FOU, Alm.del - 2019-20 - Bilag 47: Rapport om erfaringerne fra net-og informationssikkerhedsloven (NIS-loven), fra forsvarsministeren

Forsvarsudvalget 2019-20
FOU Alm.del Bilag 47
Offentligt

NOTAT

Erfaringsnotat vedrørende net- og informationssikker-

hedsloven

Center for Cybersikkerheds generelle erfaringer med net- og

informationssikkerhedsloven

I dette notat beskrives de erfaringer, som Center for Cybersikkerhed

har indhøstet ved anvendelse af lov nr. 1567 af 15. december 2015 om

net- og informationssikkerhed (net- og informationssikkerhedsloven).

I forbindelse med udvalgsbehandlingen af lovforslaget til loven besva-

rede forsvarsministeren den 17. november 2015 spørgsmål nr. 2,

hvoraf fremgår, at ministeren er indstillet på, at der udarbejdes en

rapport med erfaringerne med loven, som oversendes til Folketinget tre

år efter lovens ikrafttræden. Til brug for rapporten indhentes bidrag fra

Center for Cybersikkerhed og Tilsynet med Efterretningstjenesterne.

Dette notat udgør Center for Cybersikkerheds bidrag.

Det er Center for Cybersikkerheds erfaring, at loven har skabt kon-

struktive rammer og incitamentsstrukturer, der har sikret, at samar-

bejdet omkring teleudbydernes sikkerhedsmæssige indsats har været

tilfredsstillende. Teleudbyderne har således generelt medvirket positivt

og konstruktivt til at fremme net- og informationssikkerheden i sam-

fundet. Center for Cybersikkerhed er også af den klare opfattelse, at de

tilsyns- og påbudsmuligheder, der fremgår af loven, er meget væsent-

lige for at fastholde det konstruktive samarbejde mellem tilsynsmyn-

digheden (Center for Cybersikkerhed) og teleudbyderne.

Det er Center for Cybersikkerheds erfaring, at loven gennem dens krav

til udbyderne har medvirket til at opfylde lovens formål om at fremme

net- og informationssikkerheden i samfundet, og at der således ikke er

et aktuelt behov for ændringer af loven.

Risikobaseret tilgang til informationssikkerhed

Loven har sikret en regelmæssig dialog mellem Center for Cybersikker-

hed og de danske udbydere med henblik på at sikre, at udbyderne

gennemfører en risikobaseret tilgang til tekniske, processuelle og orga-

nisatoriske foranstaltninger med henblik på at opretholde et passende

informationssikkerhedsniveau i deres net og tjenester.

Oplysning og underretning

Oplysningspligterne har styrket Center for Cybersikkerheds overblik

over udbydernes infrastruktur, herunder hvilke produkter og leveran-

Dato:

3. december 2019

Forsvarets Efterretningstjeneste

Kastellet 30

2100 København Ø

Tlf.: 33 32 55 66

E-mail: [email protected]

www.fe-ddis.dk

Side 1 af 3

FOU, Alm.del - 2019-20 - Bilag 47: Rapport om erfaringerne fra net-og informationssikkerhedsloven (NIS-loven), fra forsvarsministeren

dører der anvendes. Det er erfaringen fra dialogen med teleudbyderne,

at disse generelt har inddraget nærmere angivne trusler mod informa-

tionssikkerheden i deres risikostyring.

Derudover skal væsentlige erhvervsmæssige udbydere af offentligt

tilgængelige net og tjenester skriftligt underrette Center for Cybersik-

kerhed forud for, at der indledes forhandlinger om aftaler, der vedrører

kritiske netkomponenter, systemer og værktøjer, herunder varetagelse

af driften heraf.

Denne oplysningspligt har givet Center for Cybersikkerhed mulighed

for, hvor det efter centerets skøn har været af væsentlig samfunds-

mæssig betydning, at indgå i en teknisk dialog med udbyderen om im-

plementering af konkrete informationssikkerhedsforanstaltninger i det

endelige kontraktudkast. Som eksempel kan nævnes de eksisterende

og kommende aftaler om 5G-leverancer til de danske teleudbydere.

De væsentlige erhvervsmæssige udbydere har generelt efterlevet kra-

vet og så betids, at det ikke indtil nu har været nødvendigt at udnytte

CFCS’

mulighed for at iværksætte en 10-arbejdsdages

”standstill-

periode”,

som loven giver mulighed for, før den endelige aftale kan

indgås.

