L 192 - 2013-14 - Bilag 1: Høringssvar og høringsnotat, fra forsvarsministeren

Et udkast til lovforslag har i perioden 4. februar 2014 til 4. marts 2014 været sendt i hø-ring hos:Advokatrådet, Amnesty International, Brancheorganisation for Den Danske Vejgods-transport (ITD), Danmarks Rederiforening, Dansk Energi, Dansk Erhverv, Dansk Industri(DI), Dansk Internet Forum (DIFO), DANSK IT, Danske Advokater, Danske Regioner,Datatilsynet, Den Danske Dommerforening, DI ITEK, DKCERT, Domstolsstyrelsen, Fi-nansrådet, Foreningen Danske Olieberedskabslagre, Foreningen af Open Source Leve-randører, Foreningen af Vandværker i Danmark, Færøernes Landsstyre, Grønlands Selv-styre, Institut for Menneskerettigheder, ISP Sikkerhedsforum, IT-Branchen, IT-PolitiskForening, Kommunernes Landsforening (KL), Landbrug & Fødevarer, Lægemiddelindu-striforeningen (LIF), Procesindustriens Brancheforening, PROSA, Præsidenten for VestreLandsret, Præsidenten for Østre Landsret, Retspolitisk Forening, Retssikkerhedsfonden,Rigsadvokaten, Rigspolitichefen, Rigsrevisionen, Rådet for Digital Sikkerhed, Statens IT-projektråd, Teleindustrien (TI) og The Open Web Application Security Project (OWASPDanmark).Heraf har Forsvarsministeriet modtaget høringsudtalelse fra følgende:Advokatrådet, Dansk Energi, Dansk Erhverv, Dansk Industri (DI), Datatilsy-net, Den Danske Dommerforening, DI ITEK, DKCERT, Domstolsstyrelsen, Fi-nansrådet, Institut for Menneskerettigheder, IT-Branchen, IT-Politisk For-ening, Præsidenten for Vestre Landsret, Præsidenten for Østre Landsret,Retspolitisk Forening, Rigsadvokaten, Rigspolitichefen, Rigsrevisionen, Rådetfor Digital Sikkerhed og Teleindustrien (TI).Forsvarsministeriet har endvidere modtaget høringsudtalelse fraBranchefællesskabfor Intelligent EnergiogForbrugerrådet Tænk.

Branchefællesskab for Intelligent Energi, Dansk Energi, Datatilsynet, DenDanske Dommerforening, Domstolsstyrelsen, Præsidenten for Vestre Lands-ret, Præsidenten for Østre LandsretogRigsrevisionenhar ikke fremsat bemærk-ninger til lovforslaget.Nedenfor gennemgås og kommenteres de væsentligste bemærkninger fra de hørte par-ter til de enkelte emner i lovforslaget. Forsvarsministeriets kommentarer til høringsudta-lelserne er anført med kursiv.Enkelte høringsudtalelser indeholder bemærkninger og opfordringer til initiativer, somikke vedrører lovudkastet. Disse omtales ikke nærmere.De modtagne høringsudtalelser vedlægges.1. Generelle bemærkningerAdvokatrådetanerkender behovet for Center for Cybersikkerheds arbejde og funktio-ner, og rådet finder det hensigtsmæssigt at samle lovgrundlaget for centerets organisa-tion og funktioner. Advokatrådet udtaler, at udkastet overordnet er gennemarbejdet ogvelbegrundet.Dansk Erhvervbakker op om lovforslagets intention om at styrke it-sikkerheden iDanmark gennem en professionel, offentlig indsats i regi af Center for Cybersikkerhed.Dansk Erhverv mener, at Center for Cybersikkerhed kan give et reelt og vigtigt bidrag tilit-sikkerheden i et samfund, der til stadighed bliver mere afhængigt af en robust it-infrastruktur.Dansk Industri (DI), DI ITEK, Teleindustrien (TI), Rådet for Digital Sikkerhed,Forbrugerrådet Tænk og Institut for Menneskerettighederfinder det positivt, atder etableres et lovgrundlag for Center for Cybersikkerhed, herunder for GovCERT’s1ogMILCERT’s2virke.

Dansk Industri (DI), DI ITEKogTeleindustrien (TI)er endvidere tilfredse med, atvæsentlige dele af reguleringen af Center for Cybersikkerheds virke tager udgangspunkti og viderefører en række principper fra den gældende lov om behandling af personop-lysninger ved driften af den statslige varslingstjeneste for internettrusler m.v. (Gov-CERT-loven3). Organisationerne anfører desuden, at de er tilfredse med, at analyse afpakkedata kun må finde sted ved begrundet mistanke om en sikkerhedshændelse ogkun i det omfang, at det er nødvendigt for afklaring af forhold vedrørende hændelsen,idet dette giver en fornuftig begrænsning i forhold til behandling af personoplysninger.DKCERTser positivt på lovforslaget. DKCERT finder, at lovforslaget i højere grad af-spejler den nye virkelighed, og at lovforslaget er et skridt på vejen mod en mere effektivbehandling af sikkerhedshændelser.Finansrådetbifalder beslutningen om at etablere et statsligt Center for Cybersikkerhedi Danmark. Rådet finder det endvidere positivt, at der kommer et øget fokus på it-sikkerhed i Danmark i takt med, at internettet spiller en stadig større rolle i samfundet.IT-Branchenbakker generelt op om lovforslaget og finder det i udgangspunktet posi-tivt, at der i lovforslaget angives klare regler for dataindsamlingens formål samt tids-grænser for opbevaring og for sletning af indsamlede data og metadata.IT-Politisk Foreninganfører, at it-sikkerhed er en væsentlig samfundsmæssig opga-ve, og at det uden tvivl er hensigtsmæssigt at samle ansvaret for cybersikkerheden påstatens område i én enkelt enhed.2. Center for Cybersikkerheds organisatoriske placering og forholdet til per-sondataloven, offentlighedsloven og forvaltningslovenDansk Erhvervfinder, at der ligger nogle indbyggede udfordringer i, at arbejdet medat sikre civil infrastruktur placeres i regi af Forsvarets Efterretningstjeneste. Organisatio-nen anfører, at det er afgørende, at der ikke kan drages tvivl om centerets formål, og atprincipper om demokratisk kontrol, oplyste samtykker og gennemsigtighed derfor skalvære gennemgående for centerets virke. Organisationen opfordrer desuden til, at for-svarsministeren benytter muligheden i lovforslagets § 8, stk. 2, til at definere klare reg-3

ler for håndtering af persondata, der så vidt muligt afspejler praksis i andre offentligemyndigheder.Dansk Industri (DI), DI ITEKogTeleindustrien (TI)anfører, at det er et positivtskridt, at Center for Cybersikkerhed skal følge persondataloven på væsentlige punkter.Organisationerne mener endvidere, at det er naturligt, at visse dele af persondatalovenikke finder anvendelse for Center for Cybersikkerhed. Organisationerne opfordrer imid-lertid til, at der i lovforslaget indføres en bestemmelse, som svarer til persondatalovens§ 41, stk. 4. Herudover opfordrer organisationerne til, at Tilsynet med Efterretningstje-nesterne spørges eller orienteres i principielle sager, hvor der behandles personoplys-ninger, svarende til bestemmelsen i persondatalovens § 7, stk. 7. Desuden opfordrer or-ganisationerne til, at forsvarsministeren anvender sin mulighed efter lovforslagets § 8,stk. 2, til at tildele borgere og virksomheder et minimum af rettigheder.Institut for Menneskerettighederanbefaler, at GovCERT omfattes af persondatalo-ven, offentlighedsloven og forvaltningsloven, for eksempel gennem en ændret organisa-torisk placering af GovCERT.IT-Politisk Foreninganfører, at beskyttelsen af personoplysninger i lovforslagets kapi-tel 6, som formelt svarer til persondatalovens regler om behandling af personoplysnin-ger, ikke er reel, idet beskyttelsen i lovforslagets §§ 10-12 ikke omfatter personoplys-ninger, som i medfør af lovforslagets kapitel 4 behandles på baggrund af indgreb i med-delelseshemmeligheden. Foreningen antager i den forbindelse, at Center for Cybersik-kerheds netsikkerhedstjeneste primært behandler personoplysninger på baggrund afindgreb i meddelelseshemmeligheden.Retspolitisk Foreningfinder, at begrundelsen i lovforslaget for placeringen af Centerfor Cybersikkerhed ved Forsvarets Efterretningstjeneste ikke forekommer overbevisen-de, idet det er foreningens opfattelse, at lovforslaget i alt væsentligt omhandler civilesikkerhedsopgaver. Foreningen anfører, at såfremt GovCERT’s opgaver skal forblive un-der Forsvarets Efterretningstjeneste, bør dette ske i form af en særlig civil it-sikkerhedsafdeling, der er underlagt persondataloven med de modifikationer, som følgeraf et administrativt fællesskab med en efterretningstjeneste.Rådet for Digital SikkerhedogForbrugerrådet Tænkopfordrer til, at Center forCybersikkerhed i det hele adskilles fra Forsvarets Efterretningstjenestes funktionsområdeog henlægges til en forvaltningsmyndighed, der er omfattet af persondataloven. Rådene

