L 135 Forslag til lov om sikkerhed i net- og informationssystemer i transportsektoren.

Af: Transport-, bygnings- og boligminister Ole Birk Olesen (LA)
Udvalg: Transport-, Bygnings- og Boligudvalget
Samling: 2017-18
Status: Stadfæstet

Betænkning

Afgivet: 24-04-2018

Afgivet: 24-04-2018

Betænkning afgivet af Transport-, Bygnings- og Boligudvalget den 24. april 2018

20171_l135_betaenkning.pdf
Html-version

Betænkning afgivet af Transport-, Bygnings- og Boligudvalget den 24. april 2018

1. Ændringsforslag

Transport-, bygnings- og boligministeren har stillet 2 ændringsforslag til lovforslaget.

2. Udvalgsarbejdet

Lovforslaget blev fremsat den 7. februar 2018 og var til 1. behandling den 20. februar 2018. Lovforslaget blev efter 1. behandling henvist til behandling i Transport-, Bygnings- og Boligudvalget.

Møder

Udvalget har behandlet lovforslaget i 4 møder.

Sammenhæng med andre lovforslag

Lovforslaget skal ses i sammenhæng med lovforslag nr. 139 (Lov om sikkerhed i net- og informationssystemer for operatører af væsentlige internetudvekslingspunkter m.v.) og lovforslag nr. 155 (Konsekvensændringer som følge af databeskyttelsesforordningen og databeskyttelsesloven), som begge er behandlet i Forsvarsudvalget, lovforslag nr. 143 (Lov om krav til sikkerhed for net- og informationssystemer inden for sundhedssektoren), som er behandlet i Sundheds- og Ældreudvalget, og L 144 (Lov om net- og informationssikkerhed for domænenavnssystemer og visse digitale tjenester), som er behandlet i Erhvervs-, Vækst- og Eksportudvalget.

Høring

Et udkast til lovforslaget har inden fremsættelsen været sendt i høring. Den 9. februar 2018 sendte transport-, bygnings- og boligministeren de indkomne høringssvar og et notat herom til udvalget.

Teknisk gennemgang

Forsvarsministeren afholdt den 14. marts 2018 en teknisk gennemgang af Center for Cybersikkerheds rolle i forbindelse med implementering af NIS-direktivet. Transport-, bygnings- og boligministeren afholdt den 15. marts 2018 en teknisk gennemgang af lovforslaget, for så vidt angår ministerens ressortområde vedrørende implementeringen af NIS-direktivet.

Spørgsmål

Udvalget har stillet 12 spørgsmål til transport-, bygnings- og boligministeren og forsvarsministeren til skriftlig besvarelse, som disse har besvaret.

Fem af udvalgets spørgsmål til transport-, bygnings- og boligministeren og forsvarsministeren og disses svar herpå er optrykt som bilag 2 til betænkningen.

3. Indstillinger og politiske bemærkninger

Et flertal i udvalget (S, DF, V, LA, RV og KF) indstiller lovforslaget til vedtagelse med de stillede ændringsforslag.

Socialdemokratiets medlemmer af udvalget er stærkt optaget af at sikre så meget beskyttelse af og sikkerhed for vores vitale it-infrastruktur. Danmark skal selvsagt gardere sig så meget som muligt imod cyberangreb, spionage, manipulation og terror m.v. Etablering af nationale kontaktpunkter er derfor et fornuftigt og nødvendigt tiltag.

Socialdemokratiet er imidlertid betænkelige ved, at den nye indsats kan komme til at skade persondatabeskyttelsen, ligesom Socialdemokratiet i udvalgsbehandlingen har ytret betænkelighed ved, at ordningen kan blive særdeles bekostelig og bureaukratisk for de berørte enheder, der skal underlægges de nye og måske temmelig dyre krav.

Socialdemokratiet ønsker derfor de stillede spørgsmål og svar vedrørende disse emner optrykt i betænkningen. Socialdemokratiet ønsker at følge lovens implementering og udmøntning af loven særdeles tæt. Socialdemokratiet opfordrer Transport-, Bygnings- og Boligministeriet til løbende at orientere Transport-, Bygnings- og Boligudvalget om udviklingen på området - navnlig med henblik på de nævnte problemstillinger. Udvalget bør orienteres løbende, så processen følges tæt.

