Bestemmelsens stk. 1 giver en beskrivelse af Center for Cybersikkerheds hovedopgave, som er at bidrage til et højt sikkerhedsniveau i informations- og kommunikationsteknologisk infrastruktur (ikt-infrastruktur) og dermed understøtte et højt informationssikkerhedsniveau i Danmark. En robust ikt-infrastruktur er vigtig for Danmarks sikkerhed og økonomi, og en lang række af de vigtigste samfundsfunktioner er afhængige af, at ikt-infrastrukturen er velfungerende.

Center for Cybersikkerhed er tillagt en række konkrete opgaver, som hver især bidrager til løsningen af centerets hovedopgave.

Center for Cybersikkerheds netsikkerhedstjeneste, jf. den foreslåede § 3, har til opgave at opdage, analysere og bidrage til at imødegå sikkerhedshændelser på såvel det civile som det militære område. Som national it-sikkerhedsmyndighed varetager centeret desuden en række opgaver af forebyggende og afhjælpende karakter, herunder rådgivning af statslige myndigheder om informationssikkerhed samt tekniske analyser og assistance til myndigheder ved cyberangreb.

På Forsvarsministeriets område leder og kontrollerer Center for Cybersikkerhed den militære it-sikkerhedstjeneste. Som led heri bidrager centeret til udvikling af Forsvarets ikt-systemer med sikkerhedsdesign, udgiver militære ikt-sikkerhedsbestemmelser, kvalitetssikrer informationssikkerheden og yder sikkerhedsteknisk støtte samt sikkerhedsgodkender ikt-systemer og -installationer, bl.a. på baggrund af TEMPEST-målinger (måling af uønsket elektromagnetisk udstråling). Herudover sikrer centeret bevismateriale i sager om brud på informationssikkerheden, udfører tekniske sikkerhedseftersyn og monitering af kontorer og mødelokaler, hvor der skal gennemføres klassificerede samtaler, med henblik på opdagelse og fjernelse af lytteudstyr m.v. Center for Cybersikkerhed løser endvidere de militære opgaver inden for informationssikkerhed, som Danmark gennem sit medlemskab af NATO er forpligtet til, herunder varetagelse af funktionerne som National Security Authority (NSA), National Accreditation Authority (NAA), National Communication Security Authority (NCSA) og National TEMPEST Authority.

Hertil kommer, at Center for Cybersikkerhed har myndighedsansvaret for informationssikkerhed og beredskab i relation til samfundets teleforsyning, herunder ved krisestyring med henblik på i videst muligt omfang at tilgodese samfundsvigtige myndigheders og virksomheders adgang til telefoni og internetkommunikation ved større kriser.

Den hastige udvikling på informationssikkerhedsområdet medfører, at Center for Cybersikkerheds opgaver udvikler sig dynamisk. Det er således forudsat, at der løbende vil ske en udvikling af de konkrete opgaver, som centeret løser med henblik på at understøtte et højt informationssikkerhedsniveau i samfundet.

Bestemmelsens stk. 2 fastslår Center for Cybersikkerheds organisatoriske tilhørsforhold. Regeringen besluttede i 2011, at myndighedernes indsats på it-sikkerhedsområdet skulle samles i et it-sikkerhedscenter under Forsvarsministeriet. Dette førte til oprettelsen af Center for Cybersikkerhed som en del af Forsvarets Efterretningstjeneste.

Forsvarets Efterretningstjenestes opgaver er reguleret ved lov nr. 602 af 12. juni 2013 om Forsvarets Efterretningstjeneste (FE-loven), der trådte i kraft den 1. januar 2014. Det fremgår af FE-lovens § 1, stk. 3, 2. pkt, at Forsvarets Efterretningstjenestes opgaver som national it-sikkerhedsmyndighed, militær varslingstjeneste for internettrusler m.v. (MILCERT) og statslig varslingstjeneste for internettrusler (GovCERT) ikke reguleres af FE-lovens materielle bestemmelser, men vil blive reguleret særskilt.

Der henvises i øvrigt til afsnit 2.1 og 2.2 i de almindelige bemærkninger.

Den foreslåede § 2 definerer fem centrale begreber i loven, hvoraf begreberne sikkerhedshændelse, pakkedata og trafikdata med enkelte sproglige tilpasninger og præciseringer videreføres fra GovCERT-lovens § 3, mens begreberne personoplysninger og behandling defineres i overensstemmelse med persondatalovens § 3, nr. 1 og 2.

Nr. 1 viderefører definitionen af sikkerhedshændelse fra GovCERT-lovens § 3, nr. 3, med en sproglig præcisering af, at sikkerhedshændelser er hændelser med en negativ påvirkning af tilgængelighed, integritet eller fortrolighed af data, informationssystemer, digitale netværk eller digitale tjenester. Det præciseres endvidere, at begrebet sikkerhedshændelse omfatter hændelser, der vurderes at ville kunne have den beskrevne påvirkning.

Definitionen indebærer, at enhver unormal situation, der potentielt kan kompromittere informationssystemer, digitale netværk, digitale tjenester eller andre elektroniske systemer eller data, der lagres, processeres eller transmitteres af disse systemer, vil være at betragte som en sikkerhedshændelse. Desuden præciseres det, at begrebet omfatter data, informationssystemer, digitale netværk og digitale tjenester, således at det udtrykkeligt fremgår, at også hændelser, som rammer lukkede netværk (netværk, der ikke er forbundet til internettet), kan have karakter af sikkerhedshændelser.

Et eksempel på en sikkerhedshændelse, der negativt påvirker tilgængeligheden af en digital tjeneste, er et overbelastningsangreb (denial-of-service angreb), hvor f.eks. en hjemmeside rammes af et stort antal forespørgsler, så brugere ikke kan få adgang til hjemmesiden. En sikkerhedshændelse, der negativt påvirker integriteten af såvel data som et informationssystem, kan eksempelvis være indtrængen i en database, hvor oplysninger ændres uden databaseejerens vidende. En sikkerhedshændelse, der negativt påvirker fortroligheden af et informationssystem, kan være en såkaldt »trojansk hest«, hvor der installeres et program på en myndigheds informationssystem, som muliggør uautoriseret kopiering af data fra myndigheden.

Definitionen af begrebet sikkerhedshændelse omfatter alene sikkerhedshændelser på it-området og vil således f.eks. ikke omfatte andre strafbare handlinger, der ikke er knyttet til it-området (eksempelvis hærværk, tyveri eller terror).

Med definitionen af begrebet pakkedata i nr. 2 videreføres GovCERT-lovens § 3, nr. 1, dog med en sproglig præcisering af, at pakkedata er indholdet af kommunikation, der transmitteres gennem digitale netværk eller tjenester – og ikke kun internetbaseret kommunikation. Som hidtil vil det semantiske indhold af kommunikation, der transmitteres gennem digitale netværk eller tjenester, være omfattet af begrebet pakkedata. Det kan f.eks. være indholdet af en e-mailkorrespondance eller indholdet af tilgåede hjemmesider. Derudover er det tekniske indhold af kommunikationen, f.eks. HTML- eller XML-koder, omfattet af begrebet pakkedata.

Bestanddelene af en internetkommunikation betegnes teknisk som »pakker«. Denne tekniske betegnelse er ikke identisk med betegnelsen pakkedata efter den foreslåede § 2, nr. 2. En »pakke« i teknisk forstand vil således bestå af såvel pakke- som trafikdata i lovforslagets forstand.

Det foreslåede nr. 3 definerer begrebet trafikdata. Der er tale om en videreførelse af GovCERT-lovens § 3, nr. 2, med enkelte præciseringer. Ved trafikdata forstås data, som behandles med henblik på overførsel af pakkedata. Det vil sige data, som beskriver oprindelse, destination og rutestyringsinformation, herunder oprindelsesdomænet eller den oprindelige elektroniske adresse samt anden tilsvarende information. Trafikdata kan eksempelvis være header-informationen i digitale kommunikationsprotokoller, men vil også omfatte protokoller, der udelukkende anvendes til rute- og kommunikationsstyring, f.eks. DNS og SIP. Konkrete eksempler på trafikdata er oplysninger om IP-adresser, e-mailadresser, hjemmesideadresser, browserversioner, kommunikationens varighed og tidspunktet for kommunikationen.

Definitionen af begrebet personoplysninger i nr. 4 er identisk med den tilsvarende definition i persondatalovens § 3, nr. 1, og skal fortolkes i overensstemmelse med denne bestemmelses forarbejder og relevante praksis.

Definitionen af begrebet behandling i nr. 5 er identisk med den tilsvarende definition i persondatalovens § 3, nr. 2, og skal fortolkes i overensstemmelse med denne bestemmelses forarbejder og relevante praksis.

Den foreslåede § 3 fastsætter de overordnede rammer for Center for Cybersikkerheds netsikkerhedstjeneste. Der er for så vidt angår netsikkerhedstjenestens aktiviteter på det civile område tale om en delvis videreførelse af GovCERT-lovens § 2, mens netsikkerhedstjenestens aktiviteter på Forsvarsministeriets område (MILCERT) ikke tidligere har været reguleret ved lov.

