Skriftlig fremsættelse (7. oktober
2015)
Forsvarsministeren
(Peter Christensen):
Herved tillader jeg mig for Folketinget at
fremsætte:
Forslag til lov om net- og
informationssikkerhed
(Lovforslag nr. L 10)
Lovforslaget
er en indholdsmæssigt uændret genfremsættelse af
lovforslag nr. L 201, som blev fremsat den 5. maj 2015 og 1.
behandlet den 8. maj 2015.
Et
stærkt digitaliseret samfund som det danske er i stigende
grad afhængigt af telenettet, der bl.a. anvendes som platform
for borgeres, virksomheders og myndigheders telefoni og
datakommunikation. Det samlede telenet er således en af de
mest kritiske dele af samfundets infrastruktur.
Med stigende
afhængighed følger imidlertid også øget
sårbarhed, og udviklingen og udbredelsen af informations- og
kommunikationsteknologi har skabt nye muligheder for, at der
derigennem kan rettes alvorlige cyberangreb mod Danmark og danske
interesser.
Forsvarets
Efterretningstjeneste vurderer, at de alvorligste cybertrusler mod
Danmark i øjeblikket kommer fra statslige aktører,
der udnytter internettet til at spionere og stjæle dansk
intellektuel ejendom, f.eks. patenteret viden, forskningsresultater
og forretningshemmeligheder. Truslen kommer navnlig fra stater, som
bruger informationerne til at understøtte deres egen
økonomiske, militære og samfundsmæssige
udvikling.
Samtidig
går udviklingen i retning af, at teleudbyderne - ud over at
anvende leverandører af enkeltkomponenter - i stigende
omfang anvender bl.a. udenlandske leverandører til at
udføre egentlige driftsopgaver.
Teleudbyderne
kan i dag indgå selv meget vidtrækkende aftaler med
leverandører, uden at myndighederne bliver bekendt med
aftalerne.
Regeringen
foreslår derfor, at reguleringen på området
styrkes.
Lovforslaget
er et initiativ i den nationale strategi for cyber- og
informationssikkerhed, og har til formål at styrke
informationssikkerheden i telesektoren og dermed beskytte danske
borgeres, virksomheders og myndigheders oplysninger.
Med
lovforslaget overføres den eksisterende regulering af
informationssikkerhed og beredskab på teleområdet til
en selvstændig lov. Samtidig skærpes kravene til
teleudbydernes informationssikkerhed, således at kravene i
højere grad tager højde for samfundets
afhængighed af telenettet og afspejler det aktuelle
trusselsbillede, hvor især cyberangreb og avanceret
industrispionage er stærkt stigende.
Det
foreslås, at Center for Cybersikkerhed bemyndiges til at
fastsætte regler om minimumskrav til teleudbydernes
håndtering af informationssikkerheden. Center for
Cybersikkerhed vil dermed kunne fastsætte krav om, at
teleudbyderne skal håndtere informationssikkerheden gennem
dokumenterede og ledelsesforankrede risikostyringsprocesser.
Herudover kan der fastsættes krav til teleudbydernes
risikostyring i forbindelse med bl.a. indgåelse og
gennemførelse af aftaler med leverandører.
Samtidig
foreslås det, at Center for Cybersikkerhed skal kunne
påbyde teleudbydere at inddrage nærmere angivne
områder af deres virksomhed samt nærmere angivne
trusler mod informationssikkerheden i deres
risikostyringsprocesser. Dermed kan Center for Cybersikkerhed
påbyde en teleudbyder at tage højde for en konkret
trussel mod informationssikkerheden. Endvidere vil Center for
Cybersikkerhed kunne påbyde teleudbyderne at træffe
konkrete sikkerhedsforanstaltninger med henblik på at sikre
et passende informationssikkerhedsniveau.
Teleudbydernes
oplysnings- og underretningspligter udvides, og det vil bl.a.
betyde, at de skal indsende et endeligt aftaleudkast til Center for
Cybersikkerhed umiddelbart forud for indgåelse af
væsentlige kontrakter med eksterne leverandører,
hvorefter der indtræder en kort standstill-periode.
Standstill-perioden giver Center for Cybersikkerhed mulighed for at
foretage en vurdering af, om aftalens indhold indebærer en
trussel mod informationssikkerheden, og er også en fordel for
teleudbyderne, da de vil blive gjort opmærksomme på de
sikkerhedsmæssige bekymringer, som en aftale eventuelt giver
anledning til, inden den indgås.
For at skabe
et mere effektivt tilsyn med teleudbydernes overholdelse af lovens
bestemmelser vil Center for Cybersikkerhed kunne kræve, at
teleudbyderne forholder sig skriftligt til konkrete forhold, som
centeret bliver opmærksom på i forbindelse med sin
tilsynsvirksomhed. For at kunne konstatere, om teleudbyderne i
praksis har gennemført de nødvendige foranstaltninger
til at sikre teleinfrastrukturen, vil Center for Cybersikkerhed
uden retskendelse kunne få adgang til teleudbydernes
forretningslokaler efter forudgående skriftligt varsel med
henblik på at føre tilsyn med overholdelse af reglerne
på informationssikkerhedsområdet. Center for
Cybersikkerhed vil ikke kunne tilgå kommunikation til, fra og
mellem teleudbydernes kunder. Der vil således ikke som led i
ordningen ske indgreb i meddelelseshemmeligheden.
Herudover
indebærer lovforslaget, at der fremover ikke vil være
ret til aktindsigt i forhold til de oplysninger og underretninger,
som modtages fra teleudbyderne på baggrund af oplysnings- og
underretningspligterne, samt i forhold til underretninger, der
på cybersikkerhedsområdet modtages fra myndigheder og
virksomheder om f.eks. hackerangreb.
Det
foreslås, at loven træder i kraft den 1. juli 2016,
således at branchen får den fornødne tid til at
indrette sig efter den nye lovgivning, inden den træder i
kraft, og således at der er den fornødne tid til
dialog med branchen om de bekendtgørelser, der skal udstedes
i medfør af den nye lov. Endvidere henvises der til den nye
ordning med fælles ikrafttrædelsesdatoer (1. januar
eller 1. juli) for ny erhvervsrettet regulering.
Idet jeg i
øvrigt henviser til lovforslaget og de ledsagende
bemærkninger, skal jeg hermed anbefale lovforslaget til det
Høje Tings velvillige behandling.