%20translate(1319%20275)%20translate(42%201)'/%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/svg%3e)
20. april 2018 kl. 08.00Ministersvar
Lisbeth Bech-Nielsen svarer 
Claus Hjort FrederiksenLisbeth Bech Poulsen (SF) spørger forsvarsministeren, om ministeren vil yde teknisk bistand til formuleringen af et ændringsforslag
Altingets robotMinistersvar er robotgenereret indhold, der oprettes automatisk på basis af Folketingets database over de spørgsmål, der stilles af Folketingets medlemmer og besvares af regeringens ministre. Overskrifterne er skrevet af Altinget. Altinget tager forbehold for fejl i indholdet.
L 155, Spørgsmål 11
Ministeren bedes yde teknisk bistand til formuleringen af ændringsforslag, der indebærer:
– At Center for Cybersikkerhed ikke længere er en del af Forsvarets Efterretningstjeneste, men i stedet bliver en selvstændig civil myndighed indenfor forsvarsministerens ressort.
– At alle Center for Cybersikkerheds aktiviteter i relation til gennemførelsen af NIS direktivet, i alle sektorer, som en del af loven om CFCS er omfattet af databeskyttelsesforordningen og databeskyttelsesloven, således at enkelte dele kun i særlige tilfælde af hensyn til f.eks. statens sikkerhed kan undtages, mens udgangspunktet er, at alt er omfattet af databeskyttelsesforordning og databeskyttelseslov.
Såfremt de nævnte ændringer i Lov om Center for Cybersikkerhed gør det nødvendigt også at stille ændringsforslag til L 139, bedes dette oplyst og i givet fald bedes det angivet, hvilke ændringer i L 139, der er nødvendige.
– At Center for Cybersikkerhed ikke længere er en del af Forsvarets Efterretningstjeneste, men i stedet bliver en selvstændig civil myndighed indenfor forsvarsministerens ressort.
– At alle Center for Cybersikkerheds aktiviteter i relation til gennemførelsen af NIS direktivet, i alle sektorer, som en del af loven om CFCS er omfattet af databeskyttelsesforordningen og databeskyttelsesloven, således at enkelte dele kun i særlige tilfælde af hensyn til f.eks. statens sikkerhed kan undtages, mens udgangspunktet er, at alt er omfattet af databeskyttelsesforordning og databeskyttelseslov.
Såfremt de nævnte ændringer i Lov om Center for Cybersikkerhed gør det nødvendigt også at stille ændringsforslag til L 139, bedes dette oplyst og i givet fald bedes det angivet, hvilke ændringer i L 139, der er nødvendige.
Svar fra fredag den 20. april 2018
1.
Et ændringsforslag vil kunne udformes således:
Fejl! Ukendt betegnelse for dokumentegenskab.
»Ændringsforslag til Forslag til lov om ændring af lov om Center for Cybersikkerhed (Konsekvensændringer som følge af databeskyttelsesforordningen og databeskyttelsesloven) L 155) f (…), tiltrådt af (…) il titlen 1) itlen affattes således:
»Forslag til Lov om ændring af lov om Center for Cybersikkerhed og lov om Forsvarets Efterretningstjeneste (FE) Ændringer i forbindelse med databeskyttelsesforordningen og databeskyttelsesloven samt ny placering af Center for Cybersikkerhed)«.
[Konsekvens af ophævelse af bestemmelser vedrørende placeringen af Center for Cybersikkerhed]
Til § 1 2) ør nr. 1 indsættes som nyt nummer:
»01.
§ 1, stk. 2, ophæves.«
[Ophævelse af bestemmelse om Center for Cybersikkerheds placering som en del af Forsvarets Efterretningstjeneste]
3) nr. 1 indsættes efter »jf. § 1, stk. 2, i lov om retshåndhævende myndigheders behandling af personoplysninger«: », jf. dog stk. 2«
[Henvisning til ny bestemmelse om, at Center for Cybersikkerheds aktiviteter i medfør af NIS-direktivet omfattes af databeskyttelsesloven og databeskyttelsesforordningen]
4) fter nr. 1 indsættes som nyt nummer:
»02. I § 8 indsættes efter stk. 1 som nyt stykke:
»
Stk. 2.
