Det første punkt på dagsordenen er:

1) 1. behandling af lovforslag nr. L 139:

Forslag til lov om sikkerhed i net- og informationssystemer for operatører af væsentlige internetudvekslingspunkter m.v.

Af forsvarsministeren (Claus Hjort Frederiksen).

(Fremsættelse 07.02.2018).

Forhandlingen er åbnet. Hr. Jan Johansen, Socialdemokratiet.

Lovforslag nr. L 139 er et lovforslag, der skal sikre netinformationssystemer. Lovforslaget implementerer de dele af EU-direktivet om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau mod angreb på net- og informationssystemer i hele EU, der henhører under Forsvarsministeriet. Formålet er at imødegå den stigende trussel, som er der i dag, og som vil være der fremover, mod net- og informationssystemer fra hele verden.

Sikkerhedskravene omfatter operatører og udbydere, som skal træffe de nødvendige foranstaltninger for at undgå, at der kan ske angreb. Vi ved, at der sker forsøg hver dag et eller andet sted ude fra verden, hvor informationerne findes på nettet. Hvem husker ikke, hvordan det gik gruelig galt, da Mærsk blev hacket og lagt ned for ikke så lang tid siden? Det tog flere dage, før de kunne arbejde igen, og det kostede over 1 mia. kr. Så det er en rigtig god idé, at vi står sammen i hele EU for at sikre os mod angreb, som sker hver dag og vil ske i fremtiden.

Det er ikke kun på forsvarsområdet, at det sker, men på mange andre samfundsvigtige områder, for der bliver styret mere via nettet og lagt flere og flere informationer på nettet nu og i fremtiden.

NIS-direktivet, som det hedder, implementeres ikke kun på forsvarsområdet. Der sker også en implementering i andre ministerier og på områder, hvor informationer spiller en vigtig rolle for samfundet og for det enkelte menneske såsom inden for energi- og transportsektoren, det finansielle område som f.eks. banksektoren, drikkevandsforsyningen samt den digitale infrastruktur og inden for sundhedssektoren, hvor vi også ved at flere og flere personlige oplysninger bliver registreret. Ja, der styres mere på nettet, og mere vil komme til i fremtiden.

Det hele skal være indfaset den 10. maj, og med alle de systemer, vi styrer verden med i dag, er det vigtigt, at vi gør alt, hvad vi kan, for at forhindre, at de forkerte mennesker kommer ind i systemerne. Derfor er det også vigtigt, at vi arbejder sammen i EU for at hindre det. Derfor tilslutter vi os lovforslaget.

Tak til ordføreren. Den næste ordfører er fru Marie Krarup, Dansk Folkeparti.

Tak. Dette lovforslag handler om at højne sikkerheden i net- og informationssystemer. Det er en implementering af EU's såkaldte NIS-direktiv, der implementeres særskilt i hver sektor i samfundet. Dette lovforslag er gældende for forsvarsområdet.

Lovforslaget styrker Center for Cybersikkerheds kompetencer og ansvarsområder. L 139 udbygger tidligere vedtaget lovgivning på området. Cyberområdet er blevet et væsentligt sikkerhedsområde, fordi vores samfund bliver mere og mere sårbart over for nedbrud i vores digitale net. Derfor anser Dansk Folkeparti en særlig styrkelse af vores cybersikkerhed for rettidig omhu. Vi støtter derfor L 139 og ser frem til de yderligere tiltag på området, som vi har aftalt i det nylig indgåede forsvarsforlig. Tak for ordet.

Tak til ordføreren. Hr. Michael Aastrup Jensen, Venstre.

Tak for det. Venstres sædvanlige ordfører på området, hr. Peter Juel Jensen, kunne desværre ikke være her i dag, og derfor har jeg lovet på vegne af Venstre at melde vores klare støtte til det her forslag. Som både Dansk Folkepartis ordfører, men også Socialdemokratiets ordfører var inde på, er det en udmøntning af et EU-direktiv, det såkaldte NIS-direktiv. Set i lyset af den seneste afsløring af hackerangrebet mod Mærsk og andre er der jo ingen tvivl om, at der i hvert fald er et stort, stort behov for en opprioritering. Sideløbende med det netop indgåede forsvarsforlig, hvor vi heldigvis prioriterede hele cyberforsvaret, er det kun rigtig godt, at man nu også går ind og ser på, hvad vi kan gøre for at sikre den vitale infrastruktur, ikke mindst den vitale infrastruktur på store virksomheder, i energisektoren osv. Derfor er det godt at være godt forberedt, ikke mindst når vi har en så alvorlig trussel mod Danmark, som vi desværre har set at vi har, og derfor kan vi fra Venstres side klart støtte dette forslag.

