Lov om sikkerhed og beredskab i telesektoren § 14

Det følger af § 7, stk. 1, i lov om sikkerhed i net og tjenester, at det i regler udstedt i medfør af lovens § 4, kan fastsættes, at underretninger og afgivelse af oplysninger efter § 4, nr. 1-3, er undtaget fra aktindsigt efter lov om offentlighed i forvaltningen og partsaktindsigt efter forvaltningsloven.

Der følger endvidere at § 8, stk. 1, i lov om sikkerhed i net og tjenester, at myndigheder og virksomheder kan underrette Styrelsen for Samfundssikkerhed om hændelser, der negativt påvirker eller vurderes at ville kunne påvirke tilgængelighed, integritet eller fortrolighed af data, informationssystemer, digitale netværk eller digitale servicer. Sådanne underretninger er efter bestemmelsens stk. 2, undtaget fra aktindsigt efter lov om offentlighed i forvaltningen og partsaktindsigt efter forvaltningsloven.

Det foreslås i stk. 1, at underretninger modtaget i medfør af § 8, stk. 2 og § 10 er undtaget fra aktindsigt efter lov om offentlighed i forvaltningen og partsaktindsigt efter forvaltningsloven.

Bestemmelsen viderefører indholdet af § 8, stk. 1 og 2 i lov om sikkerhed i net og tjenester.

Bemyndigelsen til at fastsætte regler om aktindsigt er i dag udmøntet i bekendtgørelse nr. 258 af 22. februar 2021 om oplysnings- og underretningspligter vedrørende sikkerhed i net og tjenester.

Det følger af den foreslåede § 8, stk. 2, at teleudbydere skal underrette Styrelsen for Samfundssikkerhed og CSIRT’en om enhver væsentlig hændelse.

Det følger af den foreslåede § 10, stk. 1, at teleudbydere kan underrette Styrelsen for Samfundssikkerhed og CSIRT’en om hændelser, nærvedhændelser og cybertrusler.

Undtagelserne fra aktindsigt skal navnlig ses i lyset af, at en velfungerende underretningsordning forudsætter, at der ikke er risiko for, at de ofte særligt kommercielt følsomme oplysninger, som vil blive modtaget fra teleudbyderne, kan tilgå teleudbydernes konkurrenter eller potentielle angribere.

Undtagelsen skal navnlig ses i lyset af, at underretning af Styrelsen for Samfundssikkerhed skaber de bedst mulige forudsætninger for, at styrelsen kan udnytte erfaringer med cybertrusler og sikkerhedsrisici på tværs af samfundet – og dermed skabe et samlet overblik over den aktuelle sikkerhedstilstand på den danske del af internettet. Underretningerne sætter således Styrelsen for Samfundssikkerhed i stand til at varsle hurtigere om trusler og styrke grundlaget for styrelsens rådgivning om risici og passende sikkerhedstiltag.

Oplysninger om, at der f.eks. er gennemført et vellykket hackerangreb, hvor en virksomhed har mistet data, kan imidlertid i høj grad skade virksomhedens omdømme, og risikoen for, at oplysningerne via aktindsigt bliver offentligt tilgængelige, kan i praksis afholde mange virksomheder fra at underrette Styrelsen for Samfundssikkerhed om et sådant hackerangreb. Derfor bør også disse særlige underretninger være undtaget fra aktindsigt.

Undtagelsen fra aktindsigt omfatter ikke teleudbydernes adgang til at gøre sig bekendt med oplysninger, der vedrører deres egne forhold.