Erhvervs-, Vækst- og Eksportudvalget 2012-13
ERU Alm.del Bilag 182
Offentligt
1223921_0001.png
1223921_0002.png
1223921_0003.png
1223921_0004.png
1223921_0005.png
1223921_0006.png
1223921_0007.png
1223921_0008.png
GRUND- OG NÆRHEDSNOTAT TILFOLKETINGETS EUROPAUDVALG

Net- og informationssikkerhedsdirektivet (NIS)

1.

Resumé

Forslaget har til formål at sikre et højt niveau for net- og informationssikker-hed i EU ved gennemførelsen af krav til medlemsstaterne. Dette omfatter bl.a.etablering af et nyt samarbejdsnetværk i EU, etablering af en national kom-petent myndighed i medlemsstaterne samt krav til offentlige myndigheder ogen bred række af private aktører vedrørende sikkerhedsforanstaltninger oganmeldelsespligt ved sikkerhedshændelser.Forslaget skønnes at have lovgivningsmæssige konsekvenser, statsfinansiellekonsekvenser samt administrative konsekvenser for erhvervslivet. Det er for-ventningen, at forslaget vil have positive samfundsøkonomiske gevinster, dadet skal bidrage til at der sker færre nedbrud og øget modstandsdygtighed tilfordel for den generelle funktion af samfundet.

2.

Baggrund

Kommissionen har ved KOM (2013) 48 af 7. februar 2013 fremsendt forslagtil et direktiv om foranstaltninger, der skal sikre et højt fælles niveau for net-og informationssikkerhed i hele EU. Forslaget er fremsat med hjemmel iTEUF artikel 114 og skal behandles efter den almindelige lovgivningsproce-dure i TEUF artikel 294. Rådet træffer afgørelse med kvalificeret flertal.Kommissionen offentliggjorde i 2001 sin første meddelelse om net- og infor-mationssikkerhed (NIS), som sidenhen blev fulgt op af en række andre initiati-ver på EU-plan, herunder oprettelsen af Det Europæiske Agentur for Net- ogInformationssikkerhed (ENISA) i 2004. Det seneste tiltag er en fælles medde-lelse fra Kommissionen og Unionens Højtstående Repræsentant for udenrigs-anliggender og sikkerhedspolitik om en europæisk strategi for cybersikkerhed,ligeledes fremlagt den 7. februar 2013.Strategiens mål er at garantere et sikkert og pålideligt digitalt miljø samtidigmed, at de grundlæggende rettigheder og værdier i EU fremmes og beskyttes.Det foreslåede direktiv er et væsentligt initiativ under strategien.Der forelægges Folketingets Europaudvalg et særskilt grund- og nærhedsno-tat om den europæiske strategi for cybersikkerhed.
2/8

3.

