske ved manglende kendskab til eller forståelse for opstille-
de sikkerhedsbestemmelser eller bevidst for at røbe udvalgte
informationer.
Teknologien vil i fremtiden blive endnu mere kompleks.
Antallet af maskiner og udstyr, der bliver opkoblet til inter-
nettet, stiger kraftigt hvert år, og ansatte i offentlige myndig-
heder, virksomheder og organisationer vil i stigende omfang
kunne få adgang til informationer i myndighedernes, virk-
somhedernes eller organisationernes netværk fra mobile en-
heder, ligesom flere informationer vil blive lagret på inter-
nettet (cloud storage) og ikke på lokale servere eller compu-
tere. Det medfører et ændret risikobillede og vil kræve nye
sikkerhedsforanstaltninger.
Danmark er et af de lande i verden, hvor den offentlige
sektor er kommet længst med at bruge it og ny teknologi til
at forny og udvikle velfærdssamfundet. Imidlertid ønsker re-
geringen, regioner og kommuner at sætte endnu mere fart på
anvendelsen af digitale løsninger til at forny den offentlige
sektor og gøre den mere effektiv. Den fællesoffentlige digi-
taliseringsstrategi skal således bidrage væsentligt til at reali-
sere potentialet og dermed til at sikre en holdbar samfunds-
økonomi. Danmarks digitale førerposition skal således dan-
ne afsæt for de næste store skridt på den digitale vej til frem-
tidens velfærd, og i det fortsatte arbejde med at etablere en
tidssvarende og robust offentlig digital infrastruktur, der kan
håndtere, at stadig flere af velfærdssamfundets kritiske pro-
cesser foregår digitalt, vil sikkerhed være et af de væsentlig-
ste indsatsområder.
På den baggrund ønsker regeringen med dette lovforslag
at styrke Center for Cybersikkerheds muligheder for at be-
skytte Danmark mod fremtidige cyberangreb, der er rettet
mod den danske it- og teleinfrastruktur og øvrig ikt-infra-
struktur, som samfundsvigtige funktioner er afhængige af,
f.eks. inden for energi- og vandforsyning eller kontrolsyste-
mer i industrien.
Det bemærkes, at Forsvarets Efterretningstjenestes årlige
efterretningsmæssige risikovurdering kan ses på hjemmesi-
den www.fe-ddis.dk, ligesom Center for Cybersikkerhed lø-
bende udgiver trusselsvurderinger, situationsbilleder og vej-
ledninger, der offentliggøres på hjemmesiden www.cfcs.dk.
2.4. Lovforslagets formål
Formålet med dette lovforslag er først og fremmest at etab-
lere et samlet lovgrundlag for Center for Cybersikkerhed.
Som led heri foreslås den regulering af den statslige vars-
lingstjeneste for internettrusler, som i dag sker i GovCERT-
loven, videreført og opdateret på en række områder på bag-
grund af de erfaringer, der er gjort med GovCERT-loven si-
den lovens ikrafttræden i 2011. Dette sker bl.a. på baggrund
af en evaluering af GovCERT-loven, som er gennemført i
henhold til GovCERT-lovens § 9. En redegørelse, som er
udarbejdet på baggrund af evalueringen, er optrykt som bi-
lag til dette lovforslag.
Særligt på baggrund af den alvorlige udvikling i trussels-
billedet foreslås det med lovforslaget, at Center for Cyber-
sikkerhed får styrket mulighederne for at beskytte Danmark
mod cyberangreb. Det vil især ske ved en udvidelse af cen-
terets muligheder for at undersøge sikkerhedshændelser,
herunder cyberangreb, i samarbejde med myndigheder og
virksomheder, således at der i større omfang end i dag kan
indhentes de informationer, som er nødvendige for at afkla-
re, hvilke angrebsværktøjer og -metoder som er anvendt ved
sikkerhedshændelser. Dette vil styrke muligheden for at
forebygge nye og tilsvarende hændelser. Styrkelsen vil ske
med respekt for retssikkerheden og den personlige frihed.
7
Det følger af § 2, stk. 11, i lov nr. 429 af 31. maj 2000 om
behandling af personoplysninger (persondataloven), at loven
ikke gælder for behandlinger, der udføres for politiets og
forsvarets efterretningstjenester. Da Center for Cybersikker-
hed er en del af Forsvarets Efterretningstjeneste, finder per-
sondataloven således ikke anvendelse på centerets virksom-
hed. Med lovforslaget foreslås det imidlertid, at en række af
de centrale principper i persondataloven også skal finde an-
vendelse på Center for Cybersikkerheds virksomhed. Data-
tilsynet vil dog ikke skulle føre tilsyn med Center for Cyber-
sikkerheds overholdelse af lovforslagets bestemmelser om
behandling af personoplysninger. Denne tilsynsopgave vil
blive varetaget af Tilsynet med Efterretningstjenesterne.
3. Lovforslagets hovedindhold
3.1. Center for Cybersikkerheds netsikkerhedstjeneste
3.1.1. Gældende ret
I dag omfatter Center for Cybersikkerhed to separate
CERT’er (Computer Emergency Response Team): Gov-
CERT er den statslige varslingstjeneste for internettrusler,
og tjenesten dækker statslige, regionale og kommunale myn-
digheder samt visse virksomheder, mens MILCERT er vars-
lingstjeneste for internettrusler m.v. på Forsvarsministeriets
område.
Begge CERT’er monitorerer løbende aktiviteterne på de
tilsluttede myndigheders og virksomheders forbindelser til
eksterne netværk, herunder internettet. Indsamlingen af data
sker primært ved hjælp af elektroniske alarmenheder, som er
opsat hos de enkelte myndigheder og virksomheder, hvor de
monitorerer ind- og udgående netværkskommunikation, her-
under internetkommunikation.
Denne monitorering giver CERT’erne et normalbillede af
netværkskommunikationen og dermed også det overblik, der
er nødvendigt for at opdage afvigelser. Cyberangreb og an-
dre sikkerhedshændelser kan således optræde som afvigelser
fra normalbilledet og udløse en alarm hos CERT’en, hvoref-
ter alarmen vil blive behandlet. Behandlingen kan omfatte
en analyse, hvis resultat danner baggrund for udsendelse af
en sikkerhedsvarsling fra Center for Cybersikkerhed, råd-
givning om modforholdsregler samt bistand til myndighe-
derne ved omfattende sikkerhedshændelser. På MILCERT’s
område kan behandlingen tillige resultere i påbud til Forsva-
rets myndigheder om iværksættelse af særlige forholdsregler
m.v.
I andre tilfælde opdages cyberangreb ad anden vej, f.eks.
ved at der konstateres uregelmæssigheder hos en angrebet
myndighed eller virksomhed. Såfremt analysen heraf kan af-
gøre, hvordan angrebet eller angrebsforsøget har fundet
sted, vil CERT’erne sikre, at alarmenhederne hos de tilslut-
tede myndigheder og virksomheder opdateres, således at lig-
nende angrebsforsøg straks kan opdages. CERT’ernes moni-
torering af netværkskommunikation sikrer således, at der lø-
bende sker en styrkelse af cybersikkerheden i Danmark.
Det er først og fremmest statslige myndigheder, som kan
tilsluttes GovCERT. Tilslutningen er frivillig. Kommunale
og regionale myndigheder samt private virksomheder, som
er beskæftiget med kritisk infrastruktur, kan blive tilsluttet
GovCERT i det omfang, GovCERT har kapacitet hertil, jf.
GovCERT-lovens § 2.
På nuværende tidspunkt er langt de fleste ministerområder
tilsluttet GovCERT, hvortil kommer enkelte kommuner, re-
gioner og virksomheder. En række myndigheder på For-
svarsministeriets område er tilsluttet MILCERT.
3.1.2. Forsvarsministeriets overvejelser
Med etableringen af GovCERT og MILCERT er der taget
et vigtigt skridt for at øge beskyttelsen mod cyberangreb. De
to CERT’er udfører således en vigtig opgave, hvor en række
sikkerhedshændelser løbende bliver opdaget, ligesom
CERT’erne ved større cyberangreb mod myndigheder og
virksomheder har ydet en effektiv assistance til de ramte in-
stitutioner.
Det er imidlertid Forsvarsministeriets opfattelse, at såvel
den teknologiske udvikling som udviklingen i trusselsbille-
det giver behov for en styrkelse af statens CERT-funktion.
Først og fremmest vil der, i overensstemmelse med hen-
sigten bag samlingen af myndighedernes indsats i Center for
Cybersikkerhed, kunne ske en bedre udnyttelse af de samle-
de ressourcer, såfremt de to CERT’er – der grundlæggende
udfører de samme opgaver i forhold til henholdsvis civile
aktører og myndigheder på Forsvarsministeriets område –
ses som én samlet netsikkerhedstjeneste, der varetager sta-
tens samlede CERT-funktion. Dermed vil der kunne opnås
en række synergieffekter, ligesom den samlede kapacitet,
som kan indsættes ved større cyberangreb, vil blive væsent-
ligt større.
Samtidig er der behov for, at netsikkerhedstjenesten også i
højere grad kan inddrage Center for Cybersikkerheds øvrige
sikkerhedstekniske eksperter, som f.eks. kan undersøge it-
udstyr, der har været ramt af angreb, med henblik på at klar-
lægge angrebsmetoder og -værktøjer. Center for Cybersik-
kerheds samlede aktiviteter inden for både opdagelse af sik-
kerhedshændelser og efterfølgende sikkerhedsteknisk analy-
se af disse bør derfor samles i én funktion og underlægges
samme regulering, således at der som udgangspunkt heller
ikke skelnes mellem, om opgaverne er forebyggende eller
afhjælpende, eller mellem, om opgaverne udføres på det ci-
vile eller militære område.
Den nuværende afgrænsning, hvor kredsen af virksomhe-
der, der kan tilsluttes GovCERT, kun omfatter virksomhe-
der, som er beskæftiget med kritisk infrastruktur, har endvi-
dere vist sig at være uhensigtsmæssig. Afgrænsningen inde-
bærer, at det i dag i vidt omfang ikke er muligt at tilslutte
virksomheder, der f.eks. leverer livsvigtige medicinalpro-
dukter, fremstiller vigtige komponenter til Forsvaret, eller
varetager drift af offentlige myndigheders administrative it-
systemer, eller som på grund af samfundsvigtige forsknings-
aktiviteter er særligt udsatte for cyberangreb. Det skyldes, at
disse funktioner ikke umiddelbart efter GovCERT-loven an-
ses for at være en del af samfundets kritiske infrastruktur.
For at opnå et optimalt beskyttelsesniveau er der behov for
8
at sikre, at også virksomheder, der mere generelt varetager
samfundsvigtige funktioner, kan tilsluttes en CERT.
I dag sker tilslutning til GovCERT alene på grundlag af
faste tilslutningsaftaler. Det er imidlertid Forsvarsministeri-
ets opfattelse, at der er behov for, at myndigheder og virk-
somheder også på midlertidig basis kan tilsluttes en CERT.
En midlertidig tilslutning kan for det første være hensigts-
mæssig i forhold til myndigheder og virksomheder, som ik-
ke normalt er udsat for et sådant trusselsbillede, at en fast
tilslutning til en CERT er hensigtsmæssig, men som på
grund af aktuelle begivenheder i en kortere periode er udsat
for et så konkret trusselsbillede, at der er behov for den eks-
tra sikkerhed, som en tilslutning indebærer.
En midlertidig tilslutning bør for det andet kunne ske, hvis
en virksomhed, der ikke er beskæftiget med samfundsvigti-
ge funktioner, udsættes for et særligt alvorligt cyberangreb,
der kan påvirke samfundsvigtige funktioner. Der vil f.eks.
kunne være tale om, at det konstateres, at en virksomheds it-
system uden virksomhedens vidende indgår i et skadeligt
netværk beregnet til cyberangreb, hvorfra der rettes angreb
mod offentlige myndigheder, eller hvortil hackere henter
følsomme oplysninger fra myndigheder eller virksomheder.
Den midlertidige tilslutning bør dog forudsætte, at myn-
digheden eller virksomheden har anmodet Center for Cyber-
sikkerhed om at blive tilsluttet, samt at der er begrundet
mistanke om en sikkerhedshændelse.
I forhold til både tilsluttede og ikke-tilsluttede myndighe-
der og virksomheder kan Forsvarsministeriet endvidere kon-
statere et stort behov for, at Center for Cybersikkerhed efter
et cyberangreb kan analysere data fra en kompromitteret
computer, server eller andet informationssystem, dels for at
kunne bistå den ramte myndighed eller virksomhed med at
afhjælpe følger af angrebet, dels for at kunne styrke de fore-
byggende foranstaltninger ved at opdatere CERT’ernes
alarmenheder på baggrund af resultatet af en analyse af den
konkrete sikkerhedshændelse. Der er derfor behov for, at
Center for Cybersikkerhed får hjemmel til at foretage denne
type analyse, som bør kunne ske i de tilfælde, hvor myndig-
heden eller virksomheden giver skriftligt samtykke hertil.
De to CERT’ers nuværende virksomhed er primært base-
ret på de alarmenheder, der er beskrevet i afsnit 3.1.1, og
som ligeledes er detaljeret beskrevet i bemærkningerne til
forslaget til GovCERT-loven (lovforslag L 197, 1. samling
2010-11, afsnit 3.3). Den teknologiske udvikling på cyber-
sikkerhedsområdet betyder imidlertid, at der løbende udvik-
les nye tekniske hjælpemidler, som giver mulighed for en
mere effektiv sikring mod cyberangreb, og Forsvarsministe-
riet finder derfor, at det bør sikres, at Center for Cybersik-
kerhed ikke er bundet til at anvende en bestemt teknologi,
men at de rammer, der fastsættes for CERT-aktiviteterne, er
teknologineutrale og således gælder uanset valg af teknolo-
gi.
3.1.3. Den foreslåede ordning
Forsvarsministeriet foreslår, at GovCERT’s og MIL-
CERT’s aktiviteter samt Center for Cybersikkerheds øvrige
aktiviteter i tilknytning til CERT-aktiviteterne fremover be-
tegnes »Center for Cybersikkerheds netsikkerhedstjeneste«,
og at disse aktiviteter som udgangspunkt underlægges sam-
me regulering. Betegnelsen »netsikkerhedstjeneste« er ny og
vil erstatte betegnelsen »varslingstjeneste«, som anvendes i
GovCERT-loven.
Center for Cybersikkerheds netsikkerhedstjeneste vil være
betegnelsen for centerets funktion som netsikkerhedstjeneste
og dækker altså ikke over en afgrænset organisatorisk enhed
i centeret. Funktionen som netsikkerhedstjeneste vil omfatte
den samlede kapacitet i forbindelse med monitorering af
netværkskommunikation, hvilket primært vil sige den nuvæ-
rende GovCERT, MILCERT og centerets sikkerhedstekni-
ske kapacitet, samt støttefunktioner, f.eks. af juridisk karak-
ter.
Der henvises i øvrigt til bemærkningerne til den foreslåe-
de § 3.
Det foreslås endvidere, at kredsen af virksomheder, der
kan tilsluttes netsikkerhedstjenesten, udvides, således at
virksomheder, der er beskæftiget med samfundsvigtige
funktioner, kan tilsluttes. Det vil fortsat være frivilligt, om
statslige myndigheder uden for Forsvarsministeriets område,
regioner og kommuner samt virksomheder, der er beskæfti-
get med samfundsvigtige funktioner, ønsker at blive tilslut-
tet netsikkerhedstjenesten.
For så vidt angår regioner og kommuner samt virksomhe-
der, der beskæftiger sig med samfundsvigtige funktioner, vil
det være Center for Cybersikkerhed, som træffer afgørelse
om, hvorvidt en anmodning om tilslutning kan imødekom-
mes. Det vil ske ud fra en vurdering af, om tilslutningen
konkret kan bidrage til at understøtte et højt informations-
sikkerhedsniveau i samfundet. Ved denne vurdering vil der
– ud over et hensyn til netsikkerhedstjenestens aktuelle ka-
pacitet – blive lagt vægt på, om den pågældende myndighed
eller virksomhed har en it-organisation og it-infrastruktur,
der kan sikre en optimal monitorering af netværkskommuni-
kation og indgå i en løbende dialog med netsikkerhedstjene-
sten, samt på at sikre, at de myndigheder og virksomheder,
som er tilsluttet netsikkerhedstjenesten, er repræsentative,
således at der kan opnås et samlet billede af informations-
sikkerhedsniveauet i Danmark. Kriterierne er nærmere ud-
dybet i bemærkningerne til den foreslåede § 3.
Den foreslåede udvidelse af kredsen af virksomheder, der
kan tilsluttes netsikkerhedstjenesten, vurderes ikke at ville
påvirke det private marked for it-sikkerhedsydelser negativt.
Netsikkerhedstjenestens brede dækningsområde samt tjene-
stens adgang til oplysninger fra andre netsikkerhedstjenester
og den øvrige del af Forsvarets Efterretningstjeneste inde-
bærer, at der ikke på det private marked findes sammenlig-
nelige sikkerhedsydelser, som virksomhederne kan benytte.
Samtidig kan netsikkerhedstjenestens ydelser ikke træde i
stedet for virksomhedernes øvrige it-sikkerhedsforanstalt-
ninger, men skal alene betragtes som et ekstra lag af sikker-
hed.
Imidlertid vurderes det, at den foreslåede ordning i et vist
omfang vil kunne påvirke det private marked for it-sikker-
9
hedsydelser positivt. Således vil de anbefalinger, som moni-
toreringen typisk resulterer i, kunne medføre et behov for at
styrke informationssikkerhedsniveauet hos de tilsluttede
virksomheder – og dermed en efterspørgsel efter it-sikker-
hedsydelser, der normalt vil blive leveret af private leveran-
dører.
Videre foreslås det, at Center for Cybersikkerhed får udvi-
det mulighederne for at indsamle erfaringer om sikkerheds-
hændelser hos myndigheder og virksomheder, når der der-
ved kan opnås en yderligere sikring af den danske ikt-infra-
struktur, som samfundsvigtige funktioner er afhængige af.
Det foreslås, at netsikkerhedstjenesten for en midlertidig pe-
riode på højst to måneder får mulighed for at gennemføre
monitorering af netværkskommunikationen hos en myndig-
hed eller virksomhed, der ikke fast er tilsluttet netsikker-
hedstjenesten, men som anmoder om at blive midlertidigt
tilsluttet netsikkerhedstjenesten og i den forbindelse giver
skriftligt samtykke til behandlingen. Det foreslås desuden, at
netsikkerhedstjenesten kan behandle data fra informations-
systemer såsom computere, servere m.v., der ejes af myn-
digheder eller virksomheder, når disse aktører anmoder net-
sikkerhedstjenesten om bistand og i den forbindelse giver
skriftligt samtykke hertil.
Der henvises til bemærkningerne til de foreslåede §§ 6 og
7 samt afsnit 3.2.
For at sikre, at netsikkerhedstjenesten kan tilpasse sig til
den teknologiske udvikling og til enhver tid kan anvende de
teknologier, som giver optimale muligheder for at opnå et
højt informationssikkerhedsniveau, sikres det endeligt, at re-
guleringen af netsikkerhedstjenesten ikke baseres på en be-
stemt teknologisk monitoreringsløsning.
3.2. Indgreb i meddelelseshemmeligheden
3.2.1. Gældende ret
Efter GovCERT-loven skal GovCERT behandle – og her-
under efter omstændighederne analysere – tilsluttede myn-
digheders og private virksomheders ind- og udgående pak-
ke- og trafikdata. Ved trafikdata forstås data, som behandles
som led i overførslen af internetbaseret kommunikation,
f.eks. e-mail-adresser eller hjemmesideadresser. Ved pakke-
data forstås selve indholdet af den internetbaserede kommu-
nikation, f.eks. indholdet af en e-mail eller indholdet af den
hjemmeside, som tilgås.
Denne behandling indebærer i begrænset omfang indgreb
i meddelelseshemmeligheden i grundlovens forstand, pri-
mært ved adgang til indholdet af kommunikation i form af
pakkedata. En sådan adgang har alene til formål at klarlæg-
ge konkrete sikkerhedshændelsers karakter, og GovCERT’s
interesse er rettet mod tekniske oplysninger om sikkerheds-
hændelserne, f.eks. analyse af en virus i en fil, der er ved-
hæftet en e-mail. Der vil i vidt omfang foreligge et samtyk-
ke, som indebærer, at det ikke er nødvendigt at indhente
retskendelse efter grundlovens § 72. Der forekommer imid-
lertid også tilfælde, hvor et sådant samtykke ikke foreligger,
og eftersom de pågældende pakkedatas nærmere karakter
normalt først kan fastslås ved en analyse, vil det i praksis ik-
ke være muligt at indhente en retskendelse. Derfor indehol-
der GovCERT-loven en undtagelse fra grundlovens krav
herom.
Denne undtagelse er indført på baggrund af en overvejelse
af nødvendigheden og proportionaliteten af ordningen, hvor
der blev lagt vægt på, at et overblik over sikkerheden på in-
ternettet og muligheden for at varsle om it-angreb nødven-
digvis forudsætter, at der er adgang til de pakkedata, som er
relaterede til de konkrete sikkerhedshændelser. Kun med ad-
gang til pakkedata kan konsekvenserne af sikkerhedshæn-
delsen klarlægges, herunder hvilke dokumenter, e-mails
m.v. der f.eks. er blevet kopieret og videresendt fra den til-
sluttede myndighed til en hacker. Skadens omfang kan her-
efter fastslås, og de relevante modforholdsregler kan beslut-
tes.
Som eksempel på en relevant sikkerhedshændelse nævnes
i bemærkningerne til GovCERT-loven (lovforslag L 197, 1.
samling 2010-11, afsnit 3.2), at en e-mail med et virusinfice-
ret PDF-dokument omgår både antivirusprogrammer og fire-
wall hos en myndighed og herefter kopierer og sender doku-
menter fra den inficerede computer tilbage til hackeren uden
myndighedens vidende. Hvis GovCERT ikke har adgang til
pakkedata, vil GovCERT ikke kunne analysere og reagere
over for denne virus sammen med den berørte myndighed.
Uden adgang til pakkedata vil det endvidere ikke være mu-
ligt for GovCERT at fastslå konsekvenserne af et vellykket
it-angreb for den berørte myndighed. De nødvendige oplys-
ninger til brug for effektiv analyse og håndtering af angreb
ligger således i pakkedata, og GovCERT vil ikke kunne
håndtere kritiske it-angreb på betryggende vis uden adgang
til pakkedata. Det er derfor både nødvendigt og proportio-
nalt, at GovCERT har adgang til pakkedata.
Ordningen blev endvidere vurderet i forholdet til artikel 8
i Den Europæiske Menneskerettighedskonvention, hvorefter
enhver har ret til respekt for sit privatliv og familieliv. Be-
skyttelsen efter artikel 8 omfatter både indgreb i meddelel-
seshemmeligheden, f.eks. monitorering af e-mailkorrespon-
dance og internetkommunikation, og offentlige myndighe-
ders indsamling, opbevaring og anvendelse m.v. af person-
oplysninger generelt.
