Forsvarsudvalget 2013-14
FOU Alm.del Bilag 61
Offentligt
1330504_0001.png
1330504_0002.png
1330504_0003.png
1330504_0004.png
1330504_0005.png
1330504_0006.png
1330504_0007.png
1330504_0008.png
1330504_0009.png
1330504_0010.png
1330504_0011.png
1330504_0012.png
1330504_0013.png
1330504_0014.png
1330504_0015.png
1330504_0016.png
1330504_0017.png
1330504_0018.png
1330504_0019.png
1330504_0020.png
1330504_0021.png
1330504_0022.png
1330504_0023.png
1330504_0024.png
1330504_0025.png
1330504_0026.png
1330504_0027.png
1330504_0028.png
1330504_0029.png
1330504_0030.png
1330504_0031.png
1330504_0032.png
1330504_0033.png
1330504_0034.png
1330504_0035.png
1330504_0036.png
1330504_0037.png
1330504_0038.png
1330504_0039.png
1330504_0040.png
1330504_0041.png
1330504_0042.png
1330504_0043.png
1330504_0044.png
1330504_0045.png
1330504_0046.png
1330504_0047.png
1330504_0048.png
1330504_0049.png
1330504_0050.png
1330504_0051.png
Forsvarsministeriet
Februar 2014
UDKAST
Forslagtil
Lov om Center for CybersikkerhedKapitel 1Opgaver og organisation§ 1.Center for Cybersikkerhed har til opgave at understøtte et højt informationssikkerhedsniveau iden informations- og kommunikationsteknologiske infrastruktur, som samfundsvigtige funktionerer afhængige af.Stk. 2.Center for Cybersikkerhed er en del af Forsvarets Efterretningstjeneste.Kapitel 2Definitioner§ 2.I denne lov forstås ved:1)Sikkerhedshændelse:En hændelse, der negativt påvirker eller vurderes at ville kunne påvirketilgængelighed, integritet eller fortrolighed af data, informationssystemer, digitale netværk ellerdigitale tjenester.2)Pakkedata:Indholdet af kommunikation, der transmitteres gennem digitale netværk eller tjene-ster.3)Trafikdata:Data, som behandles med henblik på at transmittere pakkedata.4)Personoplysninger:Enhver form for information om en identificeret eller identificerbar fysiskperson.5)Behandling:Enhver operation eller række af operationer med eller uden brug af elektronisk da-tabehandling, som oplysninger gøres til genstand for.Kapitel 3Center for Cybersikkerheds netsikkerhedstjeneste§ 3.Center for Cybersikkerheds netsikkerhedstjeneste har til opgave at opdage, analysere og bidra-ge til at imødegå sikkerhedshændelser hos myndigheder på Forsvarsministeriets område samt hosøvrige tilsluttede myndigheder og virksomheder, jf. stk. 2 og 3.Stk. 2.De øverste statsorganer samt statslige myndigheder kan efter anmodning blive tilsluttetnetsikkerhedstjenesten.
1/51
Stk. 3.Regioner og kommuner samt virksomheder, der er beskæftiget med samfundsvigtigefunktioner, kan efter anmodning blive tilsluttet netsikkerhedstjenesten, såfremt Center for Cyber-sikkerhed konkret vurderer, at tilslutningen vil kunne bidrage til at understøtte et højt informations-sikkerhedsniveau i samfundet.Stk. 4.Center for Cybersikkerhed kan fastsætte nærmere regler om vilkårene for tilslutning efterstk. 3, herunder regler om betaling for tilslutning.Kapitel 4Indgreb i meddelelseshemmeligheden§ 4.Center for Cybersikkerheds netsikkerhedstjeneste kan uden retskendelse behandle pakke- ogtrafikdata hidrørende fra netværk hos tilsluttede myndigheder og virksomheder, jf. § 3, stk. 2 og 3,med henblik på at understøtte et højt informationssikkerhedsniveau i samfundet.§ 5.Center for Cybersikkerheds netsikkerhedstjeneste kan uden retskendelse behandle pakke- ogtrafikdata hidrørende fra netværk hos myndigheder på Forsvarsministeriets område, jf. § 3, stk. 1,med henblik på at understøtte et højt informationssikkerhedsniveau på området.§ 6.Ved begrundet mistanke om en sikkerhedshændelse kan en myndighed eller virksomhed, somikke er tilsluttet Center for Cybersikkerheds netsikkerhedstjeneste efter § 3, midlertidigt tilsluttesnetsikkerhedstjenesten, som herefter uden retskendelse kan behandle pakke- og trafikdata hidrøren-de fra netværk hos myndigheden eller virksomheden, når1) myndigheden eller virksomheden har givet skriftligt samtykke til behandlingen,2) behandlingen vurderes at kunne bidrage væsentligt til Center for Cybersikkerheds mulighederfor at sikre informations- og kommunikationsteknologisk infrastruktur, som samfundsvigtigefunktioner er afhængige af, og3) den midlertidige tilslutning har en varighed på højst to måneder.§ 7.Ved begrundet mistanke om en sikkerhedshændelse kan Center for Cybersikkerheds netsikker-hedstjeneste uden retskendelse behandle data, som er indeholdt i eller hidrører fra et informations-system, der anvendes af en myndighed eller virksomhed, når1) myndigheden eller virksomheden har stillet informationssystemet eller dataene herfra til rådig-hed for netsikkerhedstjenesten og givet skriftligt samtykke til, at netsikkerhedstjenesten behand-ler dataene, og2) behandlingen vurderes at kunne bidrage væsentligt til Center for Cybersikkerheds mulighederfor at sikre informations- og kommunikationsteknologisk infrastruktur, som samfundsvigtigefunktioner er afhængige af.Kapitel 5Forholdet til anden lovgivning, behandling af personoplysninger m.v.§ 8.Center for Cybersikkerheds virksomhed er undtaget fra lov om offentlighed i forvaltningenbortset fra lovens § 13. Center for Cybersikkerheds virksomhed er endvidere undtaget fra forvalt-ningslovens kapitel 4-6 og fra lov om behandling af personoplysninger, jf. § 2, stk. 11, i lov ombehandling af personoplysninger.
2/51
Stk. 2.Forsvarsministeren kan bestemme, at kapitel 8-10 i lov om behandling af personoplysnin-ger, lov om offentlighed i forvaltningen samt forvaltningslovens kapitel 4-6 helt eller delvis finderanvendelse for Center for Cybersikkerhed vedrørende1) centerets behandling af anmodninger om tilslutning til netsikkerhedstjenesten, jf. § 3, stk. 3,2) centerets virksomhed som myndighed for informationssikkerhed og beredskab på teleområdetog3) centerets personalesager.Stk. 3.Enhver form for behandling af personoplysninger i Center for Cybersikkerhed er omfattetaf kapitel 6. Ved behandling af data, herunder personoplysninger, i medfør af kapitel 4 finder desærlige behandlingsregler i kapitel 7 endvidere anvendelse.Kapitel 6Behandling af personoplysninger i Center for Cybersikkerhed§ 9.Center for Cybersikkerheds indsamling af personoplysninger skal ske til udtrykkeligt angivneog saglige formål, og senere behandling må ikke være uforenelig med disse formål. Senere behand-ling af personoplysninger, der alene sker i historisk, statistisk eller videnskabeligt øjemed, ansesikke for uforenelig med de formål, hvortil oplysningerne er indsamlet.Stk. 2.Personoplysninger, som behandles, skal være relevante og tilstrækkelige og ikke omfattemere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de for-mål, hvortil oplysningerne senere behandles.§ 10.Behandling af personoplysninger må kun finde sted, hvis1) den pågældende person har givet sit udtrykkelige samtykke hertil,2) behandlingen er nødvendig af hensyn til opfyldelsen af en aftale, som den pågældende person erpart i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den pågældende per-sons anmodning forud for indgåelsen af en sådan aftale,3) behandlingen er nødvendig af hensyn til udførelsen af en opgave i samfundets interesse,4) behandlingen er nødvendig til beskyttelse af væsentlige hensyn til statens sikkerhed eller rigetsforsvar,5) behandlingen er nødvendig af hensyn til udførelsen af en opgave, der henhører under offentligmyndighedsudøvelse, som Center for Cybersikkerhed eller en tredjemand, til hvem oplysnin-gerne videregives, har fået pålagt,6) behandlingen er nødvendig for, at Center for Cybersikkerhed eller den tredjemand, til hvemoplysningerne videregives, kan forfølge en berettiget interesse, og hensynet til den pågældendeperson ikke overstiger denne interesse, eller7) behandlingen vedrører personoplysninger, der er omfattet af kapitel 4.§ 11.Der må ikke behandles personoplysninger om racemæssig eller etnisk baggrund, politisk, reli-giøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og personoplysninger omhelbredsmæssige og seksuelle forhold.Stk. 2.Bestemmelsen i stk. 1 finder ikke anvendelse, hvis1) den pågældende person har givet sit udtrykkelige samtykke til en sådan behandling,2) behandlingen vedrører personoplysninger, som er blevet offentliggjort af den pågældende per-son,3) behandlingen er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares,
3/51
4) behandlingen er nødvendig til beskyttelse af væsentlige hensyn til statens sikkerhed eller rigetsforsvar, eller5) behandlingen vedrører personoplysninger, der er omfattet af kapitel 4.§ 12.Der må ikke behandles personoplysninger om strafbare forhold, væsentlige sociale problemerog andre rent private forhold end de i § 11, stk. 1, nævnte, medmindre det er nødvendigt for vareta-gelsen af Center for Cybersikkerheds opgaver.Stk. 2.De i stk. 1 nævnte personoplysninger må ikke videregives. Videregivelse kan dog ske,hvis1) den pågældende person har givet sit udtrykkelige samtykke til videregivelsen,2) videregivelsen sker til varetagelse af private eller offentlige interesser, der klart overstiger hen-synet til de interesser, der begrunder hemmeligholdelse, herunder hensynet til den, oplysningenangår,3) videregivelsen er nødvendig for udførelsen af en myndigheds virksomhed eller påkrævet for enafgørelse, som myndigheden skal træffe,4) videregivelsen er nødvendig for udførelsen af en persons eller virksomheds opgaver for det of-fentlige, eller5) videregivelsen omfatter personoplysninger, der er omfattet af kapitel 4.§ 13.Behandling af personoplysninger skal tilrettelægges således, at der foretages fornøden ajourfø-ring af oplysningerne. Der skal endvidere foretages den fornødne kontrol for at sikre, at der ikkebehandles urigtige eller vildledende personoplysninger. Personoplysninger, der viser sig urigtigeeller vildledende, skal snarest muligt slettes eller berigtiges.§ 14.Indsamlede personoplysninger må ikke opbevares på en måde, der giver mulighed for at iden-tificere den pågældende person i et længere tidsrum end det, der er nødvendigt af hensyn til de for-mål, hvortil oplysningerne behandles.Kapitel 7Analyse, videregivelse og sletning af data§ 15.Analyse af pakkedata, der er omfattet af §§ 4, 6 og 7, må kun finde sted ved begrundet mis-tanke om en sikkerhedshændelse og kun i det omfang, det er nødvendigt for afklaring af forholdvedrørende hændelsen.§ 16.Data, der er omfattet af §§ 4, 6 og 7, kan kun videregives i følgende tilfælde:1) Ved begrundet mistanke om en sikkerhedshændelse kan data videregives til politiet.2) Hvis det er nødvendigt for udførelsen af netsikkerhedstjenestens opgaver, kan trafikdata videre-gives til danske myndigheder, udbydere af offentlige elektroniske kommunikationsnet og-tjenester, andre netsikkerhedstjenester, virksomheder, der er omfattet af §§ 4, 6 og 7, samt tilmyndigheder og virksomheder i øvrigt i forbindelse med Center for Cybersikkerheds udsendelseaf sikkerhedsvarslinger.§ 17.Data, der er omfattet af kapitel 4, slettes, når formålet med behandlingen er opfyldt.Stk. 2.Uanset at formålet med behandlingen ikke er opfyldt, jf. stk. 1, må1) data, der knytter sig til en sikkerhedshændelse, højst opbevares i tre år, og2) data, der ikke knytter sig til en sikkerhedshændelse, højst opbevares i 13 måneder.
4/51
Stk. 3.Fristerne i stk. 2 regnes fra tidspunktet for Center for Cybersikkerheds registrering af depågældende data.Stk. 4.Hvis data er videregivet i medfør af § 16, finder stk. 1 og 2 ikke anvendelse på disse data.Kapitel 8Sikkerhedsforanstaltninger§ 18.Center for Cybersikkerhed træffer passende tekniske og organisatoriske foranstaltninger mod,at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kom-mer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.Kapitel 9Tilsyn med behandling af personoplysninger§ 19.Tilsynet med Efterretningstjenesterne, jf. § 16 i lov om Politiets Efterretningstjeneste (PET),fører efter reglerne i dette kapitel tilsyn med Center for Cybersikkerheds behandling af personop-lysninger.Stk. 2.Tilsynet udøver sine funktioner i fuld uafhængighed.§ 20.Tilsynet påser efter klage eller af egen drift, at Center for Cybersikkerhed overholder reglernei kapitel 4, 6 og 7 vedrørende behandling af personoplysninger.§ 21.Tilsynet kan som led i sin virksomhed efter § 20 afgive udtalelse over for Center for Cyber-sikkerhed.Stk. 2.Tilsynet underretter forsvarsministeren om forhold, som ministeren efter tilsynets opfat-telse bør have kendskab til.Stk. 3.Hvis Center for Cybersikkerhed undtagelsesvis beslutter ikke at følge en henstilling i enudtalelse fra tilsynet, jf. stk. 1, skal centeret underrette tilsynet herom og uden unødigt ophold fore-lægge sagen for forsvarsministeren til afgørelse.§ 22.Tilsynet kan hos Center for Cybersikkerhed kræve enhver oplysning og alt materiale, der er afbetydning for dets virksomhed.Stk. 2.Tilsynets medlemmer og sekretariat har til enhver tid mod behørig legitimation uden rets-kendelse adgang til alle lokaler, hvorfra en behandling, som foretages for Center for Cybersikker-hed, administreres, hvorfra der er adgang til de oplysninger, som behandles, eller hvor tekniskehjælpemidler opbevares eller anvendes.Stk. 3.Tilsynet kan afkræve Center for Cybersikkerhed skriftlige udtalelser om faktiske og retli-ge forhold.Stk. 4.Tilsynet kan anmode om, at en repræsentant for Center for Cybersikkerhed er til stedemed henblik på at redegøre for de behandlede sager.§ 23.Tilsynets virksomhed er undtaget fra lov om offentlighed i forvaltningen bortset fra lovens§ 13.Stk. 2.Tilsynets virksomhed er undtaget fra forvaltningslovens kapitel 4-6 og fra lov om behand-ling af personoplysninger.
5/51
§ 24.Tilsynet afgiver en årlig redegørelse om sin virksomhed til forsvarsministeren. Redegørelsenoffentliggøres.Kapitel 10Ikrafttrædelses- og overgangsbestemmelser m.v.§ 25.Loven træder i kraft den 1. juli 2014.Stk. 2.Lov nr. 596 af 14. juni 2011 om behandling af personoplysninger ved driften af den stats-lige varslingstjeneste for internettrusler m.v. ophæves samtidigt.Stk. 3.Aftaler, der er indgået efter den i stk. 2 nævnte lov, opretholdes, indtil de bortfalder efterderes indhold eller opsiges.Stk. 4.Pakke- og trafikdata, der er indsamlet efter den i stk. 2 nævnte lov, behandles og opbeva-res efter de hidtil gældende regler.Stk. 5.Begæringer om aktindsigt, som er indgivet før lovens ikrafttræden, afgøres efter de hidtilgældende regler.§ 26.Loven gælder ikke for Færøerne og Grønland, men kan ved kongelig anordning sættes helteller delvis i kraft for Færøerne og Grønland med de ændringer, som de færøske og grønlandskeforhold tilsiger.
6/51
Bemærkninger til lovforslagetAlmindelige bemærkningerIndholdsfortegnelse1. Indledning2. Baggrunden for lovforslaget2.1. Oprettelsen af Center for Cybersikkerhed2.2. Reguleringen af Center for Cybersikkerheds virksomhed2.3. Udviklingen i trusselsbilledet2.4. Lovforslagets formål3. Lovforslagets hovedindhold3.1. Center for Cybersikkerheds netsikkerhedstjeneste3.1.1. Gældende ret3.1.2. Forsvarsministeriets overvejelser3.1.3. Den foreslåede ordning3.2. Indgreb i meddelelseshemmeligheden3.2.1. Gældende ret3.2.2. Forsvarsministeriets overvejelser3.2.3. Den foreslåede ordning3.3. Forholdet til anden lovgivning samt behandling af personoplysninger i Center forCybersikkerhed3.3.1. Gældende ret3.3.2. Forsvarsministeriets overvejelser3.3.3. Den foreslåede ordning3.4. Opbevaring og sletning af data3.4.1. Gældende ret3.4.2. Forsvarsministeriets overvejelser3.4.3. Den foreslåede ordning3.5. Videregivelse af data3.5.1. Gældende ret3.5.2. Forsvarsministeriets overvejelser3.5.3. Den foreslåede ordning3.6. Tilsyn med behandling af personoplysninger3.6.1. Gældende ret3.6.2. Forsvarsministeriets overvejelser3.6.3. Den foreslåede ordning4. Økonomiske og administrative konsekvenser for det offentlige5. Økonomiske og administrative konsekvenser for erhvervslivet m.v.6. Administrative konsekvenser for borgerne7. Miljømæssige konsekvenser8. Forholdet til EU-retten9. Hørte myndigheder og organisationer m.v.10. Sammenfattende skema11. Bemærkninger til lovforslagets enkelte bestemmelser12. Bilag: Evaluering af GovCERT-loven
7/51
1. IndledningDanske myndigheder og virksomheder er i stigende grad udsat for cyberangreb, hvor stater, grupperog enkeltpersoner forsøger at trænge ind i den danske it- og teleinfrastruktur. Det kan således kon-stateres, at både statslige aktører, aktivister og kriminelle organisationer bruger internettet til at spi-onere mod Danmark eller til at anrette skade på eksempelvis danske hjemmesider og servere. Trus-len om sådanne angreb medfører en betydelig og stigende sikkerhedsrisiko for et højt digitaliseretsamfund som det danske.For at øge beskyttelsen mod cyberangreb oprettede regeringen i 2012 Center for Cybersikkerhedsom en del af Forsvarets Efterretningstjeneste. Center for Cybersikkerhed varetager funktionen somDanmarks nationale it-sikkerhedsmyndighed, og centerets hovedopgave er at styrke sikkerheden iden informations- og kommunikationsteknologiske infrastruktur (ikt-infrastruktur), som samfunds-vigtige funktioner er afhængige af.Formålet med dette lovforslag er at etablere et samlet lovgrundlag for Center for Cybersikkerhed,herunder at styrke centerets muligheder for at undersøge og forebygge cyberangreb samt at regulerecenterets behandling af personoplysninger.2. Baggrunden for lovforslaget2.1. Oprettelsen af Center for CybersikkerhedVed kongelig resolution af 3. oktober 2011 blev ressortansvaret for sager vedrørende beskyttelse afkritisk it-infrastruktur samt statens varslingstjeneste for internettrusler, GovCERT, overført til For-svarsministeriet.Af regeringsgrundlaget af samme dato, ”Et Danmark, der står sammen”, fremgår det endvidere, at”[r]egeringen vil med respekt for retssikkerheden og den personlige frihed styrke beskyttelsen modcyberangreb. En robust infrastruktur for informations- og kommunikationsteknologi er vigtig forlandets økonomi og sikkerhed. For at styrke beskyttelsen mod cyberangreb mv. samles de forskelli-ge myndigheders indsats i et IT sikkerhedscenter (under Forsvarsministeriet), der skal varetage op-gaven som den nationale IT-sikkerhedsmyndighed og Governmental Computer Emergency Respon-se Team (GovCERT).”På den baggrund blev Center for Cybersikkerhed den 18. december 2012 oprettet som en del af For-svarets Efterretningstjeneste. Baggrunden for placeringen af Center for Cybersikkerhed ved Forsva-rets Efterretningstjeneste var særligt at opnå synergieffekter i form af eksempelvis udnyttelse afForsvarets Efterretningstjenestes erfaringer inden for it-sikkerhedsområdet, viden om det internatio-nale trusselsbillede på cyberområdet og særlige adgang til oplysninger fra udlandet om cybertrusler.Center for Cybersikkerhed varetager bl.a. følgende opgaver:-GovCERT (Governmental Computer Emergency Response Team), der er den statslige vars-lingstjeneste for internettrusler. GovCERT blev oprettet i 2009 og var tidligere en del af IT-og Telestyrelsen.
8/51
---
MILCERT (Military Computer Emergency Response Team), der er varslingstjeneste for in-ternettrusler på Forsvarsministeriets område og siden oprettelsen i 2010 har været en del afForsvarets Efterretningstjeneste.National it-sikkerhedsmyndighed. Politiets Efterretningstjeneste varetager dog funktionensom it-sikkerhedsmyndighed på Justitsministeriets område.Informationssikkerhed og beredskab på teleområdet. Opgaven blev tidligere varetaget af IT-og Telestyrelsen.