Formål og indhold

Formålet med direktivforslaget er at sikre et højt fælles niveau for net- og in-formationssikkerhed i forhold til internettet samt private netværk og informati-onssystemer. Dette er en del af den infrastruktur for informations- og kommu-nikationsteknologi (IKT), som medlemsstaterne i dag er afhængig af både pånationalt plan og på tværs af landegrænser. IKT-infrastrukturen er i dag –bortset fra på teleområdet – præget af medlemsstaternes frivillige tilgang tilnet- og informationssikkerhed, hvilket i henhold til forslaget ikke yder til-strækkelig beskyttelse mod hændelser og risici i EU. Krav til sikkerhed og in-tegritet på teleområdet er i dag reguleret i medlemsstaterne på baggrund af ar-tikel 13a og 13b i rammedirektivet om elektronisk kommunikation. Udbydere,der er omfattet af dette direktiv, er derfor undtaget i det foreliggende forslag tilNIS-direktiv.En hændelse er i forslaget defineret som ”enhver omstændighed eller begiven-hed, der har en faktisk negativ indvirkning på sikkerheden” og kan opstå somfølge af menneskelige fejl, naturbegivenheder, tekniske fejl eller ondsindedeangreb. Disse hændelser bliver stadig mere omfattende, de sker hyppigere, ogde er mere komplekse.For at øge niveauet for net- og informationssikkerhed indeholder det foreslåe-de direktiv følgende centrale emner:Minimumskapacitet (direktivets kapitel II)Alle medlemsstater pålægges at sikre, at de hver har et minimum af kapaciteterved at udpege én national kompetent myndighed for sikkerheden af net og in-formationssystemer, oprette en it-beredskabsenhed (CERT) og vedtage en na-tional NIS-strategi og NIS-samarbejdsplan.En national NIS-strategi skal angive strategiske mål og konkrete politiske oglovgivningsmæssige foranstaltninger med henblik på at nå og opretholde ethøjt niveau for net- og informationssikkerhed. Strategien skal omfatte den na-tionale NIS-samarbejdsplan, der som minimum skal indeholde:En plan til brug ved identifikation af risici og vurdering af potentiellebegivenheders (truslers) konsekvenser.Definition af roller og ansvarsområder for de forskellige aktører, der erinvolveret i planens gennemførelse.Definition af samarbejds- og kommunikationsprocesser, som sikrer fo-rebyggelse, detektion, reaktion, reparation og genopretning, og er mo-duleret i forhold til alarmniveauet.En køreplan for NIS-øvelser og praktisk uddannelse for at styrke, vali-dere og teste planen.Samarbejdsnetværk (direktivets kapitel III)De nationale kompetente myndigheder og Kommissionen skal samarbejde i etnetværk, der muliggør sikker og effektiv samordning, herunder også koordine-ret informationsudveksling via en sikret informationsudvekslingsinfrastruktursamt detektering og indsats på EU-plan. Inden for dette netværk udveksler
3/8
medlemsstaterne information og samarbejder for at imødegå trusler og hæn-delser.Krav til offentlige myndigheder og markedsaktører (direktivets kapitel IV)Forslaget sigter – med rammedirektivet om elektronisk kommunikation somforlæg – mod at sørge for, at der udvikles en risikostyringskultur og at der ud-veksles information om trusler og hændelser mellem den private og offentligesektor.Private aktører inden for særligt kritiske områder (se eksempler nedenfor) ogoffentlige myndigheder forpligtes til:at gennemføre risikostyring, dvs. foretage en vurdering af de risici, destår overfor, og til at vedtage passende og forholdsmæssige foranstalt-ninger til at sikre net- og informationssikkerheden på deres område,samtat underrette den nationale kompetente myndighed om enhver hændel-se, som i alvorlig grad truer deres net- og informationssystemer, ogsom har væsentlig indvirkning på kritiske tjenesters kontinuitet og le-vering af varer.Særligt kritiske områder er eksempelvis bankvæsen, børser og energiprodukti-on, -transmission og -distribution samt transport (luftfart, jernbaner, søtrans-port), sundhed og internettjenester (f.eks. e-handelsplatforme, internetbeta-lingsportaler, sociale netværk, søgemaskiner, cloud computing-tjenester ogapplikationsforhandlere) og offentlige myndigheder. Private aktører på disseområder benævnes i direktivforslaget som markedsaktører.Kravene gælder ikke for såkaldte mikrovirksomheder. Det vil sige virksom-heder, der beskæftiger under 10 personer, og som har en årlig omsætning el-ler samlet årlig balance, der ikke overstiger 15 mio. kr.

4.

Europa-Parlamentets udtalelser

Der foreligger endnu ikke en udtalelse fra Europa-Parlamentet.

5.

Nærhedsprincippet

Det er Kommissionens opfattelse, at forslaget er i overensstemmelse med nær-hedsprincippet. Kommissionen fremhæver, at målet med forslaget ikke i til-strækkelig grad kan opfyldes af medlemsstaterne alene og derfor bedre nås påEU-plan under henvisning til net- og informationssikkerheds grænseoverskri-dende karakter. En passende grad af samordning mellem medlemsstaterne vilkunne sikre, at risici og hændelser takles effektivt i den tværnationale sam-menhæng, hvori de opstår. En tilgang baseret på frivillighed har hidtil kun førttil samarbejde mellem et mindretal af medlemsstater med højt kapacitetsni-veau. Yderligere vurderer Kommissionen, at forskellene mellem de relevantelovgivninger og politikker udgør en hindring for virksomheder, der ønsker atdrive forretning i flere lande, og for opnåelse af globale stordriftsfordele.
4/8
På det foreliggende grundlag er det regeringens vurdering, at nærhedsprincip-pet er overholdt.