Center for Cybersikkerhed blev oprettet i december 2012 som en del af ForsvaretsEfterretningstjeneste. Det skal således understreges, at lovforslaget ikke indebærer, atder sker en ændring af Center for Cybersikkerheds organisatoriske placering, idetcenteret siden oprettelsen har været en del af Forsvarets Efterretningstjeneste.Med oprettelsen af Center for Cybersikkerhed i 2012 blev flere forskellige myndighedersindsats på cybersikkerhedsområdet samlet i én myndighed. Center for Cybersikkerhedvaretager i dag en række forskellige opgaver på informationssikkerhedsområdet, hvorcenteret er national it-sikkerhedsmyndighed og myndighed for informationssikkerhed ogberedskab på teleområdet. Centeret omfatter ligeledes de to varslingstjenester forinternettrusler GovCERT og MILCERT. MILCERT er varslingstjeneste påForsvarsministeriets område og har siden oprettelsen i 2010 været en del af ForsvaretsEfterretningstjeneste. GovCERT er den statslige varslingstjeneste for internettrusler pådet civile område og var indtil oktober 2011 en del af IT- og Telestyrelsen.Center for Cybersikkerhed blev placeret ved Forsvarets Efterretningstjeneste for at opnåsynergieffekter gennem udnyttelse af Forsvarets Efterretningstjenestes erfaringer indenfor it-sikkerhedsområdet, viden om det internationale trusselsbillede og særlige adgangtil oplysninger fra udlandet om cybertrusler. Som det fremgår af evalueringen afGovCERT-loven, har placeringen ved Forsvarets Efterretningstjeneste betydet, at Centerfor Cybersikkerhed har fået adgang til flere oplysninger om cybertrusler frainternationale partnere. En række af disse oplysninger har konkret kunnet omsættes ien styrkelse af it-sikkerheden for danske myndigheder og virksomheder.I overensstemmelse med hensigten bag samlingen af myndighedernes indsats i Centerfor Cybersikkerhed vil der kunne ske en bedre udnyttelse af de samlede ressourcer,såfremt de to CERT’er (der grundlæggende udfører de samme opgaver i forhold tilhenholdsvis civile aktører og myndigheder på Forsvarsministeriets område) ses som énsamlet netsikkerhedstjeneste, der varetager statens samlede CERT-funktion. Dermed vilder kunne opnås yderligere synergieffekter, ligesom den samlede kapacitet, som kanindsættes ved større cyberangreb, vil blive væsentligt større. Et centralt formål medlovforslaget er at etablere denne netsikkerhedstjeneste.

Formålet med lovforslaget er endvidere at etablere et samlet lovgrundlag for Center forCybersikkerhed, herunder at styrke centerets muligheder for at undersøge og forebyggecyberangreb, samt at regulere centerets behandling af personoplysninger. Center forCybersikkerheds arbejde skal fortsat ske med respekt for borgernes retssikkerhed ogden personlige frihed, og dette er et centralt tema i lovforslaget.Det fremgår udtrykkeligt af lovforslagets almindelige bemærkninger, at Center forCybersikkerhed i videst muligt omfang skal efterleve principperne i offentlighedsloven ogforvaltningslovens kapitel 4-6. Det forudsættes således, at centeret – uanset at detsvirksomhed er undtaget fra forvaltningslovens bestemmelser på området – i alleafgørelsessager konkret vurderer, om det er muligt at anvende forvaltningslovensprincipper om partens aktindsigt, partshøring og begrundelse m.v. Tilsvarendeforudsættes det, at anmodninger om aktindsigt i videst muligt omfang behandles efterprincipperne i offentlighedsloven. Ved modtagelse af anmodninger om aktindsigt vilCenter for Cybersikkerhed i praksis foretage en søgning i centerets elektroniske sags- ogdokumenthåndteringssystem. Såfremt der i den forbindelse lokaliseres dokumenter, derer omfattet af aktindsigtsanmodningen, vil disse dokumenter blive behandlet efterprincipperne i offentlighedsloven. Derimod vil centeret bl.a. ikke foretage en søgning ide store mængder data, som centerets netsikkerhedstjeneste til enhver tid opbevarer.Det følger herudover af lovforslaget, at persondatalovens principper for, hvornår der måske behandling af personoplysninger, i vidt omfang skal gælde for Center forCybersikkerhed. Som supplement hertil indeholder lovforslaget særlige regler omanalyse, videregivelse og sletning af data, der behandles på baggrund af indgreb imeddelelseshemmeligheden. Disse regler er generelt mere detaljerede og restriktive endde tilsvarende regler i persondataloven.Et krav om, at persondatalovens bestemmelser om indsigtsret og oplysningspligt skalfinde anvendelse på data, som indsamles af netsikkerhedstjenesten, vil imidlertid ikkevære hensigtsmæssigt. Netsikkerhedstjenesten behandler i overensstemmelse med sitformål store mængder data, hvor behandlingens fokus er på oplysninger af rent tekniskkarakter. De store mængder data indsamles af netsikkerhedstjenestens alarmenhederog benyttes bl.a. til at tegne et normalbillede af netværkskommunikationen hos detilsluttede myndigheder og virksomheder. Det er kun i tilfælde af, at der er begrundetmistanke om en sikkerhedshændelse, at netsikkerhedstjenesten konkret analysererdisse data. Langt de fleste data, herunder e-mails, vil således aldrig blive åbnet ellerlæst af netsikkerhedstjenestens personale. Det vil endvidere kun være i meget sjældne

tilfælde, at netsikkerhedstjenesten vil have behov for at analysere og anvendeoplysninger om fysiske og juridiske personer m.v., som er indeholdt i de behandlededata.Såfremt netsikkerhedstjenesten eksempelvis var omfattet af kravet i persondatalovens §28, stk. 1, hvorefter en myndighed ved indsamling af oplysninger hos den registreredebl.a. skal give den registrerede meddelelse om formålene med behandlingen afoplysningerne, vil dette have som konsekvens, at netsikkerhedstjenesten vil skullegennemse samtlige opbevarede data med henblik på at konstatere, om de indeholderpersonoplysninger. Denne gennemgang vil indebære en højere grad af indgreb i denpersonlige frihed, idet indholdet af e-mails, som ikke er knyttet til ensikkerhedshændelse, vil skulle åbnes og gennemses. Hertil kommer, at krav om sådannegennemgange vil indebære et så stort ressourceforbrug, at det i praksis vil gøre detumuligt at drive netsikkerhedstjenesten.Med den foreslåede model er der således opnået en hensigtsmæssig balance mellem påden ene side hensynet til borgernes retssikkerhed og den personlige frihed og på denanden side hensynet til de særlige forhold, som gør sig gældende for Center forCybersikkerheds aktiviteter.Det bemærkes i øvrigt, at persondatalovens bestemmelser om indsigts- ogindsigelsesret heller ikke efter gældende ret finder anvendelse på GovCERT’s aktiviteter.Det følger af lovforslagets § 8, stk. 2, at forsvarsministeren kan bestemme, at kapitel 8-10 i persondataloven, offentlighedsloven samt forvaltningslovens kapitel 4-6 helt ellerdelvis skal finde anvendelse for dele af Center for Cybersikkerheds aktiviteter.Forsvarsministeriet vil løbende vurdere, om der er behov for at anvende dennehjemmel.På baggrund af høringsudtalelserne er der i lovforslagets § 18, stk. 2, indsat enbestemmelse svarende til persondatalovens § 41, stk. 4, hvorefter der for oplysninger afsærlig interesse for fremmede magter skal træffes foranstaltninger, der muliggørbortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold.Derimod finder Forsvarsministeriet ikke anledning til at tilføje en bestemmelse svarendetil persondatalovens § 7, stk. 7. Den pågældende bestemmelse giver mulighed for atgøre undtagelse fra persondatalovens bestemmelse om, at der ikke må behandles

oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofiskoverbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssigeog seksuelle forhold. Forsvarsministeriet finder ikke, at der i forhold til Center forCybersikkerheds virksomhed er behov for en sådan undtagelse.3. Kredsen af virksomheder, der kan tilsluttes Center for Cybersikkerhedsnetsikkerhedstjeneste, og konsekvenserne for private sikkerhedsleverandø-rerDansk Erhvervanfører, at det bør tydeliggøres, at tilslutning til Center for Cybersik-kerheds netsikkerhedstjeneste altid er frivillig og aldrig sker uden oplyst samtykke fravirksomhederne.Dansk Industri (DI), DI ITEKogTeleindustrien (TI)finder, at den foreslåede ud-videlse af Center for Cybersikkerheds arbejdsområde vil kunne medføre, at Center forCybersikkerhed vil komme til at konkurrere med private udbydere af sammenligneligeservices. Organisationerne mener derfor, at det i lovforslagets bemærkninger bør præci-seres, at Center for Cybersikkerheds aktiviteter bør tilrettelægges således, at netsikker-hedstjenesten i mindst muligt omfang konkurrerer med private udbydere af sammenlig-nelige services. Organisationerne peger på, at Center for Cybersikkerhed efter lovforsla-gets §§ 6 og 7 træffer afgørelse om, hvorvidt en anmodning om tilslutning eller bistandkan imødekommes. Organisationerne anfører i den forbindelse, at de virksomheder, dertilsluttes netsikkerhedstjenesten, bliver bedre stillet end de virksomheder, der får afslagpå en tilslutning. Desuden anfører organisationerne, at det ikke fremgår af lovforslaget,om den midlertidige tilslutning og analyse af data efter lovforslagets §§ 6 og 7 er frivil-lig.DKCERTfinder, at udvidelsen af dækningsområdet og introduktionen af midlertidigt til-sluttede virksomheder og myndigheder principielt set er begrundet.Finansrådetpåpeger, at segmentet af virksomheder, som ikke er kritiske for Danmarksinfrastruktur, men hvor sikkerheden alligevel kan være afgørende, mangler et sted, hvordisse virksomheder kan henvende sig og få råd og vejledning.IT-Branchenopfordrer til, at det i lovforslaget tydeliggøres, at Center for Cybersikker-heds virke i videst mulig udstrækning skal virke supplerende frem for konkurrerende iforhold til den indsats, private it-sikkerhedsleverandører udfører. IT-Branchen opfordrer