Center for Cybersikkerheds opgaver er nærmere beskrevet i bemærkningerne til den foreslåede § 1.I forbindelse med oprettelsen af Center for Cybersikkerhed besluttede regeringen, at forsvarsmini-steren skulle fremsætte et lovforslag, der regulerer Center for Cybersikkerheds virksomhed. Detteforslag til lov om Center for Cybersikkerhed udmønter regeringsbeslutningen.2.2. Reguleringen af Center for Cybersikkerheds virksomhedForsvarets Efterretningstjenestes virksomhed er reguleret ved lov nr. 602 af 12. juni 2013 om For-svarets Efterretningstjeneste (FE-loven), der trådte i kraft den 1. januar 2014. Lovens § 1, stk. 3, harfølgende ordlyd: ”Forsvarets Efterretningstjeneste er national it-sikkerhedsmyndighed, militær vars-lingstjeneste for internettrusler m.v. (MILCERT) og statslig varslingstjeneste for internettrusler(GovCERT). Opgaver i medfør heraf er ikke omfattet af kapitel 2-7, men reguleres særskilt”. Be-stemmelsen indebærer, at Center for Cybersikkerhed er omfattet af FE-lovens § 2, som fastslår, atForsvarets Efterretningstjeneste er underlagt og virker under ansvar over for forsvarsministeren,samt at Forsvarets Efterretningstjeneste inden for sit ansvarsområde holder Forsvarsministeriet un-derrettet om forhold af betydning for Danmark og danske interesser, om forhold af væsentlig betyd-ning for tjenestens virksomhed og om vigtigere enkeltsager.GovCERT’s virksomhed er i øvrigt reguleret ved lov nr. 596 af 14. juni 2011 om behandling af per-sonoplysninger ved driften af den statslige varslingstjeneste for internettrusler m.v. (GovCERT-loven). Forslaget til GovCERT-loven blev ved Folketingets 3. behandling den 1. juni 2011 vedtagetmed 111 stemmer for og ingen stemmer imod forslaget.Endvidere er Center for Cybersikkerhed som helhed omfattet af Forsvarsministeriets retningslinjeraf 13. maj 2013 for behandling af personoplysninger m.v. i Center for Cybersikkerhed ved Forsva-rets Efterretningstjeneste. Med retningslinjerne er der fastsat en række bestemmelser om behand-lingsgrundlag og behandlingssikkerhed ved behandling af personoplysninger i Center for Cybersik-kerhed. Bestemmelserne bygger på principperne i persondataloven. Retningslinjerne fastsætter der-udover en række bestemmelser om den interne udveksling af oplysninger mellem Center for Cyber-sikkerhed og den øvrige del af Forsvarets Efterretningstjeneste.Retningslinjerne kan ses på Center for Cybersikkerheds hjemmeside, www.cfcs.dk.2.3. Udviklingen i trusselsbilledetDet danske samfund er i stigende grad afhængigt af at kunne anvende mulighederne på internettet.Internettet er i dag af central betydning for befolkningens økonomiske velfærd og sociale relationerog for centrale, vigtige samfundsfunktioner samt erhvervslivets forretnings- og konkurrencevilkår.
9/51
Informations- og kommunikationsteknologi (ikt) og digitalisering får stadig større betydning for dendanske økonomi, og betydningen forventes fortsat at stige i årene fremover. Digitalisering er en afde vigtigste faktorer, der kan bidrage til at øge produktiviteten i virksomhederne samt skabe nyeprodukter, tjenester og forretningsmodeller.I december 2012 fremlagde Europa-Kommissionen således en opdateret version af sin ikt-strategifra 2010 (Europas Digitale Dagsorden). Heri fremhæves det, at Europas fremtidige vækst og kon-kurrenceevne afhænger af evnen til at udnytte alle de digitale muligheder. På trods af fremskridt påden digitale dagsorden er der ifølge Kommissionen behov for at gøre mere, hvis Europa skal opnåden vækst og konkurrenceevne, som ikt kan bibringe. Kommissionen vurderer, at fuld implemente-ring af den opdaterede ikt-strategi vil øge EU’s bruttonationalprodukt med 5 pct. frem mod 2020(svarende til 1.500 euro pr. borger).Cyberangrebet på Georgien under den kortvarige væbnede konflikt med Rusland i 2008 samt deomfattende og koordinerede cyberangreb mod Estland i 2007, der satte en række vigtige samfunds-funktioner ud af drift, er eksempler på cyberangreb, der har været med til at sætte cybersikkerhed påden internationale dagsorden. Det er endvidere konstateret, at it-baseret spionage og tyveri af intel-lektuel ejendom i de senere år har medført et betragteligt værditab i flere lande.Forsvarets Efterretningstjeneste vurderer, at de alvorligste cybertrusler mod Danmark i øjeblikketkommer fra statslige aktører, der udnytter internettet til at spionere og stjæle dansk intellektuelejendom, f.eks. patenteret viden, forskningsresultater og forretningshemmeligheder. Truslen kom-mer navnlig fra stater, som bruger informationerne til at understøtte deres egen økonomiske, militæ-re og samfundsmæssige udvikling. Der er tegn på, at nogle stater bruger private hackere til at udførecyberangreb på statens vegne. En stat kan på denne måde unddrage sig et juridisk og politisk an-svar, da det ofte er vanskeligt at påvise, at den pågældende stat står bag.Truslen på cyberområdet kommer også fra såkaldte hacktivister, dvs. hackere, hvis aktivitet ofte erpolitisk motiveret. Derudover kan hackere have økonomiske motiver. Hackerne kan besidde storetekniske færdigheder og er i stand til at forstyrre eller anrette skade på eksempelvis danske hjemme-sider og servere.Imidlertid er også militante islamister i stigende grad begyndt at vise interesse for at anvende inter-nettet til at udføre cyberangreb, og al-Qaida har i en video opfordret til såkaldt elektronisk jihadmod vestlige lande. De militante islamister anser dog fortsat cyberangreb og hacking for sekundæreangrebsmåder i forhold til traditionelle terrorangreb.Et særligt fokusområde er den såkaldte insider-trussel, som kommer fra ansatte, der ubevidst ellerbevidst bryder sikkerheden på deres arbejdsplads og derved medvirker til tyveri af data eller overfø-rer skadelig software. Dette kan ske ved manglende kendskab til eller forståelse for opstillede sik-kerhedsbestemmelser eller bevidst for at røbe udvalgte informationer.Teknologien vil i fremtiden blive endnu mere kompleks. Antallet af maskiner og udstyr, der bliveropkoblet til internettet, stiger kraftigt hvert år, og ansatte i offentlige myndigheder, virksomheder ogorganisationer vil i stigende omfang kunne få adgang til informationer i myndighedernes, virksom-hedernes eller organisationernes netværk fra mobile enheder, ligesom flere informationer vil blivelagret på internettet (cloud storage) og ikke på lokale servere eller computere. Det medfører et æn-dret risikobillede og vil kræve nye sikkerhedsforanstaltninger.
10/51
Danmark er et af de lande i verden, hvor den offentlige sektor er kommet længst med at bruge it ogny teknologi til at forny og udvikle velfærdssamfundet. Imidlertid ønsker regeringen, regioner ogkommuner at sætte endnu mere fart på anvendelsen af digitale løsninger til at forny den offentligesektor og gøre den mere effektiv. Den fællesoffentlige digitaliseringsstrategi skal således bidragevæsentligt til at realisere potentialet og dermed til at sikre en holdbar samfundsøkonomi. Danmarksdigitale førerposition skal således danne afsæt for de næste store skridt på den digitale vej til fremti-dens velfærd, og i det fortsatte arbejde med at etablere en tidssvarende og robust offentlig digitalinfrastruktur, der kan håndtere, at stadig flere af velfærdssamfundets kritiske processer foregår digi-talt, vil sikkerhed være et af de væsentligste indsatsområder.På den baggrund ønsker regeringen med dette lovforslag at styrke Center for Cybersikkerheds mu-ligheder for at beskytte Danmark mod fremtidige cyberangreb, der er rettet mod den danske it- ogteleinfrastruktur og øvrig ikt-infrastruktur, som samfundsvigtige funktioner er afhængige af, f.eks.inden for energi- og vandforsyning eller kontrolsystemer i industrien.2.4. Lovforslagets formålFormålet med dette lovforslag er først og fremmest at etablere et samlet lovgrundlag for Center forCybersikkerhed.Som led heri foreslås den regulering af den statslige varslingstjeneste for internettrusler, som i dagsker i GovCERT-loven, videreført og opdateret på en række områder på baggrund af de erfaringer,der er gjort med GovCERT-loven siden lovens ikrafttræden i 2011. Dette sker bl.a. på baggrund afen evaluering af GovCERT-loven, som er gennemført i henhold til GovCERT-lovens § 9. En rede-gørelse, som er udarbejdet på baggrund af evalueringen, er optrykt som bilag til dette lovforslag.Særligt på baggrund af den alvorlige udvikling i trusselsbilledet foreslås det med lovforslaget, atCenter for Cybersikkerhed får styrket mulighederne for at beskytte Danmark mod cyberangreb. Detvil især ske ved en udvidelse af centerets muligheder for at undersøge sikkerhedshændelser, herun-der cyberangreb, i samarbejde med myndigheder og virksomheder, således at der i større omfangend i dag kan indhentes de informationer, som er nødvendige for at afklare, hvilke angrebsværktøjerog -metoder som er anvendt ved sikkerhedshændelser. Dette vil styrke muligheden for at forebyggenye og tilsvarende hændelser. Styrkelsen vil ske med respekt for retssikkerheden og den personligefrihed.Det følger af § 2, stk. 11, i lov nr. 429 af 31. maj 2000 om behandling af personoplysninger (per-sondataloven), at loven ikke gælder for behandlinger, der udføres for politiets og forsvarets efterret-ningstjenester. Da Center for Cybersikkerhed er en del af Forsvarets Efterretningstjeneste, finderpersondataloven således ikke anvendelse på centerets virksomhed. Med lovforslaget foreslås detimidlertid, at en række af de centrale principper i persondataloven også skal finde anvendelse påCenter for Cybersikkerheds virksomhed. Datatilsynet vil dog ikke skulle føre tilsyn med Center forCybersikkerheds overholdelse af lovforslagets bestemmelser om behandling af personoplysninger.Denne tilsynsopgave vil blive varetaget af Tilsynet med Efterretningstjenesterne.
11/51
3. Lovforslagets hovedindhold3.1. Center for Cybersikkerheds netsikkerhedstjeneste3.1.1. Gældende retI dag omfatter Center for Cybersikkerhed to separate CERT’er (Computer Emergency ResponseTeam): GovCERT er den statslige varslingstjeneste for internettrusler, og tjenesten dækker statslige,regionale og kommunale myndigheder samt visse virksomheder, mens MILCERT er varslingstjene-ste for internettrusler m.v. på Forsvarsministeriets område.Begge CERT’er monitorerer løbende aktiviteterne på de tilsluttede myndigheder og virksomhedersforbindelser til eksterne netværk, herunder internettet. Indsamlingen af data sker primært ved hjælpaf elektroniske alarmenheder, som er opsat hos de enkelte myndigheder og virksomheder, hvor demonitorerer ind- og udgående netværkskommunikation, herunder internetkommunikation.Denne monitorering giver CERT’erne et normalbillede af netværkskommunikationen og dermedogså det overblik, der er nødvendigt for at opdage afvigelser. Cyberangreb og andre sikkerheds-hændelser kan således optræde som afvigelser fra normalbilledet og udløse en alarm hos CERT’en,hvorefter alarmen vil blive behandlet. Behandlingen kan omfatte en analyse, hvis resultat dannerbaggrund for udsendelse af en sikkerhedsvarsling fra Center for Cybersikkerhed, rådgivning ommodforholdsregler samt bistand til myndighederne ved omfattende sikkerhedshændelser. På MIL-CERT’s område kan behandlingen tillige resultere i påbud til Forsvarets myndigheder om iværksæt-telse af særlige forholdsregler m.v.I andre tilfælde opdages cyberangreb ad anden vej, f.eks. ved at der konstateres uregelmæssighederhos en angrebet myndighed eller virksomhed. Såfremt analysen heraf kan afgøre, hvordan angrebeteller angrebsforsøget har fundet sted, vil CERT’erne sikre, at alarmenhederne hos de tilsluttedemyndigheder og virksomheder opdateres, således at lignende angrebsforsøg straks kan opdages.CERT’ernes monitorering af netværkskommunikation sikrer således, at der løbende sker en styrkel-se af cybersikkerheden i Danmark.Det er først og fremmest statslige myndigheder, som kan tilsluttes GovCERT. Tilslutningen er fri-villig. Kommunale og regionale myndigheder samt private virksomheder, som er beskæftiget medkritisk infrastruktur, kan blive tilsluttet GovCERT i det omfang, GovCERT har kapacitet hertil, jf.GovCERT-lovens § 2.På nuværende tidspunkt er langt de fleste ministerområder tilsluttet GovCERT, hvortil kommerenkelte kommuner, regioner og virksomheder. En række myndigheder på Forsvarsministeriets om-råde er tilsluttet MILCERT.3.1.2. Forsvarsministeriets overvejelserMed etableringen af GovCERT og MILCERT er der taget et vigtigt skridt for at øge beskyttelsenmod cyberangreb. De to CERT’er udfører således en vigtig opgave, hvor en række sikkerhedshæn-delser løbende bliver opdaget, ligesom CERT’erne ved større cyberangreb mod myndigheder ogvirksomheder har ydet en effektiv assistance til de ramte institutioner.
12/51
Det er imidlertid Forsvarsministeriets opfattelse, at såvel den teknologiske udvikling som udviklin-gen i trusselsbilledet giver behov for en styrkelse af statens CERT-funktion.Først og fremmest vil der, i overensstemmelse med hensigten bag samlingen af myndighedernesindsats i Center for Cybersikkerhed, kunne ske en bedre udnyttelse af de samlede ressourcer, så-fremt de to CERT’er – der grundlæggende udfører de samme opgaver i forhold til henholdsvis civi-le aktører og myndigheder på Forsvarsministeriets område – ses som én samlet netsikkerhedstje-neste, der varetager statens samlede CERT-funktion. Dermed vil der kunne opnås en række syner-gieffekter, ligesom den samlede kapacitet, som kan indsættes ved større cyberangreb, vil blive væ-sentligt større.Samtidig er der behov for, at netsikkerhedstjenesten også i højere grad kan inddrage Center for Cy-bersikkerheds øvrige sikkerhedstekniske eksperter, som f.eks. kan undersøge it-udstyr, der har væ-ret ramt af angreb, med henblik på at klarlægge angrebsmetoder og -værktøjer. Center for Cyber-sikkerheds samlede aktiviteter inden for både opdagelse af sikkerhedshændelser og efterfølgendesikkerhedsteknisk analyse af disse bør derfor samles i én funktion og underlægges samme regule-ring, således at der som udgangspunkt heller ikke skelnes mellem, om opgaverne er forebyggendeeller afhjælpende, eller mellem, om opgaverne udføres på det civile eller militære område.Den nuværende afgrænsning, hvor kredsen af virksomheder, der kan tilsluttes GovCERT, kun om-fatter virksomheder, som er beskæftiget med kritisk infrastruktur, har endvidere vist sig at væreuhensigtsmæssig. Afgrænsningen indebærer, at det i dag i vidt omfang ikke er muligt at tilsluttevirksomheder, der f.eks. leverer livsvigtige medicinalprodukter, fremstiller vigtige komponenter tilForsvaret, eller varetager drift af offentlige myndigheders administrative it-systemer, eller som pågrund af samfundsvigtige forskningsaktiviteter er særligt udsatte for cyberangreb. Det skyldes, atdisse funktioner ikke umiddelbart efter GovCERT-loven anses for at være en del af samfundets kri-tiske infrastruktur. For at opnå et optimalt beskyttelsesniveau er der behov for at sikre, at også virk-somheder, der mere generelt varetager samfundsvigtige funktioner, kan tilsluttes en CERT.I dag sker tilslutning til GovCERT alene på grundlag af faste tilslutningsaftaler. Det er imidlertidForsvarsministeriets opfattelse, at der er behov for, at myndigheder og virksomheder også på mid-lertidig basis kan tilsluttes en CERT.En midlertidig tilslutning kan for det første være hensigtsmæssig i forhold til myndigheder og virk-somheder, som ikke normalt er udsat for et sådant trusselsbillede, at en fast tilslutning til en CERTer hensigtsmæssig, men som på grund af aktuelle begivenheder i en kortere periode er udsat for etså konkret trusselsbillede, at der er behov for den ekstra sikkerhed, som en tilslutning indebærer.En midlertidig tilslutning bør for det andet kunne ske, hvis en virksomhed, der ikke er beskæftigetmed samfundsvigtige funktioner, udsættes for et særligt alvorligt cyberangreb, der kan påvirke sam-fundsvigtige funktioner. Der vil f.eks. kunne være tale om, at det konstateres, at en virksomheds it-system uden virksomhedens vidende indgår i et skadeligt netværk beregnet til cyberangreb, hvorfrader rettes angreb mod offentlige myndigheder, eller hvortil hackere henter følsomme oplysningerfra myndigheder eller virksomheder.Den midlertidige tilslutning bør dog forudsætte, at der er begrundet mistanke om en sikkerheds-hændelse.
