Høringssvar vedr. lov om net- og informationssikkerhed for domænenavnssystemer og visse digitale tjenester og ændring af lov om finansiel virksomhed m.v.
Regeringen har valgt at gennemføre NIS-direktivet (pdf-fil fra EU) med sektorspecifikke love, hvor eksisterende institutioner under det pågældende ministerium får tilsynsopgaven som kompetent myndighed i forhold til NIS-direktivet. På Erhvervsministeriets område får Erhvervsstyrelsen tilsynsopgaven for væsentlige tjenester inden for domænenavnssystemer og visse digitale tjenester, mens Finanstilsynet får tilsynsopgaven for væsentlige tjenester inden for bankvæsen og finansielle markedsinfrastrukturer.
NIS-direktivets artikel 8, stk. 1 overlader det til medlemsstaterne at fastsætte, om der skal være en eller flere kompetente myndigheder. En kompetent myndighed for hvert ministeriums område er som sådan inden for rammerne af artikel 8, stk. 1. Hvis der kommer 4-5 kompetente myndigheder i Danmark (jf. sektoropdelingen i bilag II i NIS-direktivet), kan tilsynsressourcerne blive spredt mere end godt er, og synergieffekter mellem forskellige tilsynsområder kan blive vanskelige at udnytte. Finanstilsynet har allerede i dag en betydelig tilsynsopgave i forhold til informationssikkerhed for den finansielle sektor, som har en naturlig synergi med de nye opgaver efter NIS-direktivet, men for andre sektorer vil tilsyn med net- og informationssikkerhed være en ny opgave for den pågældende myndighed.
Et væsentligt element i NIS-direktivet er at medlemsstaterne skal vedtage en samlet national strategi for sikkerheden i net- og informationssystemer, og der skal være en effektiv informationsudveksling på tværs af sektorer på nationalt plan samt mellem EU-landene på internationalt plan. Med sektor-specifikke kompetente myndigheder vil de tværgående opgaver blive varetaget af CSIRT-funktionen og det centrale kontaktpunkt. Ifølge lovforslagets bemærkninger er det regeringens hensigt, at Center for Cybersikkerhed skal udføre opgaverne som CSIRT og centralt kontaktpunkt.
Center for Cybersikkerhed er en del af Forsvarets Efterretningstjeneste, som generelt opererer under andre rammebetingelser end civile myndigheder, for eksempel med betydelige undtagelser fra offentlighedsloven, forvaltningsloven og persondataloven. IT-Politisk Foreninger finder det meget betænkeligt, at Center for Cybersikkerhed via gennemførelsen af NIS-direktivet får en så betydelig rolle i forhold til cybersikkerheden i den offentlige og private sektor. Af principielle årsager mener vi, at de(n) danske CSIRT(er) og det centrale kontaktpunkt bør være civile myndigheder.
Det gælder ikke mindst i de situationer, hvor det kan blive nødvendigt at behandle personoplysninger i forbindelse med underretning af den kompetente myndighed om hændelser, jf. NIS-direktivets artikel 14, stk. 3 og artikel 16, stk. 3. Dette punkt uddybes nedenfor.
Lovforslaget følger strukturen og terminologien i NIS-direktivet i forhold til operatører af væsentlige tjenester og visse digitale tjenester. IT-Politisk Forening har nedenfor bemærkninger til afgrænsningen af DNS-tjenester (ønske om præcisering) og til behandling af personoplysninger og fortrolige oplysninger i forbindelse med underretning om hændelser.
Afgrænsning af DNS-tjenester
Lovforslagets § 3, nr. 10 definerer DNS-tjenester på samme måde som direktivet, dvs. som en tjeneste der besvarer forespørgsler vedrørende domænenavne. Denne definition kan omfatte såvel autoritative DNS-servere (for en zone eller et domænenavn) som DNS-resolvere, der cacher forespørgsler til autoritative navneservere på vegne af brugere af internetadgangstjenester.
De fleste DNS-resolvere udbydes sammen med en internetadgangstjeneste, men der er også enkelte selvstændige tjenester (såsom OpenDNS og Google DNS). Udbydere af internetadgangstjenester er ikke omfattet af NIS-direktivet, da der i forvejen er en EU-retlig regulering af net- og informationssikkerheden på dette område, jf. direktivets artikel 1, stk. 3 og betragtning nr. 7.
Definitionen af DNS-tjenester i NIS-direktivet sammenholdt med undtagelsen af visse virksomheder i artikel 1, stk. 3 kan efterlade en vis uklarhed om hvilke tjenester, der er omfattet af lovforslaget. Det vil være ønskeligt, hvis dette kunne blive præciseret i lovforslaget. En tilsvarende præcisering burde være foretaget i NIS-direktivet.