Der blev ved vurderingen lagt vægt på, at den samfunds-
mæssige interesse i at forhindre og håndtere sikkerhedshæn-
delser af it-mæssig karakter for offentlige myndigheder må
anses for at overstige hensynet til privatlivet for de personer,
om hvilke GovCERT behandler personoplysninger. Ligele-
des blev der lagt vægt på, at aktiviteterne er begrænsede til
de tilsluttede myndigheder og virksomheders ind- og udgå-
ende data, samt at GovCERT’s formål ikke i sig selv er at
indsamle personoplysninger. Indsamlingen er i stedet en
uundgåelig konsekvens af varslingsopgaven. Personoplys-
ningerne vil derudover heller ikke blive offentliggjort.
Tværtimod er opbevaringen af oplysningerne underlagt
strenge sikkerhedsforanstaltninger, så bl.a. offentliggørelse
undgås.
Konklusionen var på den baggrund, at behandlingen ville
opfylde betingelserne i artikel 8, stk. 2, i Den Europæiske
Menneskerettighedskonvention.
10
3.2.2. Forsvarsministeriets overvejelser
Erfaringerne med GovCERT’s behandling – herunder ind-
samling, registrering, analyse og opbevaring – af ind- og ud-
gående pakkedata viser, at ordningen har fungeret efter hen-
sigten på det noget begrænsede anvendelsesområde. Som
forventet har det således i en lang række tilfælde vist sig, at
netop adgangen til indholdet af internetkommunikation –
pakkedata – har været et uundværligt redskab i GovCERT’s
arbejde med at vurdere it-sikkerheden for statslige myndig-
heders anvendelse af internettet og varsle myndigheder om
internetbaserede sikkerhedshændelser og trusler.
Med den gældende ordning, hvor GovCERT’s adgang til
pakkedata er begrænset til de situationer, hvor der ikke blot
er tale om en vag og udefineret mistanke om en sikkerheds-
hændelse, men hvor der kræves en klar indikation på en sik-
kerhedshændelse, er der efter Forsvarsministeriets opfattelse
på GovCERT’s dækningsområde opnået en hensigtsmæssig
balance mellem på den ene side hensynet til at understøtte et
højt informationssikkerhedsniveau og på den anden side re-
spekten for retssikkerheden og den personlige frihed.
På den baggrund anser Forsvarsministeriet det for velbe-
grundet at udbrede den velfungerende GovCERT-ordning til
også at omfatte dækningsområdet for MILCERT, der grund-
læggende udfører samme opgaver som GovCERT, blot på
Forsvarsministeriets område. Dermed vil det kunne sikres,
at der også på dette område skabes de bedst mulige forud-
sætninger for at understøtte et højt informationssikkerheds-
niveau. Afvejningerne i forhold til såvel grundlovens § 72
som artikel 8 i Den Europæiske Menneskerettighedskonven-
tion, jf. afsnit 3.2.1, er identiske i forhold til MILCERT og
fører til samme konklusion.
Som anført i afsnit 3.1 foreslås det med dette lovforslag, at
Center for Cybersikkerheds netsikkerhedstjeneste, der frem-
over vil omfatte både GovCERT og MILCERT, får mulig-
hed for at udføre monitorering af netværkskommunikation
hos myndigheder eller virksomheder, som i en midlertidig
periode på højst to måneder tilsluttes netsikkerhedstjenesten.
Denne ordning er baseret på samme hensyn, som gør sig
gældende i forhold til GovCERT’s nuværende opgave som
varslingstjeneste, og Forsvarsministeriet anser det for natur-
ligt, at der også ved midlertidige tilslutninger gives mulig-
hed for indgreb i meddelelseshemmeligheden ud fra samme
overvejelser om nødvendighed og proportionalitet, som er
anført i afsnit 3.2.1.
Endelig er der, som ligeledes beskrevet i afsnit 3.1, kon-
stateret et behov for, at Center for Cybersikkerhed efter et
cyberangreb kan analysere data fra en kompromitteret com-
puter, server eller andet informationssystem, dels for at kun-
ne bistå den ramte myndighed eller virksomhed med at af-
hjælpe følgerne af angrebet, dels for at kunne styrke de fore-
byggende foranstaltninger ved at opdatere netsikkerhedstje-
nestens alarmenheder på baggrund af resultatet af en analyse
af den konkrete sikkerhedshændelse. En sådan analyse vil –
på samme vis som den løbende monitorering – kunne inde-
bære et behov for analyse af data i form af f.eks. vedhæftede
filer med virus. Bortset fra, at analysen her vil tage udgangs-
punkt i data fra eksempelvis en computer i stedet for data fra
en internetkommunikation, er der grundlæggende tale om en
ordning, der er identisk med GovCERT’s nuværende aktivi-
teter. Forsvarsministeriet anser det derfor for både naturligt
og hensigtsmæssigt at udvide adgangen til indgreb i medde-
lelseshemmeligheden til også at omfatte disse situationer.
3.2.3. Den foreslåede ordning
Forsvarsministeriet foreslår, at den nuværende ordning,
hvorefter GovCERT som led i monitoreringen af de tilslutte-
de myndigheders og virksomheders netværkskommunikati-
on har mulighed for at foretage indgreb i meddelelseshem-
meligheden, videreføres samt udvides til at omfatte indgreb
i meddelelseshemmeligheden i forbindelse med monitore-
ringen af myndigheder på Forsvarsministeriets område, mid-
lertidigt tilsluttede myndigheder og virksomheder samt ved
undersøgelser af informationsudstyr, som er eller mistænkes
for at være ramt af en sikkerhedshændelse.
Med den foreslåede § 4 vil Center for Cybersikkerheds
netsikkerhedstjeneste således fortsat have mulighed for uden
retskendelse at behandle pakke- og trafikdata fra tilsluttede
myndigheder og virksomheder med henblik på at understøt-
te et højt informationssikkerhedsniveau i samfundet, og med
§ 5 foreslås en identisk ordning for myndigheder på For-
svarsministeriets område.
Med den foreslåede § 6 vil adgangen til indgreb i medde-
lelseshemmeligheden blive udvidet til at omfatte myndighe-
der og virksomheder, der midlertidigt tilsluttes netsikker-
hedstjenesten, mens der med § 7 sker en udvidelse til at om-
fatte situationer, hvor myndigheder eller virksomheder stil-
ler et informationssystem – f.eks. en inficeret computer eller
server – til rådighed for netsikkerhedstjenesten med henblik
på en analyse af infektionen.
Både efter § 6 og § 7 vil en forudsætning for, at der kan
ske indgreb i meddelelseshemmeligheden, være, at der er en
begrundet mistanke om en sikkerhedshændelse, ligesom det
konkret skal vurderes, at behandlingen af data vil kunne bi-
drage væsentligt til Center for Cybersikkerheds muligheder
for at sikre den danske ikt-infrastruktur, som samfundsvigti-
ge funktioner er afhængige af. Det foreslåede kapitel 4 vil
alene finde anvendelse, hvis der i forbindelse med monitore-
ringen af netværkskommunikation er behov for, at netsik-
kerhedstjenesten tilgår indhold af en kommunikation eller
oplysninger om, at en sådan kommunikation har fundet sted.
Center for Cybersikkerheds netsikkerhedstjeneste vil altid
ud fra et proportionalitetshensyn i videst muligt omfang sø-
ge at løse opgaverne ved hjælp af data, som ikke vil kræve
et indgreb i meddelelseshemmeligheden, og i disse tilfælde
vil behandlingen af personoplysninger ske efter de generelle
behandlingsbestemmelser i det foreslåede kapitel 6, jf. afsnit
3.3.
3.3. Forholdet til anden lovgivning samt behandling af
personoplysninger i Center for Cybersikkerhed
3.3.1. Gældende ret
Det følger af persondatalovens § 2, stk. 11, at loven ikke
gælder for behandlinger, der udføres for politiets og forsva-
11
rets efterretningstjenester. Det er dog i FE-loven bestemt, at
visse dele af persondataloven finder anvendelse på Forsva-
rets Efterretningstjenestes behandling af personoplysninger
vedrørende i Danmark hjemmehørende fysiske og juridiske
personer. Bestemmelserne gælder dog ikke for Center for
Cybersikkerhed, jf. FE-lovens § 1, stk. 3, 2. pkt.
Da Center for Cybersikkerhed er oprettet som en del af
Forsvarets Efterretningstjeneste, indebærer persondatalo-
vens § 2, stk. 11, dermed, at persondataloven ikke gælder
for centeret. I det omfang GovCERT-loven – der blev vedta-
get, da GovCERT var en del af IT- og Telestyrelsen – inde-
holder bestemmelser, der fraviger persondataloven, har disse
bestemmelser dermed heller ikke betydning for Center for
Cybersikkerhed.
Videregivelse af personoplysninger til Center for Cyber-
sikkerhed er dog omfattet af persondataloven, uanset der i
sådanne tilfælde tillige er tale om en behandling (indsam-
ling), som foretages for en efterretningstjeneste. Endvidere
vil Datatilsynet også for så vidt angår Center for Cybersik-
kerhed kunne indhente de fornødne oplysninger til afgørelse
af, om et forhold falder ind under persondataloven, jf. lo-
vens § 62, stk. 1. Dette vil i praksis ske gennem Forsvarsmi-
nisteriet.
Forsvarets Efterretningstjenestes virksomhed, herunder
bl.a. Forsvarets Efterretningstjenestes behandling af person-
oplysninger vedrørende i Danmark hjemmehørende fysiske
personer, er reguleret i FE-loven. Center for Cybersikker-
heds virksomhed er imidlertid som nævnt ikke omfattet af
FE-lovens materielle bestemmelser, herunder lovens be-
stemmelser om behandling af personoplysninger, jf. lovens
§ 1, stk. 3, 2. pkt.
Som en konsekvens af, at persondataloven ikke gælder for
Center for Cybersikkerhed, har Forsvarsministeriet den 13.
maj 2013 udstedt retningslinjer for behandling af personop-
lysninger m.v. i Center for Cybersikkerhed ved Forsvarets
Efterretningstjeneste. I retningslinjerne konstateres det, at
uanset at formålet med Center for Cybersikkerheds virksom-
hed ikke er behandling af personoplysninger, kan det ikke
undgås, at personoplysninger bliver behandlet i et vist – om
end begrænset – omfang i forbindelse med udførelsen af
Center for Cybersikkerheds opgaver. I lyset heraf skal che-
fen for Forsvarets Efterretningstjeneste sikre, at medarbej-
derne, der virker inden for Center for Cybersikkerhed, følger
de udstedte retningslinjer for behandling af personoplysnin-
ger m.v. og de dertilhørende bestemmelser om kontrol.
Med retningslinjerne er der fastsat en række bestemmelser
om behandlingsgrundlag og behandlingssikkerhed ved be-
handling af personoplysninger i Center for Cybersikkerhed.
Bestemmelserne bygger på principperne i persondataloven.
Efter § 11 i FE-loven er Forsvarets Efterretningstjenestes
virksomhed undtaget fra lov om offentlighed i forvaltningen
(offentlighedsloven) bortset fra lovens § 13 om notatpligt.
Forsvarets Efterretningstjenestes virksomhed er endvidere
undtaget fra forvaltningslovens kapitel 4-6 om partens akt-
indsigt, partshøring og begrundelse m.v. Imidlertid kan for-
svarsministeren bestemme, at persondatalovens kapitel 8-10
og forvaltningslovens kapitel 4-6 helt eller delvis finder an-
vendelse for behandling af personoplysninger for Forsvarets
Efterretningstjeneste vedrørende tjenestens sikkerhedsgod-
kendelsessager og egne personalesager. Center for Cyber-
sikkerhed er som tidligere nævnt ikke omfattet af disse be-
stemmelser i FE-loven.
3.3.2. Forsvarsministeriets overvejelser
Forsvarsministeriet finder, at de centrale principper i per-
sondataloven så vidt muligt bør gælde for Center for Cyber-
sikkerhed. De særlige forhold, som gør sig gældende for
centerets aktiviteter, tilsiger imidlertid, at centeret ikke i
samme omfang som andre offentlige myndigheder bør være
omfattet af den almindelige persondataretlige lovgivning.
Center for Cybersikkerhed har som nævnt heller ikke hidtil
været omfattet af den almindelige persondataretlige lovgiv-
ning.
Med lovforslaget lægges der op til, at bestemmelserne om
behandlingsgrundlag og behandlingssikkerhed ved behand-
ling af personoplysninger i Forsvarsministeriets retningslin-
jer af 13. maj 2013 videreføres ved lov, således at princip-
perne i persondatalovens regler om behandling af personop-
lysninger i vidt omfang finder anvendelse på Center for Cy-
bersikkerhed.
Som hidtil vil principperne i reglerne om oplysningspligt
over for den registrerede og om den registreredes indsigts-
og indsigelsesret ikke finde anvendelse på centerets virk-
somhed. Formålet med Center for Cybersikkerheds netsik-
kerhedstjeneste er ikke at behandle personoplysninger, men
netsikkerhedstjenesten vil uundgåeligt skulle behandle per-
sonoplysninger indeholdt i pakke- og trafikdata i forbindelse
med sine aktiviteter. Indsamlingen af personoplysninger er
således en nødvendig del af netsikkerhedstjenestens virke,
og det er Forsvarsministeriets vurdering, at opfyldelse af en
oplysningspligt over for den registrerede vil være uforholds-
mæssig vanskelig, ligesom behovet for at kunne begære ind-
sigt eller gøre indsigelse er mindre fremtrædende end de ad-
ministrative byrder, det vil påføre netsikkerhedstjenesten.
Forsvarsministeriet har overvejet, om der i forhold til øv-
rige dele af Center for Cybersikkerheds virksomhed – som
national it-sikkerhedsmyndighed og som myndighed for in-
formationssikkerhed og beredskab på teleområdet – er be-
hov for at fravige gældende ret ved at indføre oplysnings-
pligt over for den registrerede samt give den registrerede
indsigts- og indsigelsesret. Det karakteristiske for disse
myndighedsområder er, at Center for Cybersikkerheds myn-
dighedsudøvelse som altovervejende hovedregel er rettet
mod andre myndigheder og virksomheder. Det er derfor
Forsvarsministeriets opfattelse, at der ikke på nuværende
tidspunkt er behov for at indføre en oplysningspligt i forhold
til fysiske personer. Samtidig finder Forsvarsministeriet dog,
at der bør være mulighed for at lade persondatalovens kapi-
tel 8-10 (om oplysningspligt over for den registrerede, den
registreredes indsigtsret og øvrige rettigheder, bl.a. indsigel-
sesret) finde anvendelse på de pågældende myndighedsom-
råder samt på Center for Cybersikkerheds behandling af eg-
12
ne personalesager, såfremt der på et senere tidspunkt måtte
vise sig et behov herfor.
Som følge af Center for Cybersikkerheds særlige adgang
til at behandle data, herunder personoplysninger, på bag-
grund af indgreb i meddelelseshemmeligheden finder For-
svarsministeriet, at der fortsat bør gælde skærpede regler for
analyse, videregivelse og sletning af disse data samt for sik-
kerhedsforanstaltninger i forbindelse med opbevaringen af
og adgangen til data. På disse særlige områder bør der efter
Forsvarsministeriets opfattelse fortsat gælde regler, der fast-
sætter mere vidtgående krav end efter persondataloven,
f.eks. med hensyn til sletningsfrister.
Forsvarsministeriet lægger vægt på, at de forskellige dele
af Forsvarets Efterretningstjeneste så vidt muligt er under-
lagt samme regulering på centrale forvaltningsretlige områ-
der. I forhold til offentlighedsloven og forvaltningsloven
finder Forsvarsministeriet derfor, at der som udgangspunkt
bør gælde samme regler for Center for Cybersikkerhed som
for den øvrige del af Forsvarets Efterretningstjeneste, hvil-
ket vil indebære, at offentlighedsloven ikke finder anvendel-
se på Center for Cybersikkerhed.
Dette skal endvidere ses i lyset af, at netsikkerhedstjene-
sten i overensstemmelse med sit formål behandler store
mængder data, hvor behandlingens fokus som altovervejen-
de hovedregel er på oplysninger af rent teknisk karakter.
Kun i sjældne tilfælde vil netsikkerhedstjenesten således ha-
ve behov for at anvende oplysninger om fysiske og juridiske
personer m.v., som er indeholdt i de behandlede data, og
sagsbehandling af anmodninger om aktindsigt i sådanne op-
lysninger vil være særdeles ressourcekrævende, da det vil
forudsætte en gennemgang af store mængder data.
Tilsvarende hensyn gør sig gældende i forhold til forvalt-
ningslovens kapitler om partens aktindsigt, partshøring og
begrundelse m.v. Hertil kommer, at Center for Cybersikker-
hed kun i meget begrænset omfang træffer afgørelse i sager,
der involverer fysiske eller juridiske personer, hvorved der
ikke er væsentlige hensyn, som taler imod, at Center for Cy-
bersikkerhed på samme vis som den øvrige del af Forsvarets
Efterretningstjeneste undtages fra forvaltningslovens kapitel
4-6.
Imidlertid finder Forsvarsministeriet, at særlige forhold
gør sig gældende for Center for Cybersikkerheds virksom-
hed som myndighed for informationssikkerhed og beredskab
på teleområdet og ved centerets behandling af anmodninger
om tilslutning til netsikkerhedstjenesten, jf. den foreslåede §
3, stk. 3. Det samme er tilfældet i forhold til centerets be-
handling af egne personalesager. På disse områder er der
hensyn, der taler for, at der bør være mulighed for at anven-
de offentlighedsloven og forvaltningsloven.
3.3.3. Den foreslåede ordning
Forsvarsministeriet foreslår, at en række centrale princip-
per i persondataloven skal gælde for behandling af personop-
lysninger i Center for Cybersikkerhed.
I lovforslaget bliver det således slået fast, at Center for
Cybersikkerheds indsamling af personoplysninger skal ske
til udtrykkeligt angivne og saglige formål, og at senere be-
handling ikke må være uforenelig med disse formål. Person-
oplysninger, som behandles, skal være relevante og tilstræk-
kelige og ikke omfatte mere, end hvad der kræves til opfyl-
delse af de formål, hvortil oplysningerne indsamles, og de
formål, hvortil oplysningerne senere behandles.
Der henvises til bemærkningerne til de foreslåede §§ 9, 13
og 14.
Herudover foreslår Forsvarsministeriet, at persondatalo-
vens principper for, hvornår der må ske behandling af per-
sonoplysninger, i vidt omfang skal gælde for Center for Cy-
bersikkerhed.
I lighed med persondataloven inddeler lovforslaget person-
oplysningerne i tre niveauer eller typer: For det første føl-
somme oplysninger om menneskers rent private forhold, der
kan dreje sig om oplysninger om racemæssig eller etnisk
baggrund, politisk, religiøs eller filosofisk overbevisning,
fagforeningsmæssige tilhørsforhold og oplysninger om hel-
bredsmæssige og seksuelle forhold. For det andet andre ty-
per af oplysninger om rent private forhold, der også anses
for at være følsomme, hvilket drejer sig om oplysninger om
strafbare forhold, væsentlige sociale problemer og lignende
følsomme privatlivsoplysninger, f.eks. om interne familie-
forhold. Og for det tredje de oplysningstyper, der ikke ved-
rører rent private forhold - de såkaldte almindelige person-
oplysninger. Almindelige personoplysninger kan f.eks. være
identifikationsoplysninger, oplysninger om økonomiske for-
hold, kundeforhold eller andre lignende ikke følsomme op-
lysninger. For hvert af de tre niveauer fastsættes i lovforsla-
get regler for, hvornår der kan ske behandling af personop-
lysninger.
Der henvises til bemærkningerne til de foreslåede §§
10-12.
Forsvarsministeriet foreslår endvidere, at persondatalo-
vens principper om behandlingssikkerhed skal gælde for
Center for Cybersikkerhed.
Det foreslås derfor, at Center for Cybersikkerhed skal
træffe passende tekniske og organisatoriske foranstaltninger
med henblik på at sikre centerets oplysninger, ligesom cen-
teret skal træffe forholdsregler mod, at fremmede magter i
tilfælde af krig eller lignende forhold får adgang til oplys-
ninger af særlig interesse for dem.
Der henvises til bemærkningerne til den foreslåede § 18.
Herudover foreslås det, at der fastsættes særlige regler om
analyse, videregivelse og sletning af data, der behandles på
baggrund af indgreb i meddelelseshemmeligheden. Disse
regler er nærmere beskrevet i afsnit 3.4 og 3.5 samt i be-
mærkningerne til de foreslåede §§ 8 og 15-17.
Center for Cybersikkerheds behandling af personoplysnin-
ger foreslås at være underlagt tilsyn af Tilsynet med Efter-
retningstjenesterne. Tilsynets virksomhed er nærmere be-
skrevet i afsnit 3.6 og i bemærkningerne til de foreslåede §§
19-24.
Endelig foreslår Forsvarsministeriet, at Center for Cyber-
sikkerhed – som det er tilfældet for den øvrige del af For-
13
svarets Efterretningstjeneste – undtages fra offentlighedslo-
ven, dog ikke lovens § 13 om notatpligt, samt undtages fra
forvaltningslovens kapitel 4-6.
Særlige forhold gør sig gældende for Center for Cybersik-
kerhed virksomhed som myndighed for informationssikker-
hed og beredskab på teleområdet, ved centerets behandling
af anmodninger om tilslutning til netsikkerhedstjenesten, jf.
den foreslåede § 3, stk. 3, samt ved centerets behandling af
egne personalesager. Forsvarsministeriet foreslår på den
baggrund, at forsvarsministeren bemyndiges til at bestem-
me, at offentlighedsloven, forvaltningslovens kapitel 4-6 og
persondatalovens kapitel 8-10 helt eller delvis finder anven-
delse for disse områder.
Endvidere forudsættes det, at Center for Cybersikkerhed i
videst muligt omfang efterlever principperne i offentligheds-
loven og forvaltningslovens kapitel 4-6.
Det forudsættes således, at centeret – uanset at dets virk-
somhed er undtaget fra forvaltningslovens bestemmelser på
området – i alle afgørelsessager konkret vurderer, om det er
muligt at anvende forvaltningslovens principper om partens
aktindsigt, partshøring og begrundelse m.v.
Tilsvarende forudsættes det, at anmodninger om aktind-
sigt i videst muligt omfang behandles efter principperne i
offentlighedsloven. Ved modtagelse af anmodninger om
aktindsigt – herunder egenacces efter offentlighedslovens §
8 – vil Center for Cybersikkerhed i praksis foretage en søg-
ning i centerets elektroniske sags- og dokumenthåndterings-
system. Såfremt der i den forbindelse lokaliseres dokumen-
ter, der er omfattet af aktindsigtsanmodningen, vil disse do-
kumenter blive behandlet efter principperne i offentligheds-
loven. Derimod vil centeret ikke foretage en søgning i de
store mængder data, som centerets netsikkerhedstjeneste til
enhver tid opbevarer, eller i dokumenter, der vedrører øvrige
dele af Forsvarets Efterretningstjeneste.
Der henvises til bemærkningerne til den foreslåede § 8.
3.4. Opbevaring og sletning af data
3.4.1. Gældende ret
Der er i GovCERT-lovens § 4, stk. 2-4, fastsat detaljerede
regler om, hvor længe GovCERT må opbevare de pakke- og
trafikdata, der behandles på grundlag af indgreb i meddelel-
seshemmeligheden.
