L 201 - 2014-15 (1. samling) - Bilag 3: Høringssvar fra Institutfor Menneskerettigheder, fra forsvarsministeren

Forsvarsudvalget 2014-15 (1. samling)
L 201 Bilag 3
Offentligt

Forsvarsministeriet

[email protected]

WILDERS PLADS 8K

1403 KØBENHAVN K

TELEFON 3269 8888

DIREKTE 3269 8905

MOBIL 3269 8905

[email protected]

MENNESKERET.DK

J. NR.

540.10/31805/MAF/HSC/ANPE

HØRING OVER UDKAST TIL FORSLAG TIL LOV OM

NET- OG INFORMATIONSSIKKERHED

Forsvarsministeriet har ved e-mail af 21. april 2015 anmodet om Institut

for Menneskerettigheders eventuelle bemærkninger til forslag til lov

om net- og informationssikkerhed.

1. LOVFORSLAGETS BAGGRU ND

Lovforslagets formål er medvirke til at sikre en robust informations- og

kommunikationsteknologisk infrastruktur (ikt-infrastruktur) ved at

fremme informationssikkerheden i net og tjenester og sikre, at

elektronisk kommunikation kan finde sted i beredskabssituationer og i

andre ekstraordinære situationer.

Lovforslaget skal ses på baggrund af, at det danske samfund i stigende

grad er afhængigt af telenettet i form af datakommunikation og

telefoni. Efter en ressortomlægning i 2011 administrerer Erhvervs- og

Vækstministeriet telelovens bestemmelser om teleudbyderes generelle

virksomhed, mens Forsvarsministeriet administrerer reglerne om

informationssikkerhed og beredskab. Med lovforslaget flyttes

telelovens bestemmelser om informationssikkerhed og beredskab til en

ny net- og informationssikkerhedslov under Forsvarsministeriet.

Instituttet har følgende bemærkninger:

Institut for Menneskerettigheder finder overordnet lovforslagets fokus

på at øge informationssikkerheden og sikre en robust ikt-infrastruktur

positivt.

2. CENTER FOR CYBERSIKK ERHEDS UDVIDEDE BEFØJELSER

EFTER LOVFORSLAGETS KAPITEL 2

Efter lovforslaget kan Center for Cybersikkerhed (CFCS) stille en række

krav til udbydere af offentligt tilgængelige net og tjenester. Kravene kan

vedrøre flere forhold, for eksempel minimumskrav til

7. MAJ 2015

L 201 - 2014-15 (1. samling) - Bilag 3: Høringssvar fra Institutfor Menneskerettigheder, fra forsvarsministeren

informationssikkerheden, risikostyring, underretning ved brud på

informationssikkerheden, som har væsentlige følger for driften af net

eller tjenester, leverandørkrav og beredskab. Overtrædelse af krav eller

påbud fra CFCS kan straffes med bøde.

CFCS bliver i den forbindelse bemyndiget til at fastsætte en række

administrative forskrifter; bemyndigelser som et vist omfang hidtil har

været tillagt Erhvervsstyrelsen, mens andre er nye. CFCS får ganske

brede bemyndigelser at udfylde lovteksten.

Efter instituttets opfattelse bør rammerne for de beføjelser, som CFCS

får til at varetage sine opgaver imidlertid nærmere konkretiseres og

fastsættes under inddragen af Folketinget og efter høring af relevante

interessenter. Herved undgås det, at CFCS både fører tilsyn og samtidig

udmønter centrale dele af lovens indhold. En nærmere afgrænsning af

CFCS’s beføjelser vedrører særligt beføjelserne omtalt i lovforslagets §

Som eksempel på den brede regulering i lovforslaget kan der henvises

til lovforslagets § 3, stk. 3, hvorefter CFCS kan fastsætte nærmere regler

om påbud til udbydere, såfremt det er ”af væsentlig samfundsmæssig

betydning”. Det fremgår af bemærkningerne til lovforslaget, at påbud

efter § 3, stk. 3, normalt vil have karakter af erstatningsfri regulering.

Det kan dog ifølge bemærkningerne til lovforslaget ikke udelukkes, at

påbud i visse tilfælde vil kunne ramme udbydere så økonomisk intensivt

og atypisk hårdt, at der kan rejses spørgsmål om ekspropriation, jf.

grundlovens § 73.

Instituttet er opmærksomt på, at den gældende regulering på området i

et ikke ubetydeligt omfang sker ved bekendtgørelser mv.



Institut for Menneskerettigheder anbefaler – med henblik på at

fremme den enkeltes menneskerettigheder – at Center for

Cybersikkerheds beføjelser efter lovforslagets § 3 nærmere

afgrænses og konkretiseres.

3. TILSYNSBESØG EFTER LOVFORSLAGETS § 9

Med lovforslagets § 9 bliver CFCS tillagt beføjelse til at foretage

tilsynsbesøg, ikke blot hos udbydere, jf. § 9, stk. 6, men også hos

udbyderes samarbejdspartnere, leverandører og underleverandører, jf.

§ 9, stk. 7.

Tilsynsbesøg kan gennemføres, hvis det er ”nødvendigt af hensyn til

informationssikkerheden” med henblik på at påse overholdelse af loven

og regler udstedt i medfør af loven, med et varsel på syv dage og uden

2/4

L 201 - 2014-15 (1. samling) - Bilag 3: Høringssvar fra Institutfor Menneskerettigheder, fra forsvarsministeren

retskendelse. Det fremgår eksplicit af lovforslaget, jf. §§ 9, stk. 6 og 7, at

CFCS i den forbindelse ikke kan tilgå kommunikation til, fra eller mellem

udbydernes kunder, samt at der er tale om varslede tilsynsbesøg.

