Skriftlig fremsættelse (2. maj
2014)
Forsvarsministeren
(Nicolai Wammen):
Herved tillader jeg mig for Folketinget at
fremsætte:
Forslag til lov om Center for
Cybersikkkerhed
(Lovforslag nr. L 192)
Regeringen har den 1. maj 2014
indgået en politisk aftale med Dansk Folkeparti, Det
Konservative Folkeparti, Socialistisk Folkeparti og Venstre om
lovforslaget. Aftalen lyder således:
»I forlængelse af Aftale
på forsvarsområdet 2013-2017, der bl.a. indebærer
en styrket indsats på cyberområdet, herunder en
styrkelse af Center for Cybersikkerhed, og den politiske aftale
mellem regeringen, Dansk Folkeparti, Det Konservative Folkeparti og
Venstre om en ny styrket regulering af Forsvarets
Efterretningstjenestes virksomhed har regeringen, Dansk Folkeparti,
Det Konservative Folkeparti, Socialistisk Folkeparti og Venstre
(herefter benævnt aftaleparterne) indgået aftale om
lovforslaget om Center for Cybersikkerheds virksomhed.
Aftaleparterne noterer sig, at det danske
samfund i stigende grad er afhængigt af at kunne anvende
mulighederne på internettet. Med stigende afhængighed
følger imidlertid også øget sårbarhed, og
udviklingen og udbredelsen af informations- og
kommunikationsteknologi, særligt internettet, har skabt nye
muligheder for, at der derigennem kan rettes alvorlige cyberangreb
mod Danmark og danske interesser. Det er endvidere konstateret, at
it-baseret spionage og tyveri af intellektuel ejendom i de senere
år har medført et betragteligt værditab i flere
lande.
Forsvarets Efterretningstjeneste vurderer,
at de alvorligste cybertrusler mod Danmark i øjeblikket
kommer fra statslige aktører, der udnytter internettet til
at spionere og stjæle dansk intellektuel ejendom, f.eks.
patenteret viden, forskningsresultater og forretningshemmeligheder.
Truslen kommer navnlig fra stater, som bruger informationerne til
at understøtte deres egen økonomiske, militære
og samfundsmæssige udvikling.
Siden Folketinget i juni 2011 enstemmigt
vedtog GovCERT-loven, har der været bred opbakning fra
partierne til at styrke indsatsen mod cyberangreb. Myndighedernes
indsats er siden blevet samlet i Center for Cybersikkerhed, og der
er i Aftale på forsvarsområdet 2013-2017 afsat midler
til at styrke indsatsen på cyberområdet, herunder
specifikt til yderligere styrkelse af Center for
Cybersikkerhed.
Alle partier i Folketinget, bortset fra
Enhedslisten, vedtog i maj 2013 en ny lov om Forsvarets
Efterretningstjeneste (FE-loven). Det fremgår af denne lov,
at Center for Cybersikkerhed er en del af Forsvarets
Efterretningstjeneste, men at centerets virksomhed skal reguleres
særskilt.
Forslaget til lov om Center for
Cybersikkerhed udmønter således Folketingets
beslutning i FE-loven, og formålet er først og
fremmest at etablere et samlet lovgrundlag for centeret, og
herunder foreslå, at en række af de centrale principper
i persondataloven også skal finde anvendelse på Center
for Cybersikkerheds virksomhed.
Aftaleparterne noterer sig, at lovforslaget
i vid udstrækning er en videreførelse af den
gældende GovCERT-lov, hvor der bl.a. blev indført en
adgang til indgreb i meddelelseshemmeligheden uden
retskendelse.
Særligt på baggrund af den
alvorlige udvikling i trusselsbilledet foreslås det med
lovforslaget, at Center for Cybersikkerhed får styrket
mulighederne for at beskytte Danmark mod cyberangreb. Det vil
især ske ved en udvidelse af centerets muligheder for at
undersøge sikkerhedshændelser, herunder cyberangreb, i
samarbejde med myndigheder og virksomheder, således at der i
større omfang end i dag kan indhentes de informationer, som
er nødvendige for at afklare, hvilke
angrebsværktøjer og - metoder som er anvendt ved
sikkerhedshændelser. Dette vil styrke muligheden for at
forebygge nye og tilsvarende hændelser.
På baggrund af høringen over
lovforslaget er aftaleparterne enige om, at der foretages en
række præciseringer og tilføjelser i forslaget
til lov om Center for Cybersikkerhed.
Således understreges det i
lovteksten, at tilslutning til Center for Cybersikkerheds
netsikkerhedstjeneste er frivillig og kun kan ske efter anmodning
fra den enkelte myndighed eller virksomhed.