Udgangspunktet efter § 4, stk. 2, er, at pakke- og trafikda-
ta skal slettes, når formålet med behandlingen er opfyldt. I §
4, stk. 3, er der imidlertid fastsat maksimale opbevaringspe-
rioder, som finder anvendelse, uanset om GovCERT’s for-
mål med behandlingen endnu ikke er opfyldt. Hvis der er ta-
le om en sikkerhedshændelse, kan pakke- og trafikdata, der
knytter sig til denne sikkerhedshændelse, højst opbevares i
tre år. For øvrige pakkedata, der ikke er knyttet til en sikker-
hedshændelse, er den maksimale opbevaringsperiode 14
dage, hvorefter data skal slettes. Trafikdata, der ikke er
knyttet til en sikkerhedshændelse, kan højst opbevares i 12
måneder.
Der er ikke ved lov fastsat regler for MILCERT’s opbeva-
ring og sletning af pakke- og trafikdata.
3.4.2. Forsvarsministeriets overvejelser
Forsvarsministeriet finder, at der bør fastsættes ensartede
opbevarings- og sletningsregler for Center for Cybersikker-
heds netsikkerhedstjeneste, der fremover vil omfatte både
GovCERT’s og MILCERT’s nuværende aktiviteter. De fæl-
les regler bør sikre, at netsikkerhedstjenestens adgang til at
opbevare pakkedata fortsat begrænses mest muligt af hensyn
til privatlivets fred.
På den baggrund bør det fastholdes, at data, der knytter sig
til en sikkerhedshændelse, højst kan opbevares i tre år.
I forhold til data, der ikke knytter sig til en sikkerheds-
hændelse, har Forsvarsministeriet imidlertid konstateret et
behov for en forlængelse af den hidtidige opbevaringsperio-
de. Center for Cybersikkerheds erfaringer med den praktiske
anvendelse af de gældende sletningsregler viser således, at
reglerne i en række tilfælde har medført, at netsikkerhedstje-
nesten ikke har haft optimale muligheder for at forhindre cy-
berangreb. På den baggrund vurderes det, at adgang til yder-
ligere historiske data vil give mulighed for en betydelig styr-
kelse af Center for Cybersikkerheds forebyggende arbejde.
For det første giver de historiske data mulighed for at teg-
ne et normalbillede af internetaktiviteterne hos den enkelte
myndighed eller virksomhed. Ved at analysere data for in-
ternetaktiviteten over en længere periode vil Center for Cy-
bersikkerheds netsikkerhedstjeneste f.eks. kunne fastslå, at
det hos en konkret myndighed er normal praksis, at der en
gang om måneden gennemføres en særlig backup-proced-
ure, hvor store mængder data overføres fra myndigheden til
en ekstern modtager, eller at det er en del af normalbilledet,
at der også i visse weekender er datatrafik fra en virksomhed
– aktiviteter, som ellers ville indikere en mulig sikkerheds-
hændelse og udløse en alarm hos netsikkerhedstjenesten.
For det andet vil adgang til yderligere historiske data give
netsikkerhedstjenesten langt bedre muligheder for at spore
cyberangreb, som ikke tidligere er blevet opdaget af de ram-
te myndigheder eller virksomheder. Det vil især være tilfæl-
det, når det konstateres, at en konkret myndighed eller virk-
somhed er blevet ramt af et cyberangreb. Her vil Center for
Cybersikkerhed på baggrund af en nærmere undersøgelse af
angrebet typisk kunne fastslå en række karakteristika, f.eks.
i form af angrebsmetoder og -værktøjer, og på baggrund af
disse karakteristika vil det i historiske data kunne undersø-
ges, om også andre myndigheder og virksomheder har været
ramt af tilsvarende – og hidtil uopdagede – angreb. Desuden
modtager Center for Cybersikkerhed ofte underretninger fra
andre netsikkerhedstjenester, som i konkrete sager har kon-
stateret, at bestemte IP-adresser har været anvendt til alvor-
lige cyberangreb, og her er det af stor betydning, at netsik-
kerhedstjenesten har mulighed for at fastslå, om sådanne IP-
adresser også har været i kontakt med netværket hos myn-
digheder og virksomheder, som er tilsluttet netsikkerhedstje-
nesten.
14
Jo længere perioden, hvor der er adgang til at søge efter
karakteristika, er, jo større er muligheden for at opdage hid-
til uopdagede cyberangreb.
Grundet regelmæssige ændringer i normalbilledet, f.eks. i
forbindelse med årlig regnskabsaflæggelse og andre årlige
aktiviteter, vurderes det endvidere at være af betydning at
kunne foretage år-til-år-sammenligning af internetaktivite-
ten. Ved vurdering af det, der f.eks. umiddelbart vil kunne
ligne en afvigelse fra normalbilledet i januar, vil der således
kunne foretages en langt mere kvalificeret vurdering, hvis
der er mulighed for at sammenligne med aktiviteterne i ja-
nuar året før.
Forsvarsministeriet finder desuden, at opbevarings- og
sletningsreglerne bør tage højde for, at der gælder særlige
hensyn, når netsikkerhedstjenesten i overensstemmelse med
lovforslagets videregivelsesregler har videregivet data til po-
litiet, andre myndigheder, samarbejdspartnere m.v. Videre-
givelsen vil bl.a. ske i forbindelse med, at Center for Cyber-
sikkerhed udsender sikkerhedsvarslinger, hvor centeret ek-
sempelvis gør myndigheder og virksomheder opmærksom-
me på, at en bestemt IP-adresse anvendes til cyberangreb.
Sådanne varslinger giver myndigheder og virksomheder mu-
lighed for at tage deres forholdsregler, f.eks. ved at blokere
den pågældende IP-adresse i en lokal firewall.
Når en sådan videregivelse er sket via en varsling eller til-
svarende, har Center for Cybersikkerhed i sagens natur ikke
mulighed for at sikre, at der efterfølgende sker en sletning
hos modtageren. Hertil kommer, at Center for Cybersikker-
hed som udgangspunkt er forpligtet til at journalisere de af-
sendte varslinger. Sletning af disse videregivne data vil der-
med umiddelbart være i strid med de almindelige principper
for journalisering. Tilsvarende må det anses for betænkeligt,
hvis data, der er videregivet til politiet til brug ved en even-
tuel straffesag, risikerer at blive slettet hos Center for Cyber-
sikkerhed, inden en sådan sag er afsluttet, da det vil udeluk-
ke muligheden for, at der under sagen kan indhentes supple-
rende oplysninger hos Center for Cybersikkerhed. Forsvars-
ministeriet finder derfor, at der ikke bør gælde slettefrister i
de tilfælde, hvor der er sket videregivelse af data.
Det bemærkes, at danske myndigheder og virksomheder,
der modtager sikkerhedsvarslinger fra netsikkerhedstjene-
sten, efter omstændighederne vil være underlagt persondata-
lovens behandlingsregler, såfremt en sikkerhedsvarsling in-
deholder personoplysninger. Det vil bl.a. indebære, at mod-
tagerne skal sikre, at der ikke er mulighed for at identificere
fysiske personer i et længere tidsrum end det, der er nødven-
digt af hensyn til de formål, hvortil personoplysningerne be-
handles. For europæiske myndigheder og virksomheder, der
modtager sikkerhedsvarslinger, som indeholder personop-
lysninger, vil der gælde tilsvarende nationale regler.
3.4.3. Den foreslåede ordning
Forsvarsministeriet foreslår, at data, der behandles på bag-
grund af indgreb i meddelelseshemmeligheden, fortsat skal
slettes, når formålet med behandlingen er opfyldt.
Uanset at formålet med behandlingen ikke er opfyldt,
foreslår Forsvarsministeriet, at data, der er knyttet til en sik-
kerhedshændelse, fortsat højst må opbevares i tre år, hvoref-
ter de skal slettes. Det er samme tidsmæssige grænse, som er
fastsat i GovCERT-lovens § 4, stk. 3.
For så vidt angår øvrige data, der ikke er knyttet til en sik-
kerhedshændelse, foreslås det, at der fastsættes en fælles op-
bevaringsperiode på højst 13 måneder, som giver mulighed
for at undersøge, om myndigheder og virksomheder har væ-
ret udsat for hidtil uopdagede cyberangreb samt foretage år-
til-år-sammenligninger af normalbilledet hos de tilsluttede
myndigheder og virksomheder.
Som efter gældende ret vil der være tale om maksimale
opbevaringsperioder. Center for Cybersikkerheds netsikker-
hedstjeneste vil således fortsat være forpligtet til at slette da-
ta, når formålet med behandlingen er opfyldt, hvis dette sker
før den maksimale opbevaringsperiodes udløb. Samtidig vil
det generelle princip i den foreslåede § 14 om, at indsamle-
de personoplysninger ikke må opbevares på en måde, der gi-
ver mulighed for at identificere den pågældende person i et
længere tidsrum end det, der er nødvendigt af hensyn til de
formål, hvortil oplysningerne behandles, også finde anven-
delse på personoplysninger, der behandles af netsikkerheds-
tjenesten.
Endvidere foreslår Forsvarsministeriet, at reglerne om
sletning ikke skal gælde i forhold til de helt særlige situatio-
ner, hvor data er videregivet, jf. afsnit 3.5 og den foreslåede
§ 16.
Der henvises til bemærkningerne til den foreslåede § 17.
3.5. Videregivelse af data
3.5.1. Gældende ret
GovCERT’s muligheder for at videregive pakke- og tra-
fikdata er reguleret i GovCERT-lovens § 6. Efter bestem-
melsens nr. 1 kan både pakke- og trafikdata, der knytter sig
til en sikkerhedshændelse, videregives til politiet. Efter § 6,
nr. 3, kan trafikdata videregives til danske myndigheder, til-
sluttede private virksomheder og tilsvarende varslingstjene-
ster i andre lande, hvis en sådan videregivelse er nødvendig
i henhold til varslingstjenestens formål og aktiviteter.
Der er etableret et tæt samarbejde mellem Center for Cy-
bersikkerhed og politiet, som indebærer, at data om sikker-
hedshændelser, hvor der er indikationer på en strafbar hand-
ling, straks videregives til politiet, eller myndigheden eller
virksomheden opfordres til at indgive politianmeldelse. Til-
svarende underretter politiet straks Center for Cybersikker-
hed, når politiet bliver opmærksom på sager, der har rele-
vans for centerets funktion. Det kan f.eks. være tilfældet,
hvis cyberangreb anmeldes til det lokale politi, eller hvis po-
litiet modtager oplysninger om cyberangreb fra udenlandske
politimyndigheder.
Efter GovCERT-lovens § 6, nr. 2, er der en særlig udvidet
adgang til at videregive pakkedata til MILCERT, som på
tidspunktet for GovCERT-lovens vedtagelse var en del af
Forsvarets Efterretningstjeneste, mens GovCERT var en del
af IT- og Telestyrelsen.
15
3.5.2. Forsvarsministeriets overvejelser
Forsvarsministeriet finder, at der på det civile område
(uden for Forsvarsministeriets myndighedsområde) bør være
restriktive rammer for Center for Cybersikkerheds videregi-
velse af data, der behandles på baggrund af indgreb i med-
delelseshemmeligheden.
Center for Cybersikkerheds netsikkerhedstjeneste bør på
det civile område fortsat have adgang til at videregive trafik-
data til den kreds af aktører, som er angivet i GovCERT-lo-
vens § 6, nr. 3: Danske myndigheder, tilsluttede private
virksomheder og tilsvarende varslingstjenester i andre lande.
For at styrke beskyttelsen af den danske ikt-infrastruktur
finder Forsvarsministeriet imidlertid, at der også bør gives
mulighed for at videregive trafikdata til udbydere af offentli-
ge elektroniske kommunikationsnet og -tjenester, således at
disse aktører – først og fremmest teleselskaber – ved hjælp
af de modtagne trafikdata kan forbedre deres sikkerhedssy-
stemer på baggrund af oplysninger om f.eks. IP-adresser,
der anvendes ved cyberangreb. Dette vil have stor betydning
for det samlede informationssikkerhedsniveau i samfundet,
da disse udbydere varetager driften af store dele af den ikt-
infrastruktur, som samfundsvigtige funktioner er afhængige
af.
Center for Cybersikkerhed har endvidere et tæt samarbej-
de med andre netsikkerhedstjenester i udlandet, f.eks.
CERT’er og ikt-sikkerhedsmyndigheder, som bidrager med
vigtige informationer, der øger centerets muligheder for at
forebygge sikkerhedshændelser i Danmark. Et effektivt in-
ternationalt samarbejde på myndighedsniveau forudsætter,
at Danmark også kan give disse udenlandske samarbejds-
partnere oplysninger, som kan bidrage til at stoppe grænse-
overskridende cyberangreb, såvel udgående fra som rettet
mod Danmark.
En af Center for Cybersikkerheds vigtigste forebyggende
aktiviteter er udsendelse af sikkerhedsvarslinger, hvor myn-
digheder, virksomheder, andre netsikkerhedstjenester m.v.
underrettes om særligt alvorlige sikkerhedshændelser. Sik-
kerhedsvarslingerne udsendes til en afgrænset kreds af aktø-
rer og bliver ikke i øvrigt offentliggjort. Sikkerhedsvarslin-
gerne giver modtagerne mulighed for at styrke deres egen
forebyggelse mod cyberangreb (f.eks. ved at blokere for tra-
fik fra IP-adresser, der indgår i hackeres angrebsinfrastruk-
tur) og undersøge, om de selv har været udsat for cyberan-
greb (f.eks. ved at gennemgå logfiler for e-mails fra afsen-
dere, der har angrebet andre myndigheder eller virksomhe-
der). Center for Cybersikkerhed bør derfor have mulighed
for at udsende sikkerhedsvarslinger, der indeholder de tra-
fikdata, som kan styrke modtagernes informationssikker-
hedsniveau, f.eks. de nævnte IP-adresser. Sikkerhedsvarslin-
gerne bør fortsat aldrig kunne indeholde pakkedata. Herud-
over vil Center for Cybersikkerhed – såfremt centeret bliver
opmærksom herpå – underrette aktørerne, såfremt eksem-
pelvis IP-adresser, der har været inkluderet i en sikkerheds-
varsling, ikke længere vurderes at udgøre en fare for infor-
mationssikkerheden.
Videregivelsen af trafikdata indebærer alene, at Center for
Cybersikkerhed stiller oplysninger til rådighed for de nævn-
te aktører. Det vil herefter være op til den enkelte aktør at
vurdere, om oplysningerne giver anledning til at træffe for-
anstaltninger med henblik på at styrke informationssikkerhe-
den. Det vil således altid være aktørens egen beslutning, om
der eventuelt skal iværksættes blokering eller lignende til-
tag.
En sikkerhedshændelse, jf. lovforslagets § 2, nr. 1, vil i
nogle tilfælde kunne være et udslag af en strafbar handling.
Forebyggelse og efterforskning af strafbare handlinger er
opgaver, som hører under politiet, herunder Politiets Efter-
retningstjeneste, jf. politilovens § 2, nr. 1-3, og § 1, nr. 1 og
2, i lov om Politiets Efterretningstjeneste. I overensstemmel-
se hermed fremgår det af retsplejelovens § 742, at anmeldel-
ser om mulige strafbare forhold indgives til politiet, og at
politiet efter anmeldelse eller af egen drift iværksætter efter-
forskning, når der er rimelig formodning om, at et strafbart
forhold, som forfølges af det offentlige, er begået. Efter rets-
plejelovens § 96, stk. 1, er det endvidere anklagemyndighe-
dens opgave i forbindelse med politiet at forfølge forbrydel-
ser efter reglerne i retsplejeloven. Center for Cybersikkerhed
bør derfor som hidtil kunne videregive oplysninger om mu-
lige strafbare forhold til politiet.
3.5.3. Den foreslåede ordning
Forsvarsministeriet foreslår, at politiet ved begrundet mis-
tanke om en sikkerhedshændelse fortsat vil kunne modtage
data fra Center for Cybersikkerhed. Der vil som efter den
gældende ordning være tale om både pakke- og trafikdata,
hvortil kommer data, der er indeholdt i eller hidrører fra et
informationssystem, jf. den foreslåede § 7.
Kredsen af aktører, hvortil der kan videregives trafikdata,
foreslås udvidet til også at omfatte udbydere af offentlige
elektroniske kommunikationsnet og -tjenester (teleselska-
ber). Det foreslås således, at Center for Cybersikkerhed ved
begrundet mistanke om en sikkerhedshændelse fortsat kan
videregive trafikdata til en afgrænset kreds af aktører, lige-
som det foreslås, at Center for Cybersikkerhed ved begrun-
det mistanke om en sikkerhedshændelse kan udsende sikker-
hedsvarslinger, der indeholder trafikdata.
Der henvises til bemærkningerne til den foreslåede § 16.
For så vidt angår den interne udveksling af data i Forsva-
rets Efterretningstjeneste bemærkes det, at GovCERT-lo-
vens bestemmelser om videregivelse af data i dag også regu-
lerer forhold, der som følge af oprettelsen af Center for Cy-
bersikkerhed (og placeringen af centeret ved Forsvarets Ef-
terretningstjeneste) har intern karakter. Det gælder f.eks.
spørgsmålet om videregivelse af data fra GovCERT til MIL-
CERT, der nu begge er en del af Center for Cybersikkerhed.
En sådan intern udveksling af data har efter oprettelsen af
Center for Cybersikkerhed ikke længere karakter af videre-
givelse, og den interne udveksling af data i Forsvarets Efter-
retningstjeneste er – i overensstemmelse med almindelige
forvaltningsretlige principper – ikke reguleret i lovforslaget.
16
Med lovforslaget vil det almindelige forvaltningsretlige
udgangspunkt således være gældende for Center for Cyber-
sikkerhed. Det indebærer, at der som udgangspunkt er fri
adgang til at udveksle data internt i Forsvarets Efterretnings-
tjeneste, herunder mellem Center for Cybersikkerhed og den
øvrige del af efterretningstjenesten, hvis dette er nødvendigt
for at løse myndighedens opgaver, og der i øvrigt er tale om
et sagligt formål. Det sikrer, at alle de relevante ressourcer i
Forsvarets Efterretningstjeneste hurtigt og effektivt kan ind-
sættes ved den meget store andel af cyberangreb mod Dan-
mark, som hidrører fra udlandet, og hvor Forsvarets Efter-
retningstjeneste som udenrigsefterretningstjeneste kan bidra-
ge med en række værdifulde oplysninger.
Forsvarsministeriet vil imidlertid i forbindelse med lov
om Center for Cybersikkerheds ikrafttræden udstede admi-
nistrative retningslinjer, der sikrer, at den interne udveksling
af oplysninger mellem Center for Cybersikkerhed og den
øvrige del af Forsvarets Efterretningstjeneste også frem-
adrettet sker med respekt for retssikkerheden og den person-
lige frihed. Center for Cybersikkerhed behandler data på
baggrund af indgreb i meddelelseshemmeligheden, og ret-
ningslinjerne vil blandt andet indeholde bestemmelser om,
at sådanne data på det civile område (uden for Forsvarsmini-
steriets myndighedsområde) kun kan videreformidles til den
øvrige del af Forsvarets Efterretningstjeneste, hvis de pågæl-
dende data er knyttet til en cybersikkerhedshændelse. Disse
retningslinjer vil endvidere indeholde bestemmelser om, at
data, der er videreformidlet fra Center for Cybersikkerhed til
den øvrige del af Forsvarets Efterretningstjeneste, fortsat
alene vil kunne videregives efter de regler, der gælder for
Center for Cybersikkerhed. Dette indebærer, at den øvrige
del af Forsvarets Efterretningstjeneste ikke vil kunne videre-
give pakkedata til andre end dansk politi, ligesom trafikdata
udelukkende vil kunne videregives til den kreds af aktører,
som er omfattet af den foreslåede § 16, nr. 2. Desuden vil
retningslinjerne fastsætte, at medarbejdere, der varetager ef-
terretningsmæssige opgaver i den øvrige del af Forsvarets
Efterretningstjeneste, ikke må have adgang til de it-syste-
mer, hvor Center for Cybersikkerhed behandler data på bag-
grund af indgreb i meddelelseshemmeligheden. Ud over be-
stemmelser om behandlingen af data på det civile område
vil retningslinjerne også indeholde bestemmelser om be-
handling af data på det militære område (Forsvarsministeri-
ets myndighedsområde).
Retningslinjerne vil blive offentliggjort på Center for Cy-
bersikkerheds hjemmeside, www.cfcs.dk.
Såvel Center for Cybersikkerheds videregivelse af person-
oplysninger som den interne udveksling af oplysninger vil
være underlagt tilsyn af Tilsynet med Efterretningstjenester-
ne, jf. afsnit 3.6 nedenfor.
3.6. Tilsyn med behandling af personoplysninger
3.6.1. Gældende ret
Det følger af GovCERT-lovens § 7, at der skal nedsættes
et uafhængigt tilsyn, der følger GovCERT’s virksomhed.
Tilsynet, der nedsættes af forsvarsministeren, skal bestå af
en formand, der er jurist, og fire sagkyndige medlemmer.
Det er en forudsætning, at tilsynets medlemmer kan sikker-
hedsgodkendes. Medlemmerne beskikkes som følge af den
almindelige tillid og agtelse, der er knyttet til deres person,
og der lægges vægt på, at tilsynet repræsenterer juridisk, it-
revisionsmæssig og sikkerhedsmæssig sagkundskab. Gov-
CERT-tilsynets virke er nærmere beskrevet i Forsvarsmini-
steriets forretningsorden af 13. maj 2013 for Tilsynet med
den statslige varslingstjeneste for internettrusler mv. (Gov-
CERT).
GovCERT-tilsynet fører alene tilsyn med GovCERT’s
virksomhed og ikke med Center for Cybersikkerheds virk-
somhed generelt.
Tilsynet har den 24. marts 2014 offentliggjort sin årsrede-
gørelse for 2013 dækkende perioden fra Tilsynets etablering
i september og året ud.
I redegørelsen udtaler Tilsynet, at samlet giver Tilsynets
indledende kontroltiltag et overordnet indtryk af, at Gov-
CERT har en høj grad af fokus på at behandle indsamlede
personoplysninger i overensstemmelse med de gældende
regler, og at der også er etableret de fornødne procedurer for
at sikre dette. Redegørelsen kan findes på Center for Cyber-
sikkerheds hjemmeside, www.cfcs.dk.
3.6.2. Forsvarsministeriets overvejelser
Der er mellem Center for Cybersikkerhed og det nuværen-
de GovCERT-tilsyn etableret et velfungerende og konstruk-
tivt samarbejde.
Som led i etableringen af et nyt retsgrundlag for Forsva-
rets Efterretningstjeneste og Politiets Efterretningstjeneste er
der imidlertid fra 1. januar 2014 oprettet et uafhængigt tilsyn
med de to efterretningstjenester. Tilsynet, der benævnes Til-
synet med Efterretningstjenesterne, har i forhold til Forsva-
rets Efterretningstjeneste til opgave at føre tilsyn med tjene-
stens overholdelse af FE-lovens regler vedrørende behand-
ling af personoplysninger om i Danmark hjemmehørende
fysiske og juridiske personer. Tilsynet har sit eget sekretari-
at, og både for så vidt angår ressourcer, uafhængighed og
beføjelser er der med det nye tilsyn sket en markant styrkel-
se af kontrollen med Forsvarets Efterretningstjenestes be-
handling af personoplysninger.
