Telesikkerhedsloven § 3

Det foreslås med § 3, stk. 1, 1. pkt., at Center for Cybersikkerhed i særlige tilfælde kan forbyde en væsentlig erhvervsmæssig udbyder af offentligt tilgængelige elektroniske kommunikationsnet og -tjenester at opretholde en indgået aftale, der vedrører kritiske netkomponenter, systemer og værktøjer, herunder varetagelsen af driften heraf, hvis opretholdelse af aftalen vurderes at udgøre en væsentlig trussel mod statens sikkerhed.

Mens den foreslåede § 2 finder anvendelse forud for, at en aftale er indgået, så er anvendelsesområdet for den foreslåede § 3, stk. 1, de situationer, hvor der allerede er indgået en aftale. Der vil være tale om aftaler, der er indgået den 7. december 2020 eller senere, idet anvendelsesområdet dog fra den 1. januar 2026 udvides til at omfatte alle aftaler, også aftaler indgået før den 7. december 2020, jf. de foreslåede bestemmelser i § 17, stk. 2 og 3.

Bestemmelsen vil først og fremmest finde anvendelse, hvis det ved aftaleindgåelsen er blevet vurderet, at der ikke har været grundlag for at nedlægge forbud mod aftalen efter den foreslåede § 2, men der efterfølgende er sket en ændring, som gør, at der ville være blevet nedlagt forbud, hvis de ændrede forhold havde været en realitet ved aftaleindgåelsen. Disse forhold vil dog skulle udgøre en væsentlig trussel mod statens sikkerhed, hvilket er et skærpet krav i forhold til kravet i den foreslåede § 2. For at der foreligger en væsentlig trussel mod statens sikkerhed, vil det være et krav, at truslen er mere konkretiseret. Ændrede forhold vil f.eks. kunne være, at leverandøren har skiftet ejer, at det efter aftaleindgåelsen er konstateret, at leverandøren negativt har påvirket informationssikkerheden i forbindelse med sammenlignelige aftaler i udlandet, eller at der er sket ændringer i lovgivningen i leverandørens hjemland, således at leverandøren kan pålægges at udføre spionage eller sabotage.

Center for Cybersikkerhed vil typisk få oplysninger om ændrede forhold som led i centerets tilsynsvirksomhed efter lov om sikkerhed i net og tjenester, jf. lovbekendtgørelse nr. 153 af 1. februar 2021, fra den efterretningsmæssige del af Forsvarets Efterretningstjeneste, fra andre relevante myndigheder i ind- og udland, herunder som led i udvekslingen af oplysninger om screeninger af direkte investeringer i andre EU-lande, samt fra medieomtale. Center for Cybersikkerhed vil desuden som led i den almindelige sagsoplysning inddrage fagmyndigheder, herunder Erhvervsstyrelsen og Energistyrelsen, i relevant omfang.

Bestemmelsen vil imidlertid også finde anvendelse på aftaler, der ikke tidligere er blevet vurderet efter § 2. Det kan både være aftaler, der er indgået i perioden fra lovens virkningstidspunkt til lovens ikrafttræden, og aftaler, der omfattes af den foreslåede ordning, når anvendelsesområdet fra den 1. januar 2026 udvides til at omfatte aftaler, der er indgået før den 7. december 2020.

Hvis en aftale tidligere har været vurderet efter den foreslåede § 2, vil det være en forudsætning for anvendelse af bestemmelsen, at der er sket en ændring af forhold vedrørende leverandøren m.v. Hvis der alene er tale om, at Center for Cybersikkerhed anlægger en anden vurdering af forhold, der allerede var kendt ved en vurdering efter § 2 forud for aftaleindgåelsen, vil der ikke kunne nedlægges forbud efter den foreslåede bestemmelse.

Center for Cybersikkerhed vil skulle foretage en samlet vurdering af, om aftalen må anses for at udgøre en væsentlig trussel mod statens sikkerhed. Udtrykket statens sikkerhed anvendes i lov om sikkerhed i net og tjenester og skal forstås i overensstemmelse med det EU-retlige udtryk den nationale sikkerhed. Der vil dermed som udgangspunkt skulle være tale om væsentlige trusler mod samfundskritiske funktioner, herunder deres medarbejderes kommunikation. Er der alene tale om en væsentlig trussel om, at der kan ske industrispionage mod private virksomheder, vil det falde udenfor anvendelsesområdet, med mindre industrispionagen har en karakter, hvor den kan udgøre en væsentlig trussel mod statens sikkerhed, f.eks. hvis der er tale om industrispionage mod virksomheder i forsvarsindustrien eller forskningsindustrien.

Det følger af den foreslåede bestemmelse, at bestemmelsen finder anvendelse i særlige tilfælde. Ved særlige tilfælde forstås efter bestemmelsen tilfælde, hvor der dels er tale om en trussel mod statens sikkerhed, dels ikke er mulighed for at anvende mindre indgribende midler.