Tak for det. Den næste ordfører er fru Eva Flyvholm, Enhedslisten.

Det er utrolig vigtigt, at vi beskytter vores infrastruktur mod cyberangreb. Derfor er det også godt, at der sker en lang række tiltag her.

Et af de problemer, der er med lovforslaget her, som jeg ser det, er, at Center for Cybersikkerhed, den myndighed, der skal stå for at koordinere og indsamle informationerne, i Danmark er blevet lagt under Forsvarets Efterretningstjeneste. Det betyder også, at myndigheden sandsynligvis kommer til at være undtaget de almindelige regler om databeskyttelse. Det er noget, vi diskuterer lige nu, også i forbindelse med implementeringen af EU's datasikkerhedslovgivning i Danmark. Jeg mener, at det er problematisk, at der ikke er den samme datasikkerhed, der vil dække det her område, og at der ikke er de samme muligheder for kontrol og indsigt, som der ellers ville være, hvis man havde lagt det under en civil myndighed, som vi mener at man burde have gjort.

Lige nu kan man sige, at det både er her på Forsvarsministeriets område, men altså også på Transportministeriets og Sundhedsministeriets og Erhvervsministeriets område, at vi diskuterer den her type forslag og samtidig også den nye datasikkerhedslovgivning. Jeg ved, at der under mange af de andre behandlinger også er blevet rejst spørgsmål om, hvorvidt det er hensigtsmæssigt, at Forsvarets Efterretningstjeneste på den måde er undtaget især reglerne for datasikkerhed. Så jeg håber, at det er noget, vi kan få en drøftelse af undervejs i behandlingen af det her lovforslag, for jeg mener som sagt, at det er fuldstændig afgørende, at vi kan sikre vores infrastruktur på en fornuftig måde mod cyberangreb, men der er altså ikke nogen grund til, at vi skal gøre det på en måde, hvor den myndighed, der skal stå for det, er undtaget de her faktisk meget, meget fornuftige og vigtige bestemmelser om, at datasikkerhed skal være i orden, og at der også skal være mulighed for en form for kontrol og indsigt fra borgeres og myndigheders side.

Så jeg kan erklære mig positiv over for hensigten om at styrke datasikkerheden, men i forhold til støtte af selve forslaget synes jeg, at der udestår nogle diskussioner i løbet af lovbehandlingen.

Tak til ordføreren. Den næste ordfører er hr. Carsten Bach, Liberal Alliance.

Danmark er et af de mest digitaliserede lande i verden, og det giver os jo en lang række fordele, som vi er meget glade for i hverdagen. Men det gør os jo så også temmelig sårbare – cyberangrebet mod Mærsk sidste år er allerede blevet nævnt et par gange i debatten, og det vil jeg også trække frem som et eksempel i min tale. For det er bestemt et problem, både samfundsmæssigt, men jo også for A.P. Møller - Mærsk A/S som forretning, at alle deres aktiviteter ligger stille i flere dage med et milliardstort omsætningstab til følge. Men det er bestemt ikke kun private virksomheder, der er udsat i de her situationer, når vi pludselig oplever fremmede magter eller grupperinger, der retter direkte angreb mod Danmark og danske interesser. Så vi bliver bestemt nødt til at sikre alle dele af samfundet, og at alle dele af samfundet er gearet til at håndtere de her nye trusler.

NIS-direktivet, som lovforslaget her jo skal implementere, favner som også nævnt tidligere i debatten en række ministeriers områder, og nu er turen så kommet til Forsvarsministeriet. Med lovforslaget højnes cybersikkerheden, ved at der stilles en række krav til operatører af væsentlige internetudvekslingspunkter. Det, som jeg specielt hæfter mig ved i den her forbindelse og ved lovforslaget, er, at det følger regeringens grundlæggende princip om minimumsimplementering og ikke vil pålægge erhvervslivet unødige byrder. Og derfor kan Liberal Alliance også støtte lovforslaget.

Tak for det. Og så er det hr. Rasmus Nordqvist, Alternativet.

Tak. NIS-direktivet har jo allerede været diskuteret her i salen på andre ressortområder, og jeg vil meget gerne gentage, at vi fra Alternativets side selvfølgelig synes, at det er et rigtig godt direktiv, fordi det styrker den europæiske sikkerhed. Vi mener bare, at den implementering, regeringen foreslår, er problematisk, og det drejer sig selvfølgelig om, at man gør Center for Cybersikkerhed til det centrale kontaktpunkt og den centrale beredskabsenhed, der skal håndtere de her it-hændelser.

