Transport-, Bygnings- og Boligudvalget 2017-18
L 135
Offentligt
1871099_0001.png
Folketingets Transport-, Bygnings- og Boligudvalg
Christiansborg
FORSVARSMINISTEREN
21. marts 2018
Folketingets Transport-, Bygnings- og Boligudvalg har den 22. februar 2018 stillet følgende
spørgsmål nr. 8 vedrørende L 135 til forsvarsministeren, som hermed besvares. Spørgsmålet
er stillet efter ønske fra Rasmus Prehn (S), Kim Christiansen (DF), Henning Hyllested (EL),
Andreas Steenberg (RV), Karsten Hønge (SF) og Roger Courage Matthisen (ALT).
Spørgsmål nr. 8:
”Ministeren
bedes oplyse, hvilke konkrete oplysninger det forventes at ministeren og Center
for Cybersikkerhed vil kunne eller skulle udveksle med andre myndigheder, både nationalt
og i EU.”
Svar:
FE/Center for Cybersikkerhed er anmodet om en udtalelse til brug for Forsvarsministeriets
besvarelse. FE/Center for Cybersikkerhed har i den anledning oplyst følgende:
”Det følger af NIS-direktivets
artikel 14, stk. 3, at medlemsstaterne skal sikre,
at operatører af væsentlige tjenester hurtigst muligt foretager underretning til
tilsynsmyndighederne eller CSIRT’en af hændelser, der har væsentlige konse-
kvenser for kontinuiteten af de væsentlige tjenester, som de leverer. Under-
retningerne skal indeholde oplysninger, der gør det muligt at fastslå eventuelle
grænseoverskridende konsekvenser af hændelsen. Der gælder en lignende
underretningsforpligtelse for udbydere af digitale tjenester, jf. artikel 16, stk.
3. Derudover følger det af direktivet, at enheder, som ikke er blevet identifice-
_______________________________________________________________________________________________________________________________________________
HOLMENS KANAL 9
1060 KØBENHAVN K
TELEFON: 72 81 00 00
TELEFAX: 72 81 03 00
MAIL: [email protected]
WEB: www.FMN.DK
CVR: 25-77-56-35
EAN: 5798000201200
L 135 - 2017-18 - Endeligt svar på spørgsmål 8: Spm. om, hvilke konkrete oplysninger det forventes at ministeren og Center for Cybersikkerhed vil kunne eller skulle udveksle med andre myndigheder, både nationalt og i EU, til transport-, bygnings- og boligministeren og forsvarsministeren
ret som operatører af væsentlige tjenester eller udbydere af digitale tjenester,
kan foretage frivillige underretninger om hændelser, der har væsentlige kon-
sekvenser for kontinuiteten af de tjenester, som de leverer, og at frivillige un-
derretninger skal behandles efter samme regler som pligtmæssige underret-
ninger, jf. artikel 20.
Det følger af direktivets artikel 14, stk. 4, at der ved fastlæggelsen af, om en
hændelses konsekvenser er betydelige, navnlig skal lægges vægt på følgende
forhold: Antallet af brugere, der berøres af hændelsen, hændelsens varighed
og den geografiske udbredelse med hensyn til det område, der berøres af
hændelsen. Der gælder nogenlunde tilsvarende kriterier i forhold til udbydere
af digitale tjenester, jf. artikel 16, stk. 4.
Bortset fra kravet om, at underretninger skal indeholde oplysninger, der gør
det muligt at fastslå eventuelle grænseoverskridende konsekvenser af hæn-
delsen, indeholder NIS-direktivet ikke krav om, hvilke oplysninger en under-
retning i øvrigt skal indeholde. Det vil derfor være op til ressortmyndighederne
inden for de enkelte sektorer at fastsætte nærmere regler om underretning
inden for deres respektive sektorer.
Det vil i almindelighed være tilstrækkeligt for at kunne varetage de opgaver,
som følger af direktivet, jf. nedenfor, at underretningerne indeholder overord-
nede oplysninger om hændelsen, herunder om den berørte virksomhed, tids-
punktet for og varigheden af hændelsen, beskrivelse af hændelsen og dens
konsekvenser samt en vurdering af mulige grænseoverskridende konsekven-
ser af hændelsen. Underretningerne vil som det helt klare udgangspunkt ikke
indeholde personoplysninger, bortset fra eventuelle oplysninger om den med-
arbejder, som har forestået selve underretningen. Hvis hændelsen er forårsa-
get af et egentligt angreb, vil det desuden kunne være relevant at anføre IP-
adresser, mailadresser mv., som anvendes af den ondsindede aktør. Det vil
eksempelvis også kunne være relevant at medtage såkaldte phishing-mails,
der har forårsaget en hændelse.
Underretningerne er en forudsætning for, at tilsynsmyndighederne, CSIRT’en
og det centrale kontaktpunkt kan varetage en række opgaver efter NIS-
direktivet. Visse af opgaverne forudsætter, at der videregives oplysninger til
andre myndigheder, herunder udenlandske. Det kan i den forbindelse næv-
nes, at underretningerne bl.a. skal danne grundlag for, at det nationale cen-
trale kontaktpunkt årligt kan forelægge en sammenfattende rapport om mod-
tagne underretninger for EU’s Samarbejdsgruppe, jf. artikel 10, stk.
