Europaudvalget 2017-18
EUU Alm.del Bilag 749
Offentligt
1909336_0001.png
ANDRUS ANSI P
VICE-PRESIDENT OF THE EUROPEAN COMMISSION
,
1
1
.
01
,
101
Brussels,
VL/hk - Ares (2018)
5o
(o
3co^f
Kære Erik Christensen
Kommissionen takker Folketinget for dets undersøgelse vedrørende gennemførelsen i dansk
lovgivning af Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om
foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informations­
systemer i hele Unionen (herefter "NIS-direktivet").
Kommissionen har grundigt overvejet det spørgsmål, som Folketinget har rejst i sin
undersøgelse, og har følgende uddybende bemærkninger.
Udnævnelsen af det nationale center for cybersikkerhed til både det centrale kontaktpunkt og
den enhed, der håndterer FT-sikkerhedshændelser (CSIRT), kan anses for at være i
overensstemmelse med direktivet, for så vidt at kravene i NIS-direktivets bilag I og artikel 9 er
opfyldt.
Som Folketinget imidlertid med rette har påpeget, skal en national CSIRT og et centralt
kontaktpunkt i udførelsen af de opgaver, som er pålagt det som følge af NIS-direktivet, skal
overholde alle andre krav, som følger af dette direktiv, herunder kravene i artikel 2, hvor der
henvises til behandlingen afpersonoplysninger, som skal gennemføres under overholdelse af
forordning (EU) 2016/679'.
Muligheden for at fritage det nationale center for cybersikkerhed fra at være omfattet af
databeskyttelsesreglerne, jf. artikel 2, stk. 2, litra a), i den generelle forordning om
databeskyttelse, eller for at begrænse den dataansvarliges rettigheder på grundlag af
artikel 23, stk. 1, litra a), i den generelle forordning om databeskyttelse, afhænger afformålet
med behandlingen. Hvis aktiviteterne indenfor rammerne afNIS-direktivet ikke betragtes som
nationale sikkerhedsaktiviteter, bør myndighederne derfor ikke kunne påberåbe sig
begrænsningen i artikel 23, stk. 1, litra a), i den generelle forordning om databeskyttelse.
./...
1
Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse aj fysiske
personer i forbindelse med behandling afpersonoplysninger og om fri udveksling af sådanne oplysninger og
om ophævelse af direktiv 95/46/EF (generelforordning om databeskyttelse).
Erik CHRISTENSEN
Formandfor Europaudvalget
Folketinget
Christiansborg, DK-1240 KØBENHAVNK
E-post: Lotte. Olesen®ft. dk
RUE DE LA LOI, 200 - B-1049 BRUSSELS - TEL. +32-2-295 54 34 - E-MAIL: [email protected]
 EUU, Alm.del - 2017-18 - Bilag 749: Svar fra Kommissionen på Folketingets brev om implementeringen af NIS-dirktivet
1909336_0002.png
Kommissionen vil i den forbindelse gøre opmærksom på, at begrebet national sikkerhed i
forbindelse med EU's databeskyttelsesregler er genstand for en verserende retssag
(C-623/17, Privacy International).
Kommissionen finder det endvidere vigtigt at understrege, at et centralt kontaktpunkt og en
national CSIRT i henhold til NIS-direktivets artikel 14, stk.
5,
og artikel 16, stk. 6, bl.a. er
forpligtet til at videresende underretninger om hændelser til de øvrige berørte medlemsstater.
1 de tilfælde, hvor en enhed ikke er i stand til at udføre denne i direktivet fastsatte opgave, kan
den ikke anses for egnet til at blive udpeget som en CSIRT eller et centralt kontaktpunkt.
Kommissionen fremhæver, at dens vurdering ikke kan anses for at være en officiel fortolkning
af EU-retten, hvilket henhører under Den Europæiske Unions Domstol. Kommissionen håber
ikke desto mindre med ovenstående præciseringer at have besvaret de spørgsmål, Folketinget
har rejst, og den ser frem til at fortsætte den politiske dialog.
Endelig minder Kommissionen om, at det er vigtigt at vedtage nationale foranstaltninger til
gennemførelse af NIS-direktivet rettidigt. Derudover ser Kommissionen frem til at fortsætte
samarbejdet og udvekslingen af oplysninger med de danske myndigheder indenfor rammerne
afNIS-samarbejdsgruppen og netværket af enheder, der håndterer lT-sikkerhedshændelser.
Med venlig hilsen
Andrus ANSIP