Telesikkerhedsloven § 2

Det foreslås med § 2, stk. 1, at Center for Cybersikkerhed i særlige tilfælde kan forbyde en væsentlig erhvervsmæssig udbyder af offentligt tilgængelige elektroniske kommunikationsnet og -tjenester at indgå en aftale, der vedrører kritiske netkomponenter, systemer og værktøjer, herunder varetagelse af driften heraf, hvis aftalen vurderes at udgøre en trussel mod statens sikkerhed.

Bestemmelsen vil typisk finde anvendelse, efter at der gennem længere tid har været dialog mellem teleudbyderen og Center for Cybersikkerhed om den pågældende aftale. Bestemmelsens anvendelsesområde vil således svare til anvendelsesområdet for den særlige underretningsordning, der er etableret i medfør af lov om sikkerhed i net og tjenester, jf. lovbekendtgørelse nr. 153 af 1. februar 2021. Der er dermed tale om aftaler, hvor teleudbyderne i medfør af §§ 3 og 4 i bekendtgørelse nr. 258 af 22. februar 2021 om oplysnings- og underretningspligter vedrørende sikkerhed i net og tjenester har underrettet Center for Cybersikkerhed forud for, at forhandlingerne om aftalen er indledt med leverandøren, hvorefter Center for Cybersikkerhed typisk vil have rådgivet teleudbyderen om sikkerhedsmæssige aspekter af den pågældende aftale. Herefter vil Center for Cybersikkerhed typisk have udstedt et påbud om, at det endelige udkast til aftalen skal fremsendes til centeret, eller en sådan fremsendelse vil være sket frivilligt. Ved udstedelse af påbud vil aftalen først kunne indgås, når der er modtaget tilbagemelding fra Center for Cybersikkerhed, hvilket skal være sket senest 25 arbejdsdage efter modtagelsen af aftaleudkastet, jf. den foreslåede ændring af lov om sikkerhed i net og tjenester i § 18, nr. 1.

I de situationer, hvor bestemmelsen vil finde anvendelse, vil der oftest være tale om, at en teleudbyder ikke har ønsket at følge rådgivningen fra Center for Cybersikkerhed, og at det endelige udkast til aftale derfor på væsentlige punkter ikke tager højde for rådgivningen – og at aftalen på den baggrund vurderes at udgøre en trussel mod statens sikkerhed. Bestemmelsen vil dog også finde anvendelse i situationer, hvor et endeligt aftaleudkast ikke er fremsendt til Center for Cybersikkerhed, men hvor centeret på anden vis er blevet opmærksom på en forestående aftaleindgåelse, f.eks. gennem medieomtale eller gennem oplysninger fra andre myndigheder. Det vil dog påhvile Center for Cybersikkerhed at sikre, at sagen er tilstrækkeligt oplyst til, at der kan træffes afgørelse om et forbud, og dermed vil et forbud normalt ikke alene kunne baseres på f.eks. medieomtale. Center for Cybersikkerhed vil desuden som led i den almindelige sagsoplysning inddrage fagmyndigheder, herunder Erhvervsstyrelsen og Energistyrelsen, i relevant omfang.

Bestemmelsen vil omfatte både indgåelse af nye aftaler og forlængelse af eksisterende aftaler. Hvis aftalen indeholder en option, der indebærer, at aftalen kan forlænges på helt uændrede vilkår, vil en sådan forlængelse dog ikke være omfattet, men aftalen vil dog være omfattet af den foreslåede § 3. Retsvirkningen af, at der nedlægges forbud mod en aftale, vil være, at hvis aftalen alligevel indgås, vil Center for Cybersikkerhed kunne træffe afgørelse om sanktioner efter den foreslåede § 15, ligesom aftalen vil være ugyldig mellem parterne efter den foreslåede § 16.

Center for Cybersikkerhed vil skulle foretage en samlet vurdering af, om aftalen må anses for at udgøre en trussel mod statens sikkerhed. Ved vurderingen heraf vil Center for Cybersikkerhed tage udgangspunkt i en række objektive kriterier i bestemmelsens nr. 1-4, jf. nedenfor. Udtrykket statens sikkerhed anvendes i lov om sikkerhed i net og tjenester og skal forstås i overensstemmelse med det EU-retlige udtryk den nationale sikkerhed. Der vil dermed som udgangspunkt skulle være tale om trusler mod samfundskritiske funktioner og deres kommunikation, herunder deres medarbejderes kommunikation. Er der alene tale om en trussel om, at der kan ske industrispionage mod private virksomheder, vil det falde udenfor anvendelsesområdet, med mindre industrispionagen har en karakter, hvor den kan udgøre en trussel mod statens sikkerhed, f.eks. hvis der er tale om industrispionage mod virksomheder i forsvarsindustrien eller forskningsindustrien.

