Forsvarsudvalget 2023-24
FOU Alm.del Bilag 196
Offentligt
2887276_0001.png
Årsredegørelse
Center for Cybersikkerhed
FOU, Alm.del - 2023-24 - Bilag 196: Tilsynet med Efterretningstjenesternes årsredegørelser for FE og CFCS 2023, fra forsvarsministeren
2887276_0002.png
FOU, Alm.del - 2023-24 - Bilag 196: Tilsynet med Efterretningstjenesternes årsredegørelser for FE og CFCS 2023, fra forsvarsministeren
2887276_0003.png
TIL FORSVARSMINISTEREN
I overensstemmelse med §
i lov om Center for Cybersikkerhed (lovbekendtgørelse nr.
af . august
) afgiver Tilsynet med Efterretningstjenesterne (TET) hermed redegørelse
om sin virksomhed vedrørende Center for Cybersikkerhed (CFCS) for
. Redegørelsen
skal offentliggøres.
Sigtet med redegørelsen er at give en generel information om karakteren af det tilsyn, der
udøves med CFCS.
TET påser, at CFCS overholder lovens regler om
h
h
h
h
indgreb i meddelelseshemmeligheden,
behandling af personoplysninger i centret,
analyse, videregivelse og sletning af data og
krav til sikkerhedsforanstaltninger i forbindelse med centrets behandling af personoplys-
ninger.
Redegørelsen indeholder blandt andet oplysninger om de forhold, som TET har valgt at inte-
ressere sig for, og om i hvor mange tilfælde tilsynet har fundet, at CFCS’ behandling af per-
sonoplysninger ikke har været i overensstemmelse med reglerne.
København, maj
Pernille Christensen
Henrik Udsen
Jesper Fisker
Rebecca Adler-Nissen
Michael Kistrup
WWW.TET.DK
ÅRSREDEGØRELSE
/ POLITIETS EF TERRETNINGSTJENESTE
/
FOU, Alm.del - 2023-24 - Bilag 196: Tilsynet med Efterretningstjenesternes årsredegørelser for FE og CFCS 2023, fra forsvarsministeren
2887276_0004.png
INDHOLD
.
.
.
.
.
.
.
.
Indledende bemærkninger
Generelt om TETs kontrolvirksomhed
Generelle forudsætninger for TETs kontrol og tilsynets forventninger til PET, FE, CFCS
og PPNR
Skala for TETs bemærkninger
Kontrolmetode
TETs kontrol i
Sammenfatning af TETs kontrol i
Gennemførte kontroller af CFCS i
. .
. .
. .
. .
. .
. .
Kontrol af CFCS’ behandling af oplysninger i kommunikationssystemer
Kontrol af CFCS’ behandling af oplysninger i separate it-miljøer og
analyseværktøjer
Kontrol af CFCS’ behandling af oplysninger på drev
Kontrol af CFCS’ behandling af oplysninger i andre systemer
Kontrol af CFCS’ udveksling af oplysninger med den øvrige del af FE
Kontrol af CFCS’ interne kontrol
.
.
.
.
. .
Opfølgning på TETs kontrol af CFCS i
. .
TETs tekniske undersøgelser og kortlægning af CFCS’ it-landskab
CFCS’ sagsbehandlingstider i
Sager forelagt forsvarsministeren til afgørelse
Eksempler på CFCS’ håndtering af cyberangreb
Statistik vedrørende CFCS’ behandling af oplysninger
APPENDIKS
.
.
.
.
.
.
.
.
Om Center for Cybersikkerhed
Om Tilsynet med Efterretningstjenesterne
TETs opgaver i forhold til CFCS
TETs adgang til oplysninger i CFCS
TETs reaktionsmuligheder
Retsgrundlag
CFCS’ netsikkerhedstjeneste
. .
Om CFCS’ netsikkerhedstjeneste, jf. CFCS-lovens §
Indgreb i meddelelseshemmeligheden og edition
. .
Om indgreb i meddelelseshemmeligheden, jf. CFCS-lovens §§ - c
. .
Om edition, jf. CFCS-lovens §
Behandling af personoplysninger
. .
. .
Om behandling af personoplysninger, jf. CFCS-lovens §§ -
Om sikkerhedsforanstaltninger i forbindelse med behandling af
personoplysninger, jf. CFCS-lovens §
Analyse og sletning af data omfattet af CFCS-lovens kapitel
. .
Om analyse af data, jf. CFCS-lovens §
. .
Om sletning af data, jf. CFCS-lovens §
Videregivelse og udveksling af oplysninger omfattet af CFCS-lovens kapitel
. .
. .
Om videregivelse, jf. CFCS-lovens §
Om udveksling af data med FE, jf. CFCS-cirkulærets §
.
.
.
WWW.TET.DK
ÅRSREDEGØRELSE
/ POLITIETS EF TERRETNINGSTJENESTE
/
FOU, Alm.del - 2023-24 - Bilag 196: Tilsynet med Efterretningstjenesternes årsredegørelser for FE og CFCS 2023, fra forsvarsministeren
2887276_0005.png
. INDLEDENDE BEMÆRKNINGER
CFCS har til opgave at understøtte et højt informationssikkerhedsniveau i den informations- og
kommunikationsteknologiske infrastruktur, som samfundsvigtige funktioner er afhængige af.
Denne opgave løses blandt andet ved, at CFCS opdager, analyserer og bidrager til at imødegå
avancerede cyberangreb hos Forsvaret samt de statslige myndigheder og virksomheder, der
er tilsluttet centrets sensornetværk. For at udføre denne samfundsvigtige funktion har CFCS
i henhold til lovgivningen vide beføjelser til uden retskendelse at foretage indgreb i meddelel-
seshemmeligheden og efterfølgende behandle oplysninger om borgere og virksomheder. Med
henblik på at sikre retssikkerheden for den enkelte borger og virksomhed modsvares CFCS’
beføjelser af en række regler for centrets efterfølgende sletning af tilvejebragte oplysninger.
TETs kontrolvirksomhed bidrager til legitimeringen af CFCS’ aktiviteter ved at styrke offent-
lighedens tillid til, at centrets aktiviteter er lovmedholdelige. Det er en forudsætning for en
effektiv og retvisende kontrol, at TET får uhindret, fuldstændig og rettidig adgang til CFCS’
materiale af betydning for tilsynets virksomhed.
Som det fremgår af nærværende redegørelse har TET i
foretaget en omfattende og
intensiv kontrol af CFCS. TETs kontrol har fokuseret på CFCS’ behandling og videregivelse af
data fra centrets sensornetværk, som danske myndigheder og virksomheder, der varetager
samfundsvigtige funktioner, er tilkoblet.
I
har TET tillige intensiveret sit internationale samarbejde. Offentliggørelsen af TETs
standarder for sin kontrolvirksomhed har i det forgangne år resulteret i en øget international
interesse for tilsynets metoder for planlægning og gennemførelse af kontrol af efterretnings-
tjenester. TET har således fortsat sine multilaterale og bilaterale samarbejder med lignende
myndigheder i udlandet. Særligt ønsker TET at fremhæve konsolideringen af det tætte sam-
arbejde med canadiske
National Security and Intelligence Review Agency
(NSIRA), som i
udmøntede sig i et besøg ved den canadiske søsterorganisation, hvor fokus var på gensidig
kompetenceopbygning og effektivisering af kontrolmetode.
TET har i
endvidere sammen med sine norske og svenske søsterorganisationer arrangeret
og afholdt den årlige internationale konference
European Intelligence Oversight Conference
(EIOC), ligesom tilsynet har bidraget med faglige indlæg til
International Intelligence Oversight
Forum
(IIOF), der i
blev afholdt i Washington DC.
Regeringen (Socialdemokratiet, Venstre og Moderaterne) og Socialistisk Folkeparti indgik i
december
Aftale om styrkelse af Tilsynet med Efterretningstjenesterne og undersøgelse
af visse konkrete sager, som efter indgåelse af en bred politisk aftale om styrkelse af tilsynet
med efterretningstjenesterne i februar
er udmøntet i et lovforslag om ændring af blandt
andet PET-loven. Lovforslaget forventes vedtaget i indeværende folketingssamling.
WWW.TET.DK
ÅRSREDEGØRELSE
/ POLITIETS EF TERRETNINGSTJENESTE
/
FOU, Alm.del - 2023-24 - Bilag 196: Tilsynet med Efterretningstjenesternes årsredegørelser for FE og CFCS 2023, fra forsvarsministeren
2887276_0006.png
2
WWW.TET.DK
Generelt om
TETs kontrol-
virksomhed
ÅRSREDEGØRELSE
/ POLITIETS EF TERRETNINGSTJENESTE
/
FOU, Alm.del - 2023-24 - Bilag 196: Tilsynet med Efterretningstjenesternes årsredegørelser for FE og CFCS 2023, fra forsvarsministeren
2887276_0007.png
2.1
Generelle forudsætninger for TETs kontrol og
tilsynets forventninger til PET, FE, CFCS og PPNR
Tilsynet med Efterretningstjenesternes (TET) kontrolvirksomhed bidrager til legitimeringen
af Politiets Efterretningstjenestes (PET), Forsvarets Efterretningstjenestes (FE), Center for
Cybersikkerheds (CFCS) og Politiets PNR-enheds (PPNR) aktiviteter ved at styrke o entlig-
hedens tillid til, at disse aktiviteter er lovmedholdelige.
TETs virke er bestemt ved lov, herunder
h
at tilsynet efter klage eller af egen drift påser, at PET, FE, CFCS og PPNR behandler
personoplysninger i overensstemmelse med lovgivningen,
h
at tilsynet hos PET, FE, CFCS og PPNR kan kræve enhver oplysning og alt materiale,
der er af betydning for tilsynets virksomhed,
h
at tilsynet til enhver tid har adgang til alle lokaler, hvorfra der er adgang til de
oplysninger som behandles, eller hvor tekniske hjælpemidler anvendes,
h
at tilsynet kan afkræve PET, FE, CFCS og PPNR skriftlige udtalelser om faktiske og
retlige forhold af betydning for tilsynets kontrolvirksomhed,
h
at PET, FE, CFCS eller PPNR – såfremt disse undtagelsesvist beslutter ikke at følge en
henstilling i en udtalelse fra tilsynet – uden unødigt ophold skal forelægge sagen
for henholdsvis justitsministeren eller forsvarsministeren til afgørelse,
h
at tilsynet underretter henholdsvis justitsministeren og forsvarsministeren om forhold,
som ministrene efter tilsynets opfattelse bør have kendskab til, og
h
at tilsynet årligt skal afgive redegørelser om sin virksomhed, som skal o entliggøres.
Hvis PET, FE, CFCS eller PPNR undlader til fulde at efterleve disse grundlæggende for-
udsætninger for en e ektiv og retvisende kontrol, vil det i væsentlig grad svække TETs
muligheder for at kontrollere tjenesternes, centrets og enhedens lovmedholdelighed og
herved bidrage til myndighedernes legitimitet over for o entligheden.
TET har følgende forventninger til PET, FE, CFCS og PPNR i opfyldelsen af disse krav:
TETs adgang til oplysninger
TET forventer,
at PET, FE, CFCS og PPNR giver tilsynet uhindret, fuldstændig og rettidig adgang
til alt materiale, som er relevant for at tilsynet kan gennemføre en korrekt og effektiv kontrol.
TET forventer,
at PET, FE, CFCS og PPNR sikrer, at tilsynet har de rette brugeradgange til
tjenesternes, centrets og enhedens it-infrastruktur, som sikrer direkte og uhindret adgang
til relevante oplysninger for tilsynets kontrol.