Det foreslås med stk. 1, at betegnelsen »netsikkerhedstjeneste« erstatter GovCERT-lovens »varslingstjeneste«. Netsikkerhedstjeneste vil være den fremtidige betegnelse for Center for Cybersikkerheds samlede aktiviteter i forbindelse med at opdage, analysere og bidrage til at imødegå sikkerhedshændelser. Netsikkerhedstjenesten vil således omfatte alle de kapaciteter ved Center for Cybersikkerhed, der på forskellig vis bidrager til monitoreringens gennemførelse, herunder CERT-aktiviteterne på det civile område (GovCERT) og det militære område (MILCERT), sikkerhedstekniske aktiviteter (f.eks. analyse af malware samt forensic-undersøgelser i forbindelse med sikring af bevismateriale i sager om informationssikkerhed på Forsvarsministeriets område) samt støttefunktioner.

Netsikkerhedstjenestens opgave er som nævnt at opdage, analysere og bidrage til at imødegå sikkerhedshændelser. Der er ikke med denne formulering tilsigtet en ændring i forhold til de opgaver, som GovCERT hidtil har løst med hjemmel i GovCERT-loven, men opgaverne vil blive udført på både det civile og det militære område. Myndigheder og institutioner på Forsvarsministeriets myndighedsområde har ikke været omfattet af GovCERT-loven, da MILCERT har varetaget funktionen for de militære myndigheder.

I de tilfælde, hvor politiet efter retsplejelovens § 742 beslutter at iværksætte en efterforskning af mulige strafbare forhold i forbindelse med en sikkerhedshændelse, vil der være en dialog mellem Center for Cybersikkerhed og politiet om politiets eventuelle ønsker til, at Center for Cybersikkerhed tager særlige hensyn for at sikre, at der f.eks. ikke sker en forringelse af spor i sagen. Der kan dog opstå situationer, hvor centeret uanset en igangværende efterforskning må tage nødvendige skridt til at afværge overhængende risiko for skade på nationale cybersikkerhedsinteresser.

Ved tilslutning til netsikkerhedstjenesten vil der som hidtil blive indgået en tilslutningsaftale, der nærmere regulerer specifikke forhold i relationen mellem netsikkerhedstjenesten og den enkelte tilsluttede myndighed eller virksomhed. Tilslutningen anses for at være sket, når denne aftale er indgået. På Forsvarsministeriets område er det den militære it-sikkerhedsmyndighed, som pålægger myndigheder at blive tilsluttet netsikkerhedstjenesten, og på dette område indgås ikke tilslutningsaftaler.

En myndighed eller virksomhed, der tilsluttes netsikkerhedstjenesten, vil modtage en sikkerhedsydelse, der er tilpasset den enkelte myndigheds eller virksomheds behov. Der vil eksempelvis kunne ske en monitorering af myndighedens eller virksomhedens forbindelse til internettet, således at netsikkerhedstjenesten ved hjælp af f.eks. en lokalt placeret alarmenhed kan opdage og analysere sikkerhedshændelser. På den baggrund – og på baggrund af tilsvarende analyser hos de øvrige tilsluttede myndigheder og virksomheder – kan netsikkerhedstjenesten dels alarmere myndigheden eller virksomheden, når der konstateres konkrete sikkerhedshændelser, dels udsende mere generelle varslinger. Desuden vil tilsluttede myndigheder og virksomheder kunne modtage varslinger på baggrund af oplysninger, som Center for Cybersikkerhed modtager fra Forsvarets Efterretningstjenestes udenrigsefterretningstjeneste, andre netsikkerhedstjenester samt andre udenlandske samarbejdspartnere.

Netsikkerhedstjenesten vil desuden yde rådgivning om informationssikkerhed til de tilsluttede myndigheder og kunne yde bistand, hvis en myndighed eller virksomhed rammes af en alvorlig sikkerhedshændelse.

Stk. 2 beskriver de statslige aktører m.v., som efter anmodning kan tilsluttes netsikkerhedstjenesten. Der er tale om en videreførelse af gældende ret efter GovCERT-loven, hvorefter netsikkerhedstjenestens ydelser som udgangspunkt stilles til rådighed for statens institutioner. Som hidtil vil alle de øverste statsorganer – det vil sige Folketinget med tilhørende institutioner, regenten og domstolene – kunne tilsluttes netsikkerhedstjenesten.

Den foreslåede stk. 3 er en delvis videreførelse af GovCERT-lovens § 2, stk. 1. Regioner og kommuner og visse virksomheder kan således fortsat efter anmodning blive tilsluttet netsikkerhedstjenesten. Kredsen af virksomheder, der kan tilsluttes, udvides imidlertid fra virksomheder, der er beskæftiget med kritisk infrastruktur, til virksomheder, der er beskæftiget med samfundsvigtige funktioner.

Ved samfundsvigtige funktioner forstås i denne sammenhæng funktioner, som er særligt vigtige for samfundets og demokratiets opretholdelse og sikkerhed samt borgernes tryghed, herunder funktioner inden for sundhed, energi, transport, forsyning, finans, forskning, medier og kommunikation samt funktioner, som har stor økonomisk betydning for samfundet. Som eksempler på nye typer af virksomheder, der vil få mulighed for at blive tilsluttet netsikkerhedstjenesten, kan nævnes medicinalvirksomheder, fødevarevirksomheder, virksomheder, der leverer vigtige komponenter til Forsvaret, og virksomheder, der varetager driften af administrative it-systemer for det offentlige. Bestemmelsen er ikke begrænset til virksomheder, men omfatter alle juridiske personer, der er beskæftiget med samfundsvigtige funktioner.

Internetudbyderne og andre serviceudbydere, der beskæftiger sig med samfundsvigtige funktioner, vil også kunne tilsluttes netsikkerhedstjenesten. Tilslutningen vil for sådanne udbydere dog alene omfatte udbyderens egen internetadgang og ikke trafik, der udveksles fra kunde til kunde som led i den udbudte service (medmindre der er indgået en tilslutningsaftale med den enkelte kunde). At en internetudbyder tilsluttes netsikkerhedstjenesten, indebærer således ikke, at netsikkerhedstjenesten f.eks. får adgang til udbyderens ADSL-kunders internetkommunikation.

Da netsikkerhedstjenestens kapacitet er begrænset, foreslås det, at Center for Cybersikkerhed får hjemmel til at foretage en konkret vurdering af, om en anmodning fra en region, kommune eller virksomhed, der ønsker at blive tilsluttet netsikkerhedstjenesten, kan imødekommes.

Centerets afgørelse vil blive truffet ud fra en overordnet vurdering af, om den pågældende myndigheds eller virksomheds tilslutning vil kunne bidrage til at understøtte et højt informationssikkerhedsniveau i samfundet. Ved denne vurdering vil der som i dag blive lagt vægt på netsikkerhedstjenestens aktuelle kapacitet, men der vil endvidere blive lagt vægt på, om den pågældende myndighed eller virksomhed har en it-infrastruktur, der kan udnytte fordelene ved den monitoreringsydelse, som leveres. Det forudsætter, at it-infrastrukturen er hensigtsmæssigt indrettet, at den pågældende myndighed eller virksomhed har et tilfredsstillende informationssikkerhedsniveau, og at it-driftsorganisationen har et beredskab, der kan håndtere alarmer fra netsikkerhedstjenesten. Der vil endvidere blive lagt vægt på, at netsikkerhedstjenesten samlet set opnår en samfundsmæssigt repræsentativ dækning, således at netsikkerhedstjenesten dækker så mange forskellige sektorer, brancher, virksomhedstyper og it-teknologier som muligt, hvorved netsikkerhedstjenesten får optimale muligheder for at forebygge cyberangreb. Centerets afgørelse vil kunne påklages til Forsvarsministeriet.

Center for Cybersikkerhed vil regelmæssigt offentliggøre, hvilke myndigheder og virksomheder der er tilsluttet netsikkerhedstjenesten efter stk. 2 og 3.

Det foreslås med stk. 4, at den hidtidige ordning fra GovCERT-lovens § 2, stk. 2, videreføres, således at Center for Cybersikkerhed ved bekendtgørelse kan fastsætte nærmere regler for regioners, kommuners og virksomheders tilslutning til netsikkerhedstjenesten, herunder regler om betaling af gebyr.

Med hjemmel i GovCERT-lovens § 2, stk. 2, er bekendtgørelse nr. 1304 af 17. december 2012 om vilkår for tilslutning til den statslige varslingstjeneste for internettrusler udstedt. Bekendtgørelsen regulerer bl.a. ejerskab og håndtering af monitoreringsudstyr samt ansvar for sikkerhedsforanstaltninger. Desuden følger det af bekendtgørelsen, at tilsluttede myndigheder og virksomheder betaler et årligt beløb til dækning af driftsudgifter og herudover betaler de udgifter, der er forbundet med GovCERT’s indkøb og/eller udvikling af alarmenhed og service af denne.

Det forudsættes, at regioner, kommuner og virksomheder, der ønsker at blive tilsluttet netsikkerhedstjenesten, som hidtil dækker de udgifter, der er forbundet med indkøb og/eller udvikling af evt. monitoreringsudstyr, samt Center for Cybersikkerheds udgifter til monitoreringen. De første to måneders tilslutning betragtes dog som en indkøringsperiode, hvor der ikke sker opkrævning.

De myndigheder, der tilsluttes efter stk. 2, modtager som hidtil netsikkerhedstjenestens ydelser vederlagsfrit. Ønsker en myndighed særlige ydelser, f.eks. monitorering af flere forskellige forbindelser til internettet, vil myndigheden blive opkrævet betaling, som dækker udgifterne til indkøb og/eller udvikling af evt. monitoreringsudstyr og udgifter til driften heraf.

Den foreslåede § 4 giver Center for Cybersikkerheds netsikkerhedstjeneste hjemmel til at foretage indgreb i meddelelseshemmeligheden i forbindelse med behandling af pakke- og trafikdata hidrørende fra netværk hos tilsluttede myndigheder og virksomheder.

