Forsvarsudvalget 2020-21
L 190 Bilag 1
Offentligt
2350529_0001.png
KOMMENTERET HØRINGSOVERSIGT
vedrørende
forslag til lov om leverandørsikkerhed
i den kritiske teleinfrastruktur
Dato:
Marts 2021
JSN
2020/008732
212633
Ingen
Et udkast til forslag til lov om leverandørsikkerhed i den kritiske tele-
infrastruktur har i perioden fra den 7. december 2020 til den 4. januar
2021 været sendt i høring hos følgende myndigheder og organisationer
m.v.:
Advokatrådet, Amnesty International, Bauer Media, Borch Teknik, Cibi-
com, Danmarks Radio, Dansk Beredskabskommunikation, Dansk Ener-
gi, Dansk Erhverv, Dansk Industri (DI), DANSK IT, Dansk Kabel TV,
Danske Advokater, Danske Regioner, Datatilsynet, Den Danske Dom-
merforening, DI Digital, Domstolsstyrelsen, Fibia, Forenede Danske
Antenneanlæg, Globalconnect, Hi3G Denmark, HORESTA, Institut for
Menneskerettigheder, IT-Branchen, IT-Politisk Forening, Justitia, KL,
Norlys, præsidenten for Vestre Landsret, præsidenten for Østre Lands-
ret, Retspolitisk Forening, Rigsombudsmanden i Grønland, Rigsom-
budsmanden på Færøerne, Rigsrevisionen, Rådet for Digital Sikkerhed,
samtlige byretspræsidenter, TDC, TeleDCIS, Teleindustrien (TI), Tele-
nor, Telia Company Danmark, Tilsynet med Efterretningstjenesterne,
TT-Netværket, TV 2 DTT og Waoo.
Forsvarsministeriet har modtaget høringssvar fra:
Advokatsamfundet, Chinese Chamber of Commerce in Denmark
(CCCD), Danmarks Radio (DR), Dansk Energi, Dansk Erhverv og IT-
Branchen, Danske Regioner, Datatilsynet, DI, Domstolsstyrelsen, For-
enede Danske Antenneanlæg, Huawei, Institut for Menneskerettighe-
der, KL, præsidenten for Københavns Byret på vegne af byretspræsi-
denterne, præsidenterne for henholdsvis Vestre og Østre Landsret,
Retspolitisk Forening, Rigsrevisionen, Rådet for Digital Sikkerhed, Tele-
industrien og Tilsynet med Efterretningstjenesterne.
Nedenfor er gengivet de væsentligste punkter i de modtagne hørings-
svar. Forsvarsministeriets kommentarer til høringssvarene er angivet i
kursiv.
Enhed:
Sagsnr.:
Dok.nr.:
Bilag:
Forsvarsministeriet
Holmens Kanal 9
1060 København K
Side 1 af 32
 L 190 - 2020-21 - Bilag 1: Høringssvar og høringsnotat fra forsvarsministeren
2350529_0002.png
1. Generelle bemærkninger
Datatilsynet, Domstolsstyrelsen, Forenede Danske Antenneanlæg, KL
og Tilsynet med Efterretningstjenesterne har ikke bemærkninger til
lovforslaget. Præsidenten for Københavns Byret på vegne af byrets-
præsidenterne, præsidenterne for henholdsvis Vestre og Østre Landsret
samt Rigsrevisionen har ikke ønsket at udtale sig om lovforslaget. Ad-
vokatrådet har oplyst, at rådet har besluttet ikke at afgive høringssvar.
Det bemærkes for god ordens skyld, at myndighederne på Færøerne og
i Grønland indgår i en arbejdsgruppe med danske myndigheder. Ar-
bejdsgruppens arbejde er ikke afsluttet.
DR anerkender, at der er en høj trussel fra cyberspionage mod telesek-
toren i Danmark. De er derfor også enige i behovet for at styrke tele-
myndighederne for at kunne forbyde konkrete leverandøraftaler vedrø-
rende den kritiske teleinfrastruktur, hvis aftalerne vurderes at udgøre
en trussel mod statens sikkerhed.
Dansk Energi bakker grundlæggende op om lovforslagets hovedformål
om at sikre en robust teleinfrastruktur og derigennem beskytte Dan-
mark mod bl.a. spionage, sabotage og nedbrud af samfundskritiske
funktioner.
Dansk Erhverv og IT-Branchen samt Forenede Danske Antenneanlæg
støtter regeringens overordnede hensigt om at øge sikkerheden i tele-
infrastrukturen. Dansk Erhverv og IT-Branchen støtter private udbyde-
res og offentlige myndigheders fortsatte systematiske og vedholdende
arbejde for at sikre teleinfrastrukturen og øvrig digital infrastruktur.
Danske Regioner finder det som udgangspunkt positivt, at Center for
Cybersikkerhed med lovforslaget får bedre muligheder for at kunne
varetage sikkerheden i den teleinfrastruktur, som regionerne benytter
til kritisk kommunikation i forbindelse med patientbehandling og leve-
ring af sundhedsydelser. Danske Regioner finder således, at lovforsla-
get understøtter en styrket sikkerhed i den samfundskritiske sundheds-
sektor og regionernes arbejde med cyber- og informationssikkerhed.
DI støtter behovet for en lovgivning, der øger sikkerheden i den danske
teleinfrastruktur. Organisationen anfører, at teleinfrastrukturen er kri-
tisk samfundsinfrastruktur, og at det er væsentligt at beskytte den
mod eventuelle sikkerhedsrisici.
Huawei anfører, at virksomheden støtter en klar og streng regulering af
krav til netværkssikkerhed i den kritiske teleinfrastruktur.
Sagsnr.: 2020/008732
Dok.nr.: 212633
Side 2 af 32
 L 190 - 2020-21 - Bilag 1: Høringssvar og høringsnotat fra forsvarsministeren
2350529_0003.png
Retspolitisk Forening anfører, at de er enige i, at der hersker et presse-
rende behov for at øge leverandørsikkerheden i den kritiske teleinfra-
struktur, og organisationen kan derfor støtte, at der som foreslået ved-
tages en lov, som bl.a. vil give Center for Cybersikkerhed beføjelser til
at forbyde visse aftaler om leverancer af kritisk teleinfrastruktur.
Rådet for Digital Sikkerhed finder det positivt, at cybersikkerhed gøres
til en parameter i forbindelse med indkøb af komponenter til den kriti-
ske infrastruktur.
Teleindustrien finder det positivt, at regeringen sætter fokus på den
digitale infrastrukturs samfundskritiske funktion, og organisationen
anfører, at lovforslaget tager udgangspunkt i, at velfærd og velstand i
det danske samfund i høj grad afhænger af en velfungerende og sikker
teleinfrastruktur. Det er en vurdering, som telebranchen i allerhøjeste
grad deler.
2. Anvendelsesområdet
Dansk Erhverv og IT-Branchen anfører, at organisationerne anser defi-
nitionen af ”kritisk infrastruktur”
for at være uklar, og at den efter or-
ganisationernes opfattelse skal præciseres væsentligt.
DI vurderer, at det vil være mere oplagt at harmonisere definitionen af
kritisk teleinfrastruktur i forhold til EU’s 5G-toolbox,
som graduerer
kritisk teleinfrastruktur, i stedet for at anvende et skarpt skel mellem
kritisk og ikke-kritisk teleinfrastruktur.
Huawei anfører, at definitionen af kritiske netkomponenter, systemer
og værktøjer ikke følger tilgangen til definition af kritisk infrastruktur i
EU’s NIS Toolbox. Huawei
anbefaler, at definitionerne i lovforslaget
tilpasses til definitionerne i den internationale vejledning, der findes i
f.eks.
internationale sikkerhedscertificeringsordninger som
NE-
SAS/SCAS og Common Criteria, og opfordrer til, at der hentes inspira-
tion fra definitionerne i NIS Tool Box vedrørende eksempler på mindre
indgribende foranstaltninger. Huawei finder, at en sådan harmonise-
rende tilgang bør fastlægges direkte i lovforslaget for at sikre transpa-
rente og klare kriterier samt for i højere grad at sikre, at reguleringen
proaktivt kan fungere markedskorrigerende i sig selv, uden at Center
for Cybersikkerhed reaktivt skal håndhæve reguleringen.
Rådet for Digital Sikkerhed finder, at der er foretaget en dansk forsim-
pling af kritisk eller ikke kritisk infrastruktur, hvilket efter rådets opfat-
telse ikke er meningsfuldt, når EU arbejder med flere nuancer.
Sagsnr.: 2020/008732
Dok.nr.: 212633
Side 3 af 32
 L 190 - 2020-21 - Bilag 1: Høringssvar og høringsnotat fra forsvarsministeren
2350529_0004.png
Teleindustrien konstaterer, at den nuværende definition i lovforslagets
§ 1, nr. 1, svarer til samme definition i net- og informationssikkerheds-
loven. Organisationen finder, at definitionen er meget bred. Organisati-
onen anfører endvidere, at stort set alle it-systemer, der anvendes i en
teleudbyders forretning
herunder tjenesteudbydere, der ikke har eget
netværk, men anvender egne support-systemer
vil blive omfattet af
loven. Organisationen finder det også uklart, hvad der forstås ved
”centrale routere og servere i backbonenettet”,
og giver udtryk for, at
der ingen afgrænsning er
af, hvad der er ”centrale” og ”ikke-centrale”
routere. Organisationen finder det tilsvarende uklart, hvad der menes
med ”hardware […], der anvendes i corenet”.
Det er organisationens
opfattelse, at udbyderne er overladt til Center for Cybersikkerheds
uforudsigelige vurdering af, om et netværkselement er omfattet. Tele-
industrien opfordrer til, at de dele af udbydernes infrastruktur, der om-
fattes af loven, entydigt angives, samt at dette afgrænses til kun at
gælde det absolut mest nødvendige.
Lovforslagets § 1, nr. 1, definerer kritiske netkomponenter, systemer
og værktøjer, og den anvendte definition svarer til definitionen i § 1,
nr. 1, i bekendtgørelse nr. 258 af 22. februar 2021 om oplysnings- og
underretningspligter vedrørende sikkerhed i net og tjenester, som er
udstedt i medfør af lov om sikkerhed i net og tjenester, jf. lovbekendt-
gørelse nr. 153 af 1. februar 2021.
Definitionen var genstand for nøje overvejelser i forbindelse med
udstedelsen af den første bekendtgørelse om oplysnings- og
underretningspligter vedrørende net- og informationssikkerhed i 2016.
Definitionen indeholder således en detaljeret opregning af de dele af
telenettet, der vurderes at være kritiske. I lovforslaget bliver disse dele
beskrevet nærmere og eksemplificeret i bemærkningerne til bestem-
melsen.
Det vurderes ikke hensigtsmæssigt at udarbejde en mere udtømmende
liste over alle kritiske dele af teleudbydernes systemer og komponen-
ter. En sådan liste ville blive meget omfattende og ville i praksis kræve
hyppige ændringer af loven, da den teknologiske udvikling på teleom-
rådet gør, at der løbende anskaffes nye typer af kritiske systemer og
kritiske komponenter.
Definitionen af kritiske netkomponenter, systemer og værktøjer har
været anvendt i net- og informationssikkerhedsreguleringen siden
2016. Det er dermed en definition, der er velkendt af telebranchen.
Forsvarsministeriet har ikke kendskab til, at anvendelsen af definitio-
nen i praksis skulle have givet anledning til grundlæggende udfordrin-
ger.
Sagsnr.: 2020/008732
Dok.nr.: 212633
Side 4 af 32
 L 190 - 2020-21 - Bilag 1: Høringssvar og høringsnotat fra forsvarsministeren
2350529_0005.png
For regeringen er det vigtigt, at reguleringen sikrer en robust teleinfra-
struktur og derigennem beskytter Danmark mod bl.a. spionage, sabo-
tage og nedbrud af samfundskritiske funktioner. Reguleringen bør der-
for omfatte alle de dele af teleinfrastrukturen, der er kritiske for tele-
nettets funktion. Forsvarsministeriet finder på den baggrund ikke
grundlag for at ændre
og herunder graduere
definitionen af kritiske
netkomponenter, systemer og værktøjer.