TET forventer
i de tilfælde, hvor der af tekniske årsager ikke kan gives fulde brugerrettigheder
til udvalgte dele af PETs, FEs, CFCS’ eller PPNRs it-infrastruktur, at tilsynet oplyses om
WWW.TET.DK
ÅRSREDEGØRELSE
/ POLITIETS EF TERRETNINGSTJENESTE
/
FOU, Alm.del - 2023-24 - Bilag 196: Tilsynet med Efterretningstjenesternes årsredegørelser for FE og CFCS 2023, fra forsvarsministeren
2887276_0008.png
h
karakteren og omfanget af den del af it-infrastrukturen, som tilsynet ikke egenhændigt
har adgang til, og
karakteren og omfanget af data, som behandles i den del af it-infrastrukturen, som
tilsynet ikke egenhændigt har adgang til.
h
Uhindret, fuldstændig og rettidig adgang til materiale af betydning for TETs virksomhed
er afgørende for en e ektiv og retvisende kontrol.
PET, FE, CFCS eller PPNR vil undtagelsesvist kunne afgive udtalelse omkring undladelse af
kontrol af udvalgte oplysninger. For at TETs lovbestemte adgang til oplysninger iagttages,
er det imidlertid alene tilsynet, der har beslutningskompetencen om, hvorvidt udvalgte
oplysninger kan undlades i forbindelse med en kontrol.
Såfremt TET ikke har mulighed for at verificere, at de pågældende oplysninger, som PET, FE,
CFCS eller PPNR ønsker undladt i forbindelse med en kontrol, ikke er relevante for tilsynets
kontrol vil dette udgøre en væsentlig risiko for omgåelse af loven.
Besvarelse af TETs høringer
TET forventer,
at PETs, FEs, CFCS’ og PPNRs høringssvar er fuldstændige, gennemsigtige og
uforbeholdne.
TET forventer,
at PET, FE, CFCS og PPNR oplyser tilsynet om eksistensen af øvrigt relevante
oplysninger eller materiale af betydning for kontrollen, som tjenesterne, centret eller enheden
måtte erkende, at tilsynet ikke har indsigt i.
TET forventer,
at PETs, FEs, CFCS’ og PPNRs høringssvar afgives rettidigt og inden for de
tidsrammer, som fremgår af tilsynets proces for høring af tjenesterne, centret og enheden
(se proces for høring af PET, FE, CFCS og PPNR i Standarder for TETs virksomhed).
Med henblik på at sikre en e ektiv og retvisende kontrol fremsender TET målrettede
anmodninger om udtalelser om faktiske og retlige forhold af betydning for tilsynets
kontrolvirksomhed.
TET har beslutningskompetencen i afgørelsen af, om udvalgte oplysninger er relevante
for kontrollen, hvorfor PETs, FEs, CFCS’ og PPNRs høringssvar skal være fuldstændige,
gennemsigtige og uforbeholdne.
PET, FE, CFCS eller PPNR må således ved besvarelse af TETs høringer ikke selvstændigt
foretage en vurdering af, om udvalgte anmodninger om oplysninger er relevante for
tilsynets kontrol.
WWW.TET.DK
ÅRSREDEGØRELSE
/ POLITIETS EF TERRETNINGSTJENESTE
/
FOU, Alm.del - 2023-24 - Bilag 196: Tilsynet med Efterretningstjenesternes årsredegørelser for FE og CFCS 2023, fra forsvarsministeren
2887276_0009.png
Opfølgning på TETs kontrol
TET forventer
– såfremt PET, FE, CFCS eller PPNR måtte have bemærkninger til resultatet
af tilsynets enkeltvise kontroller – at disse fremsendes til tilsynet inden for den frist, som er
angivet i tilsynets opfølgningsbrev.
TET forventer
– såfremt PET, FE, CFCS eller PPNR undtagelsesvist måtte beslutte ikke
at følge en henstilling fra tilsynet – at tjenesten, centret eller enheden opfylder deres
oplysningspligt og uden unødigt ophold forelægger sagen for henholdsvis justitsministeren
eller forsvarsministeren til afgørelse.
Praksis, som TET har vurderet ikke er lovmedholdelig, og hvor PET, FE, CFCS eller PPNR
er enige heri, skal håndteres straks, og uenighed om fortolkningen af lovgrundlaget bør
afklares uden unødigt ophold. Det er derfor afgørende, at PET, FE, CFCS eller PPNR rettidigt
responderer på TETs henstillinger, herunder om nødvendigt ved at forelægge en given sag
for henholdsvis justitsministeren og forsvarsministeren til afgørelse.
WWW.TET.DK
ÅRSREDEGØRELSE
/ POLITIETS EF TERRETNINGSTJENESTE
/
FOU, Alm.del - 2023-24 - Bilag 196: Tilsynet med Efterretningstjenesternes årsredegørelser for FE og CFCS 2023, fra forsvarsministeren
2887276_0010.png
2.2
Skala for TETs bemærkninger
TETs bemærkninger tager udgangspunkt i følgende skala:
BEMÆRKNINGER
[…]
giver ikke anledning til
bemærkninger
TET finder
ikke
på det foreliggende
grundlag, at
det er muligt at
vurdere
[…]
TET finder det
bemærkelsesværdigt
[…]
BAGGRUND FOR BEMÆRKNINGER
Anvendes når TET er enig med myndigheden i, hvordan loven
generelt eller konkret administreres.
Anvendes når TETs prøvelsesmuligheder er begrænset enten
af faktiske eller juridiske forhold.
Anvendes om forhold i myndigheden eller lovgivningen, som
ikke stemmer overens med det almindelige eller umiddelbare
indtryk, som en udenforstående har.
Anvendes om forhold hvor der ikke er konstateret egentlige
lovbrud, men hvor der vurderes at være en stor risiko for, at
forholdene kan føre til lovbrud, eller hvor TET har været forhindret
i at udøve sin virksomhed i en periode af en vis varighed.
Anvendes om forhold hvor der er konstateret egentlige lovbrud
af enkeltstående karakter eller brud på interne retningslinjer.
Anvendes om forhold hvor der er konstateret ikke uvæsentlige
lovbrud eller hvor TET har været forhindret i at udøve sin
virksomhed i en længere periode.
Anvendes om forhold hvor der er konstateret alvorlige lovbrud
eller hvor TET har været forhindret i at udøve sin virksomhed
i en længere periode, uden at myndigheden har udvist vilje til
at sikre den fornødne afhjælpning heraf.
TET finder det
problematisk
[…]
TET kan
konstatere
[…]
TET finder det
kritisabelt
[…]
TET finder det
overordentligt
kritisabelt
[…]
WWW.TET.DK
ÅRSREDEGØRELSE
/ POLITIETS EF TERRETNINGSTJENESTE
/
FOU, Alm.del - 2023-24 - Bilag 196: Tilsynet med Efterretningstjenesternes årsredegørelser for FE og CFCS 2023, fra forsvarsministeren
2887276_0011.png
2.3
Kontrolmetode
TET arbejder kontinuerligt med at forbedre de metoder, som tilsynet anvender i plan-
lægningen og udførelsen af kontrollen af PET, FE, CFCS og PPNR med henblik på, at
kontrollen får den størst mulige e ekt inden for de rammer, som er sat for tilsynets
virke.
TETs kontrol af PET, FE, CFCS og PPNR forudsætter kendskab til myndighedernes it-in-
frastruktur, prioritering af tilsynets ressourcer og e ektive metoder til gennemførelse
af kontrollen.
TET kan alene kontrollere de dele af PET, FE, CFCS og PPNR, som tilsynet har kendskab
til. Endvidere har TET ikke ressourcer til at foretage en fuldstændig kontrol af alle dele
af PET, FE, CFCS og PPNR. Endelig skal TETs kontroller kunne dokumentere forholdene
i PET, FE, CFCS og PPNR med et begrænset ressourceforbrug.
TETs standarder har til formål at håndtere disse grundlæggende udfordringer. Derfor
består TETs arbejde overordnet af tre delelementer:
. KORTLÆGNING
. GENNEMFØRELSE
OG VERIFICERING
. PLANLÆGNING
TETs
kortlægning af it-infrastruktur i henholdsvis PET, FE, CFCS og PPNR har til for-
mål at give tilsynet det nødvendige kendskab til tjenesternes, centrets og enhedens
tilvejebringelse, behandling og videregivelse af oplysninger.
TET sammenstiller og vurderer informationer om relevante dele af it-infrastruktu-
ren med henblik på at skabe det rette grundlag for at kunne foretage fuldstændi-
ge risiko- og væsentlighedsvurderinger af samtlige processer og systemer i PET, FE,
CFCS og PPNR.
WWW.TET.DK
ÅRSREDEGØRELSE
/ POLITIETS EF TERRETNINGSTJENESTE
/
FOU, Alm.del - 2023-24 - Bilag 196: Tilsynet med Efterretningstjenesternes årsredegørelser for FE og CFCS 2023, fra forsvarsministeren
TETs metode til kortlægning af it-infrastruktur er egenudviklet. Metoden er en vide-
reudvikling af TETs indledende kortlægning af it-systemer i PET og FE i
-
,
som har afstedkommet et behov for både tilpasning, strukturering og formalisering
af metode.
Valget af metode afspejler en afvejning mellem behov for teknisk detaljegrad i kort-
lægningen til at kunne understøtte TETs kontrolvirksomhed, mængden af it-ressourcer
og niveauet af modenhed for it-governance i såvel tilsynet som PET, FE, CFCS og PPNR.
TETs
planlægning af kontroller for det kommende år har til formål at prioritere
tilsynets ressourcer, således at kontrollen rettes mod de dele af PET, FE, CFCS og PPNR,
hvor der vurderes at være den største risiko for lovbrud.
Planlægningen sker på baggrund af en årlig risiko- og væsentlighedsvurdering af pro-
cesser og systemer (herefter kontrolobjekter) i PET, FE, CFCS og PPNR med det formål
at vurdere risici for lovbrud ved tjenesternes, centrets og enhedens aktiviteter. TET
udarbejder på den baggrund risikoanalyser, som danner grundlag for udvælgelsen af
det kommende års kontroller. De udvalgte kontroller samles i kontrolplaner for PET, FE,
CFCS og PPNR for det kommende år.
Formålet med risikoanalyserne er at sikre, at TETs kontrol fokuseres på områder, hvor
der er størst risiko for lovbrud, samt at der tages højde for andre relevante faktorer, ek-
sempelvis områder hvor tilsynets kontrol fra lovgivers side er tillagt særlig vægt, såsom
reglerne om lovlig politisk virksomhed.
Områder hvor der vurderes at være en lavere risiko for lovbrud kontrolleres som hoved-
regel hvert femte år med henblik på at skabe fuldstændighed i kontrollen af PET, FE, CFCS
og PPNR og sikre, at vurderingen af risiko for lovbrud på området fortsat er retvisende.
TETs kontroller
gennemføres løbende hen over året på baggrund af kontrolplanerne
for henholdsvis PET, FE, CFCS og PPNR. TET fastlægger ikke metoder for de enkelte kon-
troller i forbindelse med udarbejdelsen af risikovurderinger og -analyser men først efter
en forudgående teknisk og juridisk afdækning af det enkelte kontrolobjekt.
TET benytter sig af en række forskellige metoder i kontrollen af de enkelte kontrolobjekter,
heriblandt fuldstændig kontrol, tilfældige eller målrettede stikprøver, indholdsscreening,
inspektioner samt interview- og høringsbaserede kontroller.
TETs valg af kontrolmetode sker på baggrund af en konkret risikovurdering af kon-
trolobjektet, erfaringer fra tidligere kontroller samt de faktiske forhold, som tilsynet
konstaterer i forbindelse med den specifikke kontrol. I den sammenhæng afholder TET
forud for kontrol af ikke tidligere kontrollerede områder et opstartsmøde med relevante
medarbejdere i PET, FE, CFCS eller PPNR med henblik på at sikre en tilstrækkelig politi-
og/eller efterretningsfaglig samt teknisk og juridisk forståelse af området, således at
kontrollen kan tilpasses og gennemføres hensigtsmæssigt.
