FOU, Alm.del - 2016-17 - Bilag 128: Brev vedr. rapport om erfaringerne med CFCS-loven

Forsvarsudvalget 2016-17
FOU Alm.del Bilag 128
Offentligt

Årsredegøre2se

Center for Cybersikkerhed

I9d0o2d

Til forsvarsministeren ...............................................................................................................

Forord ..........................................................................................................................................

Om Center for Cybers3kker0ed

.................................................................................................

T32synet med Efterretn3ngstjenesterne

...................................................................................

T32sy9ets op5aver 3 4or0o2d t32 CFCS .............................................................................................................

T32sy9ets ad5a95 t32 op2ys9395er 3 CFCS .....................................................................................................

T32sy9ets reakt3o9s8u2350eder ....................................................................................................................

T32sy9ets arbejde o5 4okuso8råder 3

................................................................................................

T32synets kontro2 3

...........................................................................................................

E5e9 dr34t-ko9tro22er ....................................................................................................................................

St3kprøveko9tro2 vedrøre9de be0a9d2395 a4 perso9op2ys9395er 3 ce9trets

. .

e2ektro93ske 0æ9de2ses0å9dter395ssyste8 ..............................................................................

. .

St3kprøveko9tro2 vedrøre9de be0a9d2395 a4 perso9op2ys9395er 3 ce9trets jour9a2syste8....

. .

Ko9tro2 vedrøre9de ce9trets sa8arbejde 8ed po23t3et, 0eru9der PET ...............................

. .

Ko9tro2 vedrøre9de ce9trets udveks2395 a4 data 39de0o2de9de perso9op2ys9395er,

der sta88er 4ra 39d5reb 3 8edde2e2ses0e88e2350ede9, 8ed de9 øvr35e de2 a4 FE ......

. .

Ko9tro2 vedrøre9de ce9trets v3dere53ve2se a4 data 39de0o2de9de perso9op2ys9395er,

der sta88er 4ra 39d5reb 3 8edde2e2ses0e88e2350ede9, t32 a9dre 8y9d350eder,

v3rkso80eder o5 sa8arbejdspart9ere........................................................................................

Sa88e94at9395 a4 t32sy9ets e5e9 dr34t-ko9tro22er 3

.......................................................

. .

Op4ø259395 på ko9tro22er 3

................................................................................................................

. .

Ko9tro2 vedrøre9de s3kker0eds4ora9sta2t9395er 3 4orb39de2se 8ed ce9trets

be0a9d2395 a4 perso9op2ys9395er ...............................................................................................

CFCS’ 3nterne kontro2

...............................................................................................................

Eksemp2er på centrets 0åndter3ng af cyberangreb

.............................................................

Stat3st3k vedrørende CFCS’ be0and23ng af personop2ysn3nger

...........................................

Append3ks

..........................................................................................................................................

Rets5ru9d2a5 ..........................................................................................................................................................

O8 CFCS’ 9ets3kker0edstje9este, j4. CFCS-2ove9s § ...........................................................................

O8 39d5reb 3 8edde2e2ses0e88e2350ede9, j4. CFCS-2ove9s §§ - .................................................

O8 be0a9d2395 a4 perso9op2ys9395er, j4. CFCS-2ove9s §§ - .........................................................

O8 a9a2yse, v3dere53ve2se o5 s2et9395 a4 data, j4. CFCS-2ove9s §§ - o5

CFCS-ret9395s239jer9es §§ , , o5 .....................................................................................................

O8 s3kker0eds4ora9sta2t9395er 3 4orb39de2se 8ed ce9trets be0a9d2395 a4

perso9op2ys9395er, j4. CFCS-2ove9s § ..................................................................................................

FOU, Alm.del - 2016-17 - Bilag 128: Brev vedr. rapport om erfaringerne med CFCS-loven

T32 4orsvars8393stere9

I overe9sste88e2se 8ed §

3 2ov o8 Ce9ter 4or Cybers3kker0ed (2ov 9r.

a4 . ju93

) a453ver

T32sy9et 8ed E4terret9395stje9ester9e 0er8ed rede5øre2se o8 s39 v3rkso80ed vedrøre9de Ce9ter 4or

Cybers3kker0ed 4or

. Rede5øre2se9 ska2 ofe9t2355øres.

Købe90av9, 8aj

U22a Staa2

For8a9d 4or T32sy9et 8ed E4terret9395stje9ester9e

FOU, Alm.del - 2016-17 - Bilag 128: Brev vedr. rapport om erfaringerne med CFCS-loven

TILSYNET MED EF TERRETNINGSTJENESTERNE / ÅRSREDEGØRELSE 2016 / CENTER FOR CYBERSIKKERHED

FOU, Alm.del - 2016-17 - Bilag 128: Brev vedr. rapport om erfaringerne med CFCS-loven

Forord

Lov o8 Ce9ter 4or Cybers3kker0ed trådte 3 kra4t de9 . ju23

, o5 34ø25e 2ove9 ska2

Tilsynet med

Efterretningstjenesterne

so8 et sær235t ua40æ9535t ko9tro2or5a9 4øre t32sy9 8ed, at Ce9ter

4or Cybers3kker0ed (CFCS) be0a9d2er op2ys9395er o8 4ys3ske perso9er 3 overe9sste88e2se 8ed

2ov53v9395e9. T32sy9et b2ev oprettet ved 2ov o8 Po23t3ets E4terret9395stje9este (PET), der trådte

3 kra4t de9 . ja9uar

T32sy9et 0ar 3

5e99e84ørt o84atte9de o5 39te9s3ve ko9tro22er 8ed CFCS’ be0a9d2395

a4 op2ys9395er o8 4ys3ske perso9er, 0v32ket b2a9dt a9det 0ar været 8u2355jort a4 yder235ere

a9sætte2ser t32 sekretar3atet a4 perso9er 8ed re2eva9te ko8pete9ceproi2er o5 a4 e9 4ortsat ø5et

39ds35t 3 rev3s3o9s8etod3k, r3s3kovurder395 o5 test8ode22er 8ed dera4 4ø25e9de opt38er395 a4

t32sy9ets ko9tro22er. Med ud5a95e9 a4 året 8å t32sy9et 39de9 4or de aktue2t 53v9e ra88er a9ses

4or 4u2dt udby55et.

S35tet 8ed rede5øre2se9 er at 53ve 394or8at3o9 o8 karaktere9 a4 det t32sy9, der udøves vedrøre9de

CFCS, 0eru9der e9 5e9ere2 beskr3ve2se a4 0v32ke 4or0o2d t32sy9et 3

0ar va25t sær235t at

39teressere s35 4or. Rede5øre2se9 39de0o2der e9dv3dere 9ær8ere a953v9e stat3st3ske op2ys9395er

o8 CFCS’ be0a9d2395 a4 perso9op2ys9395er sa8t op2ys9395er o8, 3 0vor 8a95e t324æ2de t32sy9et

0ar 4u9det, at CFCS’ be0a9d2395 a4 perso9op2ys9395er 3kke 0ar været 3 overe9sste88e2se 8ed

re52er9e. Rede5øre2se9 39de0o2der 0erudover e9 a9o9y83seret beskr3ve2se a4 to ko9krete

cybera95reb o5 e9 stat3st3k over a9ta22et a4 t324æ2de, 0vor e9 a9a2yt3ker 4ra ce9tret på ba55ru9d

a4 39d5reb 3 8edde2e2ses0e88e2350ede9 0ar 4oreta5et e9 a9a2yse a4 data.

U22a Staa2

4or8a9d

FOU, Alm.del - 2016-17 - Bilag 128: Brev vedr. rapport om erfaringerne med CFCS-loven

Om Center for

Cybersikkerhed

Ce9ter 4or Cybers3kker0ed (CFCS) b2ev oprettet 3

so8 e9 de2 a4 Forsvarets E4terret9395stje9este

(FE) t32 vareta5e2se a4 b2a9dt a9det 4ø25e9de op5aver:

GovCERT (Gover98e9ta2 Co8puter E8er5e9cy Respo9se Tea8), der er de9 stats235e

vars2395stje9este 4or 39ter9ettrus2er

MILCERT (M323tary Co8puter E8er5e9cy Respo9se Tea8), der er vars2395stje9este 4or

39ter9ettrus2er på Forsvars8393ster3ets o8råde

Nat3o9a2 3t-s3kker0eds8y9d350ed (bortset 4ra Just3ts8393ster3ets o8råde, 0vor Po23t3ets

E4terret9395stje9este (PET) vareta5er op5ave9)

I94or8at3o9ss3kker0ed o5 beredskab på te2eo8rådet

CFCS’ 0ovedop5ave er at u9derstøtte et 0øjt 394or8at3o9ss3kker0eds93veau 3 de9 394or8at3o9s-

o5 ko88u93kat3o9stek9o2o53ske 394rastruktur, so8 sa84u9dsv35t35e 4u9kt3o9er er a40æ9535e

a4. De99e op5ave 2øses b2a9dt a9det ved, at CFCS opda5er, a9a2yserer o5 b3dra5er t32 at 38øde5å

s3kker0eds0æ9de2ser på såve2 det c3v32e so8 det 8323tære o8råde.

I9dt32 de9 . ju23

var GovCERTs v3rkso80ed re5u2eret a4 de9 såka2dte GovCERT-2ov (2ov 9r.

a4 . ju93

). CFCS’ øvr35e op5aver var 3kke o84attet a4 de99e 2ov, o5 CFCS’ v3rkso80ed b2ev

0e22er 3kke o84attet a4 2ov o8 Forsvarets E4terret9395stje9este (FE) (0ere4ter FE-2ove9), der trådte

3 kra4t de9 . ja9uar

. Bortset 4ra GovCERT var CFCS’ v3rkso80ed 39dt32 de9 . ju23

så2edes

a2e9e re5u2eret a4 4orsvars2ove9s § o5 a4 ad8393strat3ve d3rekt3ver udstedt a4 Forsvars8393ster3et.

De9 . ju23

trådte 2ov 9r.

a4 . ju93

o8 Ce9ter 4or Cybers3kker0ed (CFCS) 3 kra4t (0er-

e4ter CFCS-2ove9). For8å2et 8ed 2ove9 er 4ørst o5 4re88est at etab2ere et sa82et 2ov5ru9d2a5

4or CFCS, 0vorved GovCERTs, MILCERTs o5 CFCS’ øvr35e akt3v3teter 3 t32k9yt9395 t32 CERT-akt3v3-

teter9e u9der 4æ22esbete59e2se9 ”9ets3kker0edstje9este” u9der2æ55es sa88e re5u2er395. Med

2ove9 styrkes e9dv3dere CFCS’ 8u2350eder 4or at beskytte Da98ark 8od cybera95reb. Styrke2se9

sker b2a9dt a9det ved at udv3de ce9trets 8u2350eder 4or at u9dersø5e s3kker0eds0æ9de2ser,

0eru9der cybera95reb, 3 sa8arbejde 8ed 8y9d350eder o5 v3rkso80eder, så2edes at der 3 større

o84a95 e9d 03dt32 ka9 39d0e9tes de 394or8at3o9er, so8 er 9ødve9d35e 4or at a4k2are, 0v32ke

a95rebsværktøjer o5 -8etoder so8 er a9ve9dt ved s3kker0eds0æ9de2ser. Dette v32 styrke 8u-

FOU, Alm.del - 2016-17 - Bilag 128: Brev vedr. rapport om erfaringerne med CFCS-loven

OM CENTER FOR CYBERSIKKERHED

2350ede9 4or at 4oreby55e 9ye o5 t32svare9de 0æ9de2ser. Love9 39debærer t32235e, at e9 række

a4 de ce9tra2e pr39c3pper 3 perso9data2ove9 o5så i9der a9ve9de2se på CFCS’ v3rkso80ed. Med

2ove9 er det yder235ere beste8t, at T32sy9et 8ed E4terret9395stje9ester9e (0ere4ter t32sy9et), der

so8 et ua40æ9535t ko9tro2or5a9 4ører t32sy9 8ed, at PET be0a9d2er op2ys9395er o8 4ys3ske o5

jur3d3ske perso9er 3 overe9sste88e2se 8ed PET-2ov53v9395e9, o5 at FE be0a9d2er op2ys9395er

o8 3 Da98ark 0je88e0øre9de 4ys3ske o5 jur3d3ske perso9er 3 overe9sste88e2se 8ed FE-2ov-

53v9395e9, t32235e ska2 4øre t32sy9 8ed, at CFCS’ be0a9d2395 a4 op2ys9395er o8 4ys3ske perso9er

er 3 overe9sste88e2se 8ed CFCS-2ov53v9395e9.

I 8ed4ør a4 CFCS-2ove9 0ar Forsvars8393ster3et 8ed 3kra4ttræde9 de9 . ju23

udstedt Ret9395s-

239jer vedrøre9de be0a9d2395 a4 data 3 o5 4ra Ce9ter 4or Cybers3kker0eds 9ets3kker0edstje9este

(0ere4ter CFCS-ret9395s239jer9e).

Ved 2ov 9r.

a4 . dece8ber

o8 9et- o5 394or8at3o9ss3kker0ed (0ere4ter NIS-2ove9), der

trådte 3 kra4t de9 . ju23

, er re5u2er395e9 a4 394or8at3o9ss3kker0ed o5 beredskab på te2e-

o8rådet sa82et 3 e9 9y 2ov, o5 sa8t3d35 er der sket e9 skærpe2se a4 krave9e t32 te2eudbyder9es

394or8at3o9ss3kker0ed 8ed 0e9b23k på at styrke 9et- o5 394or8at3o9ss3kker0ede9 3 Da98ark.

CFCS 4ører t32sy9 8ed over0o2de2se9 a4 2ove9 o5 re52er udstedt 3 8ed4ør 0era4.

CFCS’ hovedopgave er at understøtte et

højt informationssikkerhedsniveau i den

informations- og kommunikationsteknologiske

infrastruktur, som samfundsvigtige funktioner

er afhængige af.