Netsikkerhedstjenesten har til opgave at opdage, analysere og bidrage til at imødegå sikkerhedshændelser hos tilsluttede myndigheder og virksomheder, jf. den foreslåede § 3. Netsikkerhedstjenesten varetager opgaver i forhold til tilsluttede myndigheder og virksomheder på det civile område (§ 4), myndigheder og institutioner på Forsvarsministeriets myndighedsområde (§ 5), midlertidigt tilsluttede myndigheder og virksomheder (§ 6) og ved undersøgelse af informationssystemer (§ 7).

Bestemmelsen er en indholdsmæssigt uændret videreførelse af GovCERT-lovens § 4, stk. 1, der giver GovCERT hjemmel til uden retskendelse at behandle, herunder indsamle, registrere, analysere og opbevare, tilsluttede myndigheders og private virksomheders ind- og udgående pakke- og trafikdata. Der er med den ændrede formulering af bestemmelsen – som alene angiver samlebetegnelsen »behandler« og undlader eksemplificering heraf – ikke tilsigtet en ændring af anvendelsesområdet.

Det fremgår af bemærkningerne til GovCERT-lovens § 4 (L 197, 1. samling 2010-11), at GovCERT som udgangspunkt ikke vil afkryptere en krypteret e-mail eller andet indhold af en internetkommunikation. Dette har imidlertid i praksis vist sig at indebære en væsentlig og meget uhensigtsmæssig begrænsning for GovCERT’s opgaveløsning. Konsekvensen er, at GovCERT ikke kan tilgå en krypteret e-mail, uanset at denne indeholder skadelige filer, f.eks. virus, ligesom GovCERT’s muligheder for at opdage og imødegå angreb mod hjemmesider, der af sikkerhedsmæssige årsager anvender krypterede forbindelser, begrænses markant. Avancerede cyberangreb er ofte karakteriseret ved, at angrebene gennemføres ved brug af krypteret ondsindet software, eller at data krypteres, inden de stjæles fra et it-system. Af tekniske årsager er krypteringen typisk svag og dermed mulig at bryde. For at Center for Cybersikkerhed kan løse sin opgave effektivt ved avancerede cyberangreb, er det derfor nødvendigt, at centeret ikke udelukkes fra at bryde simple krypteringer i forbindelse med sikkerhedshændelser. Begrænsningen for så vidt angår afkryptering foreslås på den baggrund ikke videreført. Dette indebærer imidlertid ikke, at Center for Cybersikkerhed vil kunne forlange krypteringsnøgler udleveret fra myndigheder, virksomheder eller borgere.

Den foreslåede § 5 giver Center for Cybersikkerheds netsikkerhedstjeneste hjemmel til at foretage indgreb i meddelelseshemmeligheden i forbindelse med behandling af pakke- og trafikdata hidrørende fra netværk hos myndigheder på Forsvarsministeriets område.

Den it-sikkerhedsmæssige monitorering af netværkskommunikation hos myndigheder og institutioner på Forsvarsministeriets myndighedsområde er hidtil blevet varetaget af MILCERT, der ikke har været reguleret ved lov. Med § 5 foreslås den hjemmel, der siden 2011 har været gældende for GovCERT’s monitoreringsaktiviteter på det civile område, udvidet til også at gælde for det militære område. Monitoreringen vil fremover ske i regi af Center for Cybersikkerheds netsikkerhedstjeneste, der vil omfatte både GovCERT’s og MILCERT’s nuværende aktiviteter.

Den foreslåede § 5, der giver hjemmel til indgreb i meddelelseshemmeligheden i forhold til myndigheder på Forsvarsministeriets område, er indholdsmæssigt identisk med den foreslåede § 4, der giver hjemmel til indgreb i meddelelseshemmeligheden i forhold til tilsluttede myndigheder og virksomheder på det civile område.

Reguleringen af netsikkerhedstjenestens adgang til at foretage indgreb i meddelelseshemmeligheden på henholdsvis det civile og det militære område er opdelt i to bestemmelser, da der på enkelte områder foreslås at gælde særlige regler for det militære område. Det sker for at sikre, at der ikke med den foreslåede ordning sker en indskrænkning i forhold til de muligheder for monitorering, som MILCERT hidtil har haft. På Forsvarsministeriets område, hvor der i betydeligt omfang håndteres klassificerede oplysninger, vil der således fortsat være behov for en videre adgang til at analysere monitorerede data og til at videregive data til relevante samarbejdspartnere.

Der henvises til afsnit 3.2 i de almindelige bemærkninger.

Den foreslåede § 6 giver Center for Cybersikkerheds netsikkerhedstjeneste hjemmel til at foretage indgreb i meddelelseshemmeligheden i forbindelse med behandling af pakke- og trafikdata hidrørende fra netværk hos en myndighed eller virksomhed, der ikke fast er tilsluttet netsikkerhedstjenesten efter den foreslåede § 3, men som tilsluttes i en tidsbegrænset periode. Den midlertidige tilslutning af en myndighed eller virksomhed vil altid være frivillig og baseret på et skriftligt samtykke til behandlingen fra den pågældende myndighed eller virksomhed.

Den foreslåede ordning er baseret på GovCERT-lovens § 4, stk. 1, der giver GovCERT hjemmel til uden retskendelse at indsamle, registrere, analysere og opbevare tilsluttede myndigheders og private virksomheders ind- og udgående pakke- og trafikdata. Med § 6 sikres det, at en myndighed eller virksomhed, som ikke er beskæftiget med samfundsvigtige funktioner efter § 3, stk. 3, kan tilsluttes i en kortere periode, såfremt der er begrundet mistanke om, at den udsættes for et alvorligt cyberangreb eller er angrebet på en måde, som kan påvirke samfundsvigtige funktioner negativt.

En midlertidig tilslutning kan ske i forhold til myndigheder og virksomheder, som ikke normalt er udsat for et sådant trusselsbillede, at en fast tilslutning til netsikkerhedstjenesten er hensigtsmæssig, men som på grund af aktuelle begivenheder i en kortere periode er udsat for et så konkret trusselsbillede, at der er behov for den ekstra sikkerhed, som en tilslutning indebærer. Det kan f.eks. være tilfældet, hvis en myndighed træffer afgørelse i en enkeltstående sag, der giver international opmærksomhed, eller hvis en virksomhed står over for at skulle byde på en højteknologisk opgave, og der på den baggrund opstår en begrundet mistanke om, at de vil blive udsat for et cyberangreb. En midlertidig tilslutning kan også ske, hvis virksomheder, der ikke er beskæftiget med samfundsvigtige funktioner, rammes af særligt alvorlige cyberangreb. Der vil f.eks. kunne være tale om, at en virksomheds it-system uden virksomhedens vidende indgår i et skadeligt netværk beregnet til cyberangreb, hvorfra der rettes angreb mod offentlige myndigheder, eller hvortil hackere henter følsomme oplysninger fra myndigheder eller virksomheder.

Det foreslås, at en midlertidig tilslutning til netsikkerhedstjenesten forudsætter, at der er begrundet mistanke om en sikkerhedshændelse. Der vil således skulle foreligge konkrete indikationer, der peger i retning af, at en sikkerhedshændelse har fundet eller vil finde sted. En begrundet mistanke vil efter omstændighederne f.eks. kunne foreligge, hvis en myndighed eller virksomhed udsættes for trusler af mere generel karakter fra aktører eller grupper af aktører, der vil kunne tænkes at benytte sig af cyberangreb, eller hvis en virksomhed befinder sig i en situation – f.eks. ved offentliggørelse af en ny opfindelse – hvor der har været eksempler på, at der i tilsvarende situationer er sket cyberangreb.

Efter bestemmelsens nr. 1 skal myndigheden eller virksomheden anmode om at blive midlertidigt tilsluttet netsikkerhedstjenesten, og der skal foreligge et skriftligt samtykke fra myndigheden eller virksomheden til behandlingen af pakke- og trafikdata. Uanset at der er tale om en midlertidig tilslutning til netsikkerhedstjenesten, vil der således skulle indgås en tilslutningsaftale, og denne aftale skal foreligge skriftligt, inden netsikkerhedstjenesten kan behandle pakke- og trafikdata.

Efter det foreslåede nr. 2 er det et krav, at Center for Cybersikkerheds netsikkerhedstjeneste forud for en midlertidig tilslutning konkret skal have vurderet, at adgangen til i en kortere periode at behandle pakke- og trafikdata hidrørende fra netværk hos den pågældende myndighed eller virksomhed vil styrke centerets muligheder for at sikre den ikt-infrastruktur, som samfundsvigtige funktioner er afhængige af. Ved midlertidig tilslutning af virksomheder er det således – i modsætning til ved fast tilslutning efter den foreslåede § 3, stk. 3 – ikke et krav, at den pågældende virksomhed selv beskæftiger sig med samfundsvigtige funktioner. Der vil dermed f.eks. kunne ske midlertidig tilslutning af en virksomhed, hvor en eller flere servere er blevet inficeret med malware og er blevet del af et netværk af inficerede maskiner (et såkaldt botnet), hvorfra der rettes angreb mod offentlige myndigheder, uanset virksomhedens størrelse eller branche.