Som en del af TETs gennemførelse af kontroller foretages tillige verificeringskontroller
af PETs, FEs, CFCS’ og PPNRs it-infrastruktur. Formålet er herved at sikre, at TETs kontrol
beror på oplysninger fra PET, FE, CFCS og PPNR, hvis rigtighed tilsynet har efterprøvet.
Processerne for TETs
kortlægning,
planlægning samt
gennemførelse og verifi-
cering fremgår af følgende figur. Processerne er understøttet af løbende kvalitetssikring
ved godkendelse på henholdsvis chefniveau og tilsynsniveau samt ved høringer af
eksterne parter om juridiske, faktuelle eller klassifikationsmæssige forhold.
WWW.TET.DK
ÅRSREDEGØRELSE
/ POLITIETS EF TERRETNINGSTJENESTE
/
FOU, Alm.del - 2023-24 - Bilag 196: Tilsynet med Efterretningstjenesternes årsredegørelser for FE og CFCS 2023, fra forsvarsministeren
2887276_0013.png
Se Standarder for
TETs virksomhed
(afsnit 1 - Kortlægning
af it-infrastruktur)
Se Standarder for TETs
virksomhed (afsnit 2 - Risiko-
og væsentlighedsvurdering)
WWW.TET.DK
Kortlægning af PETs, FEs, CFCS’ og PPNRs it-infrastruktur
h
KVALITETSSIKRING
Ekstern høring om faktuelle forhold
KVALITETSSIKRING
Godkendelse på chefniveau
Risiko- og væsentlighedsvurdering af PET, FE, CFCS og PPNR
h
KVALITETSSIKRING
Godkendelse på chefniveau
Forelæggelse af risiko- og væsentlighedsvurdering af PET, FE, CFCS
og PPNR og beslutning om kontrolplaner for det kommende år
h
KVALITETSSIKRING
Drøftelse og godkendelse på tilsynsniveau
Afklaring af kontroltype for samtlige planlagte kontroller
h
KVALITETSSIKRING
Godkendelse på chefniveau
Orientering af PET, FE, CFCS og PPNR om TETs kontrolplaner
Teknisk og juridisk afdækning af kontrolobjekter
h
KVALITETSSIKRING
Ekstern høring om juridiske og faktuelle forhold
Beslutning om metode for de enkelte kontroller
h
KVALITETSSIKRING
Godkendelse på chefniveau
Se Standarder for TETs virksomhed (afsnit 3 - Metode,
gennemførelse af kontrol og verificering af oplysninger)
Gennemførelse af kontroller
h
KVALITETSSIKRING
Godkendelse på chefniveau
Høring af PET, FE, CFCS eller PPNR i forbindelse med kontroller
h
KVALITETSSIKRING
Ekstern høring om juridiske og faktuelle forhold
Forelæggelse og afslutning af kontroller
h
KVALITETSSIKRING
Drøftelse og godkendelse på tilsynsniveau
Fremsendelse af opfølgningsbreve til PET, FE, CFCS eller PPNR
h
KVALITETSSIKRING
Ekstern kvalitetssikring ved eventuelle
bemærkninger vedrørende kontrollen
Udarbejdelse af årlige redegørelser om PET og PPNR, FE samt CFCS
h
KVALITETSSIKRING
Drøftelse og godkendelse på tilsynsniveau
KVALITETSSIKRING
Ekstern kvalitetssikring ved høring om
faktuelle eller klassifikationsmæssige forhold
Offentliggørelse af TETs årlige redegørelser
ÅRSREDEGØRELSE
/ POLITIETS EF TERRETNINGSTJENESTE
/
FOU, Alm.del - 2023-24 - Bilag 196: Tilsynet med Efterretningstjenesternes årsredegørelser for FE og CFCS 2023, fra forsvarsministeren
TETs direkte adgang til PETs, FEs, CFCS’ og PPNRs systemer sikrer, at myndighederne ikke
kan forudse, hvilke sager og oplysninger der bliver genstand for kontrol. I nogle tilfælde
er det imidlertid nødvendigt for TET at varsle PET, FE, CFCS eller PPNR om tidspunktet
og metoden for en kontrol, eksempelvis hvis tilsynet skal have adgang til særlige fysiske
lokaliteter eller skal interviewe specifikke medarbejdere.
TET deler forud for påbegyndelsen af årets kontroller sine risikoanalyser og kontrolplaner
med henholdsvis PET, FE, CFCS og PPNR med henblik på at sikre åbenhed om tilsynets
vurdering af forholdene i myndighederne. Åbenheden giver endvidere PET, FE, CFCS og
PPNR mulighed for at tage højde for TETs kontrol i tilrettelæggelsen af myndighedernes
interne kontrol, hvilket bidrager til, at tilsynets kontrol og myndighedernes interne
kontrol samlet dækker en større del af disses virksomhed. Endelig sikrer åbenheden, at
PET, FE, CFCS og PPNR kan afsætte tilstrækkelige ressourcer til at betjene TET.
TET udarbejder desuden særskilte risikovurderinger og -analyser specifikt for tilsynets
opgaver i relation til PET og FE efter den indirekte indsigtsordning, blandt andet med
henblik på at sikre at tilsynets undersøgelser i forbindelse med anmodninger om indi-
rekte indsigt er e ektive og relevante.
For yderligere information om TETs kontrolmetodik henvises til tilsynets o entliggjorte
standarder herfor, som findes på tilsynets hjemmeside.
WWW.TET.DK
ÅRSREDEGØRELSE
/ POLITIETS EF TERRETNINGSTJENESTE
/
FOU, Alm.del - 2023-24 - Bilag 196: Tilsynet med Efterretningstjenesternes årsredegørelser for FE og CFCS 2023, fra forsvarsministeren
2887276_0015.png
WWW.TET.DK
ÅRSREDEGØRELSE
/ POLITIETS EF TERRETNINGSTJENESTE
/
FOU, Alm.del - 2023-24 - Bilag 196: Tilsynet med Efterretningstjenesternes årsredegørelser for FE og CFCS 2023, fra forsvarsministeren
2887276_0016.png
3
WWW.TET.DK
TETs kontrol
i
ÅRSREDEGØRELSE
/ POLITIETS EF TERRETNINGSTJENESTE
/
FOU, Alm.del - 2023-24 - Bilag 196: Tilsynet med Efterretningstjenesternes årsredegørelser for FE og CFCS 2023, fra forsvarsministeren
2887276_0017.png
3.1
Sammenfatning af TETs kontrol i 2023
Tilsynet med Efterretningstjenesterne (TET) har i
kontroller af Center for Cybersikkerhed (CFCS).
afsluttet
ud af
planlagte
Resultatet af TETs kontroller er beskrevet i deres helhed i afsnit . . I det følgende frem-
hæves centrale og principielle dele af redegørelsen.
h
Ingen af de
kontroller af CFCS gav anledning til bemærkninger.
h
TET besluttede at indstille to planlagte kontroller af CFCS’ drevstrukturer i
,
idet der fortsat ikke var etableret en løsning, som muliggør søgning i indholdet af
drevstrukturerne.
TET vurderede, at CFCS i
havde foretaget de skridt for at fremme etableringen af
løsningen, som havde været mulige for centret, og at forsinkelsen skyldtes udfordringer
med eksterne leverancer (afsnit . . ).
TETs kontrol af CFCS i
Planlagte
kontroller
Afsluttede
kontroller
Indstillede
kontroller grundet
forhold i CFCS
Kontroller der
afventer
høringssvar
fra CFCS
Kontroller der
afventer
forsvarsministerens
afgørelse*
* Se imidlertid afsnit 3.4
Resultater af TETs kontrol af CFCS i
Kontroller der ikke
gav anledning til
bemærkninger
Kontroller der
resulterede i
henstillinger,
anbefalinger eller
øvrige bemærkninger
Kontroller der
resulterede i
konstaterede lovbrud
eller brud på interne
retningslinjer
Kontroller der
resulterede i
bemærkninger om
kritisable
forhold
Kontroller der
resulterede i
bemærkninger
om
overordentligt
kritisable forhold
WWW.TET.DK
ÅRSREDEGØRELSE
/ POLITIETS EF TERRETNINGSTJENESTE
/
FOU, Alm.del - 2023-24 - Bilag 196: Tilsynet med Efterretningstjenesternes årsredegørelser for FE og CFCS 2023, fra forsvarsministeren
2887276_0018.png
3.2
Gennemførte kontroller af CFCS i 2023
Med henblik på at kontrollere, at CFCS i forbindelse med behandling af oplysninger
om fysiske personer overholder reglerne i CFCS-loven, har TET i
foretaget kontrol
af centrets
h
behandling af oplysninger i kommunikationssystemer (afsnit . . ),
h
behandling af oplysninger i separate it-miljøer og analyseværktøjer (afsnit . . ),
h
behandling af oplysninger på drev (afsnit . . ),
h
behandling af oplysninger i andre systemer (afsnit . . ),
h
udveksling af oplysninger med den øvrige del af FE (afsnit . . ) og
h
interne kontrol (afsnit . . ).
Endvidere gennemførte TET i
h
opfølgning på TETs kontrol af CFCS i
(afsnit . . ) og
h
tekniske undersøgelser og kortlægning af centrets it-landskab (afsnit . . ).
. .
Kontrol af CFCS’ behandling af oplysninger i kommunikationssystemer
Det er CFCS’ opgave som statslig og militær varslingstjeneste for internettrusler at
understøtte et højt informationssikkerhedsniveau i den informations- og kommuni-
kationsteknologiske infrastruktur, som samfundsvigtige funktioner er afhængige af.
CFCS anvender kommunikationssystemer til videregivelse af oplysninger til relevante
eksterne samarbejdspartnere, samt myndigheder og virksomheder tilsluttet centrets
sensornetværk.
CFCS anvender ligeledes forskellige kommunikations- eller mailsystemer, som muliggør
at medarbejdere i forskellige dele af centret kan udveksle oplysninger.
TET foretog i
kontrol af CFCS’ behandling af oplysninger i tre kommunikationssystemer.
TETs kontrol fokuserede på oplysninger, som var omfattet af CFCS-lovens kapitel , og som
på tidspunktet for tilsynets kontrol burde have været slettet, jf. CFCS-lovens § , stk. .
TETs bemærkninger
TETs kontrol af CFCS’ behandling af oplysninger i kommunikationssystemer i 2023 gav
ikke anledning til bemærkninger.
. .
Kontrol af CFCS’ behandling af oplysninger i separate it-miljøer og analyseværktøjer
CFCS anvender en række separate it-miljøer og analyseværktøjer i forbindelse med centrets
tekniske analyse af eksempelvis cyberangreb, malware, og phishing. CFCS behandler og
WWW.TET.DK
ÅRSREDEGØRELSE
/ POLITIETS EF TERRETNINGSTJENESTE
/
FOU, Alm.del - 2023-24 - Bilag 196: Tilsynet med Efterretningstjenesternes årsredegørelser for FE og CFCS 2023, fra forsvarsministeren
2887276_0019.png
opbevarer oplysninger i disse it-miljøer og analyseværktøjer i forbindelse med centrets
analyse heraf. Oplysningerne vil i nogle tilfælde stamme fra CFCS’ sensornetværk, men
kan også være tilvejebragt fra åbne kilder, eksempelvis på internettet.
TET foretog i
kontrol af CFCS’ behandling af oplysninger i tre analyseværktøjer.
TETs bemærkninger
TETs kontrol af CFCS’ behandling af oplysninger i separate it-miljøer og analyseværktøjer
i 2023 gav ikke anledning til bemærkninger.
