Forhandlingen er åbnet, og den første ordfører, jeg byder velkommen til, er hr. Kasper Roug fra Socialdemokratiet.

Tak for det, formand. Med det her lovforslag foreslås det, at vi skal implementere et særdirektiv. Dermed fastsætter vi nogle rammer, hvor vi i Danmark og EU kan sikre og styrke kritiske enheders modstandsdygtighed, og så kan vi håndtere de trusler, vi står over for. Det gælder både menneskeskabte kriser og naturkatastrofer. Konkret fastsætter forslaget bl.a., at kritiske enheder, som skal opretholde vigtige samfundsfunktioner, skal være modstandsdygtige i kriser, og at der er lavet en risikovurdering dér, hvor det nu engang er relevant selvfølgelig.

Derudover foreslås det at minimumsimplementere direktivet i overensstemmelse med principperne om implementering af erhvervsrettet EU-regulering. Dertil skal selvfølgelig siges, at der som følge af direktivet skal forelægge en identifikation af kritiske enheder senest i januar 2026.

I Socialdemokratiet mener vi, at lovforslaget er vigtigt, for Danmark står over for en alvorlig trussel og et risikobillede, som bliver mere og mere alvorligt. Vi er et trygt og sikkert land, og det skal vi blive ved med at være. Derfor er det vigtigt med en implementering af særdirektivet, for det beskytter ikke kun os direkte, men sikrer, at vi i EU er beskyttet på tværs af landegrænserne. Derfor støtter Socialdemokratiet selvfølgelig forslaget.

Tak til ordføreren. Der er ingen spørgsmål. Derfor går vi videre i talerrækken, og den næste på talerstolen er hr. Peter Juel-Jensen fra Venstre.

Tak for det, formand. Formålet med dette lovforslag er at implementere Europa-Parlamentets og Rådets direktiv om kritiske enheders modstandsdygtighed. Med lovforslaget lægges der op til, at CER-direktivet minimumsimplementeres i overensstemmelse med regeringens principper for implementering af erhvervsrettet EU-regulering. Lovforslaget fastsætter bl.a. regler om identifikation af kritiske enheder og krav om modstandsdygtighedsforanstaltninger for kritiske enheder og baggrundskontrol af personer i kritiske enheder og tilsyns- og håndhævelsesforanstaltninger. En identifikation af kritiske enheder foretages på baggrund af en national strategi- og risikovurdering, som ifølge direktivet skal foreligge senest den 17. januar 2026.

Med dette lovforslag gør vi det danske samfund mere robust og mere klar til det, der måtte udfordre i fremtiden. Lovforslaget stiller nye krav til den fysiske sikkerhed hos kritiske enheder. Desværre er dette lovforslag vigtigt som aldrig før, men det er ikke nemt at komme i mål med, da det hele griber ind i hinanden: sektoranvar, national strategi, risikovurdering og økonomiske konsekvenser. Men vi står som nation, som fællesskab, et helt nyt sted, hvor vi skal forudse og forberede os på alt, og det er ikke nemt. Jeg glæder mig derfor meget over den samlede kreds af partier, som står bag dette.

Venstre støtter forslaget, og så lovede jeg også at hilse fra Radikale Venstre, som også bakker op. Tak.

Tak til ordføreren. Der er ikke nogen spørgsmål. Vi fortsætter i talerrækken. Hr. Kim Edberg Andersen fra Danmarksdemokraterne. Værsgo.

Tak for det, formand. Vi kommer til at have en række forslag i dag på beredskabsministerens område, og det er jo dejligt. Det her er nok det, jeg kommer til at være mindst kritisk over for, for jeg kommer ikke til at have den her sang med, at vi er i en svær situation, for man kan jo sige, at vi altid skal være beredte, også selv om vi ikke havde en ydre fjende i forhold til de her samfundskritiske ting. Det synes jeg ministeren skal have ros for at han har et godt blik for. Vi er i Danmarksdemokraterne trygge ved, at det bliver gjort.

Noget andet, der gør os trygge, er, at det her stof, som kan være kompliceret, heldigvis er mest til statslige virksomheder, og der må vi jo forvente, at de kan forstå teksten, for det er kompliceret stof, og det er, som om vi ikke er helt sikre på, hvad det lige præcis ned i detaljen er, der skal sikres, eller hvornår og hvorfor. Heldigvis er der så et års tilløbstid til det.

Så om det her lovforslag vil vi sige, at Danmarksdemokraterne kommer til at støtte det. Vi synes, at samfundskritisk infrastruktur skal beskyttes; det skal den altid. Vi har desværre nok svigtet det i nogle årtier, så det er på tide, at vi får rettet op, og det bakker Danmarksdemokraterne op om.

Tak til ordføreren. Vi fortsætter i ordførerrækken, og den næste på talerstolen er hr. Sigurd Agersnap fra Socialistisk Folkeparti. Værsgo.

Tak for ordet, formand. Jeg tager sagen i dag og skal hilse fra fru Anne Valentina Berthelsen, vores ordfører, som desværre ikke kan være her. Med dette lovforslag tager vi et vigtigt skridt i retning af at styrke samfundets modstandsdygtighed, ikke mindst i de kritiske sektorer. Det er helt afgørende i en tid, hvor truslerne mod vores infrastruktur bliver stadig mere komplekse.

Rusland og andre autoritære stater bruger systematiske cyberangreb som våben i hybrid krigsførelse, også mod Danmark. Det må ikke ske, at det, at vi har en højtudviklet og meget digital infrastruktur, bliver en svaghed for Danmark, som kan udnyttes til at underminere vores samfund og i sidste ende vores sikkerhed.

En stærk og ensartet regulering på tværs af sektorerne er derfor afgørende for at undgå den usikkerhed og skabe et robust fundament for Danmarks sikkerhed, også i mere usikre tider. Vi mener, det er vigtigt, at danske virksomheder har klare retningslinjer for, hvordan de skal sikre sig mod både fysiske og digitale trusler. Derfor ser vi i SF også positivt på lovforslaget her og kan støtte det.

Tak til ordføreren. Der er ingen korte bemærkninger. Vi fortsætter talerrækken, og den næste på talerstolen er hr. Carsten Bach fra Liberal Alliance. Velkommen.

Tak for det, formand. I Liberal Alliance er vi så heldige, at vi efterhånden har så mange mandater i Folketinget, at vi faktisk også har en it- og digitaliseringsordfører. Hr. Alexander Ryle, min gode kollega, kunne desværre ikke være her i dag, og derfor er det undertegnede som beredskabsordfører, der fremfører Liberal Alliances position i den her henseende.

Vi lever jo i en tid, hvor vores samfund er væsentlig mere forbundet og afhængigt af kritisk infrastruktur end nogen sinde før. Transport, sundhed, digital kommunikation, bankvirksomhed, fødevarer og drikkevand er livsnerverne i vores samfund, og de skal kunne fungere, uanset hvilke udfordringer vi står over for. Derfor giver det også rigtig god mening, at vi ser på, hvordan vi kan styrke Danmarks sikkerhed og robusthed over for de mangeartede trusler, der kan ramme de sektorer, som holder Danmark og Europa kørende.

CER-loven, som vi drøfter i dag, er et forsøg på netop det. Det er ikke en lov, hvis konsekvenser kan vurderes til fulde på nuværende tidspunkt. Den vil påvirke en række aktører og kræver betydelige ressourcer at implementere. Derfor er det afgørende, at vi gør det på den rigtige måde, også uden unødvendigt bureaukrati og med forståelse for, at virksomhederne har brug for vejledning og tid til at tilpasse sig og på en måde, der sikrer sammenhæng mellem forskellig lovgivning om sikkerhed i kritisk infrastruktur.

Med lovforslaget lægges der op til, at CER-direktivet minimum implementeres i overensstemmelse med regeringens principper for implementering af erhvervsrettet EU-regulering, og det bakker vi i Liberal Alliance selvfølgelig klart op om. Vi skal ikke løbe foran EU med mere regulering, end hvad der er nødvendigt. Vi skal opfylde de europæiske krav uden at pålægge vores virksomheder unødige byrder. For at sikre en smidig implementering af loven er der behov for vejledningsmateriale, som tydeliggør lovens definitioner og krav, og det gælder bl.a. modstandsdygtighedsforanstaltninger, oplysningsforpligtelser og underretningsforpligtelser.

Det er positivt, at ministeren har lovet, at vejledningsmaterialet vil foreligge, senest når de kritiske enheder skal efterleve loven. Men det havde bestemt været endnu bedre, hvis materialet havde været klar tidligere. Det er en tung opgave for vores virksomheder at tilpasse sig de her nye krav, og 9-10 måneder er ikke lang tid til at foretage en risikovurdering og gennemføre de nødvendige tilpasninger. Vi må også forvente, at en række SMV'er vil blive direkte eller indirekte berørte af loven som underleverandører, og derfor er det afgørende, at vi understøtter disse virksomheder bedst muligt. Da det er et meget, meget omfattende lovforslag, der stiller en lang række organisatoriske og tekniske krav, er det også vigtigt, at virksomhederne får den tilstrækkelige tid til at tilpasse sig de nye krav.

Til sidst vil jeg nævne en bekymring, som min gode kollega Alexander Ryle som it- og digitaliseringsordfører har, og som bør drøftes nærmere under udvalgsbehandlingen. Det drejer sig specifikt om § 6, hvor der står, at kritiske enheder skal træffe passende og forholdsmæssige foranstaltninger for at sikre deres »modstandsdygtighed på grundlag af den nationale risikovurdering og den kritiske enheds egen risikovurdering, herunder foranstaltninger, der er nødvendige for at ... sikre tilstrækkelig fysisk beskyttelse af enhedens lokaler og kritiske infrastruktur under behørig hensyntagen til f.eks. hegn, barrierer, værktøjer og rutiner til overvågning af perimetre, detektionsudstyr og adgangskontrol«.

Det var vist direkte citeret fra lovforslaget. Telebranchen oplyser, at forsyningssektoren i stigende grad er betænkelige ved at give adgang til deres områder og bygninger. Betænkeligheden opstår bl.a., fordi forsyningsselskaberne er usikre på, om adgangstilladelse til teleselskaberne er i overensstemmelse med gældende regler og deres egen risikovurdering. Det er altså en bekymring fra telebranchen, som jeg er sikker på at ministeren som mangeårig tidligere teleordfører er helt opdateret på – og tak for nikket fra ministeren i salen.

Så ja, Liberal Alliance støtter lovforslaget, men vi vil bruge udvalgsbehandlingen til at sikre, at loven implementeres på en måde, der letter virksomhedernes arbejde og imødekommer de aktuelle betænkeligheder i de berørte sektorer. Tak for ordet.

Tak for det. Der er en enkelt kort bemærkning fra hr. Peter Juel-Jensen fra Venstre.

Formand, jeg tror, det var en fejl, at jeg fik trykket mig ind. Jeg synes, det var en flot ordførertale – tak for den.

Det er i orden. Så er der ikke flere spørgsmål til ordføreren, og derfor går vi videre i talerrækken og byder velkommen til fru Charlotte Bagge Hansen fra Moderaterne. Værsgo.

Tak for det, formand. Vi lever i en verden, hvor truslerne mod vores samfund udvikler sig konstant. Cyberangreb, naturkatastrofer og hybride trusler sætter vores infrastruktur på prøve. Derfor skal vi styrke vores beredskab og beskytte de kritiske enheder, der holder vores samfund kørende.

Særloven er en nødvendig lovgivning, der sikrer, at vi lever op til EU's krav og skaber en solid ramme for sikkerhed og modstandsdygtighed. Det handler om vores hospitaler, vores transportnet og vores vandforsyning – alt det, vi ikke kan undvære i en krise. Med denne lov bliver kritiske enheder bedre rustet til at modstå angreb og katastrofer. Det handler om at forebygge, men også om at sikre, at vi hurtigt kan reagere, hvis noget går galt.

Loven giver klare retningslinjer, men vi er i Moderaterne meget opmærksomme på, at vi ikke må skabe unødigt bureaukrati for virksomheder og myndigheder. Sikkerheden skal være stærk, men det skal også være smidigt.

Vi støtter forslaget og ser frem til at føle implementeringen tæt. Tak for ordet.