Dansk Folkepartis medlemmer af udvalget støtter naturligvis intentionerne med bedre sikkerhed i net- og informationssystemer i transportsektoren, men er betænkelige ved, at udvalget ikke kan få oplyst omfanget af den organisation, der skal varetage dette, og hvordan der skal differentieres mellem operatører af væsentlige og ikkevæsentlige transporttjenester, og altså hvem der bliver omfattet.

Et mindretal i udvalget (EL, SF og ALT) vil stemme hverken for eller imod lovforslaget ved 3. behandling. Mindretallet vil stemme for de stillede ændringsforslag.

Enhedslistens, Socialistisk Folkepartis og Alternativets medlemmer af udvalget bemærker, at det er vigtigt, at vi styrker beskyttelsen af vores vitale infrastruktur mod cyberangreb, og etablering af nationale kontaktpunkter er derfor et fornuftigt tiltag. Imidlertid er mindretallet bekymrede over, at CSIRT'en og det nationale kontaktpunkt, som skal oprettes i medfør af NIS-direktivet, placeres under Center for Cybersikkerhed under Forsvarets Efterretningstjeneste og dermed ikke omfattes af relevante love for bl.a. persondatabeskyttelse.

Mindretallet mener, at Center for Cybersikkerheds aktiviteter i medfør af NIS-direktivet bør omfattes af databeskyttelsesloven og databeskyttelsesforordningen. Det fremgår også tydeligt af NIS-direktivet, at det er hensigten. Og derfor har mindretallet således stillet et ændringsforslag til lovforslag nr. L 155, der skal sikre dette.

Inuit Ataqatigiit, Tjóðveldi og Javnaðarflokkurin var på tidspunktet for betænkningens afgivelse ikke repræsenteret med medlemmer i udvalget og havde dermed ikke adgang til at komme med indstillinger eller politiske udtalelser i betænkningen.

En oversigt over Folketingets sammensætning er optrykt i betænkningen.

4. Ændringsforslag med bemærkninger

Ændringsforslag

Til § 13

Af transport-, bygnings- og boligministeren, tiltrådt af udvalget:

1) I stk. 1 ændres »den, der« til: »den operatør, der«.

[Præcisering]

2) I stk. 1, nr. 1, ændres »som de leverer« til: »som operatøren leverer«.

[Præcisering]

Bemærkninger

Til nr. 1

Der er tale om en sproglig præcisering, således at det tydeliggøres, at det er operatøren, der kan straffes.

Til nr. 2

Der er tale om en sproglig præcisering, således at det tydeliggøres, at det er operatøren, der leverer de væsentlige transporttjenester.

Kim Christiansen (DF) nfmd. Per Nørhave (DF) Claus Kvist Hansen (DF) Mette Hjermind Dencker (DF) Jan Erik Messmann (DF) Henrik Brodersen (DF) Kristian Pihl Lorentzen (V) Hans Andersen (V) Hans Christian Schmidt (V) Jane Heitmann (V) Louise Schack Elholm (V) Britt Bager (V) May-Britt Kattrup (LA) Villum Christensen (LA) Rasmus Jarlov (KF) Christian Rabjerg Madsen (S) Erik Christensen (S) Kaare Dybvad (S) Lennart Damsbo-Andersen (S) fmd. Magnus Heunicke (S) Rasmus Prehn (S) Mette Reissmann (S) Daniel Toft Jakobsen (S) Henning Hyllested (EL) Søren Egge Rasmussen (EL) Roger Courage Matthisen (ALT) Andreas Steenberg (RV) Karsten Hønge (SF) Kirsten Normann Andersen (SF)

Inuit Ataqatigiit, Tjóðveldi og Javnaðarflokkurin havde ikke medlemmer i udvalget.