Endelig er det efter den foreslåede nr. 3 som nævnt et krav, at der er tale om en midlertidig tilslutning til Center for Cybersikkerheds netsikkerhedstjeneste. Den midlertidige periode kan højst udgøre to måneder regnet fra det tidspunkt, hvor der er indgået en tilslutningsaftale. Hvis formålet med monitoreringen er opfyldt, inden der er forløbet to måneder, eller hvis en eller flere af betingelserne i nr. 1 og 2 ikke længere er opfyldt, vil monitoreringen straks blive indstillet.

Såfremt der under den midlertidige tilslutning konstateres en konkret sikkerhedshændelse via monitoreringen, forudsættes det, at monitoreringen kan fortsætte, indtil den konkrete sikkerhedshændelse er håndteret, hvorefter den midlertidige tilslutning straks afsluttes.

Såfremt der efter den midlertidige tilslutnings afslutning på ny opstår en begrundet mistanke om en sikkerhedshændelse, vil der kunne indgås en ny, midlertidig tilslutningsaftale.

Der henvises i øvrigt til afsnit 3.1 og 3.2 i de almindelige bemærkninger.

Den foreslåede § 7 giver Center for Cybersikkerheds netsikkerhedstjeneste hjemmel til at foretage indgreb i meddelelseshemmeligheden i forbindelse med behandling af data, som er indeholdt i eller hidrører fra et informationssystem, der anvendes af en myndighed eller virksomhed. Den foreslåede ordning vil være frivillig og baseret på et skriftligt samtykke fra den pågældende myndighed eller virksomhed.

Den foreslåede ordning er baseret på GovCERT-lovens § 4, stk. 1, der giver GovCERT hjemmel til uden retskendelse at indsamle, registrere, analysere og opbevare tilsluttede myndigheders og private virksomheders ind- og udgående pakke- og trafikdata. Med § 7 foreslås denne hjemmel imidlertid udvidet til også at gælde for behandling af data, som er indeholdt i eller hidrører fra et informationssystem, hvor der er en begrundet mistanke om en sikkerhedshændelse. Bestemmelsen vil således eksempelvis give Center for Cybersikkerhed mulighed for at klarlægge et cyberangrebs årsag, omfang og konsekvenser gennem undersøgelser af det ramte informationssystem.

Begrebet informationssystem skal forstås i overensstemmelse med definitionen i Rådets rammeafgørelse 2005/222/RIA af 24. februar 2005 om angreb på informationssystemer. Efter denne definition, der endvidere er anvendt i lov nr. 352 af 19. maj 2004 om ændring af bl.a. straffeloven, forstås ved et informationssystem »enhver enhed eller gruppe af indbyrdes forbundne eller beslægtede enheder, hvoraf en eller flere ved hjælp af et program udfører automatisk behandling af edb-data samt edb-data, som lagres, behandles, fremfindes eller overføres i forbindelse med systemernes drift, brug, beskyttelse og vedligeholdelse«.

Ved edb-data forstås tilsvarende her »enhver form for gengivelse af fakta, informationer eller begreber i et format, der egner sig til behandling i et informationssystem, herunder et program, som kan anvendes til at få et informationssystem til at udføre en funktion«.

Anvendelse af bestemmelsen forudsætter, at der er begrundet mistanke om en sikkerhedshændelse. Der vil således skulle foreligge konkrete indikationer, der peger i retning af, at en sikkerhedshændelse har fundet eller vil finde sted.

Det er efter nr. 1 et krav, at informationssystemet eller dataene herfra skal stilles til rådighed for Center for Cybersikkerheds netsikkerhedstjeneste. Myndigheden eller virksomheden skal således have anmodet netsikkerhedstjenesten om bistand, og der skal i den forbindelse foreligge et samtykke til, at Center for Cybersikkerhed behandler disse data. Samtykket skal foreligge skriftligt, inden netsikkerhedstjenesten kan behandle data.

Efter nr. 2 er det et krav, at netsikkerhedstjenesten forud for behandlingen af data konkret skal have vurderet, at behandlingen vil styrke centerets muligheder for at sikre ikt-infrastruktur, som samfundsvigtige funktioner er afhængige af. I forhold til virksomheder er det således ikke et krav, at en virksomhed selv beskæftiger sig med samfundsvigtige funktioner.

Hvis Center for Cybersikkerhed behandler data fra et informationssystem, hvor der ikke ved behandlingen sker indgreb i meddelelseshemmeligheden, vil en sådan behandling ikke være omfattet af den foreslåede § 7, men alene af de generelle bestemmelser om behandling af personoplysninger i det foreslåede kapitel 6. Det vil f.eks. kunne være tilfældet, hvis Center for Cybersikkerhed får stillet en server, der ikke indeholder e-mail-korrespondance, til rådighed med henblik på at undersøge et cyberangreb.

Der henvises i øvrigt til afsnit 3.1 og 3.2 i de almindelige bemærkninger.

Den foreslåede § 8 vedrører Center for Cybersikkerheds forhold til offentlighedsloven, forvaltningsloven og persondataloven. Den behandling af personoplysninger, som finder sted i Center for Cybersikkerhed, er i dag reguleret i Forsvarsministeriets retningslinjer af 13. maj 2013 for behandling af personoplysninger m.v. i Center for Cybersikkerhed ved Forsvarets Efterretningstjeneste.

Det foreslås med stk. 1, at Center for Cybersikkerhed – som det er tilfældet for den øvrige del af Forsvarets Efterretningstjeneste – undtages fra offentlighedsloven, dog ikke lovens § 13 om notatpligt, samt undtages fra forvaltningslovens kapitel 4-6.

Det forudsættes imidlertid, at Center for Cybersikkerhed i videst muligt omfang efterlever principperne i offentlighedsloven og forvaltningslovens kapitel 4-6. Det forudsættes således, at centeret – uanset at dets virksomhed er undtaget fra forvaltningslovens bestemmelser på området – i relevant omfang vurderer, om det i afgørelsessager konkret er muligt at anvende forvaltningslovens principper om partens aktindsigt, partshøring og begrundelse m.v. Tilsvarende forudsættes det, at anmodninger om aktindsigt i videst muligt omfang behandles efter principperne i offentlighedsloven, jf. afsnit 3.3.3 i de almindelige bemærkninger.

Det følger af § 2, stk. 11, i lov nr. 429 af 31. maj 2000 om behandling af personoplysninger (persondataloven), at loven ikke gælder for behandlinger, der udføres for politiets og forsvarets efterretningstjenester. Center for Cybersikkerhed er en del af Forsvarets Efterretningstjeneste, og persondataloven finder dermed ikke anvendelse på centerets virksomhed.

I forhold til Center for Cybersikkerheds behandling af anmodninger om tilslutning til netsikkerhedstjenesten, jf. det foreslåede § 3, stk. 3, centerets virksomhed som myndighed for informationssikkerhed og beredskab på teleområdet i henhold til lov om elektroniske kommunikationsnet og -tjenester, og centerets personalesager foreslås det med stk. 2, at forsvarsministeren bemyndiges til at bestemme, at offentlighedsloven, forvaltningslovens kapitel 4-6 og persondatalovens kapitel 8-10 helt eller delvis finder anvendelse for disse områder.

Det foreslåede stk. 3 fastsætter de overordnede rammer for reguleringen af Center for Cybersikkerheds behandling af personoplysninger. Lov om Center for Cybersikkerhed vil erstatte bestemmelserne om behandlingsgrundlag og behandlingssikkerhed ved behandling af personoplysninger i Forsvarsministeriets retningslinjer af 13. maj 2013, og det foreslåede kapitel 6 regulerer centerets behandling af personoplysninger. Der er – som med retningslinjerne – tale om, at en række af persondatalovens centrale principper vil finde anvendelse på Center for Cybersikkerhed. Det understreges således, at kapitel 6 finder anvendelse på alle former for behandling af personoplysninger i centeret – såvel i netsikkerhedstjenesten som i forbindelse med øvrige myndighedsopgaver.

De generelle bestemmelser i kapitel 6 suppleres imidlertid af kapitel 7, som kun finder anvendelse på netsikkerhedstjenestens behandling af data, herunder personoplysninger, efter kapitel 4 (indgreb i meddelelseshemmeligheden). Baggrunden for de særlige regler, som gælder for data, der indsamles ved monitorering af netværkskommunikation eller i øvrigt tilvejebringes ved indgreb i meddelelseshemmeligheden, er, at behandlingen af disse oplysninger søges begrænset i størst muligt omfang, bl.a. af hensyn til privatlivets fred.

Der henvises i øvrigt til afsnit 3.3 i de almindelige bemærkninger.

Den foreslåede § 9 viderefører med enkelte sproglige tilpasninger den gældende § 10, stk. 2 og 3, i Forsvarsministeriets retningslinjer af 13. maj 2013 for behandling af personoplysninger m.v. i Center for Cybersikkerhed ved Forsvarets Efterretningstjeneste.

Den foreslåede stk. 1, hvorefter Center for Cybersikkerhed bl.a. skal sikre, at behandling af personoplysninger ikke sker i videre omfang, end formålet tilsiger, er identisk med persondatalovens § 5, stk. 2, og skal fortolkes i overensstemmelse med denne bestemmelses forarbejder og relevante praksis.

Den foreslåede stk. 2, som fastsætter principper om relevans og proportionalitet, er identisk med persondatalovens § 5, stk. 3, og skal fortolkes i overensstemmelse med denne bestemmelses forarbejder og relevante praksis.

Den foreslåede § 10, der fastsætter de overordnede rammer for, hvornår behandling af personoplysninger må finde sted, er en delvis videreførelse af § 11 i Forsvarsministeriets retningslinjer af 13. maj 2013 for behandling af personoplysninger m.v. i Center for Cybersikkerhed ved Forsvarets Efterretningstjeneste.

