L 174 Forslag til lov om supplerende bestemmelser til forordningen om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed)

(lov om cybersikkerhedscertificering).

Af: Erhvervsminister Simon Kollerup (S)

Udvalg: Erhvervsudvalget

Samling: 2020-21

Status: Stadfæstet

Del

Jeg accepterer Folketingets vilkår for deling

1. Folketinget tilbyder brugerne af ft.dk at dele tv-produktioner produceret af Folketinget.

2. Tv-produktioner fra Folketinget må anvendes uden at blive ændret eller bearbejdet. Endvidere må der ikke bygges videre på Folketingets tv-produktioner. Ophavsmanden (eks. politikere og øvrige talere) har eneret til at udgive samlinger af sine egne indlæg jf. den danske ophavsretslovs § 26

Du kan se alle vilkår her

3. Folketinget tilbyder brugerne at dele Folketingets tv-produktioner via embed-kode, der kopieres fra hjemmesiden.

4. Det er ikke tilladt at ændre i den kopierede embed-kode.

Luk redigering

Start her

Slut her

Varighed 00:26:13

Redigere Klip Godkend

Godkend

Del på Twitter

Del på Facebook

Kopiér link

Kopiér embed

Send til en ven

james

Afbryd Send

Se video af alle taler

Det næste punkt på dagsordenen er:

3) 1. behandling af lovforslag nr. L 174:

Forslag til lov om supplerende bestemmelser til forordningen om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/313 (forordningen om cybersikkerhed) (lov om cybersikkerhedscertificering).

Af erhvervsministeren (Simon Kollerup).

(Fremsættelse 24.02.2021).

Forhandlingen er åbnet. Hr. Orla Hav, Socialdemokratiet. Værsgo.

Tak for det. Det bliver jo ofte sagt, at teknologien udvikler sig med eksplosiv fart, og det er vel også baggrunden for det lovforslag, vi står med i dag. Selv om det er et lille lovforslag, er det jo vigtigt at have sikkerhed for, at vi kan regne med, at det, der kommer i anvendelse, når vi bruger informations- og kommunikationsteknologien og de tjenester og processer, der hører dertil, er det, vi forventer kan tages i anvendelse, og at det, når vi i stigende grad benytter os af computerteknologien, så gør det muligt at håndtere komplekse processer.

Så længe udøverne af disse processer og produkter har reelle hensigter, er alting jo fint. Desværre er det ikke altid tilfældet. Nye muligheder skaber nye smuthuller for kriminalitet. Derfor er det velkomment, at regeringen fremlægger dette lovforslag, der er med til at gøre livet lettere for folk med reelle hensigter, og som åbner muligheder for at få styr på dem, der ikke har det.

Danske virksomheder betjener sig i høj grad af teknologi, der rækker ud i rummet omkring kloden. Data lagres i skyen eller bruges i lande over store afstande. Det stiller krav til de reelle hensigter og til det udstyr, man producerer eller gør brug af. For at gøre det nemmere for danske producenter af udstyr, der kan bruges i den såkaldte cyberverden, indføres der med lovforslaget en certificeringsmulighed for virksomhederne. Det indebærer, at kunderne til disse produkter har en sikkerhed, i form af at myndigheder har vurderet og sagt god for produkterne.

Dette princip kendes i mange andre sammenhænge, bl.a. i forbindelse med sikkerhedsudstyr eller udstyr, som bruges, hvor der er særlige risici. Og her er det Sikkerhedsstyrelsen, der i vidt omfang står for kontrol, vurdering og opfølgning på produktion og produkter. Når produkterne så at sige har fået det blå stempel, er det borgernes sikkerhed for, at de er i orden. Det giver naturligvis producenterne en konkurrencefordel, som kun opnås, ved at man underlægger sig en række krav om at leve op til en række kriterier, for at sikre, at udstyret virkelig er i orden.