Databeskyttelsesloven og Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger finder dog anvendelse på Center for Cybersikkerheds virke som tilsynsmyndighed for internetudvekslingspunkter, national itberedskabsenhed (CSIRT) og nationalt centralt kontaktpunkt i medfør af EuropaParlamentets og Rådets direktiv nr. 2016/1148 af 6. juni 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen.«
Stk. 2 og 3 bliver herefter stk. 3 og 4.«.«
[Ny bestemmelse om, at Center for Cybersikkerheds aktiviteter i medfør af NIS-direktivet omfattes af databeskyttelsesloven og databeskyttelsesforordningen]
[Konsekvens af ændringsforslag nr. 4]
6) fter nr. 2 indsættes som nyt nummer:
»03. I § 8, stk. 3, 1. pkt., der bliver stk. 4, 1. pkt., indsættes efter »Center for Cybersikkerhed«: », der ikke er omfattet af stk. 2,«.«
[Konsekvens af ændringsforslag nr. 4]
Ny paragraf 7) fter § 1 indsættes som ny paragraf:
Ȥ
01 I lov om Forsvarets Efterretningstjeneste (FE), jf. lovbekendtgørelse nr. 1287 af 28. november 2017, foretages følgende ændringer:
1.
§ 1, stk. 3, ophæves.
Stk. 4 og 5 bliver herefter stk. 3 og 4.
[Ophævelse af bestemmelse om opgaver, som varetages af Center for Cybersikkerhed, samt konsekvensændringer som følge heraf.]
Bemærkninger Til nr. 1 Titlen konsekvensændres.
Til nr. 2 og 7 Center for Cybersikkerhed er oprettet som en del af Forsvarets Efterretningstjeneste, hvilket fremgår af § 1, stk. 2, i lov nr. 713 af 25. juni 2014 om Center for Cybersikkerhed. Det fremgår desuden af § 1, stk. 3, i lov om Forsvarets Efterretningstjeneste, jf. lovbekendtgørelse nr. 1287 af 28. november 2017, at Forsvarets Efterretningstjeneste er national itsikkerhedsmyndighed, militær varslingstjeneste for internettrusler m.v. (MILCERT) og statslig varslingstjeneste for internettrusler (GovCERT). Disse opgaver varetages af Center for Cybersikkerhed. Det foreslås, at bestemmelserne ophæves.
Til nr. 3 og 4 Med forslaget sættes databeskyttelsesloven og databeskyttelsesforordningen i kraft for Center for Cybersikkerheds behandling af personoplysninger i forbindelse med de opgaver, som Center for Cybersikkerhed bliver tillagt i forbindelse med implementeringen af EuropaParlamentets og Rådets direktiv 2016/1148 af 6. juni 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen (NISdirektivet).
Til nr. 5 og 6 Konsekvensændringer som følge af forslaget om at indsætte et nyt § 8, stk. 2, i lov om Center for Cybersikkerhed.
2.
Jeg kan ikke støtte et sådant ændringsforslag.
Baggrunden for placeringen af Center for Cybersikkerhed ved Forsvarets Efterretningstjeneste (FE) var særligt at opnå synergieffekter i form af eksempelvis udnyttelse af FE’s erfaringer inden for it-sikkerhedsområdet, viden om det internationale trusselsbillede på cyberområdet og særlige adgang til oplysninger fra udlandet om cybertrusler.
De fleste alvorlige cyberangreb kommer fra udlandet, og FE har som udenrigsefterretningstjeneste en særlig fortrolig viden om avancerede cyberangreb, og hvem der står bag. Den viden har Center for Cybersikkerhed adgang til som en del af FE, og den udgør fundamentet i det ekstra lag af beskyttelse mod avancerede cyberangreb, som Center for Cybersikkerhed kan bibringe Danmark. Den viden ville Center for Cybersikkerhed ikke kunne opnå ved en placering uden for FE, og dermed ville muligheden for at beskytte Danmark mod cyberangreb blive ringere. Endvidere sikrer placeringen ved FE, at Danmarks meget specialiserede, men knappe ressourcer på it-sikkerhedsområdet samles ét sted, og hermed undgås det at opbygge parallelle kapaciteter.