3. Det
fremgår endvidere af bestemmelsen, at den sammenfattende rapport bør in-
deholde oplysninger om antallet af modtagne underretninger og arten af de
underrettede hændelser. Det fremgår udtrykkeligt af betragtning nr. 33 til di-
rektivet, at den sammenfattende rapport bør anonymiseres for at sikre, at un-
derretningerne og identiteten på den underrettende operatør eller tjeneste
forbliver fortrolige, eftersom oplysninger om de underrettende enheders iden-
titet ikke er påkrævet for udveksling af bedste praksis i Samarbejdsgruppen.
L 135 - 2017-18 - Endeligt svar på spørgsmål 8: Spm. om, hvilke konkrete oplysninger det forventes at ministeren og Center for Cybersikkerhed vil kunne eller skulle udveksle med andre myndigheder, både nationalt og i EU, til transport-, bygnings- og boligministeren og forsvarsministeren
Underretningerne er også en forudsætning for, at tilsynsmyndigheden eller
CSIRT’en kan orientere andre medlemsstater om hændelser af relevans for
dem, jf. artikel 14, stk. 5, og artikel 16, stk. 6. I den forbindelse sikrer til-
synsmyndigheden eller CSIRT’en i overensstemmelse med EU-retten
eller na-
tional lovgivning, der er i overensstemmelse med EU-retten, sikkerheden og
de kommercielle interesser for operatøren eller udbyderen samt fortrolig be-
handling af de oplysninger, der er givet i dennes underretning.
Underretningerne er derudover en forudsætning for, at tilsynsmyndigheden el-
ler CSIRT’en kan orientere offentligheden om konkrete hændelser, hvis offent-
lighedens kendskab hertil er nødvendigt for at forebygge en hændelse eller
håndtere en igangværende hændelse, jf. artikel 14, stk. 6, og artikel 16, stk.
7. Det følger af direktivet, at offentliggørelsen skal ske under hensyntagen til
bl.a. operatørens sikkerhed, operatørens kommercielle interesser og fortrolig
behandling af de af operatøren angivne oplysninger i forbindelse med dennes
underretning. For så vidt angår udbydere af digitale tjenester kan offentliggø-
relse endvidere ske, hvis det i øvrigt er i offentlighedens interesse.
Der er ved implementeringen af NIS-direktivet i dansk ret lagt op til, at opga-
verne som CSIRT og centralt kontaktpunkt skal varetages af Center for Cyber-
sikkerhed. Der er endvidere lagt op til, at centeret skal varetage opgaverne
med at underrette andre medlemsstater om hændelser med grænseoverskri-
dende konsekvenser og at orientere offentligheden om konkrete hændelser i
de tilfælde, hvor hændelsen berører flere sektorer. Forsvarsministeriet har den
7. februar 2018 fremsat lovforslag nr. L 139 om sikkerhed i net- og informati-
onssystemer for operatører af væsentlige internetudvekslingspunkter mv.,
som regulerer Center for Cybersikkerheds opgavevaretagelse på området. Der
er med lovforslaget bl.a. lagt op til at give centeret en udtrykkelig hjemmel til
at videregive de modtagne underretninger om hændelser af grænseoverskri-
dende karakter til nationale tilsynsmyndigheder, CSIRT’er og nationale centra-
le kontaktpunkter i andre EU-medlemslande samt til CSIRT-netværket (opera-
tionelt samarbejdsforum i EU). Der lægges i den forbindelse op til, at der bør
ske orientering af den underrettende operatør eller udbyder af digitale tjene-
ster i forbindelse med videregivelsen. Operatøren eller udbyderen vil ligeledes
modtage kopi af de videregivne oplysninger.
For så vidt angår orientering af offentligheden om en konkret hændelse, er
der lagt op til, at orienteringen som udgangspunkt varetages af de enkelte til-
synsmyndigheder, idet orienteringen dog foretages af Center for Cybersikker-
hed i de tilfælde, hvor en hændelse berører flere sektorer. Det fremgår ud-
trykkeligt af lovudkastet, at centerets orientering ikke må indeholde oplysnin-
ger om enkeltpersoners forhold. Videregivelsen af oplysninger fra Center for
Cybersikkerhed til andre myndigheder, herunder udenlandske, vil basere sig
på de modtagne underretninger, og der vil således i almindelighed være tale
om at videregive overordnede oplysninger om en hændelse.
L 135 - 2017-18 - Endeligt svar på spørgsmål 8: Spm. om, hvilke konkrete oplysninger det forventes at ministeren og Center for Cybersikkerhed vil kunne eller skulle udveksle med andre myndigheder, både nationalt og i EU, til transport-, bygnings- og boligministeren og forsvarsministeren
Der vil som det helt klare udgangspunkt ikke blive tale om at videregive per-
sonoplysninger. Dog vil det efter omstændighederne kunne være relevant at
videregive oplysninger om IP-adresser, mailadresser mv., som anvendes af en
formodet ondsindet aktør, der måtte have forårsaget den pågældende hæn-
delse, med henblik på, at andre kan beskytte sig mod tilsvarende angreb. Af
samme grund vil det f.eks. også kunne være relevant at medtage såkaldte
phishing-mails, der har forårsaget en hændelse. Hvis der måtte være behov
for at videregive personoplysninger, vil det skulle ske i overensstemmelse med
reglerne i lov om Center for Cybersikkerhed (CFCS-loven). Reglerne om be-
handling, herunder videregivelse, af personoplysninger er fastsat i CFCS-
lovens kapitel 6, som indeholder størstedelen af de centrale principper fra per-
sondataloven.”
Jeg kan henholde mig til FE/Center for Cybersikkerheds udtalelse.
Med venlig hilsen
Claus Hjort Frederiksen