Socialdemokratiet (S)46
Dansk Folkeparti (DF)37
Venstre, Danmarks Liberale Parti (V)34
Enhedslisten (EL)14
Liberal Alliance (LA)13
Alternativet (ALT)10
Radikale Venstre (RV)? 8
Socialistisk Folkeparti (SF)7
Det Konservative Folkeparti (KF)6
Inuit Ataqatigiit (IA)1
Tjóðveldi (T)1
Javnaðarflokkurin (JF)1
Uden for folketingsgrupperne (UFG)1

Bilag 1

Oversigt over bilag vedrørende L 135

Bilagsnr.
Titel
1
Høringssvar og høringsnotat, fra transport-, bygnings- og boligministeren
2
Udkast til tidsplan for udvalgets behandling af lovforslaget
3
Tidsplan for udvalgets behandling af lovforslaget
4
Notat i forlængelse af den tekniske gennemgang af Center for Cybersikkerheds rolle i forbindelse med implementering af NIS-direktivet, fra forsvarsministeren
5
Revideret tidsplan for udvalgets behandling af lovforslaget
6
Trafik-, Bygge- og Boligstyrelsens præsentation fra den tekniske gennemgang den 15/3-18
7
Ændringsforslag fra transport-, bygnings- og boligministeren
8
Præsentation fra den tekniske gennemgang af Center for Cybersikkerheds rolle i forbindelse med implementering af NIS-direktivet, fra forsvarsministeren
9
Udkast til betænkning
10
Revideret tidsplan for udvalgets behandling af lovforslaget


Oversigt over spørgsmål og svar vedrørende L 135

Spm.nr.
Titel
1
Spm. om, hvorfor der med lovforslaget lægges op til, at hændelser kan deles/offentliggøres, hvis særlige omstændigheder er til stede, i stedet for at gøre det til en pligt at dele/offentliggøre hændelser, medmindre særlige omstændigheder er til stede, til transport-, bygnings- og boligministeren, og ministerens svar herpå
2
Spm., om Center for Cybersikkerhed i Forsvarets Efterretningstjeneste, når det løser opgaver i regi af lovforslaget som nationalt centralt kontaktpunkt og CSIRT, er omfattet af eller undtaget fra forslaget om en ny databeskyttelseslov (L 68), persondataforordningen, offentlighedsloven og forvaltningsloven, til transport-, bygnings- og boligministeren og forsvarsministeren, og ministrenes svar herpå
3
Spm., om Center for Cybersikkerhed i regi af lovforslaget skal forstås som en forvaltningsmyndighed, jf. forvaltningsloven, til transport-, bygnings- og boligministeren og forsvarsministeren, og ministrenes svar herpå
4
Spm. om, hvorledes beskyttelsen af personoplysninger i gennemførelsen af NIS-direktivet kan leve op til kravet i direktivets artikel 2 samt artikel 8 i EU's charter for grundlæggende rettigheder, til transport-, bygnings- og boligministeren og forsvarsministeren, og ministrenes svar herpå
5
Spm. om ministerens kommentar til høringssvaret fra Institut for Menneskerettigheder, til transport-, bygnings- og boligministeren og forsvarsministeren, og ministrenes svar herpå
6
Spm. om, hvilke data det forventes at operatører af væsentlige transporttjenester vil skulle indberette til ministeren og Center for Cybersikkerhed i tilfælde af en såkaldt hændelse, til transport-, bygnings- og boligministeren og forsvarsministeren, og ministrenes svar herpå
7
Spm., om ministeren kan be- eller afkræfte, om der vil være en chance for, at personoplysninger fra eksempelvis rejsekort m.v. vil kunne komme til at indgå i de indberettede oplysninger fra operatører af væsentlige transporttjenester til ministeren og Center for Cybersikkerhed, til transport-, bygnings- og boligministeren og forsvarsministeren, og ministrenes svar herpå
8
Spm. om, hvilke konkrete oplysninger det forventes at ministeren og Center for Cybersikkerhed vil kunne eller skulle udveksle med andre myndigheder både nationalt og i EU, til transport-, bygnings- og boligministeren og forsvarsministeren, og ministerenes svar herpå
9
Spm. om, hvordan de andre EU-lande har valgt at organisere gennemførelsen af NIS-direktivet, til forsvarsministeren, kopi til transport-, bygnings- og boligministeren, og ministerens svar herpå
10
Spm., om ministeren vil uddybe baggrunden for vurderingen af, at lovforslaget kun vil få mindre økonomiske og administrative konsekvenser for de berørte offentlige og private operatører af væsentlige transporttjenester, til transport-, bygnings- og boligministeren, og ministerens svar herpå
11
Spm. om, hvilken nedre grænse der forventes i forbindelse med udpegning af operatører af væsentlige transporttjenester, til transport-, bygnings- og boligministeren, og ministerens svar herpå
12
Spm. om en redegørelse for regeringens holdning til de stillede ændringsforslag til lovforslag nr. L 155, til transport-, bygnings- og boligministeren og forsvarsministeren, og ministrenes svar herpå


Bilag 2

Fem af udvalgets spørgsmål til transport-, bygnings- og boligministeren og forsvarsministeren og disses svar herpå

Spørgsmålene og svarene er optrykt efter ønske fra S.

