Forsvarsudvalget 2014-15 (1. samling)
L 201 Bilag 3
Offentligt
1529512_0001.png
Forsvarsministeriet
[email protected]
[email protected]
WILDERS PLADS 8K
1403 KØBENHAVN K
TELEFON 3269 8888
DIREKTE 3269 8905
MOBIL 3269 8905
[email protected]
MENNESKERET.DK
J. NR.
540.10/31805/MAF/HSC/ANPE
HØRING OVER UDKAST TIL FORSLAG TIL LOV OM
NET- OG INFORMATIONSSIKKERHED
Forsvarsministeriet har ved e-mail af 21. april 2015 anmodet om Institut
for Menneskerettigheders eventuelle bemærkninger til forslag til lov
om net- og informationssikkerhed.
1. LOVFORSLAGETS BAGGRU ND
Lovforslagets formål er medvirke til at sikre en robust informations- og
kommunikationsteknologisk infrastruktur (ikt-infrastruktur) ved at
fremme informationssikkerheden i net og tjenester og sikre, at
elektronisk kommunikation kan finde sted i beredskabssituationer og i
andre ekstraordinære situationer.
Lovforslaget skal ses på baggrund af, at det danske samfund i stigende
grad er afhængigt af telenettet i form af datakommunikation og
telefoni. Efter en ressortomlægning i 2011 administrerer Erhvervs- og
Vækstministeriet telelovens bestemmelser om teleudbyderes generelle
virksomhed, mens Forsvarsministeriet administrerer reglerne om
informationssikkerhed og beredskab. Med lovforslaget flyttes
telelovens bestemmelser om informationssikkerhed og beredskab til en
ny net- og informationssikkerhedslov under Forsvarsministeriet.
Instituttet har følgende bemærkninger:
Institut for Menneskerettigheder finder overordnet lovforslagets fokus
på at øge informationssikkerheden og sikre en robust ikt-infrastruktur
positivt.
2. CENTER FOR CYBERSIKK ERHEDS UDVIDEDE BEFØJELSER
EFTER LOVFORSLAGETS KAPITEL 2
Efter lovforslaget kan Center for Cybersikkerhed (CFCS) stille en række
krav til udbydere af offentligt tilgængelige net og tjenester. Kravene kan
vedrøre flere forhold, for eksempel minimumskrav til
7. MAJ 2015
L 201 - 2014-15 (1. samling) - Bilag 3: Høringssvar fra Institutfor Menneskerettigheder, fra forsvarsministeren
informationssikkerheden, risikostyring, underretning ved brud på
informationssikkerheden, som har væsentlige følger for driften af net
eller tjenester, leverandørkrav og beredskab. Overtrædelse af krav eller
påbud fra CFCS kan straffes med bøde.
CFCS bliver i den forbindelse bemyndiget til at fastsætte en række
administrative forskrifter; bemyndigelser som et vist omfang hidtil har
været tillagt Erhvervsstyrelsen, mens andre er nye. CFCS får ganske
brede bemyndigelser at udfylde lovteksten.
Efter instituttets opfattelse bør rammerne for de beføjelser, som CFCS
får til at varetage sine opgaver imidlertid nærmere konkretiseres og
fastsættes under inddragen af Folketinget og efter høring af relevante
interessenter. Herved undgås det, at CFCS både fører tilsyn og samtidig
udmønter centrale dele af lovens indhold. En nærmere afgrænsning af
CFCS’s beføjelser vedrører særligt beføjelserne omtalt i lovforslagets §
3.
Som eksempel på den brede regulering i lovforslaget kan der henvises
til lovforslagets § 3, stk. 3, hvorefter CFCS kan fastsætte nærmere regler
om påbud til udbydere, såfremt det er ”af væsentlig samfundsmæssig
betydning”. Det fremgår af bemærkningerne til lovforslaget, at påbud
efter § 3, stk. 3, normalt vil have karakter af erstatningsfri regulering.
Det kan dog ifølge bemærkningerne til lovforslaget ikke udelukkes, at
påbud i visse tilfælde vil kunne ramme udbydere så økonomisk intensivt
og atypisk hårdt, at der kan rejses spørgsmål om ekspropriation, jf.
grundlovens § 73.
Instituttet er opmærksomt på, at den gældende regulering på området i
et ikke ubetydeligt omfang sker ved bekendtgørelser mv.
Institut for Menneskerettigheder anbefaler – med henblik på at
fremme den enkeltes menneskerettigheder – at Center for
Cybersikkerheds beføjelser efter lovforslagets § 3 nærmere
afgrænses og konkretiseres.
3. TILSYNSBESØG EFTER LOVFORSLAGETS § 9
Med lovforslagets § 9 bliver CFCS tillagt beføjelse til at foretage
tilsynsbesøg, ikke blot hos udbydere, jf. § 9, stk. 6, men også hos
udbyderes samarbejdspartnere, leverandører og underleverandører, jf.
§ 9, stk. 7.
Tilsynsbesøg kan gennemføres, hvis det er ”nødvendigt af hensyn til
informationssikkerheden” med henblik på at påse overholdelse af loven
og regler udstedt i medfør af loven, med et varsel på syv dage og uden
2/4
L 201 - 2014-15 (1. samling) - Bilag 3: Høringssvar fra Institutfor Menneskerettigheder, fra forsvarsministeren
retskendelse. Det fremgår eksplicit af lovforslaget, jf. §§ 9, stk. 6 og 7, at
CFCS i den forbindelse ikke kan tilgå kommunikation til, fra eller mellem
udbydernes kunder, samt at der er tale om varslede tilsynsbesøg.