I forhold til retningslinjernes § 11 foreslås bestemmelsen udvidet med yderligere en behandlingshjemmel, således at behandling af personoplysninger efter den foreslåede § 10, nr. 7, også kan finde sted, hvis der er tale om personoplysninger, der er omfattet af det foreslåede kapitel 4.

De foreslåede § 10, nr. 1, 2, 3, 5 og 6, er med sproglige tilpasninger identiske med de tilsvarende bestemmelser i persondatalovens § 6 og skal fortolkes i overensstemmelse med disse bestemmelsers forarbejder og relevante praksis.

Behandlingshjemlen i § 10, nr. 4, som er en videreførelse af § 11, nr. 6, i retningslinjerne, foreslås som konsekvens af de særlige opgaver, som Center for Cybersikkerhed udfører som netsikkerhedstjeneste og national it-sikkerhedsmyndighed. Efter bestemmelsen vil behandling af personoplysninger kunne finde sted, hvis behandlingen er nødvendig til beskyttelse af væsentlige hensyn til statens sikkerhed eller rigets forsvar. Anvendelse af bestemmelsen forudsætter således, at der er fare for, at statens sikkerhed eller rigets forsvar vil lide skade. Det kan f.eks. være tilfældet i forbindelse med cyberangreb mod danske myndigheders informationssystemer. Hensynet til statens sikkerhed eller rigets forsvar skal fortolkes i overensstemmelse med det tilsvarende udtryk i offentlighedslovens § 31.

Med den foreslåede § 10, nr. 7, fastsættes en generel hjemmel til at behandle personoplysninger, hvis de er omfattet af kapitel 4 (indgreb i meddelelseshemmeligheden). Det bemærkes i den forbindelse, at der med den foreslåede § 15 er fastsat nærmere rammer for analyse af pakkedata, der er omfattet af §§ 4, 6 og 7, mens der i den foreslåede § 17 er fastsat regler for sletning af de pågældende data.

Den foreslåede § 11 fastsætter rammerne for Center for Cybersikkerheds behandling af personoplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og personoplysninger om helbredsmæssige og seksuelle forhold.

Bestemmelsen er en delvis videreførelse af § 12 i Forsvarsministeriets retningslinjer af 13. maj 2013 for behandling af personoplysninger m.v. i Center for Cybersikkerhed ved Forsvarets Efterretningstjeneste.

De foreslåede § 11, stk. 1 og stk. 2, nr. 1-3, er med sproglige tilpasninger identiske med de tilsvarende bestemmelser i persondatalovens § 7 og skal fortolkes i overensstemmelse med denne bestemmelses forarbejder og relevante praksis.

For så vidt angår § 11, stk. 2, nr. 4, henvises til bemærkningerne til den foreslåede § 10, nr. 4.

For så vidt angår § 11, stk. 2, nr. 5, der foreslår en ny behandlingshjemmel ved behandling af personoplysninger, som er omfattet af det foreslåede kapitel 4, henvises til bemærkningerne til den foreslåede § 10, nr. 7.

Den foreslåede § 12 fastsætter rammerne for Center for Cybersikkerheds behandling af personoplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold end de i den foreslåede § 11, stk. 1, nævnte.

Bestemmelsen er en delvis videreførelse af § 13 i Forsvarsministeriets retningslinjer af 13. maj 2013 for behandling af personoplysninger m.v. i Center for Cybersikkerhed ved Forsvarets Efterretningstjeneste.

De foreslåede § 12, stk. 1 og stk. 2, nr. 1-4, er med sproglige tilpasninger identiske med de tilsvarende bestemmelser i persondatalovens § 8 og skal fortolkes i overensstemmelse med disse bestemmelsers forarbejder og relevante praksis.

For så vidt angår § 12, stk. 2, nr. 5, der foreslår en ny behandlingshjemmel ved behandling af personoplysninger, som er omfattet af det foreslåede kapitel 4, henvises til bemærkningerne til den foreslåede § 10, nr. 7.

Den foreslåede § 13, der fastsætter krav til datakvalitet, er en indholdsmæssigt uændret videreførelse af § 10, stk. 4, i Forsvarsministeriets retningslinjer af 13. maj 2013 for behandling af personoplysninger m.v. i Center for Cybersikkerhed ved Forsvarets Efterretningstjeneste.

Bestemmelsen er identisk med den tilsvarende bestemmelse i persondatalovens § 5, stk. 4, og skal fortolkes i overensstemmelse med denne bestemmelses forarbejder og relevante praksis.

Den foreslåede § 14, der fastsætter tidsmæssige begrænsninger for opbevaring af indsamlede personoplysninger, er en uændret videreførelse af § 10, stk. 5, i Forsvarsministeriets retningslinjer af 13. maj 2013 for behandling af personoplysninger m.v. i Center for Cybersikkerhed ved Forsvarets Efterretningstjeneste.

Bestemmelsen er identisk med den tilsvarende bestemmelse i persondatalovens § 5, stk. 5, og skal fortolkes i overensstemmelse med denne bestemmelses forarbejder og relevante praksis.

Der henvises i øvrigt til bemærkningerne til den foreslåede § 17, som fastsætter særlige bestemmelser om sletning af data, der er omfattet af det foreslåede kapitel 4. Denne bestemmelse erstatter GovCERT-lovens § 4, stk. 2-4.

Den foreslåede § 15 fastsætter rammerne for Center for Cybersikkerheds netsikkerhedstjenestes adgang til at analysere pakkedata, der er omfattet af de foreslåede §§ 4, 6 og 7 (indgreb i meddelelseshemmeligheden). Som led i netsikkerhedstjenestens drift sker der løbende en fuldautomatisk behandling af data fra de tilsluttede myndigheder og virksomheders netværkskommunikation med henblik på at identificere mulige sikkerhedshændelser. Bestemmelsen indebærer, at netsikkerhedstjenestens sikkerhedsanalytikere kun må foretage en analyse af pakkedata, hvis der er en begrundet mistanke om en sikkerhedshændelse – og da kun i det omfang, det er nødvendigt for afklaring af forhold vedrørende hændelsen.

Der er tale om en videreførelse af GovCERT-lovens § 4, stk. 1, 2. pkt., med enkelte sproglige tilpasninger.

Med §§ 6 og 7 foreslås netsikkerhedstjenestens adgang til indgreb i meddelelseshemmeligheden udvidet til også at omfatte situationer, hvor en myndighed eller virksomhed midlertidigt er tilsluttet netsikkerhedstjenesten, samt situationer, hvor myndigheder eller virksomheder stiller et informationssystem til rådighed for netsikkerhedstjenesten. Den foreslåede § 15 vil som konsekvens heraf også omfatte analyse af pakkedata, som stammer fra disse kilder.

Netsikkerhedstjenestens aktiviteter på det militære område (§ 5) er ikke omfattet af den foreslåede § 15, men vil blive nærmere reguleret i de administrative retningslinjer, der er beskrevet nærmere i afsnit 3.5.3 i de almindelige bemærkninger.

Den foreslåede § 16 regulerer Center for Cybersikkerheds muligheder for at videregive data, der er omfattet af §§ 4, 6 og 7 og dermed behandles på baggrund af indgreb i meddelelseshemmeligheden.

Bestemmelsen er en delvis videreførelse af GovCERT-lovens § 6.

Med §§ 6 og 7 foreslås netsikkerhedstjenestens adgang til indgreb i meddelelseshemmeligheden udvidet til også at omfatte situationer, hvor en myndighed eller virksomhed midlertidigt er tilsluttet netsikkerhedstjenesten, samt situationer, hvor myndigheder eller virksomheder stiller et informationssystem til rådighed for netsikkerhedstjenesten. Den foreslåede § 16 vil som konsekvens heraf også omfatte videregivelse af data, der stammer fra disse kilder.

Det følger af den foreslåede nr. 1, at Center for Cybersikkerhed ved begrundet mistanke om en sikkerhedshændelse kan videregive data, der stammer fra indgreb i meddelelseshemmeligheden, til dansk politi (og anklagemyndigheden). Dermed sikres, at centeret kan videregive alle relevante oplysninger til politiet i de tilfælde, hvor det kan være relevant for politiet at indlede en strafferetlig efterforskning.

Kravet om, at der skal være tale om en begrundet mistanke om en sikkerhedshændelse, indebærer, at Center for Cybersikkerhed alene kan videregive de pågældende data, hvis der foreligger konkrete indikationer, der peger i retning af, at en sikkerhedshændelse har fundet eller vil finde sted.

Med nr. 2 foreslås, at Center for Cybersikkerhed ved begrundet mistanke om en sikkerhedshændelse, og hvis det er nødvendigt for udførelsen af netsikkerhedstjenestens opgaver, kan videregive trafikdata til den samme kreds af aktører, som er angivet i GovCERT-lovens § 6, nr. 3: Danske myndigheder, tilsluttede private virksomheder og tilsvarende varslingstjenester i andre lande. Betegnelsen »tilsvarende varslingstjenester i andre lande« foreslås dog erstattet med »andre netsikkerhedstjenester«, som vil omfatte tilsvarende netsikkerhedstjenester i Danmark og udlandet, f.eks. CERT’er, CSIRT’er (Computer Security Incident Response Teams), ikt-sikkerhedsmyndigheder og efterretningstjenester, som Center for Cybersikkerhed samarbejder tæt med på netsikkerhedsområdet for at øge centerets muligheder for at forebygge sikkerhedshændelser.

