L 144 - 2017-18 - Bilag 13: Betænkning afgivet 24/4-18

Erhvervs-, Vækst- og Eksportudvalget 2017-18
L 144 Bilag 13
Offentligt

Til lovforslag nr.

L 144

Folketinget 2017-18

Betænkning afgivet af Erhvervs-, Vækst- og Eksportudvalget den 24. april 2018

Betænkning

over

Forslag til lov om net- og informationssikkerhed for domænenavnssystemer og

visse digitale tjenester

[af erhvervsministeren (Brian Mikkelsen)]

1. Udvalgsarbejdet

Lovforslaget blev fremsat den 7. februar 2018 og var til

1. behandling den 1. marts 2018. Lovforslaget blev efter 1.

behandling henvist til behandling i Erhvervs-, Vækst- og

Eksportudvalget.

Møder

Udvalget har behandlet lovforslaget i 2 møder.

Sammenhæng med andre lovforslag

Lovforslaget skal ses i sammenhæng med L 155, Forslag

til lov om ændring af lov om Center for Cybersikkerhed, og

L 139, Forslag til lov om sikkerhed i net- og informationssy-

stemer for operatører af væsentlige internetudvekslings-

punkter m.v., som er behandlet i Forsvarsudvalget, L 135,

Forslag til lov om sikkerhed i net- og informationssystemer i

transportsektoren, som er behandlet i Transport-, Bygnings-

og Boligudvalget, og L 143, Forslag til lov om krav til sik-

kerhed for net- og informationssystemer inden for sundheds-

sektoren, som er behandlet i Sundheds- og Ældreudvalget.

Høring

Et udkast til lovforslaget har inden fremsættelsen været

sendt i høring, og erhvervsministeren sendte den 1. novem-

ber 2017 dette udkast til udvalget, jf. ERU alm. del – bilag

32. Den 7. februar 2018 sendte erhvervsministeren de ind-

komne høringssvar og et notat herom til udvalget.

Teknisk gennemgang

Udvalget fik den 14. marts 2018 en teknisk gennemgang

af Center for Cybersikkerheds rolle i implementeringen af

NIS-direktivet ved forsvarministeren og embedsmænd.

Spørgsmål

Udvalget har stillet 10 spørgsmål til erhvervsministeren

til skriftlig besvarelse, som denne har besvaret.

1 af udvalgets spørgsmål til erhvervsministeren og den-

nes svar herpå er optrykt som bilag 2 til betænkningen.

2. Indstillinger og politiske bemærkninger

flertal

i udvalget (S, DF, V, LA, RV og KF) indstiller

lovforslaget til

vedtagelse uændret.

Radikale Venstres medlem af udvalget udtaler, at Radi-

kale Venstre havde ønsket, at Center for Cybersikkerhed var

blevet placeret som en civil myndighed under Forsvarets Ef-

terretningstjeneste, hvorved der bl.a. havde været en bedre

mulighed for aktindsigt, men desuagtet stemmer for lovfor-

slaget, der har til formål at implementere et vigtigt direktiv

fra EU til sikring af oplysninger også på erhvervsområdet.

mindretal

i udvalget (EL, SF og ALT) vil stemme

hverken for eller imod lovforslaget ved 3. behandling.

Mindretallet bemærker, at det er vigtigt, at vi styrker be-

skyttelsen af vores vitale infrastruktur mod cyberangreb, og

etablering af nationale kontaktpunkter er derfor et fornuftig

tiltag. Imidlertid er mindretallet bekymret over, at CSIRT’en

og det nationale kontaktpunkt, som skal oprettes i medfør af

NIS-direktivet, placeres under Center for Cybersikkerhed

under Forsvarets Efterretningstjeneste og dermed ikke om-

fattes af relevante love for bl.a. persondatabeskyttelse.

Mindretallet mener, at Center for Cybersikkerheds aktivi-

teter i medfør af NIS-direktivet bør omfattes af databeskyt-

telsesloven og databeskyttelsesforordningen. Det fremgår

også tydeligt af NIS direktivet, at det er hensigten. Og derfor

har mindretallet stillet et ændringsforslag til L155, der skal

sikre dette.

Inuit Ataqatigiit, Tjóðveldi og Javnaðarflokkurin var på

tidspunktet for betænkningens afgivelse ikke repræsenteret

med medlemmer i udvalget og havde dermed ikke adgang til

at komme med indstillinger eller politiske udtalelser i be-

tænkningen.