Det er problematisk, fordi Center for Cybersikkerhed jo er undtaget bl.a. offentlighedsloven, persondataloven og centrale dele af forvaltningsloven, og dermed bliver det sådan lidt et lukket land, og det bekymrer os derfor, om borgernes datasikkerhed bliver ordentligt håndhævet. Det bliver så mere problematisk af, at NIS-direktivet jo faktisk stiller krav om, at det skal leve op til databeskyttelsesdirektivet. Og ved at den her arbejdsopgave bliver lagt over i Center for Cybersikkerhed og dermed Forsvarets Efterretningstjeneste, mener vi ikke, at det lever op til de krav.

Så vi ser frem til at diskutere implementeringen af direktivet i udvalget og specielt til at tage de mange høringssvar ind og få diskuteret, hvordan vi kan få det implementeret ordentligt, så det lever op til de indbyggede krav, der faktisk er i direktivet, om, at det også skal leve op til databeskyttelsesdirektivet, så vi får den sikkerhed for borgernes persondata.

Tak til hr. Rasmus Nordqvist. Hr. Martin Lidegaard, Radikale Venstre.

Cybersikkerhed eller mangel på samme er en af de helt nye sikkerhedstrusler, som fylder meget på Folketingets agenda, som fylder meget i de enkelte ministerier, og som er en trussel, vi bliver nødt til at tage alvorligt, uanset om vi snakker om direkte hackingangreb på kritisk infrastruktur i Danmark, angreb på danske virksomheder eller myndigheder, eller massiv propaganda fra ekstremister eller fjendtligsindede stater.

Derfor er det helt åbenlyst, at et gennemdigitaliseret land som Danmark bliver nødt til at tage det meget alvorligt og bliver nødt til at styrke indsatsen, og derfor hilser Radikale Venstre NIS-direktivet, som er det, vi diskuterer i dag, velkommen. EU forsøger jo her at styrke samarbejdet mellem de europæiske lande, og selv om vi desværre ikke er med i Europol og derfor ikke har et så stærkt samarbejde på politiområdet, som vi kunne have, så er det jo rart, at der er dele af det her, vi stadig væk kan være med i, og som Radikale Venstre i hvert fald støtter varmt at vi er med i.

Så rejser selve implementeringen af det her en række spørgsmål for os, og jeg håber, at det vil blive muligt at få dem belyst nærmere i udvalgsarbejdet. Det er jo rigtigt, som flere har nævnt, at der i det netop indgåede forsvarsforlig er blevet afsat et betydeligt beløb til at styrke cybersikkerheden – bl.a. fordi vi fra radikal side har kæmpet for det – og det er vi glade for. Det betyder jo altså også, at Forsvaret og Forsvarets Efterretningstjeneste får en meget central rolle at spille i koordineringen af det her på nationalt niveau.

Spørgsmålet er – og der har vi altså den udfordring, at vi endnu ikke kender regeringens egen nationale strategi for cybersikkerhed – hvilken myndighed i Danmark det er, der skal have det overordnede ansvar for både at koordinere mellem de forskellige ministerier og myndigheder i Danmark og med det private erhvervsliv, hvem der skal sætte standarderne, hvem der skal have det overordnede tilsyn. Det er jo noget af det, det her direktiv kommer tæt på, fordi man også skal udpege et nationalt centralt knudepunkt, en beredskabsenhed, der skal foretage det her. Det minder meget om sådan en koordinerende enhed, som også er blevet diskuteret i forbindelse med regeringens kommende strategi for cybersikkerhed.

Vi tror sådan set, at Center for Cybersikkerhed leverer et fortrinligt stykke arbejde, og vi tror også, de får mulighed for at levere et endnu bedre stykke arbejde med de nye bevillinger, der netop er blevet enighed om i forsvarsforliget. Men det er klart, at der er dele af cybersikkerhedsområdet – herunder hele det nationale område; ekstremistisk propaganda; gemene kriminelle, som befinder sig i Danmark; angreb på danske virksomheder – som ikke naturligt lige ligger under Forsvaret.