desuden til, at Center for Cybersikkerhed som udgangspunkt ikke bør udføre opgaver,som private it-sikkerhedsleverandører kunne have løst. IT-Branchen gør herudover op-mærksom på, at det i lovforslaget bør tydeliggøres, at midlertidig tilslutning til netsik-kerhedstjenesten sker på frivillig basis.IT-Politisk Foreninganfører, at en internetudbyders tilslutning til netsikkerhedstje-nesten ikke må medføre, at danske internetbrugere dermed bliver overvåget af netsik-kerhedstjenesten. Foreningen finder endvidere ikke, at der er et reelt behov for at udvi-de kredsen af virksomheder, som kan tilslutte sig netsikkerhedstjenesten. Foreningenhenviser i den forbindelse til, at indgrebene i meddelelseshemmeligheden bør begræn-ses mest muligt, ligesom foreningen finder det uhensigtsmæssigt, at private sikkerheds-firmaer skal konkurrere med en statslig netsikkerhedstjeneste.Rådet for Digital SikkerhedogForbrugerrådet Tænkopfordrer til, at det kun ervirksomheder, der er beskæftiget med kritisk infrastruktur, som kan tilsluttes Center forCybersikkerheds netsikkerhedstjeneste. Rådene finder endvidere, at begrebet kritisk in-frastruktur bør defineres i lovforslaget og præciseres ved oplistning af virksomhedstyperi bemærkningerne til lovforslaget. Rådene opfordrer desuden til, at Center for Cybersik-kerheds opgaver afgrænses, således at Center for Cybersikkerhed ikke konkurrerer medprivate sikkerhedsvirksomheder. Rådene opfordrer herudover til, at Center for Cybersik-kerheds opgaver ikke udvides som foreslået i lovforslagets §§ 6 og 7, og at disse opga-ver i stedet bør overlades til private sikkerhedsvirksomheder.

Lovforslaget indebærer, at kredsen af virksomheder, der kan tilsluttes netsikkerhedstje-nesten, udvides, således at virksomheder, der er beskæftiget med samfundsvigtigefunktioner, kan tilsluttes. Det vil efter lovforslaget fortsat være frivilligt for statsligemyndigheder uden for Forsvarsministeriets område samt regioner, kommuner og virk-somheder, om de ønsker at blive tilsluttet netsikkerhedstjenesten.Den nuværende afgrænsning, hvor kredsen af virksomheder, der kan tilsluttes Gov-CERT, kun omfatter virksomheder, der er beskæftiget med kritisk infrastruktur, har vistsig at være uhensigtsmæssig. Afgrænsningen indebærer, at det i dag ikke er muligt attilslutte virksomheder, der f.eks. leverer livsvigtige medicinalprodukter, fremstiller vigtigekomponenter til Forsvaret eller varetager drift af offentlige myndigheders administrativeit-systemer. Det er ligeledes ikke muligt at tilslutte virksomheder, som på grund af sam-fundsvigtige forskningsaktiviteter er særligt udsatte for cyberangreb. For at opnå et op-

timalt beskyttelsesniveau er der behov for at sikre, at også disse virksomheder, der me-re generelt varetager samfundsvigtige funktioner, kan tilsluttes netsikkerhedstjenesten.Som det fremgår af lovforslagets bemærkninger, vurderes den foreslåede udvidelse afkredsen af virksomheder, der kan tilsluttes netsikkerhedstjenesten, ikke at ville påvirkedet private marked for it-sikkerhedsydelser negativt. Netsikkerhedstjenestens brededækningsområde samt tjenestens adgang til oplysninger fra andre netsikkerhedstje-nester og den øvrige del af Forsvarets Efterretningstjeneste indebærer, at der ikke pådet private marked findes sammenlignelige sikkerhedsydelser. En tilslutning til netsik-kerhedstjenesten giver den enkelte virksomhed et ekstra lag af sikkerhed mod avance-rede cyberangreb, men netsikkerhedstjenestens ydelser vil aldrig kunne træde i stedetfor virksomhedernes øvrige it-sikkerhedsforanstaltninger.Det vurderes tværtimod, at den foreslåede ordning i et vist omfang vil kunne påvirke detprivate marked for it-sikkerhedsydelser positivt. Således vil de anbefalinger, som netsik-kerhedstjenestens monitorering typisk resulterer i, kunne medføre et behov for at styrkeinformationssikkerhedsniveauet hos de tilsluttede virksomheder – og dermed øge efter-spørgslen efter de it-sikkerhedsydelser, der normalt vil blive leveret af private leverandø-rer.Det fremgår af lovforslagets § 3, stk. 3, at virksomheder, der er beskæftiget med sam-fundsvigtige funktioner, efter anmodning kan blive tilsluttet netsikkerhedstjenesten. Detfremgår endvidere af lovforslagets § 6, at en midlertidig tilslutning til netsikkerhedstje-nesten kun kan ske på baggrund af et skriftligt samtykke fra virksomheden, ligesom detfremgår af § 7, at Center for Cybersikkerheds undersøgelse af et informationssystemforudsætter et skriftligt samtykke fra virksomheden. Virksomheders anvendelse af cen-terets ydelser er således altid frivillig for den enkelte virksomhed.På baggrund af høringsudtalelserne er det i lovteksten præciseret yderligere, at virk-somheders tilslutning til netsikkerhedstjenesten, herunder også midlertidig tilslutning,kun kan ske på baggrund af en anmodning fra den enkelte virksomhed.I det omfang, private virksomheder leverer kommunikationsprodukter til kunder, omfat-ter tilslutningen til netsikkerhedstjenesten ikke disse kunders ind- og udgående internet-trafik. Hvis en internetudbyder tilsluttes netsikkerhedstjenesten, vil tilslutningen dermedikke omfatte den trafik, der genereres af udbyderens kunder. Formålet med tilslutningen

vil alene være at bidrage til at beskytte netværkskommunikation til og fra udbyderenselv. Der henvises herom til bemærkningerne til § 3.4. Center for Cybersikkerheds behandling af krypterede dataDansk Industri (DI), DI ITEKogTeleindustrien (TI)anerkender, at kriminelle ofteanvender kryptering for at skjule deres handlinger. Organisationerne påpeger imidlertid,at borgere og virksomheder ofte bruger kryptering til særligt fortroligt data, og at Centerfor Cybersikkerhed derfor ved at bryde krypteringen må forventes at få adgang til data,som er endnu mere følsomme end hidtil.IT-Politisk Foreningantager, at den foreslåede adgang for Center for Cybersikkerhedtil at behandle krypterede data i praksis vil medføre et krav om, at netsikkerhedstje-nesten skal have adgang til de tilsluttede myndigheders og virksomheders krypterings-nøgler. Foreningen anfører endvidere, at der i forbindelse med afkryptering af data er ri-siko for, at der skabes nye sikkerhedshuller. Foreningen finder, at det bør præciseres ibemærkningerne til lovforslaget, at analyse af krypterede pakkedata ikke under nogenomstændigheder må medføre nye sikkerhedsrisici.Rådet for Digital SikkerhedogForbrugerrådet Tænkopfordrer til, at adgangenfor Center for Cybersikkerhed til at bryde kryptering gøres betinget af, at der pålæggeseditionspligt, eller at der stilles krav om en retskendelse. Rådene antager i den forbin-delse, at centeret vil forlange, at dekrypteringsnøgler udleveres. Rådene anfører endvi-dere, at tilsynsmyndigheden bør orienteres om indgrebet.

Det fremgår af bemærkningerne til GovCERT-lovens § 4 (L 197, 1. samling 2010-11), atGovCERT som udgangspunkt ikke vil afkryptere en krypteret e-mail eller andet indholdaf en internetkommunikation. Dette har imidlertid i praksis vist sig at indebære en væ-sentlig og meget uhensigtsmæssig begrænsning for GovCERT’s opgaveløsning.Stadig flere e-mails og anden kommunikation, som indeholder såkaldt malware (f.eks.computervira), sendes i krypteret form for at undgå at blive detekteret af både spam-filtre og andre foranstaltninger, der iværksættes i myndighederne og virksomhedernefor at opdage og uskadeliggøre malware. Det vil således i en række tilfælde kun væremuligt for Center for Cybersikkerheds netsikkerhedstjeneste at opdage og uskadeliggøreangreb mod myndigheder og virksomheder ved at bryde krypteringen eller på andenmåde omgå den.

