Forsvarsudvalget 2013-14
FOU Alm.del Bilag 153
Offentligt
1401840_0001.png
TALEPUNKT TIL FORSVARSMINISTEREN VED INDHENTNING AF
FORHANDLINGSMANDAT I FOLKETINGETS EUROPAUDVALG FOR NET- OG
INFORMATIONSSIKKERHEDSDIREKTIVET FREDAG DEN 19. SEPTEMBER 2014
[Net- og Informationssikkerhedsdirektivet]
Jeg
har
Kommissionens
forslag
til
et
net-
informationssikkerhedsdirektiv som punkt på dagsordnen.
og
Erhvervs- og vækstministeren har tidligere ad flere omgange og
senest i maj 2014 nævnt sagen for udvalget til orientering. Jeg
nævner nu sagen med henblik på et tidligt forhandlingsmandat,
da Rådet forventes at opnå politisk enighed inden
næstkommende rådsmøde.
[Formål]
Formålet med Kommissionens forslag er at styrke net- og
informationssikkerheden i Europa ved at gøre medlemslandene
og en række markedsoperatører mere modstandsdygtige over for
blandt andet it-nedbrud og cyberangreb.
De centrale elementer i forslaget er:
-
At medlemslandene skal udpege en national kompetent
myndighed med ansvar for net- og informationssikkerheden
samt etablere en såkaldt CERT – dvs. en it-beredskabsenhed –
der kan håndtere trusler og sikkerhedshændelser.
-
At medlemslandene skal vedtage en national strategi for net- og
informationssikkerhed.
1
 PDF to HTML - Convert PDF files to HTML files
TALEPUNKT TIL FORSVARSMINISTEREN VED INDHENTNING AF
FORHANDLINGSMANDAT I FOLKETINGETS EUROPAUDVALG FOR NET- OG
INFORMATIONSSIKKERHEDSDIREKTIVET FREDAG DEN 19. SEPTEMBER 2014
-
At medlemslandene skal samarbejde og udveksle information
med hinanden om blandt andet aktuelle trusler og
sikkerhedshændelser samt koordinere håndteringen af
hændelser.
-
At offentlige myndigheder og en række såkaldte
markedsoperatører skal leve op til nogle nærmere fastlagte
sikkerhedskrav samt rapportere til den kompetente myndighed,
når der sker en sikkerhedshændelse såsom fx et større
cyberangreb.
Markedsoperatører dækker i Kommissionens forslag over 1)
informationssamfundstjenester
såsom
e-handelsplatforme,
sociale netværk og søgemaskiner, samt 2) operatører af særligt
samfundsvigtige infrastrukturer i energi-, transport-, bank-,
finans- og sundhedssektorerne.
Fra regeringens side bakker vi overordnet set op om
Kommissionens forslag, som vi mener, er et godt skridt på vejen
til at sikre et højt niveau af net- og informationssikkerhed.
[Kompetent myndighed / CERT]
Regeringen støtter, at medlemslandene skal udpege en national
kompetent myndighed og en CERT med ansvar for net- og
informationssikkerheden, men arbejder for, at medlemslandene
så vidt muligt selv kan tilrettelægge deres nationale
myndighedsstruktur.
2
 PDF to HTML - Convert PDF files to HTML files
TALEPUNKT TIL FORSVARSMINISTEREN VED INDHENTNING AF
FORHANDLINGSMANDAT I FOLKETINGETS EUROPAUDVALG FOR NET- OG
INFORMATIONSSIKKERHEDSDIREKTIVET FREDAG DEN 19. SEPTEMBER 2014
Det enkelte medlemsland skal selv kunne afgøre, hvilken type
myndighed, der er bedst egnet til at løse opgaven som national
kompetent myndighed og CERT. For eksempel om der er behov
for at dele opgaven ud på flere myndigheder.
[Net- og Informationssikkerhedsstrategi]
Regeringen mener, at det er vigtigt, at hvert medlemsland er i
stand
til
at
forebygge
og
håndtere
it-trusler
og
sikkerhedshændelser.
Vi støtter derfor, at medlemslandene forpligtes til at udarbejde en
national strategi for net- og informationssikkerhed, som angiver
strategiske mål og konkrete politiske og lovgivningsmæssige
foranstaltninger, der skal sikre et højt niveau for net- og
informationssikkerhed.
[Samarbejdsnetværket]
Indtil nu har samarbejdet om net- og informationssikkerhed
mellem medlemslandene været frivilligt og meget uformelt. Det
ønsker Kommissionen at gøre op med i forslaget.
I Kommissionens forslag er der derfor lagt op til, at
medlemslandene forpligtes til at samarbejde om net- og
informationssikkerheden ved bl.a. at rundsende varslinger om
trusler og hændelser og planlægge koordinerede reaktioner på
hændelser af en vis størrelse.
3
 PDF to HTML - Convert PDF files to HTML files
TALEPUNKT TIL FORSVARSMINISTEREN VED INDHENTNING AF
FORHANDLINGSMANDAT I FOLKETINGETS EUROPAUDVALG FOR NET- OG
INFORMATIONSSIKKERHEDSDIREKTIVET FREDAG DEN 19. SEPTEMBER 2014
Regeringen støtter, at kompetente myndigheder i forskellige EU-
lande
arbejder
sammen
for
at
hæve
net-
og
informationssikkerheden i Europa. Vi støtter således et
samarbejdsnetværk, der er operationelt i relevant omfang, men
hvor udveksling af følsomme eller fortrolige oplysninger kun sker
på frivillig basis.
