Høringssvar - ændring af lov om Center for Cybersikkerhed

Til Forsvarsministeriet

Dansk Vand- og Spildevandsforening (DANVA) mener principielt, at Center for Cybersikkerhed (CFCS) og Forsvarets Efterretningstjeneste (FE) bør have de rammer og den adgang til data, informationer og viden, der er nødvendige for, at CFCS og FE kan være med til at sikre og understøtte samfundet - bl.a. selskabernes IT, driften af forsyningerne mv.

DANVA mener, at det er vigtigt, at lov om Center for Cybersikkerhed løbende, efter behov, justeres til gavn for cybersikkerheds- og efter-retningsarbejdet. DANVA vil gerne fremover sættes på høringslisten, så vi ikke en anden gang skal agere med afsæt i pressens omtale af en høring.

DANVA vil gerne bidrage til at sikre forsyningsselskabernes informations-systemer, der er afgørende for forsyningssikkerheden samt de produkter og services, som vandselskaberne leverer til kunderne. Kritiske digitale systemer og data skal beskyttes effektivt, og CFCS vil på mange måder kunne bidrage til at forbedre cybersikkerheden i forsyningsselskaber.

Udkast til forslag til lov om ændring af lov om Center for Cybersikkerhed finder vi er med til at forbedre rammerne for cybersikkerheds- og efter-retningsarbejdet, og vi værdsætter, at der i bemærkningerne lægges vægt på, at der arbejdes frem mod at etablere et frugtbart og effektivt samarbejde med forsyningsselskaberne.

Vi vil gerne kvittere for, at det fremgår af lovbemærkningerne, at drikkevandsforsyning og –distribution indgår som en særlig samfunds-væsentlig sektor. Vi forventer, at samarbejdet mellem CFCS og vand-sektoren udbygges i de kommende år til fælles fordel for CFCS og vandsektoren.

Udover at loven løbende bør forbedres, anser vi det også for vigtigt, at der løbende tages yderligere initiativer udenfor CFCS regi, der skaber gode vilkår for at forbedre cybersikkerheden. Fx initiativer der kan for-bedre videndeling, krav til leverandører, best-practices, standarder mv.

Vi bemærker, at en del væsentlige forhold er beskrevet