Kredsen af aktører foreslås endvidere udvidet til også at omfatte udbydere af offentlige elektroniske kommunikationsnet og -tjenester (teleselskaber) samt myndigheder og virksomheder, der er omfattet af lovforslagets §§ 6 og 7.

For så vidt angår udbydere af offentlige elektroniske kommunikationsnet og -tjenester vil muligheden for at videregive trafikdata indebære, at især teleselskaber kan forbedre deres sikkerhedssystemer, således at den ikt-infrastruktur, som samfundsvigtige funktioner i overvejende grad er afhængige af, kan sikres yderligere, f.eks. ved at teleselskaberne informeres om IP-adresser, der anvendes ved cyberangreb.

Den foreslåede mulighed for at videregive trafikdata til virksomheder, der er omfattet af de foreslåede §§ 6 og 7, er en konsekvens af lovforslagets bemyndigelse til, at der kan behandles data i henhold til de to nævnte bestemmelser. Videregivelse af trafikdata til disse virksomheder vil være af afgørende betydning for deres muligheder for at træffe passende modforholdsregler til håndtering af de sikkerhedshændelser, der konstateres som led i monitoreringen af netværkskommunikation eller ved undersøgelse af deres informationssystemer.

En af Center for Cybersikkerheds vigtigste forebyggende aktiviteter er udsendelse af sikkerhedsvarslinger, hvor myndigheder, virksomheder, andre netsikkerhedstjenester m.v. underrettes om særligt alvorlige sikkerhedshændelser. Begrebet virksomhed omfatter i denne sammenhæng alle juridiske personer. Sikkerhedsvarslingerne giver modtagerne mulighed for at styrke deres egen forebyggelse mod angreb (f.eks. ved at blokere for trafik fra IP-adresser, der indgår i hackeres angrebsinfrastruktur) og undersøge, om de har været udsat for angreb (f.eks. ved at gennemsøge logfiler for e-mails fra afsendere, der har angrebet andre myndigheder eller virksomheder). Det foreslås derfor, at Center for Cybersikkerhed ved begrundet mistanke om en sikkerhedshændelse, og hvis det er nødvendigt for udførelsen af netsikkerhedstjenestens opgaver, kan udsende sikkerhedsvarslinger, som indeholder trafikdata, der kan styrke modtagernes informationssikkerhedsniveau.

Videregivelse af trafikdata efter nr. 2 forudsætter, at der er begrundet mistanke om en sikkerhedshændelse, og at det konkret vurderes, at videregivelsen er nødvendig. Indeholder videregivelsen personoplysninger, vil principperne om relevans og proportionalitet, jf. den foreslåede § 9, stk. 2, tillige skulle iagttages. Der vil dermed alene kunne videregives personoplysninger, som er relevante og tilstrækkelige for at opnå formålet med den konkrete videregivelse.

Den foreslåede § 16 skal ses i sammenhæng med den foreslåede § 12, som generelt regulerer Center for Cybersikkerheds adgang til at videregive personoplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold end de i den foreslåede § 11, stk. 1, nævnte. Erfaringsmæssigt vil Center for Cybersikkerhed kun i meget sjældne tilfælde have behov at videregive personoplysninger af de nævnte typer, men i forbindelse med alvorlige cyberangreb kan der være behov for at videregive personoplysninger om strafbare forhold til politiet. Den foreslåede § 12, stk. 2, nr. 5, giver hjemmel til videregivelse af de nævnte typer af personoplysninger, hvis oplysningerne er omfattet af kapitel 4 (indgreb i meddelelseshemmeligheden). Spørgsmålet om videregivelse vil derefter skulle vurderes efter den foreslåede § 16.

Det bemærkes, at Center for Cybersikkerheds videregivelse af personoplysninger vil være underlagt tilsyn af Tilsynet med Efterretningstjenesterne, jf. de foreslåede §§ 19-24.

Netsikkerhedstjenestens aktiviteter på det militære område (§ 5) er ikke omfattet af den foreslåede § 16, men vil blive nærmere reguleret i de administrative retningslinjer, der er beskrevet nærmere i afsnit 3.5.3 i de almindelige bemærkninger.

Den foreslåede § 17 fastsætter de tidsmæssige rammer for Center for Cybersikkerheds opbevaring af de data, der behandles i medfør af det foreslåede kapitel 4 og dermed behandles på baggrund af indgreb i meddelelseshemmeligheden.

Bestemmelsen skal ses i sammenhæng med den foreslåede § 14, hvorefter indsamlede personoplysninger generelt ikke må opbevares på en måde, der giver mulighed for at identificere den pågældende person i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles. Mens § 14 finder anvendelse på al behandling af personoplysninger i Center for Cybersikkerhed, finder de særlige regler i § 17 som nævnt alene anvendelse på de data, der behandles på baggrund af indgreb i meddelelseshemmeligheden.

Bestemmelsen er en delvis videreførelse af GovCERT-lovens § 4, stk. 2-4.

Efter det foreslåede stk. 1 vil data skulle slettes, når formålet med behandlingen er opfyldt, hvilket er en videreførelse af GovCERT-lovens § 4, stk. 2, idet bestemmelsen dog foreslås udvidet til at omfatte alle former for data, der behandles på baggrund af indgreb i meddelelseshemmeligheden. Der vil på den baggrund ske en løbende vurdering af de behandlede data med henblik på at sikre, at data, der ikke længere er relevante i forhold til netsikkerhedstjenestens formål og aktiviteter, straks slettes.

Det foreslåede stk. 2 fastsætter øvre grænser for, hvor længe data, der ikke er slettet efter stk. 1, kan opbevares. Bestemmelsen finder dermed anvendelse på data, hvor det er blevet vurderet, at der fortsat er behov for behandling i netsikkerhedstjenesten. Uanset at formålet med behandlingen således i disse tilfælde endnu ikke er opfyldt, vil data skulle slettes inden for de absolutte frister, som er fastsat i bestemmelsen.

Stk. 2, nr. 1, vedrører data, der er knyttet til en sikkerhedshændelse. Det kan f.eks. være en IP-adresse, som har været anvendt ved et cyberangreb mod en dansk myndighed, eller en e-mail-adresse, som har været anvendt til at sende malware (computerprogram, der installeres, uden at brugeren ønsker det, f.eks. virus, trojansk hest eller spyware) til danske myndigheder. Sådanne data vil især blive anvendt i netsikkerhedstjenestens monitoreringsudstyr for at give mulighed for, at nye angreb, som kommer fra samme kilde, eller som anvender samme angrebsmetode og -værktøjer, straks kan opdages.

Efter bestemmelsen må data, der knytter sig til en sikkerhedshændelse, højst opbevares i tre år, hvorefter de skal slettes. Det er samme tidsmæssige grænse, som er fastsat i GovCERT-lovens § 4, stk. 3. Såfremt data inden for den tre-årige periode igen konstateres anvendt i forbindelse med en sikkerhedshændelse, vil en ny tre-årig periode starte. Hvis en IP-adresse eksempelvis i september 2014 anvendes til et cyberangreb mod en dansk myndighed, vil netsikkerhedstjenesten således kunne anvende oplysninger om IP-adressen til at forebygge nye angreb frem til september 2017, hvor oplysningerne skal slettes. Hvis samme IP-adresse i august 2017 anvendes til et nyt angrebsforsøg, og dermed atter får tilknytning til en sikkerhedshændelse, vil netsikkerhedstjenesten imidlertid kunne anvende oplysninger om IP-adressen i monitoreringsudstyr m.v. frem til august 2020, hvor oplysningerne skal slettes, hvis IP-adressen ikke på det tidspunkt atter har været anvendt i forbindelse med en sikkerhedshændelse.

Stk. 2, nr. 2, vedrører øvrige data, der ikke er knyttet til en sikkerhedshændelse. Det foreslås, at sådanne data højst må opbevares i 13 måneder, hvilket er en udvidelse i forhold til GovCERT-lovens § 4, stk. 3, hvorefter trafikdata, der ikke knytter sig til en sikkerhedshændelse, højst må opbevares i 12 måneder, mens de tilsvarende pakkedata højst må opbevares i 14 dage.

Med stk. 3 foreslås det, at de frister for sletning, som følger af stk. 2, regnes fra det tidspunkt, hvor Center for Cybersikkerhed har registreret de pågældende data, hvilket svarer til tidspunktet for centerets lagring af data. Dette svarer til gældende ret efter GovCERT-lovens § 4, stk. 4.

Ved behandling af data, der er indeholdt i eller hidrører fra et informationssystem, som stilles til rådighed af en myndighed eller en virksomhed, jf. den foreslåede § 7, regnes fristen fra det tidspunkt, hvor der er indhentet et skriftligt samtykke fra myndigheden eller virksomheden, og det pågældende informationssystem er modtaget hos eller stillet til rådighed for Center for Cybersikkerhed.

Med stk. 4 foreslås det, at slettefristerne i stk. 1 og 2 ikke finder anvendelse på helt særlige situationer, hvor data er videregivet.

Efter den foreslåede § 16, nr. 1, kan data videregives til politiet ved begrundet mistanke om en sikkerhedshændelse, ligesom det følger af den foreslåede § 16, nr. 2, at trafikdata bl.a. kan videregives til danske myndigheder og til de virksomheder, der er tilsluttet netsikkerhedstjenesten.