6.

Gældende dansk ret

Ansvaret for net- og informationssikkerheden i Danmark varetages af de re-spektive sektorer i henhold til sektoransvarsprincippet. Det reguleres på nuvæ-rende tidspunkt kun i relation til telesektoren ved § 8 a og §§ 62-64 i lov nr.169 af 3. marts 2011 om elektroniske kommunikationsnet og -tjenester (somændret ved lov nr. 1231 af 18. december 2012) og udmøntet i bekendtgørelsenr. 396 af 21. april 2011 om rammerne for informationssikkerhed og bered-skab samt bekendtgørelse nr. 445 af 11. maj 2011 om informationssikkerhedog beredskab for elektroniske kommunikationsnet og –tjenester (informations-sikkerhedsbekendtgørelsen).Danmark har siden 2011 haft en statslig varslingstjeneste for internettrusler,GovCERT, hvis virksomhed hviler på lov nr. 596 af 14. juni 2011 om behand-ling af personoplysninger ved driften af den statslige varslingstjeneste for in-ternettrusler m.v. samt bekendtgørelse nr. 1304 af 17. december 2012 om vil-kår for tilslutning til den statslige varslingstjeneste for internettrusler. Gov-CERT er en del af Center for Cybersikkerhed ved Forsvarets Efterretningstje-neste. Den nævnte lovgivning administreres af Center for Cybersikkerhed.

7.

Lovgivningsmæssige eller statsfinansielle konsekvenser

Lovgivningsmæssige konsekvenserEn vedtagelse af forslaget vil have lovgivningsmæssige konsekvenser, da derindføres nye krav til alle offentlige myndigheder og i vid udstrækning privateaktører.Statsfinansielle konsekvenserDet vurderes endvidere, at forslaget kan have statsfinansielle konsekvenser, iform af omkostninger til foranstaltninger relateret til risikostyring, etableringaf sikringssystemer og anmeldelse af eventuelle hændelser. Jævnfør den gæl-dende budgetvejledning afholdes omkostninger indenfor de relevante ressort-ministeriers eksisterende rammer.Kommissionen estimerer, at forslaget kun vil have virkning for EU’s budget,hvis medlemsstaterne vælger at tilpasse en bestående infrastruktur til informa-tionsudveksling og ønsker, at Kommissionen skal gennemføre en sådan tilpas-ning inden for den flerårige finansielle ramme for 2014-2020. Engangsudgif-ten anslås af Kommissionen til ca. 9,3 mio. kr.. Danmark finansierer i dag ca.2 pct. af EU's budget. Fastholdes denne finansieringsandel også fremover sva-rer det til en dansk udgift på ca. 0,2 mio. kr.. Alternativt peger Kommissionenpå, at medlemsstaterne kan dele engangsudgiften til tilpasning af en beståendeinfrastruktur eller beslutte at oprette en ny infrastruktur og afholde omkostnin-gerne hertil, som skønnes at være ca. 75 mio. kr. pr. år.
5/8

8.

Samfundsøkonomiske konsekvenser

Det er forventningen, at en højere net- og informationssikkerhed vil føre tilfærre nedbrud og øget modstandsdygtighed i forhold til internetbaseret krimi-nalitet. Dette kan være med til at forbedre det indre markeds funktion samt bi-drage til udviklingen af et digitalt indre marked og forslaget vurderes på dennebaggrund at kunne have positive samfundsøkonomiske konsekvenser.

9.

Administrative konsekvenser for erhvervslivet

Forslaget vurderes at medføre administrative konsekvenser for markedsaktø-rerne, dvs. de omfattede virksomheder udpeget som markedsaktører. De admi-nistrative konsekvenser vurderes til dels at bestå af omstillingsbyrder, dels atbestå af løbende byrder. Omstillingsbyrden består i at indføre et øget niveau afinformationssikkerhed, herunder med henblik på at efterleve de sikkerheds-krav, der følger af forslaget. De løbende byrder består i at sikre en opdateret ri-sikovurdering og dermed sikringsforanstaltninger, der bl.a. svarer til den tek-nologiske udvikling, samt anmelde hændelser til den nationale kompetentemyndighed.

10.