Det er også klart, at der, som bl.a. Enhedslistens ordfører var inde på, er nogle retssikkerhedsmæssige problemstillinger, som gør, at man måske kunne overveje, om Center for Cybersikkerhed så skal ligge direkte under Forsvarets Efterretningstjeneste eller måske ville stå sig bedre ved at være sin egen enhed, som kunne agere selv, have et mere frit og transparent og åbent samarbejde med virksomheder og være under den samme form for datasikkerhedsbeskyttelse, som alle andre normale danske myndigheder er. Ulempen ved den model er selvfølgelig, at der så er nogle efterretningsmæssige oplysninger, som man ikke får automatisk fra Forsvarets Efterretningstjeneste og derfor ikke kan dele med andre i andre lande.

Så der er fordele og ulemper ved begge modeller, men jeg mener, at vi nøje bør vurdere, om ikke det vil være en fordel at gøre Center for Cybersikkerhed til en lidt mere uafhængig størrelse og en, der lidt lettere vil kunne samarbejde åbent både med andre myndigheder og med andre aktører i det danske samfund. Det er noget af det, vi vil bede ministeren om at overveje, idet vi selvfølgelig kan støtte, at Danmark implementerer det her direktiv og dermed også lovforslaget som sådan.

Tak. Der er en kort bemærkning fra hr. Holger K. Nielsen, Socialistisk Folkeparti.

Det var nogle ganske udmærkede betragtninger, som kom fra hr. Martin Lidegaard. Men jeg har lige et enkelt spørgsmål. Mener Det Radikale Venstre, at det her lovforslag er en del af forsvarsforliget – eller rettere sagt om de tiltag, der måtte gøres her, er forligsstof og skal diskuteres i forligskredsen?

Værsgo.

Altså, ikke direkte. Det her er jo en implementering af et europæisk direktiv, og det mener jeg sådan set at alle partier fuldt ud kan tage del i, og jeg mener ikke, at nogen af de partier, der er i forsvarsforliget, sådan umiddelbart har monopol på eller vetoret over for det. Men det er jo klart, at der er en meget, meget tæt sammenhæng mellem det, man vedtager med det her lovforslag, og de rammer, man har for implementeringen og brugen af de midler, vi har besluttet i forsvarsforliget. Og det er forligsstof – det skal vi være enige om.

Hr. Holger K. Nielsen.

Tak for det. Når jeg spørger, er det, fordi det, når man er i et forlig, jo er en for alle og alle for en, ikke? Og derfor er det jo lidt interessant at få opklaret, om der er bevægelsesmuligheder for de partier, der er i forsvarsforligskredsen i forhold til et lovforslag som det her.

Værsgo.

Jeg ved ikke, om ministeren deler min opfattelse, men min egen opfattelse er i hvert fald, at det her ikke er en eksplicit del af forsvarsforliget, men at implementeringen af det her vil komme til at inddrage en del af de midler, vi blev enige om i forsvarsforliget. Og derfor kan man sige, at vi ikke sådan rent juridisk direkte vil have indflydelse på lovforslaget eller vil kunne lave et veto imod det, hvis vi skulle have et ønske om det – og det har vi så heller ikke. Men vi vil selvfølgelig have meget stor indflydelse på, hvordan vi bruger de midler, som vi er blevet enige om at tildele, bl.a. for at kunne implementere det her direktiv effektivt, sådan som jeg ser det.

Tak for det. Den næste ordfører er hr. Holger K. Nielsen, Socialistisk Folkeparti.

Jeg er enig med de ordførere, der har gjort opmærksom på, at det område, vi diskuterer, er et kolossalt vigtigt område. Det er et af de vigtigste sikkerhedspolitiske områder, som vi står med i Danmark, men også andre steder i verden. Derfor er det meget udmærket, at man i forsvarsforligskredsen har opprioriteret hele cybersikkerheden. Der er andre ting i forliget, vi ikke er helt tilfredse med, men på det område synes vi faktisk det er godt at man fra dansk side begynder at bruge flere ressourcer på cybersikkerhed. Spørgsmålet er i virkeligheden, om man bruger nok, for det er et kolossalt stort område, og det er et område i vækst.

Det her lovforslag, som jo er en implementering af det såkaldte NIS-direktiv fra EU, omfatter, som også andre har været inde på, ikke kun forsvarsområdet, men også bl.a. sundhedsområdet og trafikområdet, og det har været diskuteret også af andre ordførere i løbet af ugen. Derfor skal vi også i en vis forstand se det i sammenhæng med hinanden.