For den del af netsikkerhedstjenesten, som omfatter GovCERT, er behovet for afkrypte-ring direkte knyttet til netsikkerhedstjenestens opgaver med at analysere ind- og udgå-ende internetkommunikation fra de myndigheder og virksomheder, der er tilsluttet tje-nesten. I de situationer, hvor en krypteret e-mail indeholdende malware sendes til enmodtager inden for myndigheden eller virksomheden, er det aktuelt for netsikker-hedstjenesten at afkryptere for at få adgang til malwaren. En afkryptering giver efternærmere analyse netsikkerhedstjenesten mulighed for at identificere tilsvarende mal-ware hos andre myndigheder og virksomheder. Hvis en tilsluttet virksomhed senderkrypteret kommunikation til en hjemmeside, som vurderes at være inficeret med mal-ware, vil netsikkerhedstjenesten også have behov for at kunne analysere og afkrypterekommunikationen med henblik på at kunne stoppe angreb hurtigt og effektivt.For den del af netsikkerhedstjenesten, der er varslingstjeneste for internettrusler på For-svarsministeriets område, gør der sig de samme overvejelser gældende. Som led i støt-ten til den militære sikkerhedsmyndighed vil netsikkerhedstjenesten yderligere have tilopgave i særlig grad at analysere den trafik, der finder sted på Forsvarets netværk, medhenblik på at opdage kompromitteringer. Det er derfor af stor betydning, at der er mu-lighed for, at netsikkerhedstjenesten løbende kan afkryptere kommunikation på Forsva-rets netværk med henblik på at opdage angribere, som forsøger at skjule deres aktivite-ter ved at kryptere kommunikationen.Det foreslås derfor, at den hidtidige begrænsning for så vidt angår afkryptering ikke vi-dereføres. Det skal dog understreges, at lovforslaget ikke indebærer krav om, at tilslut-tede myndigheder eller virksomheder skal udlevere den private krypteringsnøgle til Cen-ter for Cybersikkerheds netsikkerhedstjeneste. Der henvises herom til bemærkningernetil § 4.5. Videregivelse af dataDansk Industri (DI), DI ITEKogTeleindustrien (TI)noterer med tilfredshed, atpakkedata alene må videregives til politiet.DKCERTser positivt på enhver mulighed for at videregive sikkerhedsrelaterede infor-mationer.IT-Politisk Foreningbemærker, at afgræsningen af, om data kan defineres som hen-holdsvis trafikdata eller pakkedata, har betydning for, hvem oplysningerne kan videregi-

ves til. Foreningen anfører i den forbindelse, at lovforslagets definition af trafikdata erbredere end definitionen i e-privacydirektivet 2002/58/EF. Foreningen mener, at trafik-data bør defineres i overensstemmelsen med e-privacydirektivet.Retspolitisk Foreningfinder, at lovforslagets bestemmelser om videregivelse af dataforekommer naturlige set i lyset af det nødvendige samarbejde med eksempelvis andrenetsikkerhedstjenester. Foreningen anfører endvidere, at det bør overvejes, om videre-givelse af følsomme persondata kan ske i anonymiseret form, medmindre formålet medvideregivelsen dermed kompromitteres.

Med definitionen af begrebet pakkedata i lovforslaget videreføres GovCERT-lovens defi-nition, dog med en sproglig præcisering af, at pakkedata er indholdet af kommunikation,der transmitteres gennem digitale netværk eller tjenester – og ikke kun internetbaseretkommunikation. Som hidtil vil det semantiske indhold af kommunikation, der transmitte-res gennem digitale netværk eller tjenester, være omfattet af begrebet pakkedata. Detkan f.eks. være indholdet af en e-mailkorrespondance eller indholdet af tilgåede hjem-mesider. Derudover er det tekniske indhold af kommunikationen, f.eks. HTML- ellerXML-koder, omfattet af begrebet pakkedata.Også lovforslagets definition af begrebet trafikdata er en videreførelse af GovCERT-lovens definition med enkelte præciseringer. Ved trafikdata forstås data, som behandlesmed henblik på overførsel af pakkedata. Det vil sige data, som beskriver oprindelse, de-stination og rutestyringsinformation, herunder oprindelsesdomænet eller den oprindeligeelektroniske adresse samt anden tilsvarende information. Trafikdata kan eksempelvisvære header-informationen i digitale kommunikationsprotokoller, men vil også omfatteprotokoller, der udelukkende anvendes til rute- og kommunikationsstyring, f.eks. DNSog SIP. Konkrete eksempler på trafikdata er oplysninger om ip-adresser, e-mailadresser,hjemmesideadresser, browserversioner, kommunikationens varighed og tidspunktet forkommunikationen.Populært sagt er trafikdata de oplysninger, der ville stå uden på en kuvert, mens pakke-data er det, der ville stå inde i en kuvert.Der er med lovforslaget tale om en videreførelse af gældende ret for så vidt angår defi-nitionerne af pakke- og trafikdata.

Efter lovforslagets § 16, nr. 2, kan Center for Cybersikkerhed videregive trafikdata tildanske myndigheder, udbydere af offentlige elektroniske kommunikationsnet og-tjenester, andre netsikkerhedstjenester m.v. Sidstnævnte vil omfatte tilsvarende netsik-kerhedstjenester i Danmark og udlandet, som Center for Cybersikkerhed har et tætsamarbejde med for at øge centerets muligheder for at forebygge sikkerhedshændelser.Videregivelse af trafikdata forudsætter i disse tilfælde, at der er begrundet mistanke omen sikkerhedshændelse, og at det konkret vurderes, at videregivelsen er nødvendig. In-deholder videregivelsen personoplysninger, vil de principper om relevans og proportio-nalitet, som fremgår af lovforslagets § 9, tillige skulle iagttages. Der vil dermed alenekunne videregives personoplysninger i det omfang, dette er relevant og tilstrækkeligt forat opnå formålet med den konkrete videregivelse.Det skal understreges, at der kun kan ske videregivelse af pakkedata til dansk politi ogaltså ikke til andre danske eller udenlandske myndigheder.Det bemærkes i den forbindelse, at Center for Cybersikkerheds videregivelse af person-oplysninger vil være underlagt tilsyn af Tilsynet med Efterretningstjenesterne.5.1. Videregivelse af trafikdata til teleselskaberDansk Industri (DI), DI ITEK,ogTeleindustrien (TI), Rådet for Digital Sikker-hedogForbrugerrådet Tænkanerkender, at Center for Cybersikkerhed kan have be-hov for at videregive trafikdata til udbydere af offentlige elektroniske kommunikations-net og -tjenester (teleudbyderne). Organisationerne antager imidlertid, at Center for Cy-bersikkerhed i forbindelse med videregivelsen af trafikdata eksempelvis vil anmode tele-udbyderne om at blokere for bestemte ip-adresser. Organisationerne anfører, at det ilovforslaget bør præciseres, at Center for Cybersikkerhed har ansvaret for blokeringer.Organisationerne mener endvidere, at Center for Cybersikkerhed skal forpligtes til at an-give, i hvilket tidsrum blokeringen skal opretholdes. Organisationerne finder desuden, atdet bør overvejes at kompensere teleselskaberne for udgifterne forbundet med imple-menteringen af en blokering.Rådet for Digital SikkerhedogForbrugerrådet Tænkopfordrer herudover til, atvideregivelse af trafikdata til private teleudbydere kun sker efter retskendelse.

Forsvarsministeriet finder, at der bør være restriktive rammer for Center for Cybersik-kerheds videregivelse af data, der behandles på baggrund af indgreb i meddelelses-hemmeligheden.For at styrke beskyttelsen af den danske ikt-infrastruktur bør der imidlertid gives mulig-hed for at videregive trafikdata til udbydere af offentlige elektroniske kommunikations-net og -tjenester, således at disse aktører – først og fremmest teleselskaber – ved hjælpaf de modtagne trafikdata kan styrke deres egen forebyggelse mod cyberangreb påbaggrund af oplysninger om f.eks. ip-adresser, der anvendes ved cyberangreb. Dette vilhave stor betydning for det samlede informationssikkerhedsniveau i samfundet, da disseudbydere varetager driften af store dele af den ikt-infrastruktur, som samfundsvigtigefunktioner er afhængige af.Center for Cybersikkerheds videregivelse af data til eksempelvis udbydere af offentligeelektroniske kommunikationsnet og -tjenester indebærer imidlertid ikke, at Center forCybersikkerhed samtidigt vil anmode de pågældende aktører om f.eks. at blokere vissehjemmesider. Oplysningerne stilles alene til rådighed for aktørerne med henblik på, atde – efter deres egen vurdering – vil kunne anvende oplysninger til styrkelse af informa-tionssikkerheden.Det bemærkes i øvrigt, at Center for Cybersikkerhed – såfremt centeret bliver opmærk-som herpå – vil underrette aktørerne, hvis f.eks. ip-adresser, der har været inkluderet ien varsling, ikke længere vurderes at udgøre en fare for informationssikkerheden.Der henvises herom til afsnit 3.5.2. i de almindelige bemærkninger.5.2. Videregivelse af trafikdata til udlandetDansk Industri (DI), DI ITEKogTeleindustrien (TI), Institut for Menneskeret-tigheder, Rådet for Digital SikkerhedogForbrugerrådet Tænkanerkender beho-vet for at videregive af trafikdata til bl.a. udenlandske netsikkerhedstjenester. Organisa-tionerne anbefaler imidlertid også at begrænse muligheden for videregivelse af trafikda-ta i lovforslagets § 16, nr. 2, til trafikdata, der vedrører en konkret sikkerhedshændelse.DKCERTfinder, at muligheden for at videregive trafikdata til andre netsikkerhedstje-nester er et nødvendigt redskab til at forbedre det internationale samarbejde.