13/51
I forhold til både tilsluttede og ikke-tilsluttede myndigheder og virksomheder kan Forsvarsministe-riet endvidere konstatere et stort behov for, at Center for Cybersikkerhed efter et cyberangreb kananalysere data fra en kompromitteret computer, server eller andet informationssystem, dels for atkunne bistå den ramte myndighed eller virksomhed med at afhjælpe følger af angrebet, dels for atkunne styrke de forebyggende foranstaltninger ved at opdatere CERT’ernes alarmenheder på bag-grund af resultatet af en analyse af den konkrete sikkerhedshændelse. Der er derfor behov for, atCenter for Cybersikkerhed får hjemmel til at foretage denne type analyse, som bør kunne ske i detilfælde, hvor myndigheden eller virksomheden giver skriftligt samtykke hertil.De to CERT’ers nuværende virksomhed er primært baseret på de alarmenheder, der er beskrevet iafsnit 3.1.1, og som ligeledes er detaljeret beskrevet i bemærkningerne til forslaget til GovCERT-loven (lovforslag L 197, 1. samling 2010-11, afsnit 3.3). Den teknologiske udvikling på cybersik-kerhedsområdet betyder imidlertid, at der løbende udvikles nye tekniske hjælpemidler, som givermulighed for en mere effektiv sikring mod cyberangreb, og Forsvarsministeriet finder derfor, at detbør sikres, at Center for Cybersikkerhed ikke er bundet til at anvende en bestemt teknologi, men atde rammer, der fastsættes for CERT-aktiviteterne, er teknologineutrale og således gælder uansetvalg af teknologi.3.1.3. Den foreslåede ordningForsvarsministeriet foreslår, at GovCERT’s og MILCERT’s aktiviteter samt Center for Cybersik-kerheds øvrige aktiviteter i tilknytning til CERT-aktiviteterne fremover betegnes ”Center for Cyber-sikkerheds netsikkerhedstjeneste”, og at disse aktiviteter som udgangspunkt underlægges sammeregulering. Betegnelsen ”netsikkerhedstjeneste” er ny og vil erstatte betegnelsen ”varslingstjene-ste”, som anvendes i GovCERT-loven.Center for Cybersikkerheds netsikkerhedstjeneste vil være betegnelsen for centerets funktion somnetsikkerhedstjeneste og dækker altså ikke over en afgrænset organisatorisk enhed i centeret. Funk-tionen som netsikkerhedstjeneste vil omfatte den samlede kapacitet i forbindelse med monitoreringaf netværkskommunikation, hvilket primært vil sige den nuværende GovCERT, MILCERT og cen-terets sikkerhedstekniske kapacitet, samt støttefunktioner, f.eks. af juridisk karakter.Der henvises i øvrigt til bemærkningerne til den foreslåede § 3.Det foreslås endvidere, at kredsen af virksomheder, der kan tilsluttes netsikkerhedstjenesten, udvi-des, således at virksomheder, der er beskæftiget med samfundsvigtige funktioner, kan tilsluttes. Detvil fortsat være frivilligt, om statslige myndigheder uden for Forsvarsministeriets område, regionerog kommuner samt virksomheder, der er beskæftiget med samfundsvigtige funktioner, ønsker atblive tilsluttet netsikkerhedstjenesten.For så vidt angår regioner og kommuner samt virksomheder, der beskæftiger sig med samfundsvig-tige funktioner, vil det være Center for Cybersikkerhed, som træffer afgørelse om, hvorvidt en an-modning om tilslutning kan imødekommes. Det vil ske ud fra en vurdering af, om tilslutningenkonkret kan bidrage til at understøtte et højt informationssikkerhedsniveau i samfundet. Ved dennevurdering vil der – ud over et hensyn til netsikkerhedstjenestens aktuelle kapacitet – blive lagt vægtpå, om den pågældende myndighed eller virksomhed har en it-organisation og it-infrastruktur, derkan sikre en optimal monitorering af netværkskommunikation og indgå i en løbende dialog mednetsikkerhedstjenesten, samt på at sikre, at de myndigheder og virksomheder, som er tilsluttet net-
14/51
sikkerhedstjenesten, er repræsentative, således at der kan opnås et samlet billede af informations-sikkerhedsniveauet i Danmark. Kriterierne er nærmere uddybet i bemærkningerne til den foreslåede§ 3.Den foreslåede udvidelse af kredsen af virksomheder, der kan tilsluttes netsikkerhedstjenesten, vur-deres ikke at ville påvirke det private marked for it-sikkerhedsydelser negativt. Netsikkerhedstje-nestens brede dækningsområde samt tjenestens adgang til oplysninger fra andre netsikkerhedstje-nester og den øvrige del af Forsvarets Efterretningstjeneste indebærer, at der ikke på det privatemarked findes sammenlignelige sikkerhedsydelser, som virksomhederne kan benytte. Samtidig kannetsikkerhedstjenestens ydelser ikke træde i stedet for virksomhedernes øvrige it-sikkerhedsforan-staltninger, men skal alene betragtes som et ekstra lag af sikkerhed.Imidlertid vurderes det, at den foreslåede ordning i et vist omfang vil kunne påvirke det privatemarked for it-sikkerhedsydelser positivt. Således vil de anbefalinger, som monitoreringen typiskresulterer i, kunne medføre et behov for at styrke informationssikkerhedsniveauet hos de tilsluttedevirksomheder – og dermed en efterspørgsel efter it-sikkerhedsydelser, der normalt vil blive leveretaf private leverandører.Videre foreslås det, at Center for Cybersikkerhed får udvidet mulighederne for at indsamle erfarin-ger om sikkerhedshændelser hos myndigheder og virksomheder, når der derved kan opnås en yder-ligere sikring af den danske ikt-infrastruktur, som samfundsvigtige funktioner er afhængige af. Detforeslås, at netsikkerhedstjenesten for en midlertidig periode på højst to måneder får mulighed for atgennemføre monitorering af netværkskommunikationen hos en myndighed eller virksomhed, derikke fast er tilsluttet netsikkerhedstjenesten, men som giver skriftligt samtykke til monitoreringen.Det foreslås desuden, at netsikkerhedstjenesten kan behandle data fra informationssystemer såsomcomputere, servere m.v., der ejes af myndigheder eller virksomheder, når disse aktører giver skrift-ligt samtykke hertil.Der henvises til bemærkningerne til de foreslåede §§ 6 og 7 samt afsnit 3.2.For at sikre, at netsikkerhedstjenesten kan tilpasse sig til den teknologiske udvikling og til enhvertid kan anvende de teknologier, som giver optimale muligheder for at opnå et højt informationssik-kerhedsniveau, sikres det endeligt, at reguleringen af netsikkerhedstjenesten ikke baseres på en be-stemt teknologisk monitoreringsløsning.3.2. Indgreb i meddelelseshemmeligheden3.2.1. Gældende retEfter GovCERT-loven skal GovCERT behandle – og herunder efter omstændighederne analysere –tilsluttede myndigheders og private virksomheders ind- og udgående pakke- og trafikdata. Ved tra-fikdata forstås data, som behandles som led i overførslen af internetbaseret kommunikation, f.eks.e-mail-adresser eller hjemmesideadresser. Ved pakkedata forstås selve indholdet af den internetba-serede kommunikation, f.eks. indholdet af en e-mail eller indholdet af den hjemmeside, som tilgås.Denne behandling indebærer i begrænset omfang indgreb i meddelelseshemmeligheden i grundlo-vens forstand, primært ved adgang til indholdet af kommunikation i form af pakkedata. En sådanadgang har alene til formål at klarlægge konkrete sikkerhedshændelsers karakter, og GovCERT’s
15/51
interesse er rettet mod tekniske oplysninger om sikkerhedshændelserne, f.eks. analyse af en virus ien fil, der er vedhæftet en e-mail. Der vil i vidt omfang foreligge et samtykke, som indebærer, at detikke er nødvendigt at indhente retskendelse efter grundlovens § 72. Der forekommer imidlertid ogsåtilfælde, hvor et sådant samtykke ikke foreligger, og eftersom de pågældende pakkedatas nærmerekarakter normalt først kan fastslås ved en analyse, vil det i praksis ikke være muligt at indhente enretskendelse. Derfor indeholder GovCERT-loven en undtagelse fra grundlovens krav herom.Denne undtagelse er indført på baggrund af en overvejelse af nødvendigheden og proportionalitetenaf ordningen, hvor der blev lagt vægt på, at et overblik over sikkerheden på internettet og mulighe-den for at varsle om it-angreb nødvendigvis forudsætter, at der er adgang til de pakkedata, som errelaterede til de konkrete sikkerhedshændelser. Kun med adgang til pakkedata kan konsekvenserneaf sikkerhedshændelsen klarlægges, herunder hvilke dokumenter, e-mails m.v. der f.eks. er blevetkopieret og videresendt fra den tilsluttede myndighed til en hacker. Skadens omfang kan herefterfastslås, og de relevante modforholdsregler kan besluttes.Som eksempel på en relevant sikkerhedshændelse nævnes i bemærkningerne til GovCERT-loven(lovforslag L 197, 1. samling 2010-11, afsnit 3.2), at en e-mail med et virusinficeret PDF-dokumentomgår både antivirusprogrammer og firewall hos en myndighed og herefter kopierer og sender do-kumenter fra den inficerede computer tilbage til hackeren uden myndighedens vidende. Hvis Gov-CERT ikke har adgang til pakkedata, vil GovCERT ikke kunne analysere og reagere over for dennevirus sammen med den berørte myndighed. Uden adgang til pakkedata vil det endvidere ikke væremuligt for GovCERT at fastslå konsekvenserne af et vellykket it-angreb for den berørte myndighed.De nødvendige oplysninger til brug for effektiv analyse og håndtering af angreb ligger således ipakkedata, og GovCERT vil ikke kunne håndtere kritiske it-angreb på betryggende vis uden adgangtil pakkedata. Det er derfor både nødvendigt og proportionalt, at GovCERT har adgang til pakkeda-ta.Ordningen blev endvidere vurderet i forholdet til artikel 8 i Den Europæiske Menneskerettigheds-konvention, hvorefter enhver har ret til respekt for sit privatliv og familieliv. Beskyttelsen efter arti-kel 8 omfatter både indgreb i meddelelseshemmeligheden, f.eks. monitorering af e-mailkorrespondance og internetkommunikation, og offentlige myndigheders indsamling, opbeva-ring og anvendelse m.v. af personoplysninger generelt.Der blev ved vurderingen lagt vægt på, at den samfundsmæssige interesse i at forhindre og håndteresikkerhedshændelser af it-mæssig karakter for offentlige myndigheder må anses for at overstigehensynet til privatlivet for de personer, om hvilke GovCERT behandler personoplysninger. Ligele-des blev der lagt vægt på, at aktiviteterne er begrænsede til de tilsluttede myndigheder og virksom-heders ind- og udgående data, samt at GovCERT’s formål ikke i sig selv er at indsamle personop-lysninger. Indsamlingen er i stedet en uundgåelig konsekvens af varslingsopgaven. Personoplysnin-gerne vil derudover heller ikke blive offentliggjort. Tværtimod er opbevaringen af oplysningerneunderlagt strenge sikkerhedsforanstaltninger, så bl.a. offentliggørelse undgås.Konklusionen var på den baggrund, at behandlingen ville opfylde betingelserne i artikel 8, stk. 2, iDen Europæiske Menneskerettighedskonvention.
16/51
3.2.2. Forsvarsministeriets overvejelserErfaringerne med GovCERT’s behandling – herunder indsamling, registrering, analyse og opbeva-ring – af ind- og udgående pakkedata viser, at ordningen har fungeret efter hensigten på det nogetbegrænsede anvendelsesområde. Som forventet har det således i en lang række tilfælde vist sig, atnetop adgangen til indholdet af internetkommunikation – pakkedata – har været et uundværligt red-skab i GovCERT’s arbejde med at vurdere it-sikkerheden for statslige myndigheders anvendelse afinternettet og varsle myndigheder om internetbaserede sikkerhedshændelser og trusler.Med den gældende ordning, hvor GovCERT’s adgang til pakkedata er begrænset til de situationer,hvor der ikke blot er tale om en vag og udefineret mistanke om en sikkerhedshændelse, men hvorder kræves en klar indikation på en sikkerhedshændelse, er der efter Forsvarsministeriets opfattelsepå GovCERT’s dækningsområde opnået en hensigtsmæssig balance mellem på den ene side hensy-net til at understøtte et højt informationssikkerhedsniveau og på den anden side respekten for rets-sikkerheden og den personlige frihed.På den baggrund anser Forsvarsministeriet det for velbegrundet at udbrede den velfungerende Gov-CERT-ordning til også at omfatte dækningsområdet for MILCERT, der grundlæggende udførersamme opgaver som GovCERT, blot på Forsvarsministeriets område. Dermed vil det kunne sikres,at der også på dette område skabes de bedst mulige forudsætninger for at understøtte et højt infor-mationssikkerhedsniveau. Afvejningerne i forhold til såvel grundlovens § 72 som artikel 8 i DenEuropæiske Menneskerettighedskonvention, jf. afsnit 3.2.1, er identiske i forhold til MILCERT ogfører til samme konklusion.Som anført i afsnit 3.1 foreslås det med dette lovforslag, at Center for Cybersikkerheds netsikker-hedstjeneste, der fremover vil omfatte både GovCERT og MILCERT, får mulighed for at udføremonitorering af netværkskommunikation hos myndigheder eller virksomheder, som i en midlertidigperiode på højst to måneder tilsluttes netsikkerhedstjenesten. Denne ordning er baseret på sammehensyn, som gør sig gældende i forhold til GovCERT’s nuværende opgave som varslingstjeneste,og Forsvarsministeriet anser det for naturligt, at der også ved midlertidige tilslutninger gives mulig-hed for indgreb i meddelelseshemmeligheden ud fra samme overvejelser om nødvendighed og pro-portionalitet, som er anført i afsnit 3.2.1.Endelig er der, som ligeledes beskrevet i afsnit 3.1, konstateret et behov for, at Center for Cybersik-kerhed efter et cyberangreb kan analysere data fra en kompromitteret computer, server eller andetinformationssystem, dels for at kunne bistå den ramte myndighed eller virksomhed med at afhjælpefølgerne af angrebet, dels for at kunne styrke de forebyggende foranstaltninger ved at opdatere net-sikkerhedstjenestens alarmenheder på baggrund af resultatet af en analyse af den konkrete sikker-hedshændelse. En sådan analyse vil – på samme vis som den løbende monitorering – kunne indebæ-re et behov for analyse af data i form af f.eks. vedhæftede filer med virus. Bortset fra, at analysenher vil tage udgangspunkt i data fra eksempelvis en computer i stedet for data fra en internetkom-munikation, er der grundlæggende tale om en ordning, der er identisk med GovCERT’s nuværendeaktiviteter. Forsvarsministeriet anser det derfor for både naturligt og hensigtsmæssigt at udvide ad-gangen til indgreb i meddelelseshemmeligheden til også at omfatte disse situationer.
17/51
3.2.3. Den foreslåede ordningForsvarsministeriet foreslår, at den nuværende ordning, hvorefter GovCERT som led i monitorerin-gen af de tilsluttede myndigheder og virksomheders netværkskommunikation har mulighed for atforetage indgreb i meddelelseshemmeligheden, videreføres samt udvides til at omfatte indgreb imeddelelseshemmeligheden i forbindelse med monitoreringen af myndigheder på Forsvarsministe-riets område, midlertidigt tilsluttede myndigheder og virksomheder samt ved undersøgelser af in-formationsudstyr, som er eller mistænkes for at være ramt af en sikkerhedshændelse.Med den foreslåede § 4 vil Center for Cybersikkerheds netsikkerhedstjeneste således fortsat havemulighed for uden retskendelse at behandle pakke- og trafikdata fra tilsluttede myndigheder ogvirksomheder med henblik på at understøtte et højt informationssikkerhedsniveau i samfundet, ogmed § 5 foreslås en identisk ordning for myndigheder på Forsvarsministeriets område.Med den foreslåede § 6 vil adgangen til indgreb i meddelelseshemmeligheden blive udvidet til atomfatte myndigheder og virksomheder, der midlertidigt tilsluttes netsikkerhedstjenesten, mens dermed § 7 sker en udvidelse til at omfatte situationer, hvor myndigheder eller virksomheder stiller etinformationssystem – f.eks. en inficeret computer eller server – til rådighed for netsikkerhedstje-nesten med henblik på en analyse af infektionen. Både efter § 6 og § 7 vil en forudsætning for, atder kan ske indgreb i meddelelseshemmeligheden, være, at der er en begrundet mistanke om ensikkerhedshændelse, ligesom det konkret skal vurderes, at behandlingen af data vil kunne bidragevæsentligt til Center for Cybersikkerheds muligheder for at sikre den danske ikt-infrastruktur, somsamfundsvigtige funktioner er afhængige af.Det foreslåede kapitel 4 vil alene finde anvendelse, hvis der i forbindelse med monitoreringen afnetværkskommunikation er behov for, at netsikkerhedstjenesten tilgår indhold af en kommunikationeller oplysninger om, at en sådan kommunikation har fundet sted. Center for Cybersikkerheds net-sikkerhedstjeneste vil altid ud fra et proportionalitetshensyn i videst muligt omfang søge at løseopgaverne ved hjælp af data, som ikke vil kræve et indgreb i meddelelseshemmeligheden, og i dissetilfælde vil behandlingen af personoplysninger ske efter de generelle behandlingsbestemmelser i detforeslåede kapitel 6, jf. afsnit 3.3.3.3. Forholdet til anden lovgivning samt behandling af personoplysninger i Center for Cybersikker-hed3.3.1. Gældende retDet følger af persondatalovens § 2, stk. 11, at loven ikke gælder for behandlinger, der udføres forpolitiets og forsvarets efterretningstjenester. Det er dog i FE-loven bestemt, at visse dele af person-dataloven finder anvendelse på Forsvarets Efterretningstjenestes behandling af personoplysningervedrørende i Danmark hjemmehørende fysiske og juridiske personer. Bestemmelserne gælder dogikke for Center for Cybersikkerhed, jf. FE-lovens § 1, stk. 3, 2. pkt.Da Center for Cybersikkerhed er oprettet som en del af Forsvarets Efterretningstjeneste, indebærerpersondatalovens § 2, stk. 11, dermed, at persondataloven ikke gælder for centeret. I det omfangGovCERT-loven – der blev vedtaget, da GovCERT var en del af IT- og Telestyrelsen – indeholderbestemmelser, der fraviger persondataloven, har disse bestemmelser dermed heller ikke betydningfor Center for Cybersikkerhed.
18/51
Videregivelse af personoplysninger til Center for Cybersikkerhed er dog omfattet af persondatalo-ven, uanset der i sådanne tilfælde tillige er tale om en behandling (indsamling), som foretages for enefterretningstjeneste. Endvidere vil Datatilsynet også for så vidt angår Center for Cybersikkerhedkunne indhente de fornødne oplysninger til afgørelse af, om et forhold falder ind under persondata-loven, jf. lovens § 62, stk. 1. Dette vil i praksis ske gennem Forsvarsministeriet.Forsvarets Efterretningstjenestes virksomhed, herunder bl.a. Forsvarets Efterretningstjenestes be-handling af personoplysninger vedrørende i Danmark hjemmehørende fysiske personer, er regulereti FE-loven. Center for Cybersikkerheds virksomhed er imidlertid som nævnt ikke omfattet af FE-lovens materielle bestemmelser, herunder lovens bestemmelser om behandling af personoplysnin-ger, jf. lovens § 1, stk. 3, 2. pkt.Som en konsekvens af, at persondataloven ikke gælder for Center for Cybersikkerhed, har For-svarsministeriet den 13. maj 2013 udstedt retningslinjer for behandling af personoplysninger m.v. iCenter for Cybersikkerhed ved Forsvarets Efterretningstjeneste. I retningslinjerne konstateres det, atuanset at formålet med Center for Cybersikkerheds virksomhed ikke er behandling af personoplys-ninger, kan det ikke undgås, at personoplysninger bliver behandlet i et vist – om end begrænset –omfang i forbindelse med udførelsen af Center for Cybersikkerheds opgaver. I lyset heraf skal che-fen for Forsvarets Efterretningstjeneste sikre, at medarbejderne, der virker inden for Center for Cy-bersikkerhed, følger de udstedte retningslinjer for behandling af personoplysninger m.v. og de der-tilhørende bestemmelser om kontrol.Med retningslinjerne er der fastsat en række bestemmelser om behandlingsgrundlag og behand-lingssikkerhed ved behandling af personoplysninger i Center for Cybersikkerhed. Bestemmelsernebygger på principperne i persondataloven.Efter § 11 i FE-loven er Forsvarets Efterretningstjenestes virksomhed undtaget fra lov om offentlig-hed i forvaltningen (offentlighedsloven) bortset fra lovens § 13 om notatpligt. Forsvarets Efterret-ningstjenestes virksomhed er endvidere undtaget fra forvaltningslovens kapitel 4-6 om partens akt-indsigt, partshøring og begrundelse m.v. Imidlertid kan forsvarsministeren bestemme, at personda-talovens kapitel 8-10 og forvaltningslovens kapitel 4-6 helt eller delvis finder anvendelse for be-handling af personoplysninger for Forsvarets Efterretningstjeneste vedrørende tjenestens sikker-hedsgodkendelsessager og egne personalesager. Center for Cybersikkerhed er som tidligere nævntikke omfattet af disse bestemmelser i FE-loven.3.3.2. Forsvarsministeriets overvejelserForsvarsministeriet finder, at de centrale principper i persondataloven så vidt muligt bør gælde forCenter for Cybersikkerhed. De særlige forhold, som gør sig gældende for centerets aktiviteter, tilsi-ger imidlertid, at centeret ikke i samme omfang som andre offentlige myndigheder bør være omfat-tet af den almindelige persondataretlige lovgivning. Center for Cybersikkerhed har som nævnt hel-ler ikke hidtil været omfattet af den almindelige persondataretlige lovgivning.Med lovforslaget lægges der op til, at bestemmelserne om behandlingsgrundlag og behandlingssik-kerhed ved behandling af personoplysninger i Forsvarsministeriets retningslinjer af 13. maj 2013videreføres ved lov, således at principperne i persondatalovens regler om behandling af personop-lysninger i vidt omfang finder anvendelse på Center for Cybersikkerhed.