Så synes jeg nok, at det er værd at læse det høringssvar, der er kommet fra Dansk Energi, fordi de lægger meget vægt på – det er jeg meget enig med dem i – at det her jo kommer ind på et tidspunkt, hvor der er stor uklarhed om den helt overordnede koordination af hele cyberområdet. Det var hr. Martin Lidegaard også inde på. Hvem står for koordinationen i det her land af hele cybersikkerheden? Formelt ligger den såkaldte cyberstrategi mig bekendt i Moderniseringsstyrelsen, det vil sige, at det er moderniseringsministeren, der formelt set er ansvarlig for det her område, men hun har jo meget at se til i øjeblikket mildt sagt, og spørgsmålet er, om det er hensigtsmæssigt. Der mangler simpelt hen en helt, helt sammenhængende strategi for, hvordan vi håndterer det her vigtige område. Den er der ikke i øjeblikket. Det vil sige, at det sådan er lidt bid for bid, at man ændrer ting, at man giver beføjelser i det her tilfælde til Center for Cybersikkerhed, uden at der er en helt klar afklaring og afgrænsning af, hvad de forskellige myndigheder skal gøre i forskellige situationer osv. Så det synes jeg er et helt overordnet problem, og det vil jeg godt have ministerens kommentarer til, altså om det ikke er lidt uhensigtsmæssigt, at vi ligesom går i gang med det her udmærkede direktiv, uden at vi har sikkerhed for, hvordan hele det område skal koordineres.

Så er jeg også enig med dem, der har udtrykt betænkeligheder ved, at det er Forsvarets Efterretningstjeneste, der står som dem, der koordinerer området. Der kan være argumenter for og argumenter imod, det er jeg med på, men igen vil jeg godt henvise til Dansk Energi, som har nogle argumenter imod, at det er FE, bl.a. at det kan give begrænsninger i, hvor mange informationer man vil give fra sig, for FE er ikke omfattet af persondataloven, er ikke omfattet af offentlighedsloven osv. Det vil sige, at der er nogle helt specifikke udfordringer, i og med at det er FE, som står for den her opgave. Men også det er vi jo nødt til at få diskuteret nærmere, altså hvordan vi vil håndtere det her område. Skal det være i regi af FE med de begrænsninger, der er i det, og måske også med de fordele, der kan være, som også hr. Martin Lidegaard så rigtigt var inde på? Den diskussion har vi jo ikke haft, og det synes jeg faktisk er et problem, nemlig at man sådan pø om pø laver forskellige tiltag, uden at man har en helt sammenhængende diskussion af, hvordan vi håndterer det her kolossale område – og kolossalt vigtige område.

Tak. Så er det hr. Rasmus Jarlov, Det Konservative Folkeparti.

Lovforslaget her handler jo om at sikre Danmark og dansk internet mod udenlandske hackerangreb. Man hører ofte, at der er en stor cybertrussel mod Danmark. Det er faktisk en undervurdering af situationen. Sagen er, at der ikke bare er en trussel, men at der allerede er angreb i gang. Der har allerede været mange eksempler på, at udenlandske hackere har hacket sig ind i danske virksomheder og endda i det danske forsvar og mange andre steder. Det er jo et stort problem, fordi så stor en del af samfundet efterhånden afhænger af, at der er en ordentlig sikkerhed på nettet. Der er store dele af Danmark, der kan blive lagt ned, hvis ikke vi har en ordentlig netsikkerhed.

Det forsøger man så med det her lovforslag at sikre at vi får. Dels er det jo et EU-direktiv, så vi har ikke så meget et valg, i forhold til om vi ønsker at implementere det eller ej; man kan sige, at det er den første gode grund til, at vi skal gøre det. Dels er det også en rigtig god idé, at vi gør det. Med lovforslaget får den myndighed, der hedder Center for Cybersikkerhed, som ligger under Forsvaret, under Forsvarets Efterretningstjeneste for at være mere præcis, ret til at fastsætte nogle normer for, hvordan sikkerheden skal være på internetudviklingspunkter, så man kan stille krav til de virksomheder, som har den slags internetudviklingspunkter.

Det er selvfølgelig ikke særlig detaljeret i lovforslaget, hvad det er for nogle krav. Jeg tror heller ikke, at jeg ville føle mig sikker nok og vidende nok til at kunne fastsætte, hvordan kravene skulle være. Jeg synes, at det er fornuftigt nok, at vi her har en myndighed, der har kompetencen, og som så får ret til at fastsætte, hvordan kravene skal være. Vi har i hvert fald tillid nok til, at Forsvarets Efterretningstjeneste og specifikt Center for Cybersikkerhed kan løfte den her opgave, og vi har derfor tænkt os at stemme for lovforslaget.