En udskillelse af Center for Cybersikkerhed fra Forsvarets Efterretningstjeneste (FE) vil derudover ikke nødvendigvis medføre, at Center for Cybersikkerhed vil blive omfattet af databeskyttelsesreguleringen. Centeret vil stadig skulle løse opgaver vedrørende statens sikkerhed, og dermed vil der stadig være behov for at undtage i hvert fald dele af centerets aktiviteter fra databeskyttelsesreguleringen.
Det kan i den forbindelse nævnes, at GovCERT, som var forgængeren til Center for Cybersikkerhed og en del af den daværende IT- og Telestyrelse under Ministeriet for Videnskab, Teknologi og Udvikling, ikke var omfattet af retten til at gøre indsigelse efter persondatalovens § 35, jf. § 5, stk. 1, i lov nr. 596 af 14. juni 2011 om behandling af personoplysninger ved driften af den statslige varslingstjeneste for internettrusler m.v. Det fremgår endvidere af de almindelige bemærkninger til denne lov (L 197, fremsat 27. april 2011), at de personoplysninger, som GovCERT behandlede i forbindelse med sit virke, var undtaget fra indsigtsretten efter undtagelsesbestemmelsen i persondatalovens § 32, stk. 2.
I forhold til forslaget om at sætte databeskyttelsesloven og databeskyttelsesforordningen i kraft for de dele af Center for Cybersikkerheds virke, der følger af NIS-direktivet, bemærkes for Cybersikkerheds behandling af personoplysninger.
Henset til de regler for behandling af personoplysninger, der allerede i dag gælder for Center for Cybersikkerhed, vurderes det ikke, at de krav, der følger af databeskyttelsesforordningen og den foreslåede databeskyttelseslov, vil medføre en realitetsændring for så vidt angår borgernes retssikkerhed og hensynet til privatlivets fred.
Kravene vil imidlertid have administrative konsekvenser for Center for Cybersikkerhed.
Blandt de nye krav, som databeskyttelsesforordningen stiller, kan således fremhæves krav om udpegning af en databeskyttelsesrådgiver, at der skal gennemføres konsekvensanalyser, og at nye it-systemer skal have indbygget databeskyttelse (privacy by design or by default).
Såfremt disse krav skal finde anvendelse for Center for Cybersikkerheds myndighedsopgaver efter NIS-direktivet, vil konsekvensen bl.a. være, at centeret vil skulle benytte forskellige itsystemer til de forskellige dele af centerets virksomhed, hvilket vil være forbundet med øgede omkostninger.
Det kan i den forbindelse oplyses, at det er forventningen, at der – som ved centerets virksomhed på teleområdet – alene vil blive behandlet ganske få personoplysninger i forbindelse med de myndighedsopgaver, som centeret tillægges som led i implementeringen af NISdirektivet.
Derudover følger det allerede af det fremsatte lovforslag, at forsvarsministeren – såfremt der viser sig at være behov herfor – vil kunne bestemme, at databeskyttelsesloven og databeskyttelsesforordningen helt eller delvis finder anvendelse for de myndighedsopgaver vedrørende informationssikkerhed, som Center for Cybersikkerhed skal varetage i medfør af NIS-direktivet.
Det bemærkes i øvrigt, at ændringsforslaget vil medføre, at lovforslaget vil få et andet indhold end det lovforslag, der blev 1. behandlet i Folketinget den 15. marts 2018. Det skal i den forbindelse oplyses, at Forsvarsministeriet ikke har foretaget en vurdering af, om dette vil rejse spørgsmål i forhold til grundlovens § 41, stk. 2 (identitetsprincippet).
Et ændringsforslag vil kunne udformes således:
Fejl! Ukendt betegnelse for dokumentegenskab.
»Ændringsforslag til Forslag til lov om ændring af lov om Center for Cybersikkerhed (Konsekvensændringer som følge af databeskyttelsesforordningen og databeskyttelsesloven) L 155) f (…), tiltrådt af (…) il titlen 1) itlen affattes således:
»Forslag til Lov om ændring af lov om Center for Cybersikkerhed og lov om Forsvarets Efterretningstjeneste (FE) Ændringer i forbindelse med databeskyttelsesforordningen og databeskyttelsesloven samt ny placering af Center for Cybersikkerhed)«.
[Konsekvens af ophævelse af bestemmelser vedrørende placeringen af Center for Cybersikkerhed]
Til § 1 2) ør nr. 1 indsættes som nyt nummer:
»01.