19/51
Som hidtil vil principperne i reglerne om oplysningspligt over for den registrerede og om den regi-streredes indsigts- og indsigelsesret ikke finde anvendelse på centerets virksomhed. Formålet medCenter for Cybersikkerheds netsikkerhedstjeneste er ikke at behandle personoplysninger, men net-sikkerhedstjenesten vil uundgåeligt skulle behandle personoplysninger indeholdt i pakke- og trafik-data i forbindelse med sine aktiviteter. Indsamlingen af personoplysninger er således en nødvendigdel af netsikkerhedstjenestens virke, og det er Forsvarsministeriets vurdering, at opfyldelse af enoplysningspligt over for den registrerede vil være uforholdsmæssig vanskelig, ligesom behovet forat kunne begære indsigt eller gøre indsigelse er mindre fremtrædende end de administrative byrder,det vil påføre netsikkerhedstjenesten.Forsvarsministeriet har overvejet, om der i forhold til øvrige dele af Center for Cybersikkerhedsvirksomhed – som national it-sikkerhedsmyndighed og som myndighed for informationssikkerhedog beredskab på teleområdet – er behov for at fravige gældende ret ved at indføre oplysningspligtover for den registrerede samt give den registrerede indsigts- og indsigelsesret. Det karakteristiskefor disse myndighedsområder er, at Center for Cybersikkerheds myndighedsudøvelse som altover-vejende hovedregel er rettet mod andre myndigheder og virksomheder. Det er derfor Forsvarsmini-steriets opfattelse, at der ikke på nuværende tidspunkt er behov for at indføre en oplysningspligt iforhold til fysiske personer. Samtidig finder Forsvarsministeriet dog, at der bør være mulighed forat lade persondatalovens kapitel 8-10 (om oplysningspligt over for den registrerede, den registrere-des indsigtsret og øvrige rettigheder, bl.a. indsigelsesret) finde anvendelse på de pågældende myn-dighedsområder samt på Center for Cybersikkerheds behandling af egne personalesager, såfremt derpå et senere tidspunkt måtte vise sig et behov herfor.Som følge af Center for Cybersikkerheds særlige adgang til at behandle data, herunder personop-lysninger, på baggrund af indgreb i meddelelseshemmeligheden finder Forsvarsministeriet, at derfortsat bør gælde skærpede regler for analyse, videregivelse og sletning af disse data samt for sik-kerhedsforanstaltninger i forbindelse med opbevaringen af og adgangen til data. På disse særligeområder bør der efter Forsvarsministeriets opfattelse fortsat gælde regler, der fastsætter mere vidt-gående krav end efter persondataloven, f.eks. med hensyn til sletningsfrister.Forsvarsministeriet lægger vægt på, at de forskellige dele af Forsvarets Efterretningstjeneste så vidtmuligt er underlagt samme regulering på centrale forvaltningsretlige områder. I forhold til offent-lighedsloven og forvaltningsloven finder Forsvarsministeriet derfor, at der som udgangspunkt børgælde samme regler for Center for Cybersikkerhed som for den øvrige del af Forsvarets Efterret-ningstjeneste, hvilket vil indebære, at offentlighedsloven ikke finder anvendelse på Center for Cy-bersikkerhed.Dette skal endvidere ses i lyset af, at netsikkerhedstjenesten i overensstemmelse med sit formål be-handler store mængder data, hvor behandlingens fokus som altovervejende hovedregel er på oplys-ninger af rent teknisk karakter. Kun i sjældne tilfælde vil netsikkerhedstjenesten således have behovfor at anvende oplysninger om fysiske og juridiske personer m.v., som er indeholdt i de behandlededata, og sagsbehandling af anmodninger om aktindsigt i sådanne oplysninger vil være særdeles res-sourcekrævende, da det vil forudsætte en gennemgang af store mængder data.Tilsvarende hensyn gør sig gældende i forhold til forvaltningslovens kapitler om partens aktindsigt,partshøring og begrundelse m.v. Hertil kommer, at Center for Cybersikkerhed kun i meget begræn-set omfang træffer afgørelse i sager, der involverer fysiske eller juridiske personer, hvorved der ikke
20/51
er væsentlige hensyn, som taler imod, at Center for Cybersikkerhed på samme vis som den øvrigedel af Forsvarets Efterretningstjeneste undtages fra forvaltningslovens kapitel 4-6.Imidlertid finder Forsvarsministeriet, at særlige forhold gør sig gældende for Center for Cybersik-kerheds virksomhed som myndighed for informationssikkerhed og beredskab på teleområdet og vedcenterets behandling af anmodninger om tilslutning til netsikkerhedstjenesten, jf. den foreslåede §3, stk. 3. Det samme er tilfældet i forhold til centerets behandling af egne personalesager. På disseområder er der hensyn, der taler for, at der bør være mulighed for at anvende offentlighedsloven ogforvaltningsloven.3.3.3. Den foreslåede ordningForsvarsministeriet foreslår, at en række centrale principper i persondataloven skal gælde for be-handling af personoplysninger i Center for Cybersikkerhed.I lovforslaget bliver det således slået fast, at Center for Cybersikkerheds indsamling af personoplys-ninger skal ske til udtrykkeligt angivne og saglige formål, og at senere behandling ikke må væreuforenelig med disse formål. Personoplysninger, som behandles, skal være relevante og tilstrække-lige og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerneindsamles, og de formål, hvortil oplysningerne senere behandles.Der henvises til bemærkningerne til de foreslåede §§ 9, 13 og 14.Herudover foreslår Forsvarsministeriet, at persondatalovens principper for, hvornår der må ske be-handling af personoplysninger, i vidt omfang skal gælde for Center for Cybersikkerhed.I lighed med persondataloven inddeler lovforslaget personoplysningerne i tre niveauer eller typer:For det første følsomme oplysninger om menneskers rent private forhold, der kan dreje sig om op-lysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fag-foreningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold. For detandet andre typer af oplysninger om rent private forhold, der også anses for at være følsomme, hvil-ket drejer sig om oplysninger om strafbare forhold, væsentlige sociale problemer og lignende føl-somme privatlivsoplysninger, f.eks. om interne familieforhold. Og for det tredje de oplysningstyper,der ikke vedrører rent private forhold - de såkaldte almindelige personoplysninger. Almindeligepersonoplysninger kan f.eks. være identifikationsoplysninger, oplysninger om økonomiske forhold,kundeforhold eller andre lignende ikke følsomme oplysninger. For hvert af de tre niveauer fastsæt-tes i lovforslaget regler for, hvornår der kan ske behandling af personoplysninger.Der henvises til bemærkningerne til de foreslåede §§ 10-12.Herudover foreslås det, at der fastsættes særlige regler om analyse, videregivelse og sletning af da-ta, der behandles på baggrund af indgreb i meddelelseshemmeligheden. Disse regler er nærmerebeskrevet i afsnit 3.4 og 3.5 samt i bemærkningerne til de foreslåede §§ 8 og 15-17.Center for Cybersikkerheds behandling af personoplysninger foreslås at være underlagt tilsyn afTilsynet med Efterretningstjenesterne. Tilsynets virksomhed er nærmere beskrevet i afsnit 3.6 og ibemærkningerne til de foreslåede §§ 19-24.
21/51
Endelig foreslår Forsvarsministeriet, at Center for Cybersikkerhed – som det er tilfældet for denøvrige del af Forsvarets Efterretningstjeneste – undtages fra offentlighedsloven, dog ikke lovens §13 om notatpligt, samt undtages fra forvaltningslovens kapitel 4-6.Særlige forhold gør sig gældende for Center for Cybersikkerhed virksomhed som myndighed forinformationssikkerhed og beredskab på teleområdet, ved centerets behandling af anmodninger omtilslutning til netsikkerhedstjenesten, jf. den foreslåede § 3, stk. 3, samt ved centerets behandling afegne personalesager. Forsvarsministeriet foreslår på den baggrund, at forsvarsministeren bemyndi-ges til at bestemme, at offentlighedsloven, forvaltningslovens kapitel 4-6 og persondatalovens kapi-tel 8-10 helt eller delvis finder anvendelse for disse områder.Endvidere forudsættes det, at Center for Cybersikkerhed i størst muligt omfang efterlever princip-perne i offentlighedsloven og forvaltningslovens kapitel 4-6.Det forudsættes således, at centeret – uanset at dets virksomhed er undtaget fra forvaltningslovensbestemmelser på området – i alle afgørelsessager konkret vurderer, om det er muligt at anvendeforvaltningslovens principper om partens aktindsigt, partshøring og begrundelse m.v.Tilsvarende forudsættes det, at anmodninger om aktindsigt i størst muligt omfang behandles efterprincipperne i offentlighedsloven. Ved modtagelse af anmodninger om aktindsigt – herunderegenacces efter offentlighedslovens § 8 – vil Center for Cybersikkerhed i praksis foretage en søg-ning i centerets elektroniske sags- og dokumenthåndteringssystem. Såfremt der i den forbindelselokaliseres dokumenter, der er omfattet af aktindsigtsanmodningen, vil disse dokumenter blive be-handlet efter principperne i offentlighedsloven. Derimod vil centeret ikke foretage en søgning i destore mængder data, som centerets netsikkerhedstjeneste til enhver tid opbevarer, eller i dokumen-ter, der vedrører øvrige dele af Forsvarets Efterretningstjeneste.Der henvises til bemærkningerne til den foreslåede § 8.3.4. Opbevaring og sletning af data3.4.1. Gældende retDer er i GovCERT-lovens § 4, stk. 2-4, fastsat detaljerede regler om, hvor længe GovCERT måopbevare de pakke- og trafikdata, der behandles på grundlag af indgreb i meddelelseshemmelighe-den.Udgangspunktet efter § 4, stk. 2, er, at pakke- og trafikdata skal slettes, når formålet med behand-lingen er opfyldt. I § 4, stk. 3, er der imidlertid fastsat maksimale opbevaringsperioder, som finderanvendelse, uanset om GovCERT’s formål med behandlingen endnu ikke er opfyldt. Hvis der ertale om en sikkerhedshændelse, kan pakke- og trafikdata, der knytter sig til denne sikkerhedshæn-delse, højst opbevares i tre år. For øvrige pakkedata, der ikke er knyttet til en sikkerhedshændelse,er den maksimale opbevaringsperiode 14 dage, hvorefter data skal slettes. Trafikdata, der ikke erknyttet til en sikkerhedshændelse, kan højst opbevares i 12 måneder.Der er ikke ved lov fastsat regler for MILCERT’s opbevaring og sletning af pakke- og trafikdata.
22/51
3.4.2. Forsvarsministeriets overvejelserForsvarsministeriet finder, at der bør fastsættes ensartede opbevarings- og sletningsregler for Centerfor Cybersikkerheds netsikkerhedstjeneste, der fremover vil omfatte både GovCERT’s og MIL-CERT’s nuværende aktiviteter. De fælles regler bør sikre, at netsikkerhedstjenestens adgang til atopbevare pakkedata fortsat begrænses mest muligt af hensyn til privatlivets fred.På den baggrund bør det fastholdes, at data, der knytter sig til en sikkerhedshændelse, højst kanopbevares i tre år.I forhold til data, der ikke knytter sig til en sikkerhedshændelse, har Forsvarsministeriet imidlertidkonstateret et behov for en forlængelse af den hidtidige opbevaringsperiode. Center for Cybersik-kerheds erfaringer med den praktiske anvendelse af de gældende sletningsregler viser således, atreglerne i en række tilfælde har medført, at netsikkerhedstjenesten ikke har haft optimale mulighe-der for at forhindre cyberangreb. På den baggrund vurderes det, at adgang til yderligere historiskedata vil give mulighed for en betydelig styrkelse af Center for Cybersikkerheds forebyggende ar-bejde.For det første giver de historiske data mulighed for at tegne et normalbillede af internetaktiviteternehos den enkelte myndighed eller virksomhed. Ved at analysere data for internetaktiviteten over enlængere periode vil Center for Cybersikkerheds netsikkerhedstjeneste f.eks. kunne fastslå, at det hosen konkret myndighed er normal praksis, at der en gang om måneden gennemføres en særlig back-up-procedure, hvor store mængder data overføres fra myndigheden til en ekstern modtager, eller atdet er en del af normalbilledet, at der også i visse weekender er datatrafik fra en virksomhed – akti-viteter, som ellers ville indikere en mulig sikkerhedshændelse og udløse en alarm hos netsikker-hedstjenesten.For det andet vil adgang til yderligere historiske data give netsikkerhedstjenesten langt bedre mu-ligheder for at spore cyberangreb, som ikke tidligere er blevet opdaget af de ramte myndighedereller virksomheder. Det vil især være tilfældet, når det konstateres, at en konkret myndighed ellervirksomhed er blevet ramt af et cyberangreb. Her vil Center for Cybersikkerhed på baggrund af ennærmere undersøgelse af angrebet typisk kunne fastslå en række karakteristika, f.eks. i form af an-grebsmetoder og -værktøjer, og på baggrund af disse karakteristika vil det i historiske data kunneundersøges, om også andre myndigheder og virksomheder har været ramt af tilsvarende – og hidtiluopdagede – angreb. Desuden modtager Center for Cybersikkerhed ofte underretninger fra andrenetsikkerhedstjenester, som i konkrete sager har konstateret, at bestemte IP-adresser har været an-vendt til alvorlige cyberangreb, og her er det af stor betydning, at netsikkerhedstjenesten har mulig-hed for at fastslå, om sådanne IP-adresser også har været i kontakt med netværket hos myndighederog virksomheder, som er tilsluttet netsikkerhedstjenesten.Jo længere perioden, hvor der er adgang til at søge efter karakteristika, er, jo større er mulighedenfor at opdage hidtil uopdagede cyberangreb.Grundet regelmæssige ændringer i normalbilledet, f.eks. i forbindelse med årlig regnskabsaflæggel-se og andre årlige aktiviteter, vurderes det endvidere at være af betydning at kunne foretage år-til-år-sammenligning af internetaktiviteten. Ved vurdering af det, der f.eks. umiddelbart vil kunne ligneen afvigelse fra normalbilledet i januar, vil der således kunne foretages en langt mere kvalificeretvurdering, hvis der er mulighed for at sammenligne med aktiviteterne i januar året før.
23/51
Forsvarsministeriet finder desuden, at opbevarings- og sletningsreglerne bør tage højde for, at dergælder særlige hensyn, når netsikkerhedstjenesten i overensstemmelse med lovforslagets videregi-velsesregler har videregivet data til politiet, andre myndigheder, samarbejdspartnere m.v. Videregi-velsen vil bl.a. ske i forbindelse med, at Center for Cybersikkerhed udsender sikkerhedsvarslinger,hvor centeret eksempelvis gør myndigheder og virksomheder opmærksomme på, at en bestemt IP-adresse anvendes til cyberangreb. Sådanne varslinger giver myndigheder og virksomheder mulig-hed for at tage deres forholdsregler, f.eks. ved at blokere den pågældende IP-adresse i en lokal fire-wall.Når en sådan videregivelse er sket via en varsling eller tilsvarende, har Center for Cybersikkerhed isagens natur ikke mulighed for at sikre, at der efterfølgende sker en sletning hos modtageren. Hertilkommer, at Center for Cybersikkerhed som udgangspunkt er forpligtet til at journalisere de afsendtevarslinger. Sletning af disse videregivne data vil dermed umiddelbart være i strid med de almindeli-ge principper for journalisering. Tilsvarende må det anses for betænkeligt, hvis data, der er videre-givet til politiet til brug ved en eventuel straffesag, risikerer at blive slettet hos Center for Cybersik-kerhed, inden en sådan sag er afsluttet, da det vil udelukke muligheden for, at der under sagen kanindhentes supplerende oplysninger hos Center for Cybersikkerhed. Forsvarsministeriet finder der-for, at der ikke bør gælde slettefrister i de tilfælde, hvor der er sket videregivelse af data.Det bemærkes, at danske myndigheder og virksomheder, der modtager sikkerhedsvarslinger franetsikkerhedstjenesten, efter omstændighederne vil være underlagt persondatalovens behandlings-regler, såfremt en sikkerhedsvarsling indeholder personoplysninger. Det vil bl.a. indebære, at mod-tagerne skal sikre, at der ikke er mulighed for at identificere fysiske personer i et længere tidsrumend det, der er nødvendigt af hensyn til de formål, hvortil personoplysningerne behandles. For eu-ropæiske myndigheder og virksomheder, der modtager sikkerhedsvarslinger, som indeholder per-sonoplysninger, vil der gælde tilsvarende nationale regler.3.4.3. Den foreslåede ordningForsvarsministeriet foreslår, at data, der er knyttet til en sikkerhedshændelse, fortsat højst må opbe-vares i tre år, hvorefter de skal slettes. Det er samme tidsmæssige grænse, som er fastsat i Gov-CERT-lovens § 4, stk. 3.For så vidt angår øvrige data, der ikke er knyttet til en sikkerhedshændelse, foreslås det, at der fast-sættes en fælles opbevaringsperiode på højst 13 måneder, som giver mulighed for at undersøge, ommyndigheder og virksomheder har været udsat for hidtil uopdagede cyberangreb samt foretage år-til-år-sammenligninger af normalbilledet hos de tilsluttede myndigheder og virksomheder.Som efter gældende ret vil der være tale om maksimale opbevaringsperioder. Center for Cybersik-kerheds netsikkerhedstjeneste vil således fortsat være forpligtet til at slette data, når formålet medbehandlingen er opfyldt, hvis dette sker før den maksimale opbevaringsperiodes udløb. Samtidig vildet generelle princip i den foreslåede § 14 om, at indsamlede personoplysninger ikke må opbevarespå en måde, der giver mulighed for at identificere den pågældende person i et længere tidsrum enddet, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles, også finde anven-delse på personoplysninger, der behandles af netsikkerhedstjenesten.
24/51
Endvidere foreslår Forsvarsministeriet, at reglerne om sletning ikke skal gælde i forhold til de heltsærlige situationer, hvor data er videregivet, jf. afsnit 3.5 og den foreslåede § 16.Der henvises til bemærkningerne til den foreslåede § 17.3.5. Videregivelse af data3.5.1. Gældende retGovCERT’s muligheder for at videregive pakke- og trafikdata er reguleret i GovCERT-lovens § 6.Efter bestemmelsens nr. 1 kan både pakke- og trafikdata, der knytter sig til en sikkerhedshændelse,videregives til politiet. Efter § 6, nr. 3, kan trafikdata videregives til danske myndigheder, tilsluttedeprivate virksomheder og tilsvarende varslingstjenester i andre lande, hvis en sådan videregivelse ernødvendig i henhold til varslingstjenestens formål og aktiviteter.Efter GovCERT-lovens § 6, nr. 2, er der en særlig udvidet adgang til at videregive pakkedata tilMILCERT, som på tidspunktet for GovCERT-lovens vedtagelse var en del af Forsvarets Efterret-ningstjeneste, mens GovCERT var en del af IT- og Telestyrelsen.3.5.2. Forsvarsministeriets overvejelserForsvarsministeriet finder, at der bør være restriktive rammer for Center for Cybersikkerheds vide-regivelse af data, der behandles på baggrund af indgreb i meddelelseshemmeligheden.Center for Cybersikkerheds netsikkerhedstjeneste bør fortsat have adgang til at videregive trafikdatatil den kreds af aktører, som er angivet i GovCERT-lovens § 6, nr. 3: Danske myndigheder, tilslut-tede private virksomheder og tilsvarende varslingstjenester i andre lande.For at styrke beskyttelsen af den danske ikt-infrastruktur finder Forsvarsministeriet imidlertid, atder også bør gives mulighed for at videregive trafikdata til udbydere af offentlige elektroniskekommunikationsnet og -tjenester, således at disse aktører – først og fremmest teleselskaber – vedhjælp af de modtagne trafikdata kan forbedre deres sikkerhedssystemer på baggrund af oplysningerom f.eks. IP-adresser, der anvendes ved cyberangreb. Dette vil have stor betydning for det samledeinformationssikkerhedsniveau i samfundet, da disse udbydere varetager driften af store dele af denikt-infrastruktur, som samfundsvigtige funktioner er afhængige af.Center for Cybersikkerhed har endvidere et tæt samarbejde med andre netsikkerhedstjenester i ud-landet, f.eks. CERT’er og ikt-sikkerhedsmyndigheder, som bidrager med vigtige informationer, derøger centerets muligheder for at forebygge sikkerhedshændelser i Danmark. Et effektivt internatio-nalt samarbejde på myndighedsniveau forudsætter, at Danmark også kan give disse udenlandskesamarbejdspartnere oplysninger, som kan bidrage til at stoppe grænseoverskridende cyberangreb,såvel udgående fra som rettet mod Danmark.En af Center for Cybersikkerheds vigtigste forebyggende aktiviteter er udsendelse af sikkerheds-varslinger, hvor myndigheder, virksomheder, andre netsikkerhedstjenester m.v. underrettes om sær-ligt alvorlige sikkerhedshændelser. Sikkerhedsvarslingerne udsendes til en afgrænset kreds af aktø-rer og bliver ikke i øvrigt offentliggjort. Sikkerhedsvarslingerne giver modtagerne mulighed for atstyrke deres egen forebyggelse mod cyberangreb (f.eks. ved at blokere for trafik fra IP-adresser, der
25/51
indgår i hackeres angrebsinfrastruktur) og undersøge, om de selv har været udsat for cyberangreb(f.eks. ved at gennemgå logfiler for e-mails fra afsendere, der har angrebet andre myndigheder ellervirksomheder). Center for Cybersikkerhed bør derfor have mulighed for at udsende sikkerhedsvars-linger, der indeholder de trafikdata, som kan styrke modtagernes informationssikkerhedsniveau,f.eks. de nævnte IP-adresser. Sikkerhedsvarslingerne bør fortsat aldrig kunne indeholde pakkedata.3.5.3. Den foreslåede ordningForsvarsministeriet foreslår, at politiet ved begrundet mistanke om en sikkerhedshændelse fortsatvil kunne modtage data fra Center for Cybersikkerhed. Der vil som efter den gældende ordning væ-re tale om både pakke- og trafikdata, hvortil kommer data, der er indeholdt i eller hidrører fra etinformationssystem, jf. den foreslåede § 7.Kredsen af aktører, hvortil der kan videregives trafikdata, foreslås udvidet til også at omfatte udby-dere af offentlige elektroniske kommunikationsnet og -tjenester (teleselskaber) samt andre netsik-kerhedstjenester. Desuden foreslås det, at Center for Cybersikkerhed får hjemmel til at udsendesikkerhedsvarslinger, der indeholder trafikdata.Der henvises til bemærkningerne til den foreslåede § 16.For så vidt angår den interne udveksling af data i Forsvarets Efterretningstjeneste bemærkes det, atGovCERT-lovens bestemmelser om videregivelse af data i dag også regulerer forhold, der som føl-ge af oprettelsen af Center for Cybersikkerhed (og placeringen af centeret ved Forsvarets Efterret-ningstjeneste) har intern karakter. Det gælder f.eks. spørgsmålet om videregivelse af data fra Gov-CERT til MILCERT, der nu begge er en del af Center for Cybersikkerhed. En sådan intern udveks-ling af data har efter oprettelsen af Center for Cybersikkerhed ikke længere karakter af videregivel-se, og den interne udveksling af data i Forsvarets Efterretningstjeneste er – i overensstemmelse medalmindelige forvaltningsretlige principper – ikke reguleret i lovforslaget.Med lovforslaget vil det almindelige forvaltningsretlige udgangspunkt således være gældende forCenter for Cybersikkerhed. Det indebærer, at der som udgangspunkt er fri adgang til at udveksledata internt i Forsvarets Efterretningstjeneste, herunder mellem Center for Cybersikkerhed og denøvrige del af efterretningstjenesten, hvis dette er nødvendigt for at løse myndighedens opgaver, ogder i øvrigt er tale om et sagligt formål. Det sikrer, at alle de relevante ressourcer i ForsvaretsEfterretningstjeneste hurtigt og effektivt kan indsættes ved den meget store andel af cyberangrebenemod Danmark, som hidrører fra udlandet, og hvor Forsvarets Efterretningstjeneste som udenrigs-efterretningstjeneste kan bidrage med en række værdifulde oplysninger.Forsvarsministeriet vil imidlertid i forbindelse med lov om Center for Cybersikkerheds ikrafttrædenudstede administrative retningslinjer, der sikrer, at den interne udveksling af oplysninger mellemCenter for Cybersikkerhed og den øvrige del af Forsvarets Efterretningstjeneste også fremadrettetsker med respekt for retssikkerheden og den personlige frihed. Center for Cybersikkerhed behandlerdata på baggrund af indgreb i meddelelseshemmeligheden, og retningslinjerne vil blandt andetindeholde bestemmelser om, at sådanne data kun kan videreformidles til den øvrige del afForsvarets Efterretningstjeneste, hvis de pågældende data er knyttet til en cybersikkerhedshændelse.Desuden vil retningslinjerne fastsætte, at medarbejdere, der varetager efterretningsmæssige opgaveri den øvrige del af Forsvarets Efterretningstjeneste, ikke må have adgang til de it-systemer, hvorCenter for Cybersikkerhed behandler data på baggrund af indgreb i meddelelseshemmeligheden.