Tilsynsbesøg vil foregå i forretningslokaler, som nyder beskyttelse efter
henholdsvis grundlovens § 72 og Den Europæiske
Menneskerettighedskonventions (EMRK) artikel 8.
Grundlovens § 72 stiller ved sådanne tilsynsbesøg krav om
retskendelse, med mindre der ved lov foreligger særegen undtagelse.
Ved lovforslaget foreligger sådan særegen undtagelse. EMRK artikel 8
indeholder ikke - som grundloven – et udgangspunkt om retskendelse,
men et krav om retskendelse kan være en sikkerhedsgaranti, som kan
retfærdiggøre indgreb i artikel 8. Når der foretages indgreb efter EMRK
artikel 8, skal der foreligge tilstrækkelig klar og præcis lovhjemmel,
indgrebet skal forfølge et legitimt formål samt være nødvendigt,
herunder proportionalt.
Det fremgår af bemærkningerne til lovforslaget, at tilsynsbesøgene vil
blive foretaget rutinemæssigt, og derfor vil der ikke forud for et besøg
foreligge et mistankegrundlag, som vil kunne danne grundlag for en
retskendelse. Forsvarsministeriet vurderer derfor, at tilsynsbesøgene
ikke er egnede til domstolsprøvelse. Omvendt forudsættes det i
bemærkningerne, at denne mulighed kun forudsættes anvendt, hvis
tilsvarende resultat ikke kan opnås med andre og mindre indgribende
muligheder.
Instituttet bemærker, at grundlovens krav om retskendelse også finder
anvendelse på rutineprægede husundersøgelser. Kravet om
retskendelse kan for eksempel også forebygge misbrug af
tilsynsbeføjelsen. Instituttet finder derfor, at fravigelse fra grundlovens
udgangspunkt bør ledsages af en mere udførlig begrundelse. Set i lyset
af at tilsynsbesøg skal varsles mindst syv dage før, bør der i praksis være
tid til at indhente en retskendelse forud for tilsynsbesøget.
Instituttet anbefaler - henset til indgrebets karakter og med
henblik på at fremme den enkelte menneskerettigheder – at det
i lovforslagets bemærkninger uddybes, hvorfor det er
nødvendigt at foretage tilsynsbesøg uden retskendelse.
Det ses ikke er nærmere beskrevet, hvornår et tilsynsbesøg er
”nødvendigt af hensyn til informationssikkerheden”. Det vil således ikke
stå udbyderne tilstrækkeligt klart, hvornår de vil kunne udsættes for et
sådant indgreb, og eventuelt træffe foranstaltninger med henblik på til
at undgå det.
3/4
L 201 - 2014-15 (1. samling) - Bilag 3: Høringssvar fra Institutfor Menneskerettigheder, fra forsvarsministeren
Institut for Menneskerettigheder anbefaler – med henblik på at
fremme den enkeltes menneskerettigheder - at betingelserne
for at foretage tilsynsbesøg efter lovforslagets § 9 hos udbydere
og disse underleverandører nærmere præciseres i lovteksten.
4. OM CENTER FO R CYBERSIKKERHEDS VI RKSOMHED
Ifølge lov om Center for Cybersikkerhed § 8 er CFCS’s virksomhed
undtaget fra offentlighedsloven (med undtagelse af notatpligten),
forvaltningslovens kapitel 4 til 6 (reglerne om aktindsigt, partshøring og
begrundelse) samt persondataloven. Ifølge forarbejderne til lov om
Center for Cybersikkerhed forudsættes det, at CFCS i størst muligt
omfang efterlever principperne i offentlighedsloven og
forvaltningslovens kapitel 4-6. Det fremgår af lovforslagets
bemærkninger, at CFCS forventes at følge persondatalovens principper.
Samtidigt er der grund til at fremhæve, at CFCS er forpligtet til at
overholde EMRK artikel 8 om privatlivets fred, herunder beskyttelse af
personoplysninger, og EU-Chartrets artikler 7 og 8 om samme.
De udvidede beføjelser, som CFCS tillægges efter lovudkastet, vil også
få betydning for behandlingen af personoplysninger, herunder
personfølsomme oplysninger.
Udgangspunktet i dansk ret er, at offentlige myndigheder skal
overholde forvaltningsloven, offentlighedsloven og persondataloven.
Instituttet sætter derfor spørgsmålstegn ved, om det fortsat er
berettiget at undtage CFCS fra almindelige forvaltningsretlige krav, når
centrets virksomhed som tilsynsmyndighed udvides betydeligt.
Instituttet finder, at der ved tildelingen af nye eller udvidede beføjelser
til CFCS bør tages eksplicit stilling til, om de nye beføjelser
nødvendiggør en fravigelse af normale lovkrav. I bemærkningerne til
lovforslaget tages der imidlertid ikke stilling til dette.
Institut for Menneskerettigheder anbefaler – med henblik på at
fremme den enkeltes menneskerettigheder – at det overvejes, om
det fortsat er berettiget at undtage Center for Cybersikkerhed fra
almindelige forvaltningsretlige principper, når centrets rolle som
tilsynsmyndighed udvides betydeligt.
Der henvises til j.nr. 2014/004373
Med venlig hilsen
Martin Rosenkilde
4/4