Høringssvar vedr. udkast til forslag til lov om sikkerhed i net- og informations­systemer for operatører af væsentlige internetudvekslingspunkter m.v.

Lovforslaget gennemfører NIS-direktivet på Forsvarsministeriets område. Efter lovforslaget skal Center for Cybersikkerhed være kompetent myndighed for internetudvekslingspunkter (IXP'er), som i NIS-direktivet (bilag II) hører under sektoren digital infrastruktur. Derudover skal Center for Cybersikkerhed udføre de tværgående opgaver efter NIS-direktivet (opgaver på tværs af sektorer på nationalt plan og på tværs af landegrænser på EU-plan) som CSIRT og nationalt centralt kontaktpunkt.

Lovforslaget følger strukturen og terminologien i NIS-direktivet. IT-Politisk Forening har i dette høringssvar bemærkninger til regeringens overordnede strategi for at gennemføre NIS-direktivet, placeringen af tilsynsansvaret for IXP'er og behandlingen af personoplysninger i forbindelse med underretning af hændelser.

Regeringens overordnede strategi for at gennemføre NIS-direktivet

Regeringen har valgt at gennemføre NIS-direktivet med sektorspecifikke love, hvor en eksisterende institution under det pågældende ministerium får tilsynsopgaven som kompetent myndighed. NIS-direktivets artikel 8, stk. 1 overlader det til medlemsstaterne at fastsætte, om der skal være en eller flere kompetente myndigheder. En kompetent myndighed for hvert ministeriums område er som sådan inden for rammerne af artikel 8, stk. 1. Hvis der kommer 4-5 (eller flere) kompetente myndigheder i Danmark (jf. sektoropdelingen i bilag II i NIS-direktivet), kan tilsynsressourcerne blive spredt mere end godt er, og synergieffekter mellem forskellige tilsynsområder kan blive vanskelige at udnytte.

Et væsentligt element i NIS-direktivet er at medlemsstaterne skal vedtage en samlet national strategi for sikkerheden i net- og informationssystemer, og der skal være en effektiv informationsudveksling på tværs af sektorer på nationalt plan samt mellem EU-landene på internationalt plan. De tværgående opgaver vil blive varetaget af den danske CSIRT-enhed og det centrale kontaktpunkt, jf. NIS-direktivet. Efter lovforslaget placeres disse opgaver hos Center for Cybersikkerhed.

Center for Cybersikkerhed er en del af Forsvarets Efterretningstjeneste, som generelt opererer under andre rammebetingelser end civile myndigheder, for eksempel med betydelige undtagelser fra offentlighedsloven, forvaltningsloven og persondataloven. IT-Politisk Foreninger finder det meget betænkeligt, at Center for Cybersikkerhed via gennemførelsen af NIS-direktivet får en så betydelig rolle i forhold til cybersikkerheden i den offentlige og private sektor i Danmark. Af principielle årsager mener vi, at de(n) danske CSIRT(er) og det centrale kontaktpunkt bør være civile myndigheder.

Det gælder ikke mindst i de situationer, hvor det kan blive nødvendigt at behandle personoplysninger i forbindelse med underretning af den kompetente myndighed om hændelser. Dette punkt uddybes nedenfor.

Placeringen af tilsynsansvaret for IXP'er

Efter lovforslaget hører internetudvekslingspunktet (IXP'er) under Forsvarsministeriets ressortområde. Nogle IXP'er vil være drevet som en del af en teleudbyder, hvor Center for Cybersikkerhed efter den gældende lovgivning (lov nr 1567 af 15/12/2015 om net- og informationssikkerhed) har tilsynsansvaret for sikkerheden. Disse IXP'er hos teleudbydere vil dog være undtaget fra NIS-direktivet, jf. artikel 1, stk. 3, og dermed fra nærværende lovforslag.

De øvrige operatører af IXP'er, som ikke samtidig er teleudbydere, er ikke i dag underlagt et tilsyn fra Forsvarsministeriet. Det naturlige ressortområde for disse virksomheder er snarere Erhvervsstyrelsen (Erhvervsministeriet) eller Energistyrelsen (Energi-, Forsynings- og Klimaministeriet).

