L 144 - 2017-18 - Endeligt svar på spørgsmål 8: Spm. om ministeren vil uddybe, hvilke typer hændelser, som operatører og udbydere skal indberette, herunder angive en række eksempler, til erhvervsministeren

Erhvervs-, Vækst- og Eksportudvalget 2017-18
L 144
Offentligt

Folketingets Erhvervs-, Vækst- og Eksportudvalg

ERHVERVSMINISTEREN

6. april 2018

Besvarelse af spørgsmål 8 ad L 144 stillet af udvalget den 19. marts

2018 efter ønske fra Karin Gaardsted (S) og Lisbeth Bech Poulsen

(SF)

Spørgsmål:

Vil ministeren uddybe, hvilke typer hændelser, som operatører og udby-

dere skal indberette, herunder angive en række eksempler?

Svar:

En operatør af væsentlige tjenester vil skulle underrette de kompetente

myndigheder (Erhvervsstyrelsen på det digitale område og Finanstilsynet

på det finansielle område) og Center for Cybersikkerhed om hændelser,

der har væsentlige konsekvenser for kontinuiteten af de væsentlige tjene-

ster, virksomheden leverer. Om en hændelse har væsentlige konsekvenser

for kontinuiteten af en væsentlig tjeneste skal i medfør af NIS-direktivet

navnlig fastlægges ud fra antallet af brugere, der berøres af hændelsen,

hændelsens varighed og det geografiske område, der er berørt af hændel-

sen.

For så vidt angår hændelser, som skal indberettes af operatører af væsent-

lige tjenester på domænenavnsområdet, fremgår dette af § 7 i udkast til

bekendtgørelse om sikkerhed i net- og informationssystemer for operatø-

rer af væsentlige tjenester på domænenavnsområdet, som er sendt i of-

fentlig høring den 13. marts 2018. De pågældende indberetningskriterier

er:

”1) at domænenavneservertjenesten har en oppetid på mindre end 100

pct., eller

2) at en rekursiv server i DNS-tjenesten ikke har været tilgængelig i over

6 timer eller i over 2.000.000 brugertimer, idet udtrykket ”brugertime”

henviser til antallet af berørte brugere i en periode på 60 minutter, eller

3) at en autoritativ navneserve i DNS-tjenesten ikke har været tilgængelig

i over 6 timer, eller

4) tab af integritet, autenticitet eller fortrolighed i forbindelse med lagre-

de, overførte eller behandlede data i forbindelse med domænenavneser-

vertjenesten eller DNS-tjenesten, som berører

mere end 10.000 brugere”

ERHVERVSMINISTERIET

Slotsholmsgade 10-12

1216 København K

Tlf.

33 92 33 50

Fax.

33 12 37 78

CVR-nr. 10092485

EAN nr. 5798000026001

[email protected]

www.em.dk

L 144 - 2017-18 - Endeligt svar på spørgsmål 8: Spm. om ministeren vil uddybe, hvilke typer hændelser, som operatører og udbydere skal indberette, herunder angive en række eksempler, til erhvervsministeren

2/3

Med hensyn til indberetningskriterierne for udbydere af digitale tjenester

fremgår disse af artikel 4, stk. 1, i Kommissionens gennemførelsesforord-

ning 2018/151/EU af 30. januar 2018. Det fremgår heraf, at:

”En hændelse anses

for at have betydelige konsekvenser, hvis den har

medført mindst én af følgende situationer:

a) tjenesten, der leveres af en udbyder af digitale tjenester, var ikke til-

gængelig i over 5 000 000 brugertimer, idet udtrykket »brugertime« hen-

viser til antallet af berørte brugere i Unionen i en periode på 60 minutter

b) hændelsen har ført til tab af integritet, autenticitet eller fortrolighed i

forbindelse med arkiverede, overførte eller behandlede data eller dermed

forbundne tjenester, der tilbydes af udbyderen eller er tilgængelige via

udbyderens net- og informationssystem, og dette tab berører mere end

100 000 brugere i Unionen

c) hændelsen har medført risiko for den offentlige sikkerhed eller tab af

menneskeliv

d) hændelsen har forårsaget materiel skade på over 1 000 000 EUR for

mindst én bruger i Unionen.”

Således skal fx en cloud computing-tjeneste, som på grund af et hacker-

angreb ikke har været tilgængelig for brugere i EU i over 5.000.000 bru-

gertimer, indberette hændelsen til myndighederne.

Et andet eksempel på en hændelse, der skal indberettes, er, hvis en såkaldt

rekursiv server i en DNS-tjeneste, som typisk udbydes af en internetud-

byder, ikke har været tilgængelig i over 6 timer fx på grund af en strøm-

afbrydelse.

For så vidt angår penge- og realkreditinstitutter, som er udpeget som ope-

ratør af en væsentlig tjeneste, vil et eksempel på en hændelse, der har væ-

sentlige konsekvenser for kontinuiteten af de væsentlige tjenester, virk-

somheden leverer, bl.a. kunne være, at der under en større systemopdate-

ring i en bank sker en teknisk fejl, som betyder, at der ikke kan gennem-

føres transaktioner på tværs af landegrænser i flere dage.

For en operatør af en markedsplads, kan en hændelse, der skal rapporteres

om, eksempelvis være et svigt i markedspladsens IT-system, der medfø-

rer, at driften af markedspladsen og hermed handlen med finansielle in-

strumenter, er nede i en længere periode.

I tilfælde af en hændelse vil det således kræve, at den enkelte virksomhed

foretager en konkret vurdering af, om der er tale om en hændelse, der har

væsentlige konsekvenser for kontinuiteten af de tjenester, som virksom-

heden leverer, og som er væsentlige for opretholdelsen af kritiske sam-

fundsmæssige eller økonomiske aktiviteter, eller vurderer hændelsen i

3/3

forhold til de kriterier, som er fastsat på bekendtgørelsesniveau eller i

Kommissionens gennemførelsesforordning.

Med venlig hilsen

Brian Mikkelsen