3. Kriterier for forbud
Teleindustrien anfører, at organisationen anser kriterierne for, om der
foreligger en ”trussel mod statens sikkerhed”, for at være uklare og
uforudsigelige, hvilket efter organisationens opfattelse medfører en
meget stor regulatorisk usikkerhed for såvel teleselskaber som udstyrs-
leverandører. Organisationen giver således udtryk for, at det er van-
skeligt at se, at der er tale om objektive og klare kriterier. CCCD og
Huawei anfører tilsvarende, at de anser kriterierne for at være uklare,
og at det efter deres opfattelse kan føre til uforudsigelige afgørelser.
Lovforslaget indebærer, at Center for Cybersikkerhed i særlige tilfælde
vil kunne forbyde teleudbydere at indgå en leverandøraftale, der vedrø-
rer kritiske dele af teleinfrastrukturen, såfremt aftalen vurderes at ud-
gøre en trussel mod statens sikkerhed.
Ved vurderingen af, om en aftale udgør en trussel mod statens sikker-
hed, vil Center for Cybersikkerhed kunne lægge vægt på forhold vedrø-
rende den leverandør, som teleudbyderen ønsker at anvende. I vurde-
ringen vil kunne indgå forhold vedrørende både leverandøren, leveran-
dørens væsentligste underleverandører samt andre aktører, der udøver
kontrol over eller har betydelig indflydelse på leverandøren, f.eks. leve-
randørens ejere eller bestyrelsesmedlemmer.
Der vil være tale om en samlet vurdering, hvori der vil indgå en række
objektive kriterier. Eksempelvis vil Center for Cybersikkerhed kunne
lægge vægt på, om en leverandør m.v. er hjemmehørende i eller vare-
tager produktionen eller driften fra et land, som Danmark ikke har ind-
gået en sikkerhedsaftale med, eller som Danmark ikke har et tilsvaren-
de sikkerhedsmæssigt samarbejde med. Der vil også kunne lægges
vægt på, om leverandøren m.v. er hjemmehørende i eller varetager
produktionen eller driften fra et land, hvor det efter det pågældende
lands lovgivning er muligt at pålægge leverandører eller deres underle-
verandører at udføre eller deltage i forhold, som vil udgøre spionage
eller sabotage.
Herudover vil Center for Cybersikkerhed kunne lægge vægt på, om
leverandøren m.v. direkte eller indirekte kontrolleres af et andet lands
Sagsnr.: 2020/008732
Dok.nr.: 212633
Side 5 af 32
 L 190 - 2020-21 - Bilag 1: Høringssvar og høringsnotat fra forsvarsministeren
2350529_0006.png
statslige organer, herunder militære myndigheder, samt om leverandø-
ren m.v. er eller har været involveret i aktiviteter i Danmark eller andre
lande, som har medført en negativ påvirkning af statens sikkerhed,
informationssikkerheden eller den offentlige orden.
Forsvarsministeriet anser denne model, hvor der med udgangspunkt i
en række objektive kriterier foretages en samlet vurdering, der er ba-
seret på Center for Cybersikkerheds telefaglige og sikkerhedsmæssige
ekspertise, for at være hensigtsmæssig. Modellen sikrer, at Center for
Cybersikkerhed kan inddrage en række forskellige
og ofte modsatret-
tede
aspekter i den samlede vurdering, herunder at Center for Cy-
bersikkerhed får mulighed for at lægge vægt på de aspekter, som tele-
udbyderne måtte fremføre i dialogen med centeret.
Vurderingen af, om aftalen vil udgøre en trussel mod statens sikker-
hed, vil typisk ske som sidste trin i forbindelse med den underretnings-
ordning, der i forvejen er etableret i medfør af lov om sikkerhed i net
og tjenester. Allerede på det tidspunkt, hvor en teleudbyder påbegyn-
der overvejelserne om at indgå en ny leverandøraftale, vil teleudbyde-
ren derfor være i kontakt med Center for Cybersikkerhed, og centeret
vil i den efterfølgende proces kunne give teleudbyderen omfattende
rådgivning og vejledning om de sikkerhedsmæssige aspekter af aftalen,
herunder aspekter, som efter centerets vurdering vil kunne udgøre en
trussel mod statens sikkerhed. Det sikrer en høj grad af forudsigelighed
i det senere forhandlingsforløb, hvor teleudbyderen på et tidligt tids-
punkt vil være bekendt med Center for Cybersikkerheds vurdering af
den konkrete aftale.
I forhold til allerede indgåede aftaler vil lovforslaget i første omgang
ikke omfatte aftaler, der er indgået forud for høringstidspunktet (den 7.
december 2020). Det foreslås dog, at ældre aftaler, der stadig måtte
være i kraft, omfattes fra den 1. januar 2026. Det er Forsvarsministeri-
ets vurdering, at meget få aftaler på teleområdet har så lang varighed,
men også i forhold til eksisterende aftaler vil Center for Cybersikkerhed
indgå i et rådgivnings- og dialogforløb med teleudbyderen, bl.a. med
henblik på at afklare, om mindre indgribende foranstaltninger end et
forbud vil være tilstrækkelige.
Teleudbyderen vil således altid kunne få rådgivning og vejledning hos
Center for Cybersikkerhed vedrørende de sikkerhedsmæssige aspekter
af konkrete aftaler.
Teleindustrien anser lovforslagets kriterium om leverandører m.v., der
har været involveret i aktiviteter, som har
medført ”en negativ påvirk-
ning af statens sikkerhed, informationssikkerheden eller den offentlige
orden”,
for at være cirkulært formuleret, idet det kan være en trussel
Sagsnr.: 2020/008732
Dok.nr.: 212633
Side 6 af 32
 L 190 - 2020-21 - Bilag 1: Høringssvar og høringsnotat fra forsvarsministeren
2350529_0007.png
mod statens sikkerhed, hvis aktøren har haft en negativ påvirkning af
statens sikkerhed. Organisationen anfører videre, at selv en undskylde-
lig fejl i et stykke software kan udgøre en ”negativ påvirkning af infor-
mationssikkerheden”, og dermed være en trussel mod statens sikker-
hed.
Forsvarsministeriet kan bekræfte, at det ved vurderingen af, om en
leverandøraftale kan udgøre en trussel mod statens sikkerhed, vil kun-
ne indgå, om leverandøren har været involveret i aktiviteter i Danmark
eller udlandet, der har medført en negativ påvirkning af statens sikker-
hed. Har leverandøren udført sådanne aktiviteter i andre sammenhæn-
ge, vil det selvsagt tale for, at der er risiko for en gentagelse
og at
den nye aftale dermed kan udgøre en trussel mod statens sikkerhed.
For så vidt angår undskyldelige fejl hos en leverandør, som har medført
en negativ påvirkning af informationssikkerheden, vil dette normalt
ikke medføre, at en aftale anses for at udgøre en trussel mod statens
sikkerhed.
Teleindustrien henstiller til, at der undgås tvivl om, hvad der forstås
ved hhv. ”statens sikkerhed” og ”national sikkerhed”.
Som anført i bemærkningerne til lovforslagets § 2 anvendes udtrykket
statens sikkerhed i forvejen i lov om sikkerhed i net og tjenester, og
udtrykket skal forstås i overensstemmelse med det EU-retlige udtryk
den nationale sikkerhed.
Teleindustrien anfører, at
det er uklart, hvad der forstås ved ”kontrol”
og ”betydelig indflydelse” i lovforslagets § 2, stk. 1,
(§ 2, stk. 2, i det
fremsatte lovforslag).
Som anført i bemærkningerne til lovforslagets § 2 vil aktører, der udø-
ver kontrol over eller betydelig indflydelse på leverandøren, være aktø-
rer, der direkte eller indirekte er i besiddelse af eller har kontrol over
ejerandele eller stemmerettigheder i en virksomhed, eller har tilsva-
rende kontrol ved andre midler, herunder langfristede lån, som giver
betydelig indflydelse på ledelsesmæssige, finansielle eller udviklings-
eller driftsmæssige forhold.
Teleindustrien anfører, at det ikke er klart for organisationen, hvilke
lande Danmark har indgået sikkerhedsaftaler med, og som dermed i
tilstrækkeligt omfang opfylder kriteriet i lovforslagets § 2, stk. 1, nr. 1,
(§ 2, stk. 2, nr. 1, i det fremsatte lovforslag). Organisationen anfører
videre, at det ikke synes nærmere defineret, hvad der forstås ved be-
grebet ”tilsvarende sikkerhedssamarbejder”. Tilsvarende anfører orga-
nisationen, at teleudbyderne ikke har indsigt i, hvilke lande det efter
Sagsnr.: 2020/008732
Dok.nr.: 212633
Side 7 af 32
 L 190 - 2020-21 - Bilag 1: Høringssvar og høringsnotat fra forsvarsministeren
2350529_0008.png
lovgivningen er muligt at pålægge leverandører eller deres underleve-
randører at udføre eller deltage i forhold, som vil udgøre spionage eller
sabotage. Organisationen foreslår derfor, at Center for Cybersikkerhed
forpligtes til løbende at udarbejde og offentliggøre en oversigt over
lande og producenter, som potentielt udgør en trussel mod statens
sikkerhed. Teleindustrien anfører desuden, at der fremgår af kriterierne
i lovforslagets § 2, stk. 1, nr. 2 og 3, (§ 2, stk. 2, nr. 2 og 3, i det
fremsatte lovforslag), at der udover lande, hvor leverandøren er
hjemmehørende, også kan lægges vægt på lande, hvor produktionen
eller driften varetages fra. Det er ifølge organisationen uklart, om tele-
udbyderne uden risiko vil kunne indgå aftaler med leverandører fra
lande, som Danmark har en aftale om sikkerhedssamarbejde med, men
som har henlagt hele eller dele af deres produktion til ikke-vestlige
lande, som Danmark formentlig ikke har en sikkerhedsaftale med.
Dansk Energi anfører, at den udløsende faktor for nedlæggelse af for-
bud efter lovforslagets kapitel 2 vil være forhold vedrørende leverandø-
ren og/eller underleverandører til leverandøren, men at det for Dansk
Energi ikke fremstår klart, hvordan teleudbyderne fremover skal kunne
identificere og udvælge leverandører, idet teleudbyderne ikke vil have
viden om hvilke leverandører, som Center for Cybersikkerhed måtte
anse for at udgøre en trussel mod statens sikkerhed.
Lovforslaget indebærer ikke, at der vil blive foretaget en vurdering af,
om konkrete leverandører vil udgøre en trussel mod statens sikkerhed
eller ej. Derimod vil der blive foretaget en vurdering af, om de enkelte
leverandøraftaler samlet set vil udgøre en trussel mod statens sikker-
hed. Der vil således ikke være tale om, at teleudbyderne udelukkes fra
at anvende bestemte leverandører.
Spørgsmålet om, hvorvidt leverandøren m.v. er hjemmehørende i eller
varetager produktionen eller driften fra et land, som Danmark ikke har
indgået en sikkerhedsaftale med, eller som Danmark ikke har et tilsva-
rende sikkerhedsmæssigt samarbejde med, eller om leverandøren m.v.
er hjemmehørende i eller varetager produktionen eller driften fra et
land, hvor det efter det pågældende lands lovgivning er muligt at på-
lægge leverandører eller deres underleverandører at udføre eller delta-
ge i forhold, som vil udgøre spionage eller sabotage, vil indgå i den
samlede vurdering, men sammen med en række andre aspekter.
I forbindelse med den dialog, der er mellem teleudbyderen og Center
for Cybersikkerhed forud for indgåelsen af leverandøraftaler vedrøren-
de den kritiske teleinfrastruktur, vil Center for Cybersikkerhed nærme-
re kunne rådgive teleudbyderen om, hvorvidt der i forbindelse med den
konkrete aftale er forhold, som gør, at centeret vurderer, at aftalen vil
udgøre en trussel mod statens sikkerhed.