FOU, Alm.del - 2016-17 - Bilag 128: Brev vedr. rapport om erfaringerne med CFCS-loven

Tilsynet med

Efterretningstjenesterne

T32sy9et er oprettet ved 2ov o8 Po23t3ets E4terret9395stje9este (PET)

(0ere4ter PET-2ove9), der 235eso8 FE-2ove9 trådte 3 kra4t de9 . ja9uar

T32sy9et er et sær235t ua40æ9535t ko9tro2or5a9, der 4ører t32sy9 8ed, at PET

be0a9d2er op2ys9395er o8 4ys3ske o5 jur3d3ske perso9er 3 overe9sste88e2se

8ed PET-2ov53v9395e9, o5 at FE be0a9d2er op2ys9395er o8 3 Da98ark

0je88e0øre9de 4ys3ske o5 jur3d3ske perso9er 3 overe9sste88e2se 8ed FE-

2ov53v9395e9. E4ter 3kra4ttræde2se9 de9 . ju23

a4 CFCS-2ove9 0ar t32sy9et

t32235e 4ørt ko9tro2 8ed, at CFCS be0a9d2er op2ys9395er o8 4ys3ske perso9er 3

overe9sste88e2se 8ed CFCS-2ov53v9395e9.

T32sy9et udøver s39e 4u9kt3o9er 3 4u2d ua40æ95350ed o5 er så2edes 3kke u9der53vet tje9estebe4a-

2395er 4ra Forsvars8393ster3et e22er a9dre ad8393strat3ve 8y9d350eder 8ed 0e9sy9 t32 udøve2se9

a4 s39 v3rkso80ed.

T32sy9et består a4 4e8 8ed2e88er, der er udpe5et a4 just3ts8393stere9 e4ter 4or0a9d2395 8ed

4orsvars8393stere9. For8a9de9, der ska2 være 2a9dsdo88er, er udpe5et e4ter 39dst322395 4ra

præs3de9ter9e 4or Østre La9dsret o5 Vestre La9dsret, 8e9s de øvr35e 8ed2e88er er udpe5et

e4ter drø4te2ser 8ed Fo2ket395ets Udva25 vedrøre9de E4terret9395stje9ester9e.

Med2e88er9e er:

2a9dsdo88er U22a Staa2, Østre La9dsret (4or8a9d)

advokat Per9322e Back0ause9, S3r3us Advokater

d3rektør Ada8 Wo24, Da9ske Re53o9er

pro4essor Jør5e9 Grø99e5ård C0r3ste9se9, Aar0us U93vers3tet

bestyre2ses4or8a9d Er3k Jacobse9, Rosk32de U93vers3tet

Med 0e9b23k på at s3kre ko9t39u3tet 3 t32sy9ets arbejde er 2a9dsdo88er U22a Staa2, advokat Per9322e

Back0ause9 o5 d3rektør Ada8 Wo24 udpe5et 4or e9 per3ode på ire år, 8e9s pro4essor Jør5e9 Grø9-

9e5ård C0r3ste9se9 o5 bestyre2ses4or8a9d Er3k Jacobse9 (udpe5et oktober

) b2ev udpe5et

4or e9 per3ode på to år. Sa8t235e 8ed2e88er 0ar 8u2350ed 4or 5e9besk3kke2se 3 yder235ere ire

år, o5 3 oktober

o5 oktober

b2ev 0e90o2dsv3s Jør5e9 Grø99e5ård C0r3ste9se9 o5 Er3k

Jacobse9 5e9besk3kket 4or yder235ere ire år.

FOU, Alm.del - 2016-17 - Bilag 128: Brev vedr. rapport om erfaringerne med CFCS-loven

TILSYNET MED EF TERRETNINGSTJENESTERNE

Tilsynets opgave er at føre legalitetskontrol med, at CFCS

behandler oplysninger om fysiske personer i overensstemmelse

med lovgivningen, og tilsynet skal således ikke påse, om CFCS

udfører sine opgaver på en hensigtsmæssig måde.

T32sy9et b3stås a4 et sekretar3at, der a2e9e er u9der53vet t32sy9ets 39strukt3o9. T32sy9et beste88er

se2v, 0ve8 der ska2 a9sættes 3 sekretar3atet, 0eru9der 0v32ke9 udda99e2ses8æss35 ba55ru9d o5

øvr35e kva23ikat3o9er, de på5æ2de9de ska2 0ave. Ved ud5a95e9 a4

bestod sekretar3atet a4

e9 jur3d3sk sekretar3atsc0e4, der vareta5er de9 da5235e 2ede2se a4 sekretar3atet, e9 ca9d.sc3e9t.

po2., tre jur3ster, e9 3t-ko9su2e9t o5 e9 ko9tor4u9kt3o9ær.

T32sy9ets op5aver 3 4or0o2d t32 CFCS

I4ø25e CFCS-2ove9 ska2 t32sy9et e4ter k2a5e e22er a4 e5e9 dr34t påse, at CFCS be0a9d2er op2ys9395er

o8 4ys3ske perso9er 3 overe9sste88e2se 8ed de 9ær8ere beste88e2ser 0ero8 3 CFCS-2ove9 sa8t

re52er udstedt 3 8ed4ør 0era4. T32sy9et påser, at ce9tret over0o2der 2ove9s re52er o8

39d5reb 3 8edde2e2ses0e88e2350ede9,

be0a9d2395 a4 perso9op2ys9395er 3 CFCS,

a9a2yse, v3dere53ve2se o5 s2et9395 a4 data, o5

krav t32 s3kker0eds4ora9sta2t9395er 3 4orb39de2se 8ed ce9trets be0a9d2395 a4

perso9op2ys9395er.

T32sy9ets op5ave er at 4øre 2e5a23tetsko9tro2 8ed, at CFCS be0a9d2er op2ys9395er o8 4ys3ske per-

so9er 3 overe9sste88e2se 8ed 2ov53v9395e9, o5 t32sy9et ska2 så2edes 3kke påse, o8 CFCS ud4ører

s39e op5aver på e9 0e9s35ts8æss35 8åde.

T32sy9et a45ør se2v 39te9s3tete9 a4 s39 ko9tro2, 0eru9der 3 0v32ket o84a95 ko9tro22e9 ska2 være

4u2dstæ9d35 e22er st3kprøvev3s, 0v32ke sa5so8råder, der særsk32t ska2 pr3or3teres, o5 3 0v32ket o8-

4a95 t32sy9et v32 ta5e sa5er op a4 e5e9 dr34t. Der er 3kke 53vet 9ær8ere ret9395s239jer 4or t32sy9ets

ud4øre2se a4 s39 ko9tro2.

T32sy9ets ad5a95 t32 op2ys9395er 3 CFCS

T32sy9et ka9 0os CFCS kræve e90ver op2ys9395 o5 a2t 8ater3a2e, der er a4 betyd9395 4or t32sy9ets

v3rkso80ed, o5 t32sy9et 0ar t32 e90ver t3d ad5a95 t32 a22e 2oka2er, 0vor4ra der er ad5a95 t32 de

op2ys9395er, so8 be0a9d2es, e22er 0vor tek93ske 0jæ2pe83d2er a9ve9des. T32sy9et ka9 e9dv3dere

a4kræve CFCS skr34t235e udta2e2ser o8 4akt3ske o5 ret235e 4or0o2d a4 betyd9395 4or t32sy9ets ko9-

tro2v3rkso80ed, 235eso8 t32sy9et ka9 a98ode o8, at e9 repræse9ta9t 4or CFCS er t32 stede 8ed

0e9b23k på at rede5øre 4or de be0a9d2ede sa5er.

FOU, Alm.del - 2016-17 - Bilag 128: Brev vedr. rapport om erfaringerne med CFCS-loven

TILSYNET MED EF TERRETNINGSTJENESTERNE / ÅRSREDEGØRELSE 2016 / CENTER FOR CYBERSIKKERHED

CFCS 0ar st322et 2oka2er t32 råd350ed 4or t32sy9et, 0vor4ra t32sy9et på e5e9 0å9d ka9 4oreta5e sø5-

9395er 3 ce9trets 3t-syste8er.

T32sy9ets reakt3o9s8u2350eder

T32sy9et 0ar 3kke ko8pete9ce t32 at påbyde CFCS beste8te 4ora9sta2t9395er 3 4or0o2d t32 be0a9d2395

a4 op2ys9395er. T32sy9et ka9 der38od a453ve udta2e2ser over 4or CFCS, 0vor3 t32sy9et b2a9dt a9det

ka9 t32ke9de53ve s39 op4atte2se a4, o8 ce9tret over0o2der re52er9e o8 be0a9d2395 a4 perso9op-

2ys9395er. Hv3s CFCS u9dta5e2sesv3s 8åtte bes2utte 3kke at 4ø25e e9 0e9st322395 3 e9 udta2e2se 4ra

t32sy9et, ska2 CFCS u9derrette t32sy9et 0ero8 o5 straks 4ore2æ55e sa5e9 4or 4orsvars8393stere9

t32 a45øre2se.

T32sy9et ska2 u9derrette 4orsvars8393stere9 o8 4or0o2d, so8 8393stere9 e4ter t32sy9ets op4atte2se

bør 0ave ke9dskab t32.

T32sy9et a453ver e9 år235 rede5øre2se o8 s39 v3rkso80ed t32 4orsvars8393stere9. Rede5øre2se9, der

ofe9t2355øres, 53ver 394or8at3o9 o8 karaktere9 a4 det t32sy9, der udøves 8ed CFCS. Det 4re85år

så2edes a4 4orarbejder9e t32 2ove9, at s35tet 8ed de9 år235e rede5øre2se er at 53ve 394or8at3o9 o8

karaktere9 a4 det t32sy9, der udøves vedrøre9de CFCS, 0eru9der e9 5e9ere2 beskr3ve2se a4 0v32ke

4or0o2d t32sy9et 8åtte 0ave va25t sær235t at 39teressere s35 4or. Rede5øre2ser9e ska2 39de0o2de sta-

t3st3ske op2ys9395er o8 CFCS’ be0a9d2395 a4 perso9op2ys9395er, 0eru9der op2ys9395er o8 a9ta22et

a4 8odta59e k2a5esa5er 3 såve2 ce9tret so8 t32sy9et, op2ys9395er o8 a9ta22et a4 akt39ds35tssa5er

o5 a45øre2se9 a4 d3sse sa8t op2ys9395er o8 a9ta22et a4 sa5er 8ed re2at3o9 t32 s3kker0eds0æ9de2ser,

der er be0a9d2et 3 ce9tret. T32sy9et v32 o5så sku22e 8edta5e op2ys9395er o8, 3 0vor 8a95e t324æ2de

t32sy9et 0ar 4u9det, at CFCS’ be0a9d2395 a4 perso9op2ys9395er 3kke 0ar været 3 overe9sste88e2se

8ed re52er9e. Rede5øre2se9 ska2 235e2edes 39de0o2de e9 4u2dt ud a9o9y83seret beskr3ve2se a4 e9 e22er

lere ko9krete cybera95reb sa8t e9 stat3st3k over a9ta22et a4 t324æ2de, 0vor e9 a9a2yt3ker 4ra CFCS på

ba55ru9d a4 39d5reb 3 8edde2e2ses0e88e2350ede9 0ar 4oreta5et e9 a9a2yse a4 data. De99e stat3st3k

ska2 desude9 39de0o2de e9 overord9et kate5or3ser395 a4, 0vor a2vor235e d3sse t324æ2de 0ar været.

T32sy9et a45av s39 4ørste år235e rede5øre2se o8 s39 v3rkso80ed vedrøre9de CFCS t32 4orsvars8393-

stere9 3 8aj

. Rede5øre2se9 b2ev ofe9t2355jort u2t38o 8aj

T32sy9ets arbejde o5 4okuso8råder 3

T32sy9et 0ar 3

5e99e84ørt o84atte9de o5 39te9s3ve ko9tro22er 8ed CFCS’ be0a9d2395 a4

op2ys9395er o8 4ys3ske perso9er.

T32sy9ets sekretar3at 0ar 3 5e99e8s93t t32bra5t e9 0a2v t32 e9 0e2 da5 o8 u5e9 0os CFCS, 0vor

sekretar3atet 0ar 4oreta5et ko9tro22er o5 a40o2dt 8øder 8ed ce9trets perso9a2e t32 a4k2ar395 a4

spør5s8å2 8v. Resu2tatet a4 ko9tro22er9e er 4ore2a5t t32sy9et på 8å9ed235e 8øder, 0vor det b2a9dt

a9det er bes2uttet, o8 ko9krete op2ys9395er 8v. 0ar 53vet a92ed9395 t32 yder235ere spør5s8å2 t32

CFCS. I 2øbet a4 året 0ar t32sy9et e9dv3dere de2ta5et 3 lere 8øder 8ed CFCS, 0vor typ3sk e89er,

so8 på 4or0å9d var 4ast2a5t a4 t32sy9et, b2ev drø4tet. Det drejede s35 både o8 e89er a4 ko9kret

karakter afødt a4 de ud4ørte ko9tro22er o5 o8 e89er a4 8ere 5e9ere2 karakter.

FOU, Alm.del - 2016-17 - Bilag 128: Brev vedr. rapport om erfaringerne med CFCS-loven

TILSYNET MED EF TERRETNINGSTJENESTERNE

L35eso8 3 det 4ore5åe9de år 0ar t32sy9et 3

pr3or3teret ko9tro22er 8ed 4okus på CFCS’ over0o2-

de2se a4 re52er9e o8 39d5reb 3 8edde2e2ses0e88e2350ede9, o8 be0a9d2395 a4 perso9op2ys9395er,

o8 a9a2yse, v3dere53ve2se o5 s2et9395 a4 data sa8t o8 s3kker0eds4ora9sta2t9395er 3 4orb39de2se

8ed ce9trets be0a9d2395 a4 perso9op2ys9395er. T32sy9ets va25 a4 ko9tro2o8råder 0ar været baseret

på e9 r3s3ko- o5 væse9t2350edsvurder395 a4, 0v32ke o8råder der sær235t 8åtte 4orve9tes at ku99e

53ve prob2e8er, 235eso8 va25 a4 8etode 0ar været t32passet de e9ke2te ko9tro2o8råder. O8 de9

9ær8ere 5e99e85a95 a4 ko9tro22er9e på 4okuso8råder9e 0e9v3ses t32 a4s93t . .

O5så 3

0ar t32sy9ets 3t-ko9su2e9t b3dra5et væse9t235t t32 opt38er395 a4 lere a4 t32sy9ets

ko9tro22er 3 CFCS, 0eru9der 3 re2at3o9 t32 ko9tro22er9e vedrøre9de over0o2de2se a4 re52er9e o8

s3kker0eds4ora9sta2t9395er 3 4orb39de2se 8ed be0a9d2395 a4 perso9op2ys9395er. It-ko9su2e9te9

0ar 0erudover 9av9235 b3stået 8ed vurder395 a4 ce9trets 3t-syste8er 3sær 8ed 0e9b23k på at s3kre,

at 5ru9d2a5et 4or t32sy9ets st3kprøveko9tro22er er korrekt.