§ 1, stk. 2, ophæves.«
[Ophævelse af bestemmelse om Center for Cybersikkerheds placering som en del af Forsvarets Efterretningstjeneste]
3) nr. 1 indsættes efter »jf. § 1, stk. 2, i lov om retshåndhævende myndigheders behandling af personoplysninger«: », jf. dog stk. 2«
[Henvisning til ny bestemmelse om, at Center for Cybersikkerheds aktiviteter i medfør af NIS-direktivet omfattes af databeskyttelsesloven og databeskyttelsesforordningen]
4) fter nr. 1 indsættes som nyt nummer:
»02. I § 8 indsættes efter stk. 1 som nyt stykke:
»
Stk. 2.
Databeskyttelsesloven og Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger finder dog anvendelse på Center for Cybersikkerheds virke som tilsynsmyndighed for internetudvekslingspunkter, national itberedskabsenhed (CSIRT) og nationalt centralt kontaktpunkt i medfør af EuropaParlamentets og Rådets direktiv nr. 2016/1148 af 6. juni 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen.«
Stk. 2 og 3 bliver herefter stk. 3 og 4.«.«
[Ny bestemmelse om, at Center for Cybersikkerheds aktiviteter i medfør af NIS-direktivet omfattes af databeskyttelsesloven og databeskyttelsesforordningen]
[Konsekvens af ændringsforslag nr. 4]
6) fter nr. 2 indsættes som nyt nummer:
»03. I § 8, stk. 3, 1. pkt., der bliver stk. 4, 1. pkt., indsættes efter »Center for Cybersikkerhed«: », der ikke er omfattet af stk. 2,«.«
[Konsekvens af ændringsforslag nr. 4]
Ny paragraf 7) fter § 1 indsættes som ny paragraf:
Ȥ
01 I lov om Forsvarets Efterretningstjeneste (FE), jf. lovbekendtgørelse nr. 1287 af 28. november 2017, foretages følgende ændringer:
1.
§ 1, stk. 3, ophæves.
Stk. 4 og 5 bliver herefter stk. 3 og 4.
[Ophævelse af bestemmelse om opgaver, som varetages af Center for Cybersikkerhed, samt konsekvensændringer som følge heraf.]
Bemærkninger Til nr. 1 Titlen konsekvensændres.
Til nr. 2 og 7 Center for Cybersikkerhed er oprettet som en del af Forsvarets Efterretningstjeneste, hvilket fremgår af § 1, stk. 2, i lov nr. 713 af 25. juni 2014 om Center for Cybersikkerhed. Det fremgår desuden af § 1, stk. 3, i lov om Forsvarets Efterretningstjeneste, jf. lovbekendtgørelse nr. 1287 af 28. november 2017, at Forsvarets Efterretningstjeneste er national itsikkerhedsmyndighed, militær varslingstjeneste for internettrusler m.v. (MILCERT) og statslig varslingstjeneste for internettrusler (GovCERT). Disse opgaver varetages af Center for Cybersikkerhed. Det foreslås, at bestemmelserne ophæves.
Til nr. 3 og 4 Med forslaget sættes databeskyttelsesloven og databeskyttelsesforordningen i kraft for Center for Cybersikkerheds behandling af personoplysninger i forbindelse med de opgaver, som Center for Cybersikkerhed bliver tillagt i forbindelse med implementeringen af EuropaParlamentets og Rådets direktiv 2016/1148 af 6. juni 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen (NISdirektivet).
Til nr. 5 og 6 Konsekvensændringer som følge af forslaget om at indsætte et nyt § 8, stk. 2, i lov om Center for Cybersikkerhed.
2.
Jeg kan ikke støtte et sådant ændringsforslag.
Baggrunden for placeringen af Center for Cybersikkerhed ved Forsvarets Efterretningstjeneste (FE) var særligt at opnå synergieffekter i form af eksempelvis udnyttelse af FE’s erfaringer inden for it-sikkerhedsområdet, viden om det internationale trusselsbillede på cyberområdet og særlige adgang til oplysninger fra udlandet om cybertrusler.
