Det næste punkt på dagsordenen er:

5) 1. behandling af lovforslag nr. L 143:

Forslag til lov om krav til sikkerhed for net- og informationssystemer inden for sundhedssektoren.

Af sundhedsministeren (Ellen Trane Nørby).

(Fremsættelse 07.02.2018).

Forhandlingen er åbnet. Det er hr. Flemming Møller Mortensen, Socialdemokratiet. Værsgo.

Tak for det, formand. Så fik vi ro, og det var godt.

Meget hyppigt og også fuldt forståeligt taler vi om, hvordan vi kan øge sikkerheden og være tilstrækkelig forsigtige, når det drejer sig om it-systemer, informationssystemer og netsystemer i sundhedsvæsenet, såvel som når vi taler om informationssystemer på alle mulige andre områder.

Derfor er det rigtig godt og fornuftigt, at man i Europa-Parlamentet har haft den samme drøftelse og har vedtaget et EU-direktiv, der normalt i folkemunde kaldes for NIS-direktivet, hvis formål er, at man hele tiden skal sikre, at man undgår hændelser eller forstyrrelser, som kan få negativ indflydelse på behandlingssystemer og pleje og patientsikkerhed i de nationale sundhedsvæsener i EU og i sundhedsvæsener i det hele taget. Derfor er der foreslået i det her direktiv, som vi nu skal implementere i dansk lovgivning, at offentlige og private enheder, som leverer den her form for tjenester til sundhedsvæsenet, skal træffe nødvendige og passende forholdsregler både teknisk og organisatorisk i forhold til at få højnet sikkerheden. Det er sådan, at det bliver forankret i Sundheds- og Ældreministeriet, men der bliver også en reference over til Center for Cybersikkerhed, som vi jo også nødvendigvis skal have, og som der nødvendigvis skal være en tæt dialog med om de her eventuelle hændelser og om, hvordan man så får sikret en ordentlig læring af dem, hvis de sker.

Det bliver ifølge det her direktiv sådan, at alle leverandører og operatører bliver forpligtet til at leve op til det, der er lovens indhold, og der bliver også oprettet en tilsynsmyndighed i forhold til de operatører, som leverer det, man i direktivet kalder for væsentlige tjenester på sundhedsområdet. Vi har jo i Danmark Sundhedsdatastyrelsen, og de er også et element i det, men det er forankret i Sundheds- og Ældreministeriet. Men sundhedsministeren kan bede Sundhedsdatastyrelsen om at lave nogle af de tilsyn og kontroldele, som bliver nødvendige i forbindelse med det her.

Socialdemokratiet støtter det her lovforslag, og vi synes, at NIS-direktivet generelt er rigtig godt. Vi ved jo, at vi ikke kun skal sikre, at loven er på plads og rammerne på papiret er i orden, men at vi også skal sikre, at håndhævelsen finder sted. Det er forståeligt, når der fra tid til anden er diskussioner af, om sikkerhed og forsigtighed er håndhævet godt nok. Jeg kan sige, at vi som sundhedsordførere også bliver orienteret af Sundheds- og Ældreministeriet og sundhedsministeren på området. Og det er rigtig godt, at der er blevet lagt en praksis ind på den her måde, for vi bærer alle sammen et meget stort ansvar. Men implementeringen af det her direktiv placerer jo altså ansvaret i Sundheds- og Ældreministeriet og i Center for Cybersikkerhed.

Så vi støtter det her lovforslag og synes, at det er et fint lovforslag. Tak.

Tak for det. Der er ingen bemærkninger. Fru Liselott Blixt, Dansk Folkeparti. Værsgo.

Som den tidligere ordfører har nævnt, handler det om NIS-direktivet, og NIS er en forkortelse af net- og informationssystemer, bare for at slå det fast, nu når vi giver os så meget i kast med forkortelser.

I en tid, hvor patientdata, netsikkerhed, er en væsentlig del af vores kommunikationssystem, er det for Dansk Folkeparti at se nødvendigt, at vi sikrer, at de af borgernes oplysninger, som vi har, nyder den størst mulige sikkerhed. Derfor tilslutter vi os lovforslaget og formålet med, at vi nu får et højt sikkerhedsniveau for net- og informationssystemer inden for sundhedssektoren for at undgå hændelser, der forstyrrer behandling, pleje og patientsikkerhed i sundhedsvæsenet.

Alle offentlige og private aktører, der leverer tjenester til sundhedsvæsenet, er derfor også ansvarlige for at opretholde den sikkerhed, der er nødvendig. Sker der udfald, er det netop pålagt disse institutioner at underrette både sundhedsministeren og Center for Cybersikkerhed.