Videregivelse af trafikdata vil primært ske i forbindelse med udsendelse af varslinger, hvor Center for Cybersikkerhed gør myndigheder og virksomheder opmærksomme på, at f.eks. en bestemt IP-adresse anvendes til cyberangreb. Sådanne varslinger giver myndigheder og virksomheder mulighed for at tage deres forholdsregler, f.eks. ved at blokere den pågældende IP-adresse i en lokal firewall. Når en videregivelse er sket via en varsling eller tilsvarende, har Center for Cybersikkerhed i sagens natur ikke mulighed for at sikre, at der efterfølgende sker en sletning hos modtageren, ligesom centeret selv vil være forpligtet til at journalisere de udsendte varslinger m.v. Det foreslås derfor, at trafikdata, der er indeholdt i sådanne varslinger m.v. – f.eks. IP-adresser – hverken hos Center for Cybersikkerhed eller hos modtagerne af varslingerne vil skulle slettes efter § 17, stk. 1 og 2.

Data, der er videregivet til politiet i sager, hvor der er begrundet mistanke om en sikkerhedshændelse, vil typisk vedrøre mulige straffelovsovertrædelser, og det vil i sådanne sager være betænkeligt, hvis Center for Cybersikkerhed efter tre år ikke længere må opbevare de videregivne oplysninger. Det foreslås på den baggrund, at data, der videregives efter § 16, nr. 1, ikke vil skulle slettes efter § 17, stk. 1 og 2.

Uanset at sletningsreglerne i § 17, stk. 1 og 2, ikke finder anvendelse, vil personoplysninger indeholdt i data fortsat skulle behandles i overensstemmelse med den foreslåede § 14, hvorefter indsamlede personoplysninger ikke må opbevares på en måde, der giver mulighed for at identificere den pågældende person i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles.

Såfremt en virksomhed eller myndighed opsiger en tilslutningsaftale med netsikkerhedstjenesten, vil en sådan opsigelse indebære, at Center for Cybersikkerhed snarest muligt sletter pakke- og trafikdata, der stammer fra virksomheden eller myndigheden. Sletningen vil omfatte alle data, som centeret har behandlet på baggrund af tilslutningsaftalen med den pågældende virksomhed eller myndighed – dog ikke data, der konkret knytter sig til en sikkerhedshændelse, da disse data fortsat i relevant omfang vil blive anvendt til at beskytte de øvrige tilsluttede myndigheder og virksomheder mod cyberangreb, ligesom de potentielt vil kunne indgå i politiets efterforskning af strafbare forhold.

Der henvises til afsnit 3.4 i de almindelige bemærkninger.

Den foreslåede § 18, stk. 1, opstiller overordnede krav til Center for Cybersikkerheds interne informationssikkerhed i forhold til alle typer af oplysninger, der behandles i centeret. Bestemmelsen er en videreførelse af § 14, stk. 2, i Forsvarsministeriets retningslinjer af 13. maj 2013 for behandling af personoplysninger m.v. i Center for Cybersikkerhed ved Forsvarets Efterretningstjeneste.

Bestemmelsen er indholdsmæssigt identisk med den tilsvarende bestemmelse i persondatalovens § 41, stk. 3, og skal fortolkes i overensstemmelse med denne bestemmelses forarbejder og relevante praksis.

Efter stk. 2 skal Center for Cybersikkerhed træffe foranstaltninger, der i tilfælde af krig eller lignende forhold muliggør bortskaffelse eller tilintetgørelse af oplysninger, som er af særlig interesse for fremmede magter.

Bestemmelsen er en delvis videreførelse af § 14, stk. 3, i Forsvarsministeriets retningslinjer af 13. maj 2013 for behandling af personoplysninger m.v. i Center for Cybersikkerhed ved Forsvarets Efterretningstjeneste. Bestemmelsen svarer endvidere indholdsmæssigt til persondatalovens § 41, stk. 4, og skal fortolkes i overensstemmelse med denne bestemmelses forarbejder og relevante praksis.

Med bestemmelsen foreslås det, at det fremover skal være Tilsynet med Efterretningstjenesterne, som fører tilsyn med Center for Cybersikkerheds behandling af personoplysninger. Tilsynet med Efterretningstjenesternes virksomhed er nærmere reguleret i lov nr. 604 af 12. juni 2013 om Politiets Efterretningstjeneste (PET).

Tilsynet med Efterretningstjenesterne fører i forvejen tilsyn med Forsvarets Efterretningstjeneste, jf. FE-lovens § 13. Det følger imidlertid af FE-lovens § 1, stk. 3, 2. pkt., at Center for Cybersikkerhed ikke reguleres af FE-lovens materielle bestemmelser, herunder lovens bestemmelser om tilsyn.

Tilsynet med Efterretningstjenesterne afløser det hidtidige tilsyn, der i medfør af GovCERT-lovens § 7 er nedsat for at følge GovCERT’s virksomhed. Samtidig foreslås det, at tilsynets kompetence udvides, således at al behandling af personoplysninger i Center for Cybersikkerhed bliver omfattet af Tilsynet med Efterretningstjenesternes kompetence.

Rammerne for Tilsynet med Efterretningstjenesternes virksomhed i forhold til Center for Cybersikkerhed svarer til rammerne for tilsynets virksomhed i forhold til Forsvarets Efterretningstjeneste og Politiets Efterretningstjeneste.

Med bestemmelsen foreslås det, at Tilsynet med Efterretningstjenesterne efter klage eller af egen drift kan påse Center for Cybersikkerheds overholdelse af de foreslåede regler i kapitel 4, 6 og 7 vedrørende behandling af personoplysninger. Det vil indebære, at tilsynet som udgangspunkt får samme tilsynsrolle i forhold til centeret, som Datatilsynet i medfør af persondataloven har i forhold til andre offentlige myndigheder.

Bestemmelsen svarer til ordningen efter FE-lovens § 15 og PET-lovens § 18.

Tilsynet med Efterretningstjenesterne vil ikke få til opgave at udtale sig om, hvorvidt Center for Cybersikkerhed udfører sine opgaver på en hensigtsmæssig måde. Det vil fortsat være op til centeret selv (under ansvar over for Forsvarsministeriet) inden for de retlige rammer for centerets virksomhed at tilrettelægge sin sagsbehandling. Tilsynet med Efterretningstjenesterne har ligeledes ikke til opgave at overveje eller tage stilling til, om der af enkelte medarbejdere i Center for Cybersikkerhed måtte være begået fejl eller forsømmelser, der kan give anledning til, at der søges et retligt ansvar gennemført eller i øvrigt rettes kritik mod den enkelte, idet dets opgave er at vurdere centerets virksomhed. Opstår der tilfælde, hvor spørgsmål om ansvar for enkeltpersoner kan rejses, skal dette behandles efter almindelige personaleretlige regler m.v.

Tilsynet med Efterretningstjenesterne vil primært have til opgave at føre tilsyn med Center for Cybersikkerheds behandling af personoplysninger, der efter det foreslåede kapitel 4 behandles på baggrund af indgreb i meddelelseshemmeligheden. På dette område vil tilsynet således både efter klage og af egen drift påse Center for Cybersikkerheds overholdelse af kapitel 6 og 7.

Endvidere vil tilsynet skulle påse, at Center for Cybersikkerhed i forbindelse med centerets behandling af personoplysninger overholder de krav til sikkerhedsforanstaltninger, der følger af kapitel 8. Endelig vil tilsynet have til opgave at påse, at yderligere regler om behandling af personoplysninger, der fastsættes i administrative retningslinjer, overholdes.

Den foreslåede § 21 regulerer Tilsynet for Efterretningstjenesternes reaktionsmuligheder. Bestemmelsen svarer til ordningen efter FE-lovens § 16 og PET-lovens § 19.

Tilsynet med Efterretningstjenesterne vil efter stk. 1 – ligesom Folketingets Ombudsmand – kunne afgive udtalelser over for Center for Cybersikkerhed, herunder udtale kritik, afgive henstillinger samt i øvrigt fremsætte tilsynets opfattelse af en sag. En sådan udtalelse vil ikke være retligt bindende for Center for Cybersikkerhed, men det forudsættes, at centeret i almindelighed vil følge tilsynets udtalelser, jf. det foreslåede stk. 3.

Efter stk. 2 skal Tilsynet med Efterretningstjenesterne som led i sin virksomhed orientere forsvarsministeren om vigtige afgørelser og udtalelser.

I stk. 3 fastslås det, at Center for Cybersikkerhed skal underrette Tilsynet med Efterretningstjenesterne og forelægge sagen for forsvarsministeren til afgørelse, hvis centeret undtagelsesvist beslutter ikke at følge en henstilling i en udtalelse fra tilsynet. Herved pålægges Center for Cybersikkerhed en oplysningspligt, hvis centeret undtagelsesvist ikke agter at følge en henstilling i en udtalelse fra Tilsynet med Efterretningstjenesterne. Samtidig sikres det, at forsvarsministeren konkret involveres i den pågældende sag. Det sikres derved, at det er forsvarsministeren og ikke tilsynet, der har det endelige ansvar i sådanne tilfælde. Med udtrykket »undtagelsesvist« understreges det, at centeret som nævnt i almindelighed forudsættes at følge henstillinger i tilsynets udtalelser.

Om tilsynets virksomhed henvises i øvrigt til afsnit 3.6.3 i de almindelige bemærkninger.

Tilsynet med Efterretningstjenesterne sikres med den foreslåede § 22 adgang til de oplysninger, der er nødvendige til gennemførelse af dets virksomhed. Bestemmelsen svarer til ordningen efter FE-lovens § 17 og PET-lovens § 20.

