Høringssvar vedr. udkast til lovforslag om sikkerhed i net- og informationssystemer i transportsektoren
Regeringen har valgt at gennemføre NIS-direktivet med sektorspecifikke love, hvor en eksisterende institution under det pågældende ministerium får tilsynsopgaven som kompetent myndighed.
NIS-direktivets artikel 8, stk. 1 overlader det til medlemsstaterne at fastsætte, om der skal være en eller flere kompetente myndigheder. En kompetent myndighed for hvert ministeriums område er som sådan inden for rammerne af artikel 8, stk. 1. Hvis der kommer 4-5 kompetente myndigheder i Danmark (jf. sektoropdelingen i bilag II i NIS-direktivet), kan tilsynsressourcerne blive spredt mere end godt er, og synergieffekter mellem forskellige tilsynsområder kan blive vanskelige at udnytte.
Et væsentligt element i NIS-direktivet er at medlemsstaterne skal vedtage en samlet national strategi for sikkerheden i net- og informationssystemer, og der skal være en effektiv informationsudveksling på tværs af sektorer på nationalt plan samt mellem EU-landene på internationalt plan. De tværgående opgaver vil blive varetaget af de(n) danske CSIRT-enhed(er) og det centrale kontaktpunkt, jf. NIS-direktivet. Ansvaret for disse funktioner er ikke omtalt i lovforslagets bemærkninger, men ifølge de øvrige lovudkast om gennemførelse af NIS-direktivet (fra Sundheds- og Ældreministeriet, Erhvervsministeriet og Forsvarsministeriet) er det regeringens hensigt, at Center for Cybersikkerhed skal udføre opgaverne som CSIRT og centralt kontaktpunkt.
Center for Cybersikkerhed er en del af Forsvarets Efterretningstjeneste, som generelt opererer under andre rammebetingelser end civile myndigheder, for eksempel med betydelige undtagelser fra offentlighedsloven, forvaltningsloven og persondataloven. IT-Politisk Foreninger finder det meget betænkeligt, at Center for Cybersikkerhed via gennemførelsen af NIS-direktivet får en så betydelig rolle i forhold til cybersikkerheden i den offentlige og private sektor i Danmark. Af principielle årsager mener vi, at de(n) danske CSIRT(er) og det centrale kontaktpunkt bør være civile myndigheder.
Det gælder ikke mindst i de situationer, hvor det kan blive nødvendigt at behandle personoplysninger i forbindelse med underretning af den kompetente myndighed om hændelser, jf. NIS-direktivets artikel 14, stk. 3. Dette punkt uddybes nedenfor.
Behandling af personoplysninger i forbindelse med underretning om hændelser
Lovforlagets § 5, stk. 1, jf. NIS-direktivets artikel 14, stk. 3, fastsætter en pligt til hurtigst muligt at underrette den kompetente myndighed (Transport-, Bygnings- og Boligministeriet) og det Nationale Centrale Kontaktpunkt om hændelser, der har væsentlig betydning for kontinuiteten af de leverede tjenester. Efter regeringens overordnede plan for gennemførelse af NIS-direktivet vil det Nationale Centrale Kontaktpunkt være en institution under Forsvarets Efterretningstjeneste (Center for Cybersikkerhed).
NIS-direktivets artikel 14, stk. 3 kræver underretning af enten den kompetente myndighed eller en CSIRT enhed (der i den danske gennemførelse af NIS-direktivet vil være sammenfaldende med det Nationale Centrale Kontaktpunkt). Lovforslagets § 5, stk. 1 fastsætter således en underretningspligt over for to forskellige offentlige myndigheder, hvilket kan være mere administrativt byrdefyldt for de udpegede operatører af væsentlige transporttjenester.
I nogle tilfælde vil de nødvendige oplysninger i forbindelse med underretningen om en hændelse indeholde personoplysninger. Det kunne være IP-adresser, men også oplysninger fra et IT-systems databaser, som er forsøgt hacket (exfiltreret) og måske optræder i logfiler. Dette spørgsmål omtales ikke i lovforslagets bemærkninger. Efter IT-Politisk Forenings opfattelse bør der fastsættes lovregler (eventuelt i bekendtgørelsesform), som begrænser behandlingen af personoplysninger til det strengt nødvendige for at klarlægge omfanget af hændelsen og dens eventuelle grænseoverskridende konsekvenser. Der bør desuden være et eksplicit krav om at disse personoplysninger skal slettes eller anonymiseres hurtigst muligt.
NIS-direktivets artikel 2, stk. 1 kræver, at behandling af personoplysninger i henhold til direktivet sker i overensstemmelse med direktiv 95/46/EF, og fra 25. maj 2018 databeskyttelsesforordningen (EU) 2016/679. Ifølge den nuværende persondatalov, og det forslag til ny databeskyttelseslov som Justitsministeren har fremsat 25. oktober 2017 (L 68), er Forsvarets Efterretningstjeneste (FE) undtaget fra de EU-retlige regler om databeskyttelse. Undtagelsen er for FE som institution, og vil derfor også gælde, når FE udøver aktiviteter inden for EU-retten, eksempelvis cybersikkerhedsopgaver i forbindelse med NIS-direktivet.
Hvis den fuldstændige undtagelse fra databeskyttelsesforordningen opretholdes for Center for Cybersikkerhed (under FE), vil det efter IT-Politisk Forenings opfattelse ikke være muligt at gennemføre NIS-direktivet på en korrekt måde. Beskyttelsen af personoplysninger i den danske gennemførelse af direktivet vil ikke kunne leve op til kravet i NIS-direktivets artikel 2 (samt artikel 8 i Charter om Grundlæggende Rettigheder).