Center for Cybersikkerhed har et tæt samarbejde med andre netsikkerhedstjenester iudlandet, f.eks. CERT’er og ikt-sikkerhedsmyndigheder, som bidrager med vigtige infor-mationer, der øger centerets muligheder for at forebygge sikkerhedshændelser i Dan-mark. Et effektivt internationalt samarbejde på myndighedsniveau forudsætter, at Dan-mark også kan give disse udenlandske samarbejdspartnere oplysninger, som kan bidra-ge til at stoppe grænseoverskridende cyberangreb, såvel udgående fra som rettet modDanmark.Det følger af lovforslaget, at trafikdata kun kan videregives til andre (herunder uden-landske) netsikkerhedstjenester, hvis det er nødvendigt for udførelsen af netsikker-hedstjenestens opgaver. Det følger endvidere af lovforslaget, at Center for Cybersikker-hed har til opgave at opdage, analysere og bidrage til at imødegå sikkerhedshændelser.Videregivelse af trafikdata forudsætter således, at videregivelsen er nødvendig i forholdtil at opdage, analysere og bidrage til at imødegå sikkerhedshændelser.Der er imidlertid på baggrund af høringsudtalelserne sket en tilpasning af lovteksten (§16, nr. 2), således at det udtrykkeligt fremgår, at trafikdata alene kan videregives vedbegrundet mistanke om en sikkerhedshændelse.Det bemærkes i øvrigt, at Center for Cybersikkerheds videregivelse af data vil være un-derlagt tilsyn af Tilsynet med Efterretningstjenesterne.5.3. Videreformidling af data fra Center for Cybersikkerhed til den øvrige delaf Forsvarets EfterretningstjenesteDansk Erhvervopfordrer til maksimal åbenhed om de administrative retningslinjer,som Forsvarsministeriet vil udstede med henblik på at sikre, at den interne udveksling afoplysninger mellem Center for Cybersikkerhed og den øvrige del af Forsvarets Efterret-ningstjeneste også fremadrettet sker med respekt for retssikkerheden og den personligefrihed.Dansk Industri (DI), DI ITEKogTeleindustrien (TI)anbefaler, at det i de kom-mende retningslinjer fastslås, at der fra gang til gang skal tages stilling til, om pakkeda-

ta kan videregives fra Center for Cybersikkerhed til Forsvarets Efterretningstjeneste. Or-ganisationerne anbefaler endvidere, at adgang for Forsvarets Efterretningstjeneste kunmå gives, når det er nødvendigt i henhold til Center for Cybersikkerheds formål og akti-viteter, eller der foreligger andre nærmere kvalificerede beskyttelsesværdige formål. Or-ganisationerne anbefaler desuden, at det overordnet sikres, at der ikke sker et automa-tisk og generelt flow af alle trafikdata fra GovCERT til Forsvarets Efterretningstjeneste.Institut for Menneskerettighederanbefaler, at der i lovforslaget indføres et kravom, at videregivelse af data fra GovCERT til resten af Forsvarets Efterretningstjenesteforudsætter, at det konkret vurderes nødvendigt for at beskytte den nationale digitaleinfrastruktur mod sikkerhedsmæssige trusler.Rådet for Digital SikkerhedogForbrugerrådet Tænkanfører, at der sker en alvor-lig begrænsning af borgernes rettigheder, når kommunikation til den offentlige sektorpotentielt kan gøres til genstand for Center for Cybersikkerheds analyser og videregivestil Forsvarets Efterretningstjeneste. Rådene opfordrer derfor til en grundlæggende æn-dring af lovgrundlaget, herunder en adskillelse af Center for Cybersikkerhed fra Forsva-rets Efterretningstjeneste. Rådene finder endvidere, at videregivelse af data til Forsva-rets Efterretningstjeneste i det mindste bør reguleres således, at der stilles krav om enkonkret vurdering af relevans, nødvendighed og proportionalitet i hvert enkelt tilfælde afintern videregivelse.

Den interne udveksling af data i Forsvarets Efterretningstjeneste er – i overensstemmel-se med almindelige forvaltningsretlige principper – ikke reguleret i lovforslaget. Med lov-forslaget vil det almindelige forvaltningsretlige udgangspunkt således være gældendefor Center for Cybersikkerhed. Det indebærer, at der som udgangspunkt er fri adgang tilat udveksle data internt i Forsvarets Efterretningstjeneste, herunder mellem Center forCybersikkerhed og den øvrige del af efterretningstjenesten, hvis dette er nødvendigt forat løse myndighedens opgaver, og der i øvrigt er tale om et sagligt formål. Det sikrer, atalle de relevante ressourcer i Forsvarets Efterretningstjeneste hurtigt og effektivt kanindsættes ved den meget store andel af cyberangreb mod Danmark, som hidrører fraudlandet, og hvor Forsvarets Efterretningstjeneste som udenrigsefterretningstjenestekan bidrage med væsentlige oplysninger.Forsvarsministeriet vil imidlertid, som det fremgår af bemærkningerne i lovforslaget (af-snit 3.5.3), i forbindelse med lov om Center for Cybersikkerheds ikrafttræden udstedeadministrative retningslinjer. Retningslinjerne skal sikre, at den interne udveksling af op-

lysninger mellem Center for Cybersikkerhed og den øvrige del af Forsvarets Efterret-ningstjeneste også fremadrettet sker med respekt for retssikkerheden og den personligefrihed. Center for Cybersikkerhed behandler data på baggrund af indgreb i meddelelses-hemmeligheden, og retningslinjerne vil bl.a. indeholde bestemmelser om, at sådannedata kun kan videreformidles til den øvrige del af Forsvarets Efterretningstjeneste, hvisde pågældende data er knyttet til en cybersikkerhedshændelse. Desuden vil retningslin-jerne fastsætte, at medarbejdere, der varetager efterretningsmæssige opgaver i den øv-rige del af Forsvarets Efterretningstjeneste, ikke må have adgang til de it-systemer, hvorCenter for Cybersikkerhed behandler data på baggrund af indgreb i meddelelseshemme-ligheden.De kommende retningslinjer vil endvidere fastsætte, at data, der er videreformidlet fraCenter for Cybersikkerhed til den øvrige del af Forsvarets Efterretningstjeneste, fortsatalene vil kunne videregives efter de regler, der efter lovforslaget gælder for Center forCybersikkerhed. Det indebærer, at pakkedata udelukkende kan videregives til politiet,og at trafikdata kun kan videregives til den samme kreds af aktører, som Center for Cy-bersikkerhed efter lovforslagets § 16, nr. 2, kan videregive oplysninger til. Således vilpakkedata aldrig kunne videregives til andre efterretningstjenester.Retningslinjerne vil blive offentliggjort på Center for Cybersikkerheds hjemmeside,www.cfcs.dk.Det bemærkes i øvrigt, at den interne udveksling af oplysninger mellem Center for Cy-bersikkerhed og den øvrige del af Forsvarets Efterretningstjeneste også vil være under-lagt tilsyn af Tilsynet med Efterretningstjenesterne.6. OplysningspligterDansk Erhvervopfordrer til, at Center for Cybersikkerhed giver en årlig afrapportering,som skal være med til at skabe gennemsigtighed om centerets arbejde. Dansk Erhvervnævner, at det eksempelvis kunne være relevant at oplyse om baggrunden for og antal-let af (midlertidige) tilslutninger, samt statistik på databehandlinger, sikkerhedshændel-ser, udvekslinger med andre myndigheder og lande m.v.Dansk Industri (DI), DI ITEKogTeleindustrien (TI)anfører, at Center for Cyber-sikkerhed bør forpligtes til at orientere virksomheder og brancheorganisationer, såfremtcenteret opdager sikkerhedshændelser, der er målrettet de pågældende virksomheder