Tak til Moderaternes ordfører. Jeg ser ikke nogen til stede fra Det Konservative Folkeparti, så derfor fortsætter vi i talerrækken. Og den næste på talerstolen er hr. Søren Søndergaard fra Enhedslisten. Jeg byder hr. Søren Søndergaard fra Enhedslisten velkommen på talerstolen. Måske var formanden ikke klar nok i mælet, men velkommen til hr. Søren Søndergaard.

Tak, formand. De tre lovforslag, som vi behandler – L 140, L 141 og L 142 – bygger jo på de to direktiver, som EU vedtog i 2022, nemlig NIS2-direktivet og CER-direktivet. Forud for det var der gået en grundig behandling i Folketingets Europaudvalg fredag den 18. november 2021, hvor Enhedslisten støttede regeringens forhandlingsoplæg. Da den endelige vedtagelse i EU holdt sig inden for det mandat, regeringen havde fået, er det også relativt naturligt, at Enhedslisten er positive over for de her tre forslag.

Vi betragter cybersikkerhed som en væsentlig del af trusselsbilledet, faktisk måske den allervæsentligste i den aktuelle situation. Vi ser med alvor på hævningen af trusselsniveauet fra lavt til middel, som i juni 2024 blev foretaget af Center for Cybersikkerhed, også forkortet CFCS. Danmark er et af verdens mest digitaliserede samfund, og derfor kunne man også forvente, at vi havde et af verdens højeste niveauer af cybersikkerhed. Det er desværre ikke tilfældet. Vi har et efterslæb, der skal indhentes hellere i dag end i morgen.

CFCS' placering under Forsvarets Efterretningstjeneste er i den forbindelse efter vores opfattelse et problem. Det udfordrer det gensidige operative samarbejde med civile aktører, som oplever, at de skal udlevere så meget information som muligt til CFCS, mens CFCS er tilbageholdende med deling af viden og information den anden vej. Vi skal huske, at cyberangreb og cyberkriminalitet ikke kun kommer fra fjendtlige stater, men også rettes mod statslige aktører. Civile aktører er også meget udsatte, men samarbejdet med CFCS, som forsøger at løse deres opgaver efter bedste evne inden for de givne rammer, kunne forbedres. Samtidig er CFCS undtaget fra en række regler for civile myndigheder såsom databeskyttelse, politisk kontrol, tilsyn og åbenhed.

Idéen med at placere CFCS i civilt regi er ikke en fiks idé uden hold i virkeligheden, men deles jo af en lang række aktører, herunder eksperter i erhvervslivet og i brancheorganisationer. Og ser vi uden for Danmarks grænser, er der jo en række lande, som faktisk har en meget effektiv indsats på det her område, og som netop har den opdeling, bl.a. Frankrig, Norge, Finland, Holland og sågar også Israel.

Med oprettelsen af Ministeriet for Samfundssikkerhed og Beredskab sidste år og overdragelsen af dele af CFCS til Styrelsen for Samfundssikkerhed under det i januar 2025 står CFCS' institutionelle forandring ikke fuldstændig klar for os. Det er formentlig vores fejl, men det er så ministerens ansvar at prøve at gøre det klart. Det ønsker vi at få kastet mere lys over i udvalgsbehandlingen. Det er ikke vores forståelse, at de samlede problemer ved CFCS' forankring i FE er blevet løst til fulde, omend der tydeligvis er sket en række forbedringer, som vi anerkender.

Efter politisk tovtrækkeri er vi heldigvis landet et sted, hvor kommunerne er omfattet fuldt ud af lovgivningen i forlængelse af ønsket fra Kommunernes Landsforening. Det er godt, da kommunerne sidder med det meste af de borgernære data. Men med omfatningen følger et politisk ansvar. Vi er nødt til at sikre, at kommunerne har kapaciteten til at efterleve reglerne. Vi kan ikke som Folketing lade kommunerne stå alene med den opgave. Derfor ønsker vi også i udvalgsbehandlingen at høre ministerens bud på, hvordan kommunerne konkret kan hjælpes med det.

De tre lovforslag samlet er en kærkommen lejlighed til at sætte lys på noget, som ligger os meget på sinde, nemlig vores kritiske infrastruktur. Den sikrer vi bedst, når vi holder den på offentlige hænder. Desværre har vi i årtier set EU-politikker, som har presset på for privatisering i medlemsstaterne. Vi kan ikke tage den kritiske infrastrukturs cybersikkerhed alvorligt og samtidig lukke øjnene for spørgsmålet om ejerskabet og kontrollen over den.

Afslutningsvis vil jeg gentage, at der i høj grad er brug for at styrke cybersikkerheden. Set i det lys kan Enhedslisten støtte lovforslag nr. L 140, L 141 og L 142, og vi ser frem til at rejse de rejste problemstillinger i forbindelse med lovbehandlingen. Det er klart, at det også er et meget teknisk forslag. Der er en masse forskellige dele. Vi ved jo, at bare den der opdeling i L 141 og L 142 skyldes, præcis hvilken lovgivning der gælder i forhold til telesektoren osv. Der har vi også en række spørgsmål om det, som vi vil komme ind på i udvalgsbehandlingen. Tak.

Tak til Enhedslistens ordfører. Vi fortsætter talerrækken, og den næste på talerstolen, er hr. Alex Ahrendtsen fra Dansk Folkeparti.

Tak, formand. Lovforslaget handler om at sikre Danmark imod trusler og om vores kritiske infrastruktur. Vi skal kunne stole på elnettet, drikkevandet og vores myndigheder, og vi skal selv bestemme, hvordan vi passer på dem. I Dansk Folkeparti vil vi have styr på sikkerheden. Vi vil beskytte vores land mod sabotage, kaos og afhængighed af fremmede. Vi skal give vores virksomheder og myndigheder et klart ansvar, gøre reglerne enkle, gøre tilsynet skarpt og sørge for, borgerne kan være trygge. Vi vil ikke bøje os for EU – vores suverænitet er afgørende – men vi ved også, at verden er farlig, og derfor støtter vi et lovforslag, der styrker vores modstandsdygtighed og forsvar, så vi sammen kan passe på Danmark. Vi glæder os til udvalgsbehandlingen og vil så som sagt støtte lovforslaget, når det kommer til tredje behandling.

Tak til ordføreren for Dansk Folkeparti. Nu byder vi velkommen til ministeren for samfundssikkerhed og beredskab. Værsgo.

Tak for ordet, og tak for den positive modtagelse af lovforslaget. Til hr. Søren Søndergaard fra Enhedslisten vil jeg sige, at det var meget effektivt at tage alle tre lovforslag i én ombæring. Jeg synes, det er opløftende, at et enigt Folketing bakker op om lovforslaget, og det tror jeg jo sådan set der er en rigtig god grund til. For vi ser som samfund ind i et alvorligt og komplekst trusselsbillede. Det er et skærpet trusselsbillede, som udfordrer vores generelle samfundssikkerhed. Det skyldes jo bl.a. Ruslands invasion af Ukraine, men også truslen fra hybrid krigsførelse, klimaforandringerne og de medfølgende ekstreme vejrhændelser. På tværs af samfundet er der et stort fokus på beredskab, og det er der rigtig god grund til, for verden er i forandring, og derfor skal vi også være bedre forberedte, end vi er i dag, og vi skal blive bedre til at passe på vores kritiske infrastruktur.

Det kræver både en indsats fra myndigheders side, men også fra virksomhedernes og civilsamfundets side. Det fremgår af regeringsgrundlaget, at det danske samfund skal gøres mere robust i mødet med fremtidens trusler, udfordringer og kriser. Derfor tager regeringen initiativ til at styrke organiseringen og prioriteringen af samfundsberedskab, krisestyring, kritisk infrastruktur og forsyningssikkerhed. Derfor er jeg glad for, at vi i dag har hele tre lovforslag, som tilsammen udgør en vigtig del af rygraden af Danmarks samfundssikkerhed fremadrettet.

Det første lovforslag handler, som flere af ordførerne grundigt har redegjort for, om EU's direktiv om kritiske enheders modstandsdygtighed, det såkaldte CER-direktivet, som stiller nye og skærpede krav til den fysiske sikkerhed hos kritiske enheder. Lovforslaget har til formål at implementere CER-direktivet for samtlige af de sektorer, der er omfattet af direktivets anvendelsesområde med undtagelse af energisektoren, hvor direktivet implementeres særskilt af klima-, energi- og forsyningsministeren. Med loven forpligtes kritiske enheder bl.a. til at træffe passende og forholdsmæssige modstandsdygtighedsforanstaltninger. Det indebærer bl.a., at kritiske enheder skal træffe foranstaltninger, der er nødvendige for at sikre genopretning efter en hændelse og sikre tilstrækkelig fysisk beskyttelse af enheders lokaler og kritiske infrastruktur. Foranstaltningerne vil bidrage til at øge beskyttelsen af vores kritiske infrastruktur og er et vigtigt skridt i retning af at gøre vores samfunds samlede modstandsdygtighed større.

Samtidig vil kritiske enheder efter loven være forpligtet til at underrette den relevante kompetente myndighed om hændelser, der i betydelig grad forstyrrer eller har potentiale til i betydelig grad at forstyrre leveringen af enhedens væsentlige tjenester. Den kompetente myndighed skal i den forbindelse give den berørte kritiske enhed relevante oplysninger, der kan understøtte en effektiv reaktion fra den kritiske enhed på den pågældende hændelse. Hvis det er nødvendigt, kan den kompetente myndighed også orientere offentligheden om hændelsen.

Med lovforslaget fastholdes sektoransvarsprincippet. De ressortansvarlige ministre bemyndiges således til at konkretisere visse af lovforslagets bestemmelser nærmere i bekendtgørelser, såfremt særligt sektorspecifikke forhold tilsiger det. Den nærmere udmøntning i bekendtgørelser vil skulle ske efter koordinering med mit ministerium. Hvorfor er forhandlingen med mit ministerium nødvendigt? Det er den, fordi det skal sikre, at kritiske enheder, der omfattes af flere sektorer og dermed tilsyn fra flere kompetente myndigheder, ikke mødes af modsatrettede krav og unødigt besvær.

Det er vigtigt at sige, at arbejdet med at implementere CER-direktivet ikke er slut, når lovforslaget her er vedtaget. For CER-direktivet pålægger nemlig medlemsstaterne at udarbejde en national strategi for styrkelse af kritiske enheders modstandsdygtighed og en national risikovurdering, som skal foreligge senest den 17. januar 2026. Tilsammen skal de danne grundlaget for udpegningen af de kritiske enheder, der vil være omfattet af lovens anvendelsesområde. Ministeriet for Samfundssikkerhed og Beredskab har hovedansvaret for udarbejdelsen af både strategien og risikovurderingen i tæt dialog med og under inddragelse af øvrige relevante ministerier og myndigheder. De kritiske enheder skal ifølge direktivet være udpeget senest den 17. juli 2026, og de kritiske enheder vil være forpligtet til at efterleve lovens krav, 9 måneder efter at enheden er blevet udpeget. Kravene til kritiske enheder vil altså først kunne håndhæves fra dette tidspunkt.

Som også nævnt af nogle af ordførerne fremgår det af lovforslaget, at det ikke har været muligt at kvantificere lovforslagets erhvervsøkonomiske konsekvenser. Det skyldes, at de erhvervsøkonomiske konsekvenser jo afhænger af, hvor mange enheder der identificeres som kritiske. Vi kommer ikke udenom, at lovforslaget vil have økonomiske konsekvenser for de enheder, der bliver identificeret som kritiske, men det er samtidig vigtigt at sige, at det også er i de kritiske enheders interesse, at deres modstandsdygtighed øges. Kritiske enheder kan lide store tab, hvis de eksempelvis i tilfælde af en sabotagehandling ikke kan levere deres tjenester, og samtidig har det jo også voldsom stor betydning for den samlede modstandsdygtighed i samfundet.

