Betænkning afgivet af Erhvervs-,
Vækst- og Eksportudvalget den 24. april 2018
1. Udvalgsarbejdet
Lovforslaget blev fremsat den 7. februar
2018 og var til 1. behandling den 1. marts 2018. Lovforslaget blev
efter 1. behandling henvist til behandling i Erhvervs-,
Vækst- og Eksportudvalget.
Møder
Udvalget har behandlet lovforslaget i 2
møder.
Sammenhæng med andre
lovforslag
Lovforslaget skal ses i sammenhæng
med L 155, Forslag til lov om ændring af lov om Center for
Cybersikkerhed, og L 139, Forslag til lov om sikkerhed i net- og
informationssystemer for operatører af væsentlige
internetudvekslingspunkter m.v., som er behandlet i
Forsvarsudvalget, L 135, Forslag til lov om sikkerhed i net- og
informationssystemer i transportsektoren, som er behandlet i
Transport-, Bygnings- og Boligudvalget, og L 143, Forslag til lov
om krav til sikkerhed for net- og informationssystemer inden for
sundhedssektoren, som er behandlet i Sundheds- og
Ældreudvalget.
Høring
Et udkast til lovforslaget har inden
fremsættelsen været sendt i høring, og
erhvervsministeren sendte den 1. november 2017 dette udkast til
udvalget, jf. ERU alm. del - bilag 32. Den 7. februar 2018 sendte
erhvervsministeren de indkomne høringssvar og et notat herom
til udvalget.
Teknisk gennemgang
Udvalget fik den 14. marts 2018 en teknisk
gennemgang af Center for Cybersikkerheds rolle i implementeringen
af NIS-direktivet ved forsvarministeren og embedsmænd.
Spørgsmål
Udvalget har stillet 10
spørgsmål til erhvervsministeren til skriftlig
besvarelse, som denne har besvaret.
1 af udvalgets spørgsmål til
erhvervsministeren og dennes svar herpå er optrykt som bilag
2 til betænkningen.
2. Indstillinger og politiske
bemærkninger
Et flertal i
udvalget (S, DF, V, LA, RV og KF) indstiller lovforslaget til vedtagelse uændret.
Radikale Venstres medlem af udvalget
udtaler, at Radikale Venstre havde ønsket, at Center for
Cybersikkerhed var blevet placeret som en civil myndighed under
Forsvarets Efterretningstjeneste, hvorved der bl.a. havde
været en bedre mulighed for aktindsigt, men desuagtet stemmer
for lovforslaget, der har til formål at implementere et
vigtigt direktiv fra EU til sikring af oplysninger også
på erhvervsområdet.
Et mindretal i
udvalget (EL, SF og ALT) vil stemme hverken for eller imod
lovforslaget ved 3. behandling.
Mindretallet bemærker, at det er
vigtigt, at vi styrker beskyttelsen af vores vitale infrastruktur
mod cyberangreb, og etablering af nationale kontaktpunkter er
derfor et fornuftig tiltag. Imidlertid er mindretallet bekymret
over, at CSIRT'en og det nationale kontaktpunkt, som skal oprettes
i medfør af NIS-direktivet, placeres under Center for
Cybersikkerhed under Forsvarets Efterretningstjeneste og dermed
ikke omfattes af relevante love for bl.a.
persondatabeskyttelse.
Mindretallet mener, at Center for
Cybersikkerheds aktiviteter i medfør af NIS-direktivet
bør omfattes af databeskyttelsesloven og
databeskyttelsesforordningen. Det fremgår også tydeligt
af NIS direktivet, at det er hensigten. Og derfor har mindretallet
stillet et ændringsforslag til L155, der skal sikre
dette.
Inuit Ataqatigiit, Tjóðveldi og
Javnaðarflokkurin var på tidspunktet for
betænkningens afgivelse ikke repræsenteret med
medlemmer i udvalget og havde dermed ikke adgang til at komme med
indstillinger eller politiske udtalelser i betænkningen.
En oversigt over Folketingets
sammensætning er optrykt i betænkningen.