eller sektorer. Forpligtelsen skal gælde, uanset om virksomheden eller sektoren er til-sluttet Center for Cybersikkerhed.IT-Branchenforeslår, at Center for Cybersikkerhed forpligtes til at samarbejde og vi-densdele med private it-sikkerhedsleverandører. Branchen foreslår endvidere, at Centerfor Cybersikkerhed i forhold til de private it-sikkerhedsleverandørers brancheorganisatio-ner løbende skal dele aggregeret og anonymiseret data om konstaterede angreb ogtrusler hos de tilknyttede myndigheder og virksomheder. Branchen foreslår desuden, atCenter for Cybersikkerhed forpligtes til at offentliggøre en årlig gennemsigtighedsrap-port, der informerer generelt om, i hvilket omfang centeret foretager indgreb i medde-lelseshemmeligheden hos tilsluttede myndigheder og virksomheder.IT-Politisk Foreningmener, at Center for Cybersikkerhed bør forpligtes til løbende atoffentliggøre, hvilke myndigheder og virksomheder, der er tilsluttet netsikkerhedstje-nesten, eller som har anmodet centeret om bistand som beskrevet i lovforslagets § 7.Foreningen foreslår endvidere, at tilsynets årlige redegørelse bør indeholde aggregeredeoplysninger. Som eksempler på aggregerede oplysninger nævner foreningen skønsmæs-sige vurderinger af antallet af ip-adresser, der er berørt af indgreb i meddelelseshemme-ligheden, og antallet af ip-adresser, der er videregivet til eksterne samarbejdspartnere.Rådet for Digital SikkerhedogForbrugerrådet Tænkopfordrer til, at virksomhe-der – såfremt det er nødvendigt for at sikre samfundsvigtig ikt-infrastruktur – skal for-pligtes til at orientere Center for Cybersikkerhed om sikkerhedshændelser og til at stillerelevant materiale til rådighed for centerets analyser heraf. Rådene opfordrer endvideretil, at Center for Cybersikkerhed forpligtes til at informere om konstaterede sikkerheds-hændelser. Centeret skal i den forbindelse forpligtes til også at informere virksomheder,der har været udsat for en sikkerhedshændelse, samt deres brancheforeninger, ogsåselv om de ikke er tilsluttet netsikkerhedstjenesten.

Center for Cybersikkerhed offentliggør endvidere løbende oplysninger om centerets vir-ke, ligesom centeret offentliggør situationsbilleder og trusselvurderinger på centeretshjemmesidewww.cfcs.dk.Center for Cybersikkerhed vil herudover regelmæssigt offent-liggøre, hvilke myndigheder og virksomheder der er tilsluttet netsikkerhedstjenesten ef-ter lovforslagets § 3, stk. 2 og 3.På samme måde, som det er frivilligt for myndigheder og virksomheder at tilslutte sigCenter for Cybersikkerheds netsikkerhedstjeneste, er det frivilligt, om en virksomhed øn-sker at oplyse Center for Cybersikkerhed om en sikkerhedshændelse hos virksomheden.Center for Cybersikkerhed opfordrer alle virksomheder til at underrette centeret om re-levante sikkerhedshændelser, men det foreslås ikke at indføre en egentlig underret-ningspligt.Det bemærkes i øvrigt, at netsikkerhedstjenestens indsamling af data sker automatiskog løbende (altså maskinelt) og derfor udgør et kontinuerligt indgreb i meddelelses-hemmeligheden. Af tekniske årsager vil der derfor ikke kunne tilvejebringes en opgørel-se over antallet af indgreb i meddelelseshemmeligheden. I den forbindelse kan det somnævnt i bemærkningerne til § 24 oplyses, at Tilsynet med Efterretningstjenesternes årli-ge redegørelse om tilsynet med Center for cybersikkkerhed skal indeholde en fuldt udanonymiseret beskrivelse af en eller flere konkrete cyberangreb samt en statistik overantallet af tilfælde, hvor en analytiker fra Center for Cybersikkerhed på baggrund af ind-greb i meddelelseshemmeligheden har foretaget en analyse af data. Denne statistik vildesuden indeholde en overordnet kategorisering af, hvor alvorlige disse tilfælde har væ-ret.Redegørelsen suppleres af en årlig beretning fra Center for Cybersikkerhed, der ogsåbeskriver centerets aktiviteter på det forebyggende område og bringer statistiske oplys-ninger herom. Desuden skal beretningen indeholde et overblik over de trusselsvurderin-ger m.v., der er udsendt i årets løb, således at virksomheder og offentligheden kan få etoverblik over risikoen for cyberangreb. Herudover udgiver centeret løbende vejlednin-ger, situationsbilleder og lign., ligesom en oversigt over de tilsluttede myndigheder ogvirksomheder også regelmæssigt bliver offentliggjort. Oversigten vil også omfatte stati-stiske oplysninger om antallet af myndigheder og virksomheder, der midlertidigt er til-sluttet netsikkerhedstjenesten.

7. Opbevaring og sletning af dataDansk Industri (DI), DI ITEKogTeleindustrien (TI)finder det ikke proportionalt,at pakkedata kan opbevares i 13 måneder og foreslår, at fristen sænkes til én måned.Organisationerne anbefaler herudover, at der fastsættes krav om sletning i forbindelsemed videregivelse af data.DKCERTfinder, at en udvidelse af slettefristen til maksimalt 13 måneder for både pak-ke- og trafikdata vil være med til at effektivisere bekæmpelsen af internetrelateret kri-minalitet.Institut for Menneskerettighederanbefaler, at lovforslagets slettefrist på 13 måne-der for pakkedata, som ikke knytter sig til en sikkerhedshændelse, sænkes. Instituttetanbefaler endvidere, at der indføres et krav om sletning af videregivne data. For så vidtangår data, som videregives til politiet, foreslår instituttet, at dataene slettes, når formå-let med videregivelsen er ophørt.IT-Branchenanbefaler, at opbevaringsfristen for data, der ikke er knyttet til en kon-kret og begrundet mistænkelig sikkerhedstrussel, tilbageføres til det hidtidige niveau,der kendes fra GovCERT-loven.IT-Politisk Foreningmener, at de eksisterende opbevaringsfrister skal bevares, og isærdeleshed, at pakkedata kun skal opbevares kortvarigt.Retspolitisk Foreningtilslutter sig lovforslagets bestemmelser med tilhørende be-mærkninger om sletning af data.Rådet for Digital SikkerhedogForbrugerrådet Tænkfinder det hverken nødven-digt eller proportionalt, at pakkedata, der ikke knyttes til en sikkerhedshændelse, kangemmes i 13 måneder, og rådene opfordrer til, at fristen ændres til 30 dage. Rådenefinder endvidere, at der i forhold til videregivelse af trafikdata til teleudbydere og myn-digheder i udlandet bør stilles krav om sletning, når formålet med behandlingen er op-fyldt, dog senest efter henholdsvis tre år for data med tilknytning til en sikkerhedshæn-delse og 30 dage for data uden en sådan tilknytning.

Efter lovforslaget fastsættes der ensartede opbevarings- og sletningsregler for Centerfor Cybersikkerheds netsikkerhedstjeneste, der fremover vil omfatte både GovCERT’s ogMILCERT’s nuværende aktiviteter.De fælles regler sikrer, at netsikkerhedstjenestens adgang til at opbevare pakkedatafortsat begrænses mest muligt af hensyn til privatlivets fred. Det fastholdes således somi dag, at netsikkerhedstjenesten højest kan opbevare data, der knytter sig til en sikker-hedshændelse, i tre år.I forhold til data, der ikke knytter sig til en sikkerhedshændelse, er der imidlertid behovfor en forlængelse af den hidtidige opbevaringsperiode. Center for Cybersikkerheds erfa-ringer med den praktiske anvendelse af de gældende sletningsregler viser, at reglerne ien række tilfælde har medført, at GovCERT ikke har haft tilstrækkelige muligheder for atforhindre cyberangreb. På den baggrund vurderes det, at adgang til yderligere historiskedata i tilfælde af en sikkerhedshændelse vil give mulighed for en betydelig styrkelse afCenter for Cybersikkerheds forebyggende arbejde.For det første giver de historiske data mulighed for at tegne et normalbillede af inter-netaktiviteterne hos den enkelte myndighed eller virksomhed. Ved at analysere data forinternetaktiviteten over en længere periode vil Center for Cybersikkerheds netsikker-hedstjeneste f.eks. kunne fastslå, at det hos en konkret myndighed er normal praksis, atder en gang om måneden gennemføres en særlig backup-procedure, hvor store mæng-der data overføres fra myndigheden til en ekstern modtager, eller at det er en del afnormalbilledet, at der også i visse weekender er datatrafik fra en virksomhed – aktivite-ter, som ellers ville indikere en mulig sikkerhedshændelse og udløse en alarm hos net-sikkerhedstjenesten.For det andet vil adgang til yderligere historiske data i tilfælde af en sikkerhedshændel-se give netsikkerhedstjenesten langt bedre muligheder for at spore cyberangreb, somikke tidligere er blevet opdaget af de ramte myndigheder eller virksomheder. Her vilCenter for Cybersikkerhed på baggrund af en nærmere undersøgelse af en given sikker-hedshændelse typisk kunne fastslå en række karakteristika, f.eks. i form af angrebsme-toder og -værktøjer, og på baggrund af disse karakteristika vil det i historiske data kun-ne undersøges, om også andre myndigheder og virksomheder har været ramt af tilsva-rende – og hidtil uopdagede – angreb. Desuden modtager Center for Cybersikkerhed of-te underretninger fra andre netsikkerhedstjenester, som i konkrete sager har konstate-ret, at bestemte ip-adresser har været anvendt til alvorlige cyberangreb, og her er det