Spørgsmål 2:

Ministeren bedes redegøre for, om Center for Cybersikkerhed i Forsvarets Efterretningstjeneste, når det løser opgaver i regi af lovforslaget som nationalt centralt kontaktpunkt og CSIRT, er omfattet eller undtaget af forslaget om en ny databeskyttelseslov (L 68), persondataforordningen, offentlighedsloven og forvaltningsloven. Herunder ønskes oplyst, hvilke konkrete dele af lovene og forordningen, som Center for Cybersikkerhed vil være omfattet af/ikke omfattet af.

Svar:

Der henvises til den samtidige besvarelse af spørgsmål nr. 3 vedrørende L 135.

Spørgsmål 3:

På baggrund af afsnit 3 i de almindelige bemærkninger til lovforslaget bedes ministeren oplyse, om Center for Cybersikkerhed i regi af lovforslaget skal forstås som en forvaltningsmyndighed, jf. forvaltningsloven. Ministeren bedes i forlængelse heraf redegøre for kravene til centerets behandling af personoplysninger. Herunder ønskes oplyst, hvorledes kravene adskiller sig som følge af reglerne i lov om Center for Cybersikkerhed (lov nr. 713 af 25. juni 2014), set i forhold til databeskyttelsesforordningen (forordning 2016/679/EU af 27. april 2016 om beskyttelse af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF) samt forslaget til databeskyttelseslov (L 68), hvis Forsvarets Efterretningstjeneste ikke er omfattet af lovforslaget og forordningen.

Svar:

1. Det følger af § 8 i lov nr. 713 af 25. juni 2014 om Center for Cybersikkerhed, at Center for Cybersikkerheds virksomhed er undtaget fra offentlighedsloven (bortset fra lovens § 13 om notatpligt) og forvaltningslovens kapitel 4-6. Dette gælder også for centerets kommende funktioner som nationalt centralt kontaktpunkt og CSIRT efter NIS-direktivet (Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen).

Det fremgår dog af bemærkningerne til forslaget til lov om Center for Cybersikkerhed (L 192, fremsat 2. maj 2014), at Center for Cybersikkerhed forudsættes i videst muligt omfang at efterleve principperne i offentlighedsloven og forvaltningslovens kapitel 4-6. Det forudsættes således, at centeret - uanset at dets virksomhed er undtaget fra forvaltningslovens bestemmelser på området - i alle afgørelsessager konkret vurderer, om det er muligt at anvende forvaltningslovens principper om partens aktindsigt, partshøring og begrundelse m.v. Tilsvarende forudsættes det, at anmodninger om aktindsigt i videst muligt omfang behandles efter principperne i offentlighedsloven.

Det bemærkes i den forbindelse, at Center for Cybersikkerheds afgørelser i konkrete sager, f.eks. aktindsigtssager, kan påklages til Forsvarsministeriet.

2. Center for Cybersikkerheds virksomhed, herunder centerets kommende funktioner efter NIS-direktivet, er endvidere undtaget fra persondataloven. Denne retstilstand ventes videreført, når persondataloven med virkning fra 25. maj 2018 erstattes af databeskyttelsesforordningen (Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF) og den foreslåede databeskyttelseslov (L 68, fremsat for Folketinget den 25. oktober 2017).