. .
Kontrol af CFCS’ behandling af oplysninger på drev
CFCS anvender drev til opbevaring af oplysninger i forbindelse med mange forskellige
dele af centrets virksomhed.
TET planlagde i
at foretage to kontroller af forskellige drevstrukturer i CFCS.
TETs bemærkninger
TET besluttede at indstille to planlagte kontroller af CFCS’ drevstrukturer i 2023, idet
der fortsat ikke var etableret en løsning, som muliggør søgning i indholdet af drevs-
trukturerne.
TET vurderede, at CFCS i
havde foretaget de skridt for at fremme etableringen
af løsningen, som var mulige for centret, og at forsinkelsen skyldtes udfordringer med
eksterne leverancer.
TETs øvrige kontrol af CFCS’ behandling af oplysninger på drev i
til bemærkninger.
gav ikke anledning
. .
Kontrol af CFCS’ behandling af oplysninger i andre systemer
CFCS anvender i forbindelse med centrets virksomhed en lang række forskellige systemer
til at opbevare og behandle oplysninger. Dette kan eksempelvis være journalsystemer,
arbejdsstationer mv.
TET foretog i
kontrol af CFCS’ behandling af oplysninger i andre systemer ved
kontrol af arbejdsstationer i centret.
TETs bemærkninger
TETs kontrol af CFCS’ behandling af oplysninger i andre systemer i 2023 gav ikke anledning
til bemærkninger.
. .
Kontrol af CFCS’ udveksling af oplysninger med den øvrige del af FE
CFCS er organisatorisk en del af FE, og derfor er den interne udveksling af oplysninger,
der er omfattet af kapitel i lov om Center for Cybersikkerhed, mellem centret og den
øvrige del af tjenesten ikke omfattet af CFCS-lovens regler om videregivelse. Forsvars-
ministeriet har i cirkulære nr.
af . august
om behandling af data i og fra
WWW.TET.DK
ÅRSREDEGØRELSE
/ POLITIETS EF TERRETNINGSTJENESTE
/
FOU, Alm.del - 2023-24 - Bilag 196: Tilsynet med Efterretningstjenesternes årsredegørelser for FE og CFCS 2023, fra forsvarsministeren
2887276_0020.png
Center for Cybersikkerheds netsikkerhedstjeneste (CFCS-cirkulæret) fastsat regler for
udveksling af oplysninger, der er omfattet af kapitel i lov om Center for Cybersikker-
hed, fra CFCS til FE.
TET foretog i
kontrol af CFCS’ udveksling af oplysninger med den øvrige del af FE.
TETs bemærkninger
TETs kontrol af CFCS’ udveksling af oplysninger, der er omfattet af kapitel 4 i lov om
Center for Cybersikkerhed, med den øvrige del af FE i 2023 gav ikke anledning til
bemærkninger.
. .
Kontrol af CFCS’ interne kontrol
CFCS foretager løbende intern kontrol af centrets overholdelse af konkrete dele af
CFCS-loven. Til brug for tilrettelæggelsen af den interne kontrol udarbejder CFCS årligt
en risikoanalyse af centrets overholdelse af lovkrav samt en plan for den interne kon-
trol i det følgende år. CFCS orienterer løbende TET om tilrettelæggelsen af den interne
kontrol samt resultatet heraf, herunder ved fremsendelse af centrets risikoanalyse og
kontrolplan.
TET foretog i
kontrol af CFCS’ interne kontrol. Kontrollen omfattede CFCS’ interne
kontrol i
samt centrets planlægning heraf for
.
CFCS orienterede i september
TET om centrets
h
risikoanalyse vedrørende overholdelse af lovkrav og
h
kontrolplan for
.
derudover løbende TET om centrets interne kontrol.
CFCS orienterede i
TETs bemærkninger
TETs kontrol af CFCS’ interne kontrol i 2023 gav ikke anledning til bemærkninger.
. .
Opfølgning på TETs kontrol af CFCS i
TET foretager årligt kontrol af, om CFCS har foretaget de handlinger, som centret på
baggrund af tilsynets kontrol i det foregående år har tilkendegivet at ville gennemføre.
TET foretog i
opfølgning på tilsynets kontrol af CFCS i
.
TET foretog en gennemgang af de oplysninger, som CFCS i forbindelse med tilsynets
kontroller i
erklærede sig enig i at slette samt centrets opfølgning på de anmod-
ninger og anbefalinger, som tilsynet afgav over for centret på baggrund af tilsynets
kontroller i
. Gennemgangen skete endvidere med henblik på at konstatere, om
CFCS havde foretaget de ændringer, som centret i forbindelse med kontrollerne i
havde tilkendegivet over for TET, at centret ville foretage.
TETs bemærkninger
TETs opfølgning på tilsynets kontrol af CFCS i 2022 gav ikke anledning til bemærkninger.
WWW.TET.DK
ÅRSREDEGØRELSE
/ POLITIETS EF TERRETNINGSTJENESTE
/
FOU, Alm.del - 2023-24 - Bilag 196: Tilsynet med Efterretningstjenesternes årsredegørelser for FE og CFCS 2023, fra forsvarsministeren
2887276_0021.png
. .
TETs tekniske undersøgelser og kortlægning af CFCS’ it-landskab
CFCS’ it-systemer og underliggende databaser, hvori der behandles oplysninger, udgør
et komplekst og dynamisk landskab af forskellige teknologier og datatyper. For at kunne
navigere i dette komplekse it-landskab og løse TETs primære opgaver, har tilsynet i
gennemgået og verificeret omfattende dele af CFCS’ it-landskab, og arbejder løbende
med at sikre et opdateret kendskab til centrets systemer.
Det er en forudsætning for meningsfuld kontrol af CFCS, at TET har kendskab til centrets
samlede it-infrastruktur, således at kontrollen kan målrettes de dele af infrastrukturen,
som udgør størst risiko for behandling i strid med CFCS-lovgivningen.
TET foretog i
verificeringskontroller og inspektioner af CFCS’ it-infrastruktur ved
kortlægning af centrets serverinfrastruktur.
TETs bemærkninger
TETs kortlægning af CFCS’ serverinfrastruktur i 2023 gav ikke anledning til bemærkninger.
3.3
CFCS’ sagsbehandlingstider i 2023
TET fremsendte syv høringer til CFCS i forbindelse med tilsynets kontrolvirksomhed i
.
CFCS besvarede fem af TETs høringer inden for den angivne frist og to efter udløbet af
den angivne frist. CFCS’ gennemsnitlige sagsbehandlingstid for besvarelse af høringer,
som først blev besvaret efter udløbet af fristen, var på fem arbejdsdage.
3.4
Sager forelagt forsvarsministeren til afgørelse
TET kan som led i sin kontrol af CFCS afgive udtalelser over for centret, hvori tilsynet
blandt andet kan tilkendegive sin opfattelse af, om centret overholder CFCS-lovens regler.
TET afgiver ved afslutningen af hver kontrol en udtalelse til CFCS, hvor resultatet af til-
synets kontrol beskrives. Udtalelsen kan herudover indeholde en beskrivelse af et eller
flere tiltag, som TET vurderer at CFCS bør foretage. Hvis CFCS undtagelsesvist måtte be-
slutte ikke at følge en henstilling i en udtalelse fra TET, skal centret underrette tilsynet
herom og uden unødigt ophold forelægge sagen for forsvarsministeren til afgørelse.
TETs reaktionsmuligheder over for CFCS er beskrevet nærmere i afsnit . i appendiks
samt i CFCS-lovens § .
Følgende skema giver et overblik over sager forelagt forsvarsministeren siden TETs
oprettelse i
:
WWW.TET.DK
ÅRSREDEGØRELSE
/ POLITIETS EF TERRETNINGSTJENESTE
/
FOU, Alm.del - 2023-24 - Bilag 196: Tilsynet med Efterretningstjenesternes årsredegørelser for FE og CFCS 2023, fra forsvarsministeren
2887276_0022.png
SPØRGSMÅL
DATO FOR
FORELÆGGELSE
4. august 2023
STATUS
Hvorvidt CFCS i forbindelse med over-
holdelsen af CFCS-lovens § 18 for hvert
af centrets systemer er forpligtet til at
foretage vurdering af, hvilke foranstaltnin-
ger der kan tilvejebringe et tilstrækkeligt
sikkerhedsniveau.
Nærmere behandlet i TETs årsredegørelse
for 2022 (afsnit 2.2.7).
Hvorvidt forsvarsministerens afgørelse af 11.
august 2021 vedrørende sletning af data fra
centrets sensornetværk kun er gældende,
når sensordata opbevares i alarmenhederne
og CFCS’ centrale analyseplatform, eller er
gældende i alle tilfælde, hvor CFCS opbevarer
sensordata i relevante behandlingssystemer,
eksempelvis lokalt på en medarbejders
arbejdsstation.
Nærmere behandlet i TETs årsredegørelse
for 2022 (afsnit 2.2.3).
Hvorvidt data fra CFCS’ sensornetværk i
henhold til CFCS-lovens § 17, stk. 1, skal
slettes umiddelbart efter, at undersøgelsen
af den konkrete hændelse, der har forårsaget
indhentningen, er afsluttet.
Nærmere behandlet i TETs redegørelse for
2021 (afsnit 2).
Afventer forsvarsministerens afgørelse.
1. august 2023
Afventer forsvarsministerens afgørelse.
11. august 2020
Afgjort den 11. august 2021.
Forsvarsministeren fandt, at CFCS-lo-
vens § 17, stk. 1, i forhold til sensordata
har et meget begrænset anvendel-
sesområde. Bestemmelsens primære
anvendelsesområde er derimod de
øvrige former for data, der er omfattet
af CFCS-lovens kapitel 4, eksempelvis
stationære data, som er tilvejebragt
i henhold til CFCS-lovens § 5. Sta-
tionære data omfatter data, som
opbevares på blandt andet servere,
lagerenheder, mobile enheder eller
lignende, og som i modsætning til
sensordata ikke udgør kommunikation
mellem netværk.
WWW.TET.DK
ÅRSREDEGØRELSE
/ POLITIETS EF TERRETNINGSTJENESTE
/
FOU, Alm.del - 2023-24 - Bilag 196: Tilsynet med Efterretningstjenesternes årsredegørelser for FE og CFCS 2023, fra forsvarsministeren
2887276_0023.png
WWW.TET.DK
ÅRSREDEGØRELSE
/ POLITIETS EF TERRETNINGSTJENESTE
/
FOU, Alm.del - 2023-24 - Bilag 196: Tilsynet med Efterretningstjenesternes årsredegørelser for FE og CFCS 2023, fra forsvarsministeren
2887276_0024.png
4
WWW.TET.DK
Eksempler på
CFCS’ håndtering
af cyberangreb
ÅRSREDEGØRELSE
/ POLITIETS EF TERRETNINGSTJENESTE
/
FOU, Alm.del - 2023-24 - Bilag 196: Tilsynet med Efterretningstjenesternes årsredegørelser for FE og CFCS 2023, fra forsvarsministeren
2887276_0025.png
Ifølge forarbejderne til CFCS-loven skal TETs årlige redegørelse om sin virksomhed ved-
rørende CFCS blandt andet indeholde en fuldt ud anonymiseret beskrivelse af et eller
flere konkrete cyberangreb.
CFCS har bidraget med følgende beskrivelse af cyberangreb i
:
CFCS har til opgave at beskytte de vigtige dele af det danske samfund mod cyberangreb.
I praksis løses denne opgave ved, at CFCS opdager, analyserer og bidrager til at imødegå
sikkerhedshændelser hos myndigheder og virksomheder med samfundsvigtig karakter,
der er tilsluttet CFCS’ sensornetværk, eller som anmoder om CFCS’ bistand. Ved siden
af data fra sensornetværket samt kommercielt anskaffet og åbent tilgængelige data, gør
CFCS i sin opgaveløsning også brug af informationer frembragt gennem FE’s internationale
efterretningsarbejde.