T32sy9et 0ar 3

4ortsat s3t sa8arbejde 8ed rev3s3o9s- o5 ko9su2e9tv3rkso80ede9, so8 3

b3stod t32sy9et 8ed ø5et 39ds35t 3 rev3s3o9s8etod3k, r3s3kovurder395 o5 test8ode22er. Rev3s3o9s- o5

ko9su2e9tv3rkso80ede9 0ar 3 de9 4orb39de2se udarbejdet e9 rapport o8 t32sy9ets ko9tro2 o5 e9

rapport o8 39ter9 ko9tro2 sa8t t32sy9ets 8u2350ed 4or e4terprøv9395 0era4. I 4or0o2d t32 t32sy9ets

ko9tro2 ko9k2uderede rev3s3o9s- o5 ko9su2e9tv3rkso80ede9 5e9ere2t, at t32sy9et 0ar t32rette2a5t

s39e procedurer 0e9s35ts8æss35t, o5 at t32sy9ets ko9k2us3o9er 3 4or0o2d t32 de e9ke2te ko9tro22er

er ve2u9derby55ede o5 doku8e9terede. Rev3s3o9s- o5 ko9su2e9tv3rkso80ede9 4re8ko8 8ed

9o52e a9be4a2395er, so8 t32sy9et e4ter4ø25e9de 0ar 38p2e8e9teret 3 s3t arbejde.

I årets 2øb 0ar t32sy9et e9dv3dere 0a4t ø5et 4okus på 39ter9 ko9tro2 a4 e5e9 v3rkso80ed o5 0ar

0eru9der 38p2e8e9teret 9ye procedurer o5 ko9tro22er vedrøre9de 394or8at3o9ss3kker0ed.

T32sy9et 0ar o5så 3

udby55et ko9takte9 8ed ude92a9dske ko9tro2or5a9er, der på 4orske2235

v3s 4ører ko9tro2 8ed deres respekt3ve 2a9des e4terret9395stje9ester, 4or på de99e 8åde at ku99e

39d0e9te er4ar395er 4ra 39ter9at3o9a2t re53. T32sy9et 0ar 0eru9der de2ta5et 3 e9 IIOF-ko94ere9ce

(I9ter9at3o9a2 I9te2235e9ce Overs350t Foru8), der b2ev a40o2dt 3 Bukarest, 235eso8 t32sy9et 3 øvr35t

0ar været 3 d3a2o5 o8 5e9ere22e e89er a4 re2eva9s 4or s39 v3rkso80ed 8ed t32svare9de ko9tro2-

or5a9er 3 Be253e9, Ho22a9d, Nor5e, Sc0we3z o5 Sver35e.

T32sy9et a40o2der 3 oktober

3 sa8arbejde 8ed Fo2ket395ets Udva25 vedrøre9de E4terret9395s-

tje9ester9e e9 9ord3sk ko94ere9ce 4or t32sy9 8ed e4terret9395stje9ester.

Tilsynets valg af kontrolområder har været baseret på en risiko-

og væsentlighedsvurdering af, hvilke områder der særligt måtte

forventes at kunne give problemer, ligesom valg af metode har

været tilpasset de enkelte kontrolområder.

FOU, Alm.del - 2016-17 - Bilag 128: Brev vedr. rapport om erfaringerne med CFCS-loven

. .

Tilsynets kontrol i 2016

E5e9 dr34t-ko9tro22er

Med 0e9b23k på at ko9tro22ere, at CFCS 3 4orb39de2se 8ed be0a9d2395 a4 op2ys9395er o8 4ys3ske

perso9er over0o2der re52er9e o8

39d5reb 3 8edde2e2ses0e88e2350ede9, j4. CFCS-2ove9s §§ - ,

be0a9d2395 a4 perso9op2ys9395er 3 CFCS, j4. CFCS-2ove9s §§ - ,

a9a2yse, v3dere53ve2se o5 s2et9395 a4 data, j4. CFCS-2ove9s §§ - , o5 CFCS-ret9395s239jer9e

§§ , , o5 , o5

s3kker0eds4ora9sta2t9395er 3 4orb39de2se 8ed ce9trets be0a9d2395 a4 perso9op2ys9395er, j4.

CFCS-2ove9s § ,

0ar t32sy9et 3

4oreta5et

st3kprøveko9tro2 vedrøre9de be0a9d2395 a4 perso9op2ys9395er 3 ce9trets e2ektro93ske

0æ9de2ses0å9dter395ssyste8 ( . . ),

st3kprøveko9tro2 vedrøre9de be0a9d2395 a4 perso9op2ys9395er 3 ce9trets jour9a2syste8

( . . ),

ko9tro2 vedrøre9de ce9trets sa8arbejde 8ed po23t3et, 0eru9der PET ( . . ),

ko9tro2 vedrøre9de ce9trets udveks2395 a4 data 39de0o2de9de perso9op2ys9395er, der

sta88er 4ra 39d5reb 3 8edde2e2ses0e88e2350ede9, 8ed de9 øvr35e de2 a4 FE ( . . ), o5

ko9tro2 vedrøre9de ce9trets v3dere53ve2se a4 data 39de0o2de9de perso9op2ys9395er, der

sta88er 4ra 39d5reb 3 8edde2e2ses0e88e2350ede9, t32 a9dre 8y9d350eder, v3rkso80eder

o5 sa8arbejdspart9ere ( . . ).

St3kprøvekontro2 vedrørende be0and23ng af personop2ysn3nger 3 centrets e2ektron3ske

0ænde2ses0åndter3ngssystem

T32sy9et 0ar 3

4oreta5et e9 st3kprøveko9tro2 vedrøre9de CFCS’ be0a9d2395 a4 perso9op2ys-

9395er 3 ce9trets e2ektro93ske 0æ9de2ses0å9dter395ssyste8. I de9 4orb39de2se t32vejebra5te o5

5e99e853k sekretar3atet et a9ta2 t324æ2d35t udva25te 0æ9de2sessa5er o5 a98odede e4ter e9 ko9-

kret vurder395 CFCS o8 uddybe9de be8ærk9395er 0ert32. I re2at3o9 t32 proce9t a4 de udtruk9e

sa5er 0avde sekretar3atet spør5s8å2 t32 o5/e22er drø4te2ser 8ed CFCS, 0eru9der o8 ce9tret 0avde

v3dere53vet ko9krete data.

FOU, Alm.del - 2016-17 - Bilag 128: Brev vedr. rapport om erfaringerne med CFCS-loven

TILSYNETS KONTROL I 2016

På dette 5ru9d2a5 b2ev resu2tatet a4 st3kprøveko9tro22e9 4ore2a5t t32sy9et, so8 bes2uttede, o8 0ver

e9ke2t op2ys9395 var t32strække235 be2yst, e22er o8 der var be0ov 4or 39d0e9te2se a4 yder235ere

op2ys9395er e22er 9ær8ere drø4te2ser 8ed ce9tret.

Tilsynets bemærkninger

St3kprøveko9tro22e9 vedrøre9de CFCS’ be0a9d2395 a4 perso9op2ys9395er 3 ce9trets e2ektro93ske

0æ9de2ses0å9dter395ssyste8 v3ste, at CFCS 0ar 3a5tta5et 2ov53v9395e9s beste88e2ser 3 re2at3o9

t32 39d5reb 3 8edde2e2ses0e88e2350ede9, t32 be0a9d2395 a4 perso9op2ys9395er sa8t t32 a9a2yse,

v3dere53ve2se o5 s2et9395 a4 data.

. .

St3kprøvekontro2 vedrørende be0and23ng af personop2ysn3nger 3 centrets

journa2system

T32sy9et 0ar 3

4oreta5et e9 st3kprøveko9tro2 vedrøre9de CFCS’ be0a9d2395 a4 perso9op2ys-

9395er 3 ce9trets e2ektro93ske jour9a2. I de9 4orb39de2se t32vejebra5te o5 5e99e853k sekretar3atet

et a9ta2 t324æ2d35t udva25te doku8e9ter 39de0o2de9de perso9op2ys9395er 3 4or8 a4 IP-adresser,

e-8a32adresser o5 do8æ9e9av9e o5 a98odede e4ter e9 ko9kret vurder395 CFCS o8 uddybe9de

be8ærk9395er 0ert32. I re2at3o9 t32

proce9t a4 de udtruk9e doku8e9ter 0avde sekretar3atet

spør5s8å2 t32 o5/e22er drø4te2ser 8ed CFCS, 0eru9der o8 ce9trets 4ortsatte be0ov 4or at bevare

udva25te op2ys9395er.

På dette 5ru9d2a5 b2ev resu2tatet a4 st3kprøveko9tro22e9 4ore2a5t t32sy9et, so8 bes2uttede, o8 0ver

e9ke2t op2ys9395 var t32strække235 be2yst, e22er o8 der var be0ov 4or 39d0e9te2se a4 yder235ere

op2ys9395er e22er 9ær8ere drø4te2ser 8ed ce9tret.

Tilsynets bemærkninger

St3kprøveko9tro22e9 vedrøre9de CFCS’ be0a9d2395 a4 perso9op2ys9395er 3 ce9trets e2ektro93ske

jour9a2 v3ste, at CFCS 0ar 3a5tta5et 2ov53v9395e9s beste88e2ser 0ero8.

Stikprøvekontrollen vedrørende CFCS’ behandling

af personoplysninger i centrets elektroniske

hændelseshåndteringssystem viste, at CFCS har

iagttaget lovgivningens bestemmelser i relation til

indgreb i meddelelseshemmeligheden, til behandling

af personoplysninger samt til analyse, videregivelse og

sletning af data.

FOU, Alm.del - 2016-17 - Bilag 128: Brev vedr. rapport om erfaringerne med CFCS-loven

. .

Kontro2 vedrørende centrets samarbejde med po23t3et, 0erunder PET

T32sy9et 0ar 3

4oreta5et ko9tro2 vedrøre9de CFCS’ sa8arbejde 8ed po23t3et, 0eru9der PET,

3 ce9trets e2ektro93ske 0æ9de2ses0å9dter395ssyste8 8ed 4okus på CFCS’ over0o2de2se a4 2ov-

53v9395e9s beste88e2ser vedrøre9de be0a9d2395 a4 perso9op2ys9395er o5 o8 v3dere53ve2se a4

data, der sta88er 4ra 39d5reb 3 8edde2e2ses0e88e2350ede9. I de9 4orb39de2se t32vejebra5te o5

5e99e853k sekretar3atet 0æ9de2sessa5er, 0vor3 CFCS 0ar v3dere53vet perso9op2ys9395er o5/e22er

8odta5et arbejdsa98od9395er 4ra po23t3et, 0eru9der PET, o5 a98odede e4ter e9 ko9kret vurde-

r395 ce9tret o8 uddybe9de be8ærk9395er 0ert32. I re2at3o9 t32 proce9t a4 0æ9de2sessa5er9e

0avde sekretar3atet spør5s8å2 t32 o5/e22er drø4te2ser 8ed CFCS.

På dette 5ru9d2a5 b2ev resu2tatet a4 ko9tro22e9 4ore2a5t t32sy9et, so8 bes2uttede, o8 0ver e9ke2t

op2ys9395 var t32strække235t be2yst, e22er o8 der var be0ov 4or 39d0e9te2se a4 yder235ere op2ys-

9395er e22er 9ær8ere drø4te2ser 8ed ce9tret.

Tilsynets bemærkninger

Ko9tro22e9 vedrøre9de 0æ9de2sessa5er, 0vor3 CFCS 0ar v3dere53vet perso9op2ys9395er o5/e22er

8odta5et arbejdsa98od9395er 4ra po23t3et, 0eru9der PET, v3ste, at CFCS 0ar 3a5tta5et 2ov53v939-

5e9s beste88e2ser a95åe9de be0a9d2395 o5 v3dere53ve2se a4 perso9op2ys9395er.

. .

Kontro2 vedrørende centrets udveks23ng af data 3nde0o2dende personop2ysn3nger, der

stammer fra 3ndgreb 3 medde2e2ses0emme23g0eden, med den øvr3ge de2 af FE

T32sy9et 0ar 3

4oreta5et ko9tro2 a4 CFCS’ udveks2395 a4 data 39de0o2de9de perso9op2ys9395er,

der sta88er 4ra 39d5reb 3 8edde2e2ses0e88e2350ede9, 8ed de9 øvr35e de2 a4 FE, 8ed 4okus på

ce9trets over0o2de2se a4 CFCS-ret9395s239jer9es beste88e2ser 0ero8.

T32sy9et 8odta5er 2øbe9de or3e9ter395er 4ra CFCS o8 ce9trets udveks2395 a4 data, der sta88er

4ra 39d5reb 3 8edde2e2ses0e88e2350ede9, 8ed de9 øvr35e de2 a4 FE. I

8odto5 t32sy9et 3 a2t

or3e9ter395er 3 4or8 a4 ud4y2dte udveks2395s4or8u2arer, so8 3kke 5av sekretar3atet a92ed9395

t32 spør5s8å2 t32 CFCS.

So8 supp2e8e9t t32 ko9tro22e9 a4 udveks2395s4or8u2arer9e udtrak sekretar3atet e9 st3kprøve

b2a9dt d3sse 4or at vurdere, o8 de udveks2ede data var re2eva9te 4or de9 ko9krete sa5, o5 sekre-

tar3atet 4re8sø5te 3 de9 4orb39de2se data vedrøre9de seks udveks2395er 4oreta5et 3

På dette 5ru9d2a5 b2ev resu2tatet a4 ko9tro22er9e 4ore2a5t t32sy9et, so8 bes2uttede, o8 de e9ke2te

udveks2395er o5 data var t32strække235 be2yst, e22er o8 der var be0ov 4or 39d0e9te2se a4 yder235ere

op2ys9395er e22er 9ær8ere drø4te2ser 8ed ce9tret.

Tilsynets bemærkninger

Ko9tro22e9 vedrøre9de CFCS’ udveks2395 a4 data 39de0o2de9de perso9op2ys9395er, der sta88er

4ra 39d5reb 3 8edde2e2ses0e88e2350ede9, 8ed de9 øvr35e de2 a4 FE v3ste, at udveks2395er9e er

sket u9der 3a5tta5e2se a4 CFCS-ret9395s239jer9es beste88e2ser 0ero8.