Jeg vil runde af med at sige, at vi med lovforslaget tager et vigtigt skridt i vores fælles indsats mod et mere robust og modstandsdygtigt samfund. Trusselsbilledet kræver nemlig, at vi er bedre forberedte, end vi er i dag, og det gælder i høj grad i forhold til beskyttelsen af vores kritiske infrastruktur. Jeg glæder mig til den videre behandling af lovforslaget i Folketinget, og jeg står naturligvis til rådighed for at svare på de spørgsmål, der er i den forbindelse. Lad mig lige komme med et par enkelte betragtninger på nogle af de spørgsmål, der er blevet rejst. Jeg tror, det var hr. Kim Edberg Andersen, som spurgte lidt ind til, hvad der præcis er omfattet af det, og det er jo et godt spørgsmål. Som jeg også sagde tidligere i min tale, skal det jo ske på baggrund af den nationale strategi og risikovurdering, vi foretager os, og det er på baggrund af de analyser, vi kommer til at udpege de konkrete kritiske enheder. Så det er rigtigt, at vi på nuværende tidspunkt ikke kan give et kvalificeret skøn over, hvor mange kritiske enheder der bliver udpeget, men det er en del af den videre proces med lovforslaget.

Så er jeg også glad for, at Liberal Alliance hæfter sig ved, at det er en minimumsimplementering og det er uden unødvendigt bureaukrati. Det er også derfor, at mit ministerium kommer til at spille en central, koordinerende rolle i forhold til de ting, der går på tværs af sektorer, så eksempelvis en virksomhed med kritiske enheder inden for forskellige sektorer ikke bliver mødt af forskellige krav. Så bliver det mit ministerium, der sørger for at koordinere indsatsen, således at der i forhold til de krav, vi stiller, er en sammenhæng, og så vi dermed kan løse opgaven så effektivt som overhovedet muligt. Jeg tror, at jeg måske vil vente med bemærkningerne til Enhedslisten, til vi behandler lovforslag L 141, som handler mere specifikt om cybersikkerhed. Tak for ordet.

Tak til ministeren. Der er et enkelt spørgsmål fra hr. Søren Søndergaard fra Enhedslisten. Værsgo.

Vi beder hr. Søren Søndergaard om at træde op til bordet heroppe foran og stille sit spørgsmål. Der er helt sikkert lyd igennem.

Det her er jo en anledning til at tage en mere generel diskussion, og for mig rejser det i hvert spørgsmålet om noget, vi har diskuteret tidligere, hvor der har været modstand mod såkaldt overimplementering af EU-direktiver. Det her er jo noget, der en til en bygger på to EU-direktiver, og derfor vil jeg bare spørge ministeren: Er der tale om en overimplementering af de direktiver, eller er der tale om, at direktiverne bliver implementeret en til en?

Ministeren.

Der er tale om en minimumsimplementering af CER-direktivet og også af NIS2-direktivet. Når vi kommer til L 142, der handler om det, man populært kalder tele-NIS'en, altså NIS2-direktivets implementering på teleområdet, så er der formelt set tale om en overimplementering, fordi vi i den gældende lovgivning på teleområdet har løftet sikkerhedsniveauet højere i Danmark, end EU-reglerne tilsiger. Og det er klart, at regeringen jo ikke har nogen ambition om at slække på sikkerheden i telesektoren, så derfor fastholder vi de krav i den gældende lovgivning, som ligger ud over det, som NIS2-direktivet kræver.

Spørgeren.

Ja, og det er det, der så er årsagen til, at der både er en L 141 og en L 142, nemlig at man allerede har en skærpet lovgivning inden for telesektoren, og det er jo godt, at man fastholder den.

Men jeg bliver bare nødt til at spørge ministeren: Er det så godt nok? I betragtning af de udfordringer, vi står over for, er det så godt nok med den en til en-implementering i forhold til at skabe den maksimale sikkerhed på det her område? Burde vi ikke gå videre i forhold til det, der blev udviklet i EU for efterhånden mange år siden? Altså, der er jo trods alt sket meget de sidste 5-6 år, siden det her kom frem.

Ministeren.

Derfor er det også vigtigt at hæfte sig ved direktivets ordlyd, som går på, at man skal tage passende foranstaltninger. Det er jo et udtryk for, at det, der kan være passende foranstaltninger i dag, ikke er tilstrækkeligt om 2-3 år, og jeg mener sådan set, at det understreger, at de krav, vi stiller, er høje.

Prisen på de her lovforslag er jo ganske, ganske høj for de virksomheder og myndigheder, der bliver berørt, og derfor skal vi jo også se på, at vi ikke nationalt pålægger virksomheder nogle byrder, ud over hvad direktivet fastsætter, som vores nabolande ikke gør, for det ville jo så betyde, at omkostningsniveauet ville være højere for danske virksomheder.

Tak til ministeren. Der er ikke flere spørgsmål.

Da der ikke er flere, der har bedt om ordet, er forhandlingen sluttet.

Jeg foreslår, at lovforslaget henvises til Forsvars-, Samfundssikkerheds- og Beredskabsudvalget. Hvis ingen gør indsigelse, betragter jeg dette som vedtaget.

Det er vedtaget.

Forhandlingen er åbnet, og den første ordfører, der får ordet, er Kasper Roug fra Socialdemokratiet. Værsgo.

Tak for det, formand. Med det her lovforslag foreslås det, at vi skal implementere NIS 2-direktivet. Danmark er jo et af de mest digitaliserede samfund og lande i verden, og det gør os selvfølgelig sårbare, hvis sikkerheden ikke god nok. Med implementeringen af NIS 2-direktivet sikrer vi, at Danmark sammen med Europa skaber et højt og ensartet cybersikkerhedsniveau på tværs af unionslandene.

Konkret sikrer lovforslaget, at myndigheder, virksomheder og organisationer i samfundskritiske sektorer lever op til cybersikkerhedskravet. Derudover sikrer det, at oplysninger og underretninger bliver delt med de rigtige myndigheder, og at myndighederne styrkes i deres tilsynsbeføjelser.

Socialdemokratiet er som tidligere nævnt også optaget af, at Danmark fortsat er et trygt land, og det betyder ikke, at vi kan tage trygheden for givet. Truslen imod vores digitale infrastruktur og cybersikkerhed er steget, og den er løbende stigende. Vi snakker om cyberkriminalitet, cyberaktivisme og destruktive cyberangreb. Det er trusler, som vi skal tage alvorligt, og derfor er direktivet vigtigt. Vi skal i Europa stå sammen og være solidariske, og det er, når vi implementerer NIS 2-direktivet og andre direktiver, at vi med fælles fodslag viser, at vi står sammen. For sådan står vi nemlig allerstærkest, og derfor støtter Socialdemokratiet forslaget.

Tak til ordføreren. Der er ingen spørgsmål, så vi går videre i talerrækken, og den næste på talerstolen er hr. Peter Juel-Jensen fra Venstre.

Tak for det, formand. Lovforslaget implementerer et direktiv fra Europa-Parlamentet og Rådet og har til formål at sikre et højt fælles cybersikkerhedsniveau i hele fællesskabet. Antallet af angreb på det danske samfund stiger, både i antal og i områder, og derfor skal alle sejl sættes til, således at russiske hackere ikke formår at lamme eller ødelægge vitale dele af vores land.

Rækkevidden af dette lovforslag er omfattende. jeg glæder mig derfor over tilgangen til udarbejdelsen af vejledningerne, der ligger bag det her lovforslag, da det er svært og kompliceret stof. Der er derfor nedsat en større arbejdsgruppe, der i sin bredde gerne skulle repræsentere de organisationer, der har interesser inden for området.

Jeg glæder mig også over, at kredsen af partier, der bakker op omkring dette, er bred og stor, da alternativet ikke er til at få øje på. Samme kreds er også enige om en gelinde indfasning, altså at håndhævelsen sker gelinde, således at der ikke udskrives bøder, men at man også som stat har en vejledende rolle.

Venstre støtter forslaget, og så skulle jeg også her hilse fra Radikale Venstre og sige, at de bakker op omkring lovforslaget.

Tak til Venstres ordfører. Der er ikke nogen spørgsmål. Den næste ordfører er hr. Kim Edberg Andersen fra Danmarksdemokraterne. Værsgo.

Jamen lad os finde hårene i suppen i stedet for, for vi er jo ikke uenige i det positive med det her. Jeg kan også trække plastret af og sige, at Danmarksdemokraterne kommer til at stemme for det. Når det så er sagt, er der nogle bekymringer.

Hvad koster det, når man ikke implementerer noget, vi ikke kan få at vide hvad er helt præcist? Hvis man er en virksomhed med mere end 50 ansatte eller med 75 mio. kr. i omsætning, hvad koster det så? Det er den frygt, der er i maven ude i de private virksomheder. Det er jo dem, vi er her for, når vi laver loven. Det er jo fuldstændig rigtigt. Vi har jo set, at cybersikkerheden forsvinder, og vi har behov for det. Det er vi alle sammen enige om. Men nu laver vi en lov, og så hører jeg ministeren sige: Jamen jeg har faktisk ikke tænkt mig sådan lige at gøre det helt store ved det i starten. Men det kan vi jo faktisk ikke sådan rigtig med en lov. Altså, når vi laver en lov, skal man jo også håndhæve den, hvis folk ikke overholder loven.

Der er nogle gråzoner, hvor jeg simpelt hen er i tvivl om, om dem, vi laver loven for, og dem, der skal stå på mål for det, vi laver nu, egentlig ved, hvad det er, de skal stå på mål for. Det skal vi skynde os at komme i mål med, fordi vi laver en lov, der lynhurtigt bliver implementeret. Det eneste, jeg kan sammenligne det med, er GDPR-lovgivningen. Det er samme kompleksitet, det her kommer til at have for de små og mellemstore virksomheder. Hvis ikke man ved, hvad man skal implementere, overimplementerer man. Så kan man sige, at man får meget sikkerhed, men det bliver også meget dyrere. Så der er jo en balancegang.

Det, vi mangler i Danmarksdemokraterne, er tjeklisten, pixibogen og sikkerheden for, at man som virksomhed, når man har gjort det, man tænker skal til, ikke får et klap med bødehammeren bagefter, hvor de siger, at der er et eller andet komma et eller andet sted, som man har overset, fordi man ikke rigtig har kunnet få det at vide.

Så jeg har været lidt i tænkeboks. Kunne man bede om, at man ligesom på skatteområdet kan skrive til ministeriet og få et bindende svar fra myndighederne om, at man er nået i mål, sådan at når tilsynet kommer derud, får man i hvert fald ikke en stor bøde, fordi man jo har gjort det, man kunne, og man jo har gjort det rigtige? For selvfølgelig skal man komme efter folk, som med vilje ikke har tænkt sig at overholde loven. Men jeg tror, der er mange gråzoner her, og det gør ondt i maven på folk.

Jeg har selv siddet i en mellemstor virksomhed, dengang vi indførte den mest fantastiske lov nogen sinde, nemlig GDPR, hvor jeg blev nødt til at læse 1.500 sider fra Europa-Kommissionen, for det eneste, jeg vidste med sikkerhed, var, at man i medierne sagde, at hvis ikke jeg overholdt det, fik vi en bøde på 6 pct. af omsætningen. Det kan man ikke overleve. Så får man ondt i maven som selvstændig, og det er den ondt i maven, som vi skal være bedre til at undgå.

Det er hurtigt, det her. Det er marts måned lige om lidt. Foråret er lige omkring hjørnet, og selv om glæden er stor for den solskinsstråle af en minister, vi har fået på området, er det kort tid, at man om 4 måneder skal implementere noget, som vi ikke rigtig selv er helt sikre på endnu. Det er det, der er håret i suppen for mig. Ellers er jeg fuldstændig enig. Selvfølgelig skal vi have en høj cybersikkerhed. Det er meget vigtigt, og det er også vigtigere nu, end det har været længe. Jeg tror også godt, at det private erhvervsliv er klar til at imødekomme det og også finde pengene til det. Selvfølgelig er det træls at skulle bruge penge på det her, men det er jo endnu mere træls at blive lagt ned digitalt.

Men der er jo også en regning til kommuner og regioner, hvor vi nok også lige skal have øje for det. Jeg sidder selv i et regionsråd, og så mange penge har vi ikke at rutte med. Så hvis det koster 300 mio. kr. at implementere derude – lad os sige, at 100 mio. kr. er til regionen – skal nordjyderne finde 10 mio. kr. Så der skal vi nok som Folketing lige have fundet pengene, næste gang der er forhandlinger. Når vi pålægger dem noget, om end nødvendigt, er det en udgift, og så skal vi bare huske, at vi ikke tager den fra kerneopgaven, som nu engang i i hvert fald regionen er sundhed.