Sagsnr.: 2020/008732
Dok.nr.: 212633
Side 8 af 32
 L 190 - 2020-21 - Bilag 1: Høringssvar og høringsnotat fra forsvarsministeren
2350529_0009.png
Teleindustrien har noteret sig, at det er en forudsætning for anvendel-
sen af lovforslagets § 3, at der ikke blot kan konstateres en trussel
mod statens sikkerhed, som er tilfældet med forbud efter lovforslagets
§ 2, men at truslen skal være ”væsentlig”. Organisationen giver dog
udtryk for den opfattelse, at der ikke er nogen kvalificering af væsent-
lighedsbegrebet i lovens bemærkninger.
Som anført i bemærkningerne til lovforslagets § 3 vil det, for at der
foreligger en væsentlig trussel mod statens sikkerhed, være et krav, at
truslen er mere konkretiseret end en trussel efter lovforslagets § 2.
Teleindustrien finder, at der bør tages særlige hensyn forud for anven-
delse af forbud mod indgåelse af aftaler, der vedrører en forlængelse
eller genforhandling af eksisterende aftaler. Organisationen finder såle-
des, at et sådant forbud mod f.eks. en aftale om support eller reserve-
dele de facto kan medføre, at allerede leveret og lovligt udstyr bliver
ubrugeligt. Organisationen opfordrer derfor til, at det direkte kommer
til at fremgå af lovteksten, at forbud efter lovens § 2, for så vidt angår
forlængelse eller genforhandling af eksisterende aftaler, og forbud efter
§ 3 ikke kan bringes i anvendelse, med mindre der er sket en konkret
og væsentlig ændring af den sikkerhedsmæssige vurdering i forhold til
den konkrete aftales parter og indhold, og før mindre indgribende for-
anstaltninger, som Center for Cybersikkerhed har taget i anvendelse,
jf. lov om net- og informationssikkerhed, har vist sig utilstrækkelige.
Det følger udtrykkeligt af lovforslagets § 2, stk. 3, og § 3, stk. 4, at
Center for Cybersikkerhed kun kan nedlægge forbud mod en aftale
m.v., hvis hensynet til statens sikkerhed ikke effektivt kan varetages
ved mindre indgribende foranstaltninger.
Som det fremgår af bemærkningerne til lovforslagets § 3 vil bestem-
melsen først og fremmest finde anvendelse, hvis det ved den oprindeli-
ge aftaleindgåelse er blevet vurderet, at der ikke har været grundlag
for at nedlægge forbud mod aftalen efter den foreslåede § 2, men der
efterfølgende er sket en ændring, som gør, at der ville være blevet
nedlagt forbud, hvis de ændrede forhold havde været en realitet ved
aftaleindgåelsen. Disse forhold skal dog udgøre en væsentlig trussel
mod statens sikkerhed.
Forsvarsministeriet finder ikke, at der ved forlængelse af aftaler, som
er omfattet af lovforslagets § 2, er grundlag for at fastsætte en anden
ordning end ved indgåelse af nye aftaler, idet de samme hensyn vil
gøre sig gældende i de to situationer.
Sagsnr.: 2020/008732
Dok.nr.: 212633
Side 9 af 32
 L 190 - 2020-21 - Bilag 1: Høringssvar og høringsnotat fra forsvarsministeren
2350529_0010.png
Institut for Menneskerettigheder anfører, at det efter instituttets opfat-
telse vil være problematisk, hvis en så indgribende foranstaltning som
at nedlægge et forbud mod en teleudbyders aftaleindgåelse med en
konkret leverandør alene baseres på medieomtale. I sager, som Center
for Cybersikkerhed bliver gjort opmærksom på via medierne, må cen-
teret efter Institut for Menneskerettigheders opfattelse i det mindste
være forpligtet til at indgå i en dialog med den virksomhed, som kan
risikere at blive mødt af et forbud, hvilket gælder så meget desto me-
re, når centeret har mulighed for at offentliggøre et forbud i ikke-
anonymiseret form. Institut for Menneskerettigheder anbefaler, at For-
svarsministeriet i lovudkastets bemærkninger forudsætter, at Center
for Cybersikkerhed ikke alene kan basere en afgørelse om at nedlægge
et forbud på medieomtale.
En forudsætning om, at Center for Cybersikkerhed som udgangspunkt
ikke alene kan basere en afgørelse om at nedlægge et forbud på me-
dieomtale, fremgår allerede af bemærkningerne til lovforslagets § 2 om
forbud mod indgåelse af aftaler. Her er det anført, at det vil påhvile
Center for Cybersikkerhed at sikre, at sagen er tilstrækkeligt oplyst til,
at der kan træffes afgørelse om et forbud, og det anføres videre, at et
forbud dermed normalt ikke alene vil kunne baseres på f.eks. medie-
omtale.
CCCD giver udtryk for, at organisationen anser kriteriet i lovforslagets
§ 2, stk. 1, nr. 1, (§ 2, stk. 2, nr. 1, i det fremsatte lovforslag), for at
udgøre diskrimination af virksomheder hjemmehørende i lande, som
Danmark ikke har en forsvarsalliance med, eller som Danmark ikke har
et sikkerhedsmæssigt samarbejde med. Huawei anfører ligeledes, at
der efter virksomhedens mening med lovforslaget sker forskelsbehand-
ling baseret på nationalitet. Huawei finder ikke, at der er et retligt
grundlag for undtagelse fra de juridiske garantier for ikke-
diskrimination i international ret.
Hovedformålet med lovforslaget er at skabe hjemmel til, at Center for
Cybersikkerhed kan forbyde konkrete leverandøraftaler vedrørende den
kritiske teleinfrastruktur, hvis aftalerne vurderes at udgøre en trussel
mod statens sikkerhed. Vurderingen vil ske med udgangspunkt i objek-
tive kriterier, og der er således ikke tale om, at lovforslaget er rettet
mod bestemte leverandører eller bestemte lande.
CCCD og Huawei bemærker, at alle leverandører deler den samme glo-
bale forsyningskæde. De giver på den baggrund udtryk for, at et forbud
mod en leverandør baseret på nationalitet derfor ikke vil forbedre sik-
kerheden, men alene hindre fri samhandel.
Sagsnr.: 2020/008732
Dok.nr.: 212633
Side 10 af 32
 L 190 - 2020-21 - Bilag 1: Høringssvar og høringsnotat fra forsvarsministeren
2350529_0011.png
Forsvarsministeriet skal understrege, at der ikke med lovforslaget ska-
bes hjemmel til at forbyde leverandører, men alene hjemmel til, at
konkrete leverandøraftaler m.v. vil kunne forbydes efter en individuel
vurdering.
4. Proportionalitet
Dansk Erhverv og IT-Branchen finder, at afgørelser om forbud kun bør
kunne træffes, hvis påbud efter lov om net- og informationssikkerhed
har vist sig ikke at være tilstrækkelige.
DI bemærker, at det i bestemmelserne om proportionalitet kan være
relevant at uddybe, hvilke konkrete foranstaltninger Center for Cyber-
sikkerhed skal forsøge, inden der nedlægges et forbud efter kapitel 2.
Desuden finder organisationen, at det bør overvejes, om leverandøren
og teleudbyderen kan inddrages i processen, således at den mindst
indgribende foranstaltning kan anvendes.
Huawei støtter det generelle princip i lovforslaget om, at et forbud ale-
ne kan anvendes, såfremt mindre indgribende foranstaltninger ikke
effektivt kan afværge risikoen, og at de mindre indgribende foranstalt-
ninger altid skal anvendes som den foretrukne løsning. Huawei anbefa-
ler, at Forsvarsministeriet lader sig inspirere af definitionerne i NIS Tool
Box vedrørende eksempler på mindre indgribende foranstaltninger.
Rådet for Digital Sikkerhed og Teleindustrien anfører, at indgrebsmu-
ligheden kun bør anvendes helt undtagelsesvis og efter en nøje afvej-
ning af truslen mod statens sikkerhed på den ene side og de operatio-
nelle sikkerhedsaspekter samt markedsmæssige konsekvenser på den
anden side. Organisationerne finder, at afgørelser om forbud kun bør
udstedes, hvis påbud efter lov om net- og informationssikkerhed har
vist sig ikke at være tilstrækkelige. Organisationerne anfører endvide-
re, at det altid bør vurderes, om leverandørsikkerhed kan opnås på en
mindre indgribende måde.
Kravet om proportionalitet fremgår udtrykkeligt af lovforslagets § 2,
stk. 3, og § 3, stk. 4. Det følger af disse bestemmelser, at Center for
Cybersikkerhed kun kan nedlægge forbud mod bl.a. indgåelse og op-
retholdelse af aftaler, hvis hensynet til statens sikkerhed ikke effektivt
kan varetages ved mindre indgribende foranstaltninger.
Indholdet af bestemmelserne er uddybet i bemærkningerne, hvoraf det
fremgår, at Center for Cybersikkerhed forud for nedlæggelse af et for-
bud skal have søgt at opnå det ønskede resultat gennem mindre ind-
gribende midler. Det vil således være en forudsætning, at centeret har
forsøgt at rådgive teleudbyderen om de tilpasninger af aftalen eller de
Sagsnr.: 2020/008732
Dok.nr.: 212633
Side 11 af 32
 L 190 - 2020-21 - Bilag 1: Høringssvar og høringsnotat fra forsvarsministeren
2350529_0012.png
sikkerhedsmæssige ændringer af kritiske komponenter, systemer m.v.,
som vil være nødvendige for, at der ikke længere vurderes at være en
trussel mod statens sikkerhed. Center for Cybersikkerhed vil også skul-
le have vurderet de relevante muligheder i lov om sikkerhed i net og
tjenester, herunder eksempelvis muligheden for at give påbud om, at
teleudbyderen skal foretage konkrete sikkerhedsforanstaltninger.
Gennem det rådgivnings- og dialogforløb, der således forudsættes at
være mellem teleudbyderne og Center for Cybersikkerhed, vil teleud-
byderne løbende have mulighed for at fremføre deres synspunkter over
for centeret. Teleudbyderne vil i den forbindelse også have mulighed
for at byde ind med forslag til konkrete mitigerende sikkerhedsforan-
staltninger med inspiration fra f.eks. internationale standarder eller
EU’s 5G Toolbox.
5. Erstatning i forbindelse med afgørelser om forbud
Dansk Energi er af den opfattelse, at forbud, der retter sig mod net-
komponenter, systemer og værktøjer, som er indkøbt og taget i brug
før den 7. december 2020, og som Center for Cybersikkerhed ikke tid-
ligere har vurderet skulle udgøre en trussel mod statens sikkerhed, bør
anses for ekspropriative indgreb, og derfor bør udløse fuldstændig er-
statning. Organisationen foreslår derfor, at det præciseres i lovforsla-
get, at indgreb, der retter sig mod anvendelsen af netkomponenter,
systemer og værktøjer, som er leveret eller taget i anvendelse inden
den 7. december 2020, udgør ekspropriative indgreb, således at tele-
udbydernes usikkerhed, for så vidt angår både direkte og indirekte om-
kostningsdækning, fjernes. Alternativt ønsker organisationen, at der
indføres en kompensationsordning, som sikrer teleudbyderne dækning
for de tab, som et indgreb medfører.
Dansk Erhverv og IT-Branchen anfører, at teleudbyderne bør have ret
til fuld erstatning ved afgørelser om forbud, der får betydning for an-
vendelsen af lovligt leveret udstyr, uanset om afgørelsen kan anses for
at udgøre ekspropriation. Ligeledes anfører DI, at afgørelser efter lov-
forslagets kapitel 2 kan lede til omfattende tab for udbyderne, og at
lovforslaget derfor bør suppleres med en ordning, hvorefter der skal
ydes fuld erstatning efter de almindelige regler om erstatning, også for
afgørelser, der ikke har karakter af ekspropriation.
Huawei anfører, at det er uklart, i hvilket omfang kravene til ekspropri-
ation kan være opfyldte, hvis Center for Cybersikkerhed udsteder et
forbud, der påvirker brugen af lovligt udstyr. Det bør efter Huaweis
opfattelse fastlægges, at en part i en sådan situation som minimum
kan forvente kompensation, ikke bare for installationsomkostninger,
men også for den service og support, der ville være leveret i produk-
Sagsnr.: 2020/008732
Dok.nr.: 212633
Side 12 af 32
 L 190 - 2020-21 - Bilag 1: Høringssvar og høringsnotat fra forsvarsministeren
2350529_0013.png
tets levetid, og ikke kun frem til det tidspunkt, som forbuddet specifikt
omfatter. Derudover anbefaler Huawei, at det fremgår, at et forbud
mod at deltage i udbudsprocesser (eller politisk eller administrativ ind-
blanding heri) udgør ekspropriation og et tab, der fuldt ud vil blive
kompenseret.