Størstedelen af de centrale principper i persondataloven gælder dog for centeret, jf. kapitel 6 i lov om Center for Cybersikkerhed. Det følger således bl.a. af loven, at centeret kun må indsamle personoplysninger til udtrykkeligt angivne og saglige formål, og at senere behandling ikke må være uforenelig med disse formål. Endvidere må centeret ikke behandle flere personoplysninger, end hvad der kræves til opfyldelse af formålet med indsamlingen. Der stilles desuden krav om hjemmel til enhver behandling af personoplysninger, ligesom der som udgangspunkt ikke må behandles personoplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning og fagforeningsmæssige tilhørsforhold samt personoplysninger om helbredsmæssige og seksuelle forhold. Centeret skal derudover sikre, at der ikke behandles urigtige eller vildledende personoplysninger. Endelig må centeret ikke opbevare indsamlede personoplysninger på en måde, der giver mulighed for at identificere den pågældende person i et længere tidsrum end nødvendigt, og centeret skal træffe passende sikkerhedsforanstaltninger ved behandlingen af personoplysninger.

Visse centrale krav efter persondataloven gælder dog ikke for Center for Cybersikkerhed. Centeret er således undtaget fra kravet om oplysningspligt overfor den registrerede samt kravet om den registreredes indsigts- og indsigelsesret.

Herudover er det Tilsynet med Efterretningstjenesterne - og ikke Datatilsynet - der fører tilsyn med Center for Cybersikkerheds behandling af personoplysninger. Tilsynet med Efterretningstjenesterne er et uafhængigt kontrolorgan, der efter klage eller af egen drift påser, at Center for Cybersikkerhed overholder reglerne vedrørende behandling af personoplysninger.

3. Endvidere følger det af § 8, stk. 2, i lov om Center for Cybersikkerhed, at forsvarsministeren kan bestemme, at kapitel 8-10 i persondataloven, kapitel 4-6 i forvaltningsloven samt offentlighedsloven helt eller delvist skal finde anvendelse for Center for Cybersikkerheds virksomhed som bl.a. myndighed for informationssikkerhed og beredskab på teleområdet.

Der har indtil videre ikke vist sig behov for at anvende denne bemyndigelse, idet der behandles ganske få personoplysninger i forbindelse med centerets virksomhed på teleområdet.

Med lovforslag L 155 om ændring af lov om Center for Cybersikkerhed, der er fremsat for Folketinget den 28. februar 2018, foreslås det bl.a., at den nævnte bemyndigelse tilpasses til den kommende regulering på databeskyttelsesområdet og NIS-området, således at forsvarsministeren vil kunne bestemme, at databeskyttelsesforordningen og den foreslåede databeskyttelseslov også helt eller delvist skal finde anvendelse for de myndighedsopgaver, som Center for Cybersikkerhed tillægges som led i implementeringen af NIS-direktivet.

4. Blandt de nye krav, som databeskyttelsesforordningen stiller, kan fremhæves krav om udpegelse af en databeskyttelsesrådgiver, at der skal gennemføres konsekvensanalyser, og at nye systemer skal have indbygget databeskyttelse (privacy by design or by default).

For en nærmere gennemgang af forholdet mellem databeskyttelsesforordningen og persondataloven henvises i øvrigt til Justitsministeriets betænkning nr. 1565 om databeskyttelsesforordningen, del I, bind 1.

Spørgsmål 4:

Ministeren bedes redegøre for, hvorledes beskyttelsen af personoplysninger i gennemførelsen af NIS-direktivet (direktiv 2106/1148 af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen) kan leve op til kravet i direktivets artikel 2 samt artikel 8 i EU's charter for grundlæggende rettigheder.

Svar:

Det følger af artikel 2, stk. 1, i NIS-direktivet (Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen), at behandlingen af personoplysninger efter direktivet udføres i overensstemmelse med databeskyttelsesdirektivet (Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger).

Databeskyttelsesdirektivet gælder bl.a. ikke for sådan behandling af personoplysninger, der vedrører statens sikkerhed, jf. direktivets artikel 3, stk. 2. På den baggrund gælder den danske persondatalov - der implementerer databeskyttelsesdirektivet i dansk ret - heller ikke for behandlinger af personoplysninger, der udføres for Forsvarets Efterretningstjeneste, herunder Center for Cybersikkerhed.

En række af de centrale bestemmelser i persondataloven er imidlertid indarbejdet i lov nr. 713 af 25. juni 2014 om Center for Cybersikkerhed, der regulerer centerets virksomhed. Endvidere fører Tilsynet med Efterretningstjenesterne, som er et uafhængigt kontrolorgan, tilsyn med Center for Cybersikkerheds behandling af personoplysninger. Tilsynet kan hos Center for Cybersikkerhed kræve enhver oplysning og alt materiale, der er af betydning for tilsynets virksomhed. Man kan som borger klage til tilsynet, hvis man mener, at centeret ulovligt behandler personoplysninger om en. Tilsynet afgiver endvidere hvert år en redegørelse til forsvarsministeren om tilsynets virksomhed i forhold til Center for Cybersikkerhed, og redegørelsen offentliggøres.