Hans Kristian Skibby (DF) Mette
Hjermind Dencker (DF) Jan Rytkjær Callesen (DF) Per
Nørhave (DF) Tilde Bork (DF) Dorthe Ullemose (DF) Torsten
Schack Pedersen (V) Preben Bang Henriksen (V) Eva Kjer Hansen (V)
Hans Christian Schmidt (V) Erling Bonnesen (V) Jane Heitmann (V)
Villum Christensen (LA) Joachim B. Olsen (LA) nfmd. Anders Johansson (KF) Erik
Christensen (S) Karin Gaardsted (S) Peter Hummelgaard Thomsen (S)
Kaare Dybvad (S) Morten Bødskov (S) fmd. Kasper Roug (S) Thomas Jensen (S)
Henrik Sass Larsen (S) Pelle Dragsted (EL) Henning Hyllested (EL)
René Gade (ALT) Ida Auken (RV) Lisbeth Bech Poulsen (SF)
Karsten Hønge (SF)
Inuit Ataqatigiit, Tjóðveldi
og Javnaðarflokkurin havde ikke medlemmer i udvalget.
| Socialdemokratiet (S) | 46 | |
| Dansk Folkeparti (DF) | 37 | |
| Venstre, Danmarks Liberale Parti (V) | 34 | |
| Enhedslisten (EL) | 14 | |
| Liberal Alliance (LA) | 13 | |
| Alternativet (ALT) | 10 | |
| Radikale Venstre (RV) | 8 | |
| Socialistisk Folkeparti (SF) | 7 | |
| Det Konservative Folkeparti (KF) | 6 | |
| Inuit Ataqatigiit (IA) | 1 | |
| Tjóðveldi (T) | 1 | |
| Javnaðarflokkurin (JF) | 1 | |
| Uden for folketingsgrupperne (UFG) | 1 | |
Bilag 1
Oversigt over
bilag vedrørende L 144
Bilagsnr. | Titel | 1 | Høringssvar og høringsnotat,
fra erhvervsministeren | 2 | Bilag tilbagetaget | 3 | Fastsat tidsplan for udvalgets behandling
af lovforslaget | 4 | Notat i forlængelse af den tekniske
gennemgang af Center for Cybersikkerheds rolle i forbindelse med
implementering af NIS-direktivet, fra forsvarsministeren | 5 | Kopi af L 135 - svar på spm. 8 om,
hvilke konkrete oplysninger det forventes at ministeren og Center
for Cybersikkerhed vil kunne eller skulle udveksle med andre
myndigheder både nationalt og i EU, fra transport-, bygnings-
og boligministeren og forsvarsministeren | 6 | Kopi af L 135 - svar på spm. 9 om,
hvordan de andre EU-lande har valgt at organisere
gennemførelsen af NIS-direktivet, fra forsvarsministeren,
kopi til transport-, bygnings- og boligministeren | 7 | Præsentation fra den tekniske
gennemgang om Center for Cybersikkerheds rolle i forbindelse med
implementering af NIS-direktivet den 18/4-18, fra
forsvarsministeren |
|
8 | Udkast til betænkning | 9 | Kopi af L 139 - svar på spm. 2 om,
hvilke overvejelser regeringen har gjort sig, med hensyn til hvem
der skal have det overordnede myndighedsansvar for cybersikkerhed i
Danmark, fra forsvarsministeren | 10 | Kop af L 139 - svar på
spørgsmål 3, om ministeren har overvejet at udskille
Center for Cybersikkerhed fra Forsvarets Efterretningstjeneste,
således at centeret blev en selvstændig civil myndighed
med ansvar for den nationale it-sikkerhed, og underlagt
offentlighedsloven, persondataloven og forvaltningsloven, fra
forsvarsministeren | 11 | Meddelelse om udskydelse af
betænkningsafgivelse |
|
12 | 2. udkast til betænkning |
|
Oversigt over
spørgsmål og svar vedrørende L 144
Spm.nr. | Titel | 1 | Spm. om, hvilke forskelle der gør