En certificering godtgør, at produktet er udført i overensstemmelse med en eller flere standarder, der fastsætter et bestemt sikkerhedsniveau. Med lovforslaget henlægges opgaven til Sikkerhedsstyrelsen, der er den myndighed, der har erfaring fra andre områder inden for certificering eller anvendelse i forhold til de reelle hensigter, også i praksis. Heldigvis er dette den danske version af en opfølgning på det europæiske samarbejde, fordi det er hensigtsmæssigt, at lande arbejder tæt sammen for at forfølge gode resultater, og lige præcis cyberprodukter kender jo ingen grænser.

Socialdemokratiet støtter lovforslaget. Og jeg har lovet at sige, at det gør Det Radikale Venstre også.

Tak for det. Der er ikke nogen korte bemærkninger. Hr. Christoffer Aagaard Melson, Venstre. Værsgo.

Tak for det, formand. Vi synes, at hensigten med L 174 er rigtig god. Der er tale om en EU-implementering, som kræver, at medlemsstater udpeger en national myndighed for certificering af cybersikkerhed, og vi synes også, at det er rigtig fornuftigt, at der her i Danmark peges på Sikkerhedsstyrelsen som den danske nationale myndighed.

Det skaber jo grundlag for at kunne sikkerhedscertificere informations- og kommunikationsprodukter og -tjenester og -processer, hvilket skal være med til at nedbryde handelsbarrierer i EU og sikre den nødvendige tiltro til de teknologiprodukter, vi anvender i EU. Det er et yderst positivt tiltag, synes vi, og som vi i Venstre hilser meget velkommen, fordi det kan være med til at skabe et bedre indre marked for de her produkter.

I dag er der alt for store forskelle på de ordninger og standarder, som de forskellige EU-medlemsstater bruger til at certificere teknologiske produkter. Det forhindrer et sammenhængende digitalt indre marked og skaber både administrative og økonomiske udfordringer for virksomheder, der ønsker at lancere et digitalt og sikkert produkt. Forslaget vil derfor øge sikkerheden for den enkelte forbruger, lette gennemsigtigheden for produkter og mindske risikoen for cyberangreb. Det vil øge trygheden og fremme tilliden til digitalisering, og derfor støtter vi forslaget.

Som med så meget andet ligger djævlen jo selvfølgelig i detaljen, og noget af det, vi vil spørge ind til i udvalgsbehandlingen, er jo i forhold til administrationen af det her, og hvor administrativt bøvlet det bliver at blive certificeret, så vi sikrer os, at de små virksomheder også får mulighed for at være med på det her, og så de ikke får sværere ved at konkurrere end de større virksomheder, fordi det bliver for tungt. Det er noget af det, vi gerne vil drøfte.

Så skal vi selvfølgelig også sikre, at Sikkerhedsstyrelsen har de rigtige kompetencer og ressourcer til at løfte opgaven, og det vil vi også gerne være med til at skabe de rigtige forudsætninger for.

Vi ser frem til den kommende udvalgsbehandling, hvor Venstre vil bakke op om forslaget. Tak for ordet.

Tak for det. Hr. Hans Kristian Skibby, Dansk Folkeparti. Værsgo.

Tak. Kreativitet er noget, som udføres mange forskellige steder – af blomsterdekoratøren, af mesterkokken på michelinrestauranten. Men kreativitet er også noget, der udøves i kriminelle kredse – desværre. Og i takt med at man har fået flere og flere elektroniske kommunikationsveje og flere og flere brancher, som på en eller anden måde er koblet op på elektronik, så betyder det også, at kreativiteten desværre har vundet indpas mange af de steder, hvor man ikke har behov for kreativitet, nemlig inden for svindel og hos folk, der prøver at tjene lette penge.

Det er også det, der er en af årsagerne til, at vi jo igennem flere år har haft en europæisk forordning omkring cybersikkerhed. Det kan der være mange gode grunde til. Men der er jo altså det store »men«, at det har vist sig, at med efterspørgslen efter at få lidt mere validitet bag ved de forskellige produkter er der rigtig mange – både private forbrugere, men også business to business-kunder – som ønsker en større afvejning af de forskellige produkter og ydelsers troværdighed, som de reflekterer på, bl.a. ved at købe dem online. Det kan være i forhold til almindelige it-produkter og tjenesteydelser, og det kan også være i forhold til f.eks. forskellige processer.