af stor betydning, at netsikkerhedstjenesten har mulighed for at fastslå, om sådanne ip-adresser også har været i kontakt med netværket hos myndigheder og virksomheder,som er tilsluttet netsikkerhedstjenesten.Grundet regelmæssige ændringer i normalbilledet, f.eks. i forbindelse med årlig regn-skabsaflæggelse og andre årlige aktiviteter, vurderes det endvidere at være af betyd-ning at kunne foretage år-til-år-sammenligning af internetaktiviteten. Ved vurdering afdet, der f.eks. umiddelbart vil kunne ligne en afvigelse fra normalbilledet i januar, vil dersåledes kunne foretages en langt mere kvalificeret vurdering, hvis der er mulighed for atsammenligne med aktiviteterne i januar året før.Lovforslagets opbevarings- og sletningsregler tager endvidere højde for, at der gældersærlige hensyn, når netsikkerhedstjenesten i overensstemmelse med lovforslagets vide-regivelsesregler har videregivet pakke- og trafikdata til politiet eller trafikdata til andremyndigheder m.v. Videregivelsen vil bl.a. ske i forbindelse med, at Center for Cybersik-kerhed udsender sikkerhedsvarslinger, hvor centeret eksempelvis gør myndigheder ogvirksomheder opmærksomme på, at en bestemt ip-adresse anvendes til cyberangreb.Sådanne varslinger giver myndigheder og virksomheder mulighed for at tage deres for-holdsregler, f.eks. ved at blokere den pågældende ip-adresse i en lokal firewall.Når en sådan videregivelse er sket via en varsling eller tilsvarende, har Center for Cy-bersikkerhed ikke mulighed for at sikre, at der efterfølgende sker en sletning hos mod-tageren. Hertil kommer, at Center for Cybersikkerhed som udgangspunkt er forpligtet tilat journalisere de afsendte varslinger. Sletning af disse videregivne data vil dermedumiddelbart være i strid med de almindelige principper for journalisering. Tilsvarendemå det anses for betænkeligt, hvis data, der er videregivet til politiet til brug ved eneventuel straffesag, risikerer at blive slettet hos Center for Cybersikkerhed, inden en så-dan sag er afsluttet, da det vil udelukke muligheden for, at der under sagen kan indhen-tes supplerende oplysninger hos Center for Cybersikkerhed. Det følger derfor af lovfor-slaget, at der ikke gælder slettefrister i de tilfælde, hvor der er sket videregivelse af da-ta.Det skal imidlertid understreges, at danske myndigheder og virksomheder, der modta-ger sikkerhedsvarslinger fra netsikkerhedstjenesten, efter omstændighederne vil væreunderlagt persondatalovens behandlingsregler, såfremt en sikkerhedsvarsling indeholderpersonoplysninger. Det vil bl.a. indebære, at modtagerne skal sikre, at der ikke er mu-lighed for at identificere fysiske personer i et længere tidsrum end det, der er nødven-

digt af hensyn til de formål, hvortil personoplysningerne behandles. For udenlandskemyndigheder og virksomheder, der modtager sikkerhedsvarslinger, som indeholder per-sonoplysninger, vil der gælde nationale regler. Det bemærkes, at sikkerhedsvarslingeralene kan indeholde trafikdata og ikke pakkedata.Som efter gældende ret fastsætter lovforslaget maksimale opbevaringsperioder for data.Center for Cybersikkerheds netsikkerhedstjeneste vil imidlertid efter lovforslaget fortsatvære forpligtet til at slette data, når formålet med behandlingen er opfyldt, hvis dettesker før den maksimale opbevaringsperiodes udløb. Samtidig vil lovforslagets generelleprincip om, at indsamlede personoplysninger ikke må opbevares på en måde, der givermulighed for at identificere den pågældende person i et længere tidsrum end det, der ernødvendigt af hensyn til de formål, hvortil oplysningerne behandles, også finde anven-delse på personoplysninger, der behandles af netsikkerhedstjenesten.Der henvises i øvrigt til § 17, bemærkningerne til § 17 og de almindelige bemærkningerafsnit 3.4.8. Tilsyn med Center for Cybersikkerheds behandling af personoplysningerDansk Industri (DI), DI ITEKogTeleindustrien (TI)anfører, at det bør sikres, atTilsynet med Efterretningstjenesterne har adgang til den fornødne it-revisionsmæssigeog sikkerhedsmæssige sagkundskab.DKCERTfinder, at den udvidede tilsynsorganisation kan udøve sin funktion på betryg-gende vis.Institut for Menneskerettighederanbefaler, at det sikres, at Tilsynet med Efterret-ningstjenesterne besidder den fornødne juridiske, it-revisionsmæssige og sikkerheds-mæssige sagkundskab til at foretage et effektivt tilsyn med GovCERT.IT-Politisk Foreninganbefaler, at det nøje overvejes, om Tilsynet med Efterretnings-tjenesterne har de kompetencer, som er nødvendige for at føre et effektivt tilsyn medCenter for Cybersikkerhed.Retspolitisk Foreningfinder, at det ikke er logisk, at tilsynsfunktionen placeres hosTilsynet med Efterretningstjenesterne, set i lyset af den altovervejende civile karakter afcenterets opgaver. Foreningen finder, at de beføjelser, der er tillagt Tilsynet med Efter-

Som led i etableringen af et nyt retsgrundlag for Forsvarets Efterretningstjeneste og Po-litiets Efterretningstjeneste er der fra 1. januar 2014 oprettet et uafhængigt tilsyn medde to efterretningstjenester. Tilsynet med Efterretningstjenesterne har sit eget sekreta-riat, og både for så vidt angår ressourcer, uafhængighed og beføjelser er der med detnye tilsyn sket en markant styrkelse af kontrollen med efterretningstjenesternes be-handling af personoplysninger.Der er sammenfald mellem de tilsynsopgaver, som Tilsynet med Efterretningstjenester-ne udfører i forhold til Forsvarets Efterretningstjeneste, og de tilsynsopgaver, som frem-adrettet vil skulle udføres i forhold til Center for Cybersikkerhed. I begge tilfælde er dersåledes tale om varetagelse af en tilsynsopgave i forhold til behandling af personoplys-ninger, og ved en videreførelse af det nuværende GovCERT-tilsyn ville der reelt være ta-le om, at to tilsynsorganer udførte en emnemæssigt identisk opgave.Sammenlignet med det nuværende GovCERT-tilsyn vil der på flere områder være taleom en styrkelse af tilsynsfunktionen. Det nye tilsyns kompetence foreslås udvidet, såle-des at al behandling af personoplysninger i Center for Cybersikkerhed bliver omfattet afTilsynet med Efterretningstjenesternes kompetence – og dermed ikke kun den del, dervedrører netsikkerhedstjenesten. Tilsynet vil skulle underrette forsvarsministeren omforhold, som ministeren efter tilsynets opfattelse bør have kendskab til, og tilsynet vilkunne afgive udtalelse over for Center for Cybersikkerhed, herunder udtale kritik, afgivehenstillinger samt i øvrigt fremsætte tilsynets opfattelse af en sag. Center for Cybersik-kerhed skal underrette Tilsynet med Efterretningstjenesterne og forelægge sagen forforsvarsministeren til afgørelse, hvis centeret undtagelsesvist beslutter ikke at følge enhenstilling i en udtalelse fra tilsynet. Herved pålægges Center for Cybersikkerhed en op-lysningspligt, hvis centeret undtagelsesvist ikke agter at følge en henstilling i en udtalel-se fra Tilsynet med Efterretningstjenesterne. Med udtrykket »undtagelsesvist« under-streges det, at centeret som nævnt i almindelighed forudsættes at følge henstillinger itilsynets udtalelser.