Rådet for Digital Sikkerhed og Teleindustrien giver udtryk for, at leve-
randørerne skal have ret til fuld erstatning ved forbud, der får betyd-
ning for anvendelse af lovligt leveret udstyr, uanset om det kan anses
for at udgøre ekspropriation.
Teleindustrien anfører endvidere, at det ved en nærmere gennemgang
af lovbemærkningerne er uklart for organisationen, hvornår der er tale
om ekspropriation, og hvordan grundlovens begreb ”fuldstændig
er-
statning” skal forstås i forbindelse med ekspropriation
efter lovforsla-
get. Teleindustrien bemærker endvidere, at lovforslaget, så vidt det
ses, ikke tager stilling til, at krav efter lovforslaget kan medføre bety-
delige direkte og indirekte negative økonomiske følgevirkninger i form
af øgede udgifter til nyanskaffelser, forringede netværksoplevelser for
kunderne og med evt. tabte markedsandele til følge m.m. Teleindustri-
en giver udtryk for den opfattelse, at et forbud mod direkte eller indi-
rekte anvendelse af allerede leveret og lovligt udstyr vil udgøre et eks-
propriativt indgreb. Teleindustrien henstiller derfor til, at det eksplicit
præciseres i lovbemærkningerne, at et forbud mod allerede indgåede
aftaler, herunder forbud der direkte eller indirekte får betydning for
anvendelse af lovligt leveret udstyr, vil give udbyderen ret til fuld er-
statning. Det gælder særligt aftaler, der er indgået før 7. december
2020.
Det følger af grundlovens § 73, stk. 1, at ejendomsretten er
ukrænkelig, og at ingen kan tilpligtes at afstå sin ejendom, uden hvor
almenvellet kræver det. Det kan kun ske ifølge lov og mod fuldstændig
erstatning.
Lovforslaget fastsætter
i overensstemmelse med grundlovens § 73
en ordning, hvorefter afgørelser om forbud mod en aftale m.v., der
udgør ekspropriation, vil skulle ske mod fuldstændig erstatning.
Det er forventningen, at der sjældent vil være behov for at træffe afgø-
relser om forbud mod aftaler m.v. efter lovens kapitel 2. Men i de til-
fælde, hvor Center for Cybersikkerhed vurderer, at der er behov for at
nedlægge et forbud, vil centeret skulle foretage en vurdering af, om
forbuddet vurderes at udgøre ekspropriation (og dermed skal ske mod
fuld erstatning). Vurderingen vil skulle foretages på baggrund af en
vurdering af indgrebets beskaffenhed, herunder indgrebets formål, i
hvilken grad indgrebet er generelt eller konkret, indgrebets intensitet
Sagsnr.: 2020/008732
Dok.nr.: 212633
Side 13 af 32
 L 190 - 2020-21 - Bilag 1: Høringssvar og høringsnotat fra forsvarsministeren
2350529_0014.png
samt indgrebets begrundelse (causa). Ved vurderingen af, om et for-
bud udgør ekspropriation, vil det indgå, om forbuddet vedrører indgåel-
se af en ny aftale eller forbud mod anvendelse af allerede leveret ud-
styr.
I det omfang en afgørelse om forbud måtte blive gennemført ved ek-
spropriation, vil der være adgang til domstolsprøvelse efter de særlige
regler herom i grundlovens § 73, stk. 3.
Lovforslaget vil i øvrige situationer have karakter af erstatningsfri regu-
lering.
Det er Forsvarsministeriets opfattelse, at der ikke er grundlag for at
indføre yderligere kompensationsordninger i forbindelse med den fore-
slåede ordning. Det skal også ses i lyset af, at det i vidt omfang er en
fælles interesse for myndigheder og teleudbydere at sikre, at der ikke
indgås eller opretholdes aftaler, der kan udgøre en trussel mod statens
sikkerhed, således at Danmark også fremadrettet vil råde over en ro-
bust og sikker teleinfrastruktur.
Det skal for god ordens skyld bemærkes, at de almindelige erstatnings-
retlige regler på sædvanlig vis vil finde anvendelse, hvis Center for Cy-
bersikkerhed handler ansvarspådragende i forbindelse med behandlin-
gen af sager i medfør af lovforslaget.
6. Forholdet til offentlighedsloven og forvaltningsloven
Dansk Energi giver udtryk for, at idet der er tale om ganske vidtgående
indgreb efter lovforslagets §§ 2 og 3, findes det væsentligt for retssik-
kerheden, at det gældende princip i lov om Center for Cybersikkerhed,
hvorefter centeret i videst muligt omfang forudsættes at efterleve prin-
cipperne i offentlighedsloven og forvaltningslovens kapitel 4-6, fortsat
bør gælde. Endvidere anfører organisationen, at Forsvarsministeriet
som minimum i højere grad bør kvalificere og underbygge behovet for
helt at fjerne muligheden for at efterleve principperne i offentlighedslo-
ven og forvaltningsloven, når centeret skal træffe afgørelser.
Dansk Erhverv og IT-Branchen bemærker, at teleudbyderne skal sikres
mulighed for partshøring og begrundelse i forbindelse med afgørelser
efter lovforslaget.
DI finder, at det er vigtigt, at der findes en balance mellem at sikre
klassificeret viden samtidig med, at sagen oplyses grundigt. DI anfører,
at det bør overvejes, om der kan indføres metoder til at høre leveran-
døren og øvrige relevante parter på en måde, så de får mulighed for at
foretage relevante ændringer og imødegå den kritik, der måtte være
Sagsnr.: 2020/008732
Dok.nr.: 212633
Side 14 af 32
 L 190 - 2020-21 - Bilag 1: Høringssvar og høringsnotat fra forsvarsministeren
2350529_0015.png
bevæggrund for et forbud. Konkret foreslår DI eksempelvis at udvide
partsbegrebet eller præcisere, hvad der forstås ved relevante parter i
disse afgørelser.
Huawei anbefaler, at beslutningsprocessen skal understøttes af grund-
læggende principper om god offentlig forvaltning, såsom partshøring,
for bedst muligt at oplyse sagen og identificere potentielle mindre ind-
gribende foranstaltninger og sikre korrekte afgørelser, krav om altid
i
videst muligt omfang, af hensyn til statens sikkerhed
at oplyse om de
elementer og det faktum, som afgørelsen er baseret på, samt at efter-
leve princippet om aktindsigt, herunder især i forhold til princippet om
egenacces.
Rådet for Digital Sikkerhed ønsker, at der skal være retssikkerheds-
mæssige garantier for leverandørerne, herunder mulighed for partshø-
ring og begrundelse for afgørelserne.
Institut for Menneskerettigheder anfører, at forslagets undtagelse fra
offentlighedsloven og forvaltningslovens kapitel 4-6 kan medføre en
risiko for, at oplysninger, som en part kunne blive gjort bekendt med
uden at kompromittere hensynet til statens sikkerhed, ikke vil komme
til partens kendskab, fordi centeret undlader at foretage en nærmere
vurdering heraf. Endvidere anser instituttet det for uklart, hvorvidt og i
så fald hvilke oplysninger centeret forventer at gøre en part bekendt
med, hvilket både gælder forinden der træffes en afgørelse om forbud
m.v. og selve begrundelsen for en afgørelse. Instituttet bemærker, at
det særligt vil være problematisk i en sag, hvor der ikke forinden har
været dialog mellem virksomheden og Center for Cybersikkerhed, og
hvor parten således ikke nødvendigvis er bekendt med grundlaget for
afgørelsen om forbud. Her kan virksomheden være henvist til at an-
lægge en sag ved domstolene for at blive bekendt med de dele af be-
grundelsen, som indgår i sagens åbne del. Instituttet anbefaler, at der i
bemærkningerne til lovforslaget tilføjes en forudsætning om, at cente-
ret så vidt muligt overholder principperne i offentlighedsloven og for-
valtningslovens kapitel 4-6.
Teleindustrien giver udtryk for, at organisationen finder det stærkt kri-
tisabelt, at teleudbyderne afskæres fra helt grundlæggende retssikker-
hedsgarantier. Teleindustrien anfører, at man har forståelse for, at der
kan være oplysninger, der af hensyn til nationale eller internationale
sikkerhedsinteresser ikke kan videregives til parten, men det begrun-
der dog efter organisationens opfattelse ikke, at partshøring og be-
grundelse for afgørelsen helt undtages. Teleindustrien henviser til Er-
hvervsministeriets udkast til lovforslag om investeringsscreening, her-
under at danske teleudbydere opnår en ringere retsbeskyttelse end
udenlandske parter, der ønsker at investere i et selskab, der råder over
Sagsnr.: 2020/008732
Dok.nr.: 212633
Side 15 af 32
 L 190 - 2020-21 - Bilag 1: Høringssvar og høringsnotat fra forsvarsministeren
2350529_0016.png
kritisk infrastruktur. Endeligt anfører Teleindustrien, at for at Center for
Cybersikkerhed kan foretage vurderingen af mindre indgribende foran-
staltninger, er det nødvendigt, at centeret er forpligtet til at partshøre
teleudbyderen, da centeret sjældent vil have tilstrækkeligt viden om
teleudbyderens infrastruktur og sikkerhedssystemer til at foretage en
tilstrækkelig afdækning af de faktiske forhold og dermed undersøge
alternative forholdsregler. Teleindustrien henstiller til, at lovforslagets §
5 udgår og erstattes med tilsvarende regler, som fremgår af § 38 i ud-
kastet til investeringsscreeningslov.
I de tilfælde, hvor Center for Cybersikkerhed træffer afgørelse om et
forbud, vil der forud for, at afgørelsen træffes, typisk gennem længere
tid have været et forløb, hvor teleudbyderen og centeret har været i
dialog.
Lovforslaget bygger således ovenpå de gældende regler i lov om sik-
kerhed i net og tjenester, hvor Center for Cybersikkerhed underrettes
forud for, at en teleudbyder indleder forhandlinger med en leverandør.
Dermed får centeret mulighed for at rådgive og vejlede. Desuden ligger
det i proportionalitetsafvejningen, jf. afsnit 4 ovenfor, at det er en for-
udsætning, at centeret først har forsøgt at rådgive teleudbyderen om
de tilpasninger af aftalen eller de sikkerhedsmæssige ændringer af kri-
tiske komponenter, systemer m.v., som vil være nødvendige for, at der
ikke længere vurderes at være en trussel mod statens sikkerhed.
Gennem det rådgivnings- og dialogforløb, der således forudsættes at
være mellem teleudbyderne og Center for Cybersikkerhed, vil teleud-
byderne løbende have haft mulighed for at fremføre deres synspunkter
over for centeret. Centeret vil således gennem rådgivnings- og dialog-
forløbet sikre, at sagen er tilstrækkeligt oplyst ved bl.a. at få viden om
teleudbydernes virksomhed, herunder muligheden for at træffe mindre
indgribende sikkerhedsforanstaltninger.
Det forudsættes imidlertid også, at Center for Cybersikkerhed i forbin-
delse med afgørelser om forbud i størst muligt omfang gennemfører
egentlige partshøringer samt begrunder afgørelsen, så længe det ikke
kompromitterer hensynene bag lovforslaget. Forsvarsministeriet vil
justere bemærkningerne til lovforslaget, således at dette udtrykkeligt
fremgår.
7. Afgørelseskompetence
Dansk Erhverv og IT-Branchen samt Rådet for Digital Sikkerhed anbe-
faler, at afgørelseskompetencen tillægges Forsvarsministeriet, og at
afgørelsen træffes efter indstilling fra Center for Cybersikkerhed og
efter høring af andre relevante myndigheder.