Kerneområdet vil være situationer, hvor Center for Cybersikkerhed vurderer, at der nu er en risiko for, at en leverandør vil misbruge aftalen til at forberede eller udføre sabotage mod telenettet, som kan medføre, at telenettet helt eller delvist afbrydes. Det vil f.eks. kunne være tilfældet, hvis aftalen omfatter leverancer, hvor Center for Cybersikkerhed vurderer, at der nu er risiko for, at leverandøren indbygger bagdøre, som gør det muligt for leverandøren at afbryde eller på anden måde foretage uautoriseret påvirkning af dele af telenettet. Det vil også være tilfældet, hvis aftalen omfatter drift af systemer, hvor der nu vurderes at være risiko for, at leverandøren gennem adgangen til systemerne vil foretage en hel eller delvis afbrydelse.

Der vil endvidere kunne være tale om situationer, hvor Center for Cybersikkerhed vurderer, at aftalen indebærer risiko for, at en leverandør nu vil misbruge aftalen til at foretage spionage mod samfundskritiske funktioner, herunder deres medarbejderes eller samarbejdspartneres kommunikation.

Retsvirkningen af, at der nedlægges forbud mod en aftale, vil være, at aftalen bliver ugyldig mellem parterne, jf. den foreslåede § 16. Såfremt aftalen videreføres, vil Center for Cybersikkerhed kunne træffe afgørelse om sanktion efter den foreslåede § 15.

Det foreslås med § 3, stk. 1, 2. pkt., at Center for Cybersikkerhed ved vurderingen kan lægge vægt på de forhold, som fremgår af § 2, stk. 2.

Der henvises til bemærkningerne til den foreslåede § 2, stk. 2.

Det foreslås med § 3, stk. 2, 1. pkt., at Center for Cybersikkerhed endvidere i særlige tilfælde kan forbyde en væsentlig erhvervsmæssig udbyder af offentligt tilgængelige elektroniske kommunikationsnet og -tjenester at anvende kritiske netkomponenter, systemer og værktøjer, der er leveret, såfremt anvendelsen vurderes at udgøre en væsentlig trussel mod statens sikkerhed.

Bestemmelsens anvendelsesområde vil være situationer, hvor en teleudbyder har fået leveret kritiske komponenter, systemer m.v. som led i en aftale med en leverandør, men hvor aftalen ikke længere er aktiv, f.eks. fordi den alene omfattede den nu gennemførte leverance. Situationen vil i så fald ikke være omfattet af det foreslåede stk. 2. Bestemmelse vil give Center for Cybersikkerhed mulighed for at nedlægge forbud mod, at teleudbyderen anvender de leverede kritiske komponenter, systemer m.v., hvis anvendelsen vurderes at udgøre en væsentlig trussel mod statens sikkerhed.

Bestemmelsen vil omfatte kritiske komponenter, systemer m.v., der er leveret som led i aftaler, der er indgået den 7. december 2020 eller senere, idet anvendelsesområdet dog fra den 1. januar 2026 udvides til at omfatte leverancer, der er sket som led i alle aftaler, også aftaler indgået før den 7. december 2020, jf. den foreslåede § 17, stk. 2 og 3.

Bestemmelsen vil først og fremmest finde anvendelse, hvis det ved aftaleindgåelsen er blevet vurderet, at der ikke har været grundlag for at nedlægge forbud mod aftalen efter den foreslåede § 2, men hvor der efterfølgende er sket en ændring, som gør, at der ville være blevet nedlagt forbud, hvis de ændrede forhold havde været en realitet ved aftaleindgåelsen. Disse forhold vil dog skulle udgøre en væsentlig trussel mod statens sikkerhed, hvilket er et skærpet krav i forhold til kravet i den foreslåede § 2. For at der foreligger en væsentlig trussel mod statens sikkerhed, vil det være et krav, at truslen er mere konkretiseret. Ændrede forhold vil f.eks. kunne være, at det efter aftaleindgåelsen er konstateret, at leverandøren negativt har påvirket informationssikkerheden i sammenlignelige komponenter, systemer m.v.

Bestemmelsen vil imidlertid også finde anvendelse på visse leverancer efter aftaler, der ikke tidligere er blevet vurderet efter § 2. Det kan både være aftaler, der er indgået i perioden fra lovens virkningstidspunkt til lovens ikrafttræden, og aftaler, der omfattes af den foreslåede ordning, når anvendelsesområdet fra den 1. januar 2026 udvides til at omfatte aftaler, der er indgået før den 7. december 2020.

Hvis en aftale tidligere har været vurderet efter den foreslåede § 2, vil det være en forudsætning for anvendelse af bestemmelsen, at der er sket en ændring af forhold vedrørende leverandøren m.v. Hvis der alene er tale om, at Center for Cybersikkerhed anlægger en anden vurdering af forhold, der var kendt ved en vurdering efter § 2 forud for aftaleindgåelsen, vil der ikke kunne nedlægges forbud efter den foreslåede bestemmelse.