Denne retstilstand videreføres som udgangspunkt, når EU's databeskyttelsesdirektiv fra 25. maj 2018 erstattes af den nye databeskyttelsesforordning (Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF) samt den foreslåede danske databeskyttelseslov (L 68, fremsat for Folketinget den 25. oktober 2017).

Det bemærkes dog, at der med lovforslag nr. L 155, der konsekvensændrer lov om Center for Cybersikkerhed som følge af den nye regulering på databeskyttelsesområdet, er lagt op til, at forsvarsministeren får hjemmel til helt eller delvist at sætte databeskyttelsesforordningen og databeskyttelsesloven i kraft for dele af Center for Cybersikkerheds virksomhed, herunder centerets virksomhed i medfør af NIS-direktivet. Dette lovforslag blev fremsat den 28. februar 2018 og er fortsat under behandling i Folketinget.

Spørgsmål 5:

Ministeren bedes kommentere høringssvaret fra Institut for Menneskerettigheder, herunder særligt instituttets bekymring for det principielt problematiske i, at centrale civile samfundsstrukturer i Danmark skal varetages af Forsvarets Efterretningstjeneste med de begrænsninger, det giver i forhold til indsigt i databeskyttelseskrav.

Svar:

1. Institut for Menneskerettigheder fremfører i instituttets høringssvar, at instituttet anser det for principielt problematisk, at implementeringen af NIS-direktivet medfører, at stadig flere oplysninger bliver udvekslet med Center for Cybersikkerhed, der er en del af Forsvarets Efterretningstjeneste, ligesom instituttet finder det problematisk, at centeret er undtaget fra bl.a. persondataloven.

2. NIS-direktivet forpligter medlemsstaterne til at udpege et nationalt centralt kontaktpunkt. Det nationale centrale kontaktpunkt skal udgøre et forbindelsesled, som faciliterer det grænseoverskridende samarbejde med andre medlemsstater, netværket af it-beredskabsenheder (CSIRT'er) og den samarbejdsgruppe, som skal have fokus på det strategiske samarbejde om sikkerhed i net- og informationssystemer mellem medlemsstaterne. Herudover skal det centrale kontaktpunkt én gang om året forelægge en sammenfattende rapport for samarbejdsgruppen vedrørende underretninger om hændelser i henhold til NIS-direktivet.

Center for Cybersikkerhed er i forvejen national it-sikkerhedsmyndighed og står for en forebyggende rådgivnings- og oplysningsvirksomhed om cybersikkerhed i forhold til både den offentlige og private sektor samt en reaktiv indsats ved cyberangreb. Center for Cybersikkerhed varetager en række myndighedsopgaver i den forbindelse, og centeret er således allerede den centrale nationale myndighed vedrørende cybersikkerhed. På den baggrund vil varetagelsen af funktionen som nationalt centralt kontaktpunkt ligge i naturlig forlængelse af centerets øvrige opgaver.

3. NIS-direktivet forpligter herudover medlemsstaterne til at udpege en eller flere nationale CSIRT'er. En CSIRT skal fungere som national beredskabsenhed til håndtering af it-sikkerhedshændelser og vil bl.a. have til opgave at foretage monitorering af hændelser på nationalt plan, udsende tidlige varslinger, advarsler og meddelelser samt formidle information til relevante interessenter om risici og hændelser. CSIRT'en vil endvidere skulle reagere på hændelser og udarbejde dynamiske risiko- og hændelsesanalyser samt situationsrapporter. Endelig vil CSIRT'en skulle deltage i det føromtalte CSIRT-netværk og etablere samarbejde med den private sektor.

Center for Cybersikkerhed besidder allerede i dag mange af de kompetencer, der er nødvendige for at kunne varsle sektorerne samt reagere på hændelser, og centeret vil tillige kunne operere døgnet rundt. CSIRT-funktionen efter NIS-direktivet har således en nær sammenhæng med Center for Cybersikkerheds eksisterende opgaver.