Tak til ordføreren. Så er det ministeren. Værsgo.

Jeg vil godt indledningsvis takke for indlæggene her under debatten og takke for den tilslutning, der er givet til lovforslaget, idet der dog er kommet forskellige kommentarer, som vi selvfølgelig vil behandle under udvalgsbehandlingen.

Det her lovforslag handler jo om internetudvekslingspunkter, og definitionen af et internetudvekslingspunkt, også kendt som et IXP, er ret teknisk. NIS-direktivet definerer et internetudvekslingspunkt som en netfacilitet, der muliggør en sammenkobling af mere end to uafhængige, autonome systemer, hovedsagelig med henblik på at lette udvekslingen af internettrafik. Sagt lidt forenklet er et internetudvekslingspunkt en virksomhed eller en del af en virksomhed, der sørger for udveksling af internettrafik mellem forskellige internetudbydere. Lovforslaget indebærer, at der fastsættes regler om informationssikkerhed for de væsentlige internetudvekslingspunkter. Der findes alene få internetudvekslingspunkter i Danmark, og på nuværende tidspunkt vurderes det, at der vil være få eller ingen af dem, som er så store, at de kan betegnes som væsentlige.

Så rejste Eva Flyvholm, Holger K. Nielsen og Martin Lidegaard spørgsmålet om placeringen i Center for Cybersikkerhed, som jo som bekendt er en del af Forsvarets Efterretningstjeneste. Centeret er i forvejen en national it-sikkerhedsmyndighed. Det indebærer bl.a., at centeret rådgiver og oplyser om cybersikkerhed, og funktionen som nationalt kontaktpunkt ligger i helt naturlig forlængelse af disse opgaver. It-beredskabsfunktionen efter NIS-direktivet har ligeledes en nær sammenhæng med Center for Cybersikkerheds eksisterende opgave, bl.a. vedrørende informationssikkerhed i telesektoren. Center for Cybersikkerhed besidder derfor allerede i dag mange af de kompetencer, der er nødvendige for f.eks. at kunne varsle sektorerne samt reagere på hændelser, ligesom centeret tillige vil kunne operere døgnet rundt. Så funktionen som it-beredskabsenhed ligger altså også i en naturlig forlængelse af centerets eksisterende opgaver.

Så rejste Eva Flyvholm spørgsmålet om persondataloven. I Danmark er databeskyttelsesdirektivet jo implementeret ved persondataloven. Center for Cybersikkerhed, der jo som bekendt er en del af Forsvarets Efterretningstjeneste, er dermed undtaget fra persondataloven. Det gælder også for centerets kommende funktioner efter NIS-direktivet. Men jeg vil gerne understrege, at størstedelen af de centrale principper i persondataloven gælder for centeret. Det er blot reguleret i den særlige lov om Center for Cybersikkerhed og ikke i persondataloven. Forskellen er, at der i forhold til centeret f.eks. ikke er den oplysningspligt, indsigtsret og indsigelsesret, som gælder efter persondataloven, men det har heller ikke hidtil været et problem, da centeret i rollen som tilsynsmyndighed sjældent behandler følsomme personoplysninger, men primært rent tekniske oplysninger.

Jeg vil også gerne understrege, at de personoplysninger, der skal behandles som følge af det her lovforslag, vil have et meget, meget begrænset omfang. Det vil kun være aktuelt for Center for Cybersikkerhed at modtage personoplysninger, i forbindelse med at centeret modtager underretninger om hændelser fra myndigheder og virksomheder, og de personoplysninger vil som udgangspunkt kun bestå af navnet på afsenderen af underretningen. En hændelsesunderretning vil derudover typisk indeholde helt faktuelle oplysninger om hændelsen, f.eks. hvornår hændelsen skete, og hvilket system der er blevet ramt. Det er jo bestemt ikke meningen, at underretningerne skal indeholde nogen form for følsomme personoplysninger.

Men derudover er det jo vigtigt at være opmærksom på, at der gælder en lang række databeskyttelsesregler for Center for Cybersikkerhed. De står altså bare ikke i persondataloven, men er indarbejdet i lov om Center for Cybersikkerhed.

Så rejste Holger K. Nielsen spørgsmålet om nogle høringssvar, der er blevet givet. Det gør selvfølgelig altid indtryk, når samarbejdspartnere udtrykker kritik, og selvfølgelig skal det tages alvorligt, og det ved jeg også at Center for Cybersikkerhed gør i det her tilfælde. Noget af kritikken skyder over målet; Center for Cybersikkerhed har i forvejen tilsvarende funktioner i telesektoren. Så jeg ser det som helt naturligt og den mest effektive udnyttelse af ressourcerne, at de nye opgaver også placeres hos centeret, og jeg er ikke i tvivl om, at centeret også vil udføre disse opgaver fuldt tilfredsstillende.