Center for Cybersikkerhed vil skulle foretage en samlet vurdering af, om komponenten, systemet m.v. må anses for at udgøre en væsentlig trussel mod statens sikkerhed. Udtrykket statens sikkerhed anvendes i lov om sikkerhed i net og tjenester og skal forstås i overensstemmelse med det EU-retlige udtryk den nationale sikkerhed. Der vil som udgangspunkt skulle være tale om væsentlige trusler mod samfundskritiske funktioner og deres kommunikation, herunder deres medarbejderes kommunikation. Er der alene tale om en væsentlig trussel om, at der kan ske industrispionage mod private virksomheder, vil det falde udenfor anvendelsesområdet, med mindre industrispionagen har en karakter, hvor det kan udgøre en væsentlig trussel mod statens sikkerhed, f.eks. hvis der er tale om industrispionage mod virksomheder i forsvarsindustrien eller forskningsindustrien.

Det følger af den foreslåede bestemmelse, at bestemmelsen finder anvendelse i særlige tilfælde. Ved særlige tilfælde forstås efter bestemmelsen tilfælde, hvor der dels er tale om en trussel mod statens sikkerhed, dels ikke er mulighed for at anvende mindre indgribende midler.

Kerneområdet vil være situationer, hvor Center for Cybersikkerhed vurderer, at der nu er risiko for, at komponenten, systemet m.v. vil misbruges til at forberede eller udføre sabotage mod telenettet, som kan medføre, at telenettet helt eller delvist afbrydes. Det vil f.eks. kunne være tilfældet, hvis der er tale om kritiske komponenter, systemer m.v., hvor Center for Cybersikkerhed vurderer, at der nu er risiko for, at leverandøren har indbygget bagdøre, som gør det muligt for leverandøren at afbryde eller på anden måde foretage uautoriseret påvirkning af dele af telenettet.

Der vil endvidere kunne være tale om situationer, hvor Center for Cybersikkerhed vurderer, at fortsat brug af kritiske komponenter, systemer m.v. vil indebære risiko for, at en leverandør nu vil misbruge dem til at foretage spionage mod samfundskritiske funktioner, herunder deres medarbejderes eller samarbejdspartneres kommunikation.

Center for Cybersikkerhed vil som nævnt skulle foretage en samlet vurdering. Her vil den potentielle trussel og dennes karakter også skulle vejes op mod karakteren af komponenten, systemet m.v. Jo mere kritiske dele af telenettet, som komponenten, systemet m.v. anvendes i, jo mindre vil der skulle til, for at der kan siges at være tale om en væsentlig trussel mod statens sikkerhed.

Centeret vil endvidere kunne lægge vægt på, om et forbud vil kunne have negative konsekvenser for telenettets drift, som overstiger de potentielt negative konsevenser, hvis den vurderede trussel bliver en realitet.

Det foreslås med § 3, stk. 2, 2. pkt., at Center for Cybersikkerhed ved vurderingen kan lægge vægt på de forhold, som fremgår af § 2, stk. 2.

Der henvises til bemærkningerne til den foreslåede § 2, stk. 2.

Det foreslås med § 3, stk. 3, at Center for Cybersikkerhed kan fastsætte en frist for, hvornår en aftale skal være afviklet efter stk. 1, og hvornår anvendelse af kritiske netkomponenter, systemer og værktøjer skal være ophørt efter stk. 2.

Det forudsættes, at Center for Cybersikkerhed efter høring af teleudbyderen foretager en vurdering af på den ene side behovet for hurtigst muligt at fjerne en væsentlig trussel mod statens sikkerhed, og på den anden side hensynet til den fortsatte og stabile drift af den kritiske teleinfrastruktur. Nedlæggelse af forbud bør således ikke føre til, at der sker afbrydelser på telenettet, fordi teleudbyderen ikke har haft mulighed for at indgå eller implementere en ny aftale. På den baggrund bør Center for Cybersikkerhed som udgangspunkt fastsætte en nærmere frist, som er baseret på, hvornår en loyalt agerende teleudbyder kan have taget de nødvendige forholdsregler.

I særligt alvorlige tilfælde, hvor der f.eks. konstateres et igangværende misbrug, vil Center for Cybersikkerhed dog kunne fastsætte, at aftalen skal afvikles straks, eller at anvendelsen skal ophøre straks.

Det foreslås med § 3, stk. 4, at Center for Cybersikkerhed kun kan nedlægge forbud efter stk. 1 og 2, hvis hensynet til statens sikkerhed ikke effektivt kan varetages ved mindre indgribende foranstaltninger.

Den foreslåede bestemmelse udtrykker et proportionalitetsprincip, hvorefter Center for Cybersikkerhed forud for nedlæggelse af et forbud skal have søgt at opnå det ønskede resultat gennem mindre indgribende midler. Det vil således være en forudsætning, at Center for Cybersikkerhed har forsøgt at rådgive teleudbyderen om de tilpasninger af aftalen eller de sikkerhedsmæssige ændringer af kritiske komponenter, systemer m.v., som vil være nødvendige, for at der ikke længere vurderes at være en væsentlig trussel mod statens sikkerhed. Center for Cybersikkerhed vil også skulle have overvejet de relevante muligheder i lov om sikkerhed i net og tjenester, herunder eksempelvis muligheden for at give påbud om, at teleudbyderen skal foretage konkrete sikkerhedsforanstaltninger.

Der henvises i øvrigt til afsnit 3.1 i de almindelige bemærkninger.