FOU, Alm.del - 2016-17 - Bilag 128: Brev vedr. rapport om erfaringerne med CFCS-loven

FOU, Alm.del - 2016-17 - Bilag 128: Brev vedr. rapport om erfaringerne med CFCS-loven

TILSYNET MED EF TERRETNINGSTJENESTERNE / ÅRSREDEGØRELSE 2016 / CENTER FOR CYBERSIKKERHED

. .

Kontro2 vedrørende centrets v3dereg3ve2se af data 3nde0o2dende personop2ysn3nger,

der stammer fra 3ndgreb 3 medde2e2ses0emme23g0eden, t32 andre mynd3g0eder,

v3rksom0eder og samarbejdspartnere

T32sy9et 0ar 3

4oreta5et ko9tro2 a4 CFCS’ v3dere53ve2se a4 data 39de0o2de9de perso9op2ys939-

5er, der sta88er 4ra 39d5reb 3 8edde2e2ses0e88e2350ede9, t32 a9dre 8y9d350eder, v3rkso80eder

o5 ude92a9dske sa8arbejdspart9ere, 8ed 4okus på ce9trets over0o2de2se a4 CFCS-2ove9s § o5

CFCS-ret9395s239jer9es beste88e2ser 0ero8.

T32sy9et 8odta5er kvarta2sv3st overs35ter 4ra CFCS over ce9trets v3dere53ve2ser a4 data, der sta88er

4ra 39d5reb 3 8edde2e2ses0e88e2350ede9, t32 a9dre 8y9d350eder, v3rkso80eder o5 sa8arbejds-

part9ere. CFCS’ kvarta2sv3se overs35ter 3

5av a92ed9395 t32, at sekretar3atet st322ede 9o52e

opk2are9de spør5s8å2 t32 ce9tret, so8 a22e b2ev besvaret på t324redsst322e9de v3s. Sekretar3atet

vurderede 0ere4ter, 3 0v32ket o84a95 der re9t 4akt3sk var sket v3dere53ve2se a4 data 39de0o2de9de

perso9op2ys9395er, o5 o8 v3dere53ve2ser9e 3 53vet 4a2d var sket 3 overe9sste88e2se 8ed 2ov53v-

9395e9s beste88e2ser 0ero8.

På dette 5ru9d2a5 b2ev resu2tatet a4 ko9tro22e9 4ore2a5t t32sy9et, so8 bes2uttede, o8 de e9ke2te

v3dere53ve2ser var t32strække235 be2yst, e22er o8 der var be0ov 4or 39d0e9te2se a4 yder235ere op-

2ys9395er e22er 9ær8ere drø4te2ser 8ed ce9tret.

Ko9tro22e9 v3ste, at ce9tret 3

sa82et v3dere5av data 39de0o2de9de perso9op2ys9395er, der

sta88er 4ra 39d5reb 3 8edde2e2ses0e88e2350ede9, t32 a9dre 8y9d350eder, v3rkso80eder sa8t

ude92a9dske sa8arbejdspart9ere 3

t324æ2de 4orde2t på

sa5er.

Tilsynets bemærkninger

Ko9tro22e9 vedrøre9de CFCS’ v3dere53ve2se a4 data 39de0o2de9de perso9op2ys9395er, der sta8-

8er 4ra 39d5reb 3 8edde2e2ses0e88e2350ede9, t32 a9dre 8y9d350eder, v3rkso80eder o5 sa8ar-

bejdspart9ere v3ste, at v3dere53ve2ser9e 3 a22e t324æ2de er sket u9der 3a5tta5e2se a4 2ov53v9395e9s

beste88e2ser 0ero8.

. .

Sammenfatn3ng af t32synets egen dr3ft-kontro22er 3

T32sy9ets st3kprøveko9tro2 vedrøre9de CFCS’ be0a9d2395 a4 perso9op2ys9395er 3 ce9trets e2ektro-

93ske 0æ9de2ses0å9dter395ssyste8, j4. a4s93t . . , v3ste 3 2350ed 8ed t32svare9de ko9tro2 3

, at

ce9tret over0o2der 2ov53v9395e9s beste88e2ser o8 39d5reb 3 8edde2e2ses0e88e2350ede9, o8

be0a9d2395 a4 perso9op2ys9395er sa8t o8 a9a2yse, v3dere53ve2se o5 s2et9395 a4 data.

St3kprøveko9tro2 vedrøre9de be0a9d2395 a4 perso9op2ys9395er 3 CFCS’ jour9a2syste8 v3ste, j4. a4s93t

. . , at ce9tret over0o2der 2ov53v9395e9s beste88e2ser 0ero8, 235eso8 ko9tro2 vedrøre9de CFCS’

sa8arbejde 8ed po23t3et, 0eru9der PET v3ste, j4. a4s93t . . , at ce9tret over0o2der 2ov53v9395e9s

beste88e2ser o8 be0a9d2395 o5 v3dere53ve2se a4 perso9op2ys9395er.

Ko9tro2 vedrøre9de CFCS’ udveks2395 a4 data 39de0o2de9de perso9op2ys9395er, der sta88er 4ra

39d5reb 3 8edde2e2ses0e88e2350ede9, 8ed de9 øvr35e de2 a4 FE, j4. a4s93t . . , v3ste 3 2350ed 8ed

t32svare9de ko9tro2 3

, at ce9tret over0o2der CFCS-ret9395s239jer9es beste88e2ser 0ero8.

FOU, Alm.del - 2016-17 - Bilag 128: Brev vedr. rapport om erfaringerne med CFCS-loven

TILSYNETS KONTROL I 2016

O5så ko9tro2 vedrøre9de CFCS’ v3dere53ve2se a4 data 39de0o2de9de perso9op2ys9395er, der sta8-

8er 4ra 39d5reb 3 8edde2e2ses0e88e2350ede9, t32 a9dre 8y9d350eder, v3rkso80eder o5 sa8ar-

bejdspart9ere, j4. a4s93t . . , v3ste 3 2350ed 8ed t32svare9de ko9tro2 3

, at ce9tret over0o2der

2ov53v9395e9s beste88e2ser 0ero8.

. .

Op4ø259395 på ko9tro22er 3

Kontro2 vedrørende s3kker0edsforansta2tn3nger 3 forb3nde2se med centrets be0and23ng

af personop2ysn3nger

I t32sy9ets rede5øre2se o8 s39 v3rkso80ed vedrøre9de CFCS 4or

, a4s93t . . , beskrev

t32sy9et e9 ko9tro2 4oreta5et 3

vedrøre9de s3kker0eds4ora9sta2t9395er 3 4orb39de2se 8ed

ce9trets be0a9d2395 a4 perso9op2ys9395er, so8 v3ste, at CFCS 3kke 4u2dt ud 2evede op t32 2ov53v-

9395e9s krav o8 s3kker0eds4ora9sta2t9395er e22er 39ter9t 4astsatte ret9395s239jer 0ero8 3 4or0o2d

t32 et a9ta2 observat3o9er 8ed t320øre9de r3s3c3 39de9 4or a4

ko9tro22erede o8råder.

CFCS 0ar e4ter4ø25e9de over 4or t32sy9et op2yst, at ce9tret 0ar a40ju2pet 0ovedparte9 a4 de o8-

0a9d2ede r3s3c3.

T32sy9et 0ar 3

4oreta5et e9 op4ø259395 på ko9tro22e9 0era4 8ed 0e9b23k på at s3kre, at CFCS

0ar 38p2e8e9teret t32strække235e s3kker0eds4ora9sta2t9395er t32 a40jæ2p9395 a4 de o80a9d2e-

de r3s3c3. Op4ø259395e9 v3ste, at dette var t324æ2det 39de9 4or a4 de ko9tro2o8råder, 8e9 at

38p2e8e9ter395 a4 9ødve9d35e s3kker0eds4ora9sta2t9395er 3 4or0o2d t32 r3s3c3 4orbu9det 8ed et

a9ta2 observat3o9er 39de9 4or de restere9de ko9tro2o8råder 4ortsat udestår. CFCS 0ar over 4or

t32sy9et t32ke9de53vet, at ce9tret v32 a40jæ2pe de restere9de r3s3c3.

Kontrol vedrørende CFCS’ udveksling af data

indeholdende personoplysninger, der stammer fra

indgreb i meddelelseshemmeligheden, med den

øvrige del af FE [...] viste i lighed med tilsvarende

kontrol i 2015, at centret overholder CFCS-

retningslinjernes bestemmelser herom.

FOU, Alm.del - 2016-17 - Bilag 128: Brev vedr. rapport om erfaringerne med CFCS-loven

CFCS’ interne kontrol

T32sy9et 0ar ved s39 ko9tro2 a4 CFCS 3

4oreta5et ko9tro2 a4 ce9trets

39ter9e ko9tro2. Ko9tro22e9 0ar o84attet 0e2e CFCS’ 39ter9e ko9tro2 3

er 4oreta5et ved 5e99e85a95 a4 ud2everet doku8e9tat3o9, drø4te2ser 8ed

ce9tret o5 8ed b3sta9d 4ra e9 rev3s3o9s- o5 ko9su2e9tv3rkso80ed.

Ved vurder395e9 a4 CFCS’ 39ter9e ko9tro2 0ar t32sy9et b2a9dt a9det 0e9set t32 e9 rapport udar-

bejdet a4 på5æ2de9de rev3s3o9s- o5 ko9su2e9tv3rkso80ed vedrøre9de 39ter9 ko9tro2 o5 t32sy9ets

8u2350ed 4or e4terprøv9395 0era4, so8 er baseret på 39ter9at3o9a2e sta9darder o5 5u3de239es 4or

5od rev3s3o9 o5 test a4 39ter9e ko9tro22er (ISA’er9e) o5 på R35srev3s3o9e9s ”God ofe9t235 rev3s3-

o9ssk3k” (GOR), j4. a4s93t . .

Ko9tro22e9 0ar v3st, at CFCS 0ar 5od 4okus på 4orud5åe9de 2e5a23tetss3kr395 3 4or8 a4 u9derv3s-

9395 a4 8edarbejdere, t32rette2æ55e2se a4 procedurer b2a9dt a9det 8ed 4orud5åe9de jur3d3sk

5odke9de2se a4 v3sse 0a9d2395er 8v., a2t 8ed 0e9b23k på at 83938ere o84a95et a4 uberett35ede

0a9d2395er.

CFCS udarbejder 2øbe9de a4v35erapporter vedrøre9de ut32s35tede 0æ9de2ser 8ed 0e9b23k på at

skabe 5ru9d2a5 4or syste8at3sk 2ær395. T32sy9et i9der 383d2ert3d, at CFCS 3 s39 39ter9e ko9tro2

bør 38p2e8e9tere yder235ere e4ter4ø25e9de 2e5a23tetsko9tro2, 0eru9der st3kprøveko9tro22er, j4.

CFCS-2ove9s § , der 39d0o2ds8æss35t er 3de9t3sk 8ed perso9data2ove9s § , stk. , o5 pr39c3p-

per9e 3 beke9dt5øre2se 9r.

a4 . ju93

o8 s3kker0eds4ora9sta2t9395er t32 beskytte2se a4

perso9op2ys9395er, so8 be0a9d2es 4or de9 ofe9t235e 4orva2t9395 (s3kker0edsbeke9dt5øre2se9)

§ , stk. , . pkt.

CFCS bør e9dv3dere udarbejde år235e r3s3ko- o5 væse9t2350edsvurder395er so8 5ru9d2a5 4or

ce9trets va25 a4 ko9tro2o8råder o5 o84a95 a4 de9 39ter9e ko9tro2, j4. pr39c3ppet 3 s3kker0edsbe-

ke9dt5øre2se9s § , stk. , o5 3 de9 sa88e90æ95 bør ce9tret 2øbe9de 4ø25e op på status på de9

39ter9e ko9tro2 o5 0eru9der vurdere, o8 der er be0ov 4or æ9dr395er e22er juster395er so8 4ø25e

a4 resu2tater9e a4 såve2 CFCS’ so8 t32sy9ets ko9tro22er, der e4ter t32sy9ets op4atte2se bør supp2ere

039a9de9.

CFCS 0ar ta5et t32sy9ets sy9spu9kter t32 e4terret9395 o5 t32ke9de53vet, at ce9tret 9ær8ere v32

u9dersø5e, 0vor2edes CFCS ka9 e4ter2eve d3sse.

FOU, Alm.del - 2016-17 - Bilag 128: Brev vedr. rapport om erfaringerne med CFCS-loven

FOU, Alm.del - 2016-17 - Bilag 128: Brev vedr. rapport om erfaringerne med CFCS-loven

Eksempler på centrets

håndtering af cyberangreb

I4ø25e 4orarbejder9e t32 CFCS-2ove9 ska2 t32sy9ets år235e rede5øre2se o8 s39 v3rkso80ed vedrøre9-

de CFCS b2a9dt a9det 39de0o2de e9 4u2dt ud a9o9y83seret beskr3ve2se a4 e9 e22er lere ko9krete

cybera95reb.

E4ter drø4te2se 8ed t32sy9et 0ar CFCS b3dra5et 8ed 4ø25e9de beskr3ve2se a4 to ko9krete cyber-

a95reb:

”APT-ka8pa59e v3a ke9dte sårbar0eder 3 et ope9 source 3t-syste8

De99e case beskr3ver et ved0o2de9de o5 bredspektret APT-cybera95reb v3a ke9dte sårbar0eder

3 et ope9 source 3t-syste8, der bru5es 3 e9 2a95 række 3t-2øs9395er.

APT

står 4or

Advanced Pers3stent T0reat.

Det er et sær235t ava9ceret, 8å2rettet o5 ved-

0o2de9de 0acker-a95reb. APT-a95reb kræver store ressourcer, tek93sk 39ds35t o5 ko9kret

v3de9 o8 8å2et. A95r3ber9e bru5er spec3e22e værktøjer, der 5ør de8 3 sta9d t32 at skju2e,

at de er t32 stede 3 et 9etværk, o5 de a95r3ber 0ypp35t over 2a95 t3d. Det er 8e5et sa9d-

sy9235t, at det er stater e22er statsstøttede 5rupper, der står ba5.