En oversigt over Folketingets sammensætning er optrykt

i betænkningen.

AX021384

L 144 - 2017-18 - Bilag 13: Betænkning afgivet 24/4-18

Hans Kristian Skibby (DF) Mette Hjermind Dencker (DF) Jan Rytkjær Callesen (DF) Per Nørhave (DF) Tilde Bork (DF)

Dorthe Ullemose (DF) Torsten Schack Pedersen (V) Preben Bang Henriksen (V) Eva Kjer Hansen (V)

Hans Christian Schmidt (V) Erling Bonnesen (V) Jane Heitmann (V) Villum Christensen (LA) Joachim B. Olsen (LA)

nfmd.

Anders Johansson (KF) Erik Christensen (S) Karin Gaardsted (S) Peter Hummelgaard Thomsen (S) Kaare Dybvad (S)

Morten Bødskov (S)

fmd.

Kasper Roug (S) Thomas Jensen (S) Henrik Sass Larsen (S) Pelle Dragsted (EL)

Henning Hyllested (EL) René Gade (ALT) Ida Auken (RV) Lisbeth Bech Poulsen (SF) Karsten Hønge (SF)

Inuit Ataqatigiit, Tjóðveldi og Javnaðarflokkurin havde ikke medlemmer i udvalget.

Socialdemokratiet (S)

Dansk Folkeparti (DF)

Venstre, Danmarks Liberale Parti (V)

Enhedslisten (EL)

Liberal Alliance (LA)

Alternativet (ALT)

Radikale Venstre (RV)

Socialistisk Folkeparti (SF)

Det Konservative Folkeparti (KF)

Inuit Ataqatigiit (IA)

Tjóðveldi (T)

Javnaðarflokkurin (JF)

Uden for folketingsgrupperne (UFG)

L 144 - 2017-18 - Bilag 13: Betænkning afgivet 24/4-18

Bilag 1

Oversigt over bilag vedrørende L 144

Bilagsnr.

Titel

Høringssvar og høringsnotat, fra erhvervsministeren

Bilag tilbagetaget

Fastsat tidsplan for udvalgets behandling af lovforslaget

Notat i forlængelse af den tekniske gennemgang af Center for Cyber-

sikkerheds rolle i forbindelse med implementering af NIS-direktivet,

fra forsvarsministeren

Kopi af L 135 – svar på spm. 8 om, hvilke konkrete oplysninger det

forventes at ministeren og Center for Cybersikkerhed vil kunne eller

skulle udveksle med andre myndigheder både nationalt og i EU, fra

transport-, bygnings- og boligministeren og forsvarsministeren

Kopi af L 135 – svar på spm. 9 om, hvordan de andre EU-lande har

valgt at organisere gennemførelsen af NIS-direktivet, fra forsvarsmini-

steren, kopi til transport-, bygnings- og boligministeren

Præsentation fra den tekniske gennemgang om Center for Cybersik-

kerheds rolle i forbindelse med implementering af NIS-direktivet den

18/4-18, fra forsvarsministeren

Udkast til betænkning

Kopi af L 139 – svar på spm. 2 om, hvilke overvejelser regeringen har

gjort sig, med hensyn til hvem der skal have det overordnede myndig-

hedsansvar for cybersikkerhed i Danmark, fra forsvarsministeren

Kop af L 139 – svar på spørgsmål 3, om ministeren har overvejet at

udskille Center for Cybersikkerhed fra Forsvarets Efterretningstjene-

ste, således at centeret blev en selvstændig civil myndighed med an-

svar for den nationale it-sikkerhed, og underlagt offentlighedsloven,

persondataloven og forvaltningsloven, fra forsvarsministeren

Meddelelse om udskydelse af betænkningsafgivelse

2. udkast til betænkning

Oversigt over spørgsmål og svar vedrørende L 144

Spm.nr.

