Erhvervs-, Vækst- og Eksportudvalget 2017-18
L 144
Offentligt
1876133_0001.png
Folketingets Erhvervs-, Vækst- og Eksportudvalg
ERHVERVSMINISTEREN
6. april 2018
Besvarelse af spørgsmål 5 ad L 144 stillet af udvalget den 19. marts
2018 efter ønske fra Karin Gaardsted (S) og Lisbeth Bech Poulsen
(SF)
Spørgsmål:
Ministeren bedes tilsende udvalget en skematisk oversigt over samtlige
bemyndigelsesbestemmelser i lovforslaget med oplysninger om, hvordan
og med hvilket indhold de enkelte bemyndigelser vil blive udmøntet.
Svar:
Nedenstående skema indeholder en oversigt over bemyndigelsesbestem-
melser i lovforslaget.
Bestemmelse
§ 3, stk. 2
Myndighed
Erhvervs-
ministeren
Indhold
Erhvervsministeren udarbejder og opdate-
rer en liste over væsentlige tjenester. Den-
ne liste er vedlagt udkast til bekendtgørel-
se om sikkerhed i net- og informationssy-
stemer for operatører af væsentlige tjene-
ster på domænenavnsområdet som bilag 1.
Udkastet til bekendtgørelsen er sendt i
offentlig høring. Listen over væsentlige
tjenester på topdomænenavnsområdet be-
står af domænenavneservertjenesten. På
DNS-området er den væsentlige tjeneste
DNS-tjenesten.
Erhvervsministeren kan fastsætte nærmere
regler for afgrænsningen af kriterierne for,
hvem der betragtes som operatør af en
væsentlig tjeneste.
Afgrænsningen af disse kriterier fremgår
af § 1 i udkast til bekendtgørelse om sik-
kerhed i net- og informationssystemer for
operatører af væsentlige tjenester på do-
mænenavnsområdet, som er sendt i offent-
ERHVERVSMINISTERIET
Slotsholmsgade 10-12
1216 København K
Tlf.
33 92 33 50
Fax.
33 12 37 78
CVR-nr. 10092485
EAN nr. 5798000026001
[email protected]
www.em.dk
§ 3, stk. 3
Erhvervs-
ministeren
L 144 - 2017-18 - Endeligt svar på spørgsmål 5: Spm. om ministeren vil tilsende udvalget en skematisk oversigt over samtlige bemyndigelsesbestemmelser i lovforslaget med oplysninger om, hvordan og med hvilket indhold de enkelte bemyndigelser vil blive udmøntet, til erhvervsministeren
1876133_0002.png
2/6
lig høring. Det fremgår heraf, at:
a) En topdomænenavnsadministrator anses
for at være en operatør af væsentlige tjene-
ster, hvis administratoren og dennes kon-
cernforbundne selskaber har mere end
500.000 andenordens internetdomænenav-
ne registreret under topdomænenavnet.
b) En DNS-tjenesteudbyder anses for at
være en operatør af væsentlige tjenester,
hvis udbyderen og dennes koncernfor-
bundne selskaber har
1) rekursive navneservere
som mere end 100.000 bru-
gere anvender, eller
2) autoritative navneservere,
som har mere end 100.000
andenordens internetdomæ-
nenavne tilsluttet.
§ 4, stk. 3
Erhvervs-
ministeren
Erhvervsministeren kan fastsætte nærmere
regler om tekniske og organisatoriske for-
anstaltninger for at styre risiciene for sik-
kerheden i net- og informationssystemer,
samt foranstaltninger for at forebygge og
minimere konsekvensen af hændelser.
Disse regler er udmøntet i udkast til be-
kendtgørelse om sikkerhed i net- og in-
formationssystemer for operatører af væ-
sentlige tjenester på domænenavnsområ-
det, som er sendt i offentlig høring.