CFCS b2ev 5jort op8ærkso8 på e9 8u235 ko8pro83tter395 a4 e9 da9sk 8y9d350ed a4 e9 a4 FE’s

part9ere. De9 på5æ2de9de 8y9d350ed b2ev ko9taktet a4 CFCS 8ed 0e9b23k på ass3sta9ce 3 sa-

5e9, o5 sa8t3d35 9edsatte CFCS et såka2dt I9c3de9t Respo9se Tea8. Udryk9395s0o2det besø5te

8y9d350ede9, o5 det b2ev bekræ4tet, at der var 8a2ware på de9 3de9t3icerede server. E4ter CFCS

0avde 4ået sa8tykke 4ra 8y9d350ede9, b2ev e9 kop3 a4 de9 39icerede server overdra5et t32 CFCS

t32 e9 såka2dt 4ore9s3c-a9a2yse.

I de 4ø25e9de da5e b2ev CFCS beke9dt 8ed lere 8u235e ko8pro83tter395er 3 Da98ark. D3sse

ko8pro83tter395er b2ev a4dækket so8 4ø25e a4 et sa8arbejde 8e22e8 FE, CFCS o5 4æ22es part9ere;

sa8t so8 4ø25e a4 CFCS’ e59e u9dersø5e2ser – 0eru9der 3 åb9e k32der o5 3 CFCS’ se9sor9etværk. I

FOU, Alm.del - 2016-17 - Bilag 128: Brev vedr. rapport om erfaringerne med CFCS-loven

EKSEMPLER PÅ CENTRETS HÅNDTERING AF CYBERANGREB

takt 8ed at o4re9e b2ev 3de9t3iceret o5 ko9taktet, ik CFCS e4ter 39d0e9t9395 a4 sa8tykke et a9ta2

servere 39d t32 u9dersø5e2ser. Nye a9a2yser bekræ4tede, at der o5så var 39sta22eret 8a2ware på

d3sse servere. M39dst seks v3rkso80eder o5 8y9d350eder b2ev 3de9t3iceret so8 ko8pro83tterede.

Aktøre9 ba5 a95rebet 0ar ud9yttet ke9dte sva50eder 3 et ope9 source 3t-syste8, ka2det JBoss, der

a9ve9des a4 a22e de ra8te v3rkso80eder o5 8y9d350eder. Ma952e9de opdater395er o5 4raværet

a4 t32strække235 0ærd9395 a4 3t-syste8et 3 overe9sste88e2se 8ed 2evera9døre9s a9be4a2395er

0ar 5jort syste8et sårbart. Aktøre9 ba5 a95rebet 0ar 9etop ud9yttet sva50eder9e 3 uopdaterede

JBoss-syste8er t32 at 39sta22ere 8a2ware på de ra8te 8ask39er, der 53ver 8u2350ed 4or b2.a. at

se9de ko88a9doer t32 8ask39e9 o5 at 4å ad5a95 t32 data, der 8åtte 2355e på de9. U9der a95re-

bet 0ar aktøre9 39sta22eret 4orske2235e ba5døre 4or at 4å e9 39d2ede9de ad5a95 t32 server9e o5

e4ter4ø25e9de a9ve9dt de99e ba5dør t32 at 39sta22ere e9 spec3e2 type 8a2ware.

Det be8ærkes, at JBoss b2ot er ét b2a9dt 8a95e 3t-syste8er 8ed ofe9t235t ke9dte sva50eder.

A22e pro5ra88er, der 3kke opdateres o5 0ærdes 8od cybera95reb, ud5ør pote9t3e2t e9 2359e9de

s3kker0edsr3s3ko. CFCS udse9dte 35e99e8 0e2e 4or2øbet

trusse2svurder395er o5 vars2er o8

Jboss a95reb t32 v3rkso80eder o5 8y9d350eder, der b2ev vurderet so8 pote9t3e22e bru5ere 8ed

sårbare Jboss-39sta22at3o9er.

På ba55ru9d a4 e59e a9a2yser o5 u9derstøttet a4 part9er394or8at3o9 vurderer CFCS, at det u9der-

sø5te a95reb er ud4ørt a4 e9 stats235 e22er statsstøttet aktør. Det er sa9dsy9235t, at 4or8å2et 8ed

APT-ka8pa59e9 0ar været opby59395 a4 et o9ds39det 9etværk e22er 394rastruktur beståe9de a4

ko8pro83tterede 8ask39er t32 a9ve9de2se 3 4re8t3d35e cybera95reb.

Gru9det JBoss-39sta22at3o9e9s re2at3ve store udbrede2se er det 8e5et sa9dsy9235t, at der 3 da5

stad35 eks3sterer uopdaterede, da9ske syste8er 8ed sårbar0eder, der ka9 ud9yttes. De99e case

er 8ed t32 at 322ustrere de r3s3c3, der er 4orbu9det 8ed a9ve9de2se9 a4 uopdaterede ope9 source

3t-syste8er. I de99e case 39d5år der s3kker0eds0æ9de2ser 4ra adsk32235e v3rkso80eder o5 8y9-

d350eder, 0voru9der lere kr3t3ske syste8er er b2evet berørt o5 0vor syste8- e22er ad8393strator-

ko9t3 er b2evet ko8pro83tteret. På ba55ru9d 0era4 kate5or3serer CFCS på det overord9ede p2a9

a95rebet 3 case9 so8 være9de et større cybera95reb.

Cybera95reb 8od da9ske 3t-0ost395 v3rkso80eder

De99e case beskr3ver et cybera95reb 8od to da9ske 3t-0ost395 v3rkso80eder, so8 er b2evet ud4ørt

3 per3ode9

. Be55e de ra8te 3t-0ostere er 8e22e8store v3rkso80eder 3 Da98ark, der

udbyder 4orske2235e 3t-2øs9395er såso8 0ost395, ko9su2e9tb3sta9d, udv3k2395 o5 dr34t.

I 2øbet a4

b2ev CFCS op8ærkso8 på, at de to da9ske 3t-0ost395 v3rkso80eder 8u235v3s

ku99e være ko8pro83tteret a4 e9 statsstøttet aktør. CFCS to5 der4or ko9takt t32 de på5æ2de9de

v3rkso80eder o5 39d0e9tede sa8tykke 8ed 0e9b23k på at ku99e a9a2ysere data. På ba55ru9d

a4 a95rebe9es karakter 39d2edte CFCS’ udryk9395s0o2d et såka2dt 39c3de9t respo9se, 0vor CFCS

39d53k et sa8arbejde 8ed be55e v3rkso80eder o8 a9a2yse o5 a40jæ2p9395 a4 a95rebet. CFCS

0ar så2edes 3 sa8arbejde 8ed de to berørte 3t-0ost395 v3rkso80eder 4u9det o5 a9a2yseret lere

ko8pro83tterede 8ask39er 3 deres 9etværk.

Der er 4u9det to typer APT-8a2ware på de ko8pro83tterede 8ask39er, o5 CFCS 0ar ke9dskab t32,

at ofe9t235e 8y9d350eder er b2a9dt de to v3rkso80eders ku9der. Aktøre9 0ar bru5t to 4orske2-

FOU, Alm.del - 2016-17 - Bilag 128: Brev vedr. rapport om erfaringerne med CFCS-loven

TILSYNET MED EF TERRETNINGSTJENESTERNE / ÅRSREDEGØRELSE 2016 / CENTER FOR CYBERSIKKERHED

FOU, Alm.del - 2016-17 - Bilag 128: Brev vedr. rapport om erfaringerne med CFCS-loven

EKSEMPLER PÅ CENTRETS HÅNDTERING AF CYBERANGREB

235e typer 8a2ware 3 s3t a95reb, der b2.a. ka9 0ave været bru5t t32 at 4jer9styre ko8pro83tterede

8ask39er o5 t32 at stjæ2e 2o539op2ys9395er e22er a9de9 4ø2so8 394or8at3o9. Be55e typer 8a2ware

er des359et t32 at 5øre de8 svære at i9de, 9år de kører på e9 ko8pro83tteret 8ask39e. E9dv3-

dere er de2e a4 deres 4u9kt3o9a23tet skju2t 4or at 5øre det svært at i9de ud a4 præc3s, 0vorda9 de

4u95erer, 0v3s de sku22e b23ve 4u9det a2235eve2.

Ud over de9 APT-re2aterede 8a2ware, er der o5så 4u9det lere typer 8a2ware, der bru5es t32

a2839de235 ber35e2seskr3839a23tet e22er a9det 83sbru5. CFCS’ a9a2yse a4 de ko8pro83tterede

co8putere v3ser, at aktøre9 akt3vt 0ar 4orsø5t at skju2e s39 operat3o9 ved at 4orsø5e at s2ette s39e

spor. Der er o5så 4u9det te59 på, at aktøre9 0ar overvå5et de ko8pro83tterede 8ask39er 4or at

se, o8 a95rebet b2ev opda5et.

CFCS vurderer, at a95rebet er 5e99e84ørt a4 e9 stats235 e22er statsstøttet aktør, 8u235v3s 8ed

0e9b23k på at a9ve9de 3t-0ost395 v3rkso80eder9e so8 spr395bræt t32 data på ku9der9es 9etværk,

e22er 8ed 0e9b23k på at sprede 8a2ware t32 se9ere 83sbru5.

I per3ode9

0ar CFCS observeret, at lere da9ske 3t-0ost395 v3rkso80eder er b2evet ra8t

a4 cybera95reb, o5 CFCS 0ar 3 de9 4orb39de2se ass3steret de på5æ2de9de v3rkso80eder. De99e

case er 8ed t32 at 322ustrere de r3s3c3, der er 4orbu9det 8ed a9ve9de2se9 a4 outsourcet 3t-dr34t o5

a9ve9de2se a4 ekster9e 3t-serv3ces. I de99e case 39d5år der s3kker0eds0æ9de2ser 4ra lere 4orske2235e

v3rkso80eder o5 8y9d350eder, 8e9 0vor kr3t3ske syste8er 3kke er b2evet berørt, o5 0vor syste8-

e22er ad8393stratorko9t3 0e22er 3kke er b2evet ko8pro83tteret. På ba55ru9d 0era4 kate5or3serer

CFCS på det overord9ede p2a9 a95rebet 3 case9 so8 være9de et 8oderat cybera95reb.”

FOU, Alm.del - 2016-17 - Bilag 128: Brev vedr. rapport om erfaringerne med CFCS-loven

Tabe2

Statistik vedrørende CFCS’

behandling af

personoplysninger

A4 4orarbejder9e t32 CFCS-2ove9 4re85år e9dv3dere, at t32sy9ets år235e rede5øre2se o8 s39 v3rk-

so80ed vedrøre9de CFCS t32235e ska2 39de0o2de stat3st3ske op2ys9395er o8 ce9trets be0a9d-

2395 a4 perso9op2ys9395er, 0eru9der op2ys9395er o8 a9ta22et a4 8odta59e k2a5esa5er 3 såve2

ce9tret so8 t32sy9et, op2ys9395er o8 a9ta22et a4 akt39ds35tssa5er o5 a45øre2se9 a4 d3sse sa8t

op2ys9395er o8 a9ta22et a4 sa5er 8ed re2at3o9 t32 s3kker0eds0æ9de2ser, der er be0a9d2et 3

ce9tret. Rede5øre2se9 ska2 e9dv3dere 39de0o2de e9 stat3st3k over a9ta22et a4 t324æ2de, 0vor e9

a9a2yt3ker 4ra ce9tret på ba55ru9d a4 39d5reb 3 8edde2e2ses0e88e2350ede9 0ar 4oreta5et e9

a9a2yse a4 data. De99e stat3st3k ska2 desude9 39de0o2de e9 overord9et kate5or3ser395 a4, 0vor

a2vor235e d3sse t324æ2de 0ar været.

CFCS 0ar e4ter drø4te2se 8ed t32sy9et b3dra5et 8ed 4ø25e9de data:

Modta59e k2a5esa5er over CFCS’ be0a9d2395 a4 perso9op2ys9395er

Kategor3er

K2a5esa5er 8odta5et 3 CFCS

K2a5esa5er 8odta5et 3 t32sy9et

Akt39ds35tssa5er

Kategor3er

Fu2d akt39ds35t

De2v3s akt39ds35t

A4s2a5 på akt39ds35t

I95e9 doku8e9ter 2oka23seret t32 at 53ve e22er a4s2å akt39ds35t 3

Total

FOU, Alm.del - 2016-17 - Bilag 128: Brev vedr. rapport om erfaringerne med CFCS-loven

STATISTIK VEDRØRENDE CFCS’ BEHANDLING AF PERSONOPLYSNINGER

Tabe2

Sa5er o8 s3kker0eds0æ9de2ser, 0eru9der s3kker0eds0æ9de2ser 0vor3 der er sket 39d5reb 3

8edde2e2ses0e88e2350ede9 o5 4oreta5et a9a2yse a4 data, opde2t e4ter a2vor2350ed

Kategor3er

A2vor235e cybera95reb

Større cybera95reb

Moderate cybera95reb

M39dre cybera95reb

Fa2ske pos3t3ver (4a2ske a2ar8er)

Åb9e sa5er, der e9d9u 3kke er kate5or3seret

Total

Note: S3kker0eds0æ9de2ser dei9eres 3 overe9sste88e2se 8ed § , 9r. , 3 2ov o8 Ce9ter 4or Cybers3kker0ed.

CFCS 0ar 0erudover op2yst 4ø25e9de o8 a9ta22et a4 v3dere53ve2ser a4 op2ys9395er, 0eru9der per-

so9op2ys9395er, der sta88er 4ra 39d5reb 3 8edde2e2ses0e88e2350ede9, t32 a9dre 8y9d350eder,

v3rkso80eder o5 sa8arbejdspart9ere sa8t a9ta22et a4 udveks2395er a4 t32svare9de op2ys9395er

8ed de9 øvr35e de2 a4 FE:

Tabe2

CFCS’ v3dere53ve2ser o5 udveks2395er a4 op2ys9395er, 0eru9der perso9op2ys9395er, der sta88er

4ra 39d5reb 3 8edde2e2ses0e88e2350ede9

Kategor3er

V3dere53ve2ser

Udveks2395er

Note: A9ta22et a4 CFCS’ 9ets3kker0edstje9estes v3dere53ve2ser a4 op2ys9395er, 0eru9der op2ys9395er, der sta88er

4ra 39d5reb 3 8edde2e2ses0e88e2350ede9, o84atter sa8t235e v3dere53v9e op2ys9395er, 0eru9der o8 4ys3ske o5

jur3d3ske perso9er, sa8t op2ys9395er, der 3kke er perso90e94ørbare. Se desude9 t32sy9ets ko9tro2 0era4, j4. a4s93t . . .