I 2023 har CFCS håndteret en lang række sikkerhedshændelser for myndigheder og
virksomheder i og uden for sensornetværket. Hændelserne omfattede systematisk udnyttelse
af kendte eller hidtil ukendte sårbarheder, datalæk, rekognoscering, spear phishing og
forsøg på brute forcing. En del af hændelserne omfattede også kompromitteringer i form
af spionage og datatyveri samt ransomwareangreb med kryptering af data til følge. CFCS
har i 2023 observeret angreb og forsøg på angreb fra både statsstøttede og kriminelle
cyberaktører.
Angrebsforsøg via phishing er fortsat en alvorlig trussel mod tilsluttede myndigheder og
virksomheder. Det kan eksempelvis være mails fra en ondsindet aktør, der forsøger at lokke
en modtager til at aktivere eller tilgå indhold i mailen, som enten kan føre til inficeringer
eller franarre login-oplysninger fra ofret. Desuden observerer CFCS løbende forskellige typer
forsøg på at udnytte fejlkonfigurationer og offentligt kendte sårbarheder i softwaretjenester,
som er eksponeret mod internettet.
WWW.TET.DK
ÅRSREDEGØRELSE
/ POLITIETS EF TERRETNINGSTJENESTE
/
FOU, Alm.del - 2023-24 - Bilag 196: Tilsynet med Efterretningstjenesternes årsredegørelser for FE og CFCS 2023, fra forsvarsministeren
2887276_0026.png
5
WWW.TET.DK
Statistik
vedrørende CFCS’
behandling af
oplysninger
ÅRSREDEGØRELSE
/ POLITIETS EF TERRETNINGSTJENESTE
/
FOU, Alm.del - 2023-24 - Bilag 196: Tilsynet med Efterretningstjenesternes årsredegørelser for FE og CFCS 2023, fra forsvarsministeren
2887276_0027.png
Det fremgår af forarbejderne til CFCS-loven, at TETs årlige redegørelse om sin virksom-
hed vedrørende CFCS skal indeholde statistiske oplysninger om centrets behandling af
personoplysninger, herunder oplysninger om antallet af modtagne klagesager i såvel
centret som tilsynet, oplysninger om antallet af aktindsigtssager og afgørelsen af disse
samt oplysninger om antallet af sager med relation til sikkerhedshændelser, der er
behandlet i centret.
Redegørelsen skal endvidere indeholde statistik over antallet af tilfælde, hvor en ana-
lytiker fra CFCS på baggrund af indgreb i meddelelseshemmeligheden har foretaget en
analyse af data. Denne statistik skal indeholde en overordnet kategorisering af, hvor
alvorlige disse tilfælde har været.
CFCS har bidraget med følgende data for
:
TABEL 1 – VIDEREGIVELSER OG UDVEKSLINGER
Videregivelser
Udvekslinger
Total
TABEL 2 – BEKRÆFTEDE SIKKERHEDSHÆNDELSER* EFTER ALVORLIGHEDSGRAD
Alvorlige
Større
Moderate
Mindre
Ingen**
Falske positive***
Total
*
**
***
.
.
Sikkerhedshændelser defineres i overensstemmelse med § , nr. , i lov om Center for Cybersikkerhed.
Kategorien ”Ingen” inkluderer alle de sikkerhedshændelser, som ikke har haft en indvirkning på kunden.
Falske positive dækker over mistanke om en sikkerhedshændelse der ved nærmere analyse viser sig ikke at være en
sikkerhedshændelse
TABEL 3 – AKTINDSIGTSSAGER
Fuld aktindsigt
Delvis aktindsigt
Afslag på aktindsigt
Ingen omfattede dokumenter lokaliseret
Total
TABEL 4 – BEHANDLING AF PERSONOPLYSNINGER
Klager til CFCS over behandling af personoplysninger
Klagesager modtaget i TET
* CFCS har ikke kendskab til, at der er modtaget klager over centrets behandling af personoplysninger.
*
WWW.TET.DK
ÅRSREDEGØRELSE
/ POLITIETS EF TERRETNINGSTJENESTE
/
FOU, Alm.del - 2023-24 - Bilag 196: Tilsynet med Efterretningstjenesternes årsredegørelser for FE og CFCS 2023, fra forsvarsministeren
2887276_0028.png
Appendiks
WWW.TET.DK
ÅRSREDEGØRELSE
/ POLITIETS EF TERRETNINGSTJENESTE
/
FOU, Alm.del - 2023-24 - Bilag 196: Tilsynet med Efterretningstjenesternes årsredegørelser for FE og CFCS 2023, fra forsvarsministeren
2887276_0029.png
. OM CENTER FOR CYBERSIKKERHED
Center for Cybersikkerhed (CFCS) blev oprettet i
som en del af Forsvarets Efterret-
ningstjeneste (FE) og har som hovedopgave at være
h
statslig og militær varslingstjeneste for internettrusler,
h
national it-sikkerhedsmyndighed (bortset fra Justitsministeriets område, hvor Politiets
Efterretningstjeneste (PET) varetager opgaven) og
h
myndighed for informationssikkerhed og beredskab på teleområdet.
Det er CFCS’ opgave som statslig og militær varslingstjeneste for internettrusler at
understøtte et højt informationssikkerhedsniveau i den informations- og kommunikati-
onsteknologiske infrastruktur, som samfundsvigtige funktioner er afhængige af. Denne
opgave løses blandt andet ved, at CFCS’ netsikkerhedstjeneste opdager, analyserer og
bidrager til at imødegå avancerede cyberangreb hos Forsvaret samt de statslige myn-
digheder og virksomheder, der er tilsluttet centrets sensornet.
CFCS’ opgave som national it-sikkerhedsmyndighed indebærer, at centret oplyser, vej-
leder og rådgiver danske myndigheder og virksomheder om it-sikkerhed og fungerer
som nationalt kompetencecenter på cybersikkerhedsområdet. Som national it-sikker-
hedsmyndighed er det tillige CFCS’ opgave at sikkerhedsgodkende og føre tilsyn med
klassificerede produkter, systemer og installationer inden for informations- og kommu-
nikationsteknologi.
CFCS’ varetagelse af opgaven som myndighed for informationssikkerhed og beredskab
på teleområdet indebærer, at centret blandt andet fører tilsyn på området og rådgiver
samfundets beredskabsaktører om teleberedskab. Herunder udsteder CFCS med bemyn-
digelse i lov om net- og informationssikkerhed (herefter NIS-loven) bekendtgørelser og
har til opgave at føre tilsyn på området samt på overordnet niveau at koordinere hånd-
teringen af særlige trusler, som kan påvirke informationssikkerheden i telesektoren.
De juridiske rammer for CFCS’ virksomhed følger i det væsentlige af CFCS-loven med
tilhørende bekendtgørelse og cirkulære samt NIS-loven.
CFCS-loven regulerer blandt andet centrets opgaver samt indgreb i meddelelseshem-
meligheden, behandling, analyse, videregivelse og sletning af personoplysninger. Med
loven er det yderligere bestemt, at Tilsynet med Efterretningstjenesterne (TET), der som et
uafhængigt kontrolorgan fører tilsyn med PET og FE, tillige skal føre tilsyn med, at CFCS’
behandling af oplysninger om fysiske personer er i overensstemmelse med lovgivningen.
CFCS er tillige undergivet ekstern kontrol af Forsvarsministeriet, domstolene og Folke-
tingets Ombudsmand.
WWW.TET.DK
ÅRSREDEGØRELSE
/ POLITIETS EF TERRETNINGSTJENESTE
/
FOU, Alm.del - 2023-24 - Bilag 196: Tilsynet med Efterretningstjenesternes årsredegørelser for FE og CFCS 2023, fra forsvarsministeren
2887276_0030.png
. OM TILSYNET MED EFTERRETNINGSTJENESTERNE
TE TS VIRKSOMHED
Personale i 2023 (ansatte)
Finanslovsbevilling i 2023 (mio. kr.)
,
Tilsynet med Efterretningstjenesterne (TET) er et uafhængigt kontrolorgan, der fører
tilsyn med, at Politiets Efterretningstjeneste (PET), Forsvarets Efterretningstjeneste (FE),
Center for Cybersikkerhed (CFCS) og Politiets PNR-enhed (PPNR) behandler personoplys-
ninger i overensstemmelse med lovgivningen.
TET udøver sine funktioner i fuld uafhængighed og er således ikke undergivet tje-
nestebefalinger fra Justitsministeriet, Forsvarsministeriet eller andre administrative
myndigheder med hensyn til udøvelsen af sin virksomhed.
TET består af fem medlemmer, der er udpeget af justitsministeren efter forhandling med
forsvarsministeren. Formanden, der skal være landsdommer, er udpeget efter indstilling
fra præsidenterne for Østre Landsret og Vestre Landsret, mens de øvrige medlemmer er
udpeget efter drøftelser med Folketingets Udvalg vedrørende Efterretningstjenesterne.
Medlemmerne var ved udgangen af
:
h
Landsdommer Michael Kistrup, Østre Landsret (formand)
h
Juridisk chef Pernille Christensen, Kommunernes Landsforening
h
Professor Henrik Udsen, Københavns Universitet
h
Professor Rebecca Adler-Nissen, Københavns Universitet
h
Direktør Jesper Fisker, Kræftens Bekæmpelse
Medlemmerne udpeges for en periode på fire år med mulighed for genbeskikkelse
for yderligere fire år. Ved TETs etablering i
blev to medlemmer udpeget for to år
med mulighed for genbeskikkelse for yderligere fire år med henblik på at sikre mod
en samtidig og fuldstændig udskiftning af tilsynets medlemmer, idet de efterfølgende
funktionsperioder er forskudt to år i forhold til hinanden.
TET bistås af et sekretariat, der alene er undergivet tilsynets instruktion. TET bestemmer
selv, hvem der skal ansættes til sekretariatet, herunder hvilken uddannelsesmæssig bag-
grund og øvrige kvalifikationer de pågældende skal have. Ved udgangen af
bestod
sekretariatet af en sekretariatschef, der varetager den daglige ledelse, en souschef, tre
jurister, to it-konsulenter og en kontorfunktionær.
TETs sekretariat er opdelt i sektioner, der beskæftiger sig med henholdsvis PET/PPNR, FE/
CFCS og anmodninger om indirekte indsigt. Med henblik på at sikre faglig koordinering
og erfaringsudveksling arbejder TETs medarbejdere på tværs af sektionerne.
WWW.TET.DK
ÅRSREDEGØRELSE
/ POLITIETS EF TERRETNINGSTJENESTE
/
FOU, Alm.del - 2023-24 - Bilag 196: Tilsynet med Efterretningstjenesternes årsredegørelser for FE og CFCS 2023, fra forsvarsministeren
2887276_0031.png
TET
SEKRETARIATSCHEF
SOUSCHEF
SIKKERHED
ADMINISTRATION
IT
PET/PPNR-SEKTIONEN
FE/CFCS-SEKTIONEN
SEKTIONEN FOR
INDIREKTE INDSIGT
2.1
TETs opgaver i forhold til CFCS
Ifølge CFCS-loven skal TET efter klage eller af egen drift påse, at CFCS behandler oplys-
ninger om fysiske personer i overensstemmelse med de nærmere bestemmelser herom
i CFCS-loven samt regler udstedt i medfør heraf. TET påser, at CFCS overholder lovens
regler om
h
indgreb i meddelelseshemmeligheden,
h
behandling af personoplysninger i centret,
h
analyse, videregivelse og sletning af data og
h
krav til sikkerhedsforanstaltninger i forbindelse med centrets behandling af person-
oplysninger.