Som følge af lovforslagets udvidelse af tilsynets virksomhed til også at omfatte Centerfor Cybersikkerhed vil tilsynet få tilført yderligere ressourcer, herunder til it-faglig ogteknisk sagkundskab.Tilsynets virksomhed er i øvrigt nærmere beskrevet i afsnit 3.6.3. i de almindelige be-mærkninger. Endvidere er i bemærkningerne til § 24 om tilsynets årlige redegørelse omdets tilsynsvirksomhed bl.a. anført følgende: ”Redegørelserne skal indeholde statistiskeoplysninger om Center for Cybersikkerheds behandling af personoplysninger, herunderoplysninger om antallet af modtagne klagesager i såvel centeret som tilsynet, oplysnin-ger om antallet af aktindsigtssager og afgørelsen af disse samt oplysninger om antalletaf sager med relation til sikkerhedshændelser, der er behandlet i centeret. Tilsynet vilogså skulle medtage oplysninger om, i hvor mange tilfælde tilsynet har fundet, at Centerfor Cybersikkerheds behandling af personoplysninger ikke har været i overensstemmelsemed reglerne. Redegørelserne vil også blive offentliggjort på Center for Cybersikkerhedshjemmeside, www.cfcs.dk.”9. Samarbejdet med politietRigspolitietfinder det hensigtsmæssigt, såfremt der i bemærkningerne til lovforslagettilføjes en nærmere beskrivelse af politiets kompetence til at efterforske, herunder at ettæt samarbejde mellem Center for Cybersikkerhed og politiet bl.a. skal sikre understøt-telse af politiets efterforskning af mulige strafbare forhold. Rigspolitiet anfører endvide-re, at Center for Cybersikkerhed bør forpligtes til uden unødigt ophold at foretage an-meldelse af væsentlige sikkerhedshændelser til politiet. Rigspolitiet anfører desuden, atit-udstyr, der har været ramt af angreb, først bør undersøges af politiet, inden det un-dersøges nærmere af Center for Cybersikkerhed, ligesom bevismateriale i sager om brudpå informationssikkerheden skal sikres i samråd med politiet.Rigsadvokatenbemærker, at der i lovforslagets bemærkninger bør medtages en be-skrivelse af politiets og anklagemyndighedens kompetence til at behandle sager om mu-lige strafbare forhold, og at det tydeligt bør fremgå, at sager om mulige strafbare for-hold skal behandles af politiet og anklagemyndigheden.

handling, straks videregives til politiet, eller myndigheden eller virksomheden opfordrestil at indgive politianmeldelse. Tilsvarende underretter politiet straks Center for Cyber-sikkerhed, når politiet bliver opmærksom på sager, der har relevans for centerets funk-tion. Det kan f.eks. være tilfældet, hvis cyberangreb anmeldes til det lokale politi, ellerhvis politiet modtager oplysninger om cyberangreb fra udenlandske politimyndigheder.”(De almindelige bemærkninger afsnit 3.5.1).”En sikkerhedshændelse, jf. lovforslagets § 2, nr. 1, vil i nogle tilfælde kunne være etudslag af en strafbar handling. Forebyggelse og efterforskning af strafbare handlinger eropgaver, som hører under politiet, herunder Politiets Efterretningstjeneste, jf. politilo-vens § 2, nr. 1-3, og § 1, nr. 1 og 2, i lov om Politiets Efterretningstjeneste. I overens-stemmelse hermed fremgår det af retsplejelovens § 742, at anmeldelser om muligestrafbare forhold indgives til politiet, og at politiet efter anmeldelse eller af egen driftiværksætter efterforskning, når der er rimelig formodning om, at et strafbart forhold,som forfølges af det offentlige, er begået. Efter retsplejelovens § 96, stk. 1, er det end-videre anklagemyndighedens opgave i forbindelse med politiet at forfølge forbrydelserefter reglerne i retsplejeloven. Center for Cybersikkerhed bør derfor som hidtil kunne vi-deregive oplysninger om mulige strafbare forhold til politiet.” (De almindelige bemærk-ninger afsnit 3.5.2).”I de tilfælde, hvor politiet efter retsplejelovens § 742 beslutter at iværksætte en efter-forskning af mulige strafbare forhold i forbindelse med en sikkerhedshændelse, vil dervære en dialog mellem Center for Cybersikkerhed og politiet om politiets eventuelle øn-sker til, at Center for Cybersikkerhed tager særlige hensyn for at sikre, at der f.eks. ikkesker en forringelse af spor i sagen. Der kan dog opstå situationer, hvor centeret uanseten igangværende efterforskning må tage nødvendige skridt til at afværge overhængen-de risiko for skade på nationale cybersikkerhedsinteresser.” (Bemærkningerne til § 3).10. Evaluering af GovCERT-lovenInstitut for Menneskerettighederanfører, at det ikke tydeligt fremgår af hverkenevalueringen eller lovforslaget, hvordan evalueringen er foretaget, eller hvem der erblevet hørt.IT-Branchenanfører, at evalueringen af GovCERT-loven bekræfter, at Center for Cy-bersikkerhed udøver et vigtigt og nødvendigt arbejde. Indsatsen har gavnet særligt denoffentlige sektors it-sikkerhed i Danmark, og bør fortsættes fremover.

IT- og Telestyrelsen påbegyndte det forberedende arbejde med nedsættelse af et Gov-CERT-tilsyn efter GovCERT-lovens ikrafttrædelse i juni 2011. IT- og Telestyrelsens ned-læggelse i oktober samme år medførte imidlertid, at nedsættelsen af tilsynet blev udsattil Center for Cybersikkerheds etablering. Center for Cybersikkerhed blev etableret i de-cember 2012, hvorefter det forberedende arbejde med nedsættelsen af tilsynet blevgenoptaget.GovCERT-tilsynets første årsredegørelse er offentliggjort den 24. marts 2014.Evalueringen af GovCERT-loven indeholder statistiske oplysninger om GovCERT’s hidtidi-ge aktiviteter. Det fremgår således af evalueringen, at GovCERT i perioden fra septem-ber 2011 til udgangen af marts 2014 har udsendt godt 100 varslinger til GovCERT’skundekreds. Tallet omfatter generelle varslinger til en bredere kreds og specifikke vars-linger til enkeltkunder på baggrund af en alarm. Der er siden 2010 registreret godt1.100 sikkerhedshændelser. Heraf vurderes en fjerdedel at være alvorlige.11. Andre bemærkningerRådet for Digital Sikkerhed og Forbrugerrådet Tænkfinder, at definitionen af sik-kerhedshændelser i lovforslaget er så bred, at selv mindre hændelser vil være begrun-delse nok til at opnå adgang til data uden retskendelse.

Det følger derudover af lovforslaget, at Center for Cybersikkerheds indsamling af per-sonoplysninger skal ske til udtrykkeligt angivne og saglige formål, og at senere behand-ling ikke må være uforenelig med disse formål. Personoplysninger, som behandles, skalvære relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyl-delse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningernesenere behandles.Dansk Industri (DI), DI ITEKogTeleindustrien (TI)henviser til, at lovforslagets §17, stk. 3, vedrører registrering af data, som ikke defineres i lovforslaget. Organisatio-nerne anfører i den forbindelse, at der dermed er en risiko for, at Center for Cybersik-kerhed kan have data liggende, som ikke er registrerede, og dermed ikke er omfattet afslettefristerne, hvorfor det bør præciseres, at en registrering i overensstemmelse meddet persondataretlige begreb er en behandling.

Begrebet registrering i lovforslagets § 17, stk. 3, er omfattet af behandlingsbegrebet,der er defineret i lovforslagets § 2, nr. 5, hvorefter behandling omfatter enhver operati-on som oplysninger gøres til genstand for.Det fremgår desuden af bemærkningerne til lovforslagets § 17, at fristerne for sletningregnes fra det tidspunkt, hvor Center for Cybersikkerhed har registreret de pågældendedata. Det fremgår udtrykkeligt, at dette svarer til tidspunktet for centerets lagring af da-ta. Der er således ikke korrekt, at centeret ”kan have data liggende”, som ikke er regi-strerede.Dansk Industri (DI), DI ITEKogTeleindustrien (TI)nævner, at en privat virk-somheds udlevering af oplysninger til Center for Cybersikkerhed ikke nødvendigvis erlovlig efter persondataloven eller teleloven. Organisationerne finder derfor, at det børpræciseres, at udleveringen af personoplysninger herunder pakke- og trafikdata til Cen-ter for Cybersikkerhed lovligt kan foretages af en tilsluttet virksomhed uden, at der fore-ligger en konkret anmodning fra Center for Cybersikkerhed.

Det fremgår af bemærkningerne til lovforslagets § 24, at der efter den politiske aftaleom lovforslaget skal udarbejdes en rapport om erfaringerne med den nye lovgivning,som oversendes til Folketinget 3 år efter lovens ikrafttræden. Til brug for rapporten vilder blive indhentet bidrag fra Center for Cybersikkerhed, der vil kunne oplyse om cente-rets almindelige erfaringer med hensyn til den nye lovgivning, og fra Tilsynet med Efter-retningstjenesterne, der vil kunne oplyse om tilsynet med Center for Cybersikkerhedsoverholdelse af den nye lovgivning. Endelig vil Forsvarsministeriet indhente bidrag fra eneller flere uafhængige eksperter på cyberområdet, der kan medvirke til at belyse dennye lovgivnings betydning for kvaliteten og effektiviteten af Center for Cybersikkerhedsopgavevaretagelse.IT-Branchenanbefaler, at lovforslagets frist for den midlertidige tilslutning af virksom-heder forlænges fra den foreslåede periode på 2 måneder til en periode på op til 12måneder. Branchen anfører i den forbindelse, at der i forbindelse med en sikkerheds-hændelse typisk kan gå 8-9 måneder, før det fulde omfang af en kompromittering afsikkerheden opdages.

Den midlertidige tilslutning af virksomheder i medfør af lovforslagets § 6 forudsætter, atder er begrundet mistanke om en sikkerhedshændelse. Der vil således skulle foreliggekonkrete indikationer, der peger i retning af, at en sikkerhedshændelse har fundet stedeller vil finde sted.Såfremt der under den midlertidige tilslutning konstateres en konkret sikkerhedshændel-se via monitoreringen, forudsættes det (bemærkningerne til § 6), at monitoreringen kanfortsætte, indtil den konkrete sikkerhedshændelse er håndteret, hvorefter den midlerti-dige tilslutning straks afsluttes.