Af udkastet fremgår bl.a., at operatørerne
skal gennemføre en risikovurdering og på
den baggrund træffe passende foranstalt-
ninger for tab af tilgængelighed, autentici-
tet, integritet og fortrolighed. Endvidere at
der skal udarbejdes og gennemføres en
ledelsesgodkendt net- og sikkerhedspolitik
med udgangspunkt i en anerkendt interna-
tional standard. Sikkerhedspolitikken skal
kommunikeres til alle relevante medarbej-
dere, og sikkerhedspolitikken skal løbende
tilpasses, bl.a. ved væsentlige ændringer af
L 144 - 2017-18 - Endeligt svar på spørgsmål 5: Spm. om ministeren vil tilsende udvalget en skematisk oversigt over samtlige bemyndigelsesbestemmelser i lovforslaget med oplysninger om, hvordan og med hvilket indhold de enkelte bemyndigelser vil blive udmøntet, til erhvervsministeren
1876133_0003.png
3/6
operatørens virksomhed og i trusselsbille-
det. Operatøren skal etablere en sikker-
hedsorganisation til varetagelse af sikker-
hedsopgaven, hvor roller og ansvar er fast-
lagt. Endelig skal operatøren foretage risi-
kostyring, fx med udgangspunkt i en aner-
kendt international standard.
§ 5, stk. 4
Erhvervs-
ministeren
Erhvervsministeren fastsætter nærmere
regler over for operatører af væsentlige
tjenester om underretning af hændelser og
om kriterierne for fastlæggelse af omfan-
get af en hændelses konsekvenser.
I udkastet til bekendtgørelse om sikkerhed
i net- og informationssystemer for operatø-
rer af væsentlige tjenester på domæne-
navnsområdet er der fastsat bestemmelse
om indberetning af hændelser via virk.dk,
ligesom kriterier for, hvornår hændelser
skal indberettes, fremgår. Disse kriterier
er:
”1) at domænenavneservertjenesten har en
oppetid på mindre end 100 % eller
2) at en rekursiv server i DNS-tjenesten
ikke har været tilgængelig i over 6 timer
eller i over 2.000.000 brugertimer, idet
udtrykket ”brugertime” henviser til antallet
af berørte brugere i en periode på 60 mi-
nutter eller
3) at en autoritativ navneserve i DNS-
tjenesten ikke har været tilgængelig i over
6 timer eller,
4) tab af integritet, autenticitet eller fortro-
lighed i forbindelse med lagrede, overførte
eller behandlede data i forbindelse med
domænenavneservertjenesten eller DNS-
tjenesten, som berører mere end 10.000
brugere.”
§ 8, stk. 3
Erhvervs-
styrelsen
Erhvervsstyrelsen kan fastsætte nærmere
regler over for udbydere af digitale tjene-
ster om tekniske og organisatoriske foran-
staltninger for at styre risiciene for sikker-
heden i net- og informationssystemer, samt
L 144 - 2017-18 - Endeligt svar på spørgsmål 5: Spm. om ministeren vil tilsende udvalget en skematisk oversigt over samtlige bemyndigelsesbestemmelser i lovforslaget med oplysninger om, hvordan og med hvilket indhold de enkelte bemyndigelser vil blive udmøntet, til erhvervsministeren
1876133_0004.png
4/6
foranstaltninger for at forebygge og mini-
mere konsekvensen af hændelser. Der vil
her alene ske en henvisning til de regler,
som er fastlagt i Kommissionens gennem-
førelsesforordning 2018/151/EU af 30.
januar 2018 over for udbydere af digitale
tjenester.
§ 9, stk. 4
Erhvervs-
styrelsen
Erhvervsstyrelsen kan fastsætte nærmere
regler over for udbydere af digitale tjene-
ster om underretning og om kriterierne for
fastlæggelse af omfanget af en hændelses
konsekvenser.
I udkastet til bekendtgørelse om net- og
informationssikkerhed for visse digitale
tjenester, som er sendt i offentlig høring,
er der fastsat bestemmelse om indberet-
ning af hændelser via virk.dk. Med hensyn
til kriterier for, hvornår hændelser skal
indberettes, henviser der i bekendtgørelsen
til Kommissionens gennemførelsesforord-
ning 2018/151/EU af 30. januar 2018, hvor
kriterierne er fastlagt.
§ 19, nr. 2
Finanstilsy-
net
I medfør af § 19, nr. 2, i lovforslaget fore-
slås det at indsætte et nyt 2. pkt. i § 71, stk.