Sagsnr.: 2020/008732
Dok.nr.: 212633
Side 16 af 32
 L 190 - 2020-21 - Bilag 1: Høringssvar og høringsnotat fra forsvarsministeren
2350529_0017.png
Teleindustrien giver udtryk for, at det er organisationens principielle
synspunkt, at Center for Cybersikkerheds opgaver på dette område,
som tilfældet er i hovedparten af de øvrige EU-lande, bør flyttes til den
civile del af forvaltningen. Teleindustrien bemærker dog også, at en
sådan ressortændring næppe er mulig inden for den tidsramme, der er
sat for det fremlagte lovudkast. Teleindustrien ønsker, at en beslutning
om forbud forberedes grundigt og træffes på højeste niveau i ministeri-
et. Organisationen giver udtryk for, at siden opsplitningen af den tidli-
gere IT- og Telestyrelse er kompetencer og viden om telebranchen i
dag spredt på en række myndigheder. Organisationen bemærker, at
Energistyrelsen, Erhvervsstyrelsen og Konkurrence- og Forbrugersty-
relsen alle har indgående kendskab til tekniske og markedsmæssige
forhold på teleområdet og bør derfor høres, inden der træffes afgørel-
se. Teleindustrien opfordrer derfor til, at en afgørelse om forbud træf-
fes af Forsvarsministeriet efter indstilling fra Center for Cybersikkerhed
og efter høring af andre relevante ministerier og myndigheder.
Lovforslaget indebærer bl.a., at Center for Cybersikkerhed kan træffe
afgørelser om forbud mod aftaler, der vurderes at udgøre en trussel
mod statens sikkerhed. Det vurderes naturligt, at afgørelseskompeten-
cen placeres hos Center for Cybersikkerhed, som er myndighed for in-
formationssikkerhed og beredskab på teleområdet. Afgørelserne
forudsætter således den særlige faglige viden om henholdsvis
sikkerhedsmæssige og teletekniske forhold, som Center for Cyber-
sikkerhed besidder. Derudover har centeret gennem de forudgående
rådgivnings- og dialogforløb med teleudbyderne fået den nødvendige
viden om bl.a. teleudbydernes forhold, der vil gøre det muligt at træffe
den mindst indgribende afgørelse samt afveje hensynet til statens
sikkerhed overfor hensynet til teleudbyderens forhold.
Det er væsentligt at understrege, at indgrebsmuligheden alene vil blive
anvendt i de forventeligt ganske få tilfælde, hvor en aftale vurderes at
udgøre en trussel mod statens sikkerhed, og hvor der ikke er andre og
mindre indgribende muligheder for at imødegå truslen.
Center for Cybersikkerhed vil som led i den almindelige sagsoplysning
inddrage fagmyndigheder, såsom Erhvervsstyrelsen og Energistyrelsen,
i relevant omfang. Dette vil blive præciseret i bemærkningerne til lov-
forslaget.
8. Administrativ rekurs og tilsyn med Center for Cybersikkerhed
Dansk Erhverv og IT-Branchen ønsker, at der skal indføres regler om
effektiv prøvelse af afgørelser og om tilsyn med Center for Cybersik-
kerhed.
Sagsnr.: 2020/008732
Dok.nr.: 212633
Side 17 af 32
 L 190 - 2020-21 - Bilag 1: Høringssvar og høringsnotat fra forsvarsministeren
2350529_0018.png
DI anfører, at afskæring af klageadgangen udgør et problem for mar-
kedet, idet en domstolsbehandling, der er alternativet, vil være for
langsommelig, når en teleudbyder står midt i en konkret forhandling
vedrørende kritisk teleinfrastruktur. Det vil betyde, at teleudbyderen
således typisk vil være nødsaget til at vælge en anden leverandør.
Desuden anfører DI, at de ikke finder argumentet om, at Center for
Cybersikkerhed besidder et særligt fagligt indblik i henholdsvis efter-
retningsmæssige og teletekniske forhold, for overbevisende i forhold til
at afskære klageadgangen. DI foreslår konkret, at Forsvarsministeriet
kan beskikke særlige eksperter eller nedsætte et egentligt nævn.
Huawei finder, at de væsentligt indgribende konsekvenser, som en af-
gørelse truffet af Center for Cybersikkerhed i henhold til §§ 2 og 3 vil
have, kræver mulighed for en fremskyndet prøvelse, som en civil rets-
sag under de sædvanlige domstole ikke kan erstatte. Det bør efter Hu-
aweis opfattelse være en hurtig prøvelse i et separat, uafhængigt kla-
genævn, enten et nyoprettet nævn eller eventuelt det nuværende til-
syn med efterretningstjenesterne (TET).
Rådet for Digital Sikkerhed ønsker, at der skal være mulighed for, at
leverandører kan klage over afgørelser, og rådet anfører, at klageretten
ikke bør kunne tilsidesættes politisk. Rådet finder desuden, at der bør
indføres regler om tilsyn med Center for Cybersikkerhed.
Teleindustrien anbefaler, at der indsættes en bestemmelse i loven, der
giver Tilsynet med Efterretningstjenesterne hjemmel til at føre et effek-
tivt tilsyn med Center for Cybersikkerheds forvaltning af såvel lov om
leverandørsikkerhed og lov om net- og informationssikkerhed.
Lovforslaget indebærer, at den administrative rekurs afskæres i relati-
on til de afgørelser, som Center for Cybersikkerhed træffer om bl.a.
forbud mod indgåelse og opretholdelse af aftaler, der vurderes at være
en trussel mod statens sikkerhed.
Afskæringen af rekurs skal ses i lyset af, at afgørelserne forudsætter et
særligt fagligt indblik i efterretningsmæssige og teletekniske forhold.
Som det altovervejende udgangspunkt ville Forsvarsministeriet ikke
ved prøvelse af en afgørelse som led i administrativ rekurs have den
fornødne tekniske viden til at kunne efterprøve centerets faglige skøn.
Forsvarsministeriet vil imidlertid som led i det almindelige over-
/underordnelsesforhold fortsat føre tilsyn med Center for Cybersikker-
hed, herunder med centerets varetagelse af opgaven som myndighed
for informationssikkerhed og beredskab på teleområdet.
Sagsnr.: 2020/008732
Dok.nr.: 212633
Side 18 af 32
 L 190 - 2020-21 - Bilag 1: Høringssvar og høringsnotat fra forsvarsministeren
2350529_0019.png
Derudover er Center for Cybersikkerheds behandling af personoplys-
ninger under løbende kontrol af Tilsynet med Efterretningstjenesterne,
der hvert år udgiver en redegørelse om det tilsyn, der udøves med
Center for Cybersikkerhed. Dette tilsyn vil ligeledes omfatte centerets
behandling af personoplysninger i forbindelse med sager omfattet af
lovforslaget.
Det har desuden været overvejet, om der var grundlag for at nedsætte
et særligt sagkyndigt klagenævn. Det forventes imidlertid, at afgørelser
om forbud mod indgåelse eller opretholdelse af bestemte aftaler kun vil
blive truffet i ganske få tilfælde, hvor en aftale vurderes at udgøre en
trussel mod statens sikkerhed, og hvor der ikke er andre og mindre
indgribende muligheder for at imødegå truslen. Det vurderes på den
baggrund, at antallet af klagesager ikke meningsfuldt vil kunne retfær-
diggøre, at der anvende store ressourcer på at nedsætte og drive et
særligt klagenævn, som typisk vil bestå af et antal dommere og sag-
kyndige personer. Der lægges i den forbindelse også vægt på, at afgø-
relserne under alle omstændigheder vil kunne indbringes for domstole-
ne.
9. Domstolsprøvelse
Dansk Energi bemærker, at der i lovforslaget gøres ganske meget ud af
at sikre virksomheders retssikkerhedsgarantier ved den efterfølgende
mulighed for domstolsprøvelse af den afgørelse Center for Cybersikker-
hed træffer i medfør af §§ 2 og 3.
DI finder, at lovforslagets bestemmelser om det, som organisationen
betegner som en indskrænket domstolsproces, gør det svært for en
leverandør at kunne imødegå den kritik, der måtte være, idet leveran-
døren i processen ikke kan få at vide, hvilken kritik der måtte eksiste-
re, og at et egentligt forsvar og relevante modforanstaltninger derfor
bliver svækket i praksis. DI giver udtryk for forståelse for, at man ikke
ønsker at dele klassificeret viden, og organisationen foreslår derfor, at
lovforslaget udbygges med en metode til at dele så meget, man kan, af
det klassificerede materiale.
Huawei giver udtryk for, at virksomheden er imod enhver begrænsning
af retten til at vælge sin egen advokat. Hvis lovforslagets ordning alli-
gevel fastholdes, mener Huawei, at der bør være klarhed omkring,
hvordan man kan sikre, at den særligt beskikkede advokat ikke har
nogen interessekonflikt, og at advokaten besidder en kombination af
tilstrækkelig proceserfaring og domæneviden. Huawei bemærker, at
netværkssikkerhedsregulering og teleregulering er et meget specialise-
ret område, som kun et meget begrænset antal advokater i Danmark
beskæftiger sig med, hvilket der bør tages højde for.
Sagsnr.: 2020/008732
Dok.nr.: 212633
Side 19 af 32
 L 190 - 2020-21 - Bilag 1: Høringssvar og høringsnotat fra forsvarsministeren
2350529_0020.png
Retspolitisk Forening bemærker, at der i lovforslagets afsnit 6 opereres
med det, som foreningen betegner som en helt speciel form for hem-
melig retspleje, som er kendt fra et par andre sagsområder. Forenin-
gen giver udtryk for, at der herved sker endnu en fravigelse fra det
fundamentale princip om offentlighed i retsplejen og om retfærdig ret-
tergang, herunder kontradiktion og lige muligheder for parterne (equa-
lity in arms), og foreningen finder, at der ved hver nye og yderligere
fravigelse sker endnu en markant svækkelse af retsstaten. Foreningen
anfører, at de finder det paradoksalt, at lovforslagets åbenlyse over-
ordnede mål er at beskytte netop denne selvsamme demokratiske rets-
stat mod angreb.
Rådet for Digital Sikkerhed finder, at der bør indføres regler om effektiv
prøvelse af afgørelser.
Teleindustrien mener, at lovudkastet skal tilrettes, således at der gives
teleudbyderen mulighed for fuld partsrepræsentation ved egen advo-
kat, idet organisationen anfører, at med den foreslåede § 9 afskæres
udbyderne fra en sådan adgang. Det forhold, at udbyderne ikke selv
må lade sig repræsentere, men skal anvende en særlig udpeget sikker-
hedsadvokat, der ikke må dele fortroligt materiale med udbyderen, vil
efter Teleindustriens mening gøre det nærmest umuligt for udbyderne
at bidrage til sagens oplysning. Teleindustrien mener, at det er afgø-
rende, at udbyderens advokat i det mindste har fuld indsigt i grundla-
get for afgørelsen, og at sagen kan drøftes med udbyderen
også når
advokaten har fået indsigt i fortroligt materiale. Organisationen mener
derfor, at det kun bør være indholdet af de fortrolige oplysninger om
statens sikkerhed, der ikke må drøftes med udbyderen. I det omfang,
udbyderen har sikkerhedsgodkendt personale, bør det efter organisati-
onens mening desuden være muligt at drøfte sådanne oplysninger med
udbyderen.
Center for Cybersikkerheds afgørelser efter lovforslagets kapitel 2 og 3
vil ofte være baseret på fortroligt materiale, herunder højt klassificere-
de oplysninger, der, hvis de bliver offentligt tilgængelige, vil kunne
skade Danmarks sikkerhed.
Forsvarsministeriet har derfor overvejet, hvordan teleudbyderens og
leverandørens ret til domstolsprøvelse kan forenes med de særlige sik-
kerhedsmæssige fortrolighedshensyn. Forsvarsministeriet finder, at
disse hensyn kan varetages ved, at der med inspiration fra udlændin-
geretten etableres særlige procedureregler, hvorefter domstolsprøvel-
sen opdeles i en åben og en lukket del.