Høring

Forslaget har været i høring i Specialudvalget for konkurrenceevne, vækst ogforbrugerspørgsmål med frist for bemærkninger den 21. februar 2013.Overordnet støtter Dansk Metal, Dansk Industri/ITEK, Ingeniørforeningen(IDA), Landbrug og Fødevarer, LO og Rådet for Digital Sikkerhed forslagetsformål om at sikre et højt fælles niveau for net- og informationssikkerheden,men med visse bemærkninger. Finansrådet støtter op om initiativer, der kandæmme op for den stigende kriminalitet på IT-området, men finder det ikkehensigtsmæssigt at bruge regulering som det vigtigste middel. Dansk Aktio-nærforening og FSR–danske revisorer har svaret, at de ingen bemærkningerhar til forslaget.Dansk Metal påpeger, at direktivets formål er afgørende vigtig både i forholdtil enkeltindividers tillid til digitale tjenester og i forhold til at opnå de mål forinformationstjenesters anvendelse, som bl.a. skitseres i Europas DigitaleDagsorden. Endvidere noterer Dansk Metal tilfredshed med, at direktivforsla-get lægger op til, at bestemmelserne i direktiv 2002/21/EF (rammedirektivetom elektronisk kommunikation) udvides til også at gælde for vigtige udbydereaf informationssamfundstjenester som defineret i direktiv 98/34/EF (informa-tionsproceduredirektivet).Dansk Industri/ITEK anbefaler, at der tages initiativer til en grundig offentligdebat om net- og informationsikkerhed fremadrettet, f.eks. ved en konference.DI/ITEK fremhæver området for standarder, og pointerer, at der i det europæi-ske arbejde kan inddrages materiale, som allerede foreligger fra USA, f.eks.
6/8
CIP-standarderne lavet af NERC (North American Electric Reliability Corpo-ration) og NIST (National Institute of Standards and Technology), der har ud-viklet standarder inden for kritisk infrastruktur. DI/ITEK anfører desuden, atgrænsen mellem cyberkriminalitet og cyberkrig er ved at blive udvisket, og atEU bør tage initiativer på internationalt niveau i den forbindelse, ligesom atNATO bør inddrages som en væsentlig spiller på dette område i fremtiden.DI/ITEK foreslår, at strategien og forslaget bør bringes i overensstemmelsemed hinanden i forhold til en oplistning af, hvad der er kritiske sektorer, og atområdet vedrørende vand og varme medtages. Derudover peges der på, at deindbyrdes afhængigheder mellem forskellige kritiske samfundsfunktioner iforbindelse med NIS-strategi og risikovurdering er vigtige og bør adresseres(f.eks. ”uden el ingen teleinfrastruktur og betalingsinfrastruktur”). DI/ITEKerkender, at forslaget kan medføre visse omkostninger for dele af det privateerhvervsliv, men at det er ”penge givet godt ud”, fordi det er et vigtigt sam-fundsproblem, der skal løses. DI/ITEK anbefaler, at sikkerhed gøres til en ak-tiv del af dansk erhvervspolitik. Sluttelig peges der på, at der generelt bør har-moniseres så meget som muligt af hensyn til virksomheder, der har aktiviteterpå alle europæiske markeder.Finansrådet er skeptiske overfor regulering som middel til at harmonisere sik-kerhedsforanstaltninger, idet lovgivning som oftest tager udgangspunkt i en al-lerede eksisterende teknologi, hvilket kan virke hæmmende, da teknologienhele tiden udvikler sig. Finansrådet anfører endvidere, at man må sikre, at sik-kerhedsinitiativer ikke i sig selv udgør en risiko set i lyset af, at bankerne skaludlevere fortrolige oplysninger om sikkerhedshændelser, og at oplysninger hosden offentlige forvaltning er underlagt offentlighedsloven. Finansrådet nævneri relation til forslagets anvendelsesområde om afgrænsningen i forhold til EU-regulering om persondatabeskyttelse, at det er væsentligt at dele informationerom identificerede ulovlige handlinger eller handlinger, hvor der er konkret be-grundet mistanke. Databeskyttelsesretten må ikke kunne benyttes som et skal-keskjul for kriminel aktivitet. Vedrørende definition af ”risiko” bemærkes, aten privat virksomhed skal tage udgangspunkt i sine egne risici, som ikke nød-vendigvis er sammenfaldende med risici i offentligt regi. Slutteligt anfører Fi-nansrådet en række forslag vedrørende sikring af ressourcer til opklaring af it-kriminalitet.Ingeniørforeningen, IDA, bemærker, at et sikkert og pålideligt digitalt miljø erafgørende for den eksisterende brug af internettet samt for borgeres tillid til atbruge digitale tjenester. Dette er vigtigt for det fremtidige velfærdssamfund,som delvist baserer sig på muligheden for, at både Danmarks og Europas bor-gere bliver endnu mere digitale i adfærd end tilfældet er i dag. IDA understre-ger, at der ikke må tillades adgang til at udfordre den enkeltes ret til privatliveller tillades adgang til private oplysninger udenom normal gældende lovgiv-ning. Det fremhæves også, at forslaget kun er attraktivt, hvis det faktisk med-virker til at sikkerhedsniveauet også i Danmark forhøjes eller i det mindste be-vares på det nuværende niveau. Om etablering af samarbejdsnetværket på EU-plan mener IDA, at der kan suppleres med nationale enheder i form af et sam-arbejde mellem myndigheder og private aktører.
7/8
Landbrug og Fødevarer henleder opmærksomheden på, at eventuelle krav ret-tet mod virksomheder i relation til it-sikkerhedsmæssige foranstaltninger skalafvejes og vurderes med hensyn til deres effektivitet i forhold til de byrder ogtekniske begrænsninger, foranstaltningerne medfører.LO anmoder om, at regeringen er opmærksom på eventuelle administrativekonsekvenser for A-kasserne.Rådet for Digital Sikkerhed anbefaler som DI/ITEK, at der tages initiativer tilen grundig offentlig debat om net- og informationssikkerhed, samt at indbyr-des afhængigheder mellem kritiske funktioner kortlægges. Rådet for DigitalSikkerhed finder det i øvrigt både oplagt og nødvendigt med en struktur, deradskiller det civile beredskab fra den nationale myndighed. Rådet for DigitalSikkerhed gør endvidere opmærksom på, at der allerede foregår et stort stan-dardiseringsarbejde inden for it-sikkerhed og peger på amerikanske organersom NERC og NIST.