Der er betydelige sammenfald mellem de tilsynsopgaver,
som Tilsynet med Efterretningstjenesterne udfører i forhold
til Forsvarets Efterretningstjeneste, og de tilsynsopgaver,
som fremadrettet vil skulle udføres i forhold til Center for
Cybersikkerhed. I begge tilfælde er der således tale om vare-
tagelse af en tilsynsopgave i forhold til behandling af person-
oplysninger, og ved en videreførelse af det nuværende Gov-
CERT-tilsyn vil der reelt være tale om, at to tilsynsorganer
udfører en emnemæssigt identisk opgave.
Det er på den baggrund Forsvarsministeriets opfattelse, at
Center for Cybersikkerheds placering som en del af Forsva-
rets Efterretningstjeneste klart taler for, at Tilsynet med Ef-
terretningstjenesterne også bør varetage tilsynsopgaven i
forhold til Center for Cybersikkerhed.
17
3.6.3. Den foreslåede ordning
Forsvarsministeriet foreslår, at Tilsynet med Efterret-
ningstjenesterne varetager opgaven med at føre tilsyn med
Center for Cybersikkerheds overholdelse af lovforslagets
regler om behandling af personoplysninger.
Tilsynsfunktionen foreslås tilrettelagt efter samme model,
som gælder i forhold til Forsvarets Efterretningstjeneste og
Politiets Efterretningstjeneste, herunder at tilsynet også i
forhold til Center for Cybersikkerhed vil være fuldt uafhæn-
gigt og agere efter klage eller af egen drift. Ligeledes vil til-
synet kunne afgive udtalelse over for Center for Cybersik-
kerhed, og tilsynet vil skulle underrette forsvarsministeren
om forhold, som ministeren efter tilsynets opfattelse bør ha-
ve kendskab til.
På visse områder vil Tilsynet med Efterretningstjenester-
nes tilsynsvirksomhed i forhold til Center for Cybersikker-
hed dog adskille sig fra tilsynsvirksomheden i forhold til
Forsvarets Efterretningstjeneste og Politiets Efterretningstje-
neste.
En vigtig opgave for Tilsynet med Efterretningstjenester-
ne i forhold til de to efterretningstjenester er således at vare-
tage en særlig indsigtsordning, hvor fysiske eller juridiske
personer kan anmode tilsynet om at undersøge, hvorvidt en
efterretningstjeneste uberettiget behandler oplysninger om
den pågældende. Tilsynet sikrer i så fald, at dette ikke er til-
fældet, og giver herefter den pågældende meddelelse herom.
Hvis særlige forhold taler herfor, kan Tilsynet med Efterret-
ningstjenesterne endvidere pålægge en efterretningstjeneste
at give hel eller delvis indsigt i oplysninger.
I modsætning til efterretningstjenesterne har Center for
Cybersikkerhed ikke til formål at behandle personoplysnin-
ger, og personoplysninger vil som den altovervejende ho-
vedregel være uden interesse for centeret, der via netsikker-
hedstjenesten primært søger at indsamle tekniske oplysnin-
ger, som gør det muligt at undersøge og forebygge cyberan-
greb. Som led i denne indsamling vil Center for Cybersik-
kerhed dog uundgåeligt behandle personoplysninger, fordi
personoplysningerne er indeholdt i de data, som indsamles
med henblik på at lokalisere de relevante tekniske oplysnin-
ger om sikkerhedshændelser. Center for Cybersikkerhed
foretager imidlertid ikke en egentlig registrering af disse
personoplysninger, ligesom der ikke opereres med sager om
enkeltpersoner.
Den tilsynsvirksomhed, som Tilsynet med Efterretnings-
tjenesterne vil skulle udøve i forhold til Center for Cybersik-
kerhed, vil derfor have en karakter, der på visse områder kan
sammenlignes med det tilsyn, som Datatilsynet udøver i for-
hold til andre offentlige myndigheder, idet tilsynet vil skulle
påse, at Center for Cybersikkerhed efterlever bestemmelser-
ne i det foreslåede kapitel 4 (om indgreb i meddelelseshem-
meligheden), kapitel 6 (om behandling af personoplysnin-
ger) og kapitel 7 (om analyse, videregivelse og sletning af
data). Endvidere vil tilsynet skulle påse, at Center for Cy-
bersikkerhed i forbindelse med centerets behandling af per-
sonoplysninger overholder de krav til sikkerhedsforanstalt-
ninger, der følger af kapitel 8. Endelig vil tilsynet have til
opgave at påse, at yderligere regler om behandling af person-
oplysninger, der fastsættes i administrative retningslinjer,
overholdes.
Tilsynet vil f.eks. kunne udøves gennem kontrol af cente-
rets interne procedurer i forbindelse med videregivelse og
sletning af oplysninger samt stikprøvekontrol af, om slet-
ning sker rettidigt. Hertil kommer, at tilsynet på baggrund af
klager fra fysiske personer vil kunne undersøge, om Center
for Cybersikkerhed i konkrete sager har handlet i overens-
stemmelse med bestemmelserne om videregivelse og slet-
ning af oplysninger.
I forhold til Forsvarets Efterretningstjeneste indebærer
FE-lovens særlige indsigtsordning, at tilsynet i konkrete sag-
er efter anmodning skal sikre, at efterretningstjenesten ikke
uberettiget behandler oplysninger om en i Danmark hjem-
mehørende fysisk eller juridisk person. Derefter skal tilsynet
give den pågældende meddelelse herom. Af meddelelsen
skal det imidlertid alene kunne udledes, at der ikke uberetti-
get behandles oplysninger om den pågældende. Det skal ik-
ke fremgå eller kunne udledes, om der ikke behandles eller
har været behandlet oplysninger, om der tidligere uberettiget
har været behandlet oplysninger, eller om der berettiget be-
handles oplysninger. Et tilsvarende hensyn gør sig ikke gæl-
dende i forhold til tilsynets behandling af klagesager vedrø-
rende Center for Cybersikkerhed, hvor der således i tilsynets
afgørelser f.eks. vil kunne gives oplysninger om, at centeret
har sagsbehandlet oplysninger om klageren og om indholdet
af en sådan sagsbehandling.
Der henvises til bemærkningerne til de foreslåede §§
19-24.
Forsvarsministeriet vil drøfte med det nuværende Gov-
CERT tilsyn, under hvilken form det eventuelt vil kunne vi-
dereføres som et rådgivende organ, der ikke varetager til-
synsopgaver, men sikrer en velfungerende dialog og erfa-
ringsudveksling mellem centeret og forsknings- og er-
hvervslivet.
4. Økonomiske og administrative konsekvenser for det
offentlige
Lovforslaget indebærer en styrkelse af Center for Cyber-
sikkerheds netsikkerhedstjeneste. Endvidere vil Tilsynet
med Efterretningstjenesternes virksomhed skulle udvides til
også at omfatte Center for Cybersikkerhed. Merudgifter her-
til skønnes at blive 0,6 mio. kr. årligt, der finansieres inden
for Forsvarsministeriets eksisterende økonomiske ramme.
Hvert ministerområde vil som hidtil blive tilbudt veder-
lagsfri monitorering af én forbindelse til internettet. Såfremt
der på et ministerområde er ønske om monitorering af yder-
ligere forbindelser til internettet, vil myndigheden efter an-
modning kunne få monitoreret mere end én forbindelse, hvis
der sker dækning af Center for Cybersikkerheds udgifter til
indkøb og/eller udvikling af evt. monitoreringsudstyr og ud-
gifter til driften heraf. Fællesstatslige internetforbindelser,
der leveres gennem Statens It eller tilsvarende fælles drifts-
selskaber, monitoreres som hidtil vederlagsfrit af Center for
Cybersikkerhed som følge af de særlige sikkerhedsmæssige
18
hensyn, der knytter sig til en centraliseret tjeneste. På For-
svarsministeriets område vil der ske vederlagsfri monitore-
ring af de myndigheder, som af den militære it-sikkerheds-
myndighed pålægges at blive tilsluttet netsikkerhedstjene-
sten.
Regionale og kommunale myndigheder samt offentligt
ejede virksomheder, der ønsker at blive tilsluttet netsikker-
hedstjenesten, vil som hidtil skulle dække de udgifter, der er
forbundet med indkøb og/eller udvikling af evt. monitore-
ringsudstyr, samt dække Center for Cybersikkerheds udgif-
ter til driften heraf.
Myndigheder og offentligt ejede virksomheder, der er til-
sluttet netsikkerhedstjenesten, vil løbende modtage varslin-
ger og alarmer fra netsikkerhedstjenesten. Det forudsættes i
den forbindelse, at de tilsluttede myndigheder efter behov
indgår i en nærmere dialog om varslinger og alarmer, herun-
der stiller relevante logoplysninger til rådighed for netsik-
kerhedstjenesten samt foretager den relevante interne op-
følgning. Tilslutning til netsikkerhedstjenesten kan dermed i
mindre omfang have administrative konsekvenser for tilslut-
tede myndigheder og offentligt ejede virksomheder.
5. Økonomiske og administrative konsekvenser for
erhvervslivet m.v.
Virksomheder, der er beskæftiget med samfundsvigtige
funktioner, vil efter en konkret vurdering kunne blive tilslut-
tet Center for Cybersikkerheds netsikkerhedstjeneste, jf. af-
snit 3.1. Der vil ved tilslutning blive opkrævet en betaling,
der dækker de udgifter, som er forbundet med indkøb og/
eller udvikling af evt. monitoreringsudstyr, samt Center for
Cybersikkerheds udgifter ved monitoreringen. De første to
måneders tilslutning betragtes dog som en indkøringsperio-
de, hvor der ikke sker opkrævning.
Virksomheder, der er tilsluttet netsikkerhedstjenesten, vil
løbende modtage varslinger og alarmer fra netsikkerhedstje-
nesten. Det forudsættes i den forbindelse, at de tilsluttede
virksomheder efter behov indgår i en nærmere dialog om
varslinger og alarmer, herunder stiller relevante logoplys-
ninger til rådighed for netsikkerhedstjenesten samt foretager
den relevante interne opfølgning. Tilslutning til netsikker-
hedstjenesten kan dermed i mindre omfang have administra-
tive konsekvenser for tilsluttede virksomheder.
6. Administrative konsekvenser for borgerne
Lovforslaget har ingen administrative konsekvenser for
borgerne.
7. Miljømæssige konsekvenser
Lovforslaget har ingen miljømæssige konsekvenser.
8. Forholdet til EU-retten
Center for Cybersikkerhed er en del af Forsvarets Efterret-
ningstjeneste, og de opgaver, som centeret i medfør af dette
lovforslag skal udføre, vedrører den offentlige sikkerhed,
forsvaret og statens sikkerhed.
Den samlede karakter af de opgaver, som Center for Cy-
bersikkerhed i dag løser, medfører således, at centeret ikke
er omfattet af Europa-Parlamentet og Rådets direktiv
95/46/EF af 24. oktober 1995 om beskyttelse af fysiske per-
soner i forbindelse med behandling af personoplysninger og
om fri udveksling af sådanne oplysninger (databeskyttelses-
direktivet), jf. direktivets artikel 3, stk. 2, hvorefter direkti-
vet bl.a. ikke gælder for behandling af oplysninger vedrø-
rende den offentlige sikkerhed, forsvar og statens sikkerhed.
9. Hørte myndigheder og organisationer m.v.
Et udkast til lovforslaget har i perioden fra 4. februar 2014
til 4. marts 2014 været sendt i høring hos:
Advokatrådet, Amnesty International, Brancheorganisati-
on for Den Danske Vejgodstransport (ITD), Danmarks Re-
deriforening, Dansk Energi, Dansk Erhverv, Dansk Internet
Forum (DIFO), DANSK IT, Danske Advokater, Danske Re-
gioner, Datatilsynet, Dansk Industri (DI), Den Danske Dom-
merforening, DI ITEK, DKCERT, Domstolsstyrelsen, Fi-
nansrådet, Foreningen Danske Olieberedskabslagre, For-
eningen af Open Source Leverandører, Foreningen af Vand-
værker i Danmark, Færøernes Landsstyre, Grønlands Selv-
styre, Institut for Menneskerettigheder, ISP Sikkerhedsfo-
rum, IT-Branchen, IT-Politisk Forening, KL, Landbrug &
Fødevarer, Lægemiddelindustriforeningen (LIF), Procesin-
dustriens Brancheforening, PROSA, Præsidenten for Vestre
Landsret, Præsidenten for Østre Landsret, Retspolitisk For-
ening, Retssikkerhedsfonden, Rigspolitichefen, Rigsadvoka-
ten, Rigsrevisionen, Rådet for Digital Sikkerhed, Statens IT-
projektråd, Telekommunikationsindustrien (TI) og The
Open Web Application Security Project (OWASP Dan-
mark).
10. Sammenfattende skema
Positive konsekvenser/
mindreudgifter
Negative konsekvenser/
merudgifter
Økonomiske konsekvenser for stat,
kommuner og regioner.
Ingen Udgifter til omkostningsdækning ved den
frivillige tilslutning til netsikkerhedstje-
nesten for regioner, kommuner og statsli-
ge virksomheder samt for ministerområ-
19
der, der ønsker monitorering af flere in-
ternetforbindelser.
Merudgifter ved, at Tilsynet med Efterret-
ningstjenesternes virksomhed udvides til
også at omfatte Center for Cybersikker-
hed, skønnes at blive 0,6 mio. kr. årligt,
der finansieres inden for Forsvarsministe-
riets eksisterende økonomiske ramme.
Administrative konsekvenser for stat,
kommuner og regioner.
Ingen Behandling af de varslinger og alarmer,
som tilsluttede myndigheder modtager fra
netsikkerhedstjenesten, vil i et mindre
omfang medføre administrativt ressource-
forbrug hos myndighederne.
Økonomiske konsekvenser for
erhvervslivet.
Ingen Udgifter til omkostningsdækning ved fri-
villig tilslutning til netsikkerhedstjene-
sten.
Administrative konsekvenser for
erhvervslivet.
Ingen Behandling af de varslinger og alarmer,
som tilsluttede virksomheder modtager
fra netsikkerhedstjenesten, vil i et mindre
omfang medføre administrativt ressource-
forbrug hos virksomhederne.
Administrative konsekvenser for
borgerne.
Ingen Ingen
Miljømæssige konsekvenser Ingen Ingen
Forholdet til EU-retten Lovforslaget indeholder ikke EU-retlige aspekter.
Bemærkninger til lovforslagets enkelte bestemmelser
Til § 1
Bestemmelsens stk. 1 giver en beskrivelse af Center for
Cybersikkerheds hovedopgave, som er at bidrage til et højt
sikkerhedsniveau i informations- og kommunikationstekno-
logisk infrastruktur (ikt-infrastruktur) og dermed understøtte
et højt informationssikkerhedsniveau i Danmark. En robust
ikt-infrastruktur er vigtig for Danmarks sikkerhed og økono-
mi, og en lang række af de vigtigste samfundsfunktioner er
afhængige af, at ikt-infrastrukturen er velfungerende.
Center for Cybersikkerhed er tillagt en række konkrete op-
gaver, som hver især bidrager til løsningen af centerets ho-
vedopgave.
Center for Cybersikkerheds netsikkerhedstjeneste, jf. den
foreslåede § 3, har til opgave at opdage, analysere og bidra-
ge til at imødegå sikkerhedshændelser på såvel det civile
som det militære område. Som national it-sikkerhedsmyn-
dighed varetager centeret desuden en række opgaver af fore-
byggende og afhjælpende karakter, herunder rådgivning af
statslige myndigheder om informationssikkerhed samt tekni-
ske analyser og assistance til myndigheder ved cyberangreb.
På Forsvarsministeriets område leder og kontrollerer Cen-
ter for Cybersikkerhed den militære it-sikkerhedstjeneste.
Som led heri bidrager centeret til udvikling af Forsvarets
ikt-systemer med sikkerhedsdesign, udgiver militære ikt-sik-
kerhedsbestemmelser, kvalitetssikrer informationssikkerhe-
den og yder sikkerhedsteknisk støtte samt sikkerhedsgod-
kender ikt-systemer og -installationer, bl.a. på baggrund af
TEMPEST-målinger (måling af uønsket elektromagnetisk
udstråling). Herudover sikrer centeret bevismateriale i sager
om brud på informationssikkerheden, udfører tekniske sik-
kerhedseftersyn og monitering af kontorer og mødelokaler,
hvor der skal gennemføres klassificerede samtaler, med hen-
blik på opdagelse og fjernelse af lytteudstyr m.v. Center for
Cybersikkerhed løser endvidere de militære opgaver inden
for informationssikkerhed, som Danmark gennem sit med-
lemskab af NATO er forpligtet til, herunder varetagelse af
funktionerne som National Security Authority (NSA), Nati-
onal Accreditation Authority (NAA), National Communica-
tion Security Authority (NCSA) og National TEMPEST Au-
thority.
Hertil kommer, at Center for Cybersikkerhed har myndig-
hedsansvaret for informationssikkerhed og beredskab i rela-
tion til samfundets teleforsyning, herunder ved krisestyring
med henblik på i videst muligt omfang at tilgodese sam-
fundsvigtige myndigheders og virksomheders adgang til te-
lefoni og internetkommunikation ved større kriser.
Den hastige udvikling på informationssikkerhedsområdet
medfører, at Center for Cybersikkerheds opgaver udvikler
sig dynamisk. Det er således forudsat, at der løbende vil ske
en udvikling af de konkrete opgaver, som centeret løser med
henblik på at understøtte et højt informationssikkerhedsni-
veau i samfundet.
Bestemmelsens stk. 2 fastslår Center for Cybersikkerheds
organisatoriske tilhørsforhold. Regeringen besluttede i 2011,
at myndighedernes indsats på it-sikkerhedsområdet skulle
samles i et it-sikkerhedscenter under Forsvarsministeriet.
20
Dette førte til oprettelsen af Center for Cybersikkerhed som
en del af Forsvarets Efterretningstjeneste.
Forsvarets Efterretningstjenestes opgaver er reguleret ved
lov nr. 602 af 12. juni 2013 om Forsvarets Efterretningstje-
neste (FE-loven), der trådte i kraft den 1. januar 2014. Det
fremgår af FE-lovens § 1, stk. 3, 2. pkt, at Forsvarets Efter-
retningstjenestes opgaver som national it-sikkerhedsmyndig-
hed, militær varslingstjeneste for internettrusler m.v. (MIL-
CERT) og statslig varslingstjeneste for internettrusler (Gov-
CERT) ikke reguleres af FE-lovens materielle bestemmel-
ser, men vil blive reguleret særskilt.
Der henvises i øvrigt til afsnit 2.1 og 2.2 i de almindelige
bemærkninger.
Til § 2
Den foreslåede § 2 definerer fem centrale begreber i lo-
ven, hvoraf begreberne sikkerhedshændelse, pakkedata og
trafikdata med enkelte sproglige tilpasninger og præciserin-
ger videreføres fra GovCERT-lovens § 3, mens begreberne
personoplysninger og behandling defineres i overensstem-
melse med persondatalovens § 3, nr. 1 og 2.
Nr. 1 viderefører definitionen af sikkerhedshændelse fra
GovCERT-lovens § 3, nr. 3, med en sproglig præcisering af,
at sikkerhedshændelser er hændelser med en negativ påvirk-
ning af tilgængelighed, integritet eller fortrolighed af data,
informationssystemer, digitale netværk eller digitale tjene-
ster. Det præciseres endvidere, at begrebet sikkerhedshæn-
delse omfatter hændelser, der vurderes at ville kunne have
den beskrevne påvirkning.
Definitionen indebærer, at enhver unormal situation, der
potentielt kan kompromittere informationssystemer, digitale
netværk, digitale tjenester eller andre elektroniske systemer
eller data, der lagres, processeres eller transmitteres af disse
systemer, vil være at betragte som en sikkerhedshændelse.
Desuden præciseres det, at begrebet omfatter data, informa-
tionssystemer, digitale netværk og digitale tjenester, således
at det udtrykkeligt fremgår, at også hændelser, som rammer
lukkede netværk (netværk, der ikke er forbundet til internet-
tet), kan have karakter af sikkerhedshændelser.
Et eksempel på en sikkerhedshændelse, der negativt påvir-
ker tilgængeligheden af en digital tjeneste, er et overbelast-
ningsangreb (denial-of-service angreb), hvor f.eks. en hjem-
meside rammes af et stort antal forespørgsler, så brugere ik-
ke kan få adgang til hjemmesiden. En sikkerhedshændelse,
der negativt påvirker integriteten af såvel data som et infor-
mationssystem, kan eksempelvis være indtrængen i en data-
base, hvor oplysninger ændres uden databaseejerens viden-
de. En sikkerhedshændelse, der negativt påvirker fortrolig-
heden af et informationssystem, kan være en såkaldt »tro-
jansk hest«, hvor der installeres et program på en myndig-
heds informationssystem, som muliggør uautoriseret kopie-
ring af data fra myndigheden.
Definitionen af begrebet sikkerhedshændelse omfatter ale-
ne sikkerhedshændelser på it-området og vil således f.eks.
ikke omfatte andre strafbare handlinger, der ikke er knyttet
til it-området (eksempelvis hærværk, tyveri eller terror).
Med definitionen af begrebet pakkedata i nr. 2 videreføres
GovCERT-lovens § 3, nr. 1, dog med en sproglig præcise-
ring af, at pakkedata er indholdet af kommunikation, der
transmitteres gennem digitale netværk eller tjenester – og ik-
ke kun internetbaseret kommunikation. Som hidtil vil det se-
mantiske indhold af kommunikation, der transmitteres gen-
nem digitale netværk eller tjenester, være omfattet af begre-
bet pakkedata. Det kan f.eks. være indholdet af en e-mail-
korrespondance eller indholdet af tilgåede hjemmesider.
Derudover er det tekniske indhold af kommunikationen,
f.eks. HTML- eller XML-koder, omfattet af begrebet pakke-
data.
Bestanddelene af en internetkommunikation betegnes tek-
nisk som »pakker«. Denne tekniske betegnelse er ikke iden-
tisk med betegnelsen pakkedata efter den foreslåede § 2, nr.
2. En »pakke« i teknisk forstand vil således bestå af såvel
pakke- som trafikdata i lovforslagets forstand.
Det foreslåede nr. 3 definerer begrebet trafikdata. Der er
tale om en videreførelse af GovCERT-lovens § 3, nr. 2, med
enkelte præciseringer. Ved trafikdata forstås data, som be-
handles med henblik på overførsel af pakkedata. Det vil sige
data, som beskriver oprindelse, destination og rutestyrings-
information, herunder oprindelsesdomænet eller den oprin-
delige elektroniske adresse samt anden tilsvarende informa-
tion. Trafikdata kan eksempelvis være header-informationen
i digitale kommunikationsprotokoller, men vil også omfatte
protokoller, der udelukkende anvendes til rute- og kommu-
nikationsstyring, f.eks. DNS og SIP. Konkrete eksempler på
trafikdata er oplysninger om IP-adresser, e-mailadresser,
hjemmesideadresser, browserversioner, kommunikationens
varighed og tidspunktet for kommunikationen.