Danskere, som er i kontakt med sundhedsvæsenet, skal føle sig trygge, når de får brug for en behandling, og derfor ser vi det her som en vigtig del af hele vores it-system. I går kunne vi netop høre kritik fra Statsrevisorerne af, at flere af de offentlige institutioner ikke var sikre nok med hensyn til ransomware-angreb. Det vil sige, at Statsrevisorerne fandt, at f.eks. Sundhedsdatastyrelsens beskyttelse ikke var tilfredsstillende. Men man har så også sagt, at det var tilfredsstillende, at der de seneste 12 måneder er implementeret tiltag.

Men det her viser jo netop, hvor sårbar man kan være i et system, hvor der ligger rigtig mange oplysninger om patienter, hvilket vi nok også kommer ind på under næste lovforslag. Derfor kan vi tilslutte os det her. Vi skal altså have sikkerhed mod de hackere, der kan komme ind i vores systemer. Der skal i det hele taget være sikkerhed for patienternes data i de net- og kommunikationssystemer, som vi har. Derfor tilslutter vi os dette lovforslag.

Tak for det. Der er heller ikke nogen bemærkninger her. Fru Jane Heitmann, Venstre. Værsgo.

Cybercrime og cybersikkerhed er ikke kun en national, men i høj grad også en international problemstilling. Cyberkriminelle kender ikke til landegrænser. Derfor giver det god mening, at vi i dag førstebehandler et lovforslag, hvor netop net- og informationssikkerhed i vores computersystemer implementeres via et EU-direktiv, så vi i EU opnår samme høje sikkerhedsniveau, ikke bare inden for sundhedsområdet, men også inden for områder så forskellige som drikkevandsforsyning, finansiel struktur og søfart, for nu blot at nævne et par eksempler.

På dansk kalder vi direktivet for NIS-direktivet. Net- og informationssikkerhed er afgørende, ikke bare for vores samfund, men også for hver enkelt af os. At leve i en digital tidsalder er på mange måder en tidsaldergave. Mange ting er blevet så meget lettere, fordi vi bevæger os i en friktionsfri digital hverdag. Vi kan fremstille tandkroner til hver enkelt af os digitalt, vi kan følge operationer online og lære af hinanden, ligesom vi kan lagre vores personlige oplysninger fra vugge til krukke eller som genom i en enkelt fil. Ingen behøver at stå på hovedet i støvede arkivskabe for at finde gamle oplysninger frem. Velkommen til fagre nye verden til alle dem med de bedste intentioner og desværre også til dem, som kun har ét formål, nemlig at sabotere, ødelægge og misbruge. Dem skal vi bremse, så de ikke kommer i mål med hverken hacking eller misbrug.

Mange husker nok hackerangrebet tilbage i 2013 mod politiets edb-registre – det gav hackere adgang til millioner af danske cpr-numre – det globale hackerangreb på Mærsk, som har kostet virksomheden op mod 2 mia. kr., eller angrebet på det engelske sundhedsvæsen, hvor hackerne forsøgte at kræve løsepenge for at genåbne de låste filer. Ja, listerne er desværre lange. Og ja, vi bliver nødt til at tage bestik af situationen i vores fagre nye verden, så vi alle sammen kan have vores personlige informationer i fred. Vitale tjenester, der er afgørende og væsentlige for opretholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter inden for sundhedssektoren, skal kunne opretholdes. Operatører af væsentlige tjenester skal fremover træffe passende tekniske og organisatoriske foranstaltninger, ligesom operatøren skal underrette den kompetente myndighed, hvis der sker hændelser, der har væsentlige konsekvenser for tjenesten.

Jeg bliver bekymret, når jeg kan læse i avisen, at de praktiserende lægers it-sikkerhed er hullet, at softwaren ikke er opdateret, at backups er mangelfulde, og at de passwords, som bruges på de danske lægeklinikker, er for simple. Et cpr-nummer i de forkerte hænder kan have store konsekvenser for ejeren af cpr-nummeret: identitetstyveri, for nu at nævne ét eksempel, eller afpresning, for nu at nævne et andet eksempel. Vores lægejournal rummer yderst følsomme personoplysninger, og dem har også lægerne en forpligtelse til at passe på. Det handler jo i den grad om tillid til hele vores sundhedsvæsen og ikke blot til den enkelte læge. NIS-direktivet skal være implementeret i dansk lov senest den 10. maj i år, så nu er det om at få strammet bardunerne fra øst til vest, så alle kan melde klar og sikre, at vi er på omgangshøjde med sikkerhedsniveauerne for net- og informationssystemer i hele EU.