FOU, Alm.del - 2016-17 - Bilag 128: Brev vedr. rapport om erfaringerne med CFCS-loven

FOU, Alm.del - 2016-17 - Bilag 128: Brev vedr. rapport om erfaringerne med CFCS-loven

Appendiks

RETSGRUNDLAG

a4 . ju93

) (CFCS-2ove9).

1)3

2ov o8 Ce9ter 4or Cybers3kker0ed (CFCS) (2ovbeke9dt5øre2se 9r.

2)3

Ret9395s239jer vedrøre9de be0a9d2395 a4 data 3 o5 4ra Ce9ter 4or Cybers3kker0eds 9ets3kker-

0edstje9este (CFCS-ret9395s239jer9e), udstedt de9 . ju93

a4 Forsvars8393ster3et.

O8 CFCS’ 9ets3kker0edstje9este, j4. CFCS-2ove9s §

Det 4ø25er a4 2ove9s § , at CFCS’ 9ets3kker0edstje9estes op5ave er at opda5e, a9a2ysere o5 b3dra5e

t32 at 38øde5å s3kker0eds0æ9de2ser 0os 8y9d350eder på Forsvars8393ster3ets o8råde sa8t 0os

øvr35e t32s2uttede 8y9d350eder o5 v3rkso80eder. Det er de øverste statsor5a9er sa8t stats235e

8y9d350eder, der e4ter a98od9395 ka9 b23ve t32s2uttet 9ets3kker0edstje9este9, 8e9s re53o9er

o5 ko88u9er sa8t v3rkso80eder, der er beskæ4t35et 8ed sa84u9dsv35t35e 4u9kt3o9er, e4ter

a98od9395 ka9 b23ve t32s2uttet 9ets3kker0edstje9este9, så4re8t CFCS ko9kret vurderer, at t32s2ut-

9395e9 v32 ku99e b3dra5e t32 at u9derstøtte et 0øjt 394or8at3o9ss3kker0eds93veau 3 sa84u9det.

CFCS’ 9ets3kker0edstje9este er bete59e2se9 4or CFCS’ sa82ede akt3v3teter 3 4orb39de2se 8ed at

opda5e, a9a2ysere o5 b3dra5e t32 at 38øde5å s3kker0eds0æ9de2ser, 0eru9der CERT-akt3v3teter9e

på det c3v32e o8råde (GovCERT), CERT-akt3v3teter9e på det 8323tære o8råde (MILCERT), s3kker-

0edstek93ske akt3v3teter (4.eks. a9a2yse a4 8a2ware) o5 støtte4u9kt3o9er. Ved 8y9d350eders o5

v3rkso80eders t32s2ut9395 t32 9ets3kker0edstje9este9 v32 der so8 03dt32 b23ve 39d5ået e9 t32s2ut-

9395sa4ta2e, der 9ær8ere re5u2erer spec3ikke 4or0o2d 3 re2at3o9e9 8e22e8 9ets3kker0edstje9este9

o5 de9 e9ke2te t32s2uttede 8y9d350ed e22er v3rkso80ed. På Forsvars8393ster3ets o8råde er det

de9 8323tære 3t-s3kker0eds8y9d350ed, so8 på2æ55er 8y9d350eder at b23ve t32s2uttet 9ets3kker-

0edstje9este9, o5 på dette o8råde 39d5ås 3kke t32s2ut9395sa4ta2er.

E9 8y9d350ed e22er v3rkso80ed, der t32s2uttes 9ets3kker0edstje9este9, v32 8odta5e e9 s3kker-

0edsyde2se, der er t32passet de9 e9ke2te 8y9d350eds e22er v3rkso80eds be0ov. Der v32 ekse8pe2v3s

ku99e ske e9 8o93torer395 a4 8y9d350ede9s e22er v3rkso80ede9s 4orb39de2se t32 39ter9ettet,

så2edes at 9ets3kker0edstje9este9 ved 0jæ2p a4 4.eks. e9 2oka2t p2aceret a2ar8e90ed ka9 opda5e

o5 a9a2ysere s3kker0eds0æ9de2ser. På de9 ba55ru9d – o5 på ba55ru9d a4 t32svare9de a9a2yser 0os

de øvr35e t32s2uttede 8y9d350eder o5 v3rkso80eder – ka9 9ets3kker0edstje9este9 de2s a2ar8ere

8y9d350ede9 e22er v3rkso80ede9, 9år der ko9stateres ko9krete s3kker0eds0æ9de2ser, de2s udse9de

8ere 5e9ere22e vars2395er. Desude9 v32 t32s2uttede 8y9d350eder o5 v3rkso80eder ku99e 8odta5e

vars2395er på ba55ru9d a4 op2ys9395er, so8 CFCS 8odta5er 4ra FEs ude9r35se4terret9395stje9este,

FOU, Alm.del - 2016-17 - Bilag 128: Brev vedr. rapport om erfaringerne med CFCS-loven

TILSYNET MED EF TERRETNINGSTJENESTERNE / ÅRSREDEGØRELSE 2016 / CENTER FOR CYBERSIKKERHED

a9dre 9ets3kker0edstje9ester o5 a9dre ude92a9dske sa8arbejdspart9ere. Nets3kker0edstje9este9

v32 desude9 yde råd53v9395 o8 394or8at3o9ss3kker0ed t32 de t32s2uttede 8y9d350eder o5 ku99e

yde b3sta9d, 0v3s e9 8y9d350ed e22er v3rkso80ed ra88es a4 e9 a2vor235 s3kker0eds0æ9de2se.

O8 39d5reb 3 8edde2e2ses0e88e2350ede9, j4. CFCS-2ove9s §§ -

Beste88e2ser9e 3 2ove9s §§ o5 , der 39d0o2ds8æss35t er 3de9t3ske, 39debærer, at CFCS’ 9ets3k-

ker0edstje9este ude9 retske9de2se ka9 be0a9d2e pakke- o5 traikdata 03drøre9de 4ra 9etværk 0os

t32s2uttede 8y9d350eder o5 v3rkso80eder o5 0os 8y9d350eder på Forsvars8393ster3ets o8råde

8ed 0e9b23k på at u9derstøtte et 0øjt 394or8at3o9ss3kker0eds93veau 3 sa84u9det. Ved

pakkedata

4orstås 39d0o2det a4 ko88u93kat3o9, der tra9s83tteres 5e99e8 d353ta2e 9etværk e22er tje9ester,

j4. 2ove9s § , 9r. , o5 ved

traikdata

4orstås data, so8 be0a9d2es 8ed 0e9b23k på at tra9s83ttere

pakkedata, j4. 2ove9s § , 9r. .

Re5u2er395e9 a4 9ets3kker0edstje9este9s ad5a95 t32 at 4oreta5e 39d5reb 3 8edde2e2ses0e88e235-

0ede9 på 0e90o2dsv3s det c3v32e o5 det 8323tære o8råde er opde2t 3 to beste88e2ser, da der på

e9ke2te o8råder 5æ2der sær235e re52er 4or det 8323tære o8råde 4or 0er8ed at s3kre, at der 3kke

4oreta5es e9 39dskræ9k9395 3 4or0o2d t32 de 8u2350eder 4or 8o93torer395, so8 MILCERT t3d235ere

0ar 0a4t. På Forsvars8393ster3ets o8råde, 0vor der 3 betyde235t o84a95 0å9dteres k2ass3icerede

op2ys9395er, v32 der så2edes 4ortsat være be0ov 4or e9 v3dere ad5a95 t32 at a9a2ysere 8o93torerede

data o5 t32 at v3dere53ve data t32 re2eva9te sa8arbejdspart9ere.

Det 4ø25er a4 2ove9s § , at e9 8y9d350ed e22er v3rkso80ed, so8 3kke er t32s2uttet CFCS’ 9ets3k-

ker0edstje9este, ved be5ru9det 83sta9ke o8 e9 s3kker0eds0æ9de2se

midlertidigt kan tilsluttes

netsikkerhedstjenesten,

so8 0ere4ter ude9 retske9de2se ka9 be0a9d2e pakke- o5 traikdata 03d-

røre9de 4ra 9etværk 0os 8y9d350ede9 e22er v3rkso80ede9, 9år

) 8y9d350ede9 e22er v3rkso80ede9 0ar a98odet CFCS o8 at b23ve 83d2ert3d35t t32s2uttet o5

53vet skr34t235t sa8tykke t32 be0a9d2395e9,

) be0a9d2395e9 vurderes at ku99e b3dra5e væse9t235t t32 CFCS 8u2350eder 4or at s3kre 394or-

8at3o9s- o5 ko88u93kat3o9stek9o2o53sk 394rastruktur, so8 sa84u9dsv35t35e 4u9kt3o9er er

a40æ9535e a4, o5

) de9 83d2ert3d35e t32s2ut9395 0ar e9 var350ed på 0øjst to 8å9eder.

E9 83d2ert3d35 t32s2ut9395 ka9 ske 3 4or0o2d t32 8y9d350eder o5 v3rkso80eder, so8 3kke 9or8a2t

er udsat 4or et såda9t trusse2sb322ede, at e9 4ast t32s2ut9395 t32 9ets3kker0edstje9este9 er 0e9-

s35ts8æss35, 8e9 so8 på 5ru9d a4 aktue22e be53ve90eder 3 e9 kortere per3ode er udsat 4or et så

ko9kret trusse2sb322ede, at der er be0ov 4or de9 ekstra s3kker0ed, so8 e9 t32s2ut9395 39debærer.

E9 83d2ert3d35 t32s2ut9395 ka9 o5så ske, 0v3s v3rkso80eder, der 3kke er beskæ4t35et 8ed sa8-

4u9dsv35t35e 4u9kt3o9er, ra88es a4 sær235t a2vor235e cybera95reb.

Ved be5ru9det 83sta9ke o8 e9 s3kker0eds0æ9de2se ka9 9ets3kker0edstje9este9 e4ter 2ove9s §

ude9 retske9de2se

behandle data,

so8 er 39de0o2dt 3 e22er 03drører 4ra et 394or8at3o9ssyste8,

der a9ve9des a4 e9 8y9d350ed e22er v3rkso80ed, 9år

) 8y9d350ede9 e22er v3rkso80ede9 0ar a98odet CFCS o8 b3sta9d, st322et 394or8at3o9ssyste8et

e22er datae9e 0er4ra t32 råd350ed 4or 9ets3kker0edstje9este9 o5 53vet skr34t235t sa8tykke t32,

at 9ets3kker0edstje9este9 be0a9d2er datae9e, o5

) be0a9d2395e9 vurderes at ku99e b3dra5e væse9t235t t32 CFCS’ 8u2350eder 4or at s3kre 394or8at3o9s-

o5 ko88u93kat3o9stek9o2o53sk 394rastruktur, so8 sa84u9dsv35t35e 4u9kt3o9er er a40æ9535e a4.

FOU, Alm.del - 2016-17 - Bilag 128: Brev vedr. rapport om erfaringerne med CFCS-loven

APPENDIKS

O8 be0a9d2395 a4 perso9op2ys9395er, j4. CFCS-2ove9s §§ -

E4ter 2ove9s § ska2 CFCS’

indsamling af personoplysninger

ske t32 udtrykke235t a953v9e o5 sa5235e

4or8å2, o5 se9ere be0a9d2395 8å 3kke være u4ore9e235 8ed d3sse 4or8å2. Se9ere be0a9d2395

a4 perso9op2ys9395er, der a2e9e sker 3 03stor3sk, stat3st3sk e22er v3de9skabe235t øje8ed, a9ses

3kke 4or u4ore9e235 8ed de 4or8å2, 0vort32 op2ys9395er9e er 39dsa82et. Perso9op2ys9395er, so8

be0a9d2es, ska2 være re2eva9te o5 t32strække235e o5 3kke o84atte 8ere, e9d 0vad der kræves t32

op4y2de2se a4 de 4or8å2, 0vort32 op2ys9395er9e 39dsa82es, o5 de 4or8å2, 0vort32 op2ys9395er9e

se9ere be0a9d2es. Beste88e2se9 er 3de9t3sk 8ed perso9data2ove9s § , stk. o5 , o5 ska2 4or-

to2kes 3 overe9sste88e2se 8ed de99e beste88e2ses 4orarbejder o5 re2eva9te praks3s.

Behandling af personoplysninger

8å e4ter 2ove9s § ku9 i9de sted, 0v3s

) de9 på5æ2de9de perso9 0ar 53vet s3t udtrykke235e sa8tykke 0ert32,

) be0a9d2395e9 er 9ødve9d35 a4 0e9sy9 t32 op4y2de2se9 a4 e9 a4ta2e, so8 de9 på5æ2de9de perso9

er part 3, e22er a4 0e9sy9 t32 5e99e84øre2se a4 4ora9sta2t9395er, der træfes på de9 på5æ2de9de

perso9s a98od9395 4orud 4or 39d5åe2se9 a4 e9 såda9 a4ta2e,

) be0a9d2395e9 er 9ødve9d35 a4 0e9sy9 t32 ud4øre2se9 a4 e9 op5ave 3 sa84u9dets 39teresse,

) be0a9d2395e9 er 9ødve9d35 t32 beskytte2se a4 væse9t235e 0e9sy9 t32 state9s s3kker0ed e22er

r35ets 4orsvar,

) be0a9d2395e9 er 9ødve9d35 a4 0e9sy9 t32 ud4øre2se9 a4 e9 op5ave, der 0e90ører u9der ofe9t-

235 8y9d350edsudøve2se, so8 CFCS e22er e9 tredje8a9d, t32 0ve8 op2ys9395er9e v3dere53ves,

0ar 4ået på2a5t,

) be0a9d2395e9 er 9ødve9d35 4or, at CFCS e22er de9 tredje8a9d, t32 0ve8 op2ys9395er9e v3de-

re53ves, ka9 4or4ø25e e9 berett35et 39teresse, o5 0e9sy9et t32 de9 på5æ2de9de perso9 3kke

overst35er de99e 39teresse, e22er

) be0a9d2395e9 vedrører perso9op2ys9395er, der er o84attet a4 kap3te2 (39d5reb 3 8edde2e2-

ses0e88e2350ede9).