Sagsnr.: 2020/008732
Dok.nr.: 212633
Side 20 af 32
 L 190 - 2020-21 - Bilag 1: Høringssvar og høringsnotat fra forsvarsministeren
2350529_0021.png
Der vil under sagens lukkede del kunne ske fremlæggelse af fortroligt
materiale, som af sikkerhedsmæssige grunde ikke kan videregives til
parterne i sagen. Til varetagelse af partens interesser under den lukke-
de del af sagen vil der kunne beskikkes en særlig advokat, som på par-
tens vegne får kendskab til og kan udtale sig om det fortrolige materia-
le, der fremlægges for retten. Den særlige advokat vil kunne udøve
partsbeføjelser under den lukkede del af sagen, dog således at den
særlige advokat ikke må drøfte sagen med parten og partens advokat.
Parten vil derimod godt kunne instruere den særlige advokat, således
at den særlige advokat kan varetage partens interesser i den lukkede
del af retssagen.
Den særlige advokat, der udøver partsbeføjelser på vegne af parten
med hensyn til de fortrolige oplysninger, beskikkes af retten på bag-
grund af en liste over advokater, som Justitsministeriet har antaget.
Ordningen forudsætter, at retten i almindelighed beskikker den advo-
kat, der »står for tur«. Retten kan dog beskikke en anden advokat,
hvis parten har begrundede indsigelser mod beskikkelsen af den på-
gældende, eksempelvis hvis den beskikkede advokat er inhabil i sagen.
De nærmere regler vedrørende de pågældende advokater, herunder
regler for antagelse og sikkerhedsgodkendelse af de særlige advokater,
vil af justitsministeren blive fastsat i en bekendtgørelse efter den fore-
slåede § 12, 2. pkt. I forbindelse med udstedelsen af de nærmere reg-
ler vil der blive set på, hvorledes det sikres, at de antagne advokater
har de fornødne forudsætninger, herunder den tilstrækkelige erhvervs-
retlige erfaring, til at varetage opgaven. Det forventes desuden, at
Justitsministeriets antagelse af de særlige advokater, som det er tilfæl-
de for antagelse af særlige advokater efter udlændingeloven, vil ske
efter inddragelse af både Østre Landsret, Københavns Byret og Advo-
katrådet.
Huawei anfører, at principperne for offentlig og åben retspleje, baseret
på parts- og kontradiktionsprincippet og behørig sagsoplysning, retten
til at vælge din egen advokat og i øvrigt generelle principper for ret-
færdig rettergang, er forfatningsmæssigt funderet og internationalt
anerkendt som grundlæggende menneskerettigheder, og at det efter
Huaweis opfattelse ikke er noget, der kan afskæres med henvisning til
statens sikkerhed.
Forsvarsministeriet finder ikke, at lovforslagets ordning vedrørende
domstolsprøvelse rejser spørgsmål i forhold til Den Europæiske Menne-
skerettighedskonvention. For en nærmere redegørelse heraf henvises
til lovforslagets afsnit 4.1 om forholdet til Den Europæiske Menneske-
rettighedskonvention.
Sagsnr.: 2020/008732
Dok.nr.: 212633
Side 21 af 32
 L 190 - 2020-21 - Bilag 1: Høringssvar og høringsnotat fra forsvarsministeren
2350529_0022.png
Teleindustrien giver udtryk for, at hvis der er oplysninger, der har lig-
get til grund for Center for Cybersikkerheds oprindelige afgørelse, og
en dommer mener, at der er oplysninger, som udbyderen bør se, vil
det være helt urimeligt, at forsvarsministeren kan beslutte, at oplys-
ningerne ikke længere skal indgå i sagen. Hvis denne mulighed opret-
holdes i lovforslaget, bør konsekvensen efter Teleindustriens opfattelse
være, at oplysningerne ikke kan indgå i prøvelsen, og dermed ikke vil
kunne tillægges vægt ved domstolens vurdering af, om forbuddet er
lovligt.
Det følger af den foreslåede § 9, stk. 2-4, at retten af egen drift eller
efter begæring fra den særlige advokat ved en kendelse kan bestem-
me, at fortrolige oplysninger, der er indgået i vurderingen i afgørelser
omfattet af kapitel 2 og 3, videregives til parten og dennes advokat,
hvis sikkerhedsmæssige forhold ikke kan begrunde, at oplysningerne
ikke videregives. Hvis retten har truffet afgørelse om, at fortrolige op-
lysninger videregives til parten og dennes advokat, skal forsvarsmini-
steren eller den, ministeren bemyndiger hertil, have mulighed for at
bestemme, at de pågældende oplysninger ikke indgår i sagen for ret-
ten.
En sådan beslutning vil have som konsekvens, at retten ikke kan lægge
vægt på oplysningerne, og den dommer, som har deltaget i afgørelsen
om, at de pågældende oplysninger videregives til parten og dennes
advokat, vil ikke længere kunne deltage som dommer i sagen. Dermed
sikres det, at retten ikke har kendskab til de pågældende oplysninger
under bedømmelsen af sagen, og oplysningerne vil således ikke indgå i
prøvelsen af sagen.
Huawei finder, at en prøvelse af Center for Cybersikkerheds afgørelser
bør indebære opsættende virkning. Virksomheden finder, at den op-
sættende virkning bør forlænges i tilfælde af, at sagen efterfølgende
anlægges som en retssag i henhold til lovforslagets § 7. Huawei anfører
dog, at det kunne overvejes, om visse trusler kunne være af en sådan
alvorlig karakter og indebære en så overhængende risiko for fare, at
den opsættende virkning skal begrænses eller helt kunne fraviges. I så
fald bør der efter Huaweis opfattelse være tale om fastsatte processer
og kontroller, og Huawei henviser til tilgangen i Tyskland.
Teleindustrien mener, at en indbringelse af en forbudsafgørelse for
domstolene automatisk bør få opsættende virkning. Organisationen
anfører, at en domstolsprøvelse uden opsættende virkning kan have
den konsekvens, at teleoperatøren, uanset udfaldet af retssagen, vil
være nødt til enten at slukke for eller nedtage og udskifte den del af
netværket, som er omfattet af tvisten. Organisationen anfører endvide-
re, at dette kan medføre uoprettelig skade for den udbyder, det går ud
Sagsnr.: 2020/008732
Dok.nr.: 212633
Side 22 af 32
 L 190 - 2020-21 - Bilag 1: Høringssvar og høringsnotat fra forsvarsministeren
2350529_0023.png
over, men også for konkurrencen på markedet, hvilket vil være direkte
til skade for slutbrugerne. Organisationen anfører desuden, at sådanne
skadegørende virkninger af en ulovlig afgørelse ikke fuldt ud vil kunne
kompenseres ved, at der ydes en økonomisk erstatning til den pågæl-
dende udbyder.
Forsvarsministeriet finder, at en retsstilling, hvorefter indbringelse af
Center for Cybersikkerheds afgørelser for retten som altovervejende
hovedregel får opsættende virkning, vil have uacceptable konsekven-
ser. Forbud vil kun blive nedlagt, hvis en aftale m.v. vurderes at udgø-
re en trussel mod statens sikkerhed. Opsættende virkning vil således
indebære, at en leverandøraftale vil skulle fortsætte, uanset at aftalen
f.eks. vurderes at indebære, at en fremmed magt vil få mulighed for at
udøve sabotage eller spionage, der er rettet mod den kritiske teleinfra-
struktur.
Forsvarsministeriet finder således ikke grundlag for at fravige den al-
mindelige ordning, som kommer til udtryk i grundlovens § 63, stk. 1,
2. pkt., hvorefter der ikke pr. automatik tillægges opsættende virkning
ved indbringelse af sager vedrørende forvaltningsretlige afgørelser,
men hvor domstolene konkret vil kunne beslutte at tillægge indbringel-
sen af sagen opsættende virkning. Dermed vil domstolene konkret
kunne afveje hensynet til statens sikkerhed overfor eksempelvis øko-
nomiske hensyn.
10. Offentliggørelse af afgørelser m.v.
Huawei anbefaler, at der ikke sker offentliggørelse af afgørelser, der er
påklaget. Virksomheden anfører endvidere, at når afgørelser er endeli-
ge, bør der forud for offentliggørelse foretages en proportionel afvej-
ning af, om afgørelsen bør være anonym. Endvidere anfører Huawei, at
endelige afgørelser alene bør offentliggøres i ikke-anonymiseret form,
når parten har haft fuld adgang til den dokumentation, som afgørelsen
er baseret på.
Teleindustrien giver udtryk for, at henset til, at kriterierne for, hvornår
loven kan finde anvendelse, efter Teleindustriens opfattelse er uklare
og uigennemskuelige, er det helt urimeligt, at Center for Cybersikker-
hed kan anvende offentliggørelse af en afgørelse som pression. Dette
gælder efter Teleindustriens opfattelse særligt i tilfælde, hvor centeret
har meddelt forbud i medfør af lovforslagets § 3. Teleindustrien opfor-
drer på den baggrund til, at lovforslagets § 14 udgår.
Institut for Menneskerettigheder anfører, at det efter instituttets opfat-
telse må forventes, at en teleudbyder ikke ønsker offentlighed omkring
forbud eller retssager, der vedrører teleudbyderens manglende hensyn-
Sagsnr.: 2020/008732
Dok.nr.: 212633
Side 23 af 32
 L 190 - 2020-21 - Bilag 1: Høringssvar og høringsnotat fra forsvarsministeren
2350529_0024.png
tagen til statens sikkerhed, med de mulige negative konsekvenser det
kan have over for navnlig selskabets kunder. Instituttet finder, at det i
det lys er problematisk, at Center for Cybersikkerhed kan offentliggøre
forbud i ikke-anonymiseret form, uden at centeret forinden har kontak-
tet den pågældende virksomhed, idet problemet kan skyldes omstæn-
digheder hos en underleverandør eller fremmede stater, som virksom-
heden ikke behøver at være bevidst om.
Derudover anfører Institut for Menneskerettigheder, at det er principielt
problematisk, at det er op til centeret at vurdere, om retssager vedrø-
rende ekspropriation skal offentliggøres, idet det kan risikere at afholde
en virksomhed fra at anlægge et sådant søgsmål, hvis det kan have
negative konsekvenser for virksomhedens omdømme. Hensynet til at
få teleudbyderne til at overholde reglerne og til at give kunderne kend-
skab hertil og hensynet til statens sikkerhed gør sig, efter instituttets
opfattelse, ikke gældende, når der er tale om retssager om prøvelse af
spørgsmål vedrørende ekspropriation, idet denne vurdering først fore-
tages, når det er fastlagt, om et forbud m.v. kan nedlægges. Instituttet
anbefaler, at det af hensyn til forudsigeligheden for de berørte virk-
somheder beskrives nærmere i lovforslagets bemærkninger, hvornår
centeret kan forventes at ville henholdsvis ikke ville benytte mulighe-
den for at offentliggøre i ikke-anonymiseret form.
Lovforslagets § 14 giver Center for Cybersikkerhed mulighed for at of-
fentliggøre afgørelser m.v.
Centeret vil forventeligt kun i ganske få tilfælde træffe afgørelse om
forbud, idet sikkerhedsmæssige aspekter først og fremmest forudsæt-
tes håndteret gennem dialog med og rådgivning af teleudbyderne. At
centeret træffer afgørelse om forbud vil således først blive en realitet i
de situationer, hvor telebyderen ikke har ønsket at følge eller ikke har
opsøgt rådgivning fra Center for Cybersikkerhed om de tilpasninger af
aftalen eller de sikkerhedsmæssige ændringer af kritiske komponenter,
systemer m.v., som vil være nødvendige for, at der ikke længere vur-
deres at være en trussel mod statens sikkerhed.
Offentliggørelsesordningen har til formål at give teleudbyderne øget
incitament til at overholde reglerne i lovens kapitel 2, ligesom bestem-
melsen giver telekunder og offentligheden i øvrigt mulighed for at få
kendskab til, hvorvidt en teleudbyder f.eks. har indgået eller oprethol-
der en aftale, der vurderes at udgøre en trussel mod statens sikkerhed.
Særligt for så vidt angår afgørelser efter lovforslagets § 3 bemærkes,
at det vurderes vigtigt, at telekunder kan gøres bekendt med, om en
teleudbyder aktuelt anvender kritiske netkomponenter, systemer og
værktøjer, hvis anvendelse vurderes at udgøre en væsentlig trussel
mod statens sikkerhed.