Inden for sektoren digital infrastruktur skal medlemsstaterne efter NIS-direktivet også identificere væsentlige operatører af DNS-tjenester. Internetforbindelser leveres typisk sammen med en DNS-tjeneste af en internetudbyder, som er omfattet af lov om informationssikkerhed med Center for Cybersikkerhed som tilsynsmyndighed. På trods af dette overlap placeres DNS-tjenesteudbydere på Erhvervsstyrelsens ressortområde (altså de DNS-tjenesteudbydere som ikke allerede er omfattet af lov om net- og informationssikkerhed) ifølge det lovforslag om gennemførelse af NIS-direktivet, som Erhvervsministeriet har sendt i høring.

På den baggrund kunne det også overvejes at placere tilsynsansvaret for væsentlige internetudvekslingspunkter hos Erhvervsstyrelsen, som er en civil myndighed.

Hvis hovedparten af de danske internetudvekslingspunkter er undtaget fra NIS-direktivet, fordi de drives af en teleudbyder som er omfattet af lov om informationssikkerhed, kan det af hensyn til synergieffekter i tilsynsarbejdet være hensigtsmæssigt at placere det generelle tilsynsansvar for væsentlige internetudvekslingspunkter under Center for Cybersikkerhed. Ifølge de specielle bemærkninger til lovforslagets § 2 vil et internetudvekslingspunkt være omfattet af NIS-direktivet og dermed lovforslaget, hvis det drives i et datterselskab eller associeret selskab af en teleudbyder, eller hvis flere (tele)udbydere i fællesskab driver internetudvekslingspunktet. Ud fra den beskrivelse vil IT-Politisk Forening forvente, at de fleste danske internetudvekslingspunkter (IXP’er) ikke vil falde ind under lov om net- og informationssikkerhed, men i stedet vil være omfattet af de(t) lovforslag, som skal gennemføre NIS-direktivet. I så fald er eventuelle synergieffekter i forhold til det eksisterende tilsyn med teleudbydere under Center for Cybersikkerhed begrænset.

IT-Politisk Forening vil på den baggrund opfordre regeringen til at overveje, om tilsynsansvaret for internetudvekslingspunkter skal placeres hos en civil tilsynsmyndighed, for eksempel Erhvervsstyrelsen.

Behandling af personoplysninger i forbindelse med underretning om hændelser

Lovforlagets § 4, jf. NIS-direktivets artikel 14, stk. 3, fastsætter en pligt til hurtigt at underrette Center for Cybersikkerhed (den kompetente myndighed) om hændelser, der har væsentlig betydning for kontinuiteten af de leverede tjenester.

I nogle tilfælde vil de nødvendige oplysninger i forbindelse med underretningen om en hændelse indeholde personoplysninger. Det kunne være IP-adresser, men også oplysninger fra et IT-systems databaser, som er forsøgt hacket (exfiltreret) og måske optræder i logfiler.

Lovforslaget har kun ganske få overvejelser om dette. Det nævnes i de almindelige bemærkninger pkt. 3.2.1, at videregivelse af oplysninger kan være omfattet af persondataloven, og efter lovforslagets § 6, stk. 4, nr. 4 må orientering til offentligheden om en hændelse ikke indeholde oplysninger om enkeltpersoners forhold, altså et krav om anonymisering af personoplysninger. Men derudover har lovforslaget ingen overvejelser om eksempelvis hjemmel i persondataloven til videregivelse af personoplysninger i forbindelse med en hændelse, og hvordan eventuelle videregivne personoplysninger skal behandles af Center for Cybersikkerhed.

Efter IT-Politisk Forenings opfattelse bør der fastsættes lovregler (eventuelt i bekendtgørelsesform), som begrænser behandlingen af personoplysninger til det strengt nødvendige for at klarlægge omfanget af hændelsen og dens eventuelle grænseoverskridende konsekvenser. Der bør desuden være et eksplicit krav om at disse personoplysninger skal slettes eller anonymiseres hurtigst muligt. Det vil være i overensstemmelse med udtalelsen af 14. juni 2013 vedrørende udkast til NIS-direktivet fra Den Europæiske Tilsynsførende for Databeskyttelse [1].

