FOU, Alm.del - 2016-17 - Bilag 128: Brev vedr. rapport om erfaringerne med CFCS-loven

Forsvarsudvalget 2016-17
FOU Alm.del Bilag 128
Offentligt

Til Folketingets Forsvarsudvalg

26. september 2017

Den 30. juni 2017 oversendte jeg en rapport om erfaringerne med lov om Center for Cyber-

sikkerhed til Folketingets Forsvarsudvalg.

Af rapporten fremgik følgende vedrørende Tilsynet med Efterretningstjenesternes tilsyn med

Center for Cybersikkerhed:

”Endelig gennemførte tilsynet en kontrol vedrørende centerets sikkerhedsforanstalt-

ninger i forbindelse med behandlingen af personoplysninger, der også omtales i tilsy-

nets bidrag til nærværende rapport. Der blev ved kontrollen taget udgangspunkt i ISO

27001-standarden samt de krav, der stilles i sikkerhedsbekendtgørelsen og Datatilsy-

nets vejledning herom, selvom disse i medfør af CFCS-lovens § 8 ikke finder direkte

anvendelse. Kontrollen viste, at CFCS ikke fuldt ud levede op til kravene til sikkerheds-

foranstaltninger indenfor 9 ud af 38 kontrollerede områder fra annex A i ISO

27001:2013. Hovedparten af disse risici blev imidlertid afhjulpet i løbet af 2015, og

der er efterfølgende afgivet kvartalsvise orienteringer til tilsynet. TET har endvidere

efterfølgende oplyst, at man i 2016 havde afhjulpet hovedparten af de omhandlede ri-

sici, samt at centeret efter det oplyste var i gang med at afhjælpe de resterende.”

(Rapportens side 15).

Vedlagt rapporten var endvidere Tilsynet med Efterretningstjenesternes bidrag til rapporten

af 25. april 2017, hvoraf følgende fremgik:

”En kontrol vedrørende sikkerhedsforanstaltninger i forbindelse med CFCS’ behandling

af oplysninger om fysiske personer viste i 2015, at CFCS ikke fuldt ud levede op til

lovgivningens krav om sikkerhedsforanstaltninger eller internt fastsatte retningslinjer

herom i forhold til et antal observationer med tilhørende risici inden for 9 ud af 38

kontrollerede områder. En opfølgning på kontrollen i 2016 viste, at der fortsat udestod

implementering af nødvendige sikkerhedsforanstaltninger i forhold til risici forbundet

med et antal observationer inden for flere af områderne.” (Bidragets

side 1).

FOU, Alm.del - 2016-17 - Bilag 128: Brev vedr. rapport om erfaringerne med CFCS-loven

Efter oversendelse af rapporten om erfaringerne med lov om Center for Cybersikkerhed of-

fentliggjorde Tilsynet med Efterretningstjenesterne den 7. juli 2017 sin årlige redegørelse

for tilsynet med Center for Cybersikkerhed for 2016. I tilsynets redegørelse fremgår følgen-

de:

”I tilsynets redegørelse

om sin virksomhed vedrørende CFCS for 2014 og 2015, afsnit

3.1.2, beskrev tilsynet en kontrol foretaget i 2015 vedrørende sikkerhedsforanstalt-

ninger i forbindelse med centrets behandling af personoplysninger, som viste, at CFCS

ikke fuldt ud levede op til lovgivningens krav om sikkerhedsforanstaltninger eller in-

ternt fastsatte retningslinjer herom i forhold til et antal observationer med tilhørende

risici inden for 9 af 38 kontrollerede områder.

CFCS har efterfølgende over for tilsynet oplyst, at centret har afhjulpet hovedparten

af de omhandlede risici.

Tilsynet har i 2016 foretaget en opfølgning på kontrollen heraf med henblik på at sik-

re, at CFCS har implementeret tilstrækkelige sikkerhedsforanstaltninger til afhjælpning

af de omhandlede risici. Opfølgningen viste, at dette var tilfældet inden for 4 af de 9

kontrolområder, men at implementering af nødvendige sikkerhedsforanstaltninger i

forhold til risici forbundet med et antal observationer inden for de resterende 5 kon-

trolområder fortsat udestår. CFCS har over for tilsynet tilkendegivet, at centret vil af-

hjælpe de resterende risici.”

(Redegørelsens side 15).

Tilsynet har efterfølgende henledt Forsvarsministeriets opmærksomhed på ovenstående

uoverensstemmelse, og set i lyset heraf finder jeg det mest rigtigt at præcisere, at det er

Center for Cybersikkerhed, der over for tilsynet har oplyst, at centret har afhjulpet hoved-

parten af de omhandlede risici, mens tilsynets opfølgning herpå i 2016 viste, at der var im-

plementeret sikkerhedsforanstaltninger til afhjælpning af risici inden for 4 af de 9 kontrol-

områder.

Præciseringen giver ikke anledning til en ændring af rapportens konklusion om, at Center

for Cybersikkerhed generelt har iagttaget lovgivningens krav til behandling af personoplys-

ninger.

Tilsynet med Efterretningstjenesternes årsredegørelse for tilsynet med Center for Cybersik-

kerhed for 2016 er for god ordens skyld bilagt til orientering.

Med venlig hilsen

Claus Hjort Frederiksen

Forsvarsminister