Så det er hårene i suppen. Jeg håber, at ministeren er klar på at lave nogle bindende svar. Det ville også klæde ministeren at få lov til at skrive under på sådan nogle og sende dem ud til folk, så man med stor tryghed i stemmen kan sige: Ikke nok med, at jeg læser den vejledning, vi er blevet lovet at få samtidig med loven, har jeg såmænd også et brev fra Torsten, der siger, at jeg har gjort det, jeg skal, og derfor kan I ikke give mig en bøde. Tak for ordet.

Tak. Jeg skal gøre ordførerne klar på, at vi taler i tredjeperson herinde og ikke omtaler ministeren med fornavn. Der er simpelt hen kommet et spørgsmål, så værsgo til hr. Søren Søndergaard fra Enhedslisten.

Hørte jeg ordføreren åbne op for en overvejelse om, at man måske placerer dele af Center for Cybersikkerheds arbejde under en civilmyndighed, sådan at der kan komme en betydelig tættere sammenhæng med det private erhvervsliv og erhvervsorganisationerne?

Ordføreren.

Det hørte spørgeren med sikkerhed ikke, for jeg brugte ikke nogen af de fine, lange meget højt lixtal-ord overhovedet. Jeg er ret tryg ved, hvor det ligger. Det, jeg ikke er tryg ved, er, at vi, hvis vi påfører nogen en regning eller noget besvær, så ikke helt ved, hvad det er for noget besvær, vi pålægger dem. Så nej, det hørte ordføreren ikke, men jeg er i hvert fald sikker på, at ordføreren blev glad, dengang han troede, at jeg sagde det, men det mener jeg altså ikke at jeg sagde i min tale.

Spørgeren.

Men glæden varede åbenbart så kort. Jeg vil bare spørge ordføreren, om ordføreren slet ikke har hørt det problem fra private aktører og private virksomheder, at de ikke synes, at samarbejdet er tæt nok. Det er jo lige præcis det, ordføreren forholder sig til. Jo, vi skal pålægge virksomhederne en høj cybersikkerhed, for konsekvenserne af, at den ikke er der, både for dem og for samfundet, er enorme, men de skal selvfølgelig også have maksimal hjælp til det, og vi skal sikre, at oplysningerne flyder og samarbejdet er godt og der er en myndighed, der også taler deres sprog.

Ordføreren.

Jo, men jeg tror ikke, at man behøver at flytte det, bare fordi man har et ønske om, at alle offentlige myndigheder lærer at tale et sprog, som ganske almindelige mennesker ude i virksomhederne kan forstå. Det behøver man ikke at flytte ressortet eller ansvaret, eller hvor vi laver tingene henne, for. Der bør man nok sige til dem, der har ansvaret nu: I har ansvaret, men vi forventer, I taler et forståeligt sprog til de mennesker, som I pålægger byrder.

Igen vil jeg sige, at ministeren jo er en ny minister, og jeg har kæmpe tiltro til, at folk fra Nordjylland holder, hvad de siger, og ministeren har lovet mig, at der kommer meget, meget fornuftige vejledninger ud samtidig med loven.

Tak til ordføreren for Danmarksdemokraterne. Der er ikke flere spørgsmål. Vi går videre i talerrækken, den næste ordfører er hr. Sigurd Agersnap fra Socialistisk Folkeparti. Værsgo.

Tak for ordet, formand. Jeg skulle igen hilse fra vores ordfører, Anne Valentina Berthelsen, der desværre ikke kunne være her. Men truslerne mod vores sikkerhed og cybertruslen mod vores sikkerhed vokser, og derfor er det afgørende, at vi styrker beskyttelsen af den kritiske infrastruktur. Det er en opgave, vi er haltet noget efter med, men som vi nu er på vej til håndtere. Der er stadig væk en opfattelse af, at det ikke er helt lige så vigtigt som andre typer forsvar, men det er der i den grad behov for at få gjort op med.

Med dette lovforslag implementeres NIS 2-direktivet, og det gør sammen med CER-direktivet, at vi får en helhedsorienteret tilgang til cybersikkerhed og til at sikre modstandsdygtigheden i kritisk infrastruktur. Samtidig er det vigtigt med det her direktiv, fordi samarbejdet i EU er afgørende for at stå imod de stadig mere avancerede angreb, vi bliver udsat for. I samspillet mellem de to direktiver kan det være med til at sikre en stærkere og mere koordineret beskyttelse af vores samfund, og det er vi glade for i SF. Det mener vi er på tide, og derfor kan vi støtte forslaget.

Tak til ordføreren. Der er ikke stillet spørgsmål. Den næste på talerstolen er hr. Carsten Bach fra Liberal Alliance.

Tak for det, formand. Som med det foregående lovforslag er vi jo stadig væk i Liberal Alliance så heldige, at vi har så stor en folketingsgruppe, at vi kan have en helt selvstændig it- og digitaliseringsordfører, nemlig hr. Alexander Ryle, min gode kollega, som har klædt mig på til at tage behandlingen af det her lovforslag i Folketingssalen. Det er jeg meget glad for, for hr. Alexander Ryle er en meget grundig kollega.

Derfor er det også sådan, at der fra Liberal Alliances side bliver lagt vægt på, at cyberangreb er en reel trussel imod virksomheder, myndigheder og borgernes hverdag, sådan som vores sikkerhedspolitiske situation og sikkerheden i Europa er skruet sammen for nuværende. Derfor er en stærk cybersikkerhed afgørende for at beskytte vores samfund.

NIS2-loven her er et vigtigt skridt i den retning. Den implementerer NIS2-direktivet, som har til formål at sikre et højt og mere ensartet cybersikkerhedsniveau på tværs af EU. Det sker ud fra en risikobaseret tilgang, hvor de omfattede virksomheder og myndigheder skal sikre, at de gennemfører cybersikkerhedsforanstaltninger, der bl.a. skal omfatte politikker for risikoanalyse, håndtering af hændelser og forsyningskædesikkerhed. Loven skærper kravene på tværs af flere sektorer med undtagelse af tele-, energi- og finanssektorerne, hvor direktivet implementeres særskilt. Samtidig udvides kredsen af virksomheder og organisationer, der skal leve op til skærpede sikkerhedsforanstaltninger. Det er både fornuftigt og nødvendigt og endda også på tide.

Cyberangreb kan have vidtrækkende konsekvenser for forsyningssikkerheden, økonomien og borgernes sikkerhed, og derfor skal vi styrke vores digitale forsvar. Men vi skal samtidig sikre, at byrderne ved implementering af NIS2 ikke bliver unødigt tunge for små og mellemstore virksomheder. Ligesom med det tidligere forslag om CER-direktivet synes vi i Liberal Alliance, det er positivt, at der med lovforslaget tages udgangspunkt i en minimumsimplementering. Det er vigtigt for Danmarks konkurrenceevne.

Selv om lovforslaget har været længe undervejs og burde være trådt i kraft for måneder siden, er der stadig væsentlige uklarheder. Det bør præciseres, hvilke virksomheder der reelt er omfattet, og det skal være muligt at få et bindende svar på, om en virksomhed er underlagt NIS2 eller ej. Derudover bør der udarbejdes vejledningsmateriale, som supplerer lovens definitioner og krav.

Virksomhederne er fortsat usikre på, hvordan de nye krav til leverandørstyring skal fortolkes, og den korte implementeringsfrist øger i stor grad risikoen for overimplementering stik imod intentionen. I praksis kan det betyde, at virksomheder i frygt for ikke at overholde reglerne stiller uforholdsmæssig stramme krav til deres leverandører frem for at vælge en risikobaseret tilgang.

Det samme gælder kommunerne, som efter lang tids tovtrækkeri endelig er blevet omfattet af loven. Men med så kort tid til implementering risikerer vi yderligere overimplementering, da kommunerne får ekstremt kort tid til at etablere en klar strategi for deres underleverandører. Ministeriet bør derfor hurtigst muligt udarbejde konkrete vejledninger og gå i tæt dialog med kommunerne, så implementeringen bliver både effektiv og ensartet.

Erhvervslivet har gentagne gange advaret mod den alt for korte implementeringsperiode, som risikerer at gøre NIS2 til en bureaukratisk complianceøvelse frem for en reel styrkelse af cybersikkerheden. Det er dog positivt, at ministeren i et skriftligt svar til min gode kollega, hr. Alexander Ryle, er blødt en smule op og svarer, at det vil være naturligt ikke at hive bødeblokken frem som det første i de kommende tilsyn. Tak for den tilkendegivelse, men virksomhederne har brug for mere end vage udmeldinger; de har brug for klarhed. Derfor bør ministeren snarest muligt tydeliggøre tilsynsmyndighedernes tilgang til den første periode efter lovens ikrafttrædelse.

Vi mangler desuden svar på flere spørgsmål om lovens anvendelsesområde, herunder om virksomhederne kan omgå kravene gennem selskabskonstruktioner. Det ser vi frem til at drøfte nærmere i udvalgsbehandlingen.

Selv om det på nogle punkter kan virke, som om ministeren har sovet lidt i timen, bakker vi overordnet set op om lovforslaget. Men cybersikkerhed handler ikke kun om skærpede krav; det handler også om klarhed og smidig implementering. Tak for ordet.

Tak til ordføreren. Jeg skal gøre opmærksom på, vores it driller, så hvis medlemmerne har et spørgsmål, må de gerne lige gøre sig bemærket heroppe, og så noterer vi, at I har noget at sige. Men der er ikke stillet spørgsmål til ordføreren for Liberal Alliance, og derfor går vi videre i talerrækken, og den næste er fru Charlotte Bagge Hansen fra Moderaterne. Værsgo.

Tak for ordet, formand. Hold nu op, man får jo helt præstationsangst med sådan en fornem tale, som min kollega fra Liberal Alliance vi har holdt. Den her bliver kort og præcis.

Cybertruslen vokser. Vi er sårbare i Danmark, og det er et problem, vi skal tage alvorligt. Lovforslag nr. L 141 skal beskytte vores samfund. Loven skal sikre, at de kritiske sektorer – det er virksomheder og myndigheder – er rustet mod angreb. Det handler om sikkerhed; det handler om stabilitet. Reglerne skal være klare, de skal være til at forstå, og virksomhederne skal have al den vejledning, de har brug for, for at det virker første gang. Og ikke mindst skal de have tid til at tilpasse sig. Det er et vigtigt, og det er et nødvendigt skridt. Vi skal passe på Danmark og danskerne. Moderaterne bakker op om forslaget. Tak for ordet.

Tak til Moderaternes ordfører. Der er ikke stillet spørgsmål, så vi fortsætter i talerrækken. Og den næste på talerstolen er hr. Rasmus Jarlov fra Det Konservative Folkeparti.

I effektiviseringens navn holder jeg kun én tale, som gælder for alle de tre lovforslag, som vi behandler i dag – L 140, L 141 og L 142 – og som alle sammen handler om cybersikkerhed. Vores kommentar til de tre lovforslag er den samme. Vi synes, det er meget positivt, at der bliver taget skridt for at øge cybersikkerheden i Danmark. Det er nødvendigt med de meget alvorlige trusler, vi står over for.

Der virker til at være ét stort problem, som vi håber at regeringen vil tage sig af, og det er, det er meget ukonkret, hvad de virksomheder, som er omfattet af reglerne, skal gøre for at leve op til reglerne. Vi havde en teknisk gennemgang i sidste uge i Forsvarsudvalget, hvor vi fik gennemgået meget minutiøst, hvem der er omfattet af loven. Det ligger meget fast, kan vi forstå, og det er jo fint, for så er der en masse mennesker, der ved, om de er omfattet af loven eller ikke er omfattet af loven. Men de mennesker, som er omfattet af loven, har ét ønske, og det er at vide, hvad de skal gøre for at overholde loven. Det fik vi ikke nogen særlig gode svar på, og det er der ikke nogen særlig gode svar på i lovforslaget, og det er et lovgivningsmæssigt meget stort problem. Det er dårlig lovgivning, når man ikke klart kan få svar på, hvad man skal gøre for at overholde loven. Det skaber nervøsitet og en usikkerhed og angst for virksomheder, for næsten alle vil jo gerne overholde loven og gøre, hvad de kan, men det er meget problematisk, hvis de ikke kan få at vide, hvad det er.