Med det her lovforslag, som ministeren har fremsat, vil man jo så ophæve den eksisterende forordning og indføre en ny. Så jeg vil selvfølgelig også på vegne af Dansk Folkeparti glæde mig over, at der ryger en EU-forordning væk, og at vi så erstatter den med en, der efter vores opfattelse vil være bedre og mere fremtidsorienteret end den, vi har været vant til. Det er sund fornuft.

Så er det jo også med lovforslaget klart defineret, at opgaven med det her rent kompetence- og myndighedsmæssigt kommer til at ligge hos Sikkerhedsstyrelsen.

I forhold til indholdet er der ét sted, hvor Dansk Folkeparti i hvert fald vil have tingene belyst lidt ekstra, og det er i forhold til bestemmelserne om, at der også med det her lovforslag sikres hjemmel til at kunne komme ind i private virksomheders lokaler og så videre for at udøve kontrolmyndighed. Der vil vi i hvert fald stille et spørgsmål til ministeren, så vi får klarhed over, om man er på hundrede procent sikker grund i forhold til grundlov og alt muligt andet, så man ikke laver en hjemmel, som ligger ud over den adgang, man som offentlig styrelse og myndighed som minimum kan forvente at have i forhold til sådan at kunne vade ind på private virksomheders kontorer, faciliteter osv.

Men overordnet set er der tale om et fornuftigt lovforslag, og Dansk Folkeparti kan støtte det.

Tak for det. Der er ingen kommentarer. Så er det fru Anne Valentina Berthelsen, Socialistisk Folkeparti.

Tak for det. Det her forslag er faktisk utrolig vigtigt. Vi har jo været vidne til udviklingen af lidt af en jungle, hvad angår kommunikationstjenester og informationsteknologi. Det er alt sammen rigtig godt. Det er jo ting, som er en god understøttelse af udviklingen i vores moderne samfund og for vores store behov for at informationsudveksle, og vi kan bruge det til rigtig meget. Men det kommer selvfølgelig også med nogle usikkerheder, som vi bliver nødt til at være opmærksomme på. Derfor er det her forslag egentlig enormt kærkomment.

Vi har jo behov for at sikre, at udvalget af de her kommunikationstjenester og informationsteknologier er så sikre som overhovedet muligt. Der er jo en tiltagende cybersikkerhedstrussel, som i fremtiden kommer til at være en større del af vores sikkerhedspolitiske diskussioner, og det vil kræve en større opmærksomhed, når vi skal beskytte Danmark mod udefrakommende indtrængen på forskellige måder. Derfor tror jeg, at vi skal have et ekstra vågent øje på kommunikationstjenester og informationsteknologi, som jo spiller en enorm rolle, for hvis de ikke er tilstrækkelig sikre, kan der findes utrolig mange smuthuller og faldgruber i de her tjenester og teknologier.

Derfor synes jeg, at certificeringen af dem og muligheden for at certificere dem, så forbrugerne kan skelne mellem skidt og kanel, er utrolig kærkommen, og det bakker vi varmt op om. Men det er klart, at vi også skal sørge for, når vi laver sådan en certificeringsordning, at certificeringen så også bliver ordentlig, at der er gennemsigtighed i certificeringen, og at der er ordentlig kontrol med det. Derfor kommer vi i SF selvfølgelig til at interessere os enormt meget for at føre kontrol med det her: Hvordan bliver det gjort? Hvordan sikrer vi en ensartet og høj standard for certificeringen? Det tror vi er fremtiden for at sikre et mere tætmasket og sikkert net i vores kommunikations- og informationsteknologier.

Overordnet set tror jeg, at vi kommer til at støtte forslaget, men vi ser selvfølgelig frem til at få svar på nogle spørgsmål i udvalgsbehandlingen.

Tak. Der er ikke nogen kommentarer. Radikale Venstre er dækket ind, og så er det Bruno Jerup, Enhedslisten. Værsgo.