TETs opgave er at føre legalitetskontrol med, at CFCS behandler oplysninger om fysiske
personer i overensstemmelse med lovgivningen, og skal således ikke påse, hvorvidt
centret udfører sine opgaver på en hensigtsmæssig måde.
TET afgør selv intensiteten af sin kontrol, herunder i hvilket omfang kontrollen skal
være fuldstændig eller stikprøvevis, hvilke sagsområder der særskilt skal prioriteres,
og i hvilket omfang TET vil tage sager op af egen drift. Der er ikke givet nærmere ret-
ningslinjer for TETs udførelse af sin kontrol.
WWW.TET.DK
ÅRSREDEGØRELSE
/ POLITIETS EF TERRETNINGSTJENESTE
/
FOU, Alm.del - 2023-24 - Bilag 196: Tilsynet med Efterretningstjenesternes årsredegørelser for FE og CFCS 2023, fra forsvarsministeren
2887276_0032.png
2.2
TETs adgang til oplysninger i CFCS
TET kan hos CFCS kræve enhver oplysning og alt materiale, der er af betydning for til-
synets virksomhed, og har til enhver tid adgang til alle lokaler, hvorfra der er adgang
til de oplysninger, som behandles, eller hvor tekniske hjælpemidler anvendes. TET kan
endvidere afkræve CFCS skriftlige udtalelser om faktiske og retlige forhold af betydning
for tilsynets kontrolvirksomhed, ligesom tilsynet kan anmode om, at en repræsentant
for centret er til stede med henblik på at redegøre for de behandlede sager.
CFCS har stillet lokaler til rådighed for TET, hvorfra tilsynet på egen hånd kan foretage
søgninger i centrets it-systemer.
2.3
TETs reaktionsmuligheder
TET har ikke kompetence til at påbyde CFCS bestemte foranstaltninger i forhold til be-
handling af oplysninger. TET kan derimod afgive udtalelser over for CFCS, hvori tilsynet
blandt andet kan tilkendegive sin opfattelse af, om centret overholder reglerne om
behandling af oplysninger. TET afgiver ved afslutningen af hver kontrol en udtalelse
til CFCS, hvor resultatet af tilsynets kontrol beskrives. Udtalelsen kan herudover inde-
holde en beskrivelse af et eller flere tiltag, som TET vurderer at CFCS bør foretage. Hvis
CFCS undtagelsesvist måtte beslutte ikke at følge en henstilling i en udtalelse fra TET,
skal centret underrette tilsynet herom og uden unødigt ophold forelægge sagen for
forsvarsministeren til afgørelse.
CFCS følger
henstillingen
Forsvarsministeren
beslutter at
følge TETs
henstilling
TETs kontrol
viser fejl eller
lovbrud
TET
henstiller til
CFCS
CFCS beslutter
ikke at følge
henstillingen
CFCS skal
underrette TET,
og forelægge
sagen for
forsvars-
ministeren
Forsvarsministeren
beslutter ikke
at følge TETs
henstilling
Regeringen
skal underrette
Udvalget
vedrørende
Efterretnings-
tjenesterne
TET skal underrette forsvarsministeren om forhold, som ministeren efter tilsynets op-
fattelse bør have kendskab til.
TET afgiver en årlig redegørelse om sin virksomhed til forsvarsministeren. Redegørelsen,
der o entliggøres, giver information om karakteren af det tilsyn, der udøves med CFCS.
Det fremgår således af forarbejderne til loven, at sigtet med den årlige redegørelse er
at give information om karakteren af det tilsyn, der udøves vedrørende CFCS, herunder
en generel beskrivelse af, hvilke forhold TET måtte have valgt særligt at interessere sig
for. Redegørelsen skal indeholde statistiske oplysninger om CFCS’ behandling af person-
WWW.TET.DK
ÅRSREDEGØRELSE
/ POLITIETS EF TERRETNINGSTJENESTE
/
FOU, Alm.del - 2023-24 - Bilag 196: Tilsynet med Efterretningstjenesternes årsredegørelser for FE og CFCS 2023, fra forsvarsministeren
2887276_0033.png
oplysninger, herunder oplysninger om antallet af modtagne klagesager i såvel centret
som tilsynet, oplysninger om antallet af aktindsigtssager og afgørelsen af disse samt
oplysninger om antallet af sager med relation til sikkerhedshændelser, der er behandlet
i centret. TET vil også skulle medtage oplysninger om, i hvor mange tilfælde tilsynet har
fundet, at CFCS’ behandling af personoplysninger ikke har været i overensstemmelse med
reglerne. Redegørelsen skal ligeledes indeholde en fuldt ud anonymiseret beskrivelse
af et eller flere konkrete cyberangreb samt en statistik over antallet af tilfælde, hvor en
analytiker fra CFCS på baggrund af indgreb i meddelelseshemmeligheden har foretaget
en analyse af data. Denne statistik skal desuden indeholde en overordnet kategorisering
af, hvor alvorlige disse tilfælde har været.
TET afgav senest en årlig redegørelse om sin virksomhed til forsvarsministeren i juni
. Redegørelsen blev o entliggjort i november
.
WWW.TET.DK
ÅRSREDEGØRELSE
/ POLITIETS EF TERRETNINGSTJENESTE
/
FOU, Alm.del - 2023-24 - Bilag 196: Tilsynet med Efterretningstjenesternes årsredegørelser for FE og CFCS 2023, fra forsvarsministeren
2887276_0034.png
. RETSGRUNDLAG
) Lov om Center for Cybersikkerhed (CFCS) (lovbekendtgørelse nr.
) (CFCS-loven)
af . august
) Forsvarsministeriets cirkulære om behandling af data i og fra Center for Cybersikker-
heds netsikkerhedstjeneste (cirkulære nr.
af . august
) (CFCS-cirkulæret)
) Anordning nr.
af . november
Center for Cybersikkerhed
om ikrafttræden for Grønland af lov om
3.1
CFCS’ netsikkerhedstjeneste
. .
Om CFCS’ netsikkerhedstjeneste, jf. CFCS-lovens §
Det følger af lovens § , at CFCS’ netsikkerhedstjenestes opgave er at opdage, analysere
og bidrage til at imødegå sikkerhedshændelser hos tilsluttede myndigheder og virksom-
heder. Det er de øverste statsorganer samt statslige myndigheder, der efter anmodning
kan blive tilsluttet netsikkerhedstjenesten, mens regioner og kommuner samt virksom-
heder, der er beskæftiget med samfundsvigtige funktioner, efter anmodning kan blive
tilsluttet netsikkerhedstjenesten, såfremt CFCS konkret vurderer, at tilslutningen vil
kunne bidrage til at understøtte et højt informationssikkerhedsniveau i samfundet. I
særlige tilfælde kan CFCS påbyde virksomheder, der har særlig samfundsvigtig karakter,
samt regioner og kommuner at blive tilsluttet netsikkerhedstjenesten.
CFCS’ netsikkerhedstjeneste er betegnelsen for centrets samlede aktiviteter i forbindelse
med at opdage, analysere og bidrage til at imødegå sikkerhedshændelser, herunder
CERT-aktiviteterne på det civile område (GovCERT), CERT-aktiviteterne på det militære
område (MILCERT), sikkerhedstekniske aktiviteter (f.eks. analyse af malware) og støtte-
funktioner. Ved myndigheders og virksomheders tilslutning til netsikkerhedstjenesten
bliver der indgået en tilslutningsaftale, der nærmere regulerer specifikke forhold i
relationen mellem netsikkerhedstjenesten og den enkelte tilsluttede myndighed eller
virksomhed. På Forsvarsministeriets område er det den militære it-sikkerhedsmyndig-
hed, som pålægger myndigheder at blive tilsluttet netsikkerhedstjenesten, og på dette
område indgås ikke tilslutningsaftaler.
WWW.TET.DK
ÅRSREDEGØRELSE
/ POLITIETS EF TERRETNINGSTJENESTE
/
FOU, Alm.del - 2023-24 - Bilag 196: Tilsynet med Efterretningstjenesternes årsredegørelser for FE og CFCS 2023, fra forsvarsministeren
2887276_0035.png
3.2
Indgreb i meddelelseshemmeligheden og edition
. .
Om indgreb i meddelelseshemmeligheden, jf. CFCS-lovens §§ - c
CFCS-lovens § indebærer, at CFCS’ netsikkerhedstjeneste uden retskendelse kan be-
handle pakkedata, trafikdata og stationære data hidrørende fra tilsluttede myndigheder
og virksomheder med henblik på at understøtte et højt informationssikkerhedsniveau
i samfundet. Ved pakkedata forstås indholdet af kommunikation, der transmitteres
gennem digitale netværk eller tjenester, jf. lovens § , nr. , og ved trafikdata forstås
data, som behandles med henblik på at transmittere pakkedata, jf. lovens § , nr. . Ved
stationære data forstås data, som opbevares på servere, cloudtjenester, pc’er, lageren-
heder, netværksenheder, mobile enheder og tilsvarende, jf. lovens § , nr. .
Det følger af lovens § , at CFCS ved en begrundet mistanke om en sikkerhedshændelse
uden retskendelse kan behandle stationære data fra en myndighed eller virksomhed,
som ikke er tilsluttet netsikkerhedstjenesten, når
) myndigheden eller virksomheden har anmodet CFCS om bistand, stillet de stationære
data til rådighed og givet skriftligt samtykke til behandlingen, og
) behandlingen vurderes at kunne bidrage til at understøtte et højt informationssik-
kerhedsniveau i samfundet.
Det følger af lovens § , at CFCS efter aftale med en myndighed eller virksomhed, som
er tilsluttet centrets netsikkerhedstjeneste, ved begrundet mistanke om en sikkerheds-
hændelse uden retskendelse kan blokere, omdanne eller omdirigere trafikdata, pakke-
data og stationære data hidrørende fra netværk hos myndigheden eller virksomheden
med henblik på at understøtte et højt informationssikkerhedsniveau i samfundet. Ved
en konstateret sikkerhedshændelse kan CFCS slette stationære data, der har forårsaget
sikkerhedshændelsen.
Efter lovens § a kan CFCS gennemføre sikkerhedstekniske undersøgelser med henblik
på at kunne rådgive myndigheder og virksomheder om forebyggelse af sikkerhedshæn-
delser, når en myndighed eller virksomhed har anmodet centret herom. I forbindelse
med en sikkerhedsteknisk undersøgelse kan CFCS uden retskendelse behandle trafikdata,
pakkedata og stationære data hos myndigheden eller virksomheden, behandle o entligt
tilgængelige data om myndigheden eller virksomheden og dennes medarbejdere og
iværksætte forebyggelsesaktiviteter rettet mod udvalgte medarbejdere eller enheder i
myndigheden eller virksomheden.
Efter lovens § b kan CFCS med henblik på at opnå viden om angrebsaktørers metoder
og værktøjer opsætte fiktive angrebsmål, såfremt opsætningen vurderes at kunne bidrage
væsentligt til centrets muligheder for at understøtte et højt informationssikkerhedsni-
veau i samfundet. Såfremt angrebsaktører benytter et fiktivt angrebsmål til at deponere
data, kan CFCS uden retskendelse behandle de deponerede data med henblik på at
opdage, analysere og bidrage til at imødegå sikkerhedshændelser hos myndigheder
og virksomheder eller informere borgere, myndigheder og virksomheder om, at de har
været udsat for en sikkerhedshændelse.