11.

Generelle forventninger til andre landes holdninger

Der er ikke kendskab til andre landes holdninger.

12.

Regeringens foreløbige generelle holdning

Det er regeringens foreløbige generelle holdning, at der er behov for regler påEU-niveau, der sikrer et ensartet og højt niveau af net- og informationssikker-hed på tværs af medlemsstaterne. Dette skal ikke mindst ses i lyset af internet-tets og private netværks grænseoverskridende karakter og betydning for detindre marked. Således er det væsentligt at sikre lige vilkår for markedsoperatø-rer, som underlægges forpligtelserne. En samordning mellem medlemsstaternevil kunne sikre, at risici og hændelser håndteres effektivt i den tværnationalesammenhæng på en effektiv og tilfredsstillende måde.Samtidig er det regeringens foreløbige generelle holdning, at det er vigtigt,at direktivet fastlægger et minimum, for så vidt angår de væsentligste sikker-hedsaspekter. Det bemærkes dog, at det også er regeringens foreløbige gene-relle holdning, at der skal arbejdes henimod en hensigtsmæssig grænsedrag-ning til spørgsmål af national sikkerhedsmæssig karakter. Der skal endviderearbejdes for en nærmere tilrettelæggelse og udførelse af opgaverne, herun-der eksempelvis fleksibilitet for så vidt angår vilkår, formater og procedurerfor anmeldelse af sikkerhedshændelser og i angivelsen af opgaver som enCERT bør varetage.Det er regeringens foreløbige generelle holdning, at der i højere grad skal sik-res et øget samarbejde og øget informationsudvikling vedrørende standarder,og det er i den forbindelse oplagt at skele til allerede eksisterende standarderpå området.
8/8
Endelig er det regeringens foreløbige generelle holdning, at forslaget bør med-føre så få ekstra omkostninger som muligt for medlemsstaterne, samt at dersikres proportionalitet imellem omkostningsniveau og merværdi.

13.

Tidligere forelæggelse for Folketingets Europaudvalg

Sagen har ikke tidligere været forelagt for Folketingets Europaudvalg.