sig gældende i forhold til regler om databeskyttelse,
politisk kontrol, tilsyn, åbenhed og udveksling af
oplysninger m.v., at Center for Cybersikkerhed placeres under
Forsvarets Efterretningstjeneste, i forhold til hvis centret blev
etableret som en civil myndighed, til erhvervsministeren, og
ministerens svar herpå | 2 | Spm. om, hvordan implementeringen af
NIS-direktivet harmonerer med databeskyttelsesdirektivet, til
erhvervsministeren, og ministerens svar herpå | 3 | Spm. om, på hvilke områder det
har betydning for borgerne, at Center for Cybersikkerhed placeres
under Forsvarets Efterretningstjeneste, fremfor at centret
etableres som en civil myndighed, til erhvervsministeren, og
ministerens svar herpå | 4 | Spm. om, på hvilke områder det
har betydning for virksomheder, at Center for Cybersikkerhed
placeres under Forsvarets Efterretningstjeneste, fremfor at centret
etableres som en civil myndighed, til erhvervsministeren, og
ministerens svar herpå | 5 | Spm., om ministeren vil tilsende udvalget
en skematisk oversigt over samtlige bemyndigelsesbestemmelser i
lovforslaget med oplysninger om, hvordan og med hvilket indhold de
enkelte bemyndigelser vil blive udmøntet, til
erhvervsministeren, og ministerens svar herpå | 6 | Spm., om ministeren vil oplyse, hvilke
operatører der i henhold til lovforslaget anses for at
være »operatører af væsentlige
tjenester«, til erhvervsministeren, og ministerens svar
herpå | 7 | Spm., om ministeren vil oplyse, hvilke
udbydere der i henhold til lovforslaget anses for at være
»større udbydere af digitale tjenester«, til
erhvervsministeren, og ministerens svar herpå | 8 | Spm., om ministeren vil uddybe, hvilke
typer hændelser operatører og udbydere skal
indberette, herunder angive en række eksempler, til
erhvervsministeren, og ministerens svar herpå | 9 | Spm. om, hvilke data operatører
henholdsvis udbydere skal indberette i tilfælde af en
såkaldt hændelse, til erhvervsministeren, og
ministerens svar herpå | 10 | Spm., om ministeren vil uddybe, hvad der
forstås ved »passende
sikkerhedsforanstaltninger«, jf. at operatører og
udbydere skal træffe »passende
sikkerhedsforanstaltninger« på baggrund af en vurdering
af de konkrete risici, til erhvervsministeren, og ministerens svar
herpå |
|
Bilag 2
Et af udvalgets
spørgsmål til erhvervsministeren og dennes svar
herpå
Spørgsmål og svar er optrykt
efter ønske fra udvalget.
Spørgsmål:
Ministeren bedes tilsende udvalget en
skematisk oversigt over samtlige bemyndigelsesbestemmelser i
lovforslaget med oplysninger om, hvordan og med hvilket indhold de
enkelte bemyndigelser vil blive udmøntet.
Svar:
Nedenstående skema indeholder en
oversigt over bemyndigelsesbestemmelser i lovforslaget.
Bestemmelse | Myndighed | Indhold | § 3, stk. 2 | Erhvervsministeren | Erhvervsministeren udarbejder og opdaterer
en liste over væsentlige tjenester. Denne liste er vedlagt
udkast til bekendtgørelse om sikkerhed i net- og
informationssystemer for operatører af væsentlige
tjenester på domænenavnsområdet som bilag 1.