Rent konkret i forhold til det høringssvar, der er givet af Dansk Energi, kan jeg tilføje, at jeg er bekendt med, at Center for Cybersikkerhed har haft en god og positiv dialog med Dansk Energi som opfølgning på organisationens høringssvar, og de to organisationer er i den forbindelse blevet enige om at styrke både det daglige og det mere langsigtede samarbejde. Men det her vil jo være emner, vi kan tage op og behandle under udvalgsbehandlingen, og jeg vil gerne takke for den brede tilslutning, der er, i forhold til den diskussion, vi så skal have under udvalgsbehandlingen.

Tak. Der er nogle kommentarer. Hr. Rasmus Nordqvist, Alternativet. Værsgo.

Tak. Og tak til ministeren for at komme ind på en række af de spørgsmål, der blev rejst i de forskellige ordførerindlæg. Noget, som jeg ikke rigtig hørte et svar på, er det her med, hvad der egentlig er af krav i NIS-direktivet, i forhold til at det her nationale center skal leve op til databeskyttelsesdirektivet. Mener ministeren, at vi ved at lægge det i Center for Cybersikkerhed, altså under Forsvarets Efterretningstjeneste, så lever op til det, der står i NIS-direktivet, om, at det skal leve op til EU's databeskyttelsesdirektiv?

Værsgo, ministeren.

Ja, det mener jeg, og det mener jeg også jeg svarede på: at størstedelen af det, der er i persondataloven, jo for centerets vedkommende er indarbejdet i lovgivningen omkring centeret, altså at det så bare ikke står i persondataloven, men er indarbejdet i loven om Center for Cybersikkerhed. Og her er det jo vigtigt at forstå, at det drejer sig om tekniske indberetninger. Altså, i forbindelse med spørgsmålet om den personbeskyttelse, der er, prøvede jeg at give udtryk for, at de navne, der forekommer i de her sager, jo altså er på de personer i en eller anden myndighed, der underretter Center for Cybersikkerhed om, at der har været et eller andet problem i forbindelse med deres it-system, og det kan man jo ikke sige er personfølsomme oplysninger.

Det er igen hr. Rasmus Nordqvist. Værsgo.

Men med den her nye rolle, som Center for Cybersikkerhed får med implementeringen af NIS-direktivet inden for en række områder, bliver det jo et langt større område, man dækker. Og derfor synes jeg, det er interessant – og jeg tror, at vi også må prøve at se på det skriftligt – om man en til en lever op til det, der står i NIS-direktivet om, at det skal leve op til databeskyttelsesdirektivet. Jeg synes egentlig, det er en vurdering, som det vil være rigtig nødvendigt at få i udvalgsbehandlingen, altså om vi lever op til det direktiv, som er direkte nævnt i det her direktiv.

Tak. Værsgo.

Det skal vi naturligvis nok besvare under udvalgsbehandlingen.

Tak. Så er det fru Eva Flyvholm, Enhedslisten. Værsgo.

Tak for talen. Jeg hæfter mig ved, at ministeren siger, at Forsvarets Efterretningstjeneste og centeret her jo netop ikke er omfattet af persondataloven. Men det er jo så heldigt, at vi i øjeblikket simpelt hen er i gang med at behandle en ny databeskyttelseslov i Folketinget, som skal erstatte den her persondatalov. Derfor synes jeg jo, det vil være helt oplagt nu, hvor vi har den her gode mulighed, fordi tingene ligger samtidig, at tage fat i det og sige, om vi så ikke kunne gå ind og sørge for, at Forsvarets Efterretningstjeneste ikke er undtaget de her meget fornuftige databeskyttelsesregler. Kunne ministeren ikke være interesseret i at være med til at tage en dialog, også med de andre partier, om ikke vi kunne lukke det hul i undtagelsen der?

Værsgo.

Nu mener jeg jo ikke, at det er et hul i lovgivningen. Det er klart, at når vi taler om en efterretningstjeneste, er der ting, der ikke kan offentliggøres, der er ting, der ikke kan søges aktindsigt i, men vi har jo et Kontroludvalg, som sidder og beskæftiger sig med de her ting. Selvfølgelig kan vi tage debatter om hvad som helst, men jeg mener, at det, der i den her sag er afgørende, er, at Center for Cybersikkerhed i en lang række tilfælde har de her opgaver i forvejen; det er der, ekspertisen er, og derfor kan vi jo lige så godt udnytte det.