Lad mig afslutningsvis slå fast, at vi fra Venstres side er trygge ved, at tilsynsmyndigheden primært ligger hos Sundhedsdatastyrelsen og Datatilsynet. Venstre kan støtte lovforslaget som fremsat, og jeg skal hilse fra den konservative ordfører, som desværre er syg i dag, og sige, at Det Konservative Folkeparti også støtter lovforslaget.

Tak for det. Den næste i rækken er fru Stine Brix, Enhedslisten.

Mine kollegaer har jo allerede redegjort for, at det her lovforslag handler om at implementere et direktiv fra EU, som handler om at sikre et fælles højt sikkerhedsniveau for net- og informationssystemer, som vi har inden for sundhedsvæsenet. Det er selvfølgelig meget vigtigt, at vi gør det, og intentionen er rigtig god.

Det fremgår også, at det i Danmark vil være Forsvarets Efterretningstjeneste i form af Center for Cybersikkerhed, som vil skulle løfte opgaven som den nationale it-beredskabsenhed, hvor man bl.a. skal håndtere indberetninger om nogle af de væsentlige hændelser, der kan komme. Det er det, der er i loven bliver kaldt CSIRT.

Der er flere høringssvar, der tager fat i det, også hvis man kigger på tværs af nogle af de andre områder, for det her direktiv skal jo ikke kun implementeres på sundhedsområdet. Det skal også implementeres på bl.a. transportområdet og på erhvervsområdet, og der kan vi se, at der er nogle af de samme bekymringer, samme høringssvar, som går igen. Det er bl.a. Institut for Menneskerettigheder, som peger på, at det kan være problematisk, fordi Forsvarets Efterretningstjeneste opererer under nogle andre regler end andre offentlige myndigheder. Det handler bl.a. om offentlighedsloven, persondataloven og forvaltningsloven.

Derfor er det vores holdning, at den her opgave med at være det nationale kontaktpunkt i Danmark, når det handler om sikkerheden i de her civile samfundsstrukturer, også bør blive varetaget af en civil myndighed og altså ikke Forsvarets Efterretningstjeneste. Alternativt bør man i hvert fald stille nogle krav, som gør, at de databeskyttelsesregler, der skal være på det her område, skal gælde for de her data.

Så de bekymringer, som bl.a. Institut for Menneskerettigheder rejser, når vi kigger på transportdelen af det her direktiv – og på vores område har vi jo et kritisk høringssvar fra IT-Politisk Forening – er nogle bekymringer, som vi har behov for at få belyst yderligere.

Så selv om vi er positive over for lovforslagets intentioner om at sikre et højt niveau af beskyttelse, vil vi altså spørge mere ind til den her del om Forsvarets Efterretningstjenestes rolle og også til det specifikke, som IT-Politisk Forening skriver, om, at de mener, at der kan være i tvivl om, om man overhovedet lever op til direktivets krav om, at man skal kunne beskytte personfølsomme oplysninger.

Tak til fru Stine Brix. Så er det fru May-Britt Kattrup, Liberal Alliance.

Tak for det. It-sikkerhed er alfa og omega i vores samfund, og det her forslag skal implementere de såkaldte NIS-direktiv i dansk lovgivning på sundhedsområdet. NIS-direktivet skal sikre en høj grad af informationssikkerhed inden for en række forskellige sektorer. På sundhedsområdet har det ekstremt stor betydning, at borgerne kan have tillid til, at deres data er tilstrækkeligt beskyttet. Det kan undergrave tilliden til sundhedssystemet, hvis ikke den digitale infrastruktur er i orden. Forslaget har mindre betydning for sundhedsoperatører, da de i forvejen skal leve op til et højt sikkerhedsniveau.

Liberal Alliance støtter forslaget.

Tak for det. Så er det hr. Anders Stjernholm, Alternativet.

Tak for ordet. Jeg står her som en tarvelig erstatning for Pernille Schnoor.

Sundhedssektoren er i den grad afhængig af et velfungerende og sikkert system, og det gælder bl.a. sygehusene, praksissektoren og den kommunale pleje. Alternativet er derfor positive over for NIS-direktivet, da det vil styrke datasikkerheden i sundhedsvæsenet, men vi er ligesom andre ordførere og partier kritiske over for implementeringen af det.

Grundlæggende er vi kritiske over for regeringens placering af opgaven hos Forsvarets Efterretningstjeneste, da FE er undtaget fra de EU-retlige regler om databeskyttelse, der netop stilles krav til i direktivet. Den danske implementering risikerer altså at gå direkte imod NIS-direktivet. Det synes vi er problematisk og vil spørge nærmere ind til i udvalgsbehandlingen.