26/51
Såvel Center for Cybersikkerheds videregivelse af personoplysninger som den interne udveksling afoplysninger vil være underlagt tilsyn af Tilsynet med Efterretningstjenesterne, jf. afsnit 3.6 neden-for.3.6. Tilsyn med behandling af personoplysninger3.6.1. Gældende retDet følger af GovCERT-lovens § 7, at der skal nedsættes et uafhængigt tilsyn, der følger Gov-CERT’s virksomhed.Tilsynet, der nedsættes af forsvarsministeren, skal bestå af en formand, der er jurist, og fire sagkyn-dige medlemmer. Det er en forudsætning, at tilsynets medlemmer kan sikkerhedsgodkendes. Med-lemmerne beskikkes som følge af den almindelige tillid og agtelse, der er knyttet til deres person,og der lægges vægt på, at tilsynet repræsenterer juridisk, it-revisionsmæssig og sikkerhedsmæssigsagkundskab. GovCERT-tilsynets virke er nærmere beskrevet i Forsvarsministeriets forretningsor-den af 13. maj 2013 for Tilsynet med den statslige varslingstjeneste for internettrusler mv. (Gov-CERT).GovCERT-tilsynet fører alene tilsyn med GovCERT’s virksomhed og ikke med Center for Cyber-sikkerheds virksomhed generelt.3.6.2. Forsvarsministeriets overvejelserDer er mellem Center for Cybersikkerhed og det nuværende GovCERT-tilsyn etableret et velfunge-rende og konstruktivt samarbejde.Som led i etableringen af et nyt retsgrundlag for Forsvarets Efterretningstjeneste og Politiets Efter-retningstjeneste er der imidlertid fra 1. januar 2014 oprettet et uafhængigt tilsyn med de to efterret-ningstjenester. Tilsynet, der benævnes Tilsynet med Efterretningstjenesterne, har i forhold til For-svarets Efterretningstjeneste til opgave at føre tilsyn med tjenestens overholdelse af FE-lovens reg-ler vedrørende behandling af personoplysninger om i Danmark hjemmehørende fysiske og juridiskepersoner. Tilsynet har sit eget sekretariat, og både for så vidt angår ressourcer, uafhængighed ogbeføjelser er der med det nye tilsyn sket en markant styrkelse af kontrollen med Forsvarets Efterret-ningstjenestes behandling af personoplysninger.Der er betydelige sammenfald mellem de tilsynsopgaver, som Tilsynet med Efterretningstjenesterneudfører i forhold til Forsvarets Efterretningstjeneste, og de tilsynsopgaver, som fremadrettet vilskulle udføres i forhold til Center for Cybersikkerhed. I begge tilfælde er der således tale om vare-tagelse af en tilsynsopgave i forhold til behandling af personoplysninger, og ved en videreførelse afdet nuværende GovCERT-tilsyn vil der reelt være tale om, at to tilsynsorganer udfører en emne-mæssigt identisk opgave.Det er på den baggrund Forsvarsministeriets opfattelse, at Center for Cybersikkerheds placeringsom en del af Forsvarets Efterretningstjeneste klart taler for, at Tilsynet med Efterretningstjenester-ne også bør varetage tilsynsopgaven i forhold til Center for Cybersikkerhed.
27/51
3.6.3. Den foreslåede ordningForsvarsministeriet foreslår, at Tilsynet med Efterretningstjenesterne varetager opgaven med at føretilsyn med Center for Cybersikkerheds overholdelse af lovforslagets regler om behandling af per-sonoplysninger.Tilsynsfunktionen foreslås tilrettelagt efter samme model, som gælder i forhold til Forsvarets Efter-retningstjeneste og Politiets Efterretningstjeneste, herunder at tilsynet også i forhold til Center forCybersikkerhed vil være fuldt uafhængigt og agere efter klage eller af egen drift. Ligeledes vil til-synet kunne afgive udtalelse over for Center for Cybersikkerhed, og tilsynet vil skulle underretteforsvarsministeren om forhold, som ministeren efter tilsynets opfattelse bør have kendskab til.På visse områder vil Tilsynet med Efterretningstjenesternes tilsynsvirksomhed i forhold til Centerfor Cybersikkerhed dog adskille sig fra tilsynsvirksomheden i forhold til Forsvarets Efterretnings-tjeneste og Politiets Efterretningstjeneste.En vigtig opgave for Tilsynet med Efterretningstjenesterne i forhold til de to efterretningstjenesterer således at varetage en særlig indsigtsordning, hvor fysiske eller juridiske personer kan anmodetilsynet om at undersøge, hvorvidt en efterretningstjeneste uberettiget behandler oplysninger om denpågældende. Tilsynet sikrer i så fald, at dette ikke er tilfældet, og giver herefter den pågældendemeddelelse herom. Hvis særlige forhold taler herfor, kan Tilsynet med Efterretningstjenesterneendvidere pålægge en efterretningstjeneste at give hel eller delvis indsigt i oplysninger.I modsætning til efterretningstjenesterne har Center for Cybersikkerhed ikke til formål at behandlepersonoplysninger, og personoplysninger vil som den altovervejende hovedregel være uden interes-se for centeret, der via netsikkerhedstjenesten primært søger at indsamle tekniske oplysninger, somgør det muligt at undersøge og forebygge cyberangreb. Som led i denne indsamling vil Center forCybersikkerhed dog uundgåeligt behandle personoplysninger, fordi personoplysningerne er inde-holdt i de data, som indsamles med henblik på at lokalisere de relevante tekniske oplysninger omsikkerhedshændelser. Center for Cybersikkerhed foretager imidlertid ikke en egentlig registrering afdisse personoplysninger, ligesom der ikke opereres med sager om enkeltpersoner.Den tilsynsvirksomhed, som Tilsynet med Efterretningstjenesterne vil skulle udøve i forhold tilCenter for Cybersikkerhed, vil derfor have en karakter, der på visse områder kan sammenlignesmed det tilsyn, som Datatilsynet udøver i forhold til andre offentlige myndigheder, idet tilsynet vilskulle påse, at Center for Cybersikkerhed efterlever bestemmelserne i det foreslåede kapitel 4 (omindgreb i meddelelseshemmeligheden), kapitel 6 (om behandling af personoplysninger) og kapitel 7(om analyse, videregivelse og sletning af data). Endvidere vil tilsynet skulle påse, at Center for Cy-bersikkerhed i forbindelse med centerets behandling af personoplysninger overholder de krav tilsikkerhedsforanstaltninger, der følger af kapitel 8. Endelig vil tilsynet have til opgave at påse, atyderligere regler om behandling af personoplysninger, der fastsættes i administrative retningslinjer,overholdes.Tilsynet vil f.eks. kunne udøves gennem kontrol af centerets interne procedurer i forbindelse medvideregivelse og sletning af oplysninger samt stikprøvekontrol af, om sletning sker rettidigt. Hertilkommer, at tilsynet på baggrund af klager fra fysiske personer vil kunne undersøge, om Center for
28/51
Cybersikkerhed i konkrete sager har handlet i overensstemmelse med bestemmelserne om videregi-velse og sletning af oplysninger.I forhold til Forsvarets Efterretningstjeneste indebærer FE-lovens særlige indsigtsordning, at tilsy-net i konkrete sager efter anmodning skal sikre, at efterretningstjenesten ikke uberettiget behandleroplysninger om en i Danmark hjemmehørende fysisk eller juridisk person. Derefter skal tilsynetgive den pågældende meddelelse herom. Af meddelelsen skal det imidlertid alene kunne udledes, atder ikke uberettiget behandles oplysninger om den pågældende. Det skal ikke fremgå eller kunneudledes, om der ikke behandles eller har været behandlet oplysninger, om der tidligere uberettigethar været behandlet oplysninger, eller om der berettiget behandles oplysninger. Et tilsvarende hen-syn gør sig ikke gældende i forhold til tilsynets behandling af klagesager vedrørende Center forCybersikkerhed, hvor der således i tilsynets afgørelser efter omstændighederne f.eks. vil kunne gi-ves oplysninger om, at centeret har behandlet oplysninger om klageren.Der henvises til bemærkningerne til de foreslåede §§ 19-24.Forsvarsministeriet vil drøfte med det nuværende GovCERT tilsyn, under hvilken form det eventu-elt vil kunne videreføres som et rådgivende organ, der ikke varetager tilsynsopgaver, men sikrer envelfungerende dialog og erfaringsudveksling mellem centeret og forsknings- og erhvervslivet.4. Økonomiske og administrative konsekvenser for det offentligeLovforslaget indebærer en styrkelse af Center for Cybersikkerheds netsikkerhedstjeneste. Endviderevil Tilsynet med Efterretningstjenesternes virksomhed skulle udvides til også at omfatte Center forCybersikkerhed.Hvert ministerområde vil som hidtil blive tilbudt vederlagsfri monitorering af én forbindelse til in-ternettet. Såfremt der på et ministerområde er ønske om monitorering af yderligere forbindelser tilinternettet, vil myndigheden efter anmodning kunne få monitoreret mere end én forbindelse, hvisder sker dækning af Center for Cybersikkerheds udgifter til indkøb og/eller udvikling af evt. moni-toreringsudstyr og udgifter til driften heraf. Fællesstatslige internetforbindelser, der leveres gennemStatens It eller tilsvarende fælles driftsselskaber, monitoreres som hidtil vederlagsfrit af Center forCybersikkerhed som følge af de særlige sikkerhedsmæssige hensyn, der knytter sig til en centralise-ret tjeneste. På Forsvarsministeriets område vil der ske vederlagsfri monitorering af de myndighe-der, som af den militære it-sikkerhedsmyndighed pålægges at blive tilsluttet netsikkerhedstjenesten.Regionale og kommunale myndigheder samt offentligt ejede virksomheder, der ønsker at blive til-sluttet netsikkerhedstjenesten, vil som hidtil skulle dække de udgifter, der er forbundet med indkøbog/eller udvikling af evt. monitoreringsudstyr, samt dække Center for Cybersikkerheds udgifter tildriften heraf.Myndigheder og offentligt ejede virksomheder, der er tilsluttet netsikkerhedstjenesten, vil løbendemodtage varslinger og alarmer fra netsikkerhedstjenesten. Det forudsættes i den forbindelse, at detilsluttede myndigheder efter behov indgår i en nærmere dialog om varslinger og alarmer, herunderstiller relevante logoplysninger til rådighed for netsikkerhedstjenesten samt foretager den relevanteinterne opfølgning. Tilslutning til netsikkerhedstjenesten kan dermed i mindre omfang have admini-strative konsekvenser for tilsluttede myndigheder og offentligt ejede virksomheder.
29/51
5. Økonomiske og administrative konsekvenser for erhvervslivet m.v.Virksomheder, der er beskæftiget med samfundsvigtige funktioner, vil efter en konkret vurderingkunne blive tilsluttet Center for Cybersikkerheds netsikkerhedstjeneste, jf. afsnit 3.1. Der vil vedtilslutning blive opkrævet en betaling, der dækker de udgifter, som er forbundet med indkøb og/ellerudvikling af evt. monitoreringsudstyr, samt Center for Cybersikkerheds udgifter ved monitorerin-gen. De første to måneders tilslutning betragtes dog som en indkøringsperiode, hvor der ikke skeropkrævning.Virksomheder, der er tilsluttet netsikkerhedstjenesten, vil løbende modtage varslinger og alarmerfra netsikkerhedstjenesten. Det forudsættes i den forbindelse, at de tilsluttede virksomheder efterbehov indgår i en nærmere dialog om varslinger og alarmer, herunder stiller relevante logoplysnin-ger til rådighed for netsikkerhedstjenesten samt foretager den relevante interne opfølgning. Tilslut-ning til netsikkerhedstjenesten kan dermed i mindre omfang have administrative konsekvenser fortilsluttede virksomheder.6. Administrative konsekvenser for borgerneLovforslaget har ingen administrative konsekvenser for borgerne.7. Miljømæssige konsekvenserLovforslaget har ingen miljømæssige konsekvenser.8. Forholdet til EU-rettenCenter for Cybersikkerhed er en del af Forsvarets Efterretningstjeneste, og de opgaver, som centereti medfør af dette lovforslag skal udføre, vedrører den offentlige sikkerhed, forsvaret og statens sik-kerhed.Den samlede karakter af de opgaver, som Center for Cybersikkerhed i dag løser, medfører således,at centeret ikke er omfattet af Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om friudveksling af sådanne oplysninger (databeskyttelsesdirektivet), jf. direktivets artikel 3, stk. 2, hvor-efter direktivet bl.a. ikke gælder for behandling af oplysninger vedrørende den offentlige sikkerhed,forsvar og statens sikkerhed.9. Hørte myndigheder og organisationer m.v.Et udkast til lovforslaget har været sendt i høring hos:Advokatrådet, Amnesty International, Brancheorganisation for Den Danske Vejgodstransport(ITD), Danmarks Rederiforening, Dansk Energi, Dansk Erhverv, Dansk Internet Forum (DIFO),DANSK IT, Danske Advokater, Danske Regioner, Datatilsynet, Dansk Industri (DI), Den DanskeDommerforening, DI ITEK, DKCERT, Domstolsstyrelsen, Finansrådet, Foreningen Danske Oliebe-redskabslagre, Foreningen af Open Source Leverandører, Foreningen af Vandværker i Danmark,Færøernes Landsstyre, Grønlands Selvstyre, Institut for Menneskerettigheder, ISP Sikkerhedsfo-
30/51
rum, IT-Branchen, IT-Politisk Forening, Kommunernes Landsforening (KL), Landbrug & Fødeva-rer, Lægemiddelindustriforeningen (LIF), Procesindustriens Brancheforening, PROSA, Præsidentenfor Vestre Landsret, Præsidenten for Østre Landsret, Retspolitisk Forening, Retssikkerhedsfonden,Rigspolitichefen, Rigsadvokaten, Rigsrevisionen, Rådet for Digital Sikkerhed, Statens IT-projektråd, Telekommunikationsindustrien (TI) og The Open Web Application Security Project(OWASP Danmark).10. Sammenfattende skemaPositive konsekvenser/mindreudgifterIngen.Negative konsekvenser/merudgifterUdgifter til omkostningsdæk-ning ved den frivillige tilslut-ning til netsikkerhedstjenestenfor regioner, kommuner ogstatslige virksomheder samtfor ministerområder, der øn-sker monitorering af flere in-ternetforbindelser.Behandling af de varslinger ogalarmer, som tilsluttede myn-digheder modtager fra netsik-kerhedstjenesten, vil i et min-dre omfang medføre admini-strativt ressourceforbrug hosmyndighederne.Udgifter til omkostningsdæk-ning ved frivillig tilslutning tilnetsikkerhedstjenesten.Behandling af de varslinger ogalarmer, som tilsluttede virk-somheder modtager fra netsik-kerhedstjenesten, vil i et min-dre omfang medføre admini-strativt ressourceforbrug hosvirksomhederne.Ingen.
Økonomiske konsekvenser forstat, regioner og kommuner
Administrative konsekvenserIngen.for stat, regioner og kommuner
Økonomiske konsekvenser forerhvervslivet m.v.Administrative konsekvenserfor erhvervslivet m.v.
Ingen.Ingen.
Administrative konsekvenserfor borgerneMiljømæssige konsekvenserForholdet til EU-retten
Ingen.
Ingen.Ingen.Lovforslaget indeholder ikke EU-retlige aspekter af betydning.
31/51
Bemærkninger til lovforslagets enkelte bestemmelserTil § 1Bestemmelsensstk. 1giver en beskrivelse af Center for Cybersikkerheds hovedopgave, som er atbidrage til et højt sikkerhedsniveau i informations- og kommunikationsteknologisk infrastruktur(ikt-infrastruktur) og dermed understøtte et højt informationssikkerhedsniveau i Danmark. En ro-bust ikt-infrastruktur er vigtig for Danmarks sikkerhed og økonomi, og en lang række af de vigtigstesamfundsfunktioner er afhængige af, at ikt-infrastrukturen er velfungerende.Center for Cybersikkerhed er tillagt en række konkrete opgaver, som hver især bidrager til løsnin-gen af centerets hovedopgave.Center for Cybersikkerheds netsikkerhedstjeneste, jf. den foreslåede § 3, har til opgave at opdage,analysere og bidrage til at imødegå sikkerhedshændelser på såvel det civile som det militære områ-de. Som national it-sikkerhedsmyndighed varetager centeret desuden en række opgaver af forebyg-gende og afhjælpende karakter, herunder rådgivning af statslige myndigheder om informationssik-kerhed samt tekniske analyser og assistance til myndigheder ved cyberangreb.På Forsvarsministeriets område leder og kontrollerer Center for Cybersikkerhed den militære it-sikkerhedstjeneste. Som led heri bidrager centeret til udvikling af Forsvarets ikt-systemer med sik-kerhedsdesign, udgiver militære ikt-sikkerhedsbestemmelser, kvalitetssikrer informationssikkerhe-den og yder sikkerhedsteknisk støtte samt sikkerhedsgodkender ikt-systemer og -installationer, bl.a.på baggrund af TEMPEST-målinger (måling af uønsket elektromagnetisk udstråling). Herudoversikrer centeret bevismateriale i sager om brud på informationssikkerheden, udfører tekniske sikker-hedseftersyn og monitering af kontorer og mødelokaler, hvor der skal gennemføres klassificeredesamtaler, med henblik på opdagelse og fjernelse af lytteudstyr m.v. Center for Cybersikkerhed løserendvidere de militære opgaver inden for informationssikkerhed, som Danmark gennem sit medlem-skab af NATO er forpligtet til, herunder varetagelse af funktionerne som National Security Authori-ty (NSA), National Accreditation Authority (NAA), National Communication Security Authority(NCSA) og National TEMPEST Authority.Hertil kommer, at Center for Cybersikkerhed har myndighedsansvaret for informationssikkerhed ogberedskab i relation til samfundets teleforsyning, herunder ved krisestyring med henblik på i videstmuligt omfang at tilgodese samfundsvigtige myndigheder og virksomheders adgang til telefoni oginternetkommunikation ved større kriser.Den hastige udvikling på informationssikkerhedsområdet medfører, at Center for Cybersikkerhedsopgaver udvikler sig dynamisk. Det er således forudsat, at der løbende vil ske en udvikling af dekonkrete opgaver, som centeret løser med henblik på at understøtte et højt informationssikkerheds-niveau i samfundet.Bestemmelsensstk. 2fastslår Center for Cybersikkerheds organisatoriske tilhørsforhold. Regerin-gen besluttede i 2011, at myndighedernes indsats på it-sikkerhedsområdet skulle samles i et it-sikkerhedscenter, og at dette center – Center for Cybersikkerhed – skulle være en del af ForsvaretsEfterretningstjeneste under Forsvarsministeriet.
