Skriftlig fremsættelse (7. februar
2018)
Erhvervsministeren
(Brian Mikkelsen):
Herved tillader jeg mig for Folketinget at
fremsætte:
Forslag til lov om net- og
informationssikkerhed for domænenavnssystemer og visse
digitale tjenester
(Lovforslag nr. L 144)
Lovforslaget
har til formål at sikre et højt niveau for net- og
informationssikkerhed inden for dele af den digitale infrastruktur,
for visse digitale tjenester og det finansielle område med
henblik på at skabe endnu mere robuste digitale systemer.
Lovforslaget
skal ses i lyset af, at den øgede digitalisering af
samfundet indebærer, at net- og informationssikkerhed spiller
en stadig mere afgørende rolle. Digitaliseringen er i
høj grad en forudsætning for de økonomiske og
samfundsmæssige aktiviteter i samfundet, og det er derfor
væsentligt, at den digitale infrastruktur, digitale tjenester
samt finansielle tjenester fungerer pålideligt og sikkert.
IT-sikkerhedshændelser, såsom cyberangreb og nedbrud af
it-systemer, udgør en alvorlig trussel mod samfundet.
Omfanget, hyppigheden og konsekvenserne af sådanne
hændelser er tiltagende.
Lovforslaget
gennemfører Rådets og Europa-Parlamentets direktiv
(EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre
et højt fælles sikkerhedsniveau for net- og
informationssystemer i hele Unionen (NIS-direktivet) inden for
Erhvervsministeriets område i overensstemmelse med
sektoransvarsprincippet på beredskabsområdet.
Med
lovforslaget foreslås indført krav til
operatører af væsentlige tjenester inden for dele af
den digitale infrastruktur (domænenavne- og
topdomænenavnesystemer), operatører på det
finansielle område samt udbydere af visse digitale tjenester
(onlinemarkedspladser, onlinesøgemaskiner og cloud
computing-tjenester), der tager højde for samfundets
afhængighed af sådanne tjenester og afspejler det
aktuelle trusselsbillede.
Operatørerne og udbyderne skal således træffe
passende sikkerhedsforanstaltninger på baggrund af en
vurdering af de konkrete risici. Kravene retter sig alene mod
operatører, som identificeres som væsentlige, og
større udbydere af digitale tjenester, som ikke er små
virksomheder eller mikrovirksomheder.
Der
foreslås endvidere indført krav om, at
operatører og udbydere skal underrette myndighederne om
hændelser, der har forstyrrende virkning på levering af
de pågældende tjenester, og som hindrer
gennemførelsen af økonomiske aktiviteter,
medfører betydelige finansielle tab og underminerer
brugernes tillid, og dermed skader samfundsøkonomien.
Det
foreslås videre, at de nærmere regler vedrører
tekniske og organisatoriske sikkerhedskrav samt procedurer for
indberetning af it-sikkerhedshændelser fastsættes i
bekendtgørelser.
Endelig
foreslås indført bestemmelser om myndighedssamarbejde,
herunder videregivelse af oplysninger om indberettede
hændelser fra sektormyndighederne til Center for
Cybersikkerhed i dets egenskab af national centralt kontaktpunkt og
national it-beredskabsenhed (CSIRT).
Det
foreslås, at ikrafttrædelsesdatoen er den 10. maj 2018,
som følger seneste frist i ovennævnte direktiv for
gennemførelse i national lovgivning.
Idet jeg
henviser til lovforslaget og de ledsagende bemærkninger, skal
jeg hermed anbefale lovforslaget til det Høje Tings
velvillige behandling.