Udkastet til bekendtgørelsen er sendt i offentlig
høring. Listen over væsentlige tjenester på
topdomænenavnsområdet består af
domænenavneservertjenesten. På DNS-området er den
væsentlige tjeneste DNS-tjenesten. | § 3, stk. 3 | Erhvervsministeren | Erhvervsministeren kan fastsætte
nærmere regler for afgrænsningen af kriterierne for,
hvem der betragtes som operatør af en væsentlig
tjeneste. Afgrænsningen af disse kriterier
fremgår af § 1 i udkast til bekendtgørelse om
sikkerhed i net- og informationssystemer for operatører af
væsentlige tjenester på domænenavnsområdet,
som er sendt i offentlig høring. Det fremgår heraf,
at: a) En topdomænenavnsadministrator
anses for at være en operatør af væsentlige
tjenester, hvis administratoren og dennes koncernforbundne
selskaber har mere end 500.000 andenordens
internetdomænenavne registreret under
topdomænenavnet. b) En DNS-tjenesteudbyder anses for at
være en operatør af væsentlige tjenester, hvis
udbyderen og dennes koncernforbundne selskaber har 1) rekursive navneservere som mere end
100.000 brugere anvender, eller 2) autoritative navneservere, som har mere
end 100.000 andenordens internetdomænenavne tilsluttet. | § 4, stk. 3 | Erhvervsministeren | Erhvervsministeren kan fastsætte
nærmere regler om tekniske og organisatoriske
foranstaltninger for at styre risiciene for sikkerheden i net- og
informationssystemer, samt foranstaltninger for at forebygge og
minimere konsekvensen af hændelser. Disse regler er udmøntet i udkast
til bekendtgørelse om sikkerhed i net- og
informationssystemer for operatører af væsentlige
tjenester på domænenavnsområdet, som er sendt i
offentlig høring. Af udkastet fremgår bl.a., at
operatørerne skal gennemføre en risikovurdering og
på den baggrund træffe passende foranstaltninger for
tab af tilgængelighed, autenticitet, integritet og
fortrolighed. Endvidere at der skal udarbejdes og
gennemføres en ledelsesgodkendt net- og sikkerhedspolitik
med udgangspunkt i en anerkendt international standard.
Sikkerhedspolitikken skal kommunikeres til alle relevante
medarbejdere, og sikkerhedspolitikken skal løbende
tilpasses, bl.a. ved væsentlige ændringer af
operatørens virksomhed og i trusselsbilledet.
Operatøren skal etablere en sikkerhedsorganisation til
varetagelse af sikkerhedsopgaven, hvor roller og ansvar er
fastlagt. Endelig skal operatøren foretage risikostyring, fx
med udgangspunkt i en anerkendt international standard. | § 5, stk. 4 | Erhvervsministeren | Erhvervsministeren fastsætter
nærmere regler over for operatører af væsentlige
tjenester om underretning af hændelser og om kriterierne for
fastlæggelse af omfanget af en hændelses
konsekvenser. I udkastet til bekendtgørelse om
sikkerhed i net- og informationssystemer for operatører af
væsentlige tjenester på domænenavnsområdet
er der fastsat bestemmelse om indberetning af hændelser via
virk.dk, ligesom kriterier for, hvornår hændelser skal
indberettes, fremgår. Disse kriterier er: »1) at
domænenavneservertjenesten har en oppetid på mindre end
100 % eller 2) at en rekursiv server i DNS-tjenesten
ikke har været tilgængelig i over 6 timer eller i over
2.000.000 brugertimer, idet udtrykket »brugertime«
henviser til antallet af berørte brugere i en periode
på 60 minutter eller 3) at en autoritativ navneserve i
DNS-tjenesten ikke har været tilgængelig i over 6 timer
eller, 4) tab af integritet, autenticitet eller
fortrolighed i forbindelse med lagrede, overførte eller
behandlede data i forbindelse med domænenavneservertjenesten
eller DNS-tjenesten, som berører mere end 10.000
brugere.« | § 8, stk. 3 | Erhvervsstyrelsen | Erhvervsstyrelsen kan fastsætte
nærmere regler over for udbydere af digitale tjenester om
tekniske og organisatoriske foranstaltninger for at styre risiciene
for sikkerheden i net- og informationssystemer, samt
foranstaltninger for at forebygge og minimere konsekvensen af