De tilfælde, hvor Center for Cybersikkerhed har indgået i dialog med

udbyderne inden indgåelse af kontrakt, er Center for Cybersikkerheds

ønsker til specifikke sikkerhedskrav i alle tilfælde imødekommet i det

endelige aftaleudkast. Center for Cybersikkerhed har derfor ikke haft

anledning til at anvende muligheden for at udstede påbud til udbyderne

om at træffe konkrete foranstaltninger.

Det er dog fortsat Center for Cybersikkerheds vurdering, at eksistensen

af standstill-perioden og påbudsmulighederne medvirker til at sikre det

fornødne incitament hos ovennævnte udbydere til at påbegynde en

tidlig dialog med Center for Cybersikkerhed om kommende leverance-

kontrakter.

Som andet element påhviler der udbydere en underretningspligt der

har sikret, at Center for Cybersikkerhed løbende er blevet orienteret

om driftsproblemer i den danske teleinfrastruktur, hvilket især er nød-

vendigt, hvis en krisesituation kræver national koordinering.

Beredskabssituationer

Krav om, at udbydere skal foretage nødvendig planlægning og træffe

nødvendige foranstaltninger for i videst muligt omfang at sikre elektro-

nisk kommunikation i beredskabssituationer, har efter Center for Cy-

bersikkerheds erfaring styrket beredskabsarbejdet hos udbyderne. Det

er Center for Cybersikkerheds erfaring, at specielt erhvervsmæssige og

væsentlige erhvervsmæssige udbydere har fået udarbejdet bered-

skabsplaner, som i et omfang, det ikke har været tilfældet tidligere, nu

er baseret på en dokumenteret og ledelsesforankret risikostyringspro-

ces.

Side 2 af 3

FOU, Alm.del - 2019-20 - Bilag 47: Rapport om erfaringerne fra net-og informationssikkerhedsloven (NIS-loven), fra forsvarsministeren

Der har i lovens levetid ikke været en beredskabssituation eller anden

ekstraordinær situation, hvor Center for Cybersikkerhed har haft behov

for efter lovens § 5, stk. 3, at koordinere og prioritere beredskabsaktø-

rers behov for samfundsvigtig elektronisk kommunikation.

Aktindsigt

Enkelte udbydere har i dialogen med CFCS udtrykt ønske om, at en

straksrapportering i forbindelse med aktivering og deaktivering af tele-

udbyderens interne beredskab fritages for aktindsigt i sin helhed.

Tilsyn

Center for Cybersikkerhed har gennem lovens hidtidige levetid udført

en række tilsyn om efterlevelse af loven og tilhørende bekendtgørelser.

Det er Center for Cybersikkerheds erfaring, at hvor disse tilsyn har af-

dækket mangler eller uhensigtsmæssigheder i forhold til lovgivningen,

har berørte udbydere i dialog med Center for Cybersikkerhed efterføl-

gende justeret deres praksis i overensstemmelse med lovgivningens

hensigt.

Der var i forbindelse med lovens vedtagelse en i diskussion om Center

for Cybersikkerheds mulighed for som tilsynsmyndighed uden retsken-

delse at få adgang til udbydernes og udbydernes samarbejdspartneres

forretningslokaler med henblik på at påse overholdelse af loven.

I lovens endelige udformning blev det i § 9, stk. 6 og 7, fastsat, at en

sådan adgang kun kunne ske efter et skriftligt varsel på mindst 7 ar-

bejdsdage.

Det er Center for Cybersikkerheds erfaring, at disse bestemmelser ikke

har givet anledning til praktiske problemer. Center for Cybersikkerhed

har de gange, hvor centeret i forbindelse med tilsyn har haft behov for

at få adgang til udbydernes eller udbydernes samarbejdspartneres for-

retningslokaler, fået sikret en sådan adgang gennem dialog med udby-

derne og typisk med en kortere frist end de 7 dage.

Det har i praksis vist sig, at i de tilfælde, hvor en udbyder har outsour-

cet dele af nettet eller driften heraf til udlandet, har udbyderen, efter

råd fra Center for Cybersikkerhed, samtidig kontraktmæssigt sikret sig,

at Center for Cybersikkerhed har mulighed for at assistere og rådgive

udbyderen i dennes tilsyn med samarbejdspartneren i udlandet.

Konklusion

Det er Center for Cybersikkerheds erfaring, at loven gennem dens krav

til udbyderne har medvirket til at opfylde lovens formål om at fremme

net- og informationssikkerheden i samfundet, og at der således ikke er

et aktuelt behov for ændringer af loven.

Side 3 af 3