Jeg kan starte med konklusionen: Vi er positive over for forslaget. Vi mener, at det er meget nyttigt, at man har sådan en certificering, en cybersikkerhedscertificering, og vi synes også, at det er nyttigt og godt, at vi har et tilsynsorgan, Sikkerhedsstyrelsen, som holder øje med, hvorvidt de IKT-produkter, som bliver leveret, rent faktisk også overholder reglerne.

Derfor er vi sådan set også rigtig godt tilfredse med, at der er muligheder for, at man kan tilbagekalde en certificering, og at der også er nogle muligheder for faktisk at gå ind og lave, hvad skal man sige, et ret kontant indgreb i forhold til virksomheder, der ikke overholder de regler og alle ting, de påbud, de bliver stillet over for, så man både kan standse salg og levering og udbud af IKT-produkter.

Det synes vi faktisk er rigtig godt, og selv om der måske nok er nogle, der tænker, at vi vel ikke skal bruge for meget af det, så tænker jeg bare, at det, at man har det redskab, og at man rent faktisk kan gå ind ret klart og præcist og så lige stoppe en produktion af noget, som er skadeligt i forhold til cybersikkerhed, synes vi er en god ting. Så samlet set kan vi bare sige, at vi synes, at det her er et nyttigt og godt lovforslag.

Den eneste bemærkning, jeg måske lige kunne have lyst til at komme med her, er, at i forhold til den her rolle, som vores Sikkerhedsstyrelse får, er det også sådan, at der er et andet lovforslag på vej i Forsvarsministeriets regi, hvor det er Center for Cybersikkerhed, som ligesom står som kontrolorgan i den sammenhæng. Og nu har vi ikke det lovforslag på bordet her, men det er bare for måske over for erhvervsministeren lige at flage og stille spørgsmålet her: Er der en eller anden form for myndighedsoverlap i forhold til de to typer af sikkerhedslove, vi laver her? Det er sådan set det eneste.

Men udgangspunktet er, at vi er positive over for det fremsatte lovforslag.

Tak for det. Hr. Per Larsen, Det Konservative Folkeparti. Værsgo.

Tak for det, formand. Vi hører ikke så meget om det, men vi ved jo godt, det foregår: systemnedbrud, databrud og decideret hacking. Vi er blevet digitale, men vores nogle gange lidt for easygoing, typisk tillidsbaserede danske tilgang, kombineret med et ikke altid tidssvarende syn på risikoen, har det med at presse mange virksomheder. Både i forhold de ansvarlige medarbejdere, som måske begynder at synes, at det er en postgang for sent at nævne, at de ikke er helt klædt på til opgaven, og for de ansvarlige ledelser og direktioner, der simpelt hen ikke får prioriteret at klæde hverken virksomheden eller medarbejderne på til opgaven.

Alt for mange virksomheder er faldet i diverse svindelsager fra forfalskede sommerferiebreve om at sende penge til den såkaldte strandede direktør, til deciderede hackerangreb med massive konsekvenser til følge. Vi hører kun om få, for ingen ønsker selvfølgelig at udstille, at man måske har sovet i timen. Og derfor er det rigtig godt, at der nu er lavet en ny EU-forordning om cybersikkerhed, som selvfølgelig også skal gennemføres i Danmark.

Det er vigtigt at give virksomhederne, primært inden for informations- og kommunikationsteknologi, en frivillig mulighed for at lade sig certificere, så kunder og andre interessenter ved, at produkter og ydelser udføres på et vist sikkerhedsniveau. Det kan kun være et gode, og vi er ikke i tvivl om, at sådan en certificering kan være med til at forbedre de certificeredes konkurrenceevne. Det giver også god mening at lade Sikkerhedsstyrelsen føre tilsynet med certifikatet.

Derfor støtter vi Konservative forslaget.

Tak for det. Den næste ordfører – når der er sprittet af – er hr. Lars Boje Mathiesen, Nye Borgerlige.

Det er jo ikke alt, der kommer fra EU, vi er helt store fans af i Nye Borgerlige. Det kommer nok ikke som en hemmelighed. Men det her er nu ikke det værste, når alt kommer til alt. Vi kan godt lide, at det er en frivillig ordning, og vi deler de der bekymringsspørgsmål omkring det med det retssikkerhedsmæssige, men det er jeg sikker på vi får klarlagt under udvalgsbehandlingen. Så det skal være ordene herfra.

