Forsvarsudvalget 2013-14
L 192
Offentligt
1372841_0001.png
Folketingets Forsvarsudvalg
Christiansborg
FORSVARSMINISTEREN
23. maj 2014
Folketingets Forsvarsudvalg har den 14. maj 2014 stillet følgende spørgsmål 6 vedrørende L
192 til forsvarsministeren, som hermed besvares. Spørgsmålet er stillet efter ønske fra Niko-
laj Villumsen (EL).
Spørgsmål 6:
”Ministeren
bedes kommentere de bekymringer over lovforslaget, der blev fremført af op-
lægsholderne under høringen i Retsudvalget den 8. maj 2014 om lovforslaget, jf. oplægge-
ne fra Rådet for Digital Sikkerhed, C-cure, IT-Politisk Forening og Dansk IT, omdelt på L 192
bilag 2.”
Svar:
Oplægsholdernes bekymringer er i betydeligt omfang kommenteret i lovforslagets bemærk-
ninger, høringsoversigten og de øvrige besvarelser af spørgsmål vedrørende lovforslaget.
Dette gælder således spørgsmål vedrørende:
Lovforslagets § 21, stk. 3
se besvarelsen af spørgsmål 1.
EU-domstolens dom af 8. april 2014 om logningsdirektivet og proportionalitet
se be-
svarelsen af spørgsmål 2 og 10 b.
Definitionen af sikkerhedshændelser
se besvarelsen af spørgsmål 3 a og 10 a.
Skærpelse af nødvendighedskravet
se besvarelsen af spørgsmål 3 c.
Logning
se besvarelsen af spørgsmål 3 d.
Opbevaring og sletning af data
se besvarelsen af spørgsmål 3 e og f og spørgsmål 10
c.
Retskendelse ved afkryptering
se besvarelsen af spørgsmål 3 i.
Placeringen af Center for Cybersikkerhed ved Forsvarets Efterretningstjeneste
se be-
svarelsen af spørgsmål 7.
_______________________________________________________________________________________________________________________________________________
HOLMENS KANAL 42
1060 KØBENHAVN K
TELEFON: 33 92 33 20
TELEFAX: 33 32 06 55
MAIL: [email protected]
WEB: www.FMN.DK
CVR: 25-77-56-35
EAN: 5798000201200
 PDF to HTML - Convert PDF files to HTML files
Tilsynet med Center for Cybersikkerhed
se besvarelsen af spørgsmål 8.
Revision af loven
se besvarelsen af spørgsmål 9.
I oplægget fra C-cure kritiseres lovforslagets § 9, stk. 1, 2. pkt. Hertil bemærkes, at be-
stemmelsen svarer til persondatalovens § 5, stk. 2, 2. pkt.
I oplægget fra C-cure anføres, at Center for Cybersikkerheds aktiviteter skal tilrettelægges
således, at netsikkerhedstjenesten i mindst muligt omfang konkurrerer med private udbyde-
re af sammenlignelige services. Der henvises herom til følgende afsnit i lovforslagets almin-
delige bemærkninger afsnit 3.1.3:
”Den foreslåede udvidelse af kredsen af virksomheder, der kan tilsluttes netsikker-
hedstjenesten, vurderes ikke at ville påvirke det private marked for it-
sikkerhedsydelser negativt. Netsikkerhedstjenestens brede dækningsområde samt tje-
nestens adgang til oplysninger fra andre netsikkerhedstjenester og den øvrige del af
Forsvarets Efterretningstjeneste indebærer, at der ikke på det private marked findes
sammenlignelige sikkerhedsydelser, som virksomhederne kan benytte. Samtidig kan
netsikkerhedstjenestens ydelser ikke træde i stedet for virksomhedernes øvrige it-
sikkerhedsforanstaltninger, men skal alene betragtes som et ekstra lag af sikkerhed.
Imidlertid vurderes det, at den foreslåede ordning i et vist omfang vil kunne påvirke
det private marked for it-sikkerhedsydelser positivt. Således vil de anbefalinger, som
monitoreringen typisk resulterer i, kunne medføre et behov for at styrke informations-
sikkerhedsniveauet hos de tilsluttede virksomheder
og dermed en efterspørgsel efter
it-sikkerhedsydelser,
der normalt vil blive leveret af private leverandører.”
I oplægget fra Dansk-IT anføres, at lovforslaget overordnet set er elastik i metermål, at der
ingen begrænsninger er i, hvad centeret vil kunne, og at lovteksten er meget bredt og løst
formuleret. Hertil kan bemærkes, at en sådan beskrivelse af lovforslagets restriktive be-
stemmelser om behandling, analyse og videregivelse af data efter min opfattelse må anses
for ganske misvisende.
I oplægget fra Dansk-IT
anbefales, at der indføres en procedure, hvor ”chefen for centeret
hver gang skal give tilladelse til behandlingen”. Hertil kan bemærkes, at Center for Cyber-
sikkerhed lægger stor vægt på ledelseskontrol i forhold til behandlingen af personoplysnin-
ger. For at sikre den bedst mulige kontrol med behandlingen af personoplysninger fører
GovCERT’s ledelse således i dag den daglige kontrol med behandlingen af personoplysnin-
ger. Herudover foretager centerets jurister også et internt tilsyn med, at behandlingen af
personoplysninger sker i overensstemmelse med de juridiske rammer for centerets arbejde.
2
 PDF to HTML - Convert PDF files to HTML files
Endelig kan nævnes, at det nuværende GovCERT-tilsyn i sin årsredegørelse har tilkendegi-
vet, at sikkerheden for korrekt behandling af personoplysninger er behørigt forankret på
øverste ledelsesniveau i Center for Cybersikkerhed.
I oplægget fra IT-Politisk Forening anføres, at det bør præciseres i loven, at kun trafikdata
vedrørende sikkerhedshændelsen kan videregives. Hertil kan bemærkes, at det udtrykkeligt
fremgår af lovforslagets § 16, nr. 2, at videregivelse af trafikdata kun kan ske ved begrun-
det mistanke om en sikkerhedshændelse. Trafikdata, der ikke er knyttet til sikkerhedshæn-
delser, vil således ikke kunne videregives.
I oplægget fra IT-Politisk Forening anføres, at det ikke er klart, om de i de almindelige be-
mærkninger afsnit 3.5.3. omtalte retningslinjer om udveksling af oplysninger internt i FE er
en hensigtserklæring eller et lovkrav. Hertil bemærkes, at der efter lovforslagets bemærk-
ninger (selvsagt) er en pligt for Forsvarsministeriet til at udstede sådanne retningslinjer, der
som det fremgår af bemærkningerne
vil blive offentliggjort på Center for Cybersikker-
heds hjemmeside.
Med venlig hilsen
Nicolai Wammen
3