Det minder alt for meget om GDPR, hvor det også var utrolig uklart, hvad man skulle gøre som virksomhed. Det førte så til en hel industri af konsulenter, som begyndte at slå sig op på at fortælle folk, hvad loven gik ud på, for regeringen gad ikke at fortælle det. Af myndighederne kunne man ikke få at vide, hvad det var, man skulle gøre, og så var der en masse af selvbestaltede konsulenter, der begyndte at holde meget store og dyre kurser om, hvordan man skal overholde lovgivningen. Men det var jo for det meste gætværk, for der var ikke noget facit for det.

Det samme sker nu her. Der er også NIS2-konsulenter, der begynder at slå sig op og holde arrangementer og kurser af nøjagtig samme karakter. Den industri bør slås ihjel. Den bør slås ihjel, ved at regeringen klart og tydeligt fortæller, hvad virksomheder skal gøre for at leve op til lovgivningen, så der ikke er behov for nogen, der står og opdigter, hvad man skal gøre.

Vi er med på, at kravene kan ændre sig undervejs – at det kan være forskellige ting, man skal gøre forskellige steder – men så må man skrive det. Man kan jo godt skrive, at der f.eks. skal laves en plan for, hvordan man beskytter sine sendemaster i telesektoren, og at den plan skal godkendes af myndighederne. Det er fleksibelt, men det er stadig væk konkret, for så ved man, at kravet er, at man skal lave den plan, og at den skal godkendes af telemyndighederne. Den grad af konkretisering er der behov for, og det bør ske, inden loven træder i kraft. Vi kan ikke være bekendt at vedtage noget lovgivning og sige, at nu er I om fattet af nogle regler, men I kan ikke få at vide, hvad reglerne er. Det er vores største kritikpunkt, og jeg vil bemærke, at det er en kritik, som også går igen og igen i alle høringssvar. Jeg håber, at regeringen og embedsværket tager det på sig, så der kan være en høj grad af kvalitet i den lovgivning, som vi laver herinde, i stedet for at vi kaster en hel masse usikkerhed ud over en masse virksomheder. Tak.

Tak til ordføreren. Der er ingen spørgsmål. Den næste på talerstolen er hr. Søren Søndergaard fra Enhedslisten. Værsgo.

Hvor L 140 pålagde virksomheder og myndigheder og en række sektorer – transport, sundhed, drikkevand osv. – at identificere risici og gennemføre beredskabsplaner og sikre drift under cyberangreb, udvider det forslag, vi behandler nu, L 141, sikkerhedskravene til flere sektorer end i dag, skærper kravene til risikostyring, hændelsesrapportering og ledelsesansvar og giver myndighederne større sanktionsmuligheder. Det støtter vi også, med henvisning til hvad jeg sagde i min forrige tale. Det har jeg ikke noget behov for at gå tættere ind i.

Men jeg har tre små bemærkninger. For det første sagde ministeren i vores diskussioner om, om det var minimumsimplementering, eller hvad det var, af de to direktiver, der ligger til grund, at der jo netop var tale om, at man skulle leve op til passende forholdsregler. Og det er klart, at så kan man jo godt minimumsimplementere, hvis man løbende kan udvide det med passende forholdsregler. Det må forstås på den måde, at det kan man så gøre løbende.

Den anden ting handler om omkostningerne. Jeg tror, det er vigtigt at fastholde, at det allerallerdyreste vil være at lade være med at indføre det her; altså, det vil være ikke at gennemføre nogle strenge krav til cybersikkerhed, både når vi snakker om offentlige institutioner, og når vi snakker om private institutioner. Det vil være det allerdyreste. Og det er klart, at der er nogle af de virksomheder, der har været udsat for det, der ikke rigtig vil fortælle, hvor meget de har betalt, eller hvor meget det har kostet dem, men det har været rasende dyrt.

Det fører mig så frem til det tredje punkt. Jeg deler faktisk den bekymring, der kom fra Danmarksdemokraterne, og den bekymring, der kom fra Det Konservative Folkeparti, nemlig hvordan vi sikrer, at det her ikke bliver et nyt system, hvor der er en masse krav, som folk ikke rigtig kan finde ud af, og hvor de skal ansætte nogen til ligesom at fortælle, hvordan det hænger sammen. Der må det sikres, at der er en offentlig myndighed, der ned i detaljen fortæller folk, hvad de skal gøre, og som også er i stand til at hjælpe dem undervejs. Vi må have sådan en myndighed, og det kræver et tæt samarbejde mellem den myndighed og så de berørte virksomheder. Det er nødvendigt. Og det er klart, at vi også under udvalgsbehandlingen sammen med andre gode kræfter vil bore ud, hvordan vi sikrer det, for det er helt afgørende. Risikoen er jo, at vi vedtager det her, og at det koster en masse virksomheder en hel masse penge, og at der så er nogle, der opgiver det eller ikke gør det ordentligt, og så kommer der alligevel et kæmpeproblem, fordi der kommer nogle angreb, der spreder sig. Så det er vi meget indstillet på at diskutere videre i udvalgsbehandlingen.

Tak til Enhedslistens ordfører. Den næste på talerstolen er hr. Alex Ahrendtsen fra Dansk Folkeparti. Værsgo.

Tak, formand. Lovforslaget handler om at sikre Danmarks digitale grænser. Vi skal kunne stole på vores net og data, og vi skal værne om borgernes oplysninger. Vi skal også have fuld kontrol over de trusler, der kommer udefra. I Dansk Folkeparti vil vi forsvare Danmark mod hackere og kriminelle og fremmede magter. Det kræver klare regler, det kræver konsekvens, og det kræver selvfølgelig vilje til at beskytte det, vi holder af. Det er alt sammen noget, som lovforslaget er med til at sikre, og derfor stemmer vi ja.

Tak til ordføreren. Så byder vi velkommen til ministeren for samfundssikkerhed og beredskab på talerstolen.

Tak for ordet, og tak til alle Folketingets partier for opbakningen. Som nævnt står vi som samfund over for et trusselsbillede, der er ganske anderledes end for bare få år siden, og det stiller selvfølgelig krav til, at vi ruster Danmark bedre til at modstå cyberangreb.

I Styrelsen for Samfundssikkerheds vurdering af cybertruslen mod Danmark fra 2024 står det klart, at trusselsbilledet er alvorligt, og at det løbende udvikler sig. I vurderingen fra juni blev truslesniveuaet fra destruktive cyberangreb mod Danmark hævet til middel. Niveauet blev hævet, fordi det er sandsynligt, at Rusland er blevet mere risikovillig i forhold til at bruge hybride virkemidler med destruktive effekter, og de destruktive angreb kan have vidt forskellige konsekvenser, alt efter hvad og hvor de rammer. Der kan eksempelvis være tale om angreb mod kritisk infrastruktur, hvor hensigten er at skabe alvorlige og omfattende konsekvenser for samfundsvigtige funktioner. På nuværende tidspunkt er det dog primært mindre omfattende destruktive angreb, trusselsniveauet relaterer sig til.

Cyberangrebene påvirker jo ikke kun cyberdomænet, men også den fysiske verden. Det oplevede vi bl.a. tilbage i december, da prorussiske cyberaktivister udførte et angreb mod et dansk vandværk. Angrebet efterlod de lokale borgere uden drikkevand i hanen i flere timer. Det konkret angreb havde – heldigvis – en begrænset effekt, men det er tydeligt, at vi ser ind i et trusselsbillede, som er markant anderledes, end det var for bare få år siden, og at vi skal være bedre forberedt. For konsekvenserne kan være ganske, ganske store, ikke kun for dem, der rammes direkte, men også for samfundet, eksempelvis hvis det betyder, at tjenester, som benyttes bredt i samfundet, bliver afbrudt.

Lovforslaget, vi behandler, har til formål at implementere NIS 2-direktivet i dansk ret for samtlige de sektorer, der omfattes af direktivets anvendelsesområde, dog med undtagelse af tele-, finans- og energisektorerne. For de tre sektorer implementeres direktivet særskilt, da der på disse områder allerede eksisterer en omfattende regulering af cybersikkerheden. Mit ministerium har også ansvaret for den særskilte implementering for telesektoren, og det kommer vi tilbage til under det næste punkt på dagsordenen.

Med lovforslaget stilles der krav om, at væsentlige og vigtige enheder skal træffe passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger til styring af risiciene for sikkerheden i net- og informationssystemer. Foranstaltningerne skal træffes ud fra en risikobaseret tilgang, som bl.a. omfatter foranstaltninger til håndteringen af hændelser, politikker for brug af kryptering og foranstaltninger om personalesikkerhed. Med kravet om foranstaltninger tages der et vigtigt skridt på vejen for at sikre en øget cybersikkerhed omkring vores kritiske it-systemer. I forbindelse med kravene til foranstaltninger har der været rejst spørgsmål om, hvorvidt man kan gøre brug af eksisterende standarder. Relevante internationale standarder kan benyttes som led i opfyldelsen af direktivets krav om foranstaltninger. Virksomheder og myndigheder, som i dag bruger internationale standarder på området, vil derfor være godt på vej til en opfyldelse af lovforslagets krav. Det er dog vigtigt at sige, at en enkelt enhed ikke kan anses for at opfylde direktivets krav alene ved at være eksempelvis ISO 27.001-certificeret.

Der har helt forståeligt også været et stort fokus på spørgsmålet om NIS 2-lovens håndhævelse hos erhvervslivet og andre interessenter, særlig i den første tid efter at reglerne er trådt i kraft. Jeg har, som flere har bemærket det, tidligere sagt – og det vil jeg gerne gentage her i dag – at det i mine øjne vil være naturligt, at tilsynsmyndighederne ikke hiver bødeblokken frem som det første, men at de i stedet har fokus på vejledning. Lovforslaget kommer til at få stor betydning for både erhvervslivet og for myndighederne, og derfor har det været afgørende for mig, at processen for implementeringsarbejdet bliver så god som muligt. Det er også en af årsagerne til, at vi førstebehandler lovforslaget i dag, og der har også allerede i den tid, hvor jeg som minister har haft ansvaret for lovforslaget, været en tæt, tæt dialog med en lang række interessenter for at sørge for, at vi skærer lovforslaget så præcist til som muligt. En vellykket implementering af direktiverne på tværs af sektorer kræver også en tæt koordinering og en inddragelse af de forskellige myndigheder, virksomheder og brancheorganisationer, og det er en opgave, som mit ministerium i høj grad har taget på sig.

Noget af det mest efterspurgte, både i ministeriets dialog, men det har jo også været udtrykt i ordførertalerne i dag, har været et vejledningsmateriale, som kan understøtte med den praktiske anvendelse af lovens krav. Der er derfor nedsat en arbejdsgruppe med 17 interesseorganisationer, som løbende bliver inddraget i foråret, mens vejledningerne udarbejdes. For vejledningsmaterialet skal foreligge senest samtidig med lovens ikrafttræden. Jeg har nemlig også tidligere været med til, at vejledningerne er kommet, lang tid efter at lovgivningen er trådt i kraft, og det er ikke optimalt. Så derfor har det været mit meget, meget klare ønske fra den første dag, at vi skal have vejledningsmaterialet klar, senest når loven træder i kraft, og efter en ikrafttræden vil mit ministerium også bistå de relevante kompetente myndigheder, så der sker en tæt koordination og et tæt samarbejde mellem tilsynsmyndighederne.

I forhold til kommunerne vil de kommende NIS 2-regler gælde for en lang række kritiske sektorer som bl.a. sundhedssektoren. På det område løser kommunerne jo bl.a. opgaver, og det betyder, at kommunerne vil være omfattet af lovens anvendelsesområde på baggrund af disse aktiviteter, og det er ministeriets vurdering, at virksomheder og myndigheder vil være omfattet af NIS 2-reglerne i deres helhed, hvis bare nogle af aktiviteterne er omfattet af en kritisk sektor. For kommunerne betyder det konkret, at samtlige deres systemer som udgangspunkt vil være omfattet af loven. Som det fremgår af lovforslaget, har det ikke været muligt endeligt at kvantificere lovforslagets økonomiske konsekvenser, men vi kommer selvfølgelig ikke udenom, at det har store økonomiske konsekvenser for både virksomheder og myndigheder, som er omfattet af anvendelsesområdet.