Udover at Center for Cybersikkerhed som tilsynsmyndighed kan modtage oplysninger om hændelser fra IXP'er, jf. lovforslagets § 4, kan Center for Cybersikkerhed som CSIRT også modtage oplysninger om hændelser fra andre kompetente myndigheder (tilsynsmyndigheder). Efter NIS-direktivets artikel 10, stk. 2 skal CSIRT'en have adgang til oplysninger om hændelser, der er underrettet af operatører af væsentlige tjenester eller udbydere af digitale tjenester, hvis hændelserne ikke direkte rapporteres til CSIRT’en.

Det indebærer en forpligtelse til at videregive oplysninger om hændelser, herunder eventuelle personoplysninger, fra andre tilsynsmyndigheder til Center for Cybersikkerhed. En specifik hjemmel hertil bør fremgå af lovforslagene om at gennemføre NIS-direktivet på de respektive ministeriers område.

Center for Cybersikkerhed bør også have en specifik lovhjemmel til at modtage oplysninger om hændelser fra andre kompetente myndigheder, især hvis de indeholder personoplysninger. IT-Politisk Forening antager, at en sådan hjemmel til at modtage oplysninger fra andre tilsynsmyndigheder er underforstået i lovforslagets § 7, selvom § 7 og bemærkningerne hertil formelt kun nævner videregivelse fra Center for Cybersikkerhed til andre myndigheder i Danmark eller EU.

NIS-direktivets artikel 2, stk. 1 kræver, at behandling af personoplysninger i henhold til direktivet sker i overensstemmelse med direktiv 95/46/EF, og fra 25. maj 2018 databeskyttelses­forordningen (EU) 2016/679. Ifølge den nuværende persondatalov, og det forslag til ny databeskyttelseslov som Justitsministeren har fremsat 25. oktober 2017 (L 68), er Forsvarets Efterretningstjeneste (FE) undtaget fra de EU-retlige regler om databeskyttelse. Undtagelsen er for FE som institution, og vil derfor også gælde, når FE udøver aktiviteter inden for EU-retten, eksempelvis cybersikkerhedsopgaver i forbindelse med NIS-direktivet.

Hvis den fuldstændige undtagelse fra databeskyttelses­forordningen opretholdes for Center for Cybersikkerhed (under FE), vil det efter IT-Politisk Forenings opfattelse ikke være muligt for Danmark at gennemføre NIS-direktivet på en korrekt måde. Beskyttelsen af personoplysninger i den danske gennemførelse af direktivet vil ikke kunne leve op til kravet i NIS-direktivets artikel 2 (samt artikel 8 i Charter om Grundlæggende Rettigheder).

NIS-direktivet forudsætter også, at der kan udveksles personoplysninger mellem EU-lande i forbindelse med cybersikkerhedsopgaver. Center for Cybersikkerhed vil som det nationale centrale kontaktpunkt ikke kunne modtage personoplysninger fra andre EU-lande og behandle dem i overensstemmelse med NIS-direktivets krav. De manglende retsgarantier om databeskyttelse ved videregivelse af personoplysninger fra andre EU-lande til Danmark kan ultimativt medføre, at andre EU-lande ikke vil videregive relevante oplysninger om cybersikkerhedshændelser til Danmark. Det vil selvsagt være til stor skade for den danske cybersikkerhed, det internationale samarbejde og formålet med NIS-direktivet.

IT-Politisk Forening vil anbefale, at regeringen i forbindelse med gennemførelsen af NIS-direktivet genovervejer den fuldstændige undtagelse af Forsvarets Efterretningstjeneste fra databeskyttelsesforordningen. Som minimum bør Center for Cybersikkerheds behandling af personoplysninger i forbindelse med varetagelsen af opgaver under NIS-direktivet ikke være undtaget fra databeskyttelsesforordningen.

Noter

[1] Opinion of the European Data Protection Supervisor on the Joint Communication of the Commission and of the High Representative of the European Union for Foreign Affairs and Security Policy on a 'Cyber Security Strategy of the European Union: an Open, Safe and Secure Cyberspace', and on the Commission proposal for a Directive concerning measures to ensure a high common level of network and information security across the Union, 14. juni 2013 (resumé i EU-Tidende C 32 af 4.2.2014, s. 19)
https://edps.europa.eu/sites/edp/files/publication/13-06-14_cyber_security_en.pdf