32/51
Forsvarets Efterretningstjenestes opgaver er reguleret ved lov nr. 602 af 12. juni 2013 om Forsva-rets Efterretningstjeneste (FE-loven), der trådte i kraft den 1. januar 2014. Det fremgår af FE-lovens§ 1, stk. 3, 2. pkt, at Forsvarets Efterretningstjenestes opgaver som national it-sikkerheds-myndighed, militær varslingstjeneste for internettrusler m.v. (MILCERT) og statslig varslingstjene-ste for internettrusler (GovCERT) ikke reguleres af FE-lovens materielle bestemmelser, men vilblive reguleret særskilt.Der henvises i øvrigt til afsnit 2.1 og 2.2 i de almindelige bemærkninger.Til § 2Den foreslåede § 2 definerer fem centrale begreber i loven, hvoraf begreberne sikkerhedshændelse,pakkedata og trafikdata med enkelte sproglige tilpasninger og præciseringer videreføres fra Gov-CERT-lovens § 3, mens begreberne personoplysninger og behandling defineres i overensstemmelsemed persondatalovens § 3, nr. 1 og 2.Nr. 1viderefører definitionen af sikkerhedshændelse fra GovCERT-lovens § 3, nr. 3, med en sprog-lig præcisering af, at sikkerhedshændelser er hændelser med en negativ påvirkning af tilgængelig-hed, integritet eller fortrolighed af data, informationssystemer, digitale netværk eller digitale tjene-ster. Det præciseres endvidere, at begrebet sikkerhedshændelse omfatter hændelser, der vurderes atville kunne have den beskrevne påvirkning.Definitionen indebærer, at enhver unormal situation, der potentielt kan kompromittere informati-onssystemer, digitale netværk, digitale tjenester eller andre elektroniske systemer eller data, derlagres, processeres eller transmitteres af disse systemer, vil være at betragte som en sikkerhedshæn-delse. Desuden præciseres det, at begrebet omfatter data, informationssystemer, digitale netværk ogdigitale tjenester, således at det udtrykkeligt fremgår, at også hændelser, som rammer lukkede net-værk (netværk, der ikke er forbundet til internettet), kan have karakter af sikkerhedshændelser.Et eksempel på en sikkerhedshændelse, der negativt påvirker tilgængeligheden af en digital tjeneste,er et overbelastningsangreb (denial-of-service angreb), hvor f.eks. en hjemmeside rammes af et stortantal forespørgsler, så brugere ikke kan få adgang til hjemmesiden. En sikkerhedshændelse, dernegativt påvirker integriteten af såvel data som et informationssystem, kan eksempelvis være ind-trængen i en database, hvor oplysninger ændres uden databaseejerens vidende. En sikkerhedshæn-delse, der negativt påvirker fortroligheden af et informationssystem, kan være en såkaldt ”trojanskhest”, hvor der installeres et program på en myndigheds informationssystem, som muliggør uautori-seret kopiering af data fra myndigheden.Med definitionen af begrebet pakkedata inr. 2videreføres GovCERT-lovens § 3, nr. 1, dog med ensproglig præcisering af, at pakkedata er indholdet af kommunikation, der transmitteres gennem digi-tale netværk eller tjenester – og ikke kun internetbaseret kommunikation. Som hidtil vil det seman-tiske indhold af kommunikation, der transmitteres gennem digitale netværk eller tjenester, væreomfattet af begrebet pakkedata. Det kan f.eks. være indholdet af en e-mailkorrespondance eller ind-holdet af tilgåede hjemmesider. Derudover er det tekniske indhold af kommunikationen, f.eks.HTML- eller XML-koder, omfattet af begrebet pakkedata.
33/51
Bestanddelene af en internetkommunikation betegnes teknisk som ”pakker”. Denne tekniske beteg-nelse er ikke identisk med betegnelsen pakkedata efter den foreslåede § 2, nr. 2. En ”pakke” i tek-nisk forstand vil således bestå af såvel pakke- som trafikdata i lovforslagets forstand.Det foreslåedenr. 3definerer begrebet trafikdata. Der er tale om en videreførelse af GovCERT-lovens § 3, nr. 2, med enkelte præciseringer. Ved trafikdata forstås data, som behandles med hen-blik på overførsel af pakkedata. Det vil sige data, som beskriver oprindelse, destination og rutesty-ringsinformation, herunder oprindelsesdomænet eller den oprindelige elektroniske adresse samtanden tilsvarende information. Trafikdata kan eksempelvis være header-informationen i digitalekommunikationsprotokoller, men vil også omfatte protokoller, der udelukkende anvendes til rute-og kommunikationsstyring, f.eks. DNS og SIP. Konkrete eksempler på trafikdata er oplysninger omIP-adresser, e-mailadresser, hjemmesideadresser, browserversioner, kommunikationens varighed ogtidspunktet for kommunikationen.Definitionen af begrebet personoplysninger inr. 4er identisk med den tilsvarende definition i per-sondatalovens § 3, nr. 1, og skal fortolkes i overensstemmelse med denne bestemmelses forarbejderog relevante praksis.Definitionen af begrebet behandling inr. 5er identisk med den tilsvarende definition i persondata-lovens § 3, nr. 2, og skal fortolkes i overensstemmelse med denne bestemmelses forarbejder og re-levante praksis.Til § 3Den foreslåede § 3 fastsætter de overordnede rammer for Center for Cybersikkerheds netsikker-hedstjeneste. Der er for så vidt angår netsikkerhedstjenestens aktiviteter på det civile område taleom en delvis videreførelse af GovCERT-lovens § 2, mens netsikkerhedstjenestens aktiviteter påForsvarsministeriets område (MILCERT) ikke tidligere har været reguleret ved lov.Det foreslås medstk. 1,at betegnelsen ”netsikkerhedstjeneste” erstatter GovCERT-lovens ”vars-lingstjeneste”. Netsikkerhedstjeneste vil være den fremtidige betegnelse for Center for Cybersik-kerheds samlede aktiviteter i forbindelse med at opdage, analysere og bidrage til at imødegå sikker-hedshændelser. Netsikkerhedstjenesten vil således omfatte alle de kapaciteter ved Center for Cyber-sikkerhed, der på forskellig vis bidrager til monitoreringens gennemførelse, herunder CERT-aktiviteterne på det civile område (GovCERT) og det militære område (MILCERT), sikkerhedstek-niske aktiviteter (f.eks. analyse af malware samt forensic-undersøgelser i forbindelse med sikring afbevismateriale i sager om informationssikkerhed på Forsvarsministeriets område) samt støttefunkti-oner.Netsikkerhedstjenestens opgave er som nævnt at opdage, analysere og bidrage til at imødegå sik-kerhedshændelser. Der er ikke med denne formulering tilsigtet en ændring i forhold til de opgaver,som GovCERT hidtil har løst med hjemmel i GovCERT-loven, men opgaverne vil blive udført påbåde det civile og det militære område. Myndigheder og institutioner på Forsvarsministeriets myn-dighedsområde har ikke været omfattet af GovCERT-loven, da MILCERT har varetaget funktionenfor de militære myndigheder.Ved tilslutning til netsikkerhedstjenesten vil der som hidtil blive indgået en tilslutningsaftale, dernærmere regulerer specifikke forhold i relationen mellem netsikkerhedstjenesten og den enkelte
34/51
tilsluttede myndighed eller virksomhed. Tilslutningen anses for at være sket, når denne aftale erindgået. På Forsvarsministeriets område er det den militære it-sikkerhedsmyndighed, som pålæggermyndigheder at blive tilsluttet netsikkerhedstjenesten, og på dette område indgås ikke tilslutningsaf-taler.En myndighed eller virksomhed, der tilsluttes netsikkerhedstjenesten, vil modtage en sikkerheds-ydelse, der er tilpasset den enkelte myndigheds eller virksomheds behov. Der vil eksempelvis kunneske en monitorering af myndighedens eller virksomhedens forbindelse til internettet, således at net-sikkerhedstjenesten ved hjælp af f.eks. en lokalt placeret alarmenhed kan opdage og analysere sik-kerhedshændelser. På den baggrund – og på baggrund af tilsvarende analyser hos de øvrige tilslut-tede myndigheder og virksomheder – kan netsikkerhedstjenesten dels alarmere myndigheden ellervirksomheden, når der konstateres konkrete sikkerhedshændelser, dels udsende mere generelle vars-linger. Desuden vil tilsluttede myndigheder og virksomheder kunne modtage varslinger på bag-grund af oplysninger, som Center for Cybersikkerhed modtager fra Forsvarets Efterretningstjenestesudenrigsefterretningstjeneste, andre netsikkerhedstjenester samt andre udenlandske samarbejdspart-nere.Netsikkerhedstjenesten vil desuden yde rådgivning om informationssikkerhed til de tilsluttedemyndigheder og kunne yde bistand, hvis en myndighed eller virksomhed rammes af en alvorligsikkerhedshændelse.Stk. 2beskriver de statslige aktører m.v., som efter anmodning kan tilsluttes netsikkerhedstjenesten.Der er tale om en videreførelse af gældende ret efter GovCERT-loven, hvorefter netsikkerhedstje-nestens ydelser som udgangspunkt stilles til rådighed for statens institutioner. Som hidtil vil alle deøverste statsorganer – det vil sige Folketinget med tilhørende institutioner, regenten og domstolene– kunne tilsluttes netsikkerhedstjenesten.Den foreslåedestk. 3er en delvis videreførelse af GovCERT-lovens § 2, stk. 1. Regioner og kom-muner og visse virksomheder kan således fortsat efter anmodning blive tilsluttet netsikkerhedstje-nesten. Kredsen af virksomheder, der kan tilsluttes, udvides imidlertid fra virksomheder, der er be-skæftiget med kritisk infrastruktur, til virksomheder, der er beskæftiget med samfundsvigtige funk-tioner.Ved samfundsvigtige funktioner forstås i denne sammenhæng funktioner, som er særligt vigtige forsamfundets og demokratiets opretholdelse og sikkerhed samt borgernes tryghed, herunder funktio-ner inden for sundhed, energi, transport, forsyning, finans, forskning, medier og kommunikationsamt funktioner, som har stor økonomisk betydning for samfundet. Som eksempler på nye typer afvirksomheder, der vil få mulighed for at blive tilsluttet netsikkerhedstjenesten, kan nævnes medici-nalvirksomheder, fødevarevirksomheder, virksomheder, der leverer vigtige komponenter til Forsva-ret, og virksomheder, der varetager driften af administrative it-systemer for det offentlige. Bestem-melsen er ikke begrænset til virksomheder, men omfatter alle juridiske personer, der er beskæftigetmed samfundsvigtige funktioner.Da netsikkerhedstjenestens kapacitet er begrænset, foreslås det, at Center for Cybersikkerhed fårhjemmel til at foretage en konkret vurdering af, om en anmodning fra en region, kommune ellervirksomhed, der ønsker at blive tilsluttet netsikkerhedstjenesten, kan imødekommes.
35/51
Centerets afgørelse vil blive truffet ud fra en overordnet vurdering af, om den pågældende myndig-heds eller virksomheds tilslutning vil kunne bidrage til at understøtte et højt informationssikker-hedsniveau i samfundet. Ved denne vurdering vil der som i dag blive lagt vægt på netsikkerhedstje-nestens aktuelle kapacitet, men der vil endvidere blive lagt vægt på, om den pågældende myndighedeller virksomhed har en it-infrastruktur, der kan udnytte fordelene ved den monitoreringsydelse,som leveres. Det forudsætter, at it-infrastrukturen er hensigtsmæssigt indrettet, at den pågældendemyndighed eller virksomhed har et tilfredsstillende informationssikkerhedsniveau, og at it-drifts-organisationen har et beredskab, der kan håndtere alarmer fra netsikkerhedstjenesten. Der vil endvi-dere blive lagt vægt på, at netsikkerhedstjenesten samlet set opnår en samfundsmæssigt repræsenta-tiv dækning, således at netsikkerhedstjenesten dækker så mange forskellige sektorer, brancher, virk-somhedstyper og it-teknologier som muligt, hvorved netsikkerhedstjenesten får optimale mulighe-der for at forebygge cyberangreb. Centerets afgørelse vil kunne påklages til Forsvarsministeriet.Det foreslås medstk. 4,at den hidtidige ordning fra GovCERT-lovens § 2, stk. 2, videreføres, såle-des at Center for Cybersikkerhed ved bekendtgørelse kan fastsætte nærmere regler for regioners,kommuners og virksomheders tilslutning til netsikkerhedstjenesten, herunder regler om betaling afgebyr.Med hjemmel i GovCERT-lovens § 2, stk. 2, er bekendtgørelse nr. 1304 af 17. december 2012 omvilkår for tilslutning til den statslige varslingstjeneste for internettrusler udstedt. Bekendtgørelsenregulerer bl.a. ejerskab og håndtering af monitoreringsudstyr samt ansvar for sikkerhedsforanstalt-ninger. Desuden følger det af bekendtgørelsen, at tilsluttede myndigheder og virksomheder betaleret årligt beløb til dækning af driftsudgifter og herudover betaler de udgifter, der er forbundet medGovCERT’s indkøb og/eller udvikling af alarmenhed og service af denne.Det forudsættes, at regioner, kommuner og virksomheder, der ønsker at blive tilsluttet netsikker-hedstjenesten, som hidtil dækker de udgifter, der er forbundet med indkøb og/eller udvikling af evt.monitoreringsudstyr, samt Center for Cybersikkerheds udgifter til monitoreringen. De første to må-neders tilslutning betragtes dog som en indkøringsperiode, hvor der ikke sker opkrævning.De myndigheder, der tilsluttes efter stk. 2, modtager som hidtil netsikkerhedstjenestens ydelser ve-derlagsfrit. Ønsker en myndighed særlige ydelser, f.eks. monitorering af flere forskellige forbindel-ser til internettet, vil myndigheden blive opkrævet betaling, som dækker udgifterne til indkøbog/eller udvikling af evt. monitoreringsudstyr og udgifter til driften heraf.Til § 4Den foreslåede § 4 giver Center for Cybersikkerheds netsikkerhedstjeneste hjemmel til at foretageindgreb i meddelelseshemmeligheden i forbindelse med behandling af pakke- og trafikdata hidrø-rende fra netværk hos tilsluttede myndigheder og virksomheder.Netsikkerhedstjenesten har til opgave at opdage, analysere og bidrage til at imødegå sikkerheds-hændelser hos tilsluttede myndigheder og virksomheder, jf. den foreslåede § 3. Netsikkerhedstje-nesten varetager opgaver i forhold til tilsluttede myndigheder og virksomheder på det civile område(§ 4), myndigheder og institutioner på Forsvarsministeriets myndighedsområde (§ 5), midlertidigttilsluttede myndigheder og virksomheder (§ 6) og ved undersøgelse af informationssystemer (§ 7).
36/51
Bestemmelsen er en indholdsmæssigt uændret videreførelse af GovCERT-lovens § 4, stk. 1, dergiver GovCERT hjemmel til uden retskendelse at behandle, herunder indsamle, registrere, analysereog opbevare, tilsluttede myndigheders og private virksomheders ind- og udgående pakke- og trafik-data. Der er med den ændrede formulering af bestemmelsen – som alene angiver samlebetegnelsen”behandler” og undlader eksemplificering heraf – ikke tilsigtet en ændring af anvendelsesområdet.Det fremgår af bemærkningerne til GovCERT-lovens § 4 (L 197, 1. samling 2010-11), at Gov-CERT som udgangspunkt ikke vil afkryptere en krypteret e-mail eller andet indhold af en internet-kommunikation. Dette har imidlertid i praksis vist sig at indebære en væsentlig og meget uhen-sigtsmæssig begrænsning for GovCERT’s opgaveløsning. Konsekvensen er, at GovCERT ikke kantilgå en krypteret e-mail, uanset at denne indeholder skadelige filer, f.eks. virus, ligesom Gov-CERT’s muligheder for at opdage og imødegå angreb mod hjemmesider, der af sikkerhedsmæssigeårsager anvender krypterede forbindelser, begrænses markant. Desuden er det konstateret, at angri-bere ofte anvender krypteret kommunikation for at søge at skjule cyberangreb. Begrænsningen forså vidt angår afkryptering foreslås på den baggrund ikke videreført.Til § 5Den foreslåede § 5 giver Center for Cybersikkerheds netsikkerhedstjeneste hjemmel til at foretageindgreb i meddelelseshemmeligheden i forbindelse med behandling af pakke- og trafikdata hidrø-rende fra netværk hos myndigheder på Forsvarsministeriets område.Den it-sikkerhedsmæssige monitorering af netværkskommunikation hos myndigheder og institutio-ner på Forsvarsministeriets myndighedsområde er hidtil blevet varetaget af MILCERT, der ikke harværet reguleret ved lov. Med § 5 foreslås den hjemmel, der siden 2011 har været gældende forGovCERT’s monitoreringsaktiviteter på det civile område, udvidet til også at gælde for det militæreområde. Monitoreringen vil fremover ske i regi af Center for Cybersikkerheds netsikkerhedstje-neste, der vil omfatte både GovCERT’s og MILCERT’s nuværende aktiviteter.Den foreslåede § 5, der giver hjemmel til indgreb i meddelelseshemmeligheden i forhold til myn-digheder på Forsvarsministeriets område, er indholdsmæssigt identisk med den foreslåede § 4, dergiver hjemmel til indgreb i meddelelseshemmeligheden i forhold til tilsluttede myndigheder ogvirksomheder på det civile område.Reguleringen af netsikkerhedstjenestens adgang til at foretage indgreb i meddelelseshemmelighe-den på henholdsvis det civile og det militære område er opdelt i to bestemmelser, da der på enkelteområder foreslås at gælde særlige regler for det militære område. Det sker for at sikre, at der ikkemed den foreslåede ordning sker en indskrænkning i forhold til de muligheder for monitorering,som MILCERT hidtil har haft. På Forsvarsministeriets område, hvor der i betydeligt omfang hånd-teres klassificerede oplysninger, vil der således fortsat være behov for en videre adgang til at analy-sere monitorerede data og til at videregive data til relevante samarbejdspartnere.Der henvises til afsnit 3.2 i de almindelige bemærkninger.Til § 6Den foreslåede § 6 giver Center for Cybersikkerheds netsikkerhedstjeneste hjemmel til at foretageindgreb i meddelelseshemmeligheden i forbindelse med behandling af pakke- og trafikdata hidrø-
37/51
rende fra netværk hos en myndighed eller virksomhed, der ikke fast er tilsluttet netsikkerhedstje-nesten efter den foreslåede § 3, men som tilsluttes i en tidsbegrænset periode.Den foreslåede ordning er baseret på GovCERT-lovens § 4, stk. 1, der giver GovCERT hjemmel tiluden retskendelse at indsamle, registrere, analysere og opbevare tilsluttede myndigheders og privatevirksomheders ind- og udgående pakke- og trafikdata. Med § 6 sikres det, at en myndighed ellervirksomhed, som ikke er beskæftiget med samfundsvigtige funktioner efter § 3, stk. 3, kan tilsluttesi en kortere periode, såfremt der er begrundet mistanke om, at den udsættes for et alvorligt cyber-angreb eller er angrebet på en måde, som kan påvirke samfundsvigtige funktioner negativt.En midlertidig tilslutning kan ske i forhold til myndigheder og virksomheder, som ikke normalt erudsat for et sådant trusselsbillede, at en fast tilslutning til netsikkerhedstjenesten er hensigtsmæssig,men som på grund af aktuelle begivenheder i en kortere periode er udsat for et så konkret trussels-billede, at der er behov for den ekstra sikkerhed, som en tilslutning indebærer. Det kan f.eks. væretilfældet, hvis en myndighed træffer afgørelse i en enkeltstående sag, der giver international op-mærksomhed, eller hvis en virksomhed står over for at skulle byde på en højteknologisk opgave, ogder på den baggrund opstår en begrundet mistanke om, at de vil blive udsat for et cyberangreb. Enmidlertidig tilslutning kan også ske, hvis virksomheder, der ikke er beskæftiget med samfundsvigti-ge funktioner, rammes af særligt alvorlige cyberangreb. Der vil f.eks. kunne være tale om, at envirksomheds it-system uden virksomhedens vidende indgår i et skadeligt netværk beregnet tilcyberangreb, hvorfra der rettes angreb mod offentlige myndigheder, eller hvortil hackere henterfølsomme oplysninger fra myndigheder eller virksomheder.Det foreslås, at en midlertidig tilslutning til netsikkerhedstjenesten forudsætter, at der er begrundetmistanke om en sikkerhedshændelse. Der vil således skulle foreligge konkrete indikationer, der pe-ger i retning af, at en sikkerhedshændelse har fundet eller vil finde sted. En begrundet mistanke vilefter omstændighederne f.eks. kunne foreligge, hvis en myndighed eller virksomhed udsættes fortrusler af mere generel karakter fra aktører eller grupper af aktører, der vil kunne tænkes at benyttesig af cyberangreb, eller hvis en virksomhed befinder sig i en situation – f.eks. ved offentliggørelseaf en ny opfindelse – hvor der har været eksempler på, at der i tilsvarende situationer er sket cyber-angreb.Der skal efter bestemmelsensnr. 1foreligge et skriftligt samtykke fra myndigheden eller virksom-heden til behandlingen af pakke- og trafikdata. Uanset at der er tale om en midlertidig tilslutning tilnetsikkerhedstjenesten, vil der således skulle indgås en tilslutningsaftale, og denne aftale skal fore-ligge skriftligt, inden netsikkerhedstjenesten kan behandle pakke- og trafikdata.Efter det foreslåedenr. 2er det et krav, at Center for Cybersikkerheds netsikkerhedstjeneste forudfor en midlertidig tilslutning konkret skal have vurderet, at adgangen til i en kortere periode at be-handle pakke- og trafikdata hidrørende fra netværk hos den pågældende myndighed eller virksom-hed vil styrke centerets muligheder for at sikre den ikt-infrastruktur, som samfundsvigtige funktio-ner er afhængige af. Ved midlertidig tilslutning af virksomheder er det således – i modsætning tilved fast tilslutning efter den foreslåede § 3, stk. 3 – ikke et krav, at den pågældende virksomhedselv beskæftiger sig med samfundsvigtige funktioner. Der vil dermed f.eks. kunne ske midlertidigtilslutning af en virksomhed, hvor en eller flere servere er blevet inficeret med malware og er blevetdel af et netværk af inficerede maskiner (et såkaldt botnet), hvorfra der rettes angreb mod offentligemyndigheder, uanset virksomhedens størrelse eller branche.