Det følger af lovens § c, at CFCS med henblik på at forhindre, standse eller begrænse
en nært forstående eller igangværende sikkerhedshændelse kan gøre brug af domæ-
WWW.TET.DK
ÅRSREDEGØRELSE
/ POLITIETS EF TERRETNINGSTJENESTE
/
FOU, Alm.del - 2023-24 - Bilag 196: Tilsynet med Efterretningstjenesternes årsredegørelser for FE og CFCS 2023, fra forsvarsministeren
2887276_0036.png
nenavne og tilsvarende it-infrastruktur, som anvendes eller har været anvendt af en
angrebsaktør, forudsat at disse er ledige til registrering. Såfremt CFCS i forbindelse med
anvendelsen af it-infrastruktur modtager data fra tredjemand, kan centret uden retsken-
delse behandle de modtagne data med henblik på at opdage, analysere og bidrage til at
imødegå sikkerhedshændelser hos myndigheder og virksomheder eller informere borgere,
myndigheder og virksomheder om, at de har været udsat for en sikkerhedshændelse.
. .
Om edition, jf. CFCS-lovens §
Med henblik på at afdække sikkerhedshændelser kan der efter lovens § meddeles en
juridisk eller fysisk person pålæg om at forevise eller udlevere oplysninger om brugeren
af en e-mailkonto, IP-adresse eller et domænenavn, såfremt oplysningerne er undergivet
den pågældendes rådighed, medmindre indgrebet står i misforhold til sagens betydning
og det tab eller den ulempe, som indgrebet kan antages at medføre.
3.3
Behandling af personoplysninger
. .
Om behandling af personoplysninger, jf. CFCS-lovens §§ -
Efter lovens § skal CFCS’ indsamling af personoplysninger ske til udtrykkeligt angivne
og saglige formål, og senere behandling må ikke være uforenelig med disse formål.
Senere behandling af personoplysninger, der alene sker i historisk, statistisk eller vi-
denskabeligt øjemed, anses ikke for uforenelig med de formål, hvortil oplysningerne er
indsamlet. Personoplysninger, som behandles, skal være relevante og tilstrækkelige og
ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne
indsamles, og de formål, hvortil oplysningerne senere behandles.
Behandling af personoplysninger må efter lovens §
kun finde sted, hvis
) den pågældende person har givet sit udtrykkelige samtykke hertil,
) behandlingen er nødvendig af hensyn til opfyldelsen af en aftale, som den pågælden-
de person er part i, eller af hensyn til gennemførelse af foranstaltninger, der træ es
på den pågældende persons anmodning forud for indgåelsen af en sådan aftale,
) behandlingen er nødvendig af hensyn til udførelsen af en opgave i samfundets
interesse,
) behandlingen er nødvendig til beskyttelse af væsentlige hensyn til statens sikkerhed
eller rigets forsvar,
) behandlingen er nødvendig af hensyn til udførelsen af en opgave, der henhører
under o entlig myndighedsudøvelse, som CFCS eller en tredjemand, til hvem op-
lysningerne videregives, har fået pålagt,
) behandlingen er nødvendig for, at CFCS eller den tredjemand, til hvem oplysningerne
WWW.TET.DK
ÅRSREDEGØRELSE
/ POLITIETS EF TERRETNINGSTJENESTE
/
FOU, Alm.del - 2023-24 - Bilag 196: Tilsynet med Efterretningstjenesternes årsredegørelser for FE og CFCS 2023, fra forsvarsministeren
2887276_0037.png
videregives, kan forfølge en berettiget interesse, og hensynet til den pågældende
person ikke overstiger denne interesse, eller
) behandlingen vedrører personoplysninger, der er omfattet af kapitel
meddelelseshemmeligheden).
(indgreb i
Lovens § , nr. , , , og er med sproglige tilpasninger identiske med de tilsvarende
bestemmelser i Europa-Parlamentets og Rådets forordning
/
artikel og skal
fortolkes i overensstemmelse med disse bestemmelsers forarbejder og relevante praksis.
Anvendelse af bestemmelsens nr. forudsætter, at der er fare for, at statens sikkerhed
eller rigets forsvar vil lide skade, hvilket eksempelvis kan være tilfældet i forbindelse
med cyberangreb mod danske myndigheders informationssystemer. Hensynet til statens
sikkerhed eller rigets forsvar skal fortolkes i overensstemmelse med det tilsvarende udtryk
i o entlighedslovens § . Med bestemmelsens nr. fastsættes en generel hjemmel til
at behandle personoplysninger, hvis de er omfattet af kapitel (indgreb i meddelelses-
hemmeligheden), hvorved bemærkes, at der med lovens § er fastsat nærmere rammer
for analyse af pakkedata, der er omfattet af lovens §§ , og , mens der i lovens §
er fastsat regler for sletning af de pågældende data.
Der må ikke behandles personoplysninger om racemæssig eller etnisk baggrund,
politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og
personoplysninger om helbredsmæssige og seksuelle forhold, jf. lovens § , stk. . Efter
bestemmelsens stk. gælder dette dog ikke, hvis
) den pågældende person har givet sit udtrykkelige samtykke til en sådan behandling,
) behandlingen vedrører personoplysninger, som er blevet o entliggjort af den på-
gældende person,
) behandlingen er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller
forsvares,
) behandlingen er nødvendig til beskyttelse af væsentlige hensyn til statens sikkerhed
eller rigets forsvar, eller
) behandlingen vedrører personoplysninger, der er omfattet af kapitel
meddelelseshemmeligheden).
(indgreb i
Det følger af lovens § , stk. , at der ikke må behandles personoplysninger om strafbare
forhold, væsentlige sociale problemer og andre rent private forhold end de i § , stk. ,
nævnte, medmindre det er nødvendigt for varetagelsen af CFCS’ opgaver. Efter bestem-
melsens stk. må de i stk. nævnte personoplysninger ikke videregives, medmindre
) den pågældende person har givet sit udtrykkelige samtykke til videregivelsen,
) videregivelsen sker til varetagelse af private eller o entlige interesser, der klart
overstiger hensynet til de interesser, der begrunder hemmeligholdelse, herunder
hensynet til den, oplysningen angår,
) videregivelsen er nødvendig for udførelsen af en myndigheds virksomhed eller
påkrævet for en afgørelse, som myndigheden skal træ e,
) videregivelsen er nødvendig for udførelsen af en persons eller virksomheds opgaver
for det o entlige, eller
WWW.TET.DK
ÅRSREDEGØRELSE
/ POLITIETS EF TERRETNINGSTJENESTE
/
FOU, Alm.del - 2023-24 - Bilag 196: Tilsynet med Efterretningstjenesternes årsredegørelser for FE og CFCS 2023, fra forsvarsministeren
2887276_0038.png
) videregivelsen omfatter personoplysninger, der er omfattet af kapitel
meddelelseshemmeligheden).
(indgreb i
Behandling af personoplysninger skal tilrettelægges således, at der foretages fornøden
ajourføring af oplysningerne, jf. lovens § . Der skal endvidere foretages den fornødne
kontrol for at sikre, at der ikke behandles urigtige eller vildledende personoplysninger.
Personoplysninger, der viser sig urigtige eller vildledende, skal snarest muligt slettes
eller berigtiges.
Indsamlede personoplysninger må ikke opbevares på en måde, der giver mulighed for at
identificere den pågældende person i et længere tidsrum end det, der er nødvendigt af
hensyn til de formål, hvortil oplysningerne behandles, jf. lovens § . I den forbindelse
bemærkes, at der i lovens § er fastsat særlige bestemmelser om sletning af data, der
er omfattet af lovens kapitel (indgreb i meddelelseshemmeligheden).
. .
Om sikkerhedsforanstaltninger i forbindelse med behandling af personoplysninger,
jf. CFCS-lovens §
Ifølge lovens § træ er CFCS passende tekniske og organisatoriske foranstaltninger mod,
at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, og mod, at
de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med
loven. For oplysninger, som er af særlig interesse for fremmede magter, skal CFCS træ e
foranstaltninger, der muliggør bortska else eller tilintetgørelse i tilfælde af krig eller
lignende forhold.
3.4
Analyse og sletning af data omfattet af CFCS-lovens
kapitel 4
Om analyse af data, jf. CFCS-lovens §
Det følger af lovens § , at CFCS kan foretage automatisk analyse af trafikdata, pakke-
data og stationære data, der er omfattet af lovens kapitel om indgreb i meddelelses-
hemmeligheden (§§ - c). CFCS må alene foretage manuelle analyser af kapitel data
i følgende tilfælde:
) For at opdage, analysere og bidrage til at imødegå sikkerhedshændelser kan trafik-
data analyseres i det omfang, det er nødvendigt.
) Ved begrundet mistanke om en sikkerhedshændelse kan pakkedata og stationære
data analyseres i det omfang, det er nødvendigt for at afklare forhold vedrørende
hændelsen.
) Som led i forebyggende sikkerhedstekniske undersøgelser efter § a kan trafikda-
ta, pakkedata og stationære data analyseres i det omfang, det er nødvendigt for at
gennemføre undersøgelserne.
. .
WWW.TET.DK
ÅRSREDEGØRELSE
/ POLITIETS EF TERRETNINGSTJENESTE
/
FOU, Alm.del - 2023-24 - Bilag 196: Tilsynet med Efterretningstjenesternes årsredegørelser for FE og CFCS 2023, fra forsvarsministeren
2887276_0039.png
) Som led i det løbende arbejde med at understøtte et højt informationssikkerhedsni-
veau på Forsvarsministeriets område, herunder ved kontrol af om kommunikation
indeholder klassificeret materiale, kan trafikdata og pakkedata, der hidrører fra
myndigheder på Forsvarsministeriets område, analyseres.
) Som led i tekniske test og konfiguration af netsikkerhedstjenestens alarmenheder kan
trafikdata og pakkedata analyseres i det omfang, det er nødvendigt for at gennemføre
testen. Testen skal afsluttes, så snart formålet med testen er opfyldt. Analysen må
alene foretages af medarbejdere, der varetager tekniske drifts- og udviklingsopgaver
for CFCS. Øvrige medarbejdere må ikke tilgå oplysninger, der hidrører fra test. Mal-
ware, der ved en tilfældighed opdages som led i en teknisk test, må dog analyseres
af øvrige medarbejdere i CFCS efter nr. .
. .
Om sletning af data, jf. CFCS-lovens §
Ifølge lovens § , stk. , skal data, der behandles efter lovens kapitel om indgreb i med-
delelseshemmeligheden (§§ - c), slettes, når formålet med behandlingen er opfyldt.
Bestemmelsen skal ses i sammenhæng med lovens § , hvorefter indsamlede personoplys-
ninger generelt ikke må opbevares på en måde, der giver mulighed for at identificere den
pågældende person i et længere tidsrum end det, der er nødvendigt af hensyn til de formål,
hvortil oplysningerne behandles. Mens lovens § finder anvendelse på al behandling af
alle personoplysninger i CFCS, finder de særlige regler i lovens § alene anvendelse på
de data, der behandles på baggrund af indgreb i meddelelseshemmeligheden.
Ifølge lovforslagets bemærkninger til § vil der på baggrund af bestemmelsen ske en
løbende vurdering af de behandlede data med henblik på at sikre, at data, der ikke læn-
gere er relevante i forhold til netsikkerhedstjenestens formål og aktiviteter, straks slettes.
Herudover fremgår det af lovens §
ikke er opfyldt, jf. stk. , må
, stk. , at uanset at formålet med behandlingen
) data, der knytter sig til en sikkerhedshændelse, højst opbevares i fem år,
) data, der ikke knytter sig til en sikkerhedshændelse, men som stammer fra myndighe-
der, som i særlig grad beskæftiger sig med udenrigs-, sikkerheds- og forsvarspolitiske
forhold, samt virksomheder og organisationer, hvis aktiviteter har særlig betydning
for disse forhold, højst opbevares i tre år, og
) data, der ikke knytter sig til en sikkerhedshændelse, højst opbevares i
måneder.