Sagsnr.: 2020/008732
Dok.nr.: 212633
Side 24 af 32
 L 190 - 2020-21 - Bilag 1: Høringssvar og høringsnotat fra forsvarsministeren
2350529_0025.png
Offentliggørelsesordningen vurderes at udgøre et effektivt redskab, der
kan medvirke til at sikre et højt sikkerhedsniveau i den kritiske teleinf-
rastruktur.
Det forudsættes imidlertid, at offentliggørelse kun sker, hvis det er i
offentlighedens interesse. Forud for offentliggørelse forudsættes Center
for Cybersikkerhed at foretage en afvejning af offentlighedens interes-
ser over for en eventuel skadevirkning for den pågældende teleudby-
ders virksomhed. Forsvarsministeriet vil præcisere dette i lovforslagets
bemærkninger. Det bemærkes desuden, at det er anført i bemærknin-
gerne til bestemmelsen, at offentliggørelse ikke må indeholde oplysnin-
ger om tekniske indretninger eller fremgangsmåder eller om drifts-
eller forretningsforhold el.lign., for så vidt det er af væsentlig økono-
misk betydning for den teleudbyder, som oplysningerne angår.
Der lægges også op til, at afgørelser om ekspropriation skal kunne of-
fentliggøres, idet det vil give mulighed for at præsentere et samlet og
nuanceret billede af indgrebet for offentligheden. Det bemærkes, at der
naturligvis heller ikke i den forbindelse vil ske offentliggørelse af føl-
somme oplysninger om drifts- eller forretningsforhold, jf. ovenfor.
Derudover bemærkes det, at lovforslagets § 14, stk. 2, vil indebære, at
forsvarsministeren kan fastsætte nærmere regler om sagsbehandlingen
i forbindelse med offentliggørelse. Bemærkningerne til bestemmelsen
nævner specifikt, at der vil kunne fastsættes regler om forudgående
høring eller orientering af en udbyder i forbindelse med centerets over-
vejelser om offentliggørelse.
11. Virkning
Teleindustrien anfører, at en udfasning og udskiftning af allerede leve-
ret infrastruktur forudsætter, at der først igangsættes analyse af be-
hov, herefter en udbudsfase og kontraktindgåelse og dernæst en im-
plementering af den nye leverandørs udstyr samt udfasning af tidligere
leverandører. En sådan proces vil ifølge organisationen være forceret
frem mod 2026 og kan ikke gennemføres uden betydelige omkostnin-
ger for de berørte udbydere, hvilket kan stille dem væsentlig ringere i
konkurrencen overfor andre udbydere på telemarkedet.
Dansk Erhverv og IT-Branchen finder, at loven enten ikke bør have
virkning for aftaler indgået før 7. december 2020, eller at loven først
fra 1. januar 2030 bør få tilbagevirkende kraft for aftaler indgået før 7.
december 2020.
Sagsnr.: 2020/008732
Dok.nr.: 212633
Side 25 af 32
 L 190 - 2020-21 - Bilag 1: Høringssvar og høringsnotat fra forsvarsministeren
2350529_0026.png
DI finder ikke, at behovet for, at lovforslaget skal have tilbagevirkende
kraft, er velbegrundet, idet lovforslaget indeholder mulighed for at for-
byde allerede indgåede aftaler.
Huawei anbefaler, at lovforslaget ikke tillægges tilbagevirkende kraft.
Teleindustrien opfordrer til, at lovens tilbagevirkende kraft helt opgives
eller alternativt tidligst får virkning fra 1. januar 2030. Tilsvarende bør
lovens ikrafttrædelse efter organisationens opfattelse udskydes for af-
taler om forlængelse eller genforhandling af eksisterende aftaler indgå-
et før 7. december 2020, idet et forbud mod indgåelse af sådanne afta-
ler ifølge Teleindustrien de facto vil medføre, at allerede lovligt leveret
udstyr vil være ubrugeligt.
Lovforslaget indebærer, at loven får virkning for aftaler, der er indgået
den 7. december 2020, hvor lovforslaget blev sendt i høring, eller se-
nere, samt at loven fra den 1. januar 2026 også får virkning for aftaler,
der er indgået før den 7. december 2020.
Ordningen indebærer, at Center for Cybersikkerhed fra lovens ikraft-
træden alene vil kunne træffe afgørelse om forbud mod opretholdelse
af aftaler, jf. § 3, stk. 1, og forbud mod anvendelse af kritiske kompo-
nenter, systemer m.v., jf. § 3, stk. 2, når disse aftaler er indgået den
7. december 2020 eller senere.
Bestemmelsen sikrer, at teleudbyderne ved lovens ikrafttræden ikke
kan mødes med et forbud mod allerede indgåede aftaler, der er indgået
før lovforslagets ordning blev offentligt kendt. Samtidig sikres det, at
der ikke opstår et incitament for teleudbyderne til at omgå lovens ord-
ning ved at indgå aftaler, der vedrører kritiske netkomponenter, sy-
stemer og værktøjer, herunder varetagelse af driften heraf, som udgør
en væsentlig trussel mod statens sikkerhed, i perioden fra lovforslaget
blev sendt i offentlig høring og frem til, at loven træder i kraft.
For at sikre, at ordningen i fremtiden, hvor Danmarks afhængighed af
teleinfrastrukturen vil blive yderligere forøget, omfatter alle aftaler,
indebærer lovforslaget, at loven fra den 1. januar 2026 også får virk-
ning for aftaler, der er indgået før den 7. december 2020. Denne ud-
skudte tilbagevirkende kraft indebærer, at teleudbyderne fra lovens
ikrafttræden vil få en længere periode til selv at afvikle eventuelle afta-
ler, der er indgået før den 7. december 2020, som udgør en væsentlig
trussel mod statens sikkerhed.
Det er dog forventningen, at langt de fleste omfattede aftaler, der er
indgået før den 7. december 2020, på dette tidspunkt vil være udløbet.
Sagsnr.: 2020/008732
Dok.nr.: 212633
Side 26 af 32
 L 190 - 2020-21 - Bilag 1: Høringssvar og høringsnotat fra forsvarsministeren
2350529_0027.png
12. Forudgående screening og standstill-periode
Dansk Energi finder det nødvendigt, at der enten tilvejebringes scree-
ningsværktøjer eller anden information, som teleudbyderne kan anven-
de i forbindelse med afsøgning af markedet for relevante leverandører.
Dansk Energi mener endvidere, at i det omfang Center for Cybersik-
kerhed har ny viden om eller måtte få ny viden om, at en fortsat an-
vendelse af tidligere leverede kritiske netkomponenter, systemer og
værktøjer kan være forbundet med en væsentlig trussel for statens
sikkerhed, bør centeret rette henvendelse til den pågældende teleud-
byder, når denne viden foreligger. Dansk Energi anfører, at det er vig-
tigt for teleudbydere, at de så tidligt som muligt får et varsel, så tele-
udbyderne får de bedst mulige betingelser for at kunne planlægge og
disponere i forhold til en eventuel udfasning og udskiftning af udstyr.
Denne viden bør efter Dansk Energis mening overføres til teleudbyde-
ren hurtigst muligt og ikke først umiddelbart før eller efter 1. januar
2026. Dansk Energi foreslår derfor, at Center for Cybersikkerhed for-
pligtes til at dele relevant viden med teleudbydere, så snart denne vi-
den foreligger.
Dansk Energi foreslår desuden, at der gives teleudbyderne mulighed
for en dialog med Center for Cybersikkerhed om en screeningsproces,
for så vidt angår kritiske netkomponenter, systemer eller værktøjer,
som teleudbyderen har taget i brug før 1. juli 2016, og som måtte for-
ventes stadig at være i brug i 2026. Dette vil give teleudbyderen mu-
lighed for så tidligt som muligt at kunne planlægge og disponere i for-
hold til en eventuel udfasning og udskiftning af udstyr. Dansk Energi
foreslår desuden, at Center for Cybersikkerhed tilbyder at gennemføre
en audit hos interesserede teleudbydere.
Teleindustrien mener ikke, at det er korrekt, at teleudbyderne allerede
ved lovens fremsættelse kan begynde at indrette sig, da det efter or-
ganisationens mening er fuldstændig uklart, hvilke lande og hvilke spe-
cifikke leverandører Center for Cybersikkerhed anser for at udgøre en
trussel mod statens sikkerhed. Teleindustrien anfører, at først når den
viden er konkretiseret og kommunikeret til udbyderne, kan de begynde
at lægge planer for udskiftning af allerede leveret infrastruktur. Telein-
dustrien anfører endvidere, at Center for Cybersikkerhed har et indgå-
ende kendskab til de leverandøraftaler, der anvendes på det danske
marked, samt hvilke aftaler der fra den 7. december 2020 er på vej til
at blive indgået. Det bør derfor efter Teleindustriens opfattelse allerede
ved lovforslagets fremsættelse gøres entydigt klart, om der er leveran-
dører, som Center for Cybersikkerhed anser som en trussel mod sta-
tens sikkerhed. I det omfang dette ikke fremgår, må det efter Telein-
dustriens opfattelse kunne lægges til grund, at Center for Cybersikker-
hed på nuværende tidspunkt ikke finder, at der er leverandører på det
Sagsnr.: 2020/008732
Dok.nr.: 212633
Side 27 af 32
 L 190 - 2020-21 - Bilag 1: Høringssvar og høringsnotat fra forsvarsministeren
2350529_0028.png
danske marked, der på nuværende tidspunkt udgør en risiko for sta-
tens sikkerhed.
Lovforslagets ordning er ikke rettet mod konkrete leverandører eller
produkter, og der vil derfor ikke blive foretaget en vurdering af, om
konkrete leverandører eller produkter vil udgøre en trussel mod statens
sikkerhed eller ej. Derimod vil der blive foretaget en konkret vurdering
af, om de enkelte leverandøraftaler samlet set vil udgøre en trussel
mod statens sikkerhed.
Center for Cybersikkerhed har allerede i dag en tæt dialog med de te-
leudbydere, som er omfattet af informationssikkerhedsbestemmelserne
i lov om sikkerhed i net og tjenester. Som led i den løbende dialog vil
Center for Cybersikkerhed overordnet kunne tilkendegive, om en aftale
vurderes at kunne blive omfattet af et forbud.
Det kan imidlertid ikke udelukkes, at en aftale, der i dag vurderes at
være uproblematisk, vil kunne vurderes at udgøre en væsentlig trussel
mod statens sikkerhed på et senere tidspunkt, hvis leverandørens for-
hold ændrer sig. Det kan f.eks. være tilfældet, hvis der sker et ejerskif-
te, eller ved at den pågældende leverandør deltager i aktiviteter i andre
lande, der negativt påvirker den offentlige orden, informationssikker-
hed eller statens sikkerhed i det pågældende land. Lovforslaget inde-
bærer dog, at der alene vil kunne nedlægges forbud mod opretholdelse
af eksisterende aftaler, såfremt aftalen vurderes at udgøre en væsent-
lig trussel mod statens sikkerhed. Der stilles dermed et skærpet krav
om, at der skal være en mere konkretiseret trussel mod statens sik-
kerhed.
Dansk Energi giver udtryk for, at organisationen er uforstående over
for behovet for at udvide standstill-perioden i lov om net- og informati-
onssikkerhed fra 10 til 25 arbejdsdage, og Dansk Energi finder ikke, at
udvidelsen af perioden er tilstrækkeligt begrundet i lovforslaget.
Teleindustrien foreslår, at der i stedet for en forlængelse af standstill-
perioden indsættes en bestemmelse om, at Center for Cybersikkerhed
senest 20 arbejdsdage efter, at teleudbyderen har foretaget en under-
retning, skal træffe afgørelse om, at et færdigt udkast til aftale skal
indsendes til centeret, hvilke påtænkte påbud centeret agter at udste-
de, hvis aftale med leverandøren indgås, eller at centeret vil indstille til
Forsvarsministeriet, at der skal nedlægges forbud efter leverandørsik-
kerhedslovens § 2. Såfremt konkrete forhold ikke gør det umuligt for
centeret at træffe en afgørelse inden for fristen, kan der gives centeret
mulighed for at forlænge fristen med f.eks. 2 gange 10 arbejdsdage.