Det følger af den foreslåede bestemmelse, at bestemmelsen finder anvendelse i særlige tilfælde. Ved særlige tilfælde forstås efter bestemmelsen tilfælde, hvor der dels er tale om en trussel mod statens sikkerhed, dels ikke er mulighed for at anvende mindre indgribende midler.

Kerneområdet vil være situationer, hvor Center for Cybersikkerhed vurderer, at en aftale vil indebære, at der er risiko for, at en leverandør vil misbruge aftalen til at forberede eller udføre sabotage mod telenettet, som kan medføre, at telenettet helt eller delvist afbrydes. Det vil f.eks. kunne være tilfældet, hvis aftalen omfatter leverancer, hvor Center for Cybersikkerhed vurderer, at der er risiko for, at leverandøren indbygger bagdøre, som gør det muligt for leverandøren at afbryde eller på anden måde foretage uautoriseret påvirkning af dele af telenettet. Det vil også være tilfældet, hvis aftalen omfatter drift af systemer, hvor der er risiko for, at leverandøren gennem adgangen til systemerne vil foretage en hel eller delvis afbrydelse.

Der vil endvidere kunne være tale om situationer, hvor Center for Cybersikkerhed vurderer, at en aftale vil indebære risiko for, at en leverandør vil misbruge aftalen til at foretage spionage mod samfundskritiske funktioner, herunder deres medarbejderes eller samarbejdspartneres kommunikation.

Det foreslås med § 2, stk. 2, at Center for Cybersikkerhed ved vurderingen efter stk. 1 kan lægge vægt på forhold vedrørende den leverandør, som udbyderen ønsker at anvende. I vurderingen vil bl.a. kunne indgå forhold, der vedrører leverandøren, leverandørens væsentligste underleverandører samt aktører, der udøver kontrol over eller har betydelig indflydelse på leverandøren.

De væsentligste underleverandører vil være de underleverandører, som leverer en ikke ubetydelig del af den samlede leverance. Aktører, der udøver kontrol over eller betydelig indflydelse på leverandøren, vil være aktører, der direkte eller indirekte er i besiddelse af eller har kontrol over ejerandele eller stemmerettigheder i en virksomhed, eller har tilsvarende kontrol ved andre midler, herunder langfristede lån, som giver betydelig indflydelse på ledelsesmæssige, finansielle eller udviklings- eller driftsmæssige forhold.

Det vil således ikke være en forudsætning, at leverandøren selv vurderes at udgøre en trussel mod statens sikkerhed. Aftalen vil f.eks. også kunne anses for at udgøre en trussel, hvis leverandøren planlægger at opfylde aftalen ved brug af kritiske komponenter fra en underleverandør, hvor Center for Cybersikkerhed vurderer, at der er risiko for, at der er indbygget bagdøre eller tilsvarende. Centeret vil endvidere kunne foretage en vurdering af, om leverandørens ejerforhold m.v. gør, at aftalen må anses for at udgøre en trussel mod statens sikkerhed. Et element i vurderingen vil således være, om f.eks. et moderselskab gennem dettes historik eller tilhørsforhold bidrager til en trussel, som medfører, at der bør nedlægges forbud mod aftalen.

Center for Cybersikkerhed vil som nævnt skulle foretage en samlet vurdering. Her vil den potentielle trussel og dennes karakter også skulle vejes op mod aftalens karakter. Jo mere kritiske dele af telenettet, som aftalen omfatter, jo mindre vil der skulle til, for at der kan siges at være tale om en trussel mod statens sikkerhed. Der kan dermed også efter en konkret vurdering være tale om, at leverandøren og dennes forhold gør, at leverandøren vil kunne udgøre en trussel mod statens sikkerhed, men at de leverancer, som aftalen omfatter, skal anvendes på en måde, som gør det usandsynligt, at der kan ske misbrug.

