Forsvarsudvalget 2015-16
FOU Alm.del Bilag 155
Offentligt
1653327_0001.png
06-07-2016
Til forsvarsordførerne
Lov om net- og informationssikkerhed trådte i kraft d. 1. juli 2016.
I telebranchens høringssvar til selve loven og til bekendtgørelserne har vi udtrykt stor bekymring for den
uforudsigelighed, som telebranchen stilles overfor med de nye regler, som udstedes af Center for
Cybersikkerhed (CFCS).
På trods af visse tilretninger i bekendtgørelserne er det efter vores opfattelse fortsat meget uklart, hvilke
forpligtelser teleselskaber i praksis kan blive pålagt, hvilke retssikkerhedsmæssige garantier, de har, samt
hvilke omkostninger og administrative byrder, loven og bekendtgørelserne vil medføre.
Det er overordnet vores bekymring, at omfanget af de i bekendtgørelserne anførte forpligtelser er så
vidtgående, at det i praksis er hindrende både for innovation og vækst, samt for udvikling af sikkerhed i
telebranchen. Det er vores vurdering, at disse regler faktisk kan mindske Danmarks mulighed for at følge
med den teknologiske udvikling – også når det gælder implementeringen af nye sikkerhedsteknologier.
Som branche ønsker vi selvfølgelig et højt sikkerhedsniveau med effektiv beskyttelse mod it-relaterede
trusler. Vi vurderer imidlertid ikke, at de forbedringer i informationssikkerheden, der opnås med de
foreliggende bekendtgørelser, står mål med de byrder, der pålægges erhvervslivet.
Vi opfordrer derfor til, at reglerne på området relativt hurtigt underlægges en revision, og at CFCS anlægger
en praksis på området baseret på dialog og samarbejde med telebranchens aktører om at styrke
sikkerheden.
Med venlig hilsen
Jakob Willer, direktør - Teleindustrien
Birgitte Hass, adm. direktør - IT-Branchen
Peder Søgaard-Pedersen, fagleder - DI Digital
Baggrund:
Bekendtgørelserne giver CFCS mulighed for at pålægge udbyderne meget vidtgående påbud uden nærmere
afgrænsning af kriterierne for skønsudøvelsen.
Den usikkerhed og uforudsigelighed i rammevilkår, der er skabt med den nye regulering vil i praksis kunne
stå i vejen for innovation og investeringer i ny teknologi. Derved er reglerne i modstrid med de politiske
visioner om, at Danmark skal ligge blandt de førende IT-nationer.
Det er vores opfattelse, at CFCS’ rolle i forbindelse med sikkerhed i de private erhverv primært bør være
vejledende og ikke styrende. De vedtagne retningslinjer fratager i praksis telebranchen råderet over
udviklingen af sikkerheden i egne platforme. Efter vores vurdering er branchen bedre i stand til selv at
udvikle sikkerhedsstandarder for erhvervet, og det risikerer at skade sikkerhedsniveauet, at CFCS nu i
praksis fratager branchen denne mulighed.
Telebranchen finder det fortsat problematisk, at:
-
Udmøntningen af loven i de foreliggende bekendtgørelser går videre end (overimplementerer) de
gældende EU-regler og indføres før, der er lavet fælles europæiske regler på området. Det betyder,
 FOU, Alm.del - 2015-16 - Bilag 155: Henvendelse af 6/7-16 fra Jakob Willer, Teleindustrien, DI, IT-Branchen, vedrørende lov om net- og informationssikkerhed
at danske udbydere – uden faglig eller saglig begrundelse – bliver pålagt strengere krav end øvrige
udbydere i EU til skade for branchens konkurrenceevne og for investeringer i dansk
teleinfrastruktur
-
En dansk særregulering, som bekendtgørelserne er udtryk for, kan udgøre en væsentlig barriere for
udbuddet af nye innovative tjenester, teknologier og systemer på det danske marked, da kravene
er markant anderledes, end hvad der gælder i EU i øvrigt. CFCS har i processen udtrykt ”
at det ikke
nødvendigvis vil være en ulempe, såfremt udenlandske leverandører, der ser de relativt
beskedne sikkerhedskrav i bekendtgørelserne som en barriere, fravælger det danske marked”.
Vi stiller os uforstående overfor, at en statslig myndighed får så vide rammer, at vi som industri
afskæres fra at finde de mest optimale løsninger på et internationalt marked.
-
De erhvervsøkonomiske konsekvenser af bekendtgørelser i praksis er ukendte, idet
vurderingen i høringsmaterialet langt fra giver et reelt billede af de byrder, der pålægges
erhvervslivet. Vi finder det dertil bekymrende, at branchen ikke er inddraget i vurderingen af
de økonomiske konsekvenser.
En række kriterier og definitioner i bekendtgørelserne ikke er afgrænset tilstrækkeligt konkret.
Dette gælder for eksempel definitionen af ’kritiske netkomponenter’ og ’væsentlig
samfundsmæssig betydning’. Disse forhold gør i praksis, at der gives nærmest ubegrænset
mulighed for påbud fra CFCS, hvorfor rammevilkårene for udbyderne bliver uforudsigelige og
uklare.
Forhandlinger om systemer og netkomponenter vil fremover være omfattet af en forpligtelse til at
underrette CFCS. Denne omfattende proces vil medføre et ikke ubetydeligt ressourcepres på både
selskaber og CFCS, hvorfor lang sagsbehandlingstid må forventes. Dette kan i sig selv forsinke
indførslen af nye teknologier i danske telenet.
-
-