Efter stk. 1 kan Tilsynet med Efterretningstjenesterne hos Center for Cybersikkerhed kræve enhver oplysning og alt materiale af betydning for tilsynets virksomhed. Udtrykket »materiale« skal forstås i vid forstand og omfatter bl.a. dokumenter i traditionel forstand, elektroniske oplysninger, båndoptagelser, film m.v.

Efter stk. 2 skal Tilsynet med Efterretningstjenesterne endvidere til enhver tid mod behørig legitimation uden retskendelse have adgang til alle centerets lokaler, hvorfra en behandling, som foretages for Center for Cybersikkerhed, administreres, eller hvorfra der er adgang til de oplysninger, som behandles, eller hvor tekniske hjælpemidler opbevares eller anvendes. Det forudsættes med den foreslåede bestemmelse, at tilsynet har mulighed for selv at gøre sig bekendt med oplysninger og materiale på opbevaringsstedet, herunder oplysninger og materiale i arkiver, registre, installationer og anlæg af enhver art. Hermed opnår tilsynet f.eks. adgang til i forbindelse med inspektioner at foretage opslag i centerets registre m.v. på stedet og sikre sig, at tilsynet gøres bekendt med alle akter og sager.

Efter bestemmelsens stk. 3 kan Tilsynet med Efterretningstjenesterne afkræve Center for Cybersikkerhed skriftlige udtalelser om faktiske og retlige forhold af betydning for tilsynets kontrolvirksomhed efter § 20. Tilsynet vil efter bestemmelsen kunne udbede sig centerets stillingtagen til bestemte juridiske temaer og/eller anmode om en redegørelse for centerets praksis og den bagvedliggende retsopfattelse. Bestemmelsen svarer til ombudsmandslovens § 19, stk. 2.

Endvidere kan Tilsynet med Efterretningstjenesterne efter den foreslåede bestemmelse i stk. 4 anmode om, at en repræsentant fra Center for Cybersikkerhed deltager, når tilsynet foretager inspektioner hos centeret eller behandler sager, med henblik på, at den pågældende repræsentant kan redegøre for de behandlede sager i det omfang, tilsynet har behov for det.

Det forudsættes, at Tilsynet med Efterretningstjenesterne i forbindelse med adgangen til oplysninger, materiale og lokaliteter i videst muligt omfang tager hensyn til Center for Cybersikkerheds samarbejdspartnere m.v. og tilrettelægger sit arbejde således, at tilsynet alene skaffer sig kendskab til oplysninger, der er af betydning for kontrollens gennemførelse.

Med bestemmelsen, der svarer til ordningen efter FE-lovens § 18 og PET-lovens § 21, foreslås det, at Tilsynet med Efterretningstjenesternes virksomhed undtages fra reglerne i offentlighedsloven (dog med undtagelse af lovens § 13 om notatpligt), forvaltningslovens kapitel 4-6 (om aktindsigt, partshøring og begrundelse m.v.) samt persondataloven.

Der er efter lovforslaget ikke en almindelig ret til direkte indsigt i personoplysninger, der behandles af Center for Cybersikkerhed, jf. afsnit 3.3 i de almindelige bemærkninger. Bestemmelsen sikrer bl.a., at en klager ikke kan få indsigt i de oplysninger, som Center for Cybersikkerhed eventuelt måtte have behandlet om vedkommende, ved at begære indsigt efter persondataloven i de oplysninger, som tilsynet måtte behandle i anledning af klagerens anmodning til tilsynet.

Tilsynet med Efterretningstjenesterne skal efter den foreslåede § 24 afgive en årlig redegørelse om dets tilsynsvirksomhed til forsvarsministeren, som offentliggør redegørelsen. Bestemmelsen svarer til ordningen efter FE-lovens § 19 og PET-lovens § 22.

Redegørelsen må – netop fordi den vil være beregnet til offentliggørelse – ikke indeholde oplysninger, hvis offentliggørelse kan skade statens sikkerhed, forholdet til udenlandske samarbejdspartnere, Center for Cybersikkerheds kilder, kapaciteter og metoder m.v. I det omfang, der i redegørelsen er en omtale af klagesager, skal de enkelte klagere være anonymiserede.

Inden for disse rammer skal sigtet med Tilsynet med Efterretningstjenesterne redegørelser være at give information om karakteren af det tilsyn, der udøves med Center for Cybersikkerhed. Bl.a. vil det være muligt uden tilsidesættelse af tavshedspligten at redegøre for tilsynets virksomhed – herunder også i form af en generel beskrivelse af, hvilke forhold tilsynet måtte have valgt særligt at interessere sig for som led i sit tilsyn.

Redegørelserne skal indeholde statistiske oplysninger om Center for Cybersikkerheds behandling af personoplysninger, herunder oplysninger om antallet af modtagne klagesager i såvel centeret som tilsynet, oplysninger om antallet af aktindsigtssager og afgørelsen af disse samt oplysninger om antallet af sager med relation til sikkerhedshændelser, der er behandlet i centeret. Tilsynet vil også skulle medtage oplysninger om, i hvor mange tilfælde tilsynet har fundet, at Center for Cybersikkerheds behandling af personoplysninger ikke har været i overensstemmelse med reglerne.

Redegørelsen skal ligeledes indeholde en fuldt ud anonymiseret beskrivelse af en eller flere konkrete cyberangreb samt en statistik over antallet af tilfælde, hvor en analytiker fra Center for Cybersikkerhed på baggrund af indgreb i meddelelseshemmeligheden har foretaget en analyse af data. Denne statistik skal desuden indeholde en overordnet kategorisering af, hvor alvorlige disse tilfælde har været.

Redegørelsen suppleres af en årlig beretning fra Center for Cybersikkerhed, der også beskriver centerets aktiviteter på det forebyggende område og bringer statistiske oplysninger herom. Desuden skal beretningen indeholde et overblik over de trusselsvurderinger m.v., der er udsendt i årets løb, således at virksomheder og offentligheden kan få et overblik over risikoen for cyberangreb. Herudover udgiver centeret løbende vejledninger, situationsbilleder og lign., ligesom en oversigt over de tilsluttede myndigheder og virksomheder også regelmæssigt bliver offentliggjort. Oversigten vil også omfatte statistiske oplysninger om antallet af myndigheder og virksomheder, der midlertidigt er tilsluttet netsikkerhedstjenesten.

Redegørelserne og den årlige beretning fra Center for Cybersikkerhed vil også blive offentliggjort på Center for Cybersikkerheds hjemmeside, www.cfcs.dk.

Endelig kan nævnes, at der efter den politiske aftale om lovforslaget skal udarbejdes en rapport om erfaringerne med den nye lovgivning, som oversendes til Folketinget 3 år efter lovens ikrafttræden. Til brug for rapporten vil der blive indhentet bidrag fra Center for Cybersikkerhed, der vil kunne oplyse om centerets almindelige erfaringer med hensyn til den nye lovgivning, og fra Tilsynet med Efterretningstjenesterne, der vil kunne oplyse om tilsynet med Center for Cybersikkerheds overholdelse af den nye lovgivning. Endelig vil Forsvarsministeriet indhente bidrag fra en eller flere uafhængige eksperter på cyberområdet, der kan medvirke til at belyse den nye lovgivnings betydning for kvaliteten og effektiviteten af Center for Cybersikkerheds opgavevaretagelse.

Den foreslåede § 25 fastsætter ikrafttrædelses- og overgangsbestemmelserne for lov om Center for Cybersikkerhed.

Det foreslås med stk. 1, at loven træder i kraft den 1. juli 2014, hvorefter lov nr. 596 af 14. juni 2011 om behandling af personoplysninger ved driften af den statslige varslingstjeneste for internettrusler m.v. (GovCERT-loven) ophæves, jf. stk. 2. Forsvarsministeriets retningslinjer af 13. maj 2013 for behandling af personoplysninger m.v. i Center for Cybersikkerhed ved Forsvarets Efterretningstjeneste vil endvidere blive ophævet ved lovens ikrafttræden.

Efter stk. 3 vil aftaler, der er indgået efter GovCERT-loven, fortsat have gyldighed efter GovCERT-lovens ophævelse. Tilslutningsaftaler indgået mellem GovCERT og myndigheder og virksomheder vil dermed være gældende, indtil de måtte bortfalde eller blive opsagt.

Da lovforslaget indebærer, at fristerne for sletning af data forlænges efter lovforslagets § 17, foreslås det med stk. 4, at pakke- og trafikdata, der er indsamlet efter de mere restriktive regler i GovCERT-loven, fortsat skal behandles i overensstemmelse med GovCERT-loven. På Forsvarsministeriets område, hvor MILCERT’s aktiviteter ikke hidtil har været lovregulerede, finder loven anvendelse på data, der indsamles efter lovens ikrafttræden.

Det foreslås endvidere med stk. 5, at begæringer om aktindsigt, som er indgivet før lovens ikrafttræden, afgøres efter de hidtil gældende regler, hvilket indebærer, at begæringerne vil skulle behandles efter offentlighedsloven, som efter de foreslåede regler fremover ikke vil finde anvendelse for Center for Cybersikkerhed. Om den begrænsede betydning heraf henvises til afsnit 3.3.3 i de almindelige bemærkninger.

Med § 26 fastlægges lovens territoriale gyldighed. Det foreslås, at loven ikke skal gælde for Færøerne og Grønland, men at den ved kongelig anordning kan sættes helt eller delvis i kraft for Færøerne og Grønland med de ændringer, som de færøske og grønlandske forhold tilsiger.