Regeringen arbejder desuden for, at enhver deling af oplysninger
skal ske på en sikker måde, og at deling af personoplysninger
skal ske efter de gældende regler om persondatabeskyttelse.
[Sikkerheds- og rapporteringskrav]
Kommissionens forslag lægger op til, at offentlige myndigheder
og markedsoperatørerne skal sikre, at deres net og
informationssystemer kan modstå uheld og bevidste handlinger.
Den kompetente myndighed kan for eksempel stille krav om, at
den offentlige myndighed eller markedsoperatøren gennemgår
en
sikkerhedsrevision
og
laver
en
dokumenteret
sikkerhedspolitik.
Derudover skal offentlige myndigheder og markedsoperatører
rapportere alle sikkerhedshændelser, der har en betydelig
indvirkning på net- og informationssikkerheden, til den nationale
kompetente myndighed. Regeringen arbejder i den forbindelse
for, at markedsoperatørerne og offentlige myndigheder ikke
bliver ramt af uproportionale administrative byrder.
4
 PDF to HTML - Convert PDF files to HTML files
TALEPUNKT TIL FORSVARSMINISTEREN VED INDHENTNING AF
FORHANDLINGSMANDAT I FOLKETINGETS EUROPAUDVALG FOR NET- OG
INFORMATIONSSIKKERHEDSDIREKTIVET FREDAG DEN 19. SEPTEMBER 2014
Regeringen arbejder for, at sikkerhedskravene skal svare til de
nuværende EU-krav til teleudbyderne, så vi sikrer ens vilkår på
tværs af sektorer. Det betyder for eksempel, at rapporteringen af
’alvorlige sikkerhedshændelser’ bør være obligatorisk.
Regeringen arbejder også for, at sikkerhedskravene skal baseres
på nationale og internationale standarder.
Endelig arbejder regeringen for en klarere afgrænsning af, hvilke
markedsoperatører der skal være omfattet af sikkerheds- og
rapporteringskravene, og for at offentlige myndigheder så vidt
muligt skal blive ved med at være omfattet af forslaget. Det vil
sikre et fælles minimumsniveau af net- og informationssikkerhed
i de nationale administrationer.
[Delegerede retsakter og gennemførelsesretsakter]
Kommissionens forslag indeholder en række delegerede
retsakter, der giver Kommissionen vide beføjelser til at udstede
regler på området.
Regeringen arbejder dog for, at de delegerede retsakter udgår,
og de nævnte elementer i stedet reguleres direkte i direktivet, da
der efter vores mening er tale om væsentlige elementer.
I forhold til gennemførelsesretsakter i Kommissionens forslag
arbejder regeringen for, at de kun anvendes dér, hvor der skal
sikres ensartet implementering.
5
 PDF to HTML - Convert PDF files to HTML files
TALEPUNKT TIL FORSVARSMINISTEREN VED INDHENTNING AF
FORHANDLINGSMANDAT I FOLKETINGETS EUROPAUDVALG FOR NET- OG
INFORMATIONSSIKKERHEDSDIREKTIVET FREDAG DEN 19. SEPTEMBER 2014
Regeringen
arbejder
desuden
for,
at
det
er
undersøgelsesproceduren og ikke rådgivningsproceduren, der
skal anvendes i forbindelse med gennemførelsesretsakterne, da
der er tale om spørgsmål vedrørende national sikkerhed.
[Formandskabets seneste kompromistekst]
Formandskabet har i september måned, og siden samlenotatet
blev
oversendt
til
udvalget,
udarbejdet
forskellige
kompromistekster. Jeg vil derfor her til slut for god ordens skyld
kort opsummere de væsentligste ændringer.
I relation til samarbejdsnetværket bliver der nu lagt op til, at
rundsendelse af varslinger kun sker på baggrund af
hændelsesrapporteringer fra markedsoperatørerne, samt hvis
hændelsen har et grænseoverskridende element. Derudover vil
deltagelsen i en koordineret håndtering af hændelser alene være
frivillig for medlemslandene.
I
relation
til
sikkerheds-
og
rapporteringskravenes
anvendelsesområde bliver der nu lagt op til, at offentlige
myndigheder
undtages,
men
at
definitionen
af
markedsoperatører samtidig ændres, så den dækker både
private og offentlige udbydere af samfundsvigtige funktioner.
Undtagelsen for mikrovirksomheder er desuden slettet, men som
et kompromis er definitionen af markedsoperatører ændret, så
6
 PDF to HTML - Convert PDF files to HTML files
TALEPUNKT TIL FORSVARSMINISTEREN VED INDHENTNING AF
FORHANDLINGSMANDAT I FOLKETINGETS EUROPAUDVALG FOR NET- OG
INFORMATIONSSIKKERHEDSDIREKTIVET FREDAG DEN 19. SEPTEMBER 2014
man opnår en tilsvarende
markedsoperatører.
kvalificering
af
de
omfattede
[Afslutning]
Jeg skal på den baggrund indstille til, at udvalget giver
regeringen mandat til at fortsætte forhandlingerne i den nævnte
retning.
7