Tak for det. Den næste er fru Sofie Carsten Nielsen, Radikale Venstre. Værsgo.

Tak for det. Jeg er her også som erstatning for sundhedsordfører Marlene Borst Hansen.

Det her lovforslag har jo, som rigtig mange ordførere nu har gennemgået, til formål at implementere en del af direktivet for net- og informationssystemer, men den del, der handler om sundhedssektoren.

Vi synes også i Radikale Venstre ligesom flere andre, at det er helt oplagt, at når vores samfund og offentlige institutioner – det gør de jo; det har vi også set eksempler på – bliver mere og mere digitaliseret, så er det også afgørende, at net- og informationssikkerheden følger med. Jeg mener, vi har set eksempler på, at det område i de senere år er blevet et mål for handlinger, som har til formål at forstyrre driften af digitale systemer, og det er jo det, som det her lovforslag skal sætte ind over for ved at højne niveauet af net- og informationssikkerhed i sundhedssektoren. Det er godt, og det kan vi støtte i Radikale Venstre.

Tak for det. Fru Kirsten Normann Andersen, Socialistisk Folkeparti.

Tak for det. Det er allerede blevet sagt indtil flere gange nu, at det her lovforslag skal implementere det såkaldte NIS-direktiv, og at formålet med direktivet er at sikre et højt fælles sikkerhedsniveau for net- og informationssystemer for energi-, transport-, bank-, finans- og altså også for sundhedssektoren, som vi så behandler her.

Med direktivet skal medlemsstaterne udpege en eller flere nationale kompetente myndigheder for sikkerheden i net- og informationssystemer i de pågældende sektorer til at varetage funktionen som tilsynsmyndighed, og her udpeges så Sundhedsdatastyrelsen på sundhedsområdet.

Men derudover skal medlemsstaterne også udpege myndigheder til at varetage funktionen dels som nationalt centralt kontaktpunkt, dels det såkaldte CSIRT til at varetage it-sikkerhedshændelser. I Danmark vil man med implementeringen kun udpege ét kontaktpunkt og én CSIRT, som skal være under Center for Cybersikkerhed, som så skal tage sig af en række funktioner. Det er rigtig fint, at regeringen vil implementere direktivet og vigtigt med et højt sikkerhedsniveau, men til gengæld ret kritisabelt, at man lægger det nationale centrale kontaktpunkt og CSIRT under Center for Cybersikkerhed i Forsvarets Efterretningstjeneste, som er undtaget databeskyttelsesregler og offentlighedslov. Så både IT-Politisk Forening og Institut for Menneskerettigheder er meget kritiske i deres høringssvar.

I SF er vi naturligvis for at implementere direktivet, men ligesom vi har sagt på de andre ressortområder, hvor direktivet også skal implementeres, er vi kritiske over for, at det centrale kontaktpunkt og CSIRT skal ligge under Center for Cybersikkerhed. Vi håber derfor også, at vi i udvalgsbehandlingen kan få en drøftelse af de kritikpunkter, der har været, og som fagfolk med rette har peget på i forbindelse med den danske implementering.

Tak for det. Så er det sundhedsministeren. Værsgo.

Tak for bemærkningerne til lovforslaget. Lovforslaget implementerer jo, som mange af jer har været inde på, dele af Europa-Parlamentets og Rådets direktiv fra den 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Den Europæiske Union. Det, vi behandler i dag, er jo så det, der gælder inden for sundhedssektoren.

Der er jo ingen tvivl om, at NIS-direktivet er en central del af Europa-Kommissionens omfattende cyberpakke, som har det overordnede formål at skabe modstandsdygtighed og afskrækkelse og forsvare det fælleseuropæiske område mod cybertrusler og dermed også øge de europæiske borgeres tillid til digitale løsninger.

I Danmark implementerer vi direktivet sektorvis, og det gør vi i høj grad sådan, at kravene og de dele, der implementeres, også forholder sig til den sektor, som vi taler om – i det her tilfælde sundhedsområdet, som jo alt andet lige er anderledes end transportområdet og nogle af de andre områder, der også sektorvis implementerer direktivet.