Men det er jo altså vigtigt at understrege, at det også er i virksomhederne, myndighedernes og i vores samfunds interesse, at cybersikkerhedsniveauet øges. Virksomhederne kan lide store økonomisk tab, hvis de ikke er rustede godt nok til at håndtere et cyberangreb, hvis virksomhedens aktiviteter simpelt hen bliver lukket ned, eller hvis hele deres datagrundlag forsvinder, og vi har som samfund så stor en digital afhængighed, at det er vigtigt, at vi løfter indsatsen. Jeg er også pinligt bevidst om, at det er en stor regning, lovforslaget medfører, men alternativet er jo ikke at gøre ingenting. For så står man både i den enkelte virksomhed, den enkelte berørte myndighed eller hos os som samfund med et økonomisk tab, der kan være markant større og med voldsomme konsekvenser for vores brede samfundssikkerhed. Vi kan bare se i andre lande, hvad forskellige cyberangreb har haft af konsekvenser.

Så det understreger, at jovist, det her lovforslag kommer med en pris, men at det også har en klar effekt, og at det er med til at øge vores samlede samfundsrobusthed, og det er årsagen til, at vi tager det her så alvorligt. Jeg lytter jo også til de bemærkninger og kommentarer, som forskellige ordførere er kommet med, og lad mig bare for en god ordens skyld lige prøve at adressere et par stykker af dem ud over det, jeg allerede har sagt. Det følger af direktivet, at det er virksomhederne og enhederne selv, der vurderer, om man er omfattet af lovens anvendelsesområde, og det er sådan set det, der står i direktivet, som vi fører videre, og så har jeg understreget, at vi skal sørge for, at der bliver udarbejdet grundige vejledninger, og at de kompetente myndigheder også skal være klar til at vejlede og hjælpe virksomhederne med forståelsen af anvendelsesområdet, så det bliver så let at håndtere som overhovedet muligt. Tak for ordet.

Tak til ministeren. Jeg skal fortsat gøre opmærksom på, at der er problemer med at trykke sig ind til korte bemærkninger. Så hvis ordførerne ønsker ordet, må man gerne lige markere, og den første, der har gjort det, er hr. Kim Edberg Andersen fra Danmarksdemokraterne. Værsgo.

Tak for det. Vi kan jo se problemstillingerne, og man må jo ikke håbe, at kommunikationsevnen i det danske Folketing bliver omfattet af kritisk infrastruktur. For så har vi jo allerede nu en ballade. Jeg er jo kommet til København, og det er ligesom med burgermetoden, hvor man skal sige noget pænt først, altså at det var en god lang tale, og så kommer indholdet, og ministeren siger jo ikke rigtig noget alligevel. For hele Folketinget har jo af deres gode hjerte, mavefølelser og intentioner sagt til ministeren, at lad os få loven til at træde i kraft. Men der er jo nogle problemstillinger med, hvad loven egentlig indebærer, og det siger ministeren så at man har tænkt sig at løse med en vejledning. Men hvis man kan lave en vejledning, der forklarer alle virksomheder, hvad de skal gøre for at overholde loven, så er man jo i mål, og så ved de, hvad den indebærer.

Jeg er bekymret for, at vejledningerne, om end intentionen bag ved dem er god, bliver noget, som de egentlig ikke kan bruge til noget. For når man sidder derude i den anden ende, et sted, hvor man har ansvaret for at implementere lovgivningen – og langt de fleste virksomheder vil gerne gøre det her – så har man behov for, om ikke en facitliste, så i hvert fald nogle meget klare regler. Og vi kan ikke få dem, når loven træder i kraft. Hvor hurtigt kan ministeren sikre danske virksomheder det?

Ministeren.

Det, at ordføreren står på gulvet ved pulten, hvor der normalt afvikles § 20-spørgsmål, er jo sådan set et godt eksempel på, at systemet har såkaldt redundans, altså at der, hvis det, der er det primære, ikke virker, så er en backupløsning, som sørger for, at tingene kan afvikles. Det er faktisk måske også en god lære, når man taler cybersikkerhed, at man sørger for, at der er backupsystemer, og at man, hvis der er noget, der bliver påvirket, i de situationer har noget andet, der træder til.

Som sagt gentager jeg meget gerne, at jeg er meget, meget optaget af, at vi har en tæt dialog. Det har der også været i de seneste måneder, og det vedbliver der også at være i den kommende tid, også i forhold til at udarbejde vejledningerne. Som sagt har det været helt afgørende for mig fra den første dag at sige, at de skal ligge klar, senest når loven træder i kraft. Man skal måske også være påpasselig med at tro, at man kan lave sådan en ensartet tjekliste. For det bliver jo nok svært at forestille sig, at virksomhederne, hvis de opererer i forskellige risikomiljøer, kan sidde med den samme tjekliste. Der er jo også, hvis man tror, at man kan lave sådan en autoritativ tjekliste, og at alt så er i orden, en fare for, at den er overfyldt.

Derfor er der brug for, at vi har så tæt og konstruktiv en dialog med de forskellige aktører på området som muligt. Derfor er der selvfølgelig også behov for både klare vejledninger og en stærk vejledende indsats fra myndighederne, når virksomhederne skal agere inden for regelsættet.

Ordføreren.

Jeg deler jo ikke det der regeringssynspunkt, altså at man siger, at det med at tage bødeblokken op ikke er det første, de gør. Så er mit kendskab til myndighederne sådan, at de godt kan finde på at gøre det som det næste. Det er jo det, der er mavesmerten, altså når man som virksomhed sidder og man egentlig ikke aner, hvad det er, man skal gøre for ikke at få bødeblokken næste gang. For vi kan jo heller ikke lave en lov, som vi ikke har tænkt os at håndhæve, og ministeren siger jo, at han vil gøre det lempeligt i starten, og at han vil håndhæve den så lempeligt, som man nu kan tillade sig det. Men der kommer jo en håndhævelse på et tidspunkt, hvis man ikke kommer i mål, og det er jo nok også det, som jeg deler med Det Konservative Folkeparti, altså at vi har behov for at hjælpe vores virksomheder med at komme i mål. For hvis vi ikke gør det, kommer man til at få ondt i maven over det her. Bødeblokken herinde skulle jo også have været oppe mange gange, for det her system er jo ofte faldet ud.

Ministeren.

Jeg mener det alvorligt, når jeg siger, at jeg synes, det ville være besynderligt, også når det er ny lovgivning, hvis myndighederne skulle hive bødeblokken op som det første. Der er en række øvrige håndhævelsesforanstaltninger i direktivet, som det vil være helt naturligt at gribe til i begyndelsen, og det er påbud og forbud. Så skal vi også sørge for, at der er adgang til en god vejledning. Jeg har jo, tror jeg også, sammen med alle her i Folketinget kun det ønske, at vi får lavet regler, som reelt løfter vores cybersikkerhed, som beskytter vores virksomheder, og som beskytter vores samfund, og som er så lette – i anførselstegn – som muligt. For det er ikke nogen let opgave, og det er noget, der er dynamisk, og som udvikler sig, når virksomhederne og myndighederbe agerer i det.

Tak til ministeren for samfundssikkerhed og beredskab. Der er ikke stillet flere spørgsmål.

Da der ikke er flere, der har bedt om ordet, er forhandlingerne sluttet.

Jeg foreslår, at lovforslaget henvises til Forsvars-, Samfundssikkerheds- og Beredskabsudvalget. Hvis ingen gør indsigelse, betragter jeg dette som vedtaget.

Det er vedtaget.

Forhandlingerne er åbnet, og den første, der får ordet, er Kasper Roug fra Socialdemokratiet. Værsgo.

Tak for det, formand. Med det her lovforslag skal vi jo ligesom med de andre også have implementeret NIS 2-direktivet, og den her gang er det så i telesektoren for at sikre, at vores telenet og dermed også vores infrastruktur selvfølgelig kan kommunikere med hinanden på en god måde. Det er fundamentalt i vores digitaliserede samfund, særlig med det skærpede trusselsbillede in mente.

Derudover foreslås det at integrere direktivet med den eksisterende lovgivning på området, fordi den lovgivning, vi har nu, medfører en højere sikkerhed, end hvad vi ville have haft med direktivet alene, og det betyder, at vi sikrer et ensartet cybersikkerhedsniveau på tværs af medlemsstaterne, og at vi samtidig beholder vores nationale skærpede krav til informationssikkerhed og beredskab for teleudbydere.

I de her dage er der jo ingen tvivl om, at at vi i Socialdemokratiet, men vi forhåbentlig også i Folketinget i al almindelighed er nødt til at gøre, hvad vi kan, for at sikre Danmark, særlig også set i lyset af at truslen fra cyberkriminalitet imod telesektoren herhjemme vurderes at være meget høj. Det understreger selvfølgelig vigtigheden af det her lovforslag. Derfor støtter Socialdemokratiet også det her lovforslag.

Tak til ordføreren. Der er ikke ønske om at stille spørgsmål, så vi fortsætter i talerrækken, og den næste på talerstolen er hr. Peter Juel-Jensen fra Venstre.

Tak for det, formand. Formålet med dette lovforslag er at implementere et direktiv fra Europa-Parlamentet og Rådet om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Europa.

Telesektoren spiller en afgørende rolle i et højt digitaliseret samfund som det danske. Der eksisterer derfor allerede en omfattende regulering af informationssikkerhed og beredskab i telesektoren, herunder navnlig lov om sikkerhed i net og tjenester tilbage fra 2021.

På visse områder vurderes den nuværende regulering af sikkerheden og beredskabet i telesektoren at skulle sikre et højere sikkerhedsniveau end det, der følger af NIS 2-direktivet. Med nærværende lovforslag lægges der derfor op til, at en implementering af NIS 2-direktivet for telesektoren sker, ved at dele af den gældende regulering videreføres i det nærværende lovforslag og lov om sikkerhed i nettet og tjenester ophæves.

Lovforslaget fastsætter bl.a. nye regler om foranstaltninger til styring af sikkerhedsrisici, nye oplysnings- og underretningspligter vedrørende bl.a. væsentlige hændelser og nye tilsyns- og håndhævelsesbeføjelser. Samtidig videreføres bl.a. de gældende nationale regler om særlige beredskabssituationer og andre ekstraordinære situationer og sikkerhedsgodkendelser. På den måde skulle vi gerne komme hele vejen rundt om den her sektor.

Alt i alt er det et meget teknisk forslag, der har til formål at passe godt på vores telesektor, og det kunne jeg vel i bund og grund bare have startet med at sige.

Venstre bakker op om forslaget. Og også her skal jeg hilse fra Radikale Venstre og sige, at det gør de også. Tak.

Tak til Venstres ordfører. Vi fortsætter talerrækken, og den næste, der får ordet, er hr. Kim Edberg Andersen fra Danmarksdemokraterne. Værsgo.

Jeg tror, at dem, der sidder ved fjernsynet derude, må tænke, at det ikke kan være nogle ret lange forslag, når spørgsmålene er så korte. Til det vil jeg sige, at der her er ca. 20 cm med A4-papirer, der er tæt beskrevne på begge sider, og det er ofte sådan i Folketingssalen, at jo mere kompliceret det bliver, jo kortere bliver spørgsmålene.

Noget andet, der trænger sig på her, er jo selvfølgelig, at vi alle sammen er enige om, at det er noget sikkerhedsmæssigt, som vi alle sammen har sagt at vi ønsker at komme i mål med. Men hr. Søren Søndergaard – og nu skal man høre efter, for nu roser jeg en fra Enhedslisten – har jo fuldstændig ret. Så kan det godt være, at vi ser forskelligt på spørgsmålet om overimplementering, og hvor meget staten skal gøre, men det her er en overimplementering.

Desuden kan man, som jeg forstår det på ministeren – og ellers må ministeren jo korrigere mig, når han kommer herop – egentlig sige, at de allerede er i mål i telesektoren, og derfor behøver man heller ikke lave et nyt lovforslag med en overimplementering og med en meget kort implementeringsfase. For de er jo i mål. Havde man nu nøjedes med at lave den implementering, de var i mål med, og de derudover overholdt dansk lovgivning, så havde vi ikke fået den korte implementeringsfase. For de enkelte, der måske ikke er helt i mål, ender problemmæssigt med at stå det samme sted. Det går meget, meget stærkt.