De fleste alvorlige cyberangreb kommer fra udlandet, og FE har som udenrigsefterretningstjeneste en særlig fortrolig viden om avancerede cyberangreb, og hvem der står bag. Den viden har Center for Cybersikkerhed adgang til som en del af FE, og den udgør fundamentet i det ekstra lag af beskyttelse mod avancerede cyberangreb, som Center for Cybersikkerhed kan bibringe Danmark. Den viden ville Center for Cybersikkerhed ikke kunne opnå ved en placering uden for FE, og dermed ville muligheden for at beskytte Danmark mod cyberangreb blive ringere. Endvidere sikrer placeringen ved FE, at Danmarks meget specialiserede, men knappe ressourcer på it-sikkerhedsområdet samles ét sted, og hermed undgås det at opbygge parallelle kapaciteter.
En udskillelse af Center for Cybersikkerhed fra Forsvarets Efterretningstjeneste (FE) vil derudover ikke nødvendigvis medføre, at Center for Cybersikkerhed vil blive omfattet af databeskyttelsesreguleringen. Centeret vil stadig skulle løse opgaver vedrørende statens sikkerhed, og dermed vil der stadig være behov for at undtage i hvert fald dele af centerets aktiviteter fra databeskyttelsesreguleringen.
Det kan i den forbindelse nævnes, at GovCERT, som var forgængeren til Center for Cybersikkerhed og en del af den daværende IT- og Telestyrelse under Ministeriet for Videnskab, Teknologi og Udvikling, ikke var omfattet af retten til at gøre indsigelse efter persondatalovens § 35, jf. § 5, stk. 1, i lov nr. 596 af 14. juni 2011 om behandling af personoplysninger ved driften af den statslige varslingstjeneste for internettrusler m.v. Det fremgår endvidere af de almindelige bemærkninger til denne lov (L 197, fremsat 27. april 2011), at de personoplysninger, som GovCERT behandlede i forbindelse med sit virke, var undtaget fra indsigtsretten efter undtagelsesbestemmelsen i persondatalovens § 32, stk. 2.
I forhold til forslaget om at sætte databeskyttelsesloven og databeskyttelsesforordningen i kraft for de dele af Center for Cybersikkerheds virke, der følger af NIS-direktivet, bemærkes for Cybersikkerheds behandling af personoplysninger.
Henset til de regler for behandling af personoplysninger, der allerede i dag gælder for Center for Cybersikkerhed, vurderes det ikke, at de krav, der følger af databeskyttelsesforordningen og den foreslåede databeskyttelseslov, vil medføre en realitetsændring for så vidt angår borgernes retssikkerhed og hensynet til privatlivets fred.
Kravene vil imidlertid have administrative konsekvenser for Center for Cybersikkerhed.
Blandt de nye krav, som databeskyttelsesforordningen stiller, kan således fremhæves krav om udpegning af en databeskyttelsesrådgiver, at der skal gennemføres konsekvensanalyser, og at nye it-systemer skal have indbygget databeskyttelse (privacy by design or by default).
Såfremt disse krav skal finde anvendelse for Center for Cybersikkerheds myndighedsopgaver efter NIS-direktivet, vil konsekvensen bl.a. være, at centeret vil skulle benytte forskellige itsystemer til de forskellige dele af centerets virksomhed, hvilket vil være forbundet med øgede omkostninger.
Det kan i den forbindelse oplyses, at det er forventningen, at der – som ved centerets virksomhed på teleområdet – alene vil blive behandlet ganske få personoplysninger i forbindelse med de myndighedsopgaver, som centeret tillægges som led i implementeringen af NISdirektivet.
Derudover følger det allerede af det fremsatte lovforslag, at forsvarsministeren – såfremt der viser sig at være behov herfor – vil kunne bestemme, at databeskyttelsesloven og databeskyttelsesforordningen helt eller delvis finder anvendelse for de myndighedsopgaver vedrørende informationssikkerhed, som Center for Cybersikkerhed skal varetage i medfør af NIS-direktivet.
Det bemærkes i øvrigt, at ændringsforslaget vil medføre, at lovforslaget vil få et andet indhold end det lovforslag, der blev 1. behandlet i Folketinget den 15. marts 2018. Det skal i den forbindelse oplyses, at Forsvarsministeriet ikke har foretaget en vurdering af, om dette vil rejse spørgsmål i forhold til grundlovens § 41, stk. 2 (identitetsprincippet).
Hovedstaden