Tilsynsbesøg vil foregå i forretningslokaler, som nyder beskyttelse efter

henholdsvis grundlovens § 72 og Den Europæiske

Menneskerettighedskonventions (EMRK) artikel 8.

Grundlovens § 72 stiller ved sådanne tilsynsbesøg krav om

retskendelse, med mindre der ved lov foreligger særegen undtagelse.

Ved lovforslaget foreligger sådan særegen undtagelse. EMRK artikel 8

indeholder ikke - som grundloven – et udgangspunkt om retskendelse,

men et krav om retskendelse kan være en sikkerhedsgaranti, som kan

retfærdiggøre indgreb i artikel 8. Når der foretages indgreb efter EMRK

artikel 8, skal der foreligge tilstrækkelig klar og præcis lovhjemmel,

indgrebet skal forfølge et legitimt formål samt være nødvendigt,

herunder proportionalt.

Det fremgår af bemærkningerne til lovforslaget, at tilsynsbesøgene vil

blive foretaget rutinemæssigt, og derfor vil der ikke forud for et besøg

foreligge et mistankegrundlag, som vil kunne danne grundlag for en

retskendelse. Forsvarsministeriet vurderer derfor, at tilsynsbesøgene

ikke er egnede til domstolsprøvelse. Omvendt forudsættes det i

bemærkningerne, at denne mulighed kun forudsættes anvendt, hvis

tilsvarende resultat ikke kan opnås med andre og mindre indgribende

muligheder.

Instituttet bemærker, at grundlovens krav om retskendelse også finder

anvendelse på rutineprægede husundersøgelser. Kravet om

retskendelse kan for eksempel også forebygge misbrug af

tilsynsbeføjelsen. Instituttet finder derfor, at fravigelse fra grundlovens

udgangspunkt bør ledsages af en mere udførlig begrundelse. Set i lyset

af at tilsynsbesøg skal varsles mindst syv dage før, bør der i praksis være

tid til at indhente en retskendelse forud for tilsynsbesøget.



Instituttet anbefaler - henset til indgrebets karakter og med

henblik på at fremme den enkelte menneskerettigheder – at det

i lovforslagets bemærkninger uddybes, hvorfor det er

nødvendigt at foretage tilsynsbesøg uden retskendelse.

Det ses ikke er nærmere beskrevet, hvornår et tilsynsbesøg er

”nødvendigt af hensyn til informationssikkerheden”. Det vil således ikke

stå udbyderne tilstrækkeligt klart, hvornår de vil kunne udsættes for et

sådant indgreb, og eventuelt træffe foranstaltninger med henblik på til

at undgå det.

3/4

L 201 - 2014-15 (1. samling) - Bilag 3: Høringssvar fra Institutfor Menneskerettigheder, fra forsvarsministeren



Institut for Menneskerettigheder anbefaler – med henblik på at

fremme den enkeltes menneskerettigheder - at betingelserne

for at foretage tilsynsbesøg efter lovforslagets § 9 hos udbydere

og disse underleverandører nærmere præciseres i lovteksten.

4. OM CENTER FO R CYBERSIKKERHEDS VI RKSOMHED

Ifølge lov om Center for Cybersikkerhed § 8 er CFCS’s virksomhed

undtaget fra offentlighedsloven (med undtagelse af notatpligten),

forvaltningslovens kapitel 4 til 6 (reglerne om aktindsigt, partshøring og

begrundelse) samt persondataloven. Ifølge forarbejderne til lov om

Center for Cybersikkerhed forudsættes det, at CFCS i størst muligt

omfang efterlever principperne i offentlighedsloven og

forvaltningslovens kapitel 4-6. Det fremgår af lovforslagets

bemærkninger, at CFCS forventes at følge persondatalovens principper.

Samtidigt er der grund til at fremhæve, at CFCS er forpligtet til at

overholde EMRK artikel 8 om privatlivets fred, herunder beskyttelse af

personoplysninger, og EU-Chartrets artikler 7 og 8 om samme.

De udvidede beføjelser, som CFCS tillægges efter lovudkastet, vil også

få betydning for behandlingen af personoplysninger, herunder

personfølsomme oplysninger.

Udgangspunktet i dansk ret er, at offentlige myndigheder skal

overholde forvaltningsloven, offentlighedsloven og persondataloven.

Instituttet sætter derfor spørgsmålstegn ved, om det fortsat er

berettiget at undtage CFCS fra almindelige forvaltningsretlige krav, når

centrets virksomhed som tilsynsmyndighed udvides betydeligt.

Instituttet finder, at der ved tildelingen af nye eller udvidede beføjelser

til CFCS bør tages eksplicit stilling til, om de nye beføjelser

nødvendiggør en fravigelse af normale lovkrav. I bemærkningerne til

lovforslaget tages der imidlertid ikke stilling til dette.



Institut for Menneskerettigheder anbefaler – med henblik på at

fremme den enkeltes menneskerettigheder – at det overvejes, om

det fortsat er berettiget at undtage Center for Cybersikkerhed fra

almindelige forvaltningsretlige principper, når centrets rolle som

tilsynsmyndighed udvides betydeligt.

Der henvises til j.nr. 2014/004373

Med venlig hilsen

Martin Rosenkilde

4/4