Centeret vil endvidere kunne lægge vægt på, om et forbud vil kunne have negative konsekvenser for telenettets drift, som overstiger de potentielt negative konsekvenser, hvis den vurderede trussel bliver en realitet. Det vil f.eks. kunne være tilfældet, hvis et forbud mod en aftale gør, at teleudbyderen ikke kan nå at indgå en anden aftale, og hvor konsekvensen dermed kan være, at der sker alvorlige udfald i driften af telenettet. Samme hensyn vil skulle iagttages i forhold til udbyderens mulighed for at varetage public service-relaterede forpligtelser.

Typisk vil der i sådanne tilfælde have været en forudgående dialog mellem Center for Cybersikkerhed og teleudbyderen, hvor centeret vil have tilkendegivet, hvad den maksimale løbetid på aftalen bør være. Hvis det endelige aftaleudkast indebærer en længere løbetid, må teleudbyderen således påregne, at der kan blive nedlagt forbud mod aftaleindgåelsen.

I vurderingen vil det efter den foreslåede stk. 2, nr. 1, bl.a. kunne indgå, om leverandøren, leverandørens væsentligste underleverandører samt aktører, der udøver kontrol over eller har betydelig indflydelse på leverandøren, er hjemmehørende i eller varetager produktionen eller driften fra et land, som Danmark ikke har indgået en sikkerhedsaftale med, eller som Danmark ikke har et tilsvarende sikkerhedsmæssigt samarbejde med.

Sikkerhedsaftaler indgås i forskellige former. Typisk vil sikkerhedsaftaler indeholde nærmere bestemmelser om, hvordan landene som led i samarbejdet skal behandle klassificerede eller på anden måde følsomme oplysninger. Sikkerhedsaftaler indgås derfor typisk kun med lande, der anvender samme principper for håndtering af klassificerede oplysninger som Danmark. Sikkerhedsaftaler vil imidlertid også kunne indgås som specifikke aftaler vedrørende informationssikkerhed på teleområdet.

Bestemmelsen vil også omfatte tilsvarende sikkerhedssamarbejder, hvor der ikke nødvendigvis er indgået en formel sikkerhedsaftale. Mere indirekte sikkerhedssamarbejder, der f.eks. indgås via internationale organisationer, vil ikke være omfattet af begrebet tilsvarende sikkerhedssamarbejder.

En eventuel fastlæggelse, af hvilket land leverandøren, underleverandøren eller aktøren er hjemmehørende i, vil blive foretaget af Center for Cybersikkerhed efter en konkret vurdering. En leverandør, underleverandør eller aktør vil ikke kunne anses for at være hjemmehørende i flere lande samtidigt.

Ved vurderingen af, hvilket land leverandøren, underleverandøren eller aktøren er hjemmehørende i, vil der for fysiske personer blive lagt vægt på, hvilket land den pågældende er statsborger i, og hvor den pågældende er bosat. For juridiske personer vil der ved vurderingen blive lagt særlig vægt på, hvor virksomheden er registreret. Desuden vil der bl.a. kunne lægges vægt på, hvor virksomhedens eventuelle hovedkontor er placeret, hvorfra ledelsesmæssige beføjelser udøves, og hvor medlemmer af direktionen og bestyrelsen er hjemmehørende.

Ved vurderingen af, hvorfra varetagelsen af driften sker, vil der bl.a. kunne lægges vægt på placeringen af de medarbejdere, der udfører de konkrete drifts- og supportopgaver.

Vurderingen af, hvilket land leverandøren, underleverandøren eller aktøren er hjemmehørende i, vil kunne ændres med tiden, hvis deres forhold ændrer sig.

Efter den foreslåede stk. 2, nr. 2, vil det bl.a. også kunne indgå, om leverandøren, leverandørens væsentligste underleverandører samt aktører, der udøver kontrol over eller har betydelig indflydelse på leverandøren, er hjemmehørende i eller varetager produktionen eller driften fra et land, hvor det efter det pågældende lands lovgivning er muligt at pålægge leverandører eller deres underleverandører at udføre eller deltage i forhold, som vil udgøre spionage eller sabotage.