Definitionen af begrebet personoplysninger i nr. 4 er iden-
tisk med den tilsvarende definition i persondatalovens § 3,
nr. 1, og skal fortolkes i overensstemmelse med denne be-
stemmelses forarbejder og relevante praksis.
Definitionen af begrebet behandling i nr. 5 er identisk
med den tilsvarende definition i persondatalovens § 3, nr. 2,
og skal fortolkes i overensstemmelse med denne bestemmel-
ses forarbejder og relevante praksis.
Til § 3
Den foreslåede § 3 fastsætter de overordnede rammer for
Center for Cybersikkerheds netsikkerhedstjeneste. Der er for
så vidt angår netsikkerhedstjenestens aktiviteter på det civile
område tale om en delvis videreførelse af GovCERT-lovens
§ 2, mens netsikkerhedstjenestens aktiviteter på Forsvarsmi-
nisteriets område (MILCERT) ikke tidligere har været regu-
leret ved lov.
Det foreslås med stk. 1, at betegnelsen »netsikkerhedstje-
neste« erstatter GovCERT-lovens »varslingstjeneste«. Net-
sikkerhedstjeneste vil være den fremtidige betegnelse for
Center for Cybersikkerheds samlede aktiviteter i forbindelse
med at opdage, analysere og bidrage til at imødegå sikker-
hedshændelser. Netsikkerhedstjenesten vil således omfatte
alle de kapaciteter ved Center for Cybersikkerhed, der på
forskellig vis bidrager til monitoreringens gennemførelse,
21
herunder CERT-aktiviteterne på det civile område (Gov-
CERT) og det militære område (MILCERT), sikkerhedstek-
niske aktiviteter (f.eks. analyse af malware samt forensic-
undersøgelser i forbindelse med sikring af bevismateriale i
sager om informationssikkerhed på Forsvarsministeriets om-
råde) samt støttefunktioner.
Netsikkerhedstjenestens opgave er som nævnt at opdage,
analysere og bidrage til at imødegå sikkerhedshændelser.
Der er ikke med denne formulering tilsigtet en ændring i
forhold til de opgaver, som GovCERT hidtil har løst med
hjemmel i GovCERT-loven, men opgaverne vil blive udført
på både det civile og det militære område. Myndigheder og
institutioner på Forsvarsministeriets myndighedsområde har
ikke været omfattet af GovCERT-loven, da MILCERT har
varetaget funktionen for de militære myndigheder.
I de tilfælde, hvor politiet efter retsplejelovens § 742 be-
slutter at iværksætte en efterforskning af mulige strafbare
forhold i forbindelse med en sikkerhedshændelse, vil der
være en dialog mellem Center for Cybersikkerhed og politi-
et om politiets eventuelle ønsker til, at Center for Cybersik-
kerhed tager særlige hensyn for at sikre, at der f.eks. ikke
sker en forringelse af spor i sagen. Der kan dog opstå situati-
oner, hvor centeret uanset en igangværende efterforskning
må tage nødvendige skridt til at afværge overhængende risi-
ko for skade på nationale cybersikkerhedsinteresser.
Ved tilslutning til netsikkerhedstjenesten vil der som hidtil
blive indgået en tilslutningsaftale, der nærmere regulerer
specifikke forhold i relationen mellem netsikkerhedstjene-
sten og den enkelte tilsluttede myndighed eller virksomhed.
Tilslutningen anses for at være sket, når denne aftale er ind-
gået. På Forsvarsministeriets område er det den militære it-
sikkerhedsmyndighed, som pålægger myndigheder at blive
tilsluttet netsikkerhedstjenesten, og på dette område indgås
ikke tilslutningsaftaler.
En myndighed eller virksomhed, der tilsluttes netsikker-
hedstjenesten, vil modtage en sikkerhedsydelse, der er til-
passet den enkelte myndigheds eller virksomheds behov.
Der vil eksempelvis kunne ske en monitorering af myndig-
hedens eller virksomhedens forbindelse til internettet, såle-
des at netsikkerhedstjenesten ved hjælp af f.eks. en lokalt
placeret alarmenhed kan opdage og analysere sikkerheds-
hændelser. På den baggrund – og på baggrund af tilsvarende
analyser hos de øvrige tilsluttede myndigheder og virksom-
heder – kan netsikkerhedstjenesten dels alarmere myndighe-
den eller virksomheden, når der konstateres konkrete sikker-
hedshændelser, dels udsende mere generelle varslinger. Des-
uden vil tilsluttede myndigheder og virksomheder kunne
modtage varslinger på baggrund af oplysninger, som Center
for Cybersikkerhed modtager fra Forsvarets Efterretnings-
tjenestes udenrigsefterretningstjeneste, andre netsikkerheds-
tjenester samt andre udenlandske samarbejdspartnere.
Netsikkerhedstjenesten vil desuden yde rådgivning om in-
formationssikkerhed til de tilsluttede myndigheder og kunne
yde bistand, hvis en myndighed eller virksomhed rammes af
en alvorlig sikkerhedshændelse.
Stk. 2 beskriver de statslige aktører m.v., som efter an-
modning kan tilsluttes netsikkerhedstjenesten. Der er tale
om en videreførelse af gældende ret efter GovCERT-loven,
hvorefter netsikkerhedstjenestens ydelser som udgangspunkt
stilles til rådighed for statens institutioner. Som hidtil vil alle
de øverste statsorganer – det vil sige Folketinget med tilhø-
rende institutioner, regenten og domstolene – kunne tilslut-
tes netsikkerhedstjenesten.
Den foreslåede stk. 3 er en delvis videreførelse af Gov-
CERT-lovens § 2, stk. 1. Regioner og kommuner og visse
virksomheder kan således fortsat efter anmodning blive til-
sluttet netsikkerhedstjenesten. Kredsen af virksomheder, der
kan tilsluttes, udvides imidlertid fra virksomheder, der er be-
skæftiget med kritisk infrastruktur, til virksomheder, der er
beskæftiget med samfundsvigtige funktioner.
Ved samfundsvigtige funktioner forstås i denne sammen-
hæng funktioner, som er særligt vigtige for samfundets og
demokratiets opretholdelse og sikkerhed samt borgernes
tryghed, herunder funktioner inden for sundhed, energi,
transport, forsyning, finans, forskning, medier og kommuni-
kation samt funktioner, som har stor økonomisk betydning
for samfundet. Som eksempler på nye typer af virksomhe-
der, der vil få mulighed for at blive tilsluttet netsikkerheds-
tjenesten, kan nævnes medicinalvirksomheder, fødevare-
virksomheder, virksomheder, der leverer vigtige komponen-
ter til Forsvaret, og virksomheder, der varetager driften af
administrative it-systemer for det offentlige. Bestemmelsen
er ikke begrænset til virksomheder, men omfatter alle juridi-
ske personer, der er beskæftiget med samfundsvigtige funk-
tioner.
Internetudbyderne og andre serviceudbydere, der beskæf-
tiger sig med samfundsvigtige funktioner, vil også kunne til-
sluttes netsikkerhedstjenesten. Tilslutningen vil for sådanne
udbydere dog alene omfatte udbyderens egen internetadgang
og ikke trafik, der udveksles fra kunde til kunde som led i
den udbudte service (medmindre der er indgået en tilslut-
ningsaftale med den enkelte kunde). At en internetudbyder
tilsluttes netsikkerhedstjenesten, indebærer således ikke, at
netsikkerhedstjenesten f.eks. får adgang til udbyderens
ADSL-kunders internetkommunikation.
Da netsikkerhedstjenestens kapacitet er begrænset, fore-
slås det, at Center for Cybersikkerhed får hjemmel til at
foretage en konkret vurdering af, om en anmodning fra en
region, kommune eller virksomhed, der ønsker at blive til-
sluttet netsikkerhedstjenesten, kan imødekommes.
Centerets afgørelse vil blive truffet ud fra en overordnet
vurdering af, om den pågældende myndigheds eller virk-
somheds tilslutning vil kunne bidrage til at understøtte et
højt informationssikkerhedsniveau i samfundet. Ved denne
vurdering vil der som i dag blive lagt vægt på netsikkerheds-
tjenestens aktuelle kapacitet, men der vil endvidere blive
lagt vægt på, om den pågældende myndighed eller virksom-
hed har en it-infrastruktur, der kan udnytte fordelene ved
den monitoreringsydelse, som leveres. Det forudsætter, at it-
infrastrukturen er hensigtsmæssigt indrettet, at den pågæl-
dende myndighed eller virksomhed har et tilfredsstillende
informationssikkerhedsniveau, og at it-driftsorganisationen
22
har et beredskab, der kan håndtere alarmer fra netsikker-
hedstjenesten. Der vil endvidere blive lagt vægt på, at net-
sikkerhedstjenesten samlet set opnår en samfundsmæssigt
repræsentativ dækning, således at netsikkerhedstjenesten
dækker så mange forskellige sektorer, brancher, virksom-
hedstyper og it-teknologier som muligt, hvorved netsikker-
hedstjenesten får optimale muligheder for at forebygge cy-
berangreb. Centerets afgørelse vil kunne påklages til For-
svarsministeriet.
Center for Cybersikkerhed vil regelmæssigt offentliggøre,
hvilke myndigheder og virksomheder der er tilsluttet netsik-
kerhedstjenesten efter stk. 2 og 3.
Det foreslås med stk. 4, at den hidtidige ordning fra Gov-
CERT-lovens § 2, stk. 2, videreføres, således at Center for
Cybersikkerhed ved bekendtgørelse kan fastsætte nærmere
regler for regioners, kommuners og virksomheders tilslut-
ning til netsikkerhedstjenesten, herunder regler om betaling
af gebyr.
Med hjemmel i GovCERT-lovens § 2, stk. 2, er bekendt-
gørelse nr. 1304 af 17. december 2012 om vilkår for tilslut-
ning til den statslige varslingstjeneste for internettrusler ud-
stedt. Bekendtgørelsen regulerer bl.a. ejerskab og håndtering
af monitoreringsudstyr samt ansvar for sikkerhedsforanstalt-
ninger. Desuden følger det af bekendtgørelsen, at tilsluttede
myndigheder og virksomheder betaler et årligt beløb til
dækning af driftsudgifter og herudover betaler de udgifter,
der er forbundet med GovCERT’s indkøb og/eller udvikling
af alarmenhed og service af denne.
Det forudsættes, at regioner, kommuner og virksomheder,
der ønsker at blive tilsluttet netsikkerhedstjenesten, som hid-
til dækker de udgifter, der er forbundet med indkøb og/eller
udvikling af evt. monitoreringsudstyr, samt Center for Cy-
bersikkerheds udgifter til monitoreringen. De første to må-
neders tilslutning betragtes dog som en indkøringsperiode,
hvor der ikke sker opkrævning.
De myndigheder, der tilsluttes efter stk. 2, modtager som
hidtil netsikkerhedstjenestens ydelser vederlagsfrit. Ønsker
en myndighed særlige ydelser, f.eks. monitorering af flere
forskellige forbindelser til internettet, vil myndigheden blive
opkrævet betaling, som dækker udgifterne til indkøb og/eller
udvikling af evt. monitoreringsudstyr og udgifter til driften
heraf.
Til § 4
Den foreslåede § 4 giver Center for Cybersikkerheds net-
sikkerhedstjeneste hjemmel til at foretage indgreb i medde-
lelseshemmeligheden i forbindelse med behandling af pak-
ke- og trafikdata hidrørende fra netværk hos tilsluttede myn-
digheder og virksomheder.
Netsikkerhedstjenesten har til opgave at opdage, analysere
og bidrage til at imødegå sikkerhedshændelser hos tilslutte-
de myndigheder og virksomheder, jf. den foreslåede § 3.
Netsikkerhedstjenesten varetager opgaver i forhold til til-
sluttede myndigheder og virksomheder på det civile område
(§ 4), myndigheder og institutioner på Forsvarsministeriets
myndighedsområde (§ 5), midlertidigt tilsluttede myndighe-
der og virksomheder (§ 6) og ved undersøgelse af informati-
onssystemer (§ 7).
Bestemmelsen er en indholdsmæssigt uændret videreførel-
se af GovCERT-lovens § 4, stk. 1, der giver GovCERT
hjemmel til uden retskendelse at behandle, herunder indsam-
le, registrere, analysere og opbevare, tilsluttede myndighe-
ders og private virksomheders ind- og udgående pakke- og
trafikdata. Der er med den ændrede formulering af bestem-
melsen – som alene angiver samlebetegnelsen »behandler«
og undlader eksemplificering heraf – ikke tilsigtet en æn-
dring af anvendelsesområdet.
Det fremgår af bemærkningerne til GovCERT-lovens § 4
(L 197, 1. samling 2010-11), at GovCERT som udgangs-
punkt ikke vil afkryptere en krypteret e-mail eller andet ind-
hold af en internetkommunikation. Dette har imidlertid i
praksis vist sig at indebære en væsentlig og meget uhen-
sigtsmæssig begrænsning for GovCERT’s opgaveløsning.
Konsekvensen er, at GovCERT ikke kan tilgå en krypteret
e-mail, uanset at denne indeholder skadelige filer, f.eks. vi-
rus, ligesom GovCERT’s muligheder for at opdage og imø-
degå angreb mod hjemmesider, der af sikkerhedsmæssige
årsager anvender krypterede forbindelser, begrænses mark-
ant. Avancerede cyberangreb er ofte karakteriseret ved, at
angrebene gennemføres ved brug af krypteret ondsindet
software, eller at data krypteres, inden de stjæles fra et it-sy-
stem. Af tekniske årsager er krypteringen typisk svag og
dermed mulig at bryde. For at Center for Cybersikkerhed
kan løse sin opgave effektivt ved avancerede cyberangreb,
er det derfor nødvendigt, at centeret ikke udelukkes fra at
bryde simple krypteringer i forbindelse med sikkerhedshæn-
delser. Begrænsningen for så vidt angår afkryptering fore-
slås på den baggrund ikke videreført. Dette indebærer imid-
lertid ikke, at Center for Cybersikkerhed vil kunne forlange
krypteringsnøgler udleveret fra myndigheder, virksomheder
eller borgere.
Til § 5
Den foreslåede § 5 giver Center for Cybersikkerheds net-
sikkerhedstjeneste hjemmel til at foretage indgreb i medde-
lelseshemmeligheden i forbindelse med behandling af pak-
ke- og trafikdata hidrørende fra netværk hos myndigheder
på Forsvarsministeriets område.
Den it-sikkerhedsmæssige monitorering af netværkskom-
munikation hos myndigheder og institutioner på Forsvarsmi-
nisteriets myndighedsområde er hidtil blevet varetaget af
MILCERT, der ikke har været reguleret ved lov. Med § 5
foreslås den hjemmel, der siden 2011 har været gældende
for GovCERT’s monitoreringsaktiviteter på det civile områ-
de, udvidet til også at gælde for det militære område. Moni-
toreringen vil fremover ske i regi af Center for Cybersikker-
heds netsikkerhedstjeneste, der vil omfatte både Gov-
CERT’s og MILCERT’s nuværende aktiviteter.
Den foreslåede § 5, der giver hjemmel til indgreb i med-
delelseshemmeligheden i forhold til myndigheder på For-
svarsministeriets område, er indholdsmæssigt identisk med
den foreslåede § 4, der giver hjemmel til indgreb i meddelel-
23
seshemmeligheden i forhold til tilsluttede myndigheder og
virksomheder på det civile område.
Reguleringen af netsikkerhedstjenestens adgang til at fore-
tage indgreb i meddelelseshemmeligheden på henholdsvis
det civile og det militære område er opdelt i to bestemmel-
ser, da der på enkelte områder foreslås at gælde særlige reg-
ler for det militære område. Det sker for at sikre, at der ikke
med den foreslåede ordning sker en indskrænkning i forhold
til de muligheder for monitorering, som MILCERT hidtil
har haft. På Forsvarsministeriets område, hvor der i betyde-
ligt omfang håndteres klassificerede oplysninger, vil der så-
ledes fortsat være behov for en videre adgang til at analysere
monitorerede data og til at videregive data til relevante sam-
arbejdspartnere.
Der henvises til afsnit 3.2 i de almindelige bemærkninger.
Til § 6
Den foreslåede § 6 giver Center for Cybersikkerheds net-
sikkerhedstjeneste hjemmel til at foretage indgreb i medde-
lelseshemmeligheden i forbindelse med behandling af pak-
ke- og trafikdata hidrørende fra netværk hos en myndighed
eller virksomhed, der ikke fast er tilsluttet netsikkerhedstje-
nesten efter den foreslåede § 3, men som tilsluttes i en tids-
begrænset periode. Den midlertidige tilslutning af en myn-
dighed eller virksomhed vil altid være frivillig og baseret på
et skriftligt samtykke til behandlingen fra den pågældende
myndighed eller virksomhed.
Den foreslåede ordning er baseret på GovCERT-lovens §
4, stk. 1, der giver GovCERT hjemmel til uden retskendelse
at indsamle, registrere, analysere og opbevare tilsluttede
myndigheders og private virksomheders ind- og udgående
pakke- og trafikdata. Med § 6 sikres det, at en myndighed
eller virksomhed, som ikke er beskæftiget med samfunds-
vigtige funktioner efter § 3, stk. 3, kan tilsluttes i en kortere
periode, såfremt der er begrundet mistanke om, at den ud-
sættes for et alvorligt cyberangreb eller er angrebet på en
måde, som kan påvirke samfundsvigtige funktioner negativt.
En midlertidig tilslutning kan ske i forhold til myndighe-
der og virksomheder, som ikke normalt er udsat for et så-
dant trusselsbillede, at en fast tilslutning til netsikkerhedstje-
nesten er hensigtsmæssig, men som på grund af aktuelle be-
givenheder i en kortere periode er udsat for et så konkret
trusselsbillede, at der er behov for den ekstra sikkerhed, som
en tilslutning indebærer. Det kan f.eks. være tilfældet, hvis
en myndighed træffer afgørelse i en enkeltstående sag, der
giver international opmærksomhed, eller hvis en virksom-
hed står over for at skulle byde på en højteknologisk opga-
ve, og der på den baggrund opstår en begrundet mistanke
om, at de vil blive udsat for et cyberangreb. En midlertidig
tilslutning kan også ske, hvis virksomheder, der ikke er be-
skæftiget med samfundsvigtige funktioner, rammes af sær-
ligt alvorlige cyberangreb. Der vil f.eks. kunne være tale
om, at en virksomheds it-system uden virksomhedens viden-
de indgår i et skadeligt netværk beregnet til cyberangreb,
hvorfra der rettes angreb mod offentlige myndigheder, eller
hvortil hackere henter følsomme oplysninger fra myndighe-
der eller virksomheder.
Det foreslås, at en midlertidig tilslutning til netsikkerheds-
tjenesten forudsætter, at der er begrundet mistanke om en
sikkerhedshændelse. Der vil således skulle foreligge konkre-
te indikationer, der peger i retning af, at en sikkerhedshæn-
delse har fundet eller vil finde sted. En begrundet mistanke
vil efter omstændighederne f.eks. kunne foreligge, hvis en
myndighed eller virksomhed udsættes for trusler af mere ge-
nerel karakter fra aktører eller grupper af aktører, der vil
kunne tænkes at benytte sig af cyberangreb, eller hvis en
virksomhed befinder sig i en situation – f.eks. ved offentlig-
gørelse af en ny opfindelse – hvor der har været eksempler
på, at der i tilsvarende situationer er sket cyberangreb.
Efter bestemmelsens nr. 1 skal myndigheden eller virk-
somheden anmode om at blive midlertidigt tilsluttet netsik-
kerhedstjenesten, og der skal foreligge et skriftligt samtykke
fra myndigheden eller virksomheden til behandlingen af
pakke- og trafikdata. Uanset at der er tale om en midlertidig
tilslutning til netsikkerhedstjenesten, vil der således skulle
indgås en tilslutningsaftale, og denne aftale skal foreligge
skriftligt, inden netsikkerhedstjenesten kan behandle pakke-
og trafikdata.
Efter det foreslåede nr. 2 er det et krav, at Center for Cy-
bersikkerheds netsikkerhedstjeneste forud for en midlertidig
tilslutning konkret skal have vurderet, at adgangen til i en
kortere periode at behandle pakke- og trafikdata hidrørende
fra netværk hos den pågældende myndighed eller virksom-
hed vil styrke centerets muligheder for at sikre den ikt-infra-
struktur, som samfundsvigtige funktioner er afhængige af.
Ved midlertidig tilslutning af virksomheder er det således –
i modsætning til ved fast tilslutning efter den foreslåede § 3,
stk. 3 – ikke et krav, at den pågældende virksomhed selv be-
skæftiger sig med samfundsvigtige funktioner. Der vil der-
med f.eks. kunne ske midlertidig tilslutning af en virksom-
hed, hvor en eller flere servere er blevet inficeret med mal-
ware og er blevet del af et netværk af inficerede maskiner
(et såkaldt botnet), hvorfra der rettes angreb mod offentlige
myndigheder, uanset virksomhedens størrelse eller branche.
Endelig er det efter den foreslåede nr. 3 som nævnt et
krav, at der er tale om en midlertidig tilslutning til Center
for Cybersikkerheds netsikkerhedstjeneste. Den midlertidige
periode kan højst udgøre to måneder regnet fra det tids-
punkt, hvor der er indgået en tilslutningsaftale. Hvis formå-
let med monitoreringen er opfyldt, inden der er forløbet to
måneder, eller hvis en eller flere af betingelserne i nr. 1 og 2
ikke længere er opfyldt, vil monitoreringen straks blive ind-
stillet.
Såfremt der under den midlertidige tilslutning konstateres
en konkret sikkerhedshændelse via monitoreringen, forud-
sættes det, at monitoreringen kan fortsætte, indtil den kon-
krete sikkerhedshændelse er håndteret, hvorefter den midler-
tidige tilslutning straks afsluttes.
Såfremt der efter den midlertidige tilslutnings afslutning
på ny opstår en begrundet mistanke om en sikkerhedshæn-
delse, vil der kunne indgås en ny, midlertidig tilslutningsaf-
tale.
24
Der henvises i øvrigt til afsnit 3.1 og 3.2 i de almindelige
bemærkninger.
Til § 7
Den foreslåede § 7 giver Center for Cybersikkerheds net-
sikkerhedstjeneste hjemmel til at foretage indgreb i medde-
lelseshemmeligheden i forbindelse med behandling af data,
som er indeholdt i eller hidrører fra et informationssystem,
der anvendes af en myndighed eller virksomhed. Den fore-
slåede ordning vil være frivillig og baseret på et skriftligt
samtykke fra den pågældende myndighed eller virksomhed.
Den foreslåede ordning er baseret på GovCERT-lovens §
4, stk. 1, der giver GovCERT hjemmel til uden retskendelse
at indsamle, registrere, analysere og opbevare tilsluttede
myndigheders og private virksomheders ind- og udgående
pakke- og trafikdata. Med § 7 foreslås denne hjemmel imid-
lertid udvidet til også at gælde for behandling af data, som
er indeholdt i eller hidrører fra et informationssystem, hvor
der er en begrundet mistanke om en sikkerhedshændelse.