Når det så er sagt, er jeg, hvad det her lovforslag angår, mindre bekymret for, om dem, der sidder ude i den anden ende og skal implementere det, er velforberedte eller ej. Jeg er sikker på, at lige nøjagtig den her sektor er ret velforberedt. Men jeg bliver også nødt til at sige, at det går stærkt, og hvis der var noget, som jeg ikke fik kritiseret sidst – og man skal huske at kritisere Venstrefolk, hvis de sidder og bliver alt for vi glade – så var det jo nok, at vi jo allerede er på bagkant, i forhold til hvornår det her skulle have været implementeret. Derfor kan det undre mig, at man så stadig væk er i tvivl om, hvad det er, der skal implementeres sådan rent lovmæssigt, altså at vi ikke kan forklare folk derude, hvad det er, de skal implementere, for vi skulle jo have været færdige for længe siden. Jeg tror ikke, det er denne ministers skyld – ministerens hoved bliver jo så stort, når jeg bliver ved med at rose ham – men vi er på bagkant allerede, og vi kommer også til at stemme for det her i Danmarksdemokraterne.

Så vil jeg gerne rose ministeren for, at vi, selv om det er lovforslag, der ligger tæt på hinanden, alligevel får lov til at behandle dem enkeltvis. Det er en uskik, at man fra regeringens side på andre områder samler det hele til bunke, hvorefter man bare kan få lov til at snakke om den ene ting, man er for, eller den anden ting, man er imod. Det er dejligt, og jeg håber, at ministeren holder den gode stil fremadrettet, så vi kan behandle tingene enkeltvis.

Danmarksdemokraterne kommer til at støtte forslaget, men vi vil bare række en finger op og sige, at vi ikke er vilde med overimplementering af EU's direktiver – det er vi altså ikke. Minimum kan sikkert være godt nok til at starte med, og så må man stole på, at vi i Folketinget nok helt af os selv kan finde frem til nogle regler, der er gode for danskerne

Tak til Danmarksdemokraternes ordfører. Den næste på talerstolen er hr. Sigurd Agersnap fra Socialistisk Folkeparti.

Tak for ordet, formand. Telesektoren er en hjørnesten i vores digitaliserede samfund. Jeg tror, at for mange af os var det en brat opvågning, da TDC's net brød ned og man var nødt til at sende politibiler og ambulancer på gaderne, så man, hvis man fik problemer, kunne praje en ude på gaden, når nu man ikke kunne ringe efter dem. Det viser, hvor skrøbeligt meget af vores samfund er, og hvor afhængige vi er af at kunne kommunikere. Jeg forstår da godt, hvis der var nogle danskere, der tænkte, at det ikke helt var den backupløsning, man havde regnet med at der var, altså at man simpelt hen skulle ud på gaden, hvis man havde et alvorligt problem.

Det er fornuftigt, at vi får kigget på at styrke sikkerheden og beredskabet i telesektoren. Det støtter vi i SF. Jeg vil sige i forhold til det med over- og underimplementering, at det ikke er det vigtige for os. Det vigtige er, at der samlet er et stærkt regelsæt, der gør, at vi har sikkerhed og beredskab i hele telesektoren. Og hvis nu man synes, at det er fornuftigt at gå længere med sikkerheden end det, der ligger i et EU-direktiv, er det også fornuftigt at overimplementere det. Tak for ordet.

Tak til ordføreren. Der er ikke nogen spørgsmål. Vi fortsætter talerrækken, og den næste på talerstolen er hr. Carsten Bach fra Liberal Alliance.

Tak for det, formand. Formålet med dette lovforslag er at implementere NIS 2-direktivet specifikt for telesektoren. Da vi jo netop har behandlet NIS 2-loven, vil jeg ikke gå i dybden med detaljerne, men blot understrege, at forslaget ikke alene implementerer direktivet, men sker gennem en integration med den gældende regulering for sikkerhed og beredskab i telesektoren.

Heldigvis har jeg jo en meget dygtig it- og digitaliseringsordfører i hr. Alexander Ryle, som har givet mig en meget detaljeret gennemgang af lovforslaget alligevel. Så jeg tillader mig at putte lidt mere fyldigt indhold på talen her.

Det er nemlig overordnet set positivt. Og vi kommer også til at støtte lovforslaget her, men jeg vil som sagt gerne bruge noget af min taletid på at adressere nogle af de udfordringer, vi også ser i dette lovforslag, og som vi i Liberal Alliance mener bør drøftes grundigt i udvalgsarbejdet, så vi forhåbentlig kan nå at få det rettet lidt til. Nu ved vi jo også, at ministeren har en lang og glorværdig fortid som teleordfører, og derfor er jeg ret sikker på, at ministeren meget detaljeret går op i lige præcis den her del af NIS 2-implementeringen.

For det første videreføres med lovforslaget reglerne for sikkerhedsgodkendelser, men vi ser allerede i dag, at der er store problemer med netop at få sikkerhedsgodkendelser. I dag tager det efter sigende 12-18 måneder at få en godkendelse, og det betyder så, at teleselskaber risikerer at have nyansatte medarbejdere, der faktisk må vente over et år, før de overhovedet kan begynde deres arbejde. Det er ikke holdbart. Hvis vi ønsker en stærk og sikker telesektor, kan vi ikke samtidig blokere for, at kvalificerede mennesker kan få adgang til deres arbejdsopgaver.

For det andet er der ikke lagt op til et smidigt system. I stedet for at der er en fælles ramme, hvor godkendelser er fleksible, foreskriver reglerne, at hver myndighed opstiller egne krav til sikkerhedsgodkendelser inden for deres ressortområde. Det betyder, at samme person skal have flere forskellige godkendelser, og at allerede godkendte medarbejdere ikke umiddelbart kan overføres til nye opgaver. Det er unødigt bureaukrati, det er ineffektivt, og det bør løses. Jeg er sikker på, at jeg måske har hørt ministeren omtale problemet under en af de tidligere lovbehandlinger, og jeg håber også, at der i den her sammenhæng kan findes en løsning.

For det tredje er der behov for langt mere vejledning fra myndighederne. Det er et tilbagevendende problem, og det har det været under alle tre lovbehandlinger i dag, at virksomhederne efterlades i noget, der kan minde om et vakuum, hvor det er uklart, hvordan de skal navigere i reglerne. Klarhed er bydende nødvendigt, hvis vi skal sikre en effektiv implementering.

For det fjerde indeholder loven mange bemyndigelseshjemler til at fastsætte nærmere regler, og det er vi grundlæggende i Liberal Alliance lidt bekymrede for. For når hjemlerne skal udmøntes, sker det i embedsværket uden en politisk kontrol. Vi risikerer ellers at få et regelsæt, der ikke tager højde for branchens reelle behov og udfordringer. I stedet for at ministeren gives en blankocheck ved tredjebehandlingen af lovforslaget, bør ministeren måske hellere inddrage ordførerne og branchen i at få fastsat nogle nærmere regler.

For det femte er der behov for koordinering på tværs af de kritiske sektorer, som er afhængige af hinanden. Et oplagt eksempel er tele- og energisektoren. Ved et strømnedbrud går telenettet også ned, når nødstrømmen er opbrugt. Og i en tid med øget geopolitisk spænding bør vi sikre langt bedre koordinering sektorerne imellem.

For det sjette – og det er også det sidste punkt i rækken her af meget detaljerede bemærkninger fra min it- og digitaliseringsordfører – bliver der gjort opmærksom på, at der er fare for, at man kommer til at modarbejde hinanden med henvisninger til sikkerhedslovgivning og sikkerhedskrav. Det er også blevet nævnt i de tidligere behandlinger, bl.a. af særloven, at telebranchen i stigende grad oplever, at myndigheder og private aktører nægter at lade teleselskaberne opsætte antenner på deres bygninger eller arealer af hensyn til netop fysisk sikkerhed. Det skaber unødige hindringer og hæmmer en effektiv udnyttelse af ressourcer, uden at det nødvendigvis øger sikkerheden.

Som sagt kommer vi i Liberal Alliance til at støtte lovforslaget, men vi håber også på, at der vil være en villighed i regeringen til at drøfte nogle af de ovenstående udfordringer meget grundigt i forbindelse med udvalgsbehandlingen. Tak for ordet.

Tak til ordføreren fra Liberal Alliance. Der er ikke ønske om at stille spørgsmål, så vi fortsætter i talerrækken, og den næste på talerstolen er fru Charlotte Bagge Hansen fra Moderaterne.

Først vil jeg sige tusind tak til min kollega fra Liberal Alliance for den grundige gennemgang, også af bekymringer, og for at komme med et headsup. Det er altid godt at have forskellige øjne på tingene, når man skal implementere noget så vigtigt som det, vi skal nu.

Danmark er et af verdens mest digitaliserede lande – og rigtig godt for det. Vi bruger telesektoren hele tiden, i hverdagen, på arbejdet og også i krisesituationer. Men vi er også sårbare, og det hørte vi jo også SF's ordfører sige. Vi havde jo problematikken med, at man ikke kunne ringe til 112, så der måtte ambulancer og politibiler på gaden, så man kunne praje dem der. Og der blev vi jo faktisk ekstra opmærksomme på de udfordringer, vi har.

Cybertruslen i verden er høj. Der er masser af angreb hver dag – angreb, som kan lamme virksomheder, myndigheder og borgere. Og derfor er det jo yderst vigtigt, at vores teleinfrastruktur er robust.

Det her lovforslag styrker cybersikkerheden. Vi gennemfører EU's NIS 2-direktiv, men vi gør det på en dansk måde. Vi bevarer vores høje sikkerhedsniveau, og vi stiller stadig krav til teleudbyderne. Lovforslaget her handler om at beskytte os alle sammen. Det handler om at forebygge nedbrud og angreb. Det handler om tryghed i en digital tidsalder.

Moderaterne bakker op om forslaget. Tak for ordet.

Tak til Moderaternes ordfører. Vi fortsætter talerrækken, og den næste ordfører er hr. Søren Søndergaard fra Enhedslisten.

Tak. Det foreliggende lovforslag fokuserer specifikt på telesektoren, hvor udbydere skal lave risikovurderinger, indføre skærpede sikkerhedskrav, underrette myndighed om trusler og kan blive pålagt at udelukke leverandører af sikkerhedsmæssige årsager. Dermed er det jo ligesom den tredje del af det her trebenede lovforslag, som vi diskuterer her i dag. Jeg har tidligere nævnt, at vi støtter det og hvorfor, så det skal jeg ikke komme ind på.

Vi har jo også fået henvendelser. Vi har læst høringssvarene, selvfølgelig, og det kan man generelt anbefale, altså at læse høringssvarene; så bliver man fri for at lave om bagefter. Men vi har jo også fået henvendelser fra telesektoren. Og en af de ting, som Liberal Alliances ordfører var inde på, er jo en ting, som teleindustrien nævner. Altså det der med, at der til visse jobs kræves sikkerhedsgodkendelse, og en sikkerhedsgodkendelse tager 12 til 18 måneder, ifølge teleindustrien.

Jeg aner ikke, om det er rigtigt, og jeg aner ikke, hvor mange jobs det handler om, men jeg kunne godt tænke mig, at ministeren kunne opklare, om det er en reel bekymring. For bare denne lille ting er jo en bombe under det hele. Altså, hvis det er et større antal medarbejdere, som i private virksomheder skal vente fra de er ansat og så 12 til 18 måneder, før de kan begynde at arbejde, så går det jo ikke.

Sikkerhedsgodkendelse er vel normalt noget, der laves af PET, og det laves jo efter nogle bestemte standarder, så det er måske svært at gøre noget ved. Det kan være, der skal opfindes nogle andre metoder. Jeg ved det ikke, men jeg tænker, at ministeren måske har gjort sig overvejelser om det, og derfor håber jeg, at ministeren kan sige et par ord om den type af meget praktiske problemer. Under alle omstændigheder er det i hvert fald noget, vi kommer tilbage til i forbindelse med udvalgsbehandlingen.

Tak til ordføreren. Den sidste i talerrækken her er hr. Alex Ahrendtsen fra Dansk Folkeparti. Værsgo.

Tak, formand. I Dansk Folkeparti støtter vi dette lovforslag, som handler om at sikre telesektoren. I lighed med hr. Søren Søndergaard har vi også fået nogle henvendelser om bl.a. sikkerhedsgodkendelser. Det lyder fuldstændig grotesk, og derfor bliver nødt til at følge op på det i forbindelse med udvalgsbehandlingen. Jeg håber også, at ministeren kan sige noget om det fra talerstolen her nu, efter at jeg har holdt min tale. Der er en stor bekymring i sektoren. Det kan jo ikke nytte noget at vi laver en så bureaukratisk lovgivning, men ellers støtter vi lovforslaget. Tak.