Det at være modstandsdygtig over for cybertrusler er i høj grad aktuelt, også i sundhedssektoren. Øget afhængighed af digitale løsninger giver også en øget sårbarhed over for hændelser, der kan betyde, at sundhedsvæsenet ikke kan opretholde det nødvendige funktionsniveau. Ser vi bare lige over Nordsøen til Storbritannien, oplevede de sidste år, hvordan et hackerangreb lagde sundhedsvæsenet ned. Konsekvensen var, at aftaler forsvandt og behandlinger måtte udskydes, og mange bekymrede sig om, hvorvidt deres sundhedsdata var blevet kompromitteret, om de var blevet stjålet, og hvis hænder de var faldet i. Senere på året, sidste år, var Mærsk udsat for et verdensomspændende hackerangreb, som også havde meget alvorlige konsekvenser i form af nedlukning i flere dage og et meget stort økonomisk tab for virksomheden. Så når vi kigger på det, er det her bestemt ikke et område, vi kan tage let på. Sundhedssektoren kræver, at vi også har et øget fokus på sikkerhed i vores digitale systemer.

Sidste år stod et enigt Folketing bag at vedtage syv principper for brug af sundhedsdata. De første af de principper handler i høj grad om datasikkerhed. Jeg synes sådan set, det er værd at fremhæve i dag, for jeg ser jo også NIS-direktivet og implementeringen i den danske lovgivning som et af de mange skridt og vigtige skridt, vi skal tage, for at beskytte danskernes helbredsoplysninger og også for at sikre et mere velfungerende sundhedsvæsen. Senest har vi med finansloven sammen med Dansk Folkeparti løftet cyber- og informationssikkerheden i sundhedssektoren økonomisk, og det er også vigtigt for at sikre implementeringen, at vi ikke bare har de lovgivningsmæssige rammer, men også konkret sikrer, at det bliver ført ud i livet.

Det her lovforslag har fokus på, hvordan vi i Danmark kan opretholde et stærkt og funktionelt sundhedsvæsen, hvor sikkerhedshændelser ikke får lov til at få en forstyrrende virkning på patientbehandlingen. Vi skal også med lovforslaget sikre de digitale tjenester, der er væsentlige i sundhedsvæsenet. Det indebærer jo også, jævnfør lovforslaget, at de operatører, som leverer tjenester, og som er væsentlige for at opretholde behandling og pleje i sundhedsvæsenet via et net- og informationssystem, vil skulle arbejde risikobaseret og også arbejde mere med deres sikkerhedshåndtering. Konkret betyder det, at de skal træffe passende sikkerhedsforanstaltninger, som står mål med risikoen. Derfor er der jo også en diskussion om, hvad økonomien er i det her.

Lovforslaget medfører desuden, at operatørerne hurtigst muligt skal underrette Sundhedsdatastyrelsen og Center for Cybersikkerhed, når en sikkerhedshændelse er erkendt. På den måde får Sundhedsdatastyrelsen mulighed for at indsamle viden om de hændelser, der sker i sundhedsvæsenet, og Center for Cybersikkerhed får mulighed for at reagere og om muligt forhindre, at hændelsen spreder sig til andre lande og internt i landet.

Med lovforslaget etableres der derudover et statsligt tilsyn, som vil blive delegeret til Sundhedsdatastyrelsen. Sundhedsdatastyrelsen er efter vores opfattelse den institution på sundhedsområdet, som allerede i dag varetager roller vedrørende informationssikkerhed og har kompetencer på området. Det er derfor også det naturlige sted at placere tilsynet. Tilsynet vil også skulle sikre, at operatørerne overholder et sikkerhedsniveau, der står mål med risikoen.

Det her tilsyn med operatører og underretningspligten i forbindelse med sikkerhedstrusler og sikkerhedshændelser, hvor underretninger også vil skulle gå til både Sundhedsdatastyrelsen, men også til Center for Cybersikkerhed, skal jo i høj grad være med til, at vi bliver bedre til at beskytte os mod hændelser og cyberangreb, men det skal også være med til at sikre, at vi, hvis der sker kompromitterende angreb mod personfølsomme personoplysninger, f.eks. borgernes helbredsoplysninger, også får en viden om det, hvad enten det er små eller store angreb.

Jeg forventer og håber, at loven vil bidrage til, at vi kan opretholde et robust og sikkert sundhedsvæsen, hvor driften kan opretholdes, og hvor borgerne også har tillid til de digitale løsninger, som vi har i sundhedsvæsenet, for vi kommer til at se mange flere af dem. Så jeg ser frem til udvalgsbehandlingen og svarer naturligvis på de spørgsmål, som udvalget måtte have undervejs.

Tak til ministeren.

Der er ikke nogen kommentarer, og så er forhandlingen sluttet.

Jeg foreslår, at lovforslaget henvises til Sundheds- og Ældreudvalget. Hvis ingen gør indsigelse, betragter jeg dette som vedtaget.

Det er vedtaget.