Tak. Så er det hr. Ole Birk Olesen, Liberal Alliance.

Vi stemmer for lovforslaget. Vi synes, det er godt med en certificeringsordning for cybersikkerhed for produkter, der skal leve op til nogle cybersikkerhedsstandarder. Det er godt for forbrugerne, det er godt for virksomhederne, og det er godt, at det sker på EU-plan her. Vi taler om et åbent marked; et marked, hvor man som dansk virksomhed køber i Tyskland eller i Frankrig, eller hvor man som fransk virksomhed køber i Danmark. Og derfor er det rigtig fornuftigt at have en fælles standard på området.

Så er der det positive ved det også, at det jo er frivilligt, om man vil deltage, altså om man vil have den her certificering, som er et tilbud til virksomhederne, som de kan vise til de mulige forbrugere og sige: Vi har certificeringen, så køb derfor vores produkt. Derfor deler vi heller ikke den skepsis, der kom fra, jeg tror, det var hr. Hans Kristian Skibby, som handler om muligheden for på virksomhedernes grund at kontrollere, at der er styr på tingene, for det er jo en konsekvens af, at man har valgt at være i ordningen. Det må man gerne fravælge, og så kommer der ikke nogen på besøg og tjekker, om man har styr på sikkerheden.

Så vi støtter lovforslaget.

Tak for det. Og så er det efterfølgende erhvervsministeren.

Tak for det. Og tak for de mange positive bemærkninger om lovforslaget. Hvis jeg bare lige kort skal fremhæve de centrale punkter, så er formålet med lovforslaget at supplere EU-forordningen om cybersikkerhed, som skal styrke it-sikkerheden i Europa og forbrugernes tillid til de mange produkter, der kan kobles på internettet, og give virksomhederne mulighed for at dokumentere, at deres produkter, tjenester eller processer lever op til de relevante sikkerhedskrav.

Lovforslaget om cybersikkerhedscertificering skal helt konkret sikre, at det fra den 28. juni i år bliver muligt for danske virksomheder på frivillig basis, som det er blevet fremhævet nogle gange, at få certificeret produkter, processer eller tjenester inden for cybersikkerhed.

EU-forordningen gælder jo umiddelbart i Danmark – sådan er det jo med den slags – men der er behov for supplerende bestemmelser om myndighedsudøvelsen i Danmark. Og med loven fastsættes det, at Sikkerhedsstyrelsen under Erhvervsministeriet bliver den ansvarlige myndighed på området.

Derudover kommer der en række bestemmelser for, hvordan Sikkerhedsstyrelsen kan føre tilsyn med de kommende certificeringer. Disse bestemmelser vedrører bl.a. tilsyn med de virksomheder, der udsteder selve cybersikkerhedsattesterne, og de virksomheder, der lader deres produkter certificere. På den måde skal loven bidrage til, at forbrugerne og erhvervslivet kan have større tillid til de omhandlede produkter, tjenester og ydelser.

Lovforslaget har, som I ved, været sendt i høring fra den 16. oktober til den 19. november sidste år. Der er kommet enkelte høringssvar, som alle udtrykker opbakning til lovforslaget og derudover kun har nogle ganske få bemærkninger.

Hvis jeg allerede i dag skal knytte et par bemærkninger til nogle af de ting, som er blevet fremhævet her, kan jeg starte hos Venstre og Christoffer Aagaard Melson, som spørger ind til det her med omkostningerne, også særlig i forhold til de mindre virksomheder. Altså, det er rigtigt, at det jo er den enkelte virksomhed, der skal afholde omkostningerne til certificeringsprocessen; det tror jeg er helt almindelig sædvane i forbindelse med certificeringer. Og eftersom det vil blive udbudt på markedsvilkår, er det svært at vurdere, hvor niveauet vil komme til at ligge henne, og hvordan det vil påvirke de forskellige størrelser af virksomheder, vi har. Men det var bare for lige at komme med et par bemærkninger om det, og vi kan sagtens også følge op på den del af det i udvalgsarbejdet.

