Høringssvar vedr. forslag til lov om krav til sikkerhed for net- og informationssystemer inden for sundhedssektoren
Regeringen har valgt at gennemføre NIS-direktivet med sektorspecifikke love, hvor en eksisterende institution under det pågældende ministerium får tilsynsopgaven som kompetent myndighed. For Sundheds- og Ældreministeriets område får Sundhedsdatastyrelsen denne opgave.
NIS-direktivets artikel 8, stk. 1 overlader det til medlemsstaterne at fastsætte, om der skal være en eller flere kompetente myndigheder. En kompetent myndighed for hvert ministeriums område er som sådan inden for rammerne af artikel 8, stk. 1. Hvis der kommer 4-5 kompetente myndigheder i Danmark (jf. sektoropdelingen i bilag II i NIS-direktivet), kan tilsynsressourcerne blive spredt mere end godt er, og synergieffekter mellem forskellige tilsynsområder kan blive vanskelige at udnytte.
Et væsentligt element i NIS-direktivet er at medlemsstaterne skal vedtage en samlet national strategi for sikkerheden i net- og informationssystemer, og der skal være en effektiv informationsudveksling på tværs af sektorer på nationalt plan samt mellem EU-landene på internationalt plan. De tværgående opgaver vil blive varetaget af de(n) danske CSIRT-enhed(er) og det centrale kontaktpunkt, jf. NIS-direktivet. De organisatoriske rammer for disse enheder er ikke omtalt i lovforslaget, men det fremgår af Forsvarsministeriets lovudkast vedrørende ”Lov om sikkerhed i net- og informationssystemer for operatører af væsentlige internetudvekslingspunkter m.v.” at Center for Cybersikkerhed skal have disse roller (som eneste danske CSIRT og det centrale kontaktpunkt).
Center for Cybersikkerhed er en del af Forsvarets Efterretningstjeneste, som generelt opererer under andre rammebetingelser end civile myndigheder, for eksempel med betydelige undtagelser fra offentlighedsloven, forvaltningsloven og persondataloven. IT-Politisk Foreninger finder det meget betænkeligt, at Center for Cybersikkerhed via gennemførelsen af NIS-direktivet får en så betydelig rolle i forhold til cybersikkerheden i den offentlige og private sektor. Af principielle årsager mener vi, at de(n) danske CSIRT(er) og det centrale kontaktpunkt bør være civile myndigheder.
Det gælder ikke mindst i de situationer, hvor det kan blive nødvendigt at behandle personoplysninger i forbindelse med underretning af den kompetente myndighed om hændelser, jf. NIS-direktivets artikel 14, stk. 3. Dette punkt uddybes nedenfor.
Bemærkninger til lovforslagets paragraffer
Lovforslaget følger strukturen og terminologien i NIS-direktivet i forhold til operatører af væsentlige tjenester. Visse bestemmelser skal dog fastsættes i bekendtgørelser, eksempelvis definitionen af ”væsentligt forstyrrende virkning”, der skal være inden for rammerne af NIS-direktivets artikel 6. De specielle bemærkninger til lovforslagets § 2 henviser til NIS-direktivet på dette punkt.
Af hensyn til retssikkerheden for offentlige og private enheder (herunder fysiske personer), som kan blive udpeget som operatør af væsentlige tjenester mod deres vilje med deraf følgende uønskede administrative byrder, vil IT-Politisk Forening anbefale, at kriterierne for ”væsentligt forstyrrende virkning” skrives direkte ind i lovforslaget, så vidt muligt med en stillingtagen til hvilke sektorspecifikke forhold der kan være relevante på Sundheds- og Ældreministeriets område, jf. NIS-direktivets artikel 6, stk. 2.
Ifølge § 8, stk. 2 i lovforslaget udestår stillingtagen til sanktionsspørgsmålet i forhold til offentlige myndigheder. IT-Politisk Forening skal hertil bemærke, at det efter NIS-direktivets artikel 21 er et krav, at sanktioner skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning. Der er ikke nogen mulighed for at gøre undtagelser i forhold til offentlige myndigheder på dette punkt.
Behandling af personoplysninger i forbindelse med underretning om hændelser
Lovforlagets § 4, stk. 1, jf. NIS-direktivets artikel 14, stk. 3, fastsætter en pligt til hurtigt at underrette Sundhedsdatastyrelsen (den kompetente myndighed) om hændelser, der har væsentlig betydning for kontinuiteten af de leverede tjenester. Underretningen skal indeholde oplysninger, som gør det muligt for Sundhedsdatastyrelsen at klarlægge eventuelle grænseoverskridende konsekvenser af hændelsen.
I nogle tilfælde vil de nødvendige oplysninger i forbindelse med underretningen om en hændelse indeholde personoplysninger. Det kunne være IP-adresser, men også oplysninger fra et IT-systems databaser, som er forsøgt hacket (exfiltreret) og måske optræder i logfiler. Dette spørgsmål omtales ikke i lovforslagets bemærkninger. Der er således ingen overvejelser om hjemmel i persondataloven til videregivelse af disse personoplysninger og hvordan eventuelle videregivne personoplysninger skal behandles af Sundhedsdatastyrelsen.
Efter IT-Politisk Forenings opfattelse bør der fastsættes lovregler (eventuelt i bekendtgørelsesform), som begrænser behandlingen af personoplysninger til det strengt nødvendige for at klarlægge omfanget af hændelsen og dens eventuelle grænseoverskridende konsekvenser. Der bør desuden være et eksplicit krav om at disse personoplysninger skal slettes eller anonymiseres hurtigst muligt.
Efter lovforslaget skal der alene ske underretning til den kompetente myndighed (Sundhedsdatastyrelsen). Når der ikke sker underretning af CSIRT'en i forbindelse med en hændelse, kræver NIS-direktivets artikel 10, stk. 2, at CSIRT'en skal have adgang til oplysninger om hændelser, der er underrettet af operatører af væsentlige tjenester. Denne adgang vil potentielt indebære en yderligere videregivelse af personoplysninger, i det tilfælde fra Sundhedsdatastyrelsen til Center for Cybersikkerhed.
NIS-direktivets artikel 2, stk. 1 kræver, at behandling af personoplysninger i henhold til direktivet sker i overensstemmelse med direktiv 95/46/EF, og fra 25. maj 2018 databeskyttelsesforordningen (EU) 2016/679. Ifølge den nuværende persondatalov, og det forslag til ny databeskyttelseslov som Justitsministeren har fremsat 25. oktober 2017 (L 68), er Forsvarets Efterretningstjeneste (FE) undtaget fra de EU-retlige regler om databeskyttelse. Undtagelsen er for FE som institution, og vil derfor også gælde, når FE udøver aktiviteter inden for EU-retten, eksempelvis cybersikkerhedsopgaver i forbindelse med NIS-direktivet.
Hvis den fuldstændige undtagelse fra databeskyttelsesforordningen opretholdes for Center for Cybersikkerhed (under FE), vil det efter IT-Politisk Forenings opfattelse ikke være muligt at gennemføre NIS-direktivet på en korrekt måde. Beskyttelsen af personoplysninger i den danske gennemførelse af direktivet vil ikke kunne leve op til kravet i NIS-direktivets artikel 2 (samt artikel 8 i Charter om Grundlæggende Rettigheder).