Beste88e2se9s 9r. , , , o5 er 8ed spro5235e t32pas9395er 3de9t3ske 8ed de t32svare9de be-

ste88e2ser 3 perso9data2ove9s § o5 ska2 4orto2kes 3 overe9sste88e2se 8ed d3sse beste88e2sers

4orarbejder o5 re2eva9te praks3s. A9ve9de2se a4 beste88e2se9s 9r. 4orudsætter, at der er 4are

4or, at state9s s3kker0ed e22er r35ets 4orsvar v32 23de skade, 0v32ket ekse8pe2v3s ka9 være t324æ2det

3 4orb39de2se 8ed cybera95reb 8od da9ske 8y9d350eders 394or8at3o9ssyste8er. He9sy9et t32

state9s s3kker0ed e22er r35ets 4orsvar ska2 4orto2kes 3 overe9sste88e2se 8ed det t32svare9de udtryk

3 ofe9t2350eds2ove9s § . Med beste88e2se9s 9r. 4astsættes e9 5e9ere2 0je88e2 t32 at be0a9d2e

perso9op2ys9395er, 0v3s de er o84attet a4 kap3te2 (39d5reb 3 8edde2e2ses0e88e2350ede9), 0vorved

be8ærkes, at der 8ed 2ove9s § er 4astsat 9ær8ere ra88er 4or a9a2yse a4 pakkedata, der er o84at-

tet a4 2ove9s §§ , o5 , 8e9s der 3 2ove9s § er 4astsat re52er 4or s2et9395 a4 de på5æ2de9de data.

Der 8å 3kke be0a9d2es perso9op2ys9395er o8 race8æss35 e22er et93sk ba55ru9d, po23t3sk, re2353-

øs e22er i2osoisk overbev3s9395, 4a54ore9395s8æss35e t320ørs4or0o2d o5 perso9op2ys9395er o8

0e2breds8æss35e o5 seksue22e 4or0o2d, j4. 2ove9s § , stk. . E4ter beste88e2se9s stk. 5æ2der

dette do5 3kke, 0v3s

) de9 på5æ2de9de perso9 0ar 53vet s3t udtrykke235e sa8tykke t32 e9 såda9 be0a9d2395,

) be0a9d2395e9 vedrører perso9op2ys9395er, so8 er b2evet ofe9t2355jort a4 de9 på5æ2de9de perso9,

) be0a9d2395e9 er 9ødve9d35 4or, at et retskrav ka9 4ast2æ55es, 5øres 5æ2de9de e22er 4orsvares,

) be0a9d2395e9 er 9ødve9d35 t32 beskytte2se a4 væse9t235e 0e9sy9 t32 state9s s3kker0ed e22er

r35ets 4orsvar, e22er

) be0a9d2395e9 vedrører perso9op2ys9395er, der er o84attet a4 kap3te2 (39d5reb 3 8edde2e2-

ses0e88e2350ede9).

FOU, Alm.del - 2016-17 - Bilag 128: Brev vedr. rapport om erfaringerne med CFCS-loven

TILSYNET MED EF TERRETNINGSTJENESTERNE / ÅRSREDEGØRELSE 2016 / CENTER FOR CYBERSIKKERHED

Beste88e2se9s stk. o5 stk. , 9r. - , er 8ed spro5235e t32pas9395er 3de9t3ske 8ed de t32svare9de

beste88e2ser 3 perso9data2ove9s § o5 ska2 4orto2kes 3 overe9sste88e2se 8ed de99e beste88e2-

ses 4orarbejder o5 re2eva9te praks3s. O8 stk. , 9r. o5 , 0e9v3ses t32 be8ærk9395er9e ove94or

vedrøre9de 2ove9s § , 9r. o5 .

Det 4ø25er a4 2ove9s § , stk. , at der 3kke 8å be0a9d2es perso9op2ys9395er o8 stra4bare 4or-

0o2d, væse9t235e soc3a2e prob2e8er o5 a9dre re9t pr3vate 4or0o2d e9d de 3 § , stk. , 9æv9te,

8ed839dre det er 9ødve9d35t 4or vareta5e2se9 a4 CFCS’ op5aver. E4ter beste88e2se9s stk. 8å

de 3 stk. 9æv9te perso9op2ys9395er 3kke v3dere53ves, 8ed839dre

) de9 på5æ2de9de perso9 0ar 53vet s3t udtrykke235e sa8tykke t32 v3dere53ve2se9,

) v3dere53ve2se9 sker t32 vareta5e2se a4 pr3vate e22er ofe9t235e 39teresser, der k2art overst35er

0e9sy9et t32 de 39teresser, der be5ru9der 0e88e2350o2de2se, 0eru9der 0e9sy9et t32 de9,

op2ys9395e9 a95år,

) v3dere53ve2se9 er 9ødve9d35 4or ud4øre2se9 a4 e9 8y9d350eds v3rkso80ed e22er påkrævet 4or

e9 a45øre2se, so8 8y9d350ede9 ska2 træfe,

) v3dere53ve2se9 er 9ødve9d35 4or ud4øre2se9 a4 e9 perso9s e22er v3rkso80eds op5aver 4or det

ofe9t235e, e22er

) v3dere53ve2se9 o84atter perso9op2ys9395er, der er o84attet a4 kap3te2 (39d5reb 3 8edde2e2-

ses0e88e2350ede9).

Beste88e2se9s stk. o5 stk. , 9r. - , er 8ed spro5235e t32pas9395er 3de9t3ske 8ed de t32svare9de

beste88e2ser 3 perso9data2ove9s § o5 ska2 4orto2kes 3 overe9sste88e2se 8ed d3sse beste88e2-

sers 4orarbejder o5 re2eva9te praks3s. O8 beste88e2se9s stk. , 9r. , 0e9v3ses t32 be8ærk9395er9e

ove94or vedrøre9de 2ove9s § , 9r. .

Be0a9d2395 a4 perso9op2ys9395er ska2 t32rette2æ55es så2edes, at der 4oreta5es 4or9øde9 ajour-

4ør395 a4 op2ys9395er9e, j4. 2ove9s § . Der ska2 e9dv3dere 4oreta5es de9 4or9ød9e ko9tro2 4or

at s3kre, at der 3kke be0a9d2es ur35t35e e22er v32d2ede9de perso9op2ys9395er. Perso9op2ys9395er,

der v3ser s35 ur35t35e e22er v32d2ede9de, ska2 s9arest 8u235t s2ettes e22er ber35t35es. Beste88e2se9

er 3de9t3sk 8ed de9 t32svare9de beste88e2se 3 perso9data2ove9s § , stk. , o5 ska2 4orto2kes 3

overe9sste88e2se 8ed de99e beste88e2ses 4orarbejder o5 re2eva9te praks3s.

I9dsa82ede perso9op2ys9395er 8å 3kke opbevares på e9 8åde, der 53ver 8u2350ed 4or at 3de9-

t3icere de9 på5æ2de9de perso9 3 et 2æ95ere t3dsru8 e9d det, der er 9ødve9d35t a4 0e9sy9 t32

de 4or8å2, 0vort32 op2ys9395er9e be0a9d2es, j4. 2ove9s § . Beste88e2se9 er 3de9t3sk 8ed de9

t32svare9de beste88e2se 3 perso9data2ove9s § , stk. , o5 ska2 4orto2kes 3 overe9sste88e2se

8ed de99e beste88e2ses 4orarbejder o5 re2eva9te praks3s. I de9 4orb39de2se be8ærkes, at der 3

2ove9s § er 4astsat sær235e beste88e2ser o8 s2et9395 a4 data, der er o84attet a4 2ove9s kap3te2

(39d5reb 3 8edde2e2ses0e88e2350ede9).

O8 a9a2yse, v3dere53ve2se o5 s2et9395 a4 data, j4. CFCS-2ove9s

§§

- o5 CFCS-ret9395s239jer9es §§ , , o5

Det 4ø25er a4 2ove9s § , at

analyse af pakkedata,

der er o84attet a4 2ove9s §§ , o5 (39d5reb

3 8edde2e2ses0e88e2350ede9), ku9 8å i9de sted ved be5ru9det 83sta9ke o8 e9 s3kker0eds-

0æ9de2se o5 ku9 3 det o84a95, det er 9ødve9d35t 4or a4k2ar395 a4 4or0o2d vedrøre9de 0æ9de2se9.

Beste88e2se9 4astsætter ra88er9e 4or CFCS’ 9ets3kker0edstje9estes ad5a95 t32 at a9a2ysere

pakkedata, der er o84attet a4 de 9æv9te beste88e2ser. So8 2ed 3 9ets3kker0edstje9este9s dr34t

FOU, Alm.del - 2016-17 - Bilag 128: Brev vedr. rapport om erfaringerne med CFCS-loven

APPENDIKS

sker der 2øbe9de e9 4u2dauto8at3sk be0a9d2395 a4 data 4ra de t32s2uttede 8y9d350eder o5 v3rk-

so80eders 9etværksko88u93kat3o9 8ed 0e9b23k på at 3de9t3icere 8u235e s3kker0eds0æ9de2ser.

Beste88e2se9 39debærer, at 9ets3kker0edstje9este9s s3kker0edsa9a2yt3kere ku9 8å 4oreta5e e9

a9a2yse a4 pakkedata, 0v3s der er e9 be5ru9det 83sta9ke o8 e9 s3kker0eds0æ9de2se, o5 da ku9

3 det o84a95, det er 9ødve9d35t 4or a4k2ar395 a4 4or0o2d vedrøre9de 0æ9de2se9.

Nets3kker0edstje9este9s akt3v3teter på det 8323tære o8råde (2ove9s § ) er 3kke o84attet a4 2ove9s

§ , 8e9 re5u2eres 9ær8ere a4 ad8393strat3ve ret9395s239jer. I4ø25e § 3 CFCS-ret9395s239jer9e

8å a9a2yse a4 pakkedata 03drøre9de 4ra 9etværk 0os 8y9d350eder på Forsvars8393ster3ets o8-

råde, j4. 2ove9s § , ku9 i9de sted

) ved be5ru9det 83sta9ke o8 e9 s3kker0eds0æ9de2se, e22er

) so8 2ed 3 det 2øbe9de arbejde 8ed at u9derstøtte et 0øjt 394or8at3o9ss3kker0eds93veau

på Forsvars8393ster3ets o8råde, 0eru9der ved ko9tro2 a4, o8 ko88u93kat3o9 39de0o2der

k2ass3iceret 8ater3a2e, o5 ku9 3 det o84a95, det er 9ødve9d35t 4or a4k2ar395 a4 4or0o2d ved-

røre9de 0æ9de2se9 e22er 9ødve9d35t 4or at u9derstøtte et 0øjt 394or8at3o9ss3kker0eds93veau

på Forsvars8393ster3ets o8råde.

I4ø25e 2ove9s § ka9 data, der er o84attet a4 2ove9s §§ , o5 (39d5reb 3 8edde2e2ses0e88e-

2350ede9), ku9

videregives

3 4ø25e9de t324æ2de:

) ved be5ru9det 83sta9ke o8 e9 s3kker0eds0æ9de2se ka9 data v3dere53ves t32 po23t3et, e22er

) ved be5ru9det 83sta9ke o8 e9 s3kker0eds0æ9de2se, o5 0v3s det er 9ødve9d35t 4or ud4øre2se9

a4 9ets3kker0edstje9este9s op5aver, ka9

traikdata

v3dere53ves t32 da9ske 8y9d350eder, udby-

dere a4 ofe9t235e e2ektro93ske ko88u93kat3o9s9et o5 -tje9ester, a9dre 9ets3kker0edstje9ester

o5 v3rkso80eder, der er o84attet a4 §§ , o5 , sa8t t32 8y9d350eder o5 v3rkso80eder 3

øvr35t 3 4orb39de2se 8ed CFCS’ udse9de2se a4 s3kker0edsvars2395er.

Beste88e2se9 re5u2erer CFCS’ 8u2350eder 4or at v3dere53ve data, der er o84attet a4 2ove9s §§ ,

o5 o5 der8ed be0a9d2es på ba55ru9d a4 39d5reb 3 8edde2e2ses0e88e2350ede9.

Med 2ove9s § , 9r. , s3kres, at ce9tret ka9 v3dere53ve a22e re2eva9te op2ys9395er t32 po23t3et 3 de

t324æ2de, 0vor det ka9 være re2eva9t 4or po23t3et at 39d2ede e9 straferet235 e4ter4orsk9395. Kravet

o8, at der ska2 være ta2e o8 e9 be5ru9det 83sta9ke o8 e9 s3kker0eds0æ9de2se, 39debærer, at

CFCS a2e9e ka9 v3dere53ve de på5æ2de9de data, 0v3s der 4ore2355er ko9krete 39d3kat3o9er, der

pe5er 3 ret9395 a4, at e9 s3kker0eds0æ9de2se 0ar 4u9det e22er v32 i9de sted.

Love9s § , 9r. , o8 8u2350ede9 4or at v3dere53ve

traikdata

t32 b2a9dt a9dre udbydere a4 ofe9t235e

e2ektro93ske ko88u93kat3o9s9et o5 -tje9ester 39debærer, at 3sær te2ese2skaber ka9 4orbedre deres

s3kker0edssyste8er, så2edes at de9 394or8at3o9s- o5 ko88u93kat3o9stek9o2o53ske 394rastruktur,

so8 sa84u9dsv35t35e 4u9kt3o9er 3 overveje9de 5rad er a40æ9535e a4, ka9 s3kres yder235ere, 4.eks.

ved at te2ese2skaber9e 394or8eres o8 IP-adresser, der a9ve9des ved cybera95reb. E9 a4 CFCS’

v35t35ste 4oreby55e9de akt3v3teter er udse9de2se a4 s3kker0edsvars2395er, 0vor 8y9d350eder, v3rk-

so80eder, a9dre 9ets3kker0edstje9ester 8v. u9derrettes o8 sær235t a2vor235e s3kker0eds0æ9de2ser.

S3kker0edsvars2395er9e 53ver 8odta5er9e 8u2350ed 4or at styrke deres e5e9 4oreby55e2se 8od

a95reb (4.eks. ved at b2okere 4or traik 4ra IP-adresser, der 39d5år 3 0ackeres a95rebs394rastruktur)

o5 u9dersø5e, o8 de 0ar været udsat 4or a95reb (4.eks. ved at 5e99e8sø5e 2o5i2er 4or e-8a32s

4ra a4se9dere, der 0ar a95rebet a9dre 8y9d350eder e22er v3rkso80eder). Med beste88e2se9 3 9r.

er der der4or 53vet CFCS 8u2350ed 4or at udse9de s3kker0edsvars2395er, so8 39de0o2der traik-

data, der ka9 styrke 8odta5er9es 394or8at3o9ss3kker0ed. V3dere53ve2se a4 traikdata e4ter 9r.