2, i lov om finansiel virksomhed. Med
bestemmelsen bemyndiges Finanstilsynet
til at fastsætte nærmere regler om hændel-
sesrapportering for de finansielle virksom-
heder, der udpeges som operatører af væ-
sentlige tjenester, herunder kan Finanstil-
synet fastsætte nærmere regler om, at Fi-
nanstilsynet og Center for Cybersikkerhed
underrettes ved en hændelse, der har en
negativ indvirkning på sikkerheden i virk-
somhedens net- og informationssystemer.
Bemyndigelsen til at fastsætte nærmere
regler om hændelsesrapportering, vil blive
udmøntet ved udkast til bekendtgørelse om
ændring af bekendtgørelse om ledelse og
styring af pengeinstitutter m. fl., som blev
sendt i offentlig høring den 28. februar
2018 med høringsfrist den 28. marts 2018.
L 144 - 2017-18 - Endeligt svar på spørgsmål 5: Spm. om ministeren vil tilsende udvalget en skematisk oversigt over samtlige bemyndigelsesbestemmelser i lovforslaget med oplysninger om, hvordan og med hvilket indhold de enkelte bemyndigelser vil blive udmøntet, til erhvervsministeren
1876133_0005.png
5/6
§ 19, nr. 3
Finanstilsy-
net
I medfør af § 19, nr. 3, i lovforslaget fore-
slås det at indsætte en ny § 307 a, i lov om
finansiel virksomhed, hvoraf det følger, at
Finanstilsynet udpeger de finansielle virk-
somheder, som er operatører af væsentlige
tjenester mindst hvert andet år.
Det følger endvidere af bestemmelsen, at
Finanstilsynet i den forbindelse skal lægge
vægt på, at:
1) de tjenester, der leveres, er væsent-
lige for opretholdelsen af kritiske
samfundsmæssige eller økonomi-
ske aktiviteter,
2) leveringen af tjenesten afhænger af
net- og informationssystemer, og
3) en hændelse vil få væsentlige for-
styrrende virkninger for leveringen
af tjenesten.
Det følger endelig af forslaget til § 307 a,
stk. 3, at Finanstilsynet kan fastsætte nær-
mere regler om udpegning af operatører af
væsentlige tjenester og de kriterier Finans-
tilsynet kan lægge vægt på ved udpegnin-
gen.
Finanstilsynet vil dermed kunne fastsætte
nærmere regler for udpegningen efter stk.
1. Finanstilsynet kan herunder nærmere
fastsætte hvilke kriterier, der skal være
opfyldt, for at et penge- eller realkreditin-
stitut udpeges som en operatør af væsent-
lige tjenester.
§ 20, nr. 2
Finanstilsy-
net
I medfør af § 20, nr. 2, i lovforslaget fore-
slås det at indsætte en ny § 58 a i lov om
kapitalmarkeder. I medfør af den foreslå-
ede § 58 a, stk. 3, bemyndiges Finanstilsy-
net til at fastsætte nærmere regler om ud-
pegning af operatører af væsentlige tjene-
ster og de kriterier, som Finanstilsynet kan
lægge vægt på i forbindelse med udpeg-
ningen.
L 144 - 2017-18 - Endeligt svar på spørgsmål 5: Spm. om ministeren vil tilsende udvalget en skematisk oversigt over samtlige bemyndigelsesbestemmelser i lovforslaget med oplysninger om, hvordan og med hvilket indhold de enkelte bemyndigelser vil blive udmøntet, til erhvervsministeren
1876133_0006.png
6/6
Finanstilsynet bemyndiges endvidere til at
fastsætte nærmere regler om hændelses-
rapportering for operatører af markeds-
pladser og centrale modparter (CCPere),
der udpeges som operatører af væsentlige
tjenester, herunder kan Finanstilsynet fast-
sætte nærmere regler om, at Finanstilsynet
og Center for Cybersikkerhed underrettes
ved en hændelse, der har en negativ ind-
virkning på sikkerheden i virksomhedens
net- og informationssystemer.
Bemyndigelsen til at fastsætte nærmere
regler om hændelsesrapporteringen, vil
blive udmøntet ved udkast til bekendtgø-
relse om hændelsesrapportering for opera-
tører af væsentlige tjenester, som blev
sendt i offentlig høring den 28. februar
2018 med høringsfrist den 28. marts 2018.
Med venlig hilsen
Brian Mikkelsen