Bestemmelsen fastsætter øvre grænser for, hvor længe data, der ikke er slettet efter lovens
§ , stk. , kan opbevares, og bestemmelsen finder dermed anvendelse på data, hvor
det er blevet vurderet, at der fortsat er behov for behandling i netsikkerhedstjenesten.
Uanset at formålet med behandlingen således i disse tilfælde endnu ikke er opfyldt,
vil data skulle slettes inden for de absolutte frister, som er fastsat i bestemmelsen. Så-
fremt data, der knytter sig til en sikkerhedshændelse, inden for den femårige periode
igen konstateres anvendt i forbindelse med en sikkerhedshændelse, vil en ny femårig
periode begynde. Fristerne i stk. regnes fra tidspunktet for CFCS’ registrering af de
pågældende data, jf. stk. .
Forsvarsministeren har i
– på baggrund af TETs kontrol – foretaget en vurdering af
betydningen af CFCS-lovens § , stk. , for CFCS’ forpligtelse til at slette data indhentet
WWW.TET.DK
ÅRSREDEGØRELSE
/ POLITIETS EF TERRETNINGSTJENESTE
/
FOU, Alm.del - 2023-24 - Bilag 196: Tilsynet med Efterretningstjenesternes årsredegørelser for FE og CFCS 2023, fra forsvarsministeren
2887276_0040.png
via centrets sensornetværk. Forsvarsministeren vurderer, at sensordata, som CFCS på
baggrund af en analyse har vurderet ikke knytter sig til en sikkerhedshændelse, ikke
skal slettes i henhold til CFCS-lovens § , stk. .
Dette skyldes, at CFCS skal have mulighed for at søge i historiske data, når centret får ny
viden eller værktøjer. Formålet med behandlingen af sensordata kan derfor ikke siges
at være opfyldt i henhold til CFCS-lovens § , stk. , men slettes alene efter de absolutte
slettefrister i CFCS-lovens § , stk. .
Selv i tilfælde, hvor det endegyldigt kan konkluderes, at der er tale om godartede data,
der ikke senere vil kunne vise sig at være knyttet til et cyberangreb, vil sensordata skulle
opbevares i den fulde periode, som fremgår af CFCS-lovens § , stk. , idet sletning af
denne type data potentielt vil kunne forringe CFCS’ muligheder for at tegne et normal-
billede af internetaktiviteten hos den pågældende organisation.
Forsvarsministeren vurderer derimod, at sensordata, som CFCS har vurderet at knytte sig
til en sikkerhedshændelse, skal slettes i henhold til CFCS-lovens § , stk. , i det omfang
centret måtte vurdere, at de konkrete data ikke vil være relevante for CFCS’ fremtidige
muligheder for at opdage, analysere og bidrage til at imødegå cyberangreb. Forsvars-
ministeren fremhæver i den forbindelse, at CFCS er tillagt en betydelig grad af skøn i
forhold til, hvornår formålet med behandlingen i disse tilfælde er opfyldt.
Lovens § , stk. og , finder ikke anvendelse på data, der er videregivet til andre end
den myndighed eller virksomhed, som data hidrører fra, jf. lovens § , stk. .
Personoplysninger i data, som CFCS får adgang til som led i forebyggende sikkerhedstekniske
undersøgelser efter § a, skal ifølge lovens § , stk. , slettes eller anonymiseres, når den
sikkerhedstekniske undersøgelse er afsluttet. Konstaterer CFCS, at der i de pågældende
data er indeholdt følsomme personoplysninger, skal disse slettes uden unødigt ophold.
I helt særlige tilfælde kan de ovenfor beskrevne slettefrister kortvarigt suspenderes, hvis
væsentlige hensyn til varetagelsen af CFCS’ opgaver gør det nødvendigt, jf. § , stk. .
CFCS skal straks underrette TET om suspensionen og baggrunden herfor.
Ifølge lovens § a finder bestemmelserne i lovens § ikke anvendelse på data, der er
deponeret på fiktive angrebsmål efter § b eller modtaget via infrastruktur omfattet
af § c, såfremt CFCS ikke udtager disse data til nærmere vurdering. Disse data slettes
i stedet hurtigst muligt.
3.5
Videregivelse og udveksling af oplysninger omfattet af
CFCS-lovens kapitel 4
Om videregivelse, jf. CFCS-lovens §
Efter lovens §
kan CFCS i en række nærmere definerede tilfælde videregive data,
der er omfattet af lovens kapitel om indgreb i meddelelseshemmeligheden (§§ -
c). Kravene til videregivelsen afhænger både af, hvem der er tiltænkt som modtager af
data, samt af hvilken type af data der videregives.
. .
WWW.TET.DK
ÅRSREDEGØRELSE
/ POLITIETS EF TERRETNINGSTJENESTE
/
FOU, Alm.del - 2023-24 - Bilag 196: Tilsynet med Efterretningstjenesternes årsredegørelser for FE og CFCS 2023, fra forsvarsministeren
2887276_0041.png
CFCS kan ifølge lovens §
, stk. , videregive trafikdata, der er omfattet af kapitel , til:
) Politiet, såfremt der er begrundet mistanke om en sikkerhedshændelse.
) Den tilsluttede myndighed eller virksomhed, hvorfra de pågældende data hidrører,
såfremt der er begrundet mistanke om en sikkerhedshændelse, og hvis det er nød-
vendigt for udførelsen af CFCS’ opgaver.
) Danske myndigheder, udbydere af o entlige elektroniske kommunikationsnet og
-tjenester og andre netsikkerhedstjenester samt myndigheder og virksomheder i
øvrigt i forbindelse med CFCS’ udsendelse af sikkerhedsvarslinger, såfremt der er
begrundet mistanke om en sikkerhedshændelse, og såfremt det er nødvendigt for
udførelsen af centrets opgaver.
CFCS kan ifølge lovens §
, stk. , videregive pakkedata, der er omfattet af kapitel , til:
) Politiet, såfremt der er begrundet mistanke om en sikkerhedshændelse.
) Den tilsluttede myndighed eller virksomhed, hvorfra de pågældende data hidrører,
såfremt der er begrundet mistanke om en sikkerhedshændelse.
CFCS kan ifølge lovens §
til:
, stk. , videregive stationære data, der er omfattet af kapitel ,
) Politiet, såfremt der er begrundet mistanke om en sikkerhedshændelse.
) Den myndighed, virksomhed eller borger, hvorfra de pågældende data hidrører,''
såfremt der er begrundet mistanke om en sikkerhedshændelse.
) Andre netsikkerhedstjenester, såfremt CFCS har modtaget de pågældende data i
medfør af § b eller § c.
CFCS kan ifølge lovens §
) Politiet.
) Den myndighed eller virksomhed, hvorfra de pågældende data hidrører.
) Danske myndigheder, udbydere af o entlige elektroniske kommunikationsnet og
-tjenester og andre netsikkerhedstjenester samt myndigheder og virksomheder i
øvrigt i forbindelse med CFCS’ udsendelse af sikkerhedsvarslinger.
CFCS kan ifølge lovens § , stk. , alene videregive data, som stammer fra tekniske test
og konfiguration af netsikkerhedstjenestens alarmenheder i følgende tilfælde:
) Malware, der er opdaget ved en tilfældighed, kan videregives til politiet, til den
myndighed eller virksomhed, hvorfra de pågældende data hidrører, til danske myn-
digheder, til udbydere af o entlige elektroniske kommunikationsnet og -tjenester
og til andre netsikkerhedstjenester samt til myndigheder og virksomheder i øvrigt
i forbindelse med CFCS’ udsendelse af sikkerhedsvarslinger.
) Trafikdata kan videregives til den tilsluttede myndighed eller virksomhed, hvorfra
de pågældende data hidrører.
, stk. , videregive malware, der er omfattet af kapitel , til:
WWW.TET.DK
ÅRSREDEGØRELSE
/ POLITIETS EF TERRETNINGSTJENESTE
/
FOU, Alm.del - 2023-24 - Bilag 196: Tilsynet med Efterretningstjenesternes årsredegørelser for FE og CFCS 2023, fra forsvarsministeren
2887276_0042.png
CFCS må ifølge lovens § , stk. , i forbindelse med forebyggende sikkerhedstekniske
undersøgelser efter § a alene videregive oplysninger vedrørende myndighedens eller
virksomhedens medarbejdere, hvis det sker i anonymiseret form.
. .
Om udveksling af data med FE, jf. CFCS-cirkulærets §
I de almindelige bemærkninger til CFCS-loven anføres om den interne udveksling af
data i FE, at denne i overensstemmelse med almindelige forvaltningsretlige principper
ikke er lovreguleret.
Dette indebærer, at der som udgangspunkt er fri adgang til at udveksle data internt
i FE, herunder mellem CFCS og den øvrige del af efterretningstjenesten, hvis dette er
nødvendigt for at løse myndighedens opgaver, og der i øvrigt er tale om et sagligt formål.
Det sikrer, at alle de relevante ressourcer i FE hurtigt og e ektivt kan indsættes ved den
meget store andel af cyberangreb mod Danmark, som hidrører fra udlandet, og hvor FE
som udenrigsefterretningstjeneste kan bidrage med en række værdifulde oplysninger.
I overensstemmelse hermed er det i § , stk. , i CFCS-cirkulæret fastsat, at CFCS kun må
udveksle data, der er omfattet af lovens kapitel , med den øvrige del af FE, når
) udvekslingen er nødvendig for at understøtte et højt informationssikkerhedsniveau,
) udvekslingen sker med udtrykkeligt angivne og saglige formål, og
) der er begrundet mistanke om en sikkerhedshændelse.
Efter bestemmelsens stk. finder stk. , nr. , ikke anvendelse på data, der hidrører fra
myndigheder på Forsvarsministeriets område.
Det følger af bestemmelsens stk. , at enhver udveksling af data skal registreres af CFCS.
WWW.TET.DK
ÅRSREDEGØRELSE
/ POLITIETS EF TERRETNINGSTJENESTE
/
FOU, Alm.del - 2023-24 - Bilag 196: Tilsynet med Efterretningstjenesternes årsredegørelser for FE og CFCS 2023, fra forsvarsministeren
2887276_0043.png
WWW.TET.DK
ÅRSREDEGØRELSE
/ POLITIETS EF TERRETNINGSTJENESTE
/
FOU, Alm.del - 2023-24 - Bilag 196: Tilsynet med Efterretningstjenesternes årsredegørelser for FE og CFCS 2023, fra forsvarsministeren
2887276_0044.png
Årsredegørelse
Center for Cybersikkerhed
Udgivet af Tilsynet med Efterretningstjenesterne, maj
Layout + illustrationer: Eckardt ApS
Portrætfotos: Lars Engelgaar / Tomas Bertelsen
Publikationen kan downloades fra TETs hjemmeside på www.tet.dk
Medlemmer af Tilsynet med Efterretningstjenesterne
Landsdommer Michael Kistrup, Østre Landsret (formand)
Juridisk chef Pernille Christensen, Kommunernes Landsforening
Professor Henrik Udsen, Københavns Universitet
Professor Rebecca Adler-Nissen, Københavns Universitet
Direktør Jesper Fisker, Kræftens Bekæmpelse
WWW.TET.DK
ÅRSREDEGØRELSE
/ POLITIETS EF TERRETNINGSTJENESTE
/
FOU, Alm.del - 2023-24 - Bilag 196: Tilsynet med Efterretningstjenesternes årsredegørelser for FE og CFCS 2023, fra forsvarsministeren
2887276_0045.png
FOU, Alm.del - 2023-24 - Bilag 196: Tilsynet med Efterretningstjenesternes årsredegørelser for FE og CFCS 2023, fra forsvarsministeren
2887276_0046.png
Tilsynet med Efterretningstjenesterne
Borgergade 28, 1. sal, 1300 København K
www.tet.dk