4orudsætter, at der er be5ru9det 83sta9ke o8 e9 s3kker0eds0æ9de2se, o5 at det ko9kret vurderes,

at v3dere53ve2se9 er 9ødve9d35 4or ud4øre2se9 a4 9ets3kker0edstje9este9s op5aver. I9de0o2der

FOU, Alm.del - 2016-17 - Bilag 128: Brev vedr. rapport om erfaringerne med CFCS-loven

TILSYNET MED EF TERRETNINGSTJENESTERNE / ÅRSREDEGØRELSE 2016 / CENTER FOR CYBERSIKKERHED

v3dere53ve2se9 perso9op2ys9395er, v32 pr39c3pper9e o8 re2eva9s o5 proport3o9a23tet, j4. 2ove9s §

, stk. , t32235e sku22e 3a5tta5es, så2edes at der a2e9e ka9 v3dere53ves perso9op2ys9395er, so8 er

re2eva9te o5 t32strække235e 4or at op9å 4or8å2et 8ed de9 ko9krete v3dere53ve2se.

Love9s §

ska2 e9dv3dere ses 3 sa88e90æ95 8ed 2ove9s § , so8 5e9ere2t re5u2erer CFCS’

ad5a95 t32 at v3dere53ve perso9op2ys9395er o8 stra4bare 4or0o2d, væse9t235e soc3a2e prob2e8er

o5 a9dre re9t pr3vate 4or0o2d e9d de, der er 9æv9t 3 2ove9s § , stk. . Er4ar395s8æss35t 0ar CFCS

ku9 3 8e5et sjæ2d9e t324æ2de be0ov 4or at v3dere53ve perso9op2ys9395er a4 de 9æv9te typer, 8e9

3 4orb39de2se 8ed a2vor235e cybera95reb ka9 der være be0ov 4or at v3dere53ve perso9op2ys9395er

o8 stra4bare 4or0o2d t32 po23t3et. Love9s § , stk. , 9r. , 53ver 0je88e2 t32 v3dere53ve2se a4 de

9æv9te typer a4 perso9op2ys9395er, 0v3s op2ys9395er9e er o84attet a4 kap3te2 (39d5reb 3 8ed-

de2e2ses0e88e2350ede9). Spør5s8å2et o8 v3dere53ve2se ska2 dere4ter vurderes e4ter 2ove9s § .

Nets3kker0edstje9este9s akt3v3teter på det 8323tære o8råde (§ ) er 3kke o84attet a4 2ove9s § ,

8e9 re5u2eres 9ær8ere a4 ad8393strat3ve ret9395s239jer. I4ø25e § 3 CFCS-ret9395s239jer9e 8å

data, der er o84attet a4 2ove9s § , ku9 v3dere53ves a4 CFCS, 9år

) v3dere53ve2se9 er 9ødve9d35 4or at u9derstøtte et 0øjt 394or8at3o9ss3kker0eds93veau, o5

) v3dere53ve2se9 sker 8ed udtrykke235t a953v9e o5 sa5235e 4or8å2,

3det e90ver v3dere53ve2se a4 data ska2 re53streres a4 CFCS.

I 2ov4ors2a5ets a2839de235e be8ærk9395er a94øres o8 de9 39ter9e udveks2395 a4 data 3 FE, at

de99e 3 overe9sste88e2se 8ed a2839de235e 4orva2t9395sret235e pr39c3pper 3kke er 2ovre5u2eret.

Dette 39debærer, at der so8 ud5a95spu9kt er 4r3 ad5a95 t32 at udveks2e data 39ter9t 3 FE, 0eru9-

der 8e22e8 CFCS o5 de9 øvr35e de2 a4 e4terret9395stje9este9, 0v3s dette er 9ødve9d35t 4or at 2øse

8y9d350ede9s op5aver, o5 der 3 øvr35t er ta2e o8 et sa5235t 4or8å2. Det s3krer, at a22e de re2eva9te

ressourcer 3 FE 0urt35t o5 efekt3vt ka9 39dsættes ved de9 8e5et store a9de2 a4 cybera95reb 8od

Da98ark, so8 03drører 4ra ud2a9det, o5 0vor FE so8 ude9r35se4terret9395stje9este ka9 b3dra5e

8ed e9 række værd34u2de op2ys9395er.

I overe9sste88e2se 0er8ed er det 3 § 3 CFCS-ret9395s239jer9e 4astsat, at CFCS ku9 8å

udveksle

data, der er o84attet a4 2ove9s §§ , o5 , 8ed de9 øvr35e de2 a4 FE, 9år

) udveks2395e9 er 9ødve9d35 4or at u9derstøtte et 0øjt 394or8at3o9ss3kker0eds93veau,

) udveks2395e9 sker 8ed udtrykke235t a953v9e o5 sa5235e 4or8å2, o5

) der er be5ru9det 83sta9ke o8 e9 s3kker0eds0æ9de2se,

3det e90ver udveks2395 a4 data ska2 re53streres a4 CFCS.

T32svare9de 4ø25er det a4 § 3 CFCS-ret9395s239jer9e, at CFCS ku9 8å udveks2e data, der er o8-

4attet a4 2ove9s § , 8ed de9 øvr35e de2 a4 FE, 9år

) udveks2395e9 er 9ødve9d35 4or at u9derstøtte et 0øjt 394or8at3o9ss3kker0eds93veau, o5

) udveks2395e9 sker 8ed udtrykke235t a953v9e o5 sa5235e 4or8å2,

3det e90ver udveks2395 a4 data ska2 re53streres a4 CFCS.

I4ø25e 2ove9s § , stk. , ska2 data, der er o84attet a4 kap3te2 (39d5reb 3 8edde2e2ses0e88e2350e-

de9), s2ettes, 9år 4or8å2et 8ed be0a9d2395e9 er op4y2dt. Beste88e2se9 ska2 ses 3 sa88e90æ95

8ed 2ove9s § , 0vore4ter 39dsa82ede perso9op2ys9395er 5e9ere2t 3kke 8å opbevares på e9 8åde,

der 53ver 8u2350ed 4or at 3de9t3icere de9 på5æ2de9de perso9 3 et 2æ95ere t3dsru8 e9d det, der

er 9ødve9d35t a4 0e9sy9 t32 de 4or8å2, 0vort32 op2ys9395er9e be0a9d2es. Me9s 2ove9s § i9der

a9ve9de2se på a2 be0a9d2395 a4 perso9op2ys9395er 3 CFCS, i9der de sær235e re52er 3 2ove9s §

a2e9e a9ve9de2se på de data, der be0a9d2es på ba55ru9d a4 39d5reb 3 8edde2e2ses0e88e2350e-

FOU, Alm.del - 2016-17 - Bilag 128: Brev vedr. rapport om erfaringerne med CFCS-loven

APPENDIKS

de9. I4ø25e 2ov4ors2a5ets be8ærk9395er t32 § v32 der på ba55ru9d a4 de99e beste88e2se ske

e9 2øbe9de vurder395 a4 de be0a9d2ede data 8ed 0e9b23k på at s3kre, at data, der 3kke 2æ95ere

er re2eva9te 3 4or0o2d t32 9ets3kker0edstje9este9s 4or8å2 o5 akt3v3teter, straks s2ettes.

A4 2ove9s § , stk. , 4re85år, at ua9set at 4or8å2et 8ed be0a9d2395e9 3kke er op4y2dt, j4. stk. , 8å

) data, der k9ytter s35 t32 e9 s3kker0eds0æ9de2se, 0øjst opbevares 3 tre år, o5

) data, der 3kke k9ytter s35 t32 e9 s3kker0eds0æ9de2se, 0øjst opbevares 3 8å9eder.

Beste88e2se9 4astsætter øvre 5ræ9ser 4or, 0vor 2æ95e data, der 3kke er s2ettet e4ter 2ove9s § , stk. ,

ka9 opbevares, o5 beste88e2se9 i9der der8ed a9ve9de2se på data, 0vor det er b2evet vurderet, at

der 4ortsat er be0ov 4or be0a9d2395 3 9ets3kker0edstje9este9. Ua9set at 4or8å2et 8ed be0a9d2395e9

så2edes 3 d3sse t324æ2de e9d9u 3kke er op4y2dt, v32 data sku22e s2ettes 39de9 4or de abso2utte 4r3ster, so8 er

4astsat 3 beste88e2se9. Så4re8t data, der k9ytter s35 t32 e9 s3kker0eds0æ9de2se, 39de9 4or de9 tre-år35e

per3ode 35e9 ko9stateres a9ve9dt 3 4orb39de2se 8ed e9 s3kker0eds0æ9de2se, v32 e9 9y tre-år35 per3ode

be5y9de. Fr3ster9e 3 stk. , re59es 4ra t3dspu9ktet 4or CFCS’ re53strer395 a4 de på5æ2de9de data, j4. stk. .

Love9s § , stk. o5 , i9der 3kke a9ve9de2se på data, der er v3dere53vet 3 8ed4ør a4 2ove9s §

, j4. 2ove9s § , stk. .

O8 s3kker0eds4ora9sta2t9395er 3 4orb39de2se 8ed ce9trets

be0a9d2395 a4 perso9op2ys9395er, j4. CFCS-2ove9s §

I4ø25e 2ove9s §

træfer CFCS passe9de tek93ske o5 or5a93sator3ske 4ora9sta2t9395er 8od, at

op2ys9395er 0æ9de235t e22er u2ov235t t3239tet5øres, 4ortabes e22er 4orr395es, o5 8od, at de ko88er

t32 uvedko88e9des ke9dskab, 83sbru5es e22er 3 øvr35t be0a9d2es 3 str3d 8ed 2ove9. For op2ys-

9395er, so8 er a4 sær235 39teresse 4or 4re88ede 8a5ter, ska2 CFCS træfe 4ora9sta2t9395er, der

8u2355ør bortskafe2se e22er t3239tet5øre2se 3 t324æ2de a4 kr35 e22er 2359e9de 4or0o2d. Beste88e2se9

er 39d0o2ds8æss35t 3de9t3sk 8ed de t32svare9de beste88e2ser 3 perso9data2ove9s § , stk. o5

, o5 ska2 4orto2kes 3 overe9sste88e2se 8ed d3sse beste88e2sers 4orarbejder o5 re2eva9te praks3s.

Det 4ø25er a4 perso9data2ove9s § , stk. , at de9 dataa9svar235e ska2 træfe de 4or9ød9e tek93-

ske o5 or5a93sator3ske s3kker0eds4ora9sta2t9395er 8od, at op2ys9395er 0æ9de235t e22er u2ov235t

t3239tet5øres, 4ortabes e22er 4orr395es, sa8t 8od at de ko88er t32 uvedko88e9des ke9dskab,

83sbru5es e22er 3 øvr35t be0a9d2es 3 str3d 8ed 2ove9, o5 t32svare9de 5æ2der 4or databe0a9d2ere. A4

2ove9s § , stk. , 4re85år, at der 4or op2ys9395er, so8 be0a9d2es 4or de9 ofe9t235e 4orva2t9395,

o5 so8 er a4 sær235 39teresse 4or 4re88ede 8a5ter, ska2 træfes 4ora9sta2t9395er, der 8u2355ør

bortskafe2se e22er t3239tet5øre2se 3 t324æ2de a4 kr35 e22er 2359e9de 4or0o2d.

Beke9dt5øre2se 9r.

a4 . ju93

o8 s3kker0eds4ora9sta2t9395er t32 beskytte2se a4 perso9op-

2ys9395er, so8 be0a9d2es 4or de9 ofe9t235e 4orva2t9395, (s3kker0edsbeke9dt5øre2se9) 4astsætter

9ær8ere re52er o8 de 3 perso9data2ove9s § , stk. , a953v9e s3kker0eds4ora9sta2t9395er. Ua9set

at beke9dt5øre2se9 3kke 5æ2der 4or CFCS’ be0a9d2395 a4 perso9op2ys9395er, 0ar t32sy9et ved s39

vurder395 a4 krave9e t32 de s3kker0eds4ora9sta2t9395er, der 4ø25er a4 CFCS-2ove9s § , 0e9set t32

beke9dt5øre2se9s beste88e2ser, 0eru9der § . A4 de99e beste88e2se 4ø25er b2a9dt a9det, at de9

a9svar235e data8y9d350ed ska2 4astsætte ret9395s239jer 4or 8y9d350ede9s t32sy9 8ed over0o2de2se

a4 de s3kker0eds4ora9sta2t9395er, der er 4astsat a4 8y9d350ede9, j4. beste88e2se9s stk. , . pkt.,

o5 at de 39ter9e beste88e2ser ska2 5e99e85ås 839dst é9 5a95 0vert år 8ed 0e9b23k på at s3kre,

at de er 4y2dest5øre9de o5 a4spej2er de 4akt3ske 4or0o2d 3 8y9d350ede9, j4. beste88e2se9s stk. .

FOU, Alm.del - 2016-17 - Bilag 128: Brev vedr. rapport om erfaringerne med CFCS-loven

Årsredegøre2se

Ce9ter 4or Cybers3kker0ed

Ud53vet a4 T32sy9et 8ed E4terret9395stje9ester9e, 8aj

Layout + 322ustrat3o9er: Eckardt ApS

Portræt4otos: Lars E95e25aar

Pub23kat3o9e9 ka9 dow92oades 4ra t32sy9ets 0je88es3de på www.tet.dk

Med2emmer af T32synet med Efterretn3ngstjenesterne

La9dsdo88er U22a Staa2, Østre La9dsret (4or8a9d)

Advokat Per9322e Back0ause9, S3r3us Advokater

D3rektør Ada8 Wo24, Da9ske Re53o9er

Pro4essor Jør5e9 Grø99e5ård C0r3ste9se9, Aar0us U93vers3tet

Bestyre2ses4or8a9d Er3k Jacobse9, Rosk32de U93vers3tet

FOU, Alm.del - 2016-17 - Bilag 128: Brev vedr. rapport om erfaringerne med CFCS-loven

FOU, Alm.del - 2016-17 - Bilag 128: Brev vedr. rapport om erfaringerne med CFCS-loven

Tilsynet med Efteretningstjenesterne

Borgergade 28, 1. sal, 1300 København K