Endvidere præciseres i lovteksten, at
netsikkerhedstjenesten kun kan videregive trafikdata (tekniske
oplysninger om kommunikationen), hvis der er begrundet mistanke om
en sikkerhedshændelse. Det præciseres også, at
hvis data fra centerets netsikkerhedstjeneste videreformidles til
den øvrige del af FE, vil FE kun kunne videregive disse data
efter de restriktive regler, der gælder for Center for
Cybersikkerhed, herunder at indholdet af kommunikation kun kan
videregives til dansk politi og ingen andre, heller ikke
udenlandske efterretningstjenester.
I øvrigt anføres i
lovforslaget, at efterforskning af strafbare forhold som hidtil er
en politiopgave, ligesom det nære samarbejde mellem politiet
og Center for Cybersikkerhed beskrives.
Endvidere anføres, at
internetudbyderes tilslutning til netsikkerhedstjenesten ikke
omfatter data fra kundernes internetforbindelser, og at
netsikkerhedstjenesten ikke kan stille krav om eller anmode om, at
internetudbydere blokerer for internettrafik, ligesom det
præciseres, at Center for Cybersikkerhed ikke med loven
får hjemmel til at kræve krypteringsnøgler
udleveret.
Endelig fastlægges, at Tilsynet med
Efterretningstjenesternes årlige redegørelse om
tilsynet med Center for Cybersikkerhed skal indeholde statistiske
oplysninger om centerets behandling af personoplysninger, herunder
oplysninger om antallet af modtagne klagesager i såvel
centeret som tilsynet, oplysninger om antallet af aktindsigtssager
og afgørelsen af disse samt oplysninger om antallet af sager
med relation til sikkerhedshændelser, der er behandlet i
centeret.
Redegørelsen skal ligeledes
indeholde en fuldt ud anonymiseret beskrivelse af en eller flere
konkrete cyberangreb samt en statistik over antallet af
tilfælde, hvor en analytiker fra Center for Cybersikkerhed
på baggrund af indgreb i meddelelseshemmeligheden har
foretaget en analyse af data. Denne statistik skal desuden
indeholde en overordnet kategorisering af, hvor alvorlige disse
tilfælde har været.
Redegørelsen suppleres af en
årlig beretning fra Center for Cybersikkerhed, der også
beskriver centerets aktiviteter på det forebyggende
område og bringer statistiske oplysninger herom. Desuden skal
beretningen indeholde et overblik over de trusselsvurderinger m.v.,
der er udsendt i årets løb, således at
virksomheder og offentligheden kan få et overblik over
risikoen for cyberangreb. Herudover udgiver centeret løbende
vejledninger, situationsbilleder og lign., ligesom en oversigt over
de tilsluttede myndigheder og virksomheder også
regelmæssigt bliver offentliggjort. Oversigten vil også
omfatte statistiske oplysninger om antallet af myndigheder og
virksomheder, der midlertidigt er tilsluttet
netsikkerhedstjenesten.
Hermed styrkes offentlighedens kendskab til
Center for Cybersikkerhed, hvis virksomhed i øvrigt er
præget af åbenhed, vejledning og information.
På den anførte baggrund er
aftaleparterne enige om, at der med lovforslaget gennemføres
en styrket indsats for at beskytte Danmark mod cyberangreb med
behørig respekt for retssikkerheden og den personlige
frihed.
Endelig er aftaleparterne enige om, at der
skal udarbejdes en rapport om erfaringerne med den nye lovgivning,
som oversendes til Folketinget 3 år efter lovens
ikrafttræden. Til brug for rapporten vil der blive indhentet
bidrag fra Center for Cybersikkerhed, der vil kunne oplyse om
centerets almindelige erfaringer med hensyn til den nye lovgivning,
og fra Tilsynet med Efterretningstjenesterne, der vil kunne oplyse
om tilsynet med Center for Cybersikkerheds overholdelse af den nye
lovgivning. Endelig vil Forsvarsministeriet indhente bidrag fra en
eller flere uafhængige eksperter på cyberområdet,
der kan medvirke til at belyse den nye lovgivnings betydning for
kvaliteten og effektiviteten af Center for Cybersikkerheds
opgavevaretagelse.«
Det foreslås, at lovforslaget
træder i kraft den 1. juli 2014.
Idet jeg i øvrigt henviser til
lovforslaget og de ledsagende bemærkninger, skal jeg hermed
anbefale lovforslaget til det Høje Tings velvillige
behandling.