Bestemmelsen vil således eksempelvis give Center for Cy-
bersikkerhed mulighed for at klarlægge et cyberangrebs år-
sag, omfang og konsekvenser gennem undersøgelser af det
ramte informationssystem.
Begrebet informationssystem skal forstås i overensstem-
melse med definitionen i Rådets rammeafgørelse
2005/222/RIA af 24. februar 2005 om angreb på informati-
onssystemer. Efter denne definition, der endvidere er an-
vendt i lov nr. 352 af 19. maj 2004 om ændring af bl.a. straf-
feloven, forstås ved et informationssystem »enhver enhed
eller gruppe af indbyrdes forbundne eller beslægtede enhe-
der, hvoraf en eller flere ved hjælp af et program udfører
automatisk behandling af edb-data samt edb-data, som lag-
res, behandles, fremfindes eller overføres i forbindelse med
systemernes drift, brug, beskyttelse og vedligeholdelse«.
Ved edb-data forstås tilsvarende her »enhver form for
gengivelse af fakta, informationer eller begreber i et format,
der egner sig til behandling i et informationssystem, herun-
der et program, som kan anvendes til at få et informations-
system til at udføre en funktion«.
Anvendelse af bestemmelsen forudsætter, at der er be-
grundet mistanke om en sikkerhedshændelse. Der vil således
skulle foreligge konkrete indikationer, der peger i retning af,
at en sikkerhedshændelse har fundet eller vil finde sted.
Det er efter nr. 1 et krav, at informationssystemet eller da-
taene herfra skal stilles til rådighed for Center for Cybersik-
kerheds netsikkerhedstjeneste. Myndigheden eller virksom-
heden skal således have anmodet netsikkerhedstjenesten om
bistand, og der skal i den forbindelse foreligge et samtykke
til, at Center for Cybersikkerhed behandler disse data. Sam-
tykket skal foreligge skriftligt, inden netsikkerhedstjenesten
kan behandle data.
Efter nr. 2 er det et krav, at netsikkerhedstjenesten forud
for behandlingen af data konkret skal have vurderet, at be-
handlingen vil styrke centerets muligheder for at sikre ikt-
infrastruktur, som samfundsvigtige funktioner er afhængige
af. I forhold til virksomheder er det således ikke et krav, at
en virksomhed selv beskæftiger sig med samfundsvigtige
funktioner.
Hvis Center for Cybersikkerhed behandler data fra et in-
formationssystem, hvor der ikke ved behandlingen sker ind-
greb i meddelelseshemmeligheden, vil en sådan behandling
ikke være omfattet af den foreslåede § 7, men alene af de
generelle bestemmelser om behandling af personoplysninger
i det foreslåede kapitel 6. Det vil f.eks. kunne være tilfældet,
hvis Center for Cybersikkerhed får stillet en server, der ikke
indeholder e-mail-korrespondance, til rådighed med henblik
på at undersøge et cyberangreb.
Der henvises i øvrigt til afsnit 3.1 og 3.2 i de almindelige
bemærkninger.
Til § 8
Den foreslåede § 8 vedrører Center for Cybersikkerheds
forhold til offentlighedsloven, forvaltningsloven og person-
dataloven. Den behandling af personoplysninger, som finder
sted i Center for Cybersikkerhed, er i dag reguleret i For-
svarsministeriets retningslinjer af 13. maj 2013 for behand-
ling af personoplysninger m.v. i Center for Cybersikkerhed
ved Forsvarets Efterretningstjeneste.
Det foreslås med stk. 1, at Center for Cybersikkerhed –
som det er tilfældet for den øvrige del af Forsvarets Efterret-
ningstjeneste – undtages fra offentlighedsloven, dog ikke lo-
vens § 13 om notatpligt, samt undtages fra forvaltningslo-
vens kapitel 4-6.
Det forudsættes imidlertid, at Center for Cybersikkerhed i
videst muligt omfang efterlever principperne i offentligheds-
loven og forvaltningslovens kapitel 4-6. Det forudsættes så-
ledes, at centeret – uanset at dets virksomhed er undtaget fra
forvaltningslovens bestemmelser på området – i relevant
omfang vurderer, om det i afgørelsessager konkret er muligt
at anvende forvaltningslovens principper om partens aktind-
sigt, partshøring og begrundelse m.v. Tilsvarende forudsæt-
tes det, at anmodninger om aktindsigt i videst muligt om-
fang behandles efter principperne i offentlighedsloven, jf.
afsnit 3.3.3 i de almindelige bemærkninger.
Det følger af § 2, stk. 11, i lov nr. 429 af 31. maj 2000 om
behandling af personoplysninger (persondataloven), at loven
ikke gælder for behandlinger, der udføres for politiets og
forsvarets efterretningstjenester. Center for Cybersikkerhed
er en del af Forsvarets Efterretningstjeneste, og persondata-
loven finder dermed ikke anvendelse på centerets virksom-
hed.
I forhold til Center for Cybersikkerheds behandling af an-
modninger om tilslutning til netsikkerhedstjenesten, jf. det
foreslåede § 3, stk. 3, centerets virksomhed som myndighed
for informationssikkerhed og beredskab på teleområdet i
henhold til lov om elektroniske kommunikationsnet og -tje-
nester, og centerets personalesager foreslås det med stk. 2, at
forsvarsministeren bemyndiges til at bestemme, at offentlig-
hedsloven, forvaltningslovens kapitel 4-6 og persondatalo-
vens kapitel 8-10 helt eller delvis finder anvendelse for disse
områder.
25
Det foreslåede stk. 3 fastsætter de overordnede rammer for
reguleringen af Center for Cybersikkerheds behandling af
personoplysninger. Lov om Center for Cybersikkerhed vil
erstatte bestemmelserne om behandlingsgrundlag og be-
handlingssikkerhed ved behandling af personoplysninger i
Forsvarsministeriets retningslinjer af 13. maj 2013, og det
foreslåede kapitel 6 regulerer centerets behandling af person-
oplysninger. Der er – som med retningslinjerne – tale om, at
en række af persondatalovens centrale principper vil finde
anvendelse på Center for Cybersikkerhed. Det understreges
således, at kapitel 6 finder anvendelse på alle former for be-
handling af personoplysninger i centeret – såvel i netsikker-
hedstjenesten som i forbindelse med øvrige myndighedsop-
gaver.
De generelle bestemmelser i kapitel 6 suppleres imidlertid
af kapitel 7, som kun finder anvendelse på netsikkerhedstje-
nestens behandling af data, herunder personoplysninger, ef-
ter kapitel 4 (indgreb i meddelelseshemmeligheden). Bag-
grunden for de særlige regler, som gælder for data, der ind-
samles ved monitorering af netværkskommunikation eller i
øvrigt tilvejebringes ved indgreb i meddelelseshemmelighe-
den, er, at behandlingen af disse oplysninger søges begræn-
set i størst muligt omfang, bl.a. af hensyn til privatlivets
fred.
Der henvises i øvrigt til afsnit 3.3 i de almindelige be-
mærkninger.
Til § 9
Den foreslåede § 9 viderefører med enkelte sproglige til-
pasninger den gældende § 10, stk. 2 og 3, i Forsvarsministe-
riets retningslinjer af 13. maj 2013 for behandling af person-
oplysninger m.v. i Center for Cybersikkerhed ved Forsvarets
Efterretningstjeneste.
Den foreslåede stk. 1, hvorefter Center for Cybersikkerhed
bl.a. skal sikre, at behandling af personoplysninger ikke sker
i videre omfang, end formålet tilsiger, er identisk med per-
sondatalovens § 5, stk. 2, og skal fortolkes i overensstem-
melse med denne bestemmelses forarbejder og relevante
praksis.
Den foreslåede stk. 2, som fastsætter principper om rele-
vans og proportionalitet, er identisk med persondatalovens §
5, stk. 3, og skal fortolkes i overensstemmelse med denne
bestemmelses forarbejder og relevante praksis.
Til § 10
Den foreslåede § 10, der fastsætter de overordnede ram-
mer for, hvornår behandling af personoplysninger må finde
sted, er en delvis videreførelse af § 11 i Forsvarsministeriets
retningslinjer af 13. maj 2013 for behandling af personop-
lysninger m.v. i Center for Cybersikkerhed ved Forsvarets
Efterretningstjeneste.
I forhold til retningslinjernes § 11 foreslås bestemmelsen
udvidet med yderligere en behandlingshjemmel, således at
behandling af personoplysninger efter den foreslåede § 10,
nr. 7, også kan finde sted, hvis der er tale om personoplys-
ninger, der er omfattet af det foreslåede kapitel 4.
De foreslåede § 10, nr. 1, 2, 3, 5 og 6, er med sproglige
tilpasninger identiske med de tilsvarende bestemmelser i
persondatalovens § 6 og skal fortolkes i overensstemmelse
med disse bestemmelsers forarbejder og relevante praksis.
Behandlingshjemlen i § 10, nr. 4, som er en videreførelse
af § 11, nr. 6, i retningslinjerne, foreslås som konsekvens af
de særlige opgaver, som Center for Cybersikkerhed udfører
som netsikkerhedstjeneste og national it-sikkerhedsmyndig-
hed. Efter bestemmelsen vil behandling af personoplysnin-
ger kunne finde sted, hvis behandlingen er nødvendig til be-
skyttelse af væsentlige hensyn til statens sikkerhed eller ri-
gets forsvar. Anvendelse af bestemmelsen forudsætter såle-
des, at der er fare for, at statens sikkerhed eller rigets forsvar
vil lide skade. Det kan f.eks. være tilfældet i forbindelse
med cyberangreb mod danske myndigheders informations-
systemer. Hensynet til statens sikkerhed eller rigets forsvar
skal fortolkes i overensstemmelse med det tilsvarende ud-
tryk i offentlighedslovens § 31.
Med den foreslåede § 10, nr. 7, fastsættes en generel
hjemmel til at behandle personoplysninger, hvis de er om-
fattet af kapitel 4 (indgreb i meddelelseshemmeligheden).
Det bemærkes i den forbindelse, at der med den foreslåede §
15 er fastsat nærmere rammer for analyse af pakkedata, der
er omfattet af §§ 4, 6 og 7, mens der i den foreslåede § 17 er
fastsat regler for sletning af de pågældende data.
Til § 11
Den foreslåede § 11 fastsætter rammerne for Center for
Cybersikkerheds behandling af personoplysninger om race-
mæssig eller etnisk baggrund, politisk, religiøs eller filoso-
fisk overbevisning, fagforeningsmæssige tilhørsforhold og
personoplysninger om helbredsmæssige og seksuelle for-
hold.
Bestemmelsen er en delvis videreførelse af § 12 i For-
svarsministeriets retningslinjer af 13. maj 2013 for behand-
ling af personoplysninger m.v. i Center for Cybersikkerhed
ved Forsvarets Efterretningstjeneste.
De foreslåede § 11, stk. 1 og stk. 2, nr. 1-3, er med sprog-
lige tilpasninger identiske med de tilsvarende bestemmelser
i persondatalovens § 7 og skal fortolkes i overensstemmelse
med denne bestemmelses forarbejder og relevante praksis.
For så vidt angår § 11, stk. 2, nr. 4, henvises til bemærk-
ningerne til den foreslåede § 10, nr. 4.
For så vidt angår § 11, stk. 2, nr. 5, der foreslår en ny be-
handlingshjemmel ved behandling af personoplysninger,
som er omfattet af det foreslåede kapitel 4, henvises til be-
mærkningerne til den foreslåede § 10, nr. 7.
Til § 12
Den foreslåede § 12 fastsætter rammerne for Center for
Cybersikkerheds behandling af personoplysninger om straf-
bare forhold, væsentlige sociale problemer og andre rent pri-
vate forhold end de i den foreslåede § 11, stk. 1, nævnte.
Bestemmelsen er en delvis videreførelse af § 13 i For-
svarsministeriets retningslinjer af 13. maj 2013 for behand-
26
ling af personoplysninger m.v. i Center for Cybersikkerhed
ved Forsvarets Efterretningstjeneste.
De foreslåede § 12, stk. 1 og stk. 2, nr. 1-4, er med sprog-
lige tilpasninger identiske med de tilsvarende bestemmelser
i persondatalovens § 8 og skal fortolkes i overensstemmelse
med disse bestemmelsers forarbejder og relevante praksis.
For så vidt angår § 12, stk. 2, nr. 5, der foreslår en ny be-
handlingshjemmel ved behandling af personoplysninger,
som er omfattet af det foreslåede kapitel 4, henvises til be-
mærkningerne til den foreslåede § 10, nr. 7.
Til § 13
Den foreslåede § 13, der fastsætter krav til datakvalitet, er
en indholdsmæssigt uændret videreførelse af § 10, stk. 4, i
Forsvarsministeriets retningslinjer af 13. maj 2013 for be-
handling af personoplysninger m.v. i Center for Cybersik-
kerhed ved Forsvarets Efterretningstjeneste.
Bestemmelsen er identisk med den tilsvarende bestemmel-
se i persondatalovens § 5, stk. 4, og skal fortolkes i overens-
stemmelse med denne bestemmelses forarbejder og relevan-
te praksis.
Til § 14
Den foreslåede § 14, der fastsætter tidsmæssige begræns-
ninger for opbevaring af indsamlede personoplysninger, er
en uændret videreførelse af § 10, stk. 5, i Forsvarsministeri-
ets retningslinjer af 13. maj 2013 for behandling af personop-
lysninger m.v. i Center for Cybersikkerhed ved Forsvarets
Efterretningstjeneste.
Bestemmelsen er identisk med den tilsvarende bestemmel-
se i persondatalovens § 5, stk. 5, og skal fortolkes i overens-
stemmelse med denne bestemmelses forarbejder og relevan-
te praksis.
Der henvises i øvrigt til bemærkningerne til den foreslåe-
de § 17, som fastsætter særlige bestemmelser om sletning af
data, der er omfattet af det foreslåede kapitel 4. Denne be-
stemmelse erstatter GovCERT-lovens § 4, stk. 2-4.
Til § 15
Den foreslåede § 15 fastsætter rammerne for Center for
Cybersikkerheds netsikkerhedstjenestes adgang til at analy-
sere pakkedata, der er omfattet af de foreslåede §§ 4, 6 og 7
(indgreb i meddelelseshemmeligheden). Som led i netsik-
kerhedstjenestens drift sker der løbende en fuldautomatisk
behandling af data fra de tilsluttede myndigheder og virk-
somheders netværkskommunikation med henblik på at iden-
tificere mulige sikkerhedshændelser. Bestemmelsen indebæ-
rer, at netsikkerhedstjenestens sikkerhedsanalytikere kun må
foretage en analyse af pakkedata, hvis der er en begrundet
mistanke om en sikkerhedshændelse – og da kun i det om-
fang, det er nødvendigt for afklaring af forhold vedrørende
hændelsen.
Der er tale om en videreførelse af GovCERT-lovens § 4,
stk. 1, 2. pkt., med enkelte sproglige tilpasninger.
Med §§ 6 og 7 foreslås netsikkerhedstjenestens adgang til
indgreb i meddelelseshemmeligheden udvidet til også at
omfatte situationer, hvor en myndighed eller virksomhed
midlertidigt er tilsluttet netsikkerhedstjenesten, samt situati-
oner, hvor myndigheder eller virksomheder stiller et infor-
mationssystem til rådighed for netsikkerhedstjenesten. Den
foreslåede § 15 vil som konsekvens heraf også omfatte ana-
lyse af pakkedata, som stammer fra disse kilder.
Netsikkerhedstjenestens aktiviteter på det militære område
(§ 5) er ikke omfattet af den foreslåede § 15, men vil blive
nærmere reguleret i de administrative retningslinjer, der er
beskrevet nærmere i afsnit 3.5.3 i de almindelige bemærk-
ninger.
Til § 16
Den foreslåede § 16 regulerer Center for Cybersikkerheds
muligheder for at videregive data, der er omfattet af §§ 4, 6
og 7 og dermed behandles på baggrund af indgreb i medde-
lelseshemmeligheden.
Bestemmelsen er en delvis videreførelse af GovCERT-lo-
vens § 6.
Med §§ 6 og 7 foreslås netsikkerhedstjenestens adgang til
indgreb i meddelelseshemmeligheden udvidet til også at
omfatte situationer, hvor en myndighed eller virksomhed
midlertidigt er tilsluttet netsikkerhedstjenesten, samt situati-
oner, hvor myndigheder eller virksomheder stiller et infor-
mationssystem til rådighed for netsikkerhedstjenesten. Den
foreslåede § 16 vil som konsekvens heraf også omfatte vide-
regivelse af data, der stammer fra disse kilder.
Det følger af den foreslåede nr. 1, at Center for Cybersik-
kerhed ved begrundet mistanke om en sikkerhedshændelse
kan videregive data, der stammer fra indgreb i meddelelses-
hemmeligheden, til dansk politi (og anklagemyndigheden).
Dermed sikres, at centeret kan videregive alle relevante op-
lysninger til politiet i de tilfælde, hvor det kan være relevant
for politiet at indlede en strafferetlig efterforskning.
Kravet om, at der skal være tale om en begrundet mistan-
ke om en sikkerhedshændelse, indebærer, at Center for Cy-
bersikkerhed alene kan videregive de pågældende data, hvis
der foreligger konkrete indikationer, der peger i retning af,
at en sikkerhedshændelse har fundet eller vil finde sted.
Med nr. 2 foreslås, at Center for Cybersikkerhed ved be-
grundet mistanke om en sikkerhedshændelse, og hvis det er
nødvendigt for udførelsen af netsikkerhedstjenestens opga-
ver, kan videregive trafikdata til den samme kreds af aktø-
rer, som er angivet i GovCERT-lovens § 6, nr. 3: Danske
myndigheder, tilsluttede private virksomheder og tilsvaren-
de varslingstjenester i andre lande. Betegnelsen »tilsvarende
varslingstjenester i andre lande« foreslås dog erstattet med
»andre netsikkerhedstjenester«, som vil omfatte tilsvarende
netsikkerhedstjenester i Danmark og udlandet, f.eks.
CERT’er, CSIRT’er (Computer Security Incident Response
Teams), ikt-sikkerhedsmyndigheder og efterretningstjene-
ster, som Center for Cybersikkerhed samarbejder tæt med på
netsikkerhedsområdet for at øge centerets muligheder for at
forebygge sikkerhedshændelser.
27
Kredsen af aktører foreslås endvidere udvidet til også at
omfatte udbydere af offentlige elektroniske kommunikati-
onsnet og -tjenester (teleselskaber) samt myndigheder og
virksomheder, der er omfattet af lovforslagets §§ 6 og 7.
For så vidt angår udbydere af offentlige elektroniske kom-
munikationsnet og -tjenester vil muligheden for at videregi-
ve trafikdata indebære, at især teleselskaber kan forbedre
deres sikkerhedssystemer, således at den ikt-infrastruktur,
som samfundsvigtige funktioner i overvejende grad er af-
hængige af, kan sikres yderligere, f.eks. ved at teleselskaber-
ne informeres om IP-adresser, der anvendes ved cyberan-
greb.
Den foreslåede mulighed for at videregive trafikdata til
virksomheder, der er omfattet af de foreslåede §§ 6 og 7, er
en konsekvens af lovforslagets bemyndigelse til, at der kan
behandles data i henhold til de to nævnte bestemmelser. Vi-
deregivelse af trafikdata til disse virksomheder vil være af
afgørende betydning for deres muligheder for at træffe pas-
sende modforholdsregler til håndtering af de sikkerhedshæn-
delser, der konstateres som led i monitoreringen af net-
værkskommunikation eller ved undersøgelse af deres infor-
mationssystemer.
En af Center for Cybersikkerheds vigtigste forebyggende
aktiviteter er udsendelse af sikkerhedsvarslinger, hvor myn-
digheder, virksomheder, andre netsikkerhedstjenester m.v.
underrettes om særligt alvorlige sikkerhedshændelser. Be-
grebet virksomhed omfatter i denne sammenhæng alle juri-
diske personer. Sikkerhedsvarslingerne giver modtagerne
mulighed for at styrke deres egen forebyggelse mod angreb
(f.eks. ved at blokere for trafik fra IP-adresser, der indgår i
hackeres angrebsinfrastruktur) og undersøge, om de har væ-
ret udsat for angreb (f.eks. ved at gennemsøge logfiler for e-
mails fra afsendere, der har angrebet andre myndigheder el-
ler virksomheder). Det foreslås derfor, at Center for Cyber-
sikkerhed ved begrundet mistanke om en sikkerhedshændel-
se, og hvis det er nødvendigt for udførelsen af netsikker-
hedstjenestens opgaver, kan udsende sikkerhedsvarslinger,
som indeholder trafikdata, der kan styrke modtagernes infor-
mationssikkerhedsniveau.
Videregivelse af trafikdata efter nr. 2 forudsætter, at der er
begrundet mistanke om en sikkerhedshændelse, og at det
konkret vurderes, at videregivelsen er nødvendig. Indehol-
der videregivelsen personoplysninger, vil principperne om
relevans og proportionalitet, jf. den foreslåede § 9, stk. 2, til-
lige skulle iagttages. Der vil dermed alene kunne videregi-
ves personoplysninger, som er relevante og tilstrækkelige
for at opnå formålet med den konkrete videregivelse.
Den foreslåede § 16 skal ses i sammenhæng med den fore-
slåede § 12, som generelt regulerer Center for Cybersikker-
heds adgang til at videregive personoplysninger om strafba-
re forhold, væsentlige sociale problemer og andre rent priva-
te forhold end de i den foreslåede § 11, stk. 1, nævnte. Erfa-
ringsmæssigt vil Center for Cybersikkerhed kun i meget
sjældne tilfælde have behov at videregive personoplysninger
af de nævnte typer, men i forbindelse med alvorlige cyber-
angreb kan der være behov for at videregive personoplys-
ninger om strafbare forhold til politiet. Den foreslåede § 12,
stk. 2, nr. 5, giver hjemmel til videregivelse af de nævnte ty-
per af personoplysninger, hvis oplysningerne er omfattet af
kapitel 4 (indgreb i meddelelseshemmeligheden). Spørgsmå-
let om videregivelse vil derefter skulle vurderes efter den
foreslåede § 16.
Det bemærkes, at Center for Cybersikkerheds videregivel-
se af personoplysninger vil være underlagt tilsyn af Tilsynet
med Efterretningstjenesterne, jf. de foreslåede §§ 19-24.
Netsikkerhedstjenestens aktiviteter på det militære område
(§ 5) er ikke omfattet af den foreslåede § 16, men vil blive
nærmere reguleret i de administrative retningslinjer, der er
beskrevet nærmere i afsnit 3.5.3 i de almindelige bemærk-
ninger.
Til § 17
Den foreslåede § 17 fastsætter de tidsmæssige rammer for
Center for Cybersikkerheds opbevaring af de data, der be-
handles i medfør af det foreslåede kapitel 4 og dermed be-
handles på baggrund af indgreb i meddelelseshemmelighe-
den.