Det er helt klart vores vurdering, at der er de rigtige kompetencer i Sikkerhedsstyrelsen, som også Venstre rejser som spørgsmål, men også – og det er måske så i virkeligheden et svar til Enhedslisten – at der jo vil være et godt samarbejde med bl.a. Center for Cybersikkerhed, så man får sparring i forbindelse med de tilsynsvurderinger, der skal laves. Ud over Sikkerhedsstyrelsen med den primære funktion og Center for Cybersikkerhed som sparringspartner er Erhvervsstyrelsen også koblet til det, så der sker en løbende koordinering og faglig sparring. Det er blot for at adressere det, der blev rejst spørgsmål om.

Så er det jo lige før, at Liberal Alliance har svaret på spørgsmålet fra DF om det her med at trænge ind, hvis der er behov for det, eller opnå adgang til virksomheder. Jeg føler måske bare trang til at supplere med at sige, at det er noget af det, der følger af forordningen: at den, der er myndighed på området, skal kunne få adgang til alle lokaler hos dem, der hedder overensstemmelsesvurderingsorganer, eller dem, der er indehavere af en attest ifølge det her. Så det er altså noget, der foregår der, og som har ophæng i forordningen. Det skal så være en konkret vurdering, om det er nødvendigt for at få de oplysninger, der skal til. Det kan jo sagtens være, at man kan få oplysningerne på anden vis, og så er det unødvendigt, men det er en tilgang, som vist i øvrigt også, tror jeg, gælder på vvs-området.

Så jeg er ikke så bekymret for det. Og som hr. Ole Birk Olesen jo også siger, er det hele koblet op på en frivillig vurdering af, om man ønsker at træde ind i den her ordning. Men også det kan vi komme nærmere i udvalgsarbejdet.

Endnu en gang tak for de positive bemærkninger. Og jeg ser frem til det videre arbejde.

Selv tak. Og der er en kort bemærkning fra hr. Hans Kristian Skibby. Værsgo.

Tak. Ministeren har jo ret – ingen tvivl om det – i forhold til det, der bliver sagt, men jeg tror, som også jeg nævnte i min ordførertale, at jeg udmærket var klar over, at det her var en frivillig model. Så er det ligesom slået fast.

Men hvis en person i Danmark vælger eksempelvis at indregistrere en bil i Danmark, så gør man det også frivilligt, men der følger jo nogle kontrolmuligheder med – politiet kan komme ind i bilen osv. Og det foregår under beskyttelse af den danske grundlov. Derfor er spørgsmålet jo meget evident. Man skal kigge på, om det her har nogle konsekvenser i forhold til krænkelse af den private ejendomsret osv. Jeg beder bare om at få et juridisk notat, som siger, at det har det ikke. Jeg kan ikke rigtig se sammenhængen her, altså hvor man siger: Jamen herregud, det her er jo frivilligt, så det kan man som virksomhed bare vælge at sige nej til. Men det kan du jo, som jeg siger, også, hvis du vælger f.eks. ikke at have en bil. Men der følger altså nogle rettigheder og nogle pligter med, og det gør der også i det her tilfælde. Der skal vi bare være sikre på, at det hænger juridisk sammen. Det var mest af alt en kommentar.

Ministeren.

Sådan tager jeg det også ned, og jeg er helt sikker på, at vi også kan lave et tilfredsstillende svar på tryk, forhåbentlig. Jeg forsøgte egentlig bare at supplere med at sige, at der, hvor vi certificerer på andre områder – det kan være autorisationer af virksomheder, der arbejder med el, vvs osv. – gælder der nogle lignende beføjelser fra Sikkerhedsstyrelsens side. Så det er ikke sådan en helt ny ting.

Men jeg hører ønsket, og det vil vi levere i udvalgsarbejdet.

Jeg vil gerne sige tak til ministeren.

Der er ikke flere, som har bedt om ordet, så forhandlingen er sluttet.

Jeg foreslår, at lovforslaget henvises til Erhvervsudvalget. Hvis ikke nogen af jer gør indsigelse, betragter jeg det som vedtaget.

Det er vedtaget.