Tak til ordføreren, og vi giver ordet til ministeren for samfundssikkerhed og beredskab. Værsgo.

Tak for det, og igen vil jeg sige tak til alle Folketingets partier for at bakke op. Jeg tror, som ordførererne også har nævnt, at der er en erkendelse af, at vi er – hvad vi plejer at være rigtig stolte af – et af de allermest digitaliserede samfund i verden. Men det er klart, at den digitalisering også kommer med en sårbarhed, og det er vi nødt til at tage alvorligt.

For telesektoren er en fundamental del af vores samfundssikkerhed. Det gælder både til hverdag, men så sandelig også i en krisesituation, og de sidste par år har i hvert fald vist os, at et moderne samfund er sårbart, særlig i kriser. Og er der noget, der er vigtigt i en krise, så er det kommunikation. Hvis teletjenesterne ikke er tilgængelige, kan det, udover at være til gene, altså have voldsomme konsekvenser for Danmark. Det kan påvirke produktionen i virksomhederne, det kan forhindre, at andre kritiske sektorer i Danmark ikke fungerer optimalt, og det kan gælde vores beredskab, energiforsyning, sundhedssektoren; listen er meget, meget lang.

Som tidligere nævnt implementeres NIS2-direktiet særskilt, når det gælder telesektoren. Som jeg nævnte i et tidligere svar, skal det ses i lyset af, at telesektoren allerede er underlagt en ganske omfangsrig regulering af sikkerhed og beredskab, herunder cybersikkerhed.

På visse punkter går den eksisterende lovgivning på området endda videre end NIS2-direktivets krav. Set i lyset af det aktuelle trusselsbillede, er det vigtigt, at implementering af NIS2-direktivet ikke betyder, at det høje sikkerhedsniveau i telesektoren sænkes på enkelte områder. Derfor lægges der med lovforslaget op til, at implementeringen af NIS2-direktivet for telesektoren sker gennem en integration med den eksisterende regulering.

Bare for at understrege det vil jeg sige, at det ikke dermed er sagt, at telesektoren overholder alle krav i NIS2. NIS2 kommer også til at stille yderligere krav til telesektoren, men der er ikke nogen tvivl om, at telesektoren er et af de steder, hvor cybersikkerheden er højest, og derfor er den meromkostning, der kommer for telesektoren for at leve op til NIS2, forventeligt betydelig lavere end for de sektoren, hvor reglerne har været enten ikke eksisterende eller meget lave tidligere.

Lovforslaget lægger også op til, hvad der også er blevet nævnt, at en række af bestemmelserne udmøntes nærmere i bekendtgørelser. For en god ordens skyld vil jeg sige, at bekendtgøelser ikke er noget, der bliver udstedt helt af sig selv og uden nogen form for politisk involvering. En bekendtgørelse sendes i høring, og i sidste ende er det ministeren, der udsteder bekendtgørelsen. Det er klart, at det er noget, jeg vil tage meget, meget alvorligt.

Bekendtgørelserne er under udarbejdelse, og forventningen er, at vi kan sende dem i offentlig høring i løbet af april. For mig er det, som også nævnt under det tidligere lovforslag, helt centralt at der skabes en god proces omkring implementeringen af direktivet, og det skal der også være i arbejdet med at udarbejde bekendtgørelsen. Derfor vil vi forsøge, så vidt muligt, at inddrage erhvervslivet mest muligt i det arbejde.

Mange af lovforslagets bestemmelser er identiske med bestemmelserne i NIS2-direktivet, som indeholder nye og skærpede krav, som er formuleret overordnet. Mit ministerium har derfor forsøgt at uddybe lovforslagets krav så meget som muligt i bemærkninger til lovforslaget.

Erhvervslivet har udtrykt behov for, at der udarbejdes vejledningsmateriale, der kan bistå med i forhold til at anvende loven i praksis. Det forstår jeg så sandelig godt, og derfor har jeg jo også en understregning af, at det er afgørende, at vejledningsmateriale skal forelægge senest samtidig med lovens ikfrafftræden.

Der er bl.a. blevet udstedt vejledninger vedrørende lovforslagets anvendelses område og tilsyns- og håndhævelsesforanstaltningerne. Derudover vil Styrelsen for Samfundssikkerhed i relevant omfang kunne vejlede virksomheden om lovforslagets konkrete krav.

Spørgsmålet om håndhævelse og tid til implementering af lovforslaget har også haft et stort fokus hos teleudbyderne, særlig i den første tid efter reglerne er trådt i kraft, og jeg gentager gerne, at det i mine øjne er naturligt, at tilsynsmyndighederne ikke hiver bødeblokken frem som det første lige efter lovens ikrafttrædelse, men i stedet har fokus på vejledning og de øvrige håndhævelsesmuligheder, der er.

I forhold til de kommentarer, som jeg også er opmærksom på i forhold til sagsbehandlingstider for sikkerhedsgodkendelse, er det korrekt, at i forbindelse med ressortomlægningen har mit ministerium overtaget ansvaret for sikkerhedscirkulæret, som definerer og regulerer håndteringen af bl.a. klassificerede informationer.

Selve sagsbehandlingen af sikkerhedsundersøgelser efter sikkerhedscirkulæret ligger fortsat hos Politiets Efterretningstjeneste under Justitsministeriet, og jeg er bekendt med, at der over de senere år er sket en markant stigning i antallet af anmodninger om sikkerhedsundersøgelser, og at der også er ventetider. Men jeg ved også, at der er et stort fokus i Politiets Efterretningstjeneste på at nedbringe sagsbehandlingstiden.

Afslutningsvis vil jeg bare takke for modtagelsen af lovforslaget, og jeg står selvfølgelig til rådighed for at besvare alle de spørgsmål, som ordførerne måtte have, så vi kan sikre os, at vi får en grundig udvalgsbehandling. Tak for ordet.

Tak til ministeren. Der er et spørgsmål fra hr. Søren Søndergaard fra Enhedslisten. Værsgo.

Tak. Lad mig prøve at konkretisere men spørgsmålet lidt mere. Mener ministeren, at den her lov kan sættes i kraft, hvis der på det tidspunkt, hvor den sættes i kraft, er en ventetid på 18 måneder for at få en sikkerhedsgodkendelse?

Ministeren.

Udgangspunktet er, og det vil jeg gerne svare på skriftligt, at de krav, der bl.a. er til sikkerhedsgodkendelser, jo i høj grad er noget, vi i forvejen har indført i dansk ret. Men jeg vil gerne svare på det så præcist som muligt, så det gør jeg meget gerne skriftligt. Jeg tror, vi alle er optaget af, at vi sørger for, at ventetider generelt er så lave som muligt, og jeg ved, at det er noget, der er fokus på.

Ordføreren.

Ja, og det håber jeg også der vil være fra et flertal i Folketinget, for hvis sikkerhedsgodkendelserne ikke er trådt i kraft, og det vil sige, at folk ikke kan arbejde med de ting, som de skal, i 18 måneder, kan jeg ikke helt gennemskue, hvad konsekvenserne er. Men jeg kan godt gennemskue, at de ikke er hensigtsmæssige. Så jeg glæder mig til at se ministerens svar, og det er helt sikkert noget, vi vil komme tilbage til i udvalgsbehandlingen.

Ministeren.

Det glæder jeg mig til at vi kan arbejde videre med, for det er klart, at det er vanskeligt at stille nogle krav til nogen, hvis det så på grund af lange sagsbehandlingstider kan være meget vanskeligt at opfylde dem. Så lad os derfor bruge noget tid på det under udvalgsarbejdet.

Tak. Den næste spørger er hr. Alex Ahrendtsen fra Dansk Folkeparti. Værsgo.

Tak. Det er egentlig bare for at følge op på hr. Søren Søndergaards spørgsmål – jeg var jo også inde på det i min ordførertale. Man kan godt svare ordentligt på, om man synes, at 12-18 måneder er for lang tid, minister.

Ministeren.

Jamen jeg er generelt et utålmodigt menneske, så enhver form for ventetid synes jeg er frustrerende. Og med hensyn til de steder, hvor man må sige, at det måske er en kende for optimistisk at tro, at der ikke er nogen ventetid, har jeg helt grundlæggende den ambition, at vi nedbringer ventetiderne mest muligt, så vi sørger for, hvad enten det er ventetid for at komme til behandling i sundhedsvæsenet eller på et sygehus, eller det er afklaring af ting, man ansøger om en sikkerhedsgodkendelse til, har jeg den politiske holdning, at de skal være så korte som overhovedet muligt.

Ordføreren.

Det er glædeligt. Hvad vil ministeren så konkret gøre, for at vi får den her ventetid nedbragt? For 12-18 måneder virker meget voldsomt. Vil ministeren tale med sit embedsmandsapparat, vil han gå ind og ændre på loven, eller vil han afvente udvalgsbehandlingen? Hvordan vil han gribe det an?

Ministeren.

Jeg vil gerne være med til at se på det. Jeg skal bare understrege, at det formelt set er på justitsministerens område, at det her ligger. Men jeg ved, at der er et fokus på sagsbehandlingstiderne.

Den næste spørger er hr. Carsten Bach fra Liberal Alliance. Værsgo.

Tak. Det er helt i forlængelse af hr. Alex Ahrendtsens spørgsmål, som ministeren jo i virkeligheden også svarer på, nemlig at det her sorterer under justitsministeren, altså et andet ressort end det, som ministeren for samfundssikkerhed og beredskab jo selv står i spidsen for. Og så er vi jo ved at være sådan i nærheden af hovedet på sømmet, om jeg så må sige, i forhold til det her med koordinering, som jo er det, ministeren selv står i spidsen for. Derfor vil jeg godt have det konkretiseret lidt yderligere, end det blev gjort i svaret til hr. Alex Ahrendtsen: Hvad er det egentlig, ministeren for samfundssikkerhed og beredskab vil gøre nu? Vil ministeren for samfundssikkerhed og beredskab gå til sin ministerkollega i Justitsministeriet og tage en drøftelse af, hvordan vi kan løsne op for de procedurer og processer, der er jo så åbenbart forsinker og er en flaskehals i Justitsministeriet?

Ministeren.

Som sagt ved jeg, der er et stort fokus hos Politiets Efterretningstjeneste på at nedbringe sagsbehandlingstiden, og jeg vil selvfølgelig gerne i udvalgsarbejdet understøtte at få det uddybet yderligere, så oplysningerne er så fyldestgørende som muligt.

Ordføreren.

Igen i forlængelse af det: Vil ministeren for samfundssikkerhed og beredskab så være indstillet på at stille ressourcer fra sit ministerium til rådighed for Justitsministeriet, hvis det på nogen måde kan afhjælpe den flaskehals, som der så tilsyneladende er i Justitsministeriet, og som ministeren for samfundssikkerhed og beredskab jo så desværre ikke har nogen råderet over og derfor reelt set ikke kan gøre noget ved i forhold til en problemløsning for telesektoren den her sammenhæng?

Ministeren.

Jeg tror, det vil være lidt modigt at stå og diskutere personaleflytninger her fra Folketingets talerstol. Jeg har kun den politiske ambition, at vi sørger for, at vores myndigheder besvarer, behandler og håndterer ansøgninger og borgere og andet så hurtigt som overhovedet muligt. Og jeg ved, at Politiets Efterretningstjeneste har et stort fokus på at nedbringe sagsbehandlingstiderne. Der er jo ikke nogen, der har som særskilt politisk mål, at det skal tage længere tid end højst nødvendigt. Og det vil jeg gerne være med til at vi kan komme mere i detaljer med under udvalgsarbejdet.

Tak til ministeren for samfundssikkerhed og beredskab, og tak for samarbejdet i forhold til it'en, der ikke virkede.

Da der ikke er flere, der har bedt om ordet, er forhandlingen sluttet.

Jeg foreslår, at lovforslaget henvises til henvises til Forsvars-, Samfundssikkerheds- og Beredskabsudvalget. Hvis ingen gør indsigelse, betragter jeg dette som vedtaget.

Det er vedtaget.