38/51
Endelig er det efter den foreslåedenr. 3som nævnt et krav, at der er tale om en midlertidig tilslut-ning til Center for Cybersikkerheds netsikkerhedstjeneste. Den midlertidige periode kan højst udgø-re to måneder regnet fra det tidspunkt, hvor der er indgået en tilslutningsaftale. Hvis formålet medmonitoreringen er opfyldt, inden der er forløbet to måneder, eller hvis en eller flere af betingelsernei nr. 1 og 2 ikke længere er opfyldt, vil monitoreringen straks blive indstillet.Såfremt der under den midlertidige tilslutning konstateres en konkret sikkerhedshændelse via moni-toreringen, forudsættes det, at monitoreringen kan fortsætte, indtil den konkrete sikkerhedshændelseer håndteret, hvorefter den midlertidige tilslutning straks afsluttes.Såfremt der efter den midlertidige tilslutnings afslutning på ny opstår en begrundet mistanke om ensikkerhedshændelse, vil der kunne indgås en ny, midlertidig tilslutningsaftale.Der henvises i øvrigt til afsnit 3.1 og 3.2 i de almindelige bemærkninger.Til § 7Den foreslåede § 7 giver Center for Cybersikkerheds netsikkerhedstjeneste hjemmel til at foretageindgreb i meddelelseshemmeligheden i forbindelse med behandling af data, som er indeholdt i ellerhidrører fra et informationssystem, der anvendes af en myndighed eller virksomhed.Den foreslåede ordning er baseret på GovCERT-lovens § 4, stk. 1, der giver GovCERT hjemmel tiluden retskendelse at indsamle, registrere, analysere og opbevare tilsluttede myndigheders og privatevirksomheders ind- og udgående pakke- og trafikdata. Med § 7 foreslås denne hjemmel imidlertidudvidet til også at gælde for behandling af data, som er indeholdt i eller hidrører fra et informations-system, hvor der er en begrundet mistanke om en sikkerhedshændelse. Bestemmelsen vil såledeseksempelvis give Center for Cybersikkerhed mulighed for at klarlægge et cyberangrebs årsag, om-fang og konsekvenser gennem undersøgelser af det ramte informationssystem.Begrebet informationssystem skal forstås i overensstemmelse med definitionen i Rådets rammeaf-gørelse 2005/222/RIA af 24. februar 2005 om angreb på informationssystemer. Efter denne defini-tion, der endvidere er anvendt i lov nr. 352 af 19. maj 2004 om ændring af bl.a. straffeloven, forståsved et informationssystem ”enhver enhed eller gruppe af indbyrdes forbundne eller beslægtede en-heder, hvoraf en eller flere ved hjælp af et program udfører automatisk behandling af edb-data samtedb-data, som lagres, behandles, fremfindes eller overføres i forbindelse med systemernes drift,brug, beskyttelse og vedligeholdelse”.Ved edb-data forstås tilsvarende her ”enhver form for gengivelse af fakta, informationer eller be-greber i et format, der egner sig til behandling i et informationssystem, herunder et program, somkan anvendes til at få et informationssystem til at udføre en funktion”.Anvendelse af bestemmelsen forudsætter, at der er begrundet mistanke om en sikkerhedshændelse.Der vil således skulle foreligge konkrete indikationer, der peger i retning af, at en sikkerhedshæn-delse har fundet eller vil finde sted.Det er efternr. 1et krav, at informationssystemet eller dataene herfra skal stilles til rådighed forCenter for Cybersikkerheds netsikkerhedstjeneste, og at der skal foreligge et samtykke til, at Center
39/51
for Cybersikkerhed behandler disse data. Samtykket skal foreligge skriftligt, inden netsikker-hedstjenesten kan behandle data.Efternr. 2er det et krav, at netsikkerhedstjenesten forud for behandlingen af data konkret skal havevurderet, at behandlingen vil styrke centerets muligheder for at sikre ikt-infrastruktur, som sam-fundsvigtige funktioner er afhængige af. I forhold til virksomheder er det således ikke et krav, at envirksomhed selv beskæftiger sig med samfundsvigtige funktioner.Hvis Center for Cybersikkerhed behandler data fra et informationssystem, hvor der ikke ved be-handlingen sker indgreb i meddelelseshemmeligheden, vil en sådan behandling ikke være omfattetaf den foreslåede § 7, men alene af de generelle bestemmelser om behandling af personoplysningeri det foreslåede kapitel 6. Det vil f.eks. kunne være tilfældet, hvis Center for Cybersikkerhed fårstillet en server, der ikke indeholder e-mail-korrespondance, til rådighed med henblik på at under-søge et cyberangreb.Der henvises i øvrigt til afsnit 3.1 og 3.2 i de almindelige bemærkninger.Til § 8Den foreslåede § 8 vedrører Center for Cybersikkerheds forhold til offentlighedsloven, forvaltnings-loven og persondataloven. Den behandling af personoplysninger, som finder sted i Center for Cy-bersikkerhed, er i dag reguleret i Forsvarsministeriets retningslinjer af 13. maj 2013 for behandlingaf personoplysninger m.v. i Center for Cybersikkerhed ved Forsvarets Efterretningstjeneste.Det foreslås medstk. 1,at Center for Cybersikkerhed – som det er tilfældet for den øvrige del afForsvarets Efterretningstjeneste – undtages fra offentlighedsloven, dog ikke lovens § 13 om notat-pligt, samt undtages fra forvaltningslovens kapitel 4-6.Det forudsættes imidlertid, at Center for Cybersikkerhed i størst muligt omfang efterlever princip-perne i offentlighedsloven og forvaltningslovens kapitel 4-6. Det forudsættes således, at centeret –uanset at dets virksomhed er undtaget fra forvaltningslovens bestemmelser på området – i relevantomfang vurderer, om det i afgørelsessager konkret er muligt at anvende forvaltningslovens princip-per om partens aktindsigt, partshøring og begrundelse m.v. Tilsvarende forudsættes det, at anmod-ninger om aktindsigt i størst muligt omfang behandles efter principperne i offentlighedsloven, jf.afsnit 3.3.3 i de almindelige bemærkninger.Det følger af § 2, stk. 11, i lov nr. 429 af 31. maj 2000 om behandling af personoplysninger (per-sondataloven), at loven ikke gælder for behandlinger, der udføres for politiets og forsvarets efterret-ningstjenester. Center for Cybersikkerhed er en del af Forsvarets Efterretningstjeneste, og personda-taloven finder dermed ikke anvendelse på centerets virksomhed.I forhold til Center for Cybersikkerheds behandling af anmodninger om tilslutning til netsikker-hedstjenesten, jf. det foreslåede § 3, stk. 3, centerets virksomhed som myndighed for informations-sikkerhed og beredskab på teleområdet, og centerets personalesager foreslås det medstk. 2,at for-svarsministeren bemyndiges til at bestemme, at offentlighedsloven, forvaltningslovens kapitel 4-6og persondatalovens kapitel 8-10 helt eller delvis finder anvendelse for disse områder.
40/51
Det foreslåedestk. 3fastsætter de overordnede rammer for reguleringen af Center for Cybersikker-heds behandling af personoplysninger. Lov om Center for Cybersikkerhed vil erstatte bestemmel-serne om behandlingsgrundlag og behandlingssikkerhed ved behandling af personoplysninger i For-svarsministeriets retningslinjer af 13. maj 2013, og det foreslåede kapitel 6 regulerer centerets be-handling af personoplysninger. Der er – som med retningslinjerne – tale om, at en række af person-datalovens centrale principper vil finde anvendelse på Center for Cybersikkerhed. Det understregessåledes, at kapitel 6 finder anvendelse på alle former for behandling af personoplysninger i centeret– såvel i netsikkerhedstjenesten som i forbindelse med øvrige myndighedsopgaver.De generelle bestemmelser i kapitel 6 suppleres imidlertid af kapitel 7, som kun finder anvendelsepå netsikkerhedstjenestens behandling af data, herunder personoplysninger, efter kapitel 4 (indgrebi meddelelseshemmeligheden). Baggrunden for de særlige regler, som gælder for data, der indsam-les ved monitorering af netværkskommunikation eller i øvrigt tilvejebringes ved indgreb i medde-lelseshemmeligheden, er, at behandlingen af disse oplysninger søges begrænset i størst muligt om-fang, bl.a. af hensyn til privatlivets fred.Der henvises i øvrigt til afsnit 3.3 i de almindelige bemærkninger.Til § 9Den foreslåede § 9 viderefører med enkelte sproglige tilpasninger den gældende § 10, stk. 2 og 3, iForsvarsministeriets retningslinjer af 13. maj 2013 for behandling af personoplysninger m.v. i Cen-ter for Cybersikkerhed ved Forsvarets Efterretningstjeneste.Den foreslåedestk. 1,hvorefter Center for Cybersikkerhed bl.a. skal sikre, at behandling af person-oplysninger ikke sker i videre omfang end formålet tilsiger, er identisk med persondatalovens § 5,stk. 2, og skal fortolkes i overensstemmelse med denne bestemmelses forarbejder og relevante prak-sis.Den foreslåedestk. 2,som fastsætter principper om relevans og proportionalitet, er identisk medpersondatalovens § 5, stk. 3, og skal fortolkes i overensstemmelse med denne bestemmelses forar-bejder og relevante praksis.Til § 10Den foreslåede § 10, der fastsætter de overordnede rammer for, hvornår behandling af personoplys-ninger må finde sted, er en delvis videreførelse af § 11 i Forsvarsministeriets retningslinjer af 13.maj 2013 for behandling af personoplysninger m.v. i Center for Cybersikkerhed ved Forsvarets Ef-terretningstjeneste.I forhold til retningslinjernes § 11 foreslås bestemmelsen udvidet med yderligere en behandlings-hjemmel, således at behandling af personoplysninger efter den foreslåede § 10, nr. 7, også kan findested, hvis der er tale om personoplysninger, der er omfattet af det foreslåede kapitel 4.De foreslåede§ 10, nr. 1, 2, 3, 5og6,er med sproglige tilpasninger identiske med de tilsvarendebestemmelser i persondatalovens § 6 og skal fortolkes i overensstemmelse med disse bestemmelsersforarbejder og relevante praksis.
41/51
Behandlingshjemlen i§ 10, nr. 4,som er en videreførelse af § 11, nr. 6, i retningslinjerne, foreslåssom konsekvens af de særlige opgaver, som Center for Cybersikkerhed udfører som netsikker-hedstjeneste og national it-sikkerhedsmyndighed. Efter bestemmelsen vil behandling af personop-lysninger kunne finde sted, hvis behandlingen er nødvendig til beskyttelse af væsentlige hensyn tilstatens sikkerhed eller rigets forsvar. Anvendelse af bestemmelsen forudsætter således, at der er farefor, at statens sikkerhed eller rigets forsvar vil lide skade. Det kan f.eks. være tilfældet i forbindelsemed cyberangreb mod danske myndigheders informationssystemer. Hensynet til statens sikkerhedeller rigets forsvar skal fortolkes i overensstemmelse med det tilsvarende udtryk i offentlighedslo-vens § 31.Med den foreslåede§ 10, nr. 7,fastsættes en generel hjemmel til at behandle personoplysninger,hvis de er omfattet af kapitel 4 (indgreb i meddelelseshemmeligheden). Det bemærkes i den forbin-delse, at der med den foreslåede § 15 er fastsat nærmere rammer for analyse af pakkedata, der eromfattet af §§ 4, 6 og 7, mens der i den foreslåede § 17 er fastsat regler for sletning af de pågælden-de data.Til § 11Den foreslåede § 11 fastsætter rammerne for Center for Cybersikkerheds behandling af personop-lysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fag-foreningsmæssige tilhørsforhold og personoplysninger om helbredsmæssige og seksuelle forhold.Bestemmelsen er en delvis videreførelse af § 12 i Forsvarsministeriets retningslinjer af 13. maj2013 for behandling af personoplysninger m.v. i Center for Cybersikkerhed ved Forsvarets Efterret-ningstjeneste.De foreslåede§ 11, stk. 1,ogstk. 2, nr. 1-3,er med sproglige tilpasninger identiske med de tilsva-rende bestemmelser i persondatalovens § 7 og skal fortolkes i overensstemmelse med denne be-stemmelses forarbejder og relevante praksis.For så vidt angår§ 11, stk. 2, nr. 4,henvises til bemærkningerne til den foreslåede § 10, nr. 4.For så vidt angår§ 11, stk. 2, nr. 5,der foreslår en ny behandlingshjemmel ved behandling af per-sonoplysninger, som er omfattet af det foreslåede kapitel 4, henvises til bemærkningerne til denforeslåede § 10, nr. 7.Til § 12Den foreslåede § 12 fastsætter rammerne for Center for Cybersikkerheds behandling af personop-lysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold end de iden foreslåede § 11, stk. 1, nævnte.Bestemmelsen er en delvis videreførelse af § 13 i Forsvarsministeriets retningslinjer af 13. maj2013 for behandling af personoplysninger m.v. i Center for Cybersikkerhed ved Forsvarets Efterret-ningstjeneste.
42/51
De foreslåede§ 12, stk. 1,ogstk. 2, nr. 1-4,er med sproglige tilpasninger identiske med de tilsva-rende bestemmelser i persondatalovens § 8 og skal fortolkes i overensstemmelse med disse be-stemmelsers forarbejder og relevante praksis.For så vidt angår§ 12, stk. 2, nr. 5,der foreslår en ny behandlingshjemmel ved behandling af per-sonoplysninger, som er omfattet af det foreslåede kapitel 4, henvises til bemærkningerne til denforeslåede § 10, nr. 7.Til § 13Den foreslåede § 13, der fastsætter krav til datakvalitet, er en indholdsmæssigt uændret videreførel-se af § 10, stk. 4, i Forsvarsministeriets retningslinjer af 13. maj 2013 for behandling af personop-lysninger m.v. i Center for Cybersikkerhed ved Forsvarets Efterretningstjeneste.Bestemmelsen er identisk med den tilsvarende bestemmelse i persondatalovens § 5, stk. 4, og skalfortolkes i overensstemmelse med denne bestemmelses forarbejder og relevante praksis.Til § 14Den foreslåede § 14, der fastsætter tidsmæssige begrænsninger for opbevaring af indsamlede per-sonoplysninger, er en uændret videreførelse af § 10, stk. 5, i Forsvarsministeriets retningslinjer af13. maj 2013 for behandling af personoplysninger m.v. i Center for Cybersikkerhed ved ForsvaretsEfterretningstjeneste.Bestemmelsen er identisk med den tilsvarende bestemmelse i persondatalovens § 5, stk. 5, og skalfortolkes i overensstemmelse med denne bestemmelses forarbejder og relevante praksis.Der henvises i øvrigt til bemærkningerne til den foreslåede § 17, som fastsætter særlige bestemmel-ser om sletning af data, der er omfattet af det foreslåede kapitel 4. Denne bestemmelse erstatterGovCERT-lovens § 4, stk. 2-4.Til § 15Den foreslåede § 15 fastsætter rammerne for Center for Cybersikkerheds netsikkerhedstjenestesadgang til at analysere pakkedata, der er omfattet af de foreslåede §§ 4, 6 og 7 (indgreb i meddelel-seshemmeligheden). Som led i netsikkerhedstjenestens drift sker der løbende en fuldautomatiskbehandling af data fra de tilsluttede myndigheder og virksomheders netværkskommunikation medhenblik på at identificere mulige sikkerhedshændelser. Bestemmelsen indebærer, at netsikker-hedstjenestens sikkerhedsanalytikere kun må foretage en analyse af pakkedata, hvis der er en be-grundet mistanke om en sikkerhedshændelse – og da kun i det omfang, det er nødvendigt for afkla-ring af forhold vedrørende hændelsen.Der er tale om en videreførelse af GovCERT-lovens § 4, stk. 1, 2. pkt., med enkelte sproglige til-pasninger.Med §§ 6 og 7 foreslås netsikkerhedstjenestens adgang til indgreb i meddelelseshemmelighedenudvidet til også at omfatte situationer, hvor en myndighed eller virksomhed midlertidigt er tilsluttetnetsikkerhedstjenesten, samt situationer, hvor myndigheder eller virksomheder stiller et informati-
43/51
onssystem til rådighed for netsikkerhedstjenesten. Den foreslåede § 15 vil som konsekvens herafogså omfatte analyse af pakkedata, som stammer fra disse kilder.Til § 16Den foreslåede § 16 regulerer Center for Cybersikkerheds muligheder for at videregive data, der eromfattet af §§ 4, 6 og 7 og dermed behandles på baggrund af indgreb i meddelelseshemmeligheden.Bestemmelsen er en delvis videreførelse af GovCERT-lovens § 6.Med §§ 6 og 7 foreslås netsikkerhedstjenestens adgang til indgreb i meddelelseshemmelighedenudvidet til også at omfatte situationer, hvor en myndighed eller virksomhed midlertidigt er tilsluttetnetsikkerhedstjenesten, samt situationer, hvor myndigheder eller virksomheder stiller et informati-onssystem til rådighed for netsikkerhedstjenesten. Den foreslåede § 16 vil som konsekvens herafogså omfatte videregivelse af data, der stammer fra disse kilder.Det følger af den foreslåedenr. 1,at Center for Cybersikkerhed ved begrundet mistanke om en sik-kerhedshændelse kan videregive data, der stammer fra indgreb i meddelelseshemmeligheden, tildansk politi (og anklagemyndigheden). Dermed sikres, at centeret kan videregive alle relevante op-lysninger til politiet i de tilfælde, hvor det kan være relevant for politiet at indlede en strafferetligefterforskning.Kravet om, at der skal være tale om en begrundet mistanke om en sikkerhedshændelse, indebærer,at Center for Cybersikkerhed alene kan videregive de pågældende data, hvis der foreligger konkreteindikationer, der peger i retning af, at en sikkerhedshændelse har fundet eller vil finde sted.Mednr. 2foreslås, at Center for Cybersikkerhed kan videregive trafikdata til den samme kreds afaktører, som er angivet i GovCERT-lovens § 6, nr. 3: Danske myndigheder, tilsluttede private virk-somheder og tilsvarende varslingstjenester i andre lande. Betegnelsen ”tilsvarende varslingstjenesteri andre lande” foreslås dog erstattet med ”andre netsikkerhedstjenester”, som vil omfatte tilsvarendenetsikkerhedstjenester i Danmark og udlandet, f.eks. CERT’er, CSIRT’er (Computer Security Inci-dent Response Teams), ikt-sikkerhedsmyndigheder og efterretningstjenester, som Center for Cyber-sikkerhed har et tæt samarbejde med for at øge centerets muligheder for at forebygge sikkerheds-hændelser.Kredsen af aktører foreslås endvidere udvidet til også at omfatte udbydere af offentlige elektroniskekommunikationsnet og -tjenester (teleselskaber) samt myndigheder og virksomheder, der er omfat-tet af lovforslagets §§ 6 og 7.For så vidt angår udbydere af offentlige elektroniske kommunikationsnet og -tjenester vil mulighe-den for at videregive trafikdata indebære, at især teleselskaber kan forbedre deres sikkerhedssyste-mer, således at den ikt-infrastruktur, som samfundsvigtige funktioner i overvejende grad er afhæn-gige af, kan sikres yderligere, f.eks. ved at teleselskaberne informeres om IP-adresser, der anvendesved cyberangreb.Den foreslåede mulighed for at videregive trafikdata til virksomheder, der er omfattet af de foreslå-ede §§ 6 og 7, er en konsekvens af lovforslagets bemyndigelse til, at der kan behandles data i hen-hold til de to nævnte bestemmelser. Videregivelse af trafikdata til disse virksomheder vil være af
44/51
afgørende betydning for deres muligheder for at træffe passende modforholdsregler til håndtering afde sikkerhedshændelser, der konstateres som led i monitoreringen af netværkskommunikation ellerved undersøgelse af deres informationssystemer.En af Center for Cybersikkerheds vigtigste forebyggende aktiviteter er udsendelse af sikkerheds-varslinger, hvor myndigheder, virksomheder, andre netsikkerhedstjenester m.v. underrettes om sær-ligt alvorlige sikkerhedshændelser. Begrebet virksomhed omfatter i denne sammenhæng alle juridi-ske personer. Sikkerhedsvarslingerne giver modtagerne mulighed for at styrke deres egen forebyg-gelse mod angreb (f.eks. ved at blokere for trafik fra IP-adresser, der indgår i hackeres angrebsinfra-struktur) og undersøge, om de har været udsat for angreb (f.eks. ved at gennemsøge logfiler for e-mails fra afsendere, der har angrebet andre myndigheder eller virksomheder). Det foreslås derfor, atCenter for Cybersikkerhed kan udsende sikkerhedsvarslinger, som indeholder trafikdata, der kanstyrke modtagernes informationssikkerhedsniveau.Videregivelse af trafikdata efter nr. 2 forudsætter, at det konkret vurderes, at videregivelsen er nød-vendig. Indeholder videregivelsen personoplysninger, vil principperne om relevans og proportiona-litet, jf. den foreslåede § 9, stk. 2, tillige skulle iagttages. Der vil dermed alene kunne videregivespersonoplysninger, som er relevante og tilstrækkelige for at opnå formålet med den konkrete vide-regivelse.Den foreslåede § 16 skal ses i sammenhæng med den foreslåede § 12, som generelt regulerer Centerfor Cybersikkerheds adgang til at videregive personoplysninger om strafbare forhold, væsentligesociale problemer og andre rent private forhold end de i den foreslåede § 11, stk. 1, nævnte. Erfa-ringsmæssigt vil Center for Cybersikkerhed kun i meget sjældne tilfælde have behov at videregivepersonoplysninger af de nævnte typer, men i forbindelse med alvorlige cyberangreb kan der værebehov for at videregive personoplysninger om strafbare forhold til politiet. Den foreslåede § 12, stk.2, nr. 5, giver hjemmel til videregivelse af de nævnte typer af personoplysninger, hvis oplysninger-ne er omfattet af kapitel 4 (indgreb i meddelelseshemmeligheden). Spørgsmålet om videregivelsevil derefter skulle vurderes efter den foreslåede § 16.Det bemærkes, at Center for Cybersikkerheds videregivelse af personoplysninger vil være underlagttilsyn af Tilsynet med Efterretningstjenesterne, jf. de foreslåede §§ 19-24.Til § 17Den foreslåede § 17 fastsætter de tidsmæssige rammer for Center for Cybersikkerheds opbevaringaf de data, der behandles i medfør af det foreslåede kapitel 4 og dermed behandles på baggrund afindgreb i meddelelseshemmeligheden.Bestemmelsen skal ses i sammenhæng med den foreslåede § 14, hvorefter indsamlede personoplys-ninger generelt ikke må opbevares på en måde, der giver mulighed for at identificere den pågælden-de person i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysnin-gerne behandles. Mens § 14 finder anvendelse på al behandling af personoplysninger i Center forCybersikkerhed, finder de særlige regler i § 17 som nævnt alene anvendelse på de data, der behand-les på baggrund af indgreb i meddelelseshemmeligheden.Bestemmelsen er en delvis videreførelse af GovCERT-lovens § 4, stk. 2-4.