Sagsnr.: 2020/008732
Dok.nr.: 212633
Side 28 af 32
 L 190 - 2020-21 - Bilag 1: Høringssvar og høringsnotat fra forsvarsministeren
2350529_0029.png
Lovforslaget indebærer, at Center for Cybersikkerhed i særlige tilfælde
vil kunne forbyde teleudbydere at indgå en leverandøraftale, der vedrø-
rer kritiske dele af teleinfrastrukturen, såfremt aftalen vurderes at ud-
gøre en trussel mod statens sikkerhed.
Vurderingen af, om en aftale udgør en trussel mod statens sikkerhed,
vil typisk blive foretaget, efter at Center for Cybersikkerhed har mod-
taget det endelige aftaleudkast fra teleudbyderen i medfør af den eksi-
sterende underretningsordning efter lov om sikkerhed i net og tjenester
med tilhørende bekendtgørelser.
Det følger af denne ordning, at Center for Cybersikkerhed kan udstede
påbud om, at en teleudbyder skal indsende det endelige udkast til afta-
le forud for indgåelsen af den endelige aftale. Herefter vil der indtræde
en standstill-periode på maksimalt 10 arbejdsdage. Det bemærkes i
den forbindelse, at Center for Cybersikkerhed kun i helt særlige tilfælde
udsteder påbud om indsendelse af det endelige aftaleudkast, og at
standstill-mekanismen alene har været bragt i anvendelse få gange
siden juli 2016, hvor net- og informationssikkerhedsloven (den nuvæ-
rende lov om sikkerhed i net og tjenester) trådte i kraft.
Den nuværende standstill-periode på 10 arbejdsdage er fastsat ud fra
et hensyn til, at Center for Cybersikkerhed skal have mulighed for at
gennemgå aftalen og rådgive teleudbyderen.
Som led i den foreslåede ordning vil standstill-perioden blive udvidet til
25 arbejdsdage. Det skal ses i lyset af, at centeret
udover som hidtil
at gennemgå aftalen og indgå i et rådgivningsforløb med teleudbyderen
også vil skulle vurdere et eventuelt forbud mod den endelige aftale,
herunder om mindre indgribende tiltag kan anvendes, inddrage andre
relevante myndigheder, udarbejde en afgørelse om forbud, overveje
om afgørelsen vil have ekspropriativ karakter, og i så fald fastsætte
størrelsen på erstatningen. Dette vurderes ikke at være muligt indenfor
den nuværende frist på 10 arbejdsdage, og det foreslås derfor, at fri-
sten forøges til 25 arbejdsdage.
13. Lovforslagets betydning for konkurrence og innovation på
teleområdet
Dansk Energi anfører, at hvis der ikke tilvejebringes et tilstrækkeligt
informationsgrundlag til brug for teleudbydernes udvælgelse af leve-
randører, risikeres planlagt infrastrukturudbygning at blive forsinket,
ligesom der kan skabes tvivl om selve investeringsgrundlaget for infra-
strukturudbygningen. Hertil kommer, at Center for Cybersikkerheds
nye beføjelser til at nedlægge forbud ifølge Dansk Energi kan føre til, at
konkurrencen mellem leverandører i markedet bliver mindre, og det vil
Sagsnr.: 2020/008732
Dok.nr.: 212633
Side 29 af 32
 L 190 - 2020-21 - Bilag 1: Høringssvar og høringsnotat fra forsvarsministeren
2350529_0030.png
alt andet lige lede til højere priser på det efterspurgte udstyr samt også
lavere innovationskraft.
Danske Regioner finder, at forbud mod indgåelse af kontrakter kan
betyde, at udbyderen vil kunne vælge mellem færre leverandører, hvil-
ket vil kunne medføre stigende priser. Danske Regioner bemærker, at
lovforslaget ikke redegør for, hvordan lovforslaget i den forbindelse
økonomisk kan påvirke offentlige myndigheder.
Rådet for Digital Sikkerhed bemærker, at hvis der med lovforslaget helt
kan udelukkes givne leverandører, vil det have betydning for udbyder-
nes mulighed for at vælge leverandører, og det vil dermed mindske
udbydernes muligheder for at vælge leverandør, og dermed kan det i
sidste ende have negative konsekvenser for konkurrencen. Rådet fin-
der, at hvis der gennemtvinges en forceret omlægning, kan det påvirke
den sikkerhedsmæssige stabilitet i infrastrukturen og medføre store
omkostninger for udbyderne. Rådet finder, at dette kan have alvorlige
økonomiske konsekvenser og også påvirke incitament for leverandø-
rerne til at udvikle innovative løsninger. Det er endvidere ifølge rådet
væsentligt, at disse omkostninger holdes nede, også af hensyn til bru-
gerne af disse tjenester, da omkostningerne i sidste ende risikerer at
bliver væltet over på brugerne af tjenesterne.
Teleindustrien anfører, at såfremt det med lovforslaget er tanken helt
at udelukke bestemte leverandører, vil det for eksempelvis betyde, at
udbyderens muligheder for valg af leverandør af radionetværk til mo-
bilnettene vil blive meget begrænset. Lovforslaget vil dermed medføre
en betydelig svækkelse af konkurrencen. Organisationen forventer, at
reguleringen vil medføre højere priser og mindre innovative produkter
til de danske forbrugere.
Forsvarsministeriet skal understrege, at der ikke med lovforslaget ska-
bes hjemmel til at forbyde leverandører, men alene hjemmel til, at
konkrete leverandøraftaler m.v. vil kunne forbydes efter en individuel
vurdering.
Som anført i lovforslagets afsnit 6 anerkender Forsvarsministeriet, at
lovforslaget vil kunne medføre en reduceret konkurrence, fordi teleud-
byderne i forbindelse med konkrete aftaler om leverancer potentielt vil
kunne vælge mellem færre tilbud fra leverandører, hvilket vil kunne
medføre stigende priser for teleudbyderne og eventuelt have negativ
effekt på innovationen på teleområdet. Dette vil potentielt kunne få
betydning for alle, der anvender telenettet, herunder offentlige myn-
digheder, men det er ikke givet, at det også vil lede til stigende priser
for dem. Det vil afhænge af forhold såsom teleudbydernes markeds-
strategi, prisstrategi og generelle tilgang til ordningen, som ikke vil
Sagsnr.: 2020/008732
Dok.nr.: 212633
Side 30 af 32
 L 190 - 2020-21 - Bilag 1: Høringssvar og høringsnotat fra forsvarsministeren
2350529_0031.png
kunne fastlægges på nuværende tidspunkt. En sådan eventuel afledt
økonomisk konsekvens er på den baggrund ikke beskrevet nærmere i
lovforslaget.
Teleindustrien bemærker, at lovforslaget alene finder anvendelse på
”væsentlige erhvervsmæssige udbydere”. Dermed falder f.eks. ejere af
private netværk udenfor for lovens anvendelsesområde. Hvis kun mo-
biludbyderne forbydes at anvende udstyr fra visse leverandører, kan
der efter Teleindustriens opfattelse opstå en konkurrenceforvridende
situation ved, at private virksomheder kan indgå aftaler med de selv-
samme leverandører, som udbyderne er afskåret fra at anvende.
Lovforslaget finder anvendelse på væsentlige erhvervsmæssige udby-
dere af elektroniske kommunikationsnet og -tjenester. Udbyderbegre-
bet benyttes i dag i de bekendtgørelser, der udmønter lov om sikker-
hed i net og tjenester, hvorved det sikres, at de særlige underretnings-
pligter og de mest restriktive sikkerhedskrav alene stilles til de teleud-
bydere på markedet, der har størst betydning for den kritiske teleinfra-
struktur.
Det er Forsvarsministeriets opfattelse, at det med det foreslåede udby-
derbegreb sikres, at de nye regler er målrettet de væsentligste udby-
dere af den danske teleinfrastruktur.
14. Øvrige bemærkninger
DR anfører, at institutionen har en public service-forpligtelse, som be-
tyder, at hvis Center for Cybersikkerhed træffer afgørelse, som medfø-
rer, at DR ikke kan udkomme, vil det udgøre et indgreb i DR's uaf-
hængighed og dermed efter DR’s opfattelse også et potentielt indgreb i
ytrings- og informationsfriheden efter menneskerettighedskonventio-
nen (EMRK) artikel 10.
Teleindustrien anfører, at en forceret udfasning kan få vital betydning
for driftsstabiliteten af netværkene og kan i værste fald betyde, at ud-
byderne ikke kan benytte en kritisk leverandør til at forhindre et ned-
brud, hvilket i sig selv vil være samfundskritisk og udgøre en alvorlig
sikkerhedsmæssig trussel.
Det er ikke Forsvarsministeriets forventning, at der i medfør af lov-
forslaget vil blive nedlagt forbud, som forhindrer DR i at udkomme,
eller at der i øvrigt vil ske en forceret udfasning, som vil få negativ ind-
virkning på driftsstabiliteten.
Det fremgår af bemærkninger til lovforslagets § 3, at nedlæggelse af
forbud ikke bør føre til, at der sker afbrydelser på telenettet, fordi tele-
Sagsnr.: 2020/008732
Dok.nr.: 212633
Side 31 af 32
 L 190 - 2020-21 - Bilag 1: Høringssvar og høringsnotat fra forsvarsministeren
2350529_0032.png
udbyderen ikke har haft mulighed for at indgå eller implementere en ny
aftale. På den baggrund anføres det, at Center for Cybersikkerhed som
udgangspunkt bør fastsætte en nærmere frist, som er baseret på,
hvornår en loyalt agerende teleudbyder kan have taget de nødvendige
forholdsregler.
Forsvarsministeriet vil i lovforslagets bemærkninger præcisere, at
samme hensyn skal iagttages i forhold til varetagelsen af public ser-
vice-relaterede forpligtelser.
Danske Regioner mener, at det er uklart, hvordan lovforslaget står i
forhold til konkurrencelovgivningen, og de anfører, at det kan medføre
tidsmæssige og økonomiske konsekvenser i forbindelse med forlænge-
de processer. De finder desuden, at det er uklart, om det vil være lov-
ligt at indhente forhåndstilsagn forud for indgåelse af leverandøraftaler.
Danske Regioner finder det endvidere uklart, hvad tilgangen er til præ-
kvalificerede leverandører i forbindelse med udbud.
Vurderingen af, om en omfattet aftale vil udgøre en trussel mod sta-
tens sikkerhed, vil typisk ske som sidste trin i forbindelse med den un-
derretningsordning, der i forvejen er etableret i medfør af lov om sik-
kerhed i net og tjenester. Allerede på det tidspunkt, hvor en teleudby-
der begynder overvejelserne om at indgå en ny leverandøraftale, vil
teleudbyderen derfor være i kontakt med Center for Cybersikkerhed,
og centeret vil i den efterfølgende proces kunne give teleudbyderen
omfattende rådgivning og vejledning om de sikkerhedsmæssige aspek-
ter af aftalen, herunder aspekter, som efter centerets vurdering vil
kunne udgøre en trussel mod statens sikkerhed. Det sikrer en høj grad
af forudsigelighed i det senere forhandlingsforløb, hvor teleudbyderen
på et tidligt tidspunkt vil være bekendt med Center for Cybersikkerheds
vurdering af aftalen. Lovforslagets ordning indebærer således ikke, at
teleudbyderen får krav på et egentligt forhåndstilsagn, før den endelige
aftale er forelagt Center for Cybersikkerhed, men centeret vil i den ind-
ledende fase kunne træffe afgørelse om, hvorvidt aftalen vurderes at
være omfattet af ordningen.
Desuden skal det bemærkes, at et forbud efter lovforslaget alene kan
nedlægges overfor væsentlige erhvervsmæssige udbydere af offentligt
tilgængelige elektroniske kommunikationsnet og -tjenester, dvs. udby-
dere af net, hvor disse net anvendes af mere end 50.000 slutbrugere
eller udbydere, der gennem aftaler med statslige myndigheder og insti-
tutioner betjener mere end 500 slutbrugere.
Sagsnr.: 2020/008732
Dok.nr.: 212633
Side 32 af 32