Fru Eva Flyvholm, værsgo.

Jeg må sige, at et af problemerne her er jo faktisk, at det ikke handler om, at hvis man omfatter Center for Cybersikkerhed og Forsvarets Efterretningstjeneste i de her regler, så kan man ikke have noget hemmeligt mere. Det kan man godt. Men det handler jo om, at lige nu er de undtaget på sådan en højst mærkværdig måde, der gør, at f.eks. deres daglige drift, kan man sige, simpelt hen ikke er underlagt de her meget, meget fornuftige regler for datasikkerhed og beskyttelse, og det synes jeg da er meget, meget problematisk. Og jeg er bestemt interesseret i, at vi forsøger at løse det her nu, hvor vi faktisk står med muligheden. Det er jeg ked af at ministeren ikke er helt lige så åben over for, for jeg er meget enig med Alternativets ordfører i, at sådan som tingene ser ud nu, mener jeg simpelt hen ikke, at vi lever op til det, der er EU's regler, og hensigten i NIS-direktivet om at sikre den her ordentlige indsigt og datasikkerhed.

Tak. Ministeren.

Men det egner sig jo til at blive behandlet under udvalgsbehandlingen, om vi lever op til NIS-direktivet.

Så er det hr. Martin Lidegaard, Radikale Venstre. Værsgo.

Tak. En af udfordringerne ved det her er, at vi faktisk endnu ikke ved, hvad det her nye center præcis skal lave. Og det er jo, fordi vi mangler den samlede strategi fra regeringens side, så vi ved ikke, hvad man vil placere i det her center, og hvad man vil placere andre steder, og om det er det her center, der i det hele taget vil få den store nationale centrale myndighedsopgave med at koordinere hele staten. For hvis det er det, vil der jo komme en masse nye opgaver, vi ikke kender i dag. Lad mig bare nævne hele koordineringen af samarbejdet med den private sektor, hvor der helt naturligt vil komme en stribe persondata ind af ikkeefterretningsmæssig karakter, som man så skal behandle på en anden måde, fordi man ligger i Forsvarets Efterretningstjeneste.

Jeg er helt med på, at der også er nogle ting, der taler for at lægge det i Forsvarets Efterretningstjeneste. Men det, der er vores udfordring, er jo, at vi ikke ved, hvad det her center præcis skal lave, og hvad der så er af fordele og ulemper. Derfor har jeg to spørgsmål til ministeren:

Det første er: Hvornår kommer regeringens samlede strategi på det her område? For det vil have ret stor betydning, synes jeg, for implementeringen af det her direktiv. Kan vi nå at få den strategi med i implementeringen af direktivet?

Det andet spørgsmål er: Kan man forsøge at lave en oversigt over fordele og ulemper ved at placere det her center inde i Forsvarets Efterretningstjeneste eller ved siden af det som en civil myndighed under Forsvarsministeriet?

Ministeren.

Det sidste skal vi nok levere, altså fordele og ulemper ved placeringen.

Jeg vil nødig hænges op på det, men vi er jo tæt på, at regeringen offentliggør sin it-sikkerhedsstrategi, og jeg tror, det er i marts måned, at den strategi bliver fremlagt. Det er muligt, det bliver i begyndelsen af april, hvad ved jeg, men altså, det er tæt på. Og derfor vil den jo falde inden for den tidshorisont, hvor vi behandler det her lovforslag i Folketinget.

Hr. Martin Lidegaard.

Tak for tilsagnet om at svare på det andet spørgsmål. Men spørgsmålet er så, om man måske kunne strække ministerens velvilje så langt, at vi ligesom bliver enige om, at vi ikke, om jeg så må sige, helt afslutter behandlingen af det her lovforslag, før vi kender den strategi, som skal implementere det.

Værsgo til ministeren.

Nu vil jeg nødig stå og afgive garantier på andre ministres områder, men det er min opfattelse, at vi er tæt på, at regeringens it-sikkerhedsstrategi bliver fremlagt.

Tak, og tak til ministeren.

Der er ikke flere, der har bedt om ordet, og forhandlingen er sluttet.

Jeg foreslår, at lovforslaget henvises til Forsvarsudvalget. Hvis ingen gør indsigelse, betragter jeg det som vedtaget.

Det er vedtaget.