Titel

Spm. om, hvilke forskelle der gør sig gældende i forhold til regler om

databeskyttelse, politisk kontrol, tilsyn, åbenhed og udveksling af op-

lysninger m.v., at Center for Cybersikkerhed placeres under Forsva-

rets Efterretningstjeneste, i forhold til hvis centret blev etableret som

en civil myndighed, til erhvervsministeren, og ministerens svar herpå

Spm. om, hvordan implementeringen af NIS-direktivet harmonerer

med databeskyttelsesdirektivet, til erhvervsministeren, og ministerens

svar herpå

Spm. om, på hvilke områder det har betydning for borgerne, at Center

for Cybersikkerhed placeres under Forsvarets Efterretningstjeneste,

L 144 - 2017-18 - Bilag 13: Betænkning afgivet 24/4-18

fremfor at centret etableres som en civil myndighed, til erhvervsmini-

steren, og ministerens svar herpå

Spm. om, på hvilke områder det har betydning for virksomheder, at

Center for Cybersikkerhed placeres under Forsvarets Efterretningstje-

neste, fremfor at centret etableres som en civil myndighed, til er-

hvervsministeren, og ministerens svar herpå

Spm., om ministeren vil tilsende udvalget en skematisk oversigt over

samtlige bemyndigelsesbestemmelser i lovforslaget med oplysninger

om, hvordan og med hvilket indhold de enkelte bemyndigelser vil bli-

ve udmøntet, til erhvervsministeren, og ministerens svar herpå

Spm., om ministeren vil oplyse, hvilke operatører der i henhold til lov-

forslaget anses for at være »operatører af væsentlige tjenester«, til er-

hvervsministeren, og ministerens svar herpå

Spm., om ministeren vil oplyse, hvilke udbydere der i henhold til lov-

forslaget anses for at være »større udbydere af digitale tjenester«, til

erhvervsministeren, og ministerens svar herpå

Spm., om ministeren vil uddybe, hvilke typer hændelser operatører og

udbydere skal indberette, herunder angive en række eksempler, til er-

hvervsministeren, og ministerens svar herpå

Spm. om, hvilke data operatører henholdsvis udbydere skal indberette

i tilfælde af en såkaldt hændelse, til erhvervsministeren, og ministe-

rens svar herpå

Spm., om ministeren vil uddybe, hvad der forstås ved »passende sik-

kerhedsforanstaltninger«, jf. at operatører og udbydere skal træffe

»passende sikkerhedsforanstaltninger« på baggrund af en vurdering af

de konkrete risici, til erhvervsministeren, og ministerens svar herpå

L 144 - 2017-18 - Bilag 13: Betænkning afgivet 24/4-18

Bilag 2

Et af udvalgets spørgsmål til erhvervsministeren og dennes svar herpå

Spørgsmål og svar er optrykt efter ønske fra udvalget.

Spørgsmål:

Ministeren bedes tilsende udvalget en skematisk oversigt over samtlige bemyndigelsesbestemmelser i

lovforslaget med oplysninger om, hvordan og med hvilket indhold de enkelte bemyndigelser vil blive ud-

møntet.

Svar:

Nedenstående skema indeholder en oversigt over bemyndigelsesbestemmelser i lovforslaget.

Bestemmelse

§ 3, stk. 2

Myndighed Indhold

Erhvervsmini- Erhvervsministeren udarbejder og opdaterer

steren

en liste over væsentlige tjenester. Denne liste

er vedlagt udkast til bekendtgørelse om sik-

kerhed i net- og informationssystemer for

operatører af væsentlige tjenester på domæ-

nenavnsområdet som bilag 1. Udkastet til

bekendtgørelsen er sendt i offentlig høring.

Listen over væsentlige tjenester på topdo-

mænenavnsområdet består af domænenavne-

servertjenesten. På DNS-området er den væ-

sentlige tjeneste DNS-tjenesten.

Erhvervsmini- Erhvervsministeren kan fastsætte nærmere

steren

regler for afgrænsningen af kriterierne for,

hvem der betragtes som operatør af en væ-

sentlig tjeneste.

Afgrænsningen af disse kriterier fremgår af

§ 1 i udkast til bekendtgørelse om sikkerhed

i net- og informationssystemer for operatører

af væsentlige tjenester på domænenavnsom-

rådet, som er sendt i offentlig høring. Det

fremgår heraf, at:

a) En topdomænenavnsadministrator anses

for at være en operatør af væsentlige tjene-

ster, hvis administratoren og dennes koncer-

nforbundne selskaber har mere end 500.000

andenordens internetdomænenavne registre-

ret under topdomænenavnet.