Bestemmelsen skal ses i sammenhæng med den foreslåede
§ 14, hvorefter indsamlede personoplysninger generelt ikke
må opbevares på en måde, der giver mulighed for at identifi-
cere den pågældende person i et længere tidsrum end det,
der er nødvendigt af hensyn til de formål, hvortil oplysnin-
gerne behandles. Mens § 14 finder anvendelse på al behand-
ling af personoplysninger i Center for Cybersikkerhed, fin-
der de særlige regler i § 17 som nævnt alene anvendelse på
de data, der behandles på baggrund af indgreb i meddelel-
seshemmeligheden.
Bestemmelsen er en delvis videreførelse af GovCERT-lo-
vens § 4, stk. 2-4.
Efter det foreslåede stk. 1 vil data skulle slettes, når for-
målet med behandlingen er opfyldt, hvilket er en viderefø-
relse af GovCERT-lovens § 4, stk. 2, idet bestemmelsen dog
foreslås udvidet til at omfatte alle former for data, der be-
handles på baggrund af indgreb i meddelelseshemmelighe-
den. Der vil på den baggrund ske en løbende vurdering af de
behandlede data med henblik på at sikre, at data, der ikke
længere er relevante i forhold til netsikkerhedstjenestens
formål og aktiviteter, straks slettes.
Det foreslåede stk. 2 fastsætter øvre grænser for, hvor læn-
ge data, der ikke er slettet efter stk. 1, kan opbevares. Be-
stemmelsen finder dermed anvendelse på data, hvor det er
blevet vurderet, at der fortsat er behov for behandling i net-
sikkerhedstjenesten. Uanset at formålet med behandlingen
således i disse tilfælde endnu ikke er opfyldt, vil data skulle
slettes inden for de absolutte frister, som er fastsat i bestem-
melsen.
Stk. 2, nr. 1, vedrører data, der er knyttet til en sikkerheds-
hændelse. Det kan f.eks. være en IP-adresse, som har været
anvendt ved et cyberangreb mod en dansk myndighed, eller
en e-mail-adresse, som har været anvendt til at sende mal-
ware (computerprogram, der installeres, uden at brugeren
ønsker det, f.eks. virus, trojansk hest eller spyware) til dan-
ske myndigheder. Sådanne data vil især blive anvendt i net-
28
sikkerhedstjenestens monitoreringsudstyr for at give mulig-
hed for, at nye angreb, som kommer fra samme kilde, eller
som anvender samme angrebsmetode og -værktøjer, straks
kan opdages.
Efter bestemmelsen må data, der knytter sig til en sikker-
hedshændelse, højst opbevares i tre år, hvorefter de skal
slettes. Det er samme tidsmæssige grænse, som er fastsat i
GovCERT-lovens § 4, stk. 3. Såfremt data inden for den tre-
årige periode igen konstateres anvendt i forbindelse med en
sikkerhedshændelse, vil en ny tre-årig periode starte. Hvis
en IP-adresse eksempelvis i september 2014 anvendes til et
cyberangreb mod en dansk myndighed, vil netsikkerhedstje-
nesten således kunne anvende oplysninger om IP-adressen
til at forebygge nye angreb frem til september 2017, hvor
oplysningerne skal slettes. Hvis samme IP-adresse i august
2017 anvendes til et nyt angrebsforsøg, og dermed atter får
tilknytning til en sikkerhedshændelse, vil netsikkerhedstje-
nesten imidlertid kunne anvende oplysninger om IP-adres-
sen i monitoreringsudstyr m.v. frem til august 2020, hvor
oplysningerne skal slettes, hvis IP-adressen ikke på det tids-
punkt atter har været anvendt i forbindelse med en sikker-
hedshændelse.
Stk. 2, nr. 2, vedrører øvrige data, der ikke er knyttet til en
sikkerhedshændelse. Det foreslås, at sådanne data højst må
opbevares i 13 måneder, hvilket er en udvidelse i forhold til
GovCERT-lovens § 4, stk. 3, hvorefter trafikdata, der ikke
knytter sig til en sikkerhedshændelse, højst må opbevares i
12 måneder, mens de tilsvarende pakkedata højst må opbe-
vares i 14 dage.
Med stk. 3 foreslås det, at de frister for sletning, som føl-
ger af stk. 2, regnes fra det tidspunkt, hvor Center for Cyber-
sikkerhed har registreret de pågældende data, hvilket svarer
til tidspunktet for centerets lagring af data. Dette svarer til
gældende ret efter GovCERT-lovens § 4, stk. 4.
Ved behandling af data, der er indeholdt i eller hidrører
fra et informationssystem, som stilles til rådighed af en
myndighed eller en virksomhed, jf. den foreslåede § 7, reg-
nes fristen fra det tidspunkt, hvor der er indhentet et skrift-
ligt samtykke fra myndigheden eller virksomheden, og det
pågældende informationssystem er modtaget hos eller stillet
til rådighed for Center for Cybersikkerhed.
Med stk. 4 foreslås det, at slettefristerne i stk. 1 og 2 ikke
finder anvendelse på helt særlige situationer, hvor data er vi-
deregivet.
Efter den foreslåede § 16, nr. 1, kan data videregives til
politiet ved begrundet mistanke om en sikkerhedshændelse,
ligesom det følger af den foreslåede § 16, nr. 2, at trafikdata
bl.a. kan videregives til danske myndigheder og til de virk-
somheder, der er tilsluttet netsikkerhedstjenesten.
Videregivelse af trafikdata vil primært ske i forbindelse
med udsendelse af varslinger, hvor Center for Cybersikker-
hed gør myndigheder og virksomheder opmærksomme på,
at f.eks. en bestemt IP-adresse anvendes til cyberangreb. Så-
danne varslinger giver myndigheder og virksomheder mu-
lighed for at tage deres forholdsregler, f.eks. ved at blokere
den pågældende IP-adresse i en lokal firewall. Når en vide-
regivelse er sket via en varsling eller tilsvarende, har Center
for Cybersikkerhed i sagens natur ikke mulighed for at sikre,
at der efterfølgende sker en sletning hos modtageren, lige-
som centeret selv vil være forpligtet til at journalisere de ud-
sendte varslinger m.v. Det foreslås derfor, at trafikdata, der
er indeholdt i sådanne varslinger m.v. – f.eks. IP-adresser –
hverken hos Center for Cybersikkerhed eller hos modtager-
ne af varslingerne vil skulle slettes efter § 17, stk. 1 og 2.
Data, der er videregivet til politiet i sager, hvor der er be-
grundet mistanke om en sikkerhedshændelse, vil typisk ved-
røre mulige straffelovsovertrædelser, og det vil i sådanne
sager være betænkeligt, hvis Center for Cybersikkerhed ef-
ter tre år ikke længere må opbevare de videregivne oplys-
ninger. Det foreslås på den baggrund, at data, der videregi-
ves efter § 16, nr. 1, ikke vil skulle slettes efter § 17, stk. 1
og 2.
Uanset at sletningsreglerne i § 17, stk. 1 og 2, ikke finder
anvendelse, vil personoplysninger indeholdt i data fortsat
skulle behandles i overensstemmelse med den foreslåede §
14, hvorefter indsamlede personoplysninger ikke må opbe-
vares på en måde, der giver mulighed for at identificere den
pågældende person i et længere tidsrum end det, der er nød-
vendigt af hensyn til de formål, hvortil oplysningerne be-
handles.
Såfremt en virksomhed eller myndighed opsiger en tilslut-
ningsaftale med netsikkerhedstjenesten, vil en sådan opsi-
gelse indebære, at Center for Cybersikkerhed snarest muligt
sletter pakke- og trafikdata, der stammer fra virksomheden
eller myndigheden. Sletningen vil omfatte alle data, som
centeret har behandlet på baggrund af tilslutningsaftalen
med den pågældende virksomhed eller myndighed – dog ik-
ke data, der konkret knytter sig til en sikkerhedshændelse,
da disse data fortsat i relevant omfang vil blive anvendt til at
beskytte de øvrige tilsluttede myndigheder og virksomheder
mod cyberangreb, ligesom de potentielt vil kunne indgå i
politiets efterforskning af strafbare forhold.
Der henvises til afsnit 3.4 i de almindelige bemærkninger.
Til § 18
Den foreslåede § 18, stk. 1, opstiller overordnede krav til
Center for Cybersikkerheds interne informationssikkerhed i
forhold til alle typer af oplysninger, der behandles i centeret.
Bestemmelsen er en videreførelse af § 14, stk. 2, i Forsvars-
ministeriets retningslinjer af 13. maj 2013 for behandling af
personoplysninger m.v. i Center for Cybersikkerhed ved
Forsvarets Efterretningstjeneste.
Bestemmelsen er indholdsmæssigt identisk med den til-
svarende bestemmelse i persondatalovens § 41, stk. 3, og
skal fortolkes i overensstemmelse med denne bestemmelses
forarbejder og relevante praksis.
Efter stk. 2 skal Center for Cybersikkerhed træffe foran-
staltninger, der i tilfælde af krig eller lignende forhold mu-
liggør bortskaffelse eller tilintetgørelse af oplysninger, som
er af særlig interesse for fremmede magter.
Bestemmelsen er en delvis videreførelse af § 14, stk. 3, i
Forsvarsministeriets retningslinjer af 13. maj 2013 for be-
29
handling af personoplysninger m.v. i Center for Cybersik-
kerhed ved Forsvarets Efterretningstjeneste. Bestemmelsen
svarer endvidere indholdsmæssigt til persondatalovens § 41,
stk. 4, og skal fortolkes i overensstemmelse med denne be-
stemmelses forarbejder og relevante praksis.
Til § 19
Med bestemmelsen foreslås det, at det fremover skal være
Tilsynet med Efterretningstjenesterne, som fører tilsyn med
Center for Cybersikkerheds behandling af personoplysnin-
ger. Tilsynet med Efterretningstjenesternes virksomhed er
nærmere reguleret i lov nr. 604 af 12. juni 2013 om Politiets
Efterretningstjeneste (PET).
Tilsynet med Efterretningstjenesterne fører i forvejen til-
syn med Forsvarets Efterretningstjeneste, jf. FE-lovens § 13.
Det følger imidlertid af FE-lovens § 1, stk. 3, 2. pkt., at Cen-
ter for Cybersikkerhed ikke reguleres af FE-lovens materiel-
le bestemmelser, herunder lovens bestemmelser om tilsyn.
Tilsynet med Efterretningstjenesterne afløser det hidtidige
tilsyn, der i medfør af GovCERT-lovens § 7 er nedsat for at
følge GovCERT’s virksomhed. Samtidig foreslås det, at til-
synets kompetence udvides, således at al behandling af per-
sonoplysninger i Center for Cybersikkerhed bliver omfattet
af Tilsynet med Efterretningstjenesternes kompetence.
Rammerne for Tilsynet med Efterretningstjenesternes
virksomhed i forhold til Center for Cybersikkerhed svarer til
rammerne for tilsynets virksomhed i forhold til Forsvarets
Efterretningstjeneste og Politiets Efterretningstjeneste.
Til § 20
Med bestemmelsen foreslås det, at Tilsynet med Efterret-
ningstjenesterne efter klage eller af egen drift kan påse Cen-
ter for Cybersikkerheds overholdelse af de foreslåede regler
i kapitel 4, 6 og 7 vedrørende behandling af personoplysnin-
ger. Det vil indebære, at tilsynet som udgangspunkt får sam-
me tilsynsrolle i forhold til centeret, som Datatilsynet i med-
før af persondataloven har i forhold til andre offentlige myn-
digheder.
Bestemmelsen svarer til ordningen efter FE-lovens § 15
og PET-lovens § 18.
Tilsynet med Efterretningstjenesterne vil ikke få til opga-
ve at udtale sig om, hvorvidt Center for Cybersikkerhed ud-
fører sine opgaver på en hensigtsmæssig måde. Det vil fort-
sat være op til centeret selv (under ansvar over for Forsvars-
ministeriet) inden for de retlige rammer for centerets virk-
somhed at tilrettelægge sin sagsbehandling. Tilsynet med
Efterretningstjenesterne har ligeledes ikke til opgave at
overveje eller tage stilling til, om der af enkelte medarbejde-
re i Center for Cybersikkerhed måtte være begået fejl eller
forsømmelser, der kan give anledning til, at der søges et ret-
ligt ansvar gennemført eller i øvrigt rettes kritik mod den en-
kelte, idet dets opgave er at vurdere centerets virksomhed.
Opstår der tilfælde, hvor spørgsmål om ansvar for enkeltper-
soner kan rejses, skal dette behandles efter almindelige per-
sonaleretlige regler m.v.
Tilsynet med Efterretningstjenesterne vil primært have til
opgave at føre tilsyn med Center for Cybersikkerheds be-
handling af personoplysninger, der efter det foreslåede kapi-
tel 4 behandles på baggrund af indgreb i meddelelseshem-
meligheden. På dette område vil tilsynet således både efter
klage og af egen drift påse Center for Cybersikkerheds over-
holdelse af kapitel 6 og 7.
Endvidere vil tilsynet skulle påse, at Center for Cybersik-
kerhed i forbindelse med centerets behandling af personop-
lysninger overholder de krav til sikkerhedsforanstaltninger,
der følger af kapitel 8. Endelig vil tilsynet have til opgave at
påse, at yderligere regler om behandling af personoplysnin-
ger, der fastsættes i administrative retningslinjer, overhol-
des.
Til § 21
Den foreslåede § 21 regulerer Tilsynet for Efterretnings-
tjenesternes reaktionsmuligheder. Bestemmelsen svarer til
ordningen efter FE-lovens § 16 og PET-lovens § 19.
Tilsynet med Efterretningstjenesterne vil efter stk. 1 – li-
gesom Folketingets Ombudsmand – kunne afgive udtalelser
over for Center for Cybersikkerhed, herunder udtale kritik,
afgive henstillinger samt i øvrigt fremsætte tilsynets opfat-
telse af en sag. En sådan udtalelse vil ikke være retligt bin-
dende for Center for Cybersikkerhed, men det forudsættes,
at centeret i almindelighed vil følge tilsynets udtalelser, jf.
det foreslåede stk. 3.
Efter stk. 2 skal Tilsynet med Efterretningstjenesterne som
led i sin virksomhed orientere forsvarsministeren om vigtige
afgørelser og udtalelser.
I stk. 3 fastslås det, at Center for Cybersikkerhed skal un-
derrette Tilsynet med Efterretningstjenesterne og forelægge
sagen for forsvarsministeren til afgørelse, hvis centeret und-
tagelsesvist beslutter ikke at følge en henstilling i en udtalel-
se fra tilsynet. Herved pålægges Center for Cybersikkerhed
en oplysningspligt, hvis centeret undtagelsesvist ikke agter
at følge en henstilling i en udtalelse fra Tilsynet med Efter-
retningstjenesterne. Samtidig sikres det, at forsvarsministe-
ren konkret involveres i den pågældende sag. Det sikres der-
ved, at det er forsvarsministeren og ikke tilsynet, der har det
endelige ansvar i sådanne tilfælde. Med udtrykket »undta-
gelsesvist« understreges det, at centeret som nævnt i almin-
delighed forudsættes at følge henstillinger i tilsynets udtalel-
ser.
Om tilsynets virksomhed henvises i øvrigt til afsnit 3.6.3 i
de almindelige bemærkninger.
Til § 22
Tilsynet med Efterretningstjenesterne sikres med den fore-
slåede § 22 adgang til de oplysninger, der er nødvendige til
gennemførelse af dets virksomhed. Bestemmelsen svarer til
ordningen efter FE-lovens § 17 og PET-lovens § 20.
Efter stk. 1 kan Tilsynet med Efterretningstjenesterne hos
Center for Cybersikkerhed kræve enhver oplysning og alt
materiale af betydning for tilsynets virksomhed. Udtrykket
»materiale« skal forstås i vid forstand og omfatter bl.a. do-
30
kumenter i traditionel forstand, elektroniske oplysninger,
båndoptagelser, film m.v.
Efter stk. 2 skal Tilsynet med Efterretningstjenesterne
endvidere til enhver tid mod behørig legitimation uden rets-
kendelse have adgang til alle centerets lokaler, hvorfra en
behandling, som foretages for Center for Cybersikkerhed,
administreres, eller hvorfra der er adgang til de oplysninger,
som behandles, eller hvor tekniske hjælpemidler opbevares
eller anvendes. Det forudsættes med den foreslåede bestem-
melse, at tilsynet har mulighed for selv at gøre sig bekendt
med oplysninger og materiale på opbevaringsstedet, herun-
der oplysninger og materiale i arkiver, registre, installationer
og anlæg af enhver art. Hermed opnår tilsynet f.eks. adgang
til i forbindelse med inspektioner at foretage opslag i cente-
rets registre m.v. på stedet og sikre sig, at tilsynet gøres be-
kendt med alle akter og sager.
Efter bestemmelsens stk. 3 kan Tilsynet med Efterret-
ningstjenesterne afkræve Center for Cybersikkerhed skriftli-
ge udtalelser om faktiske og retlige forhold af betydning for
tilsynets kontrolvirksomhed efter § 20. Tilsynet vil efter be-
stemmelsen kunne udbede sig centerets stillingtagen til be-
stemte juridiske temaer og/eller anmode om en redegørelse
for centerets praksis og den bagvedliggende retsopfattelse.
Bestemmelsen svarer til ombudsmandslovens § 19, stk. 2.
Endvidere kan Tilsynet med Efterretningstjenesterne efter
den foreslåede bestemmelse i stk. 4 anmode om, at en repræ-
sentant fra Center for Cybersikkerhed deltager, når tilsynet
foretager inspektioner hos centeret eller behandler sager,
med henblik på, at den pågældende repræsentant kan rede-
gøre for de behandlede sager i det omfang, tilsynet har be-
hov for det.
Det forudsættes, at Tilsynet med Efterretningstjenesterne i
forbindelse med adgangen til oplysninger, materiale og lo-
kaliteter i videst muligt omfang tager hensyn til Center for
Cybersikkerheds samarbejdspartnere m.v. og tilrettelægger
sit arbejde således, at tilsynet alene skaffer sig kendskab til
oplysninger, der er af betydning for kontrollens gennemfø-
relse.
Til § 23
Med bestemmelsen, der svarer til ordningen efter FE-lo-
vens § 18 og PET-lovens § 21, foreslås det, at Tilsynet med
Efterretningstjenesternes virksomhed undtages fra reglerne i
offentlighedsloven (dog med undtagelse af lovens § 13 om
notatpligt), forvaltningslovens kapitel 4-6 (om aktindsigt,
partshøring og begrundelse m.v.) samt persondataloven.
Der er efter lovforslaget ikke en almindelig ret til direkte
indsigt i personoplysninger, der behandles af Center for Cy-
bersikkerhed, jf. afsnit 3.3 i de almindelige bemærkninger.
Bestemmelsen sikrer bl.a., at en klager ikke kan få indsigt i
de oplysninger, som Center for Cybersikkerhed eventuelt
måtte have behandlet om vedkommende, ved at begære ind-
sigt efter persondataloven i de oplysninger, som tilsynet
måtte behandle i anledning af klagerens anmodning til tilsy-
net.
Til § 24
Tilsynet med Efterretningstjenesterne skal efter den fore-
slåede § 24 afgive en årlig redegørelse om dets tilsynsvirk-
somhed til forsvarsministeren, som offentliggør redegørel-
sen. Bestemmelsen svarer til ordningen efter FE-lovens § 19
og PET-lovens § 22.
Redegørelsen må – netop fordi den vil være beregnet til
offentliggørelse – ikke indeholde oplysninger, hvis offent-
liggørelse kan skade statens sikkerhed, forholdet til uden-
landske samarbejdspartnere, Center for Cybersikkerheds kil-
der, kapaciteter og metoder m.v. I det omfang, der i redegø-
relsen er en omtale af klagesager, skal de enkelte klagere
være anonymiserede.
Inden for disse rammer skal sigtet med Tilsynet med Ef-
terretningstjenesterne redegørelser være at give information
om karakteren af det tilsyn, der udøves med Center for Cy-
bersikkerhed. Bl.a. vil det være muligt uden tilsidesættelse
af tavshedspligten at redegøre for tilsynets virksomhed –
herunder også i form af en generel beskrivelse af, hvilke for-
hold tilsynet måtte have valgt særligt at interessere sig for
som led i sit tilsyn.
Redegørelserne skal indeholde statistiske oplysninger om
Center for Cybersikkerheds behandling af personoplysnin-
ger, herunder oplysninger om antallet af modtagne klagesa-
ger i såvel centeret som tilsynet, oplysninger om antallet af
aktindsigtssager og afgørelsen af disse samt oplysninger om
antallet af sager med relation til sikkerhedshændelser, der er
behandlet i centeret. Tilsynet vil også skulle medtage oplys-
ninger om, i hvor mange tilfælde tilsynet har fundet, at Cen-
ter for Cybersikkerheds behandling af personoplysninger ik-
ke har været i overensstemmelse med reglerne.
Redegørelsen skal ligeledes indeholde en fuldt ud anony-
miseret beskrivelse af en eller flere konkrete cyberangreb
samt en statistik over antallet af tilfælde, hvor en analytiker
fra Center for Cybersikkerhed på baggrund af indgreb i
meddelelseshemmeligheden har foretaget en analyse af data.
Denne statistik skal desuden indeholde en overordnet kate-
gorisering af, hvor alvorlige disse tilfælde har været.
Redegørelsen suppleres af en årlig beretning fra Center for
Cybersikkerhed, der også beskriver centerets aktiviteter på
det forebyggende område og bringer statistiske oplysninger
herom. Desuden skal beretningen indeholde et overblik over
de trusselsvurderinger m.v., der er udsendt i årets løb, såle-
des at virksomheder og offentligheden kan få et overblik
over risikoen for cyberangreb. Herudover udgiver centeret
løbende vejledninger, situationsbilleder og lign., ligesom en
oversigt over de tilsluttede myndigheder og virksomheder
også regelmæssigt bliver offentliggjort. Oversigten vil også
omfatte statistiske oplysninger om antallet af myndigheder
og virksomheder, der midlertidigt er tilsluttet netsikkerheds-
tjenesten.
Redegørelserne og den årlige beretning fra Center for Cy-
bersikkerhed vil også blive offentliggjort på Center for Cy-
bersikkerheds hjemmeside, www.cfcs.dk.
Endelig kan nævnes, at der efter den politiske aftale om
lovforslaget skal udarbejdes en rapport om erfaringerne med
31
den nye lovgivning, som oversendes til Folketinget 3 år efter
lovens ikrafttræden. Til brug for rapporten vil der blive ind-
hentet bidrag fra Center for Cybersikkerhed, der vil kunne
oplyse om centerets almindelige erfaringer med hensyn til
den nye lovgivning, og fra Tilsynet med Efterretningstjene-
sterne, der vil kunne oplyse om tilsynet med Center for Cy-
bersikkerheds overholdelse af den nye lovgivning. Endelig
vil Forsvarsministeriet indhente bidrag fra en eller flere uaf-
hængige eksperter på cyberområdet, der kan medvirke til at
belyse den nye lovgivnings betydning for kvaliteten og ef-
fektiviteten af Center for Cybersikkerheds opgavevaretagel-
se.
Til § 25
Den foreslåede § 25 fastsætter ikrafttrædelses- og over-
gangsbestemmelserne for lov om Center for Cybersikker-
hed.