4. Center for Cybersikkerhed og den øvrige del af FE er - selvom de udgør én myndighed - ved lov tillagt forskellige opgaver og virkemidler. Center for Cybersikkerhed er særskilt reguleret i lov nr. 713 af 25. juni 2014 om Center for Cybersikkerhed, hvor der i bemærkningerne er forudsat en vis organisatorisk adskillelse mellem centeret og den efterretningsmæssige del af FE. Det er også forudsat, at centeret har en åben og udadvendt profil, og at centerets virksomhed skal være præget af åbenhed, vejledning og information.

For en nærmere beskrivelse af kravene til Center for Cybersikkerheds behandling af personoplysninger henvises der i øvrigt til den samtidige besvarelse af spørgsmål 3 vedrørende L 135.

Spørgsmål 10:

Ministeren bedes uddybe baggrunden for vurderingen af, at lovforslaget kun vil få mindre økonomiske og administrative konsekvenser for de berørte offentlige og private operatører af væsentlige transporttjenester. Dette da det ikke umiddelbart ses at fremgå af høringssvar eller høringsnotat, hvordan eksempelvis Københavns Lufthavn, DSB, Banedanmark eller Naviair vurderer lovforslagets konsekvenser.

Svar:

Indledningsvist skal jeg bemærke, at de nævnte operatører alle har været hørt over lovforslaget.

Det er min forventning, at der alene vil blive udpeget nogle ganske få private og offentlige aktører, som alle vil være karakteriseret ved at være særdeles store operatører, der alle leverer en unik tjeneste inden for hver deres område, som er afhængige af IT-systemer og som har en transportmæssig kritisk og national betydning for hvert deres område.

Kravet om, at en operatør af væsentlige transporttjenester skal være certificeret i henhold til en internationalt anerkendt standard, skønnes afhængigt af certificeringsparatheden hos den enkelte operatør at udgøre op til 200.000 kr. i direkte engangsomkostninger og 40.000-100.000 kr. i direkte årlige vedligeholdelsesomkostninger til selve certificeringen. Hvis der er tale om en operatør, der ikke er certificeringsparat, og som har brug for at gennemføre tilpasninger af net- og informationssystemer m.m., vil omkostningerne for den enkelte operatør kunne være større, afhængigt af hvor meget der udestår for operatøren for at kunne opnå den efterspurgte certificering.

Lovforslagets certificeringsmodel har sideløbende med udarbejdelsen af lovforslaget været drøftet med Københavns Lufthavn, DSB og Naviair. Disse operatører følger i vidt omfang allerede i dag en internationalt anerkendt standard for sikkerheden i net- og informationssystemer. Det gør de, fordi standarden giver en systematisk og tidssvarende tilgang til at styre de risici, der er ved at være afhængig af net- og informationssystemer. Disse operatører har alle selv en interesse i, at de har en robusthed i forhold til at kunne levere den ydelse, de lever af, og at de kan levere den uden væsentlige forsinkelser og gener.

De nævnte operatører har derfor allerede i dag indrettet deres virksomheder, så de i vidt omfang efterlever de internationale standarder. Det vil derfor ikke være fremmed for disse operatører at lade sig certificere i henhold til en international standard.

I henhold til regeringens nationale strategi for cyber- og informationssikkerhed fra december 2014 har BaneDanmark, som alle statslige myndigheder siden 2016, været forpligtet til at implementere den internationale sikkerhedsstandard ISO27001.

Det vurderes, at de operatører, der vil kunne komme i betragtning til en udpegning efter loven, i et eller andet omfang er certificeringsparate. Operatørerne vil endvidere alle være af en ganske betydelig størrelse. Ud fra en forholdsmæssig betragtning forventer jeg derfor ikke, at de foreslåede regler vil blive oplevet som meget bebyrdende for operatørerne af væsentlige transporttjenester.

Ud over omkostningerne til certificering og vedligeholdelse heraf vil der være begrænsede administrative byrder i forbindelse med den underretning, som operatørerne skal sende til myndighederne. Det forventes, at der vil være et begrænset antal underretninger fra den enkelte operatør på årsbasis. Selve den administrative håndtering af underretningen forventes ikke at overstige 2 timer pr. hændelse.