Ved anvendelse af bestemmelsen vil der skulle tages højde for, at forskellige lande har forskellige lovgivningstraditioner. Der vil således kunne ses bort fra ældre bestemmelser, der formelt er gældende, men som efter det pågældende lands lovgivningstradition ikke vil kunne anvendes. Omvendt vil der kunne lægges vægt på en fast administrativ praksis, der giver mulighed for give pålæg om at udføre spionage eller sabotage, hvis det pågældende lands lovgivningstradition indebærer, at reguleringen er bindende, selv om der ikke er en udtrykkelig lovhjemmel. En eventuel fastlæggelse, af hvilket land leverandøren, underleverandøren eller aktøren er hjemmehørende i, vil blive foretaget af Center for Cybersikkerhed efter en konkret vurdering. En leverandør, underleverandør eller aktør vil ikke kunne anses for at være hjemmehørende i flere lande samtidigt.

Ved vurderingen af, hvilket land leverandøren, underleverandøren eller aktøren er hjemmehørende i, vil der for fysiske personer blive lagt vægt på, hvilket land den pågældende er statsborger i, og hvor den pågældende er bosat. For juridiske personer vil der ved vurderingen blive lagt særlig vægt på, hvor virksomheden er registreret. Desuden vil der bl.a. kunne lægges vægt på, hvor virksomhedens eventuelle hovedkontor er placeret, hvorfra ledelsesmæssige beføjelser udøves, og hvor medlemmer af direktionen og bestyrelsen er hjemmehørende.

Ved vurderingen af, hvorfra varetagelsen af driften sker, vil der bl.a. kunne lægges vægt på placeringen af de medarbejdere, der udfører de konkrete drifts- og supportopgaver.

Vurderingen af, hvilket land leverandøren, underleverandøren eller aktøren er hjemmehørende i, vil kunne ændres med tiden, hvis deres forhold ændrer sig.

Efter den foreslåede stk. 2, nr. 3, vil det bl.a. også kunne indgå, om leverandøren, leverandørens væsentligste underleverandører samt aktører, der udøver kontrol over eller har betydelig indflydelse på leverandøren, direkte eller indirekte kontrolleres af et andet lands statslige organer, herunder militære myndigheder.

Ved vurderingen af, hvilken vægt der vil skulle lægges på, at et andet lands statslige organer direkte eller indirekte kontrollerer en leverandør m.v., vil det skulle indgå, om en sådan kontrol vurderes at indebære en øget trussel mod statens sikkerhed. Det forhold, at en leverandør måtte være statsejet, vil således ikke automatisk medføre, at indgåelse af en aftale med den pågældende leverandør vil udgøre en trussel mod statens sikkerhed.

Efter den foreslåede stk. 2, nr. 4, vil det bl.a. også kunne indgå, om leverandøren, leverandørens væsentligste underleverandører samt aktører, der udøver kontrol over eller betydelig indflydelse på leverandøren, er eller har været involveret i aktiviteter i Danmark eller andre lande, som har medført en negativ påvirkning af statens sikkerhed, informationssikkerheden eller den offentlige orden.

Kerneområdet for bestemmelsen vil være situationen, hvor det i udlandet er blevet konstateret, at en leverandør f.eks. har leveret udstyr med indbyggede bagdøre eller på anden vis har foretaget eller forberedt spionage eller sabotage mod telenettet.

Efter det foreslåede § 2, stk. 3, kan Center for Cybersikkerhed kun nedlægge forbud efter det foreslåede stk. 1, hvis hensynet til statens sikkerhed ikke effektivt kan varetages ved mindre indgribende foranstaltninger.

Den foreslåede bestemmelse udtrykker et proportionalitetsprincip, hvorefter Center for Cybersikkerhed forud for nedlæggelse af et forbud mod en aftale skal have søgt at opnå det ønskede resultat gennem mindre indgribende midler. Det vil således være en forudsætning, at Center for Cybersikkerhed har forsøgt at rådgive teleudbyderen om de tilpasninger af aftalen, som vil være nødvendige, for at den ikke længere vurderes at udgøre en trussel mod statens sikkerhed. Center for Cybersikkerhed vil også skulle have vurderet de relevante muligheder i lov om sikkerhed i net og tjenester, herunder eksempelvis muligheden for at give påbud om, at teleudbyderen skal foretage konkrete sikkerhedsforanstaltninger.

Der henvises i øvrigt til afsnit 3.1 i de almindelige bemærkninger.