Det foreslås med stk. 1, at loven træder i kraft den 1. juli
2014, hvorefter lov nr. 596 af 14. juni 2011 om behandling
af personoplysninger ved driften af den statslige varslings-
tjeneste for internettrusler m.v. (GovCERT-loven) ophæves,
jf. stk. 2. Forsvarsministeriets retningslinjer af 13. maj 2013
for behandling af personoplysninger m.v. i Center for Cy-
bersikkerhed ved Forsvarets Efterretningstjeneste vil endvi-
dere blive ophævet ved lovens ikrafttræden.
Efter stk. 3 vil aftaler, der er indgået efter GovCERT-lo-
ven, fortsat have gyldighed efter GovCERT-lovens ophæ-
velse. Tilslutningsaftaler indgået mellem GovCERT og myn-
digheder og virksomheder vil dermed være gældende, indtil
de måtte bortfalde eller blive opsagt.
Da lovforslaget indebærer, at fristerne for sletning af data
forlænges efter lovforslagets § 17, foreslås det med stk. 4, at
pakke- og trafikdata, der er indsamlet efter de mere restrikti-
ve regler i GovCERT-loven, fortsat skal behandles i over-
ensstemmelse med GovCERT-loven. På Forsvarsministeri-
ets område, hvor MILCERT’s aktiviteter ikke hidtil har væ-
ret lovregulerede, finder loven anvendelse på data, der ind-
samles efter lovens ikrafttræden.
Det foreslås endvidere med stk. 5, at begæringer om akt-
indsigt, som er indgivet før lovens ikrafttræden, afgøres ef-
ter de hidtil gældende regler, hvilket indebærer, at begærin-
gerne vil skulle behandles efter offentlighedsloven, som ef-
ter de foreslåede regler fremover ikke vil finde anvendelse
for Center for Cybersikkerhed. Om den begrænsede betyd-
ning heraf henvises til afsnit 3.3.3 i de almindelige bemærk-
ninger.
Til § 26
Med § 26 fastlægges lovens territoriale gyldighed. Det
foreslås, at loven ikke skal gælde for Færøerne og Grønland,
men at den ved kongelig anordning kan sættes helt eller del-
vis i kraft for Færøerne og Grønland med de ændringer, som
de færøske og grønlandske forhold tilsiger.
32
Bilag
Evaluering af GovCERT-loven
1. Indledning og sammenfatning
Forsvarsministeren afgiver hermed redegørelse om den statslige varslingstjeneste for internettrusler
(GovCERT) og dens virksomhed efter § 9 i lov nr. 596 af 14. juni 2011 om behandling af personoplysnin-
ger ved driften af den statslige varslingstjeneste for internettrusler m.v.; (fremsat den 27. april 2011 som L
197).
Det er i loven fastsat, at ministeren senest tre år efter lovens ikrafttræden skal give Folketinget en skrift-
lig redegørelse på baggrund af en evaluering af den statslige varslingstjeneste for internettrusler (Gov-
CERT) og dens virksomhed. Loven trådte i kraft den 1. juli 2011.
Evalueringen er nu foretaget. Det er den overordnede vurdering, at navnlig etableringen af Center for
Cybersikkerhed ved Forsvarets Efterretningstjeneste og placeringen af GovCERT som en del af centeret
medfører behov for en ændring af retsgrundlaget for GovCERT’s virksomhed. Dette sker ved fremsættel-
sen af forslag til en ny lov om Center for Cybersikkerhed.
Forsvarsministeriets konklusion på evalueringen er, at etableringen af GovCERT var velbegrundet, og
at GovCERT’s virksomhed har bidraget væsentligt til cybersikkerheden i Danmark. GovCERT bør såle-
des videreføres.
Imidlertid er der elementer i lovgrundlaget for GovCERT’s virksomhed, som ikke er formålstjenlige. En
revision af lovgrundlaget vurderes derfor at være af betydning for GovCERT’s fremtidige virke som nati-
onal, civil CERT og for GovCERT’s evne til at bidrage til sikringen mod væsentlige angreb mod danske
interesser.
Redegørelsen er en sammenfatning af de erfaringer, der er indhøstet, og de problemstillinger, som er
konstateret, i den periode, GovCERT-loven har været i kraft. Da redegørelsen afgives i forbindelse med
fremsættelsen af forslag til lov om Center for Cybersikkerhed, indeholder redegørelsen ikke konkrete an-
befalinger til ændringer af lovgivningen. Der henvises i den forbindelse til lovforslaget.
Teknisk ekspertise fra Center for Cybersikkerhed samt tilbagemeldinger fra GovCERT’s kunder i tids-
rummet fra GovCERT’s etablering i 2009 til dato er inddraget i evalueringen.
Der er i september 2013 nedsat et tilsyn med GovCERT, jf. lovens § 7. Tilsynet har den 24. marts 2014
offentliggjort sin årsredegørelse for 2013 dækkende perioden fra Tilsynets etablering i september og året
ud.
I redegørelsen udtaler Tilsynet, at samlet giver Tilsynets indledende kontroltiltag et overordnet indtryk
af, at GovCERT har en høj grad af fokus på at behandle personoplysninger i overensstemmelse med de
gældende regler, og at der også er etableret de fornødne procedurer for at sikre dette. Redegørelsen kan
findes på Center for Cybersikkerheds hjemmeside, www.cfcs.dk.
2. GovCERT’s relevans
I tiden siden GovCERT’s etablering har der såvel nationalt som internationalt været stigende opmærk-
somhed på cybertruslen. Danske offentlige myndigheder, virksomheder og privatpersoner er dagligt udsat
for forstyrrende eller skadelige aktiviteter på internettet fra forskellige aktører. Der er også i 2013 set cy-
berangreb mod mål i Danmark, som i perioder har hindret anvendelse af dansk it-infrastruktur. Der er
endvidere i de seneste år set cyberangreb mod væsentlige mål i Danmark, herunder Erhvervs- og Vækst-
ministeriet og CSC, hvor informationssikkerheden er blevet kompromitteret.
I udlandet ser man samme udvikling. Den stigende opmærksomhed på cybertruslen har i de senere år
medført etablering af nye nationale CERT’er (netsikkerhedstjenester) eller styrkelse af de eksisterende,
ligesom der både i NATO og i EU er stærkt øget fokus på cybersikkerhedsområdet.
33
I forbindelse med etableringen af GovCERT udbyggedes Danmarks samarbejde med en række tilsva-
rende tjenester og internationale sikkerhedsfora betydeligt. GovCERT har derfor hurtigt kunnet virke som
et betroet kontaktpunkt for udenlandske samarbejdspartnere. Dette har i flere tilfælde betydet, at Gov-
CERT har modtaget information om observationer, hvor efterfølgende undersøgelser har ført til, at cyber-
angreb mod danske interesser er blevet opdaget. GovCERT’s placering i Center for Cybersikkerhed ved
Forsvarets Efterretningstjeneste har som forventet medført en yderligere styrkelse af det betroede samar-
bejde med internationale partnere.
På samme måde er GovCERT blevet et vigtigt kontaktpunkt for danske myndigheder og virksomheder i
tilfælde, hvor de pågældende organisationer har haft mistanke om uregelmæssigheder. GovCERT har i en
række tilfælde – i samarbejde med den pågældende myndighed eller virksomhed – kunnet konstatere for-
hold, som giver GovCERT en viden, der styrker GovCERT’s mulighed for at beskytte de tilsluttede kun-
der.
På den baggrund kan det overordnet konkluderes, at etableringen af en statslig varslingstjeneste for in-
ternettrusler var velbegrundet.
3. GovCERT’s konkrete bidrag til cybersikkerheden
Center for Cybersikkerhed, hvori GovCERT i dag indgår, har i flere tilfælde bistået ved målrettede cy-
berangreb. Blandt de eksempler, som har været beskrevet i pressen og dermed er offentligt kendte, kan
nævnes kompromitteringen af Erhvervs- og Vækstministeriets systemer (herunder systemer placeret hos
Statens It) i 2012 og sagen om kompromittering af CSC’s systemer, hvor blandt andet Kørekortregistret
og Schengen-registre anses for at være blevet kompromitteret.
GovCERT har i en række tilfælde kunnet yde et væsentligt bidrag til myndighedernes afdækning af om-
fanget af en uautoriseret indtrængen i myndighedens systemer og til at genvinde fuld kontrol med de an-
grebne systemer.
GovCERT’s monitorering af internettrafikken ved hjælp af alarmenheder hos de tilsluttede kunder har
til formål at tegne et normalbillede af netværkskommunikationen og dermed opnå det overblik, der er
nødvendigt for at opdage eller vurdere afvigelser. Samtidig kan GovCERT hermed opnå et grundlag for at
vurdere, om der bør udsendes varsling til GovCERT’s kunder om et muligt angrebs karakter med rådgiv-
ning om modforholdsregler.
GovCERT kan konstatere cyberangreb og identificere relevante tekniske karakteristika herved ad flere
veje. Det kan ske på baggrund af alarmer fra de tilsluttede alarmenheder, på baggrund af oplysninger fra
samarbejdspartnere eller ud fra undersøgelser af mulige angreb, som er opdaget ad anden vej. Ved en op-
datering af alarmenhederne hos de tilsluttede myndigheder og virksomheder kan GovCERT sikre, at lig-
nende angreb mod andre kunder opdages.
GovCERT’s adgang til at analysere den trafik, som passerer alarmenhederne, muliggør en vurdering af,
om der i trafikken er karakteristika, der kan forbindes med angrebsformer, som i dag er udbredte. Der kan
f.eks. være tale om indhold af tilforladeligt udseende i f.eks. Word- eller PDF-format, hvor alarmenheder-
ne ved hjælp af analyseresultaterne kan opdage tegn på malware. Ligeledes har konsekvenserne af sikker-
hedshændelser hos tilsluttede kunder kunnet klarlægges, herunder hvilke data m.v. en indtrængende hack-
er har kunnet foranstalte kopieret og videresendt ud af myndigheden.
GovCERT-lovens særlige adgang til monitorering af de tilsluttede kunders internettrafik har givet Gov-
CERT mulighed for i samarbejde med den berørte myndighed at fastslå skadens omfang og beslutte rele-
vante modforholdsregler, hvilket har understøttet en løbende styrkelse af cybersikkerheden i Danmark.
34
4. Tilslutning til GovCERT
Der har ikke været nogen tilslutningspligt til GovCERT. GovCERT har imidlertid i sin levetid opnået
en meget høj tilslutningsgrad på det statslige område. Herudover er der sket tilslutning af flere kommuner
og regioner samt virksomheder beskæftiget med kritisk infrastruktur.
17 ud af 19 mulige ministerområder er tilsluttet. Der arbejdes med tilslutning af Ministeriet for Fødeva-
rer, Landbrug og Fiskeri, mens Kirkeministeriet ikke har ønsket tilslutning.
Der er dog fortsat dele af de enkelte ministerområders it-infrastruktur, som i praksis ikke er dækket af
GovCERT’s alarmenheder. De enkelte ministerier har efter samråd med GovCERT indikeret, hvor tilslut-
ning til GovCERT ville have størst sikkerhedsmæssig effekt. Samtidig har GovCERT efter aftale med de
berørte ministerier og Statens It tilsluttet væsentlige dele af Statens It, som leverer it-drift til en række
ministerområder.
En oversigt over tilsluttede myndigheder og virksomheder er medtaget som bilag.
Den høje tilslutningsgrad i staten i løbet af meget kort tid må i lyset af erfaringer fra tilsvarende tjene-
ster i udlandet karakteriseres som en betydelig succes.
5. GovCERT’s dækningsområde
GovCERT oprettedes – som det er anført i de almindelige bemærkninger i lovforslaget til GovCERT-
loven, pkt. 1.2.1 – bl.a. for »at mindske risikoen for it-angreb, herunder at offentlige myndigheders elek-
troniske kommunikation med omverdenen bliver afskåret i flere dage, eller at dokumenter uden myndig-
hedens vidende bliver sendt til fremmede stater som følge af et virusangreb. Dette kan udgøre en sikker-
hedsrisiko og også have store administrative og økonomiske konsekvenser til følge. Tilsvarende gør sig
gældende for private virksomheder beskæftiget med kritisk infrastruktur.«
GovCERT blev etableret som en statslig varslingstjeneste. Der blev i årene 2009-2012 gennemført pi-
lotforsøg med en udvidelse af GovCERT’s dækningsområde til at omfatte kommuner og virksomheder
beskæftiget med kritisk infrastruktur.
Det har vist sig, at der fra flere sider er forventninger til, at GovCERT’s nationale overblik over trusler
og sårbarheder i tjenester, net og systemer relateret til internettet kunne komme en bredere kreds til gode.
Der er fra brancheside udtrykt ønske om, at en offentlig CERT-funktion skulle kunne dække flere private
virksomheder.
I tiden siden fremsættelsen af forslaget til GovCERT-loven i foråret 2011 er der såvel nationalt som in-
ternationalt sket en ændring i synet på cybertruslen. Hvor man for bare få år siden fokuserede på truslen
ved hacking, overbelastningsangreb og botnet-malware, er der nu stigende opmærksomhed på truslen fra
såkaldte APT-angreb (Advanced Persistent Threats) og malware distribueret med spionagehensigt. Disse
trusler er sværere at identificere, og angreb vil typisk være længerevarende og svære at opdage uden me-
get specifikke oplysninger om, hvad de it-sikkerhedsansvarlige skal kigge efter.
Der er hermed i et vist omfang sket en forskydning i opfattelsen, fra at cyberangreb væsentligst var en
trussel imod tilgængeligheden, til at cyberangreb i væsentlig grad truer fortroligheden.
En række danske virksomheder af væsentlig betydning for forskning og videnskabelse i Danmark og
dansk eksport, herunder forsvars- og aerospaceindustrien, leverer ydelser eller bidrager på anden vis væ-
sentligt til opretholdelsen af sikkerheden i samfundet (herunder den nationale sikkerhed i et vækst- og
velfærdsperspektiv). Da de typisk ikke kan karakteriseres som værende beskæftiget med kritisk infra-
struktur, falder de uden for lovens definition af GovCERT’s dækningsområde (ud over staten er kommu-
ner og regioner samt private virksomheder, som er beskæftiget med kritisk infrastruktur, omfattet, jf. lo-
vens § 2, stk. 1).
Det er endvidere set, at f.eks. en virksomhed, som ikke er omfattet af GovCERT’s aktuelle dæknings-
område, og som ikke kan anses for at være af væsentlig samfundsmæssig betydning i sig selv, har været
35
udsat for et cyberangreb med en kompromittering af væsentlig samfundsmæssig betydning. I de tilfælde
har den pågældende virksomhed potentielt kunnet anvendes som mulig angrebsplatform mod væsentlige
danske interesser. Ved mistanke om sådanne angreb ville det tjene GovCERT’s formål, såfremt der kunne
gennemføres en midlertidig tilslutning til GovCERT af den angrebne virksomhed.
Det har generelt vist sig, at værdien ved en tilslutning til GovCERT – både for den enkelte myndighed
eller virksomhed og for bidraget til et højt informationssikkerhedsniveau i samfundet – afhænger af, at
den pågældende myndighed eller virksomhed har et tilfredsstillende informationssikkerhedsniveau og en
it-driftsorganisationen med et beredskab, der kan håndtere information fra GovCERT. En sådan moden-
hed bør derfor også være et relevant tilslutningskriterium.
Dækningsområdet for GovCERT som den nationale, civile CERT bør således udvides.
6. Regler for sletning af data
I lovens § 4 er fastsat frister for sletning af data. Pakkedata (indholdet af internetbaseret kommunikati-
on) kan i den forbindelse højst opbevares 14 dage, hvorefter data skal slettes. Trafikdata (data, som be-
handles med henblik på overførsel af pakkedata) kan højst opbevares i 12 måneder.
Lovens sletningskrav forhindrer i praksis bl.a. GovCERT i at fastlægge et normalbillede af en kundes
internettrafik, som tager højde for en kundes regelmæssigt afvigende trafikmønstre (f.eks. ved en måned-
lig backup-procedure eller en årlig regnskabsaflæggelse). Et utilstrækkeligt normalbillede vanskeliggør
identifikationen af en indtrængende parts uautoriserede aktiviteter såsom kopiering af større mængder da-
ta, anvendelse af systemer på usædvanlige tidspunkter m.v.
I de tilfælde, hvor GovCERT har opdaget angreb på baggrund af oplysninger fra samarbejdspartnere
eller ad anden vej, har det i praksis vist sig, at angrebet først opdages mere end 14 dage efter, at det har
fundet sted. Det vanskeliggør identifikation og imødegåelse af angrebet og reducerer muligheden for at
opsamle viden om angrebets karakteristika, at pakkedata på det tidspunkt ikke længere er til rådighed.
Det havde også været hensigtsmæssigt, hvis GovCERT, når en konkret myndighed eller virksomhed er
blevet ramt af et cyberangreb, kunne undersøge, om andre tilsluttede myndigheder og virksomheder er
eller har været ramt af tilsvarende angreb. En sådan undersøgelse kan i sagens natur først indledes, når der
er konstateret et angreb, og GovCERT har kortlagt eller modtaget oplysninger om et givet angrebs egen-
skaber – såsom angrebsmetoder og anvendte IP-adresser. Det ville være formålstjenligt i forhold til Gov-
CERT’s formål, såfremt det ved gennemgang af historiske trafik- og pakkedata kunne undersøges, om der
er tegn på tilsvarende aktivitet hos tilsluttede myndigheder og virksomheder.
Det kan samlet konstateres, at længere frister for opbevaring af historiske data ville være af betydelig
sikkerhedsmæssig værdi.
7. Regler for videregivelse af data
GovCERT’s varslinger til kunder indeholder, når det er relevant, oplysninger om karakteristika ved en
konstateret type angreb eller trussel herom, herunder f.eks. IP-numre, som vurderes at have forbindelse til
angriberen. Dette giver kunderne bedre forudsætninger for at gennemse egne systemer for tegn på sådan-
ne angreb og at øge beskyttelsen selv (i egne firewalls m.v.). De pågældende karakteristika kan være
identificeret ved analyser af trafikdata fra GovCERT’s alarmenheder.
Efter GovCERT-loven har GovCERT imidlertid ikke mulighed for at videregive denne type oplysninger
til danske virksomheder, der er udbydere af offentlige elektroniske kommunikationsnet og ‑tjenester. Så-
danne virksomheders sikkerhedssystemer spiller imidlertid en central rolle for sikkerheden i den danske
kommunikationsinfrastruktur. Denne sikkerhed ville være højnet, såfremt GovCERT havde haft adgang
til at videregive denne type oplysninger til udbyderne.
36
Visse af begrænsningerne på GovCERT’s videregivelse af oplysninger i forbindelse med varslinger be-
sværliggør således i konkrete tilfælde sikringen mod væsentlige angreb mod danske interesser, uden at
begrænsningen i de konkrete tilfælde synes formålstjenlig i øvrigt.
Det kan samlet konstateres, at der er behov for en revurdering af reglerne for videregivelse af data.
8. Ny organisation på it-sikkerhedsområdet
Siden kongelig resolution af 3. oktober 2011 har GovCERT hørt under Forsvarsministeriets ressort. Af
regeringsgrundlaget af samme dato fremgår, at »For at styrke beskyttelsen mod cyberangreb mv. samles
de forskellige myndigheders indsats i et IT sikkerhedscenter (under Forsvarsministeriet), der skal varetage
opgaven som den nationale IT-sikkerhedsmyndighed og Governmental Computer Emergency Response
Team (GovCERT).«
På den baggrund blev Center for Cybersikkerhed oprettet den 18. december 2012 som en del af Forsva-
rets Efterretningstjeneste. Center for Cybersikkerhed omfatter ud over GovCERT bl.a. MILCERT, der er
varslingstjeneste for internettrusler på Forsvarsministeriets område.
Den nye organisation har betydet, at GovCERT i kraft af sin placering i FE har fået adgang til flere
oplysninger fra betroede internationale partnere om cybertrusler. En række af disse oplysninger har kun-
net omsættes i en styrkelse af sikkerheden for GovCERT’s kunder.
GovCERT’s placering under FE betyder imidlertid også, at GovCERT’s virksomhed ikke længere er
omfattet af persondataloven. Dette har betydet bortfaldet af en væsentlig forudsætning for GovCERT-lo-
vens regulering af GovCERT’s virksomhed. Forsvarsministeren har bl.a. derfor udstedt retningslinjer for
Center for Cybersikkerhed, som stiller krav om efterlevelse af relevante principper i persondataloven.
Der er endvidere med ressortændringen sket en væsentlig ændring i grundlaget for det efter GovCERT-
loven etablerede tilsyn, ikke mindst i lyset af det Tilsyn med Efterretningstjenesterne, som er etableret
efter FE-loven og PET-loven.
Der er således behov for at tilpasse lovgrundlaget til den nye organisation på it-sikkerhedsområdet.
Bilag A. Oversigt over tilsluttede myndigheder og virksomheder
Der er aktuelt indgået tilslutningsaftaler på følgende ministerområder*:
– Beskæftigelsesministeriets område
– Erhvervs- og Vækstministeriets område
– Finansministeriets område
– Justitsministeriets område
– Klima-, Energi- og Bygningsministeriets område
– Kulturministeriets område
– Miljøministeriets område
– Ministeriet for By, Bolig og Landdistrikters område
– Ministeriet for Forskning, Innovation og Videregående Uddannelsers område
– Ministeriet for Sundhed og Forebyggelses område
– Skatteministeriets område
– Ministeriet for Børn, Ligestilling, Integration og Sociale Forholds område
– Statsministeriets område
– Transportministeriets område
– Udenrigsministeriets område
– Undervisningsministeriets område
– Økonomi- og Indenrigsministeriets område
37
Øvrige myndigheder og virksomheder, der aktuelt er indgået tilslutningsaftale med:
– Region Hovedstaden
– Hillerød Kommune
– Odense Kommune
– DONG
– KMD
– TDC
Ministerområder under tilslutning:
– Ministeriet for Fødevarer, Landbrug og Fiskeris område
Myndigheder og virksomheder tilsluttet i forbindelse med forsøget med en udvidelse af GovCERT’s dæk-
ningsområde, men som ikke længere er tilsluttet:
– Viborg Kommune
*) MILCERT er varslingstjeneste på Forsvarsministeriets område. GovCERT og MILCERT er i dag sam-
let i Center for Cybersikkerhed, og monitoreringen af centerets egen netværkstrafik varetages af Gov-
CERT.
Bilag B. GovCERT’s varslinger om hændelser
GovCERT har i perioden september 2011 til udgangen af marts 2014 udsendt godt 100 varslinger til
GovCERT’s kundekreds. Tallet omfatter generelle varslinger til en bredere kreds og specifikke varslinger
til enkeltkunder på baggrund af en alarm.
Der er siden 2010 registreret godt 1.100 sikkerhedshændelser. Heraf vurderes en fjerdedel at være al-
vorlige.
De registrerede hændelser omfatter overbelastningsangreb og spor efter APT-angreb, fund af sårbarhe-
der, tegn på infektion med vira og fund af forskellige typer malware (crimeware, botnet-malware mv.).
38