45/51
Efter det foreslåedestk. 1vil data skulle slettes, når formålet med behandlingen er opfyldt, hvilketer en videreførelse af GovCERT-lovens § 4, stk. 2, idet bestemmelsen dog foreslås udvidet til atomfatte alle former for data, der behandles på baggrund af indgreb i meddelelseshemmeligheden.Der vil på den baggrund ske en løbende vurdering af de behandlede data med henblik på at sikre, atdata, der ikke længere er relevante i forhold til netsikkerhedstjenestens formål og aktiviteter, straksslettes.Det foreslåedestk. 2fastsætter øvre grænser for, hvor længe data, der ikke er slettet efter stk. 1, kanopbevares. Bestemmelsen finder dermed anvendelse på data, hvor det er blevet vurderet, at der fort-sat er behov for behandling i netsikkerhedstjenesten. Uanset at formålet med behandlingen således idisse tilfælde endnu ikke er opfyldt, vil data skulle slettes inden for de absolutte frister, som er fast-sat i bestemmelsen.Stk. 2, nr. 1,vedrører data, der er knyttet til en sikkerhedshændelse. Det kan f.eks. være en IP-adresse, som har været anvendt ved et cyberangreb mod en dansk myndighed, eller en e-mail-adresse, som har været anvendt til at sende malware (computerprogram, der installeres uden at bru-geren ønsker det, f.eks. virus, trojansk hest eller spyware) til danske myndigheder. Sådanne data vilisær blive anvendt i netsikkerhedstjenestens monitoreringsudstyr for at give mulighed for, at nyeangreb, som kommer fra samme kilde, eller som anvender samme angrebsmetode og -værktøjer,straks kan opdages.Efter bestemmelsen må data, der knytter sig til en sikkerhedshændelse, højst opbevares i tre år,hvorefter de skal slettes. Det er samme tidsmæssige grænse, som er fastsat i GovCERT-lovens § 4,stk. 3. Såfremt data inden for den tre-årige periode igen konstateres anvendt i forbindelse med ensikkerhedshændelse, vil en ny tre-årig periode starte. Hvis en IP-adresse eksempelvis i september2014 anvendes til et cyberangreb mod en dansk myndighed, vil netsikkerhedstjenesten således kun-ne anvende oplysninger om IP-adressen til at forebygge nye angreb frem til september 2017, hvoroplysningerne skal slettes. Hvis samme IP-adresse i august 2017 anvendes til et nyt angrebsforsøg,og dermed atter får tilknytning til en sikkerhedshændelse, vil netsikkerhedstjenesten imidlertid kun-ne anvende oplysninger om IP-adressen i monitoreringsudstyr m.v. frem til august 2020, hvor op-lysningerne skal slettes, hvis IP-adressen ikke på det tidspunkt atter har været anvendt i forbindelsemed en sikkerhedshændelse.Stk. 2, nr. 2,vedrører øvrige data, der ikke er knyttet til en sikkerhedshændelse. Det foreslås, at så-danne data højst må opbevares i 13 måneder, hvilket er en udvidelse i forhold til GovCERT-lovens§ 4, stk. 3, hvorefter trafikdata, der ikke knytter sig til en sikkerhedshændelse, højst må opbevares i12 måneder, mens de tilsvarende pakkedata højst må opbevares i 14 dage.Medstk. 3foreslås det, at de frister for sletning, som følger af stk. 2, regnes fra det tidspunkt, hvorCenter for Cybersikkerhed har registreret de pågældende data, hvilket svarer til tidspunktet for cen-terets lagring af data. Dette svarer til gældende ret efter GovCERT-lovens § 4, stk. 4.Ved behandling af data, der er indeholdt i eller hidrører fra et informationssystem, som stilles tilrådighed af en myndighed eller en virksomhed, jf. den foreslåede § 7, regnes fristen fra det tids-punkt, hvor der er indhentet et skriftligt samtykke fra myndigheden eller virksomheden og det på-gældende informationssystem er modtaget hos eller stillet til rådighed for Center for Cybersikker-hed.
46/51
Medstk. 4foreslås det, at slettefristerne i stk. 1 og 2 ikke finder anvendelse på helt særlige situatio-ner, hvor data er videregivet.Efter den foreslåede § 16, nr. 1, kan data videregives til politiet ved begrundet mistanke om en sik-kerhedshændelse, ligesom det følger af den foreslåede § 16, nr. 2, at trafikdata bl.a. kan videregivestil danske myndigheder og til de virksomheder, der er tilsluttet netsikkerhedstjenesten.Videregivelse af trafikdata vil primært ske i forbindelse med udsendelse af varslinger, hvor Centerfor Cybersikkerhed gør myndigheder og virksomheder opmærksomme på, at f.eks. en bestemt IP-adresse anvendes til cyberangreb. Sådanne varslinger giver myndigheder og virksomheder mulig-hed for at tage deres forholdsregler, f.eks. ved at blokere den pågældende IP-adresse i en lokal fire-wall. Når en videregivelse er sket via en varsling eller tilsvarende, har Center for Cybersikkerhed isagens natur ikke mulighed for at sikre, at der efterfølgende sker en sletning hos modtageren, lige-som centeret selv vil være forpligtet til at journalisere de udsendte varslinger m.v. Det foreslås der-for, at trafikdata, der er indeholdt i sådanne varslinger m.v. – f.eks. IP-adresser – hverken hos Cen-ter for Cybersikkerhed eller hos modtagerne af varslingerne vil skulle slettes efter § 17, stk. 1 og 2.Data, der er videregivet til politiet i sager, hvor der er begrundet mistanke om en sikkerhedshændel-se, vil typisk vedrøre mulige straffelovsovertrædelser, og det vil i sådanne sager være betænkeligt,hvis Center for Cybersikkerhed efter tre år ikke længere må opbevare de videregivne oplysninger.Det foreslås på den baggrund, at data, der videregives efter § 16, nr. 1, ikke vil skulle slettes efter §17, stk. 1 og 2.Uanset at sletningsreglerne i § 17, stk. 1 og 2, ikke finder anvendelse, vil personoplysninger inde-holdt i data fortsat skulle behandles i overensstemmelse med den foreslåede § 14, hvorefter indsam-lede personoplysninger ikke må opbevares på en måde, der giver mulighed for at identificere denpågældende person i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortiloplysningerne behandles.Der henvises til afsnit 3.4 i de almindelige bemærkninger.Til § 18Den foreslåede § 18 opstiller overordnede krav til Center for Cybersikkerheds interne informations-sikkerhed i forhold til alle typer af oplysninger, der behandles i centeret. Bestemmelsen er en vide-reførelse af § 14, stk. 2, i Forsvarsministeriets retningslinjer af 13. maj 2013 for behandling af per-sonoplysninger m.v. i Center for Cybersikkerhed ved Forsvarets Efterretningstjeneste.Bestemmelsen er indholdsmæssigt identisk med den tilsvarende bestemmelse i persondatalovens§ 41, stk. 3, og skal fortolkes i overensstemmelse med denne bestemmelses forarbejder og relevantepraksis.Til § 19Med bestemmelsen foreslås det, at det fremover skal være Tilsynet med Efterretningstjenesterne,som fører tilsyn med Center for Cybersikkerheds behandling af personoplysninger. Tilsynet medEfterretningstjenesternes virksomhed er nærmere reguleret i lov nr. 604 af 12. juni 2013 om Politi-ets Efterretningstjeneste (PET).
47/51
Tilsynet med Efterretningstjenesterne fører i forvejen tilsyn med Forsvarets Efterretningstjeneste, jf.FE-lovens § 13. Det følger imidlertid af FE-lovens § 1, stk. 3, 2. pkt., at Center for Cybersikkerhedikke reguleres af FE-lovens materielle bestemmelser, herunder lovens bestemmelser om tilsyn.Tilsynet med Efterretningstjenesterne afløser det hidtidige tilsyn, der i medfør af GovCERT-lovens§ 7 er nedsat for at følge GovCERT’s virksomhed. Samtidig foreslås det, at tilsynets kompetenceudvides, således at al behandling af personoplysninger i Center for Cybersikkerhed bliver omfattetaf Tilsynet med Efterretningstjenesternes kompetence.Rammerne for Tilsynet med Efterretningstjenesternes virksomhed i forhold til Center for Cybersik-kerhed svarer til rammerne for tilsynets virksomhed i forhold til Forsvarets Efterretningstjeneste ogPolitiets Efterretningstjeneste.Til § 20Med bestemmelsen foreslås det, at Tilsynet med Efterretningstjenesterne efter klage eller af egendrift kan påse Center for Cybersikkerheds overholdelse af de foreslåede regler i kapitel 4, 6 og 7vedrørende behandling af personoplysninger. Det vil indebære, at tilsynet som udgangspunkt fårsamme tilsynsrolle i forhold til centeret, som Datatilsynet i medfør af persondataloven har i forholdtil andre offentlige myndigheder.Bestemmelsen svarer til ordningen efter FE-lovens § 15 og PET-lovens § 18.Tilsynet med Efterretningstjenesterne vil ikke få til opgave at udtale sig om, hvorvidt Center forCybersikkerhed udfører sine opgaver på en hensigtsmæssig måde. Det vil fortsat være op til cente-ret selv (under ansvar for Forsvarsministeriet) inden for de retlige rammer for centerets virksomhedat tilrettelægge sin sagsbehandling. Tilsynet med Efterretningstjenesterne har ligeledes ikke til op-gave at overveje eller tage stilling til, om der af enkelte medarbejdere i Center for Cybersikkerhedmåtte være begået fejl eller forsømmelser, der kan give anledning til, at der søges et retligt ansvargennemført eller i øvrigt rettes kritik mod den enkelte, idet dets opgave er at vurdere centerets virk-somhed. Opstår der tilfælde, hvor spørgsmål om ansvar for enkeltpersoner kan rejses, skal dettebehandles efter almindelige personaleretlige regler m.v.Tilsynet med Efterretningstjenesterne vil primært have til opgave at føre tilsyn med Center for Cy-bersikkerheds behandling af personoplysninger, der efter det foreslåede kapitel 4 behandles på bag-grund af indgreb i meddelelseshemmeligheden. På dette område vil tilsynet således både efter klageog af egen drift påse Center for Cybersikkerheds overholdelse af kapitel 6 og 7. Det forudsættes, attilsynet i forhold til Center for Cybersikkerheds øvrige behandling af personoplysninger primært vilagere efter klage og således kun i særlige tilfælde af egen drift vil iværksætte undersøgelser.Endvidere vil tilsynet skulle påse, at Center for Cybersikkerhed i forbindelse med centerets behand-ling af personoplysninger overholder de krav til sikkerhedsforanstaltninger, der følger af kapitel 8.Endelig vil tilsynet have til opgave at påse, at yderligere regler om behandling af personoplysnin-ger, der fastsættes i administrative retningslinjer, overholdes.Til § 21
48/51
Den foreslåede § 21 regulerer Tilsynet for Efterretningstjenesternes reaktionsmuligheder. Bestem-melsen svarer til ordningen efter FE-lovens § 16 og PET-lovens § 19.Tilsynet med Efterretningstjenesterne vil efterstk. 1– ligesom Folketingets Ombudsmand – kunneafgive udtalelser over for Center for Cybersikkerhed, herunder udtale kritik, afgive henstillingersamt i øvrigt fremsætte tilsynets opfattelse af en sag. En sådan udtalelse vil ikke være retligt bin-dende for Center for Cybersikkerhed, men det forudsættes, at centeret i almindelighed vil følge til-synets udtalelser, jf. det foreslåede stk. 3.Efterstk. 2skal Tilsynet med Efterretningstjenesterne som led i sin virksomhed orientere forsvars-ministeren om vigtige afgørelser og udtalelser.Istk. 3fastslås det, at Center for Cybersikkerhed skal underrette Tilsynet med Efterretningstjene-sterne og forelægge sagen for forsvarsministeren til afgørelse, hvis centeret undtagelsesvist beslutterikke at følge en henstilling i en udtalelse fra tilsynet. Herved pålægges Center for Cybersikkerheden oplysningspligt, hvis centeret undtagelsesvist ikke agter at følge en henstilling i en udtalelse fraTilsynet med Efterretningstjenesterne. Samtidig sikres det, at forsvarsministeren konkret involveresi den pågældende sag. Det sikres derved, at det er forsvarsministeren og ikke tilsynet, der har detendelige ansvar i sådanne tilfælde. Med udtrykket ”undtagelsesvist” understreges det, at centeretsom nævnt i almindelighed forudsættes at følge henstillinger i tilsynets udtalelser.Til § 22Tilsynet med Efterretningstjenesterne sikres med den foreslåede § 22 adgang til de oplysninger, derer nødvendige til gennemførelse af dets virksomhed. Bestemmelsen svarer til ordningen efter FE-lovens § 17 og PET-lovens § 20.Efterstk. 1kan Tilsynet med Efterretningstjenesterne hos Center for Cybersikkerhed kræve enhveroplysning og alt materiale af betydning for tilsynets virksomhed. Udtrykket ”materiale” skal forståsi vid forstand og omfatter bl.a. dokumenter i traditionel forstand, elektroniske oplysninger, båndop-tagelser, film m.v.Efterstk. 2skal Tilsynet med Efterretningstjenesterne endvidere til enhver tid mod behørig legiti-mation uden retskendelse have adgang til alle lokaler, hvorfra en behandling, som foretages forCenter for Cybersikkerhed, administreres, eller hvorfra der er adgang til de oplysninger, som be-handles, eller hvor tekniske hjælpemidler opbevares eller anvendes. Det forudsættes med den fore-slåede bestemmelse, at tilsynet har mulighed for selv at gøre sig bekendt med oplysninger og mate-riale på opbevaringsstedet, herunder oplysninger og materiale i arkiver, registre, installationer oganlæg af enhver art. Hermed opnår tilsynet f.eks. adgang til i forbindelse med inspektioner at fore-tage opslag i centerets registre m.v. på stedet og sikre sig, at tilsynet gøres bekendt med alle akterog sager.Efter bestemmelsensstk. 3kan Tilsynet med Efterretningstjenesterne afkræve Center for Cybersik-kerhed skriftlige udtalelser om faktiske og retlige forhold af betydning for tilsynets kontrolvirksom-hed efter § 20. Tilsynet vil efter bestemmelsen kunne udbede sig centerets stillingtagen til bestemtejuridiske temaer og/eller anmode om en redegørelse for centerets praksis og den bagvedliggenderetsopfattelse. Bestemmelsen svarer til ombudsmandslovens § 19, stk. 2.
49/51
Endvidere kan Tilsynet med Efterretningstjenesterne efter den foreslåede bestemmelse istk. 4an-mode om, at en repræsentant fra Center for Cybersikkerhed deltager, når tilsynet foretager inspekti-oner hos centeret eller behandler sager, med henblik på, at den pågældende repræsentant kan rede-gøre for de behandlede sager i det omfang, tilsynet har behov for det.Det forudsættes, at Tilsynet med Efterretningstjenesterne i forbindelse med adgangen til oplysnin-ger, materiale og lokaliteter i videst muligt omfang tager hensyn til Center for Cybersikkerhedssamarbejdspartnere m.v. og tilrettelægger sit arbejde således, at tilsynet alene skaffer sig kendskabtil oplysninger, der er af betydning for kontrollens gennemførelse.Til § 23Med bestemmelsen, der svarer til ordningen efter FE-lovens § 18 og PET-lovens § 21, foreslås det,at Tilsynet med Efterretningstjenesternes virksomhed undtages fra reglerne i offentlighedsloven(dog med undtagelse af lovens § 13 om notatpligt), forvaltningslovens kapitel 4-6 (om aktindsigt,partshøring og begrundelse m.v.) samt persondataloven.Der er efter lovforslaget ikke en almindelig ret til direkte indsigt i personoplysninger, der behandlesaf Center for Cybersikkerhed, jf. afsnit 3.3 i de almindelige bemærkninger. Bestemmelsen sikrerbl.a., at en klager ikke kan få indsigt i de oplysninger, som Center for Cybersikkerhed eventueltmåtte have behandlet om vedkommende, ved at begære indsigt efter persondataloven i de oplysnin-ger, som tilsynet måtte behandle i anledning af klagerens anmodning til tilsynet.Til § 24Tilsynet med Efterretningstjenesterne skal efter den foreslåede § 24 afgive en årlig redegørelse omdets tilsynsvirksomhed til forsvarsministeren, som offentliggør redegørelsen. Bestemmelsen svarertil ordningen efter FE-lovens § 19 og PET-lovens § 22.Redegørelsen må – netop fordi den vil være beregnet til offentliggørelse – ikke indeholde oplysnin-ger, hvis offentliggørelse kan skade statens sikkerhed, forholdet til udenlandske samarbejdspartnere,Center for Cybersikkerheds kilder, kapaciteter og metoder m.v. I det omfang, der i redegørelsen eren omtale af klagesager, skal de enkelte klagere være anonymiserede.Inden for disse rammer skal sigtet med Tilsynet med Efterretningstjenesterne redegørelser være atgive en generel information om karakteren af det tilsyn, der udøves med Center for Cybersikkerhed.Bl.a. vil det være muligt uden tilsidesættelse af tavshedspligten i mere generelle vendinger at rede-gøre for tilsynets virksomhed – herunder også i form af en generel beskrivelse af, hvilke forholdtilsynet måtte have valgt særligt at interessere sig for som led i sit tilsyn.Tilsynet vil også kunne medtage oplysninger om, i hvor mange tilfælde tilsynet har fundet, at Cen-ter for Cybersikkerheds behandling af personoplysninger ikke har været i overensstemmelse medreglerne.Til § 25
50/51
Den foreslåede § 25 fastsætter ikrafttrædelses- og overgangsbestemmelserne for lov om Center forCybersikkerhed.Det foreslås medstk. 1,at loven træder i kraft den 1. juli 2014, hvorefter lov nr. 596 af 14. juni2011 om behandling af personoplysninger ved driften af den statslige varslingstjeneste for internet-trusler m.v. (GovCERT-loven) ophæves, jf.stk. 2.Forsvarsministeriets retningslinjer af 13. maj2013 for behandling af personoplysninger m.v. i Center for Cybersikkerhed ved Forsvarets Efterret-ningstjeneste vil endvidere blive ophævet ved lovens ikrafttræden.Efterstk. 3vil aftaler, der er indgået efter GovCERT-loven, fortsat have gyldighed efter GovCERT-lovens ophævelse. Tilslutningsaftaler indgået mellem GovCERT og myndigheder og virksomhedervil dermed være gældende, indtil de måtte bortfalde eller blive opsagt.Lovforslaget indebærer, at der på flere områder sker en ændring af reglerne for indsamling og vide-regivelse af pakke- og trafikdata. Da visse af ændringerne indebærer, at pakke- og trafikdata vilkunne behandles i større omfang end hidtil, foreslås det medstk. 4,at pakke- og trafikdata, der erindsamlet efter de mere restriktive regler i GovCERT-loven, fortsat skal behandles i overensstem-melse med GovCERT-loven. På Forsvarsministeriets område, hvor MILCERT’s aktiviteter ikkehidtil har været lovregulerede, finder loven anvendelse på data, der indsamles efter lovens ikraft-træden.Det foreslås endvidere medstk. 5,at begæringer om aktindsigt, som er indgivet før lovens ikraft-træden, afgøres efter de hidtil gældende regler, hvilket indebærer, at begæringerne vil skulle be-handles efter offentlighedsloven, som efter de foreslåede regler fremover ikke vil finde anvendelsefor Center for Cybersikkerhed.Til § 26Med § 26 fastlægges lovens territoriale gyldighed. Det foreslås, at loven ikke skal gælde for Færø-erne og Grønland, men at den ved kongelig anordning kan sættes helt eller delvis i kraft for Færøer-ne og Grønland med de ændringer, som de færøske og grønlandske forhold tilsiger.
51/51