hændelser. Der vil her alene ske en henvisning til de regler,
som er fastlagt i Kommissionens gennemførelsesforordning
2018/151/EU af 30. januar 2018 over for udbydere af digitale
tjenester. | § 9, stk. 4 | Erhvervsstyrelsen | Erhvervsstyrelsen kan fastsætte
nærmere regler over for udbydere af digitale tjenester om
underretning og om kriterierne for fastlæggelse af omfanget
af en hændelses konsekvenser. I udkastet til bekendtgørelse om
net- og informationssikkerhed for visse digitale tjenester, som er
sendt i offentlig høring, er der fastsat bestemmelse om
indberetning af hændelser via virk.dk. Med hensyn til
kriterier for, hvornår hændelser skal indberettes,
henviser der i bekendtgørelsen til Kommissionens
gennemførelsesforordning 2018/151/EU af 30. januar 2018,
hvor kriterierne er fastlagt. | § 19, nr. 2 | Finanstilsynet | I medfør af § 19, nr. 2, i
lovforslaget foreslås det at indsætte et nyt 2. pkt. i
§ 71, stk. 2, i lov om finansiel virksomhed. Med bestemmelsen
bemyndiges Finanstilsynet til at fastsætte nærmere
regler om hændelsesrapportering for de finansielle
virksomheder, der udpeges som operatører af væsentlige
tjenester, herunder kan Finanstilsynet fastsætte
nærmere regler om, at Finanstilsynet og Center for
Cybersikkerhed underrettes ved en hændelse, der har en
negativ indvirkning på sikkerheden i virksomhedens net- og
informationssystemer. Bemyndigelsen til at fastsætte
nærmere regler om hændelsesrapportering, vil blive
udmøntet ved udkast til bekendtgørelse om
ændring af bekendtgørelse om ledelse og styring af
pengeinstitutter m. fl., som blev sendt i offentlig høring
den 28. februar 2018 med høringsfrist den 28. marts
2018. | § 19, nr. 3 | Finanstilsynet | I medfør af § 19, nr. 3, i
lovforslaget foreslås det at indsætte en ny § 307
a, i lov om finansiel virksomhed, hvoraf det følger, at
Finanstilsynet udpeger de finansielle virksomheder, som er
operatører af væsentlige tjenester mindst hvert andet
år. Det følger endvidere af
bestemmelsen, at Finanstilsynet i den forbindelse skal lægge
vægt på, at: de tjenester, der leveres, er
væsentlige for opretholdelsen af kritiske
samfundsmæssige eller økonomiske aktiviteter, leveringen af tjenesten afhænger af
net- og informationssystemer, og en hændelse vil få
væsentlige forstyrrende virkninger for leveringen af
tjenesten. Det følger endelig af forslaget til
§ 307 a, stk. 3, at Finanstilsynet kan fastsætte
nærmere regler om udpegning af operatører af
væsentlige tjenester og de kriterier Finanstilsynet kan
lægge vægt på ved udpegningen. Finanstilsynet vil dermed kunne
fastsætte nærmere regler for udpegningen efter stk. 1.
Finanstilsynet kan herunder nærmere fastsætte hvilke
kriterier, der skal være opfyldt, for at et penge- eller
realkreditinstitut udpeges som en operatør af
væsentlige tjenester. | § 20, nr. 2 | Finanstilsynet | I medfør af § 20, nr. 2, i
lovforslaget foreslås det at indsætte en ny § 58 a
i lov om kapitalmarkeder. I medfør af den foreslåede
§ 58 a, stk. 3, bemyndiges Finanstilsynet til at
fastsætte nærmere regler om udpegning af
operatører af væsentlige tjenester og de kriterier,
som Finanstilsynet kan lægge vægt på i
forbindelse med udpegningen. Finanstilsynet bemyndiges endvidere til at
fastsætte nærmere regler om hændelsesrapportering
for operatører af markedspladser og centrale modparter
(CCPere), der udpeges som operatører af væsentlige
tjenester, herunder kan Finanstilsynet fastsætte
nærmere regler om, at Finanstilsynet og Center for
Cybersikkerhed underrettes ved en hændelse, der har en
negativ indvirkning på sikkerheden i virksomhedens net- og
informationssystemer. Bemyndigelsen til at fastsætte
nærmere regler om hændelsesrapporteringen, vil blive
udmøntet ved udkast til bekendtgørelse om
hændelsesrapportering for operatører af
væsentlige tjenester, som blev sendt i offentlig
høring den 28. februar 2018 med høringsfrist den 28.
marts 2018. |
|