§ 3, stk. 3

L 144 - 2017-18 - Bilag 13: Betænkning afgivet 24/4-18

b) En DNS-tjenesteudbyder anses for at væ-

re en operatør af væsentlige tjenester, hvis

udbyderen og dennes koncernforbundne sel-

skaber har

1) rekursive navneservere som mere end

100.000 brugere anvender, eller

2) autoritative navneservere, som har mere

end 100.000 andenordens internetdomæne-

navne tilsluttet.

§ 4, stk. 3

Erhvervsmini- Erhvervsministeren kan fastsætte nærmere

steren

regler om tekniske og organisatoriske foran-

staltninger for at styre risiciene for sikkerhe-

den i net- og informationssystemer, samt for-

anstaltninger for at forebygge og minimere

konsekvensen af hændelser.

Disse regler er udmøntet i udkast til bekendt-

gørelse om sikkerhed i net- og informations-

systemer for operatører af væsentlige tjene-

ster på domænenavnsområdet, som er sendt i

offentlig høring.

Af udkastet fremgår bl.a., at operatørerne

skal gennemføre en risikovurdering og på

den baggrund træffe passende foranstaltnin-

ger for tab af tilgængelighed, autenticitet, in-

tegritet og fortrolighed. Endvidere at der skal

udarbejdes og gennemføres en ledelsesgod-

kendt net- og sikkerhedspolitik med ud-

gangspunkt i en anerkendt international stan-

dard. Sikkerhedspolitikken skal kommunike-

res til alle relevante medarbejdere, og sikker-

hedspolitikken skal løbende tilpasses, bl.a.

ved væsentlige ændringer af operatørens

virksomhed og i trusselsbilledet. Operatøren

skal etablere en sikkerhedsorganisation til

varetagelse af sikkerhedsopgaven, hvor rol-

ler og ansvar er fastlagt. Endelig skal opera-

tøren foretage risikostyring, fx med ud-

gangspunkt i en anerkendt international stan-

dard.

§ 5, stk. 4

Erhvervsmini- Erhvervsministeren fastsætter nærmere reg-

steren

ler over for operatører af væsentlige tjenester

L 144 - 2017-18 - Bilag 13: Betænkning afgivet 24/4-18

om underretning af hændelser og om kriteri-

erne for fastlæggelse af omfanget af en hæn-

delses konsekvenser.

I udkastet til bekendtgørelse om sikkerhed i

net- og informationssystemer for operatører

af væsentlige tjenester på domænenavnsom-

rådet er der fastsat bestemmelse om indbe-

retning af hændelser via virk.dk, ligesom

kriterier for, hvornår hændelser skal indbe-

rettes, fremgår. Disse kriterier er:

»1) at domænenavneservertjenesten har en

oppetid på mindre end 100 % eller

2) at en rekursiv server i DNS-tjenesten ikke

har været tilgængelig i over 6 timer eller i

over 2.000.000 brugertimer, idet udtrykket

»brugertime« henviser til antallet af berørte

brugere i en periode på 60 minutter eller

3) at en autoritativ navneserve i DNS-tjene-

sten ikke har været tilgængelig i over 6 timer

eller,

4) tab af integritet, autenticitet eller fortrolig-

hed i forbindelse med lagrede, overførte eller

behandlede data i forbindelse med domæne-

navneservertjenesten eller DNS-tjenesten,

som berører mere end 10.000 brugere.«

§ 8, stk. 3

Erhvervssty- Erhvervsstyrelsen kan fastsætte nærmere

relsen

regler over for udbydere af digitale tjenester

om tekniske og organisatoriske foranstalt-

ninger for at styre risiciene for sikkerheden i

net- og informationssystemer, samt foran-

staltninger for at forebygge og minimere

konsekvensen af hændelser. Der vil her ale-

ne ske en henvisning til de regler, som er

fastlagt i Kommissionens gennemførelses-

forordning 2018/151/EU af 30. januar 2018

over for udbydere af digitale tjenester.

Erhvervssty- Erhvervsstyrelsen kan fastsætte nærmere

relsen

regler over for udbydere af digitale tjenester

om underretning og om kriterierne for fast-

§ 9, stk. 4

L 144 - 2017-18 - Bilag 13: Betænkning afgivet 24/4-18

læggelse af omfanget af en hændelses konse-

kvenser.

I udkastet til bekendtgørelse om net- og in-

formationssikkerhed for visse digitale tjene-

ster, som er sendt i offentlig høring, er der

fastsat bestemmelse om indberetning af hæn-

delser via virk.dk. Med hensyn til kriterier

for, hvornår hændelser skal indberettes, hen-

viser der i bekendtgørelsen til Kommissio-

nens gennemførelsesforordning

2018/151/EU af 30. januar 2018, hvor krite-

rierne er fastlagt.

§ 19, nr. 2

Finanstilsynet I medfør af § 19, nr. 2, i lovforslaget foreslås

det at indsætte et nyt 2. pkt. i § 71, stk. 2, i

lov om finansiel virksomhed. Med bestem-

melsen bemyndiges Finanstilsynet til at fast-

sætte nærmere regler om hændelsesrapporte-

ring for de finansielle virksomheder, der ud-

peges som operatører af væsentlige tjenester,

herunder kan Finanstilsynet fastsætte nær-

mere regler om, at Finanstilsynet og Center

for Cybersikkerhed underrettes ved en hæn-

delse, der har en negativ indvirkning på sik-

kerheden i virksomhedens net- og informati-

onssystemer.

Bemyndigelsen til at fastsætte nærmere reg-

ler om hændelsesrapportering, vil blive ud-

møntet ved udkast til bekendtgørelse om æn-

dring af bekendtgørelse om ledelse og sty-

ring af pengeinstitutter m. fl., som blev sendt

i offentlig høring den 28. februar 2018 med

høringsfrist den 28. marts 2018.

§ 19, nr. 3

Finanstilsynet I medfør af § 19, nr. 3, i lovforslaget foreslås

det at indsætte en ny § 307 a, i lov om finan-

siel virksomhed, hvoraf det følger, at Finans-

tilsynet udpeger de finansielle virksomheder,

som er operatører af væsentlige tjenester

mindst hvert andet år.

Det følger endvidere af bestemmelsen, at Fi-

nanstilsynet i den forbindelse skal lægge

vægt på, at:

L 144 - 2017-18 - Bilag 13: Betænkning afgivet 24/4-18

de tjenester, der leveres, er væsentlige for

opretholdelsen af kritiske samfundsmæssige

eller økonomiske aktiviteter,

leveringen af tjenesten afhænger af net- og

informationssystemer, og

en hændelse vil få væsentlige forstyrrende

virkninger for leveringen af tjenesten.

Det følger endelig af forslaget til § 307 a,

stk. 3, at Finanstilsynet kan fastsætte nærme-

re regler om udpegning af operatører af væ-

sentlige tjenester og de kriterier Finanstilsy-

net kan lægge vægt på ved udpegningen.

Finanstilsynet vil dermed kunne fastsætte

nærmere regler for udpegningen efter stk. 1.

Finanstilsynet kan herunder nærmere fast-

sætte hvilke kriterier, der skal være opfyldt,

for at et penge- eller realkreditinstitut udpe-

ges som en operatør af væsentlige tjenester.

§ 20, nr. 2

Finanstilsynet I medfør af § 20, nr. 2, i lovforslaget foreslås

det at indsætte en ny § 58 a i lov om kapital-

markeder. I medfør af den foreslåede § 58 a,

stk. 3, bemyndiges Finanstilsynet til at fast-

sætte nærmere regler om udpegning af ope-

ratører af væsentlige tjenester og de kriterier,

som Finanstilsynet kan lægge vægt på i for-

bindelse med udpegningen.

Finanstilsynet bemyndiges endvidere til at

fastsætte nærmere regler om hændelsesrap-

portering for operatører af markedspladser

og centrale modparter (CCPere), der udpe-

ges som operatører af væsentlige tjenester,

herunder kan Finanstilsynet fastsætte nær-

mere regler om, at Finanstilsynet og Center

for Cybersikkerhed underrettes ved en hæn-

delse, der har en negativ indvirkning på sik-

kerheden i virksomhedens net- og informati-

onssystemer.

L 144 - 2017-18 - Bilag 13: Betænkning afgivet 24/4-18

Bemyndigelsen til at fastsætte nærmere reg-

ler om hændelsesrapporteringen, vil blive

udmøntet ved udkast til bekendtgørelse om

hændelsesrapportering for operatører af væ-

sentlige tjenester, som blev sendt i offentlig

høring den 28. februar 2018 med høringsfrist

den 28. marts 2018.