Behandling af personoplysninger og fortrolige oplysninger i forbindelse med underretning om hændelser
Lovforlagets § 6, stk. 1 og § 10, stk. 1 fastsætter en pligt til hurtigst muligt at underrette Erhvervsstyrelsen om hændelser, der har betydning for de leverede tjenester (væsentlige tjenester eller digitale tjenester). Underretningen skal indeholde oplysninger, som gør det muligt for Erhvervsstyrelsen at klarlægge eventuelle grænseoverskridende konsekvenser af hændelsen. For væsentlige tjenester inden for bankvæsen og finansielle markedsinfrastrukturer kan Finanstilsynet fastsætte nærmere regler om hændelsesrapportering.
I nogle tilfælde vil de nødvendige oplysninger i forbindelse med underretningen om en hændelse indeholde personoplysninger. Det kunne være IP-adresser, men også oplysninger fra et IT-systems databaser, som er forsøgt hacket (exfiltreret) og måske optræder i logfiler. Ifølge lovforslagets bemærkninger skal enhver behandling af personoplysninger ske i overensstemmelse med databeskytteseslovgivningen (persondataloven frem til 25. maj 2018, og derefter databeskyttelsesforordningen).
I forbindelse med en hændelsesrapportering er tale om videregivelse af personoplysninger til en anden dataansvarlig. I første omgang til den kompetente myndighed (Erhvervsstyrelsen eller Finanstilsynet), men yderligere videregivelse til Center for Cybersikkerhed kan komme på tale, jf. nedenfor. Efter IT-Politisk Forenings opfattelse bør der derfor fastsættes lovregler (eventuelt i bekendtgørelsesform), som begrænser behandlingen og især videregivelsen af personoplysninger til det strengt nødvendige for at klarlægge omfanget af hændelsen og dens eventuelle grænseoverskridende konsekvenser. Der bør desuden være et eksplicit krav om at personoplysninger fra hændelsesrapportering skal slettes eller anonymiseres hurtigst muligt.
Efter lovforslaget skal der alene ske direkte underretning til den kompetente myndighed (Erhvervsstyrelsen eller Finanstilsynet). Når der ikke sker underretning af CSIRT'en i forbindelse med en hændelse, kræver NIS-direktivets artikel 10, stk. 2, at CSIRT'en skal have adgang til oplysninger om hændelser, der er underrettet af operatører af væsentlige tjenester eller udbydere af digitale tjenester. Eftersom rammerne af denne adgang bestemmes af CSIRT’en, er der tale om en pligt til videregivelse. Formuleringen i lovforslagets § 11 (”kan viderebringe”) giver det indtryk, at beslutning om videregivelse træffes af Erhvervsstyrelsen. Der er snarere tale om at CSIRT’en skal have terminaladgang til de oplysninger, som er modtaget af den kompetente myndighed via hændelsesrapportering.
Når CSIRT-funktionen placeres hos Center for Cybersikkerhed under Forsvarets Efterretningstjeneste (FE), giver den videregivelse af personoplysninger, som NIS-direktivets artikel 10, stk. 2 forudsætter, anledning til alvorlige principielle betænkeligheder i forhold til borgernes databeskyttelsesrettigheder. Ifølge den nuværende persondatalov, og det forslag til ny databeskyttelseslov som Justitsministeren har fremsat 25. oktober 2017 (L 68), er FE undtaget fra de EU-retlige regler om databeskyttelse. Undtagelsen er for FE som institution, og vil derfor også gælde, når FE udøver aktiviteter inden for EU-retten, eksempelvis cybersikkerhedsopgaver i forbindelse med NIS-direktivet.
Hvis den fuldstændige undtagelse fra databeskyttelsesforordningen opretholdes for Center for Cybersikkerhed (under FE), vil det efter IT-Politisk Forenings opfattelse ikke være muligt at gennemføre NIS-direktivet på en korrekt måde. Beskyttelsen af personoplysninger i den danske gennemførelse af direktivet vil ikke kunne leve op til kravet i NIS-direktivets artikel 2 (samt artikel 8 i Charter om Grundlæggende Rettigheder).
På Finanstilsynets tilsynsområde kan videregivelsen udover personoplysninger omfatte oplysninger, som er fortrolige i henhold til lov om finansielle virksomheder. Det anføres i de specielle bemærkninger til § 20, at disse oplysninger hos Center for Cybersikkerhed vil være omfattet af den samme skærpede tavshedspligt som hos Finanstilsynet, og at Center for Cybersikkerhed ikke må videregive disse oplysninger.
Efter IT-Politisk Forenings opfattelse er det meget uklart hvordan Erhvervsministeriet vil sikre, at disse krav bliver overholdt, specielt hvis ”videregivelse” også omfatter intern videregivelse i Forsvarets Efterretningstjeneste. Lov om Center for Cybersikkerhed regulerer eksempelvis ikke denne interne videregivelse hos FE. Forsvarsministeren har dog udstedt retningslinjer om den interne videregivelse fra Center for Cybersikkerhed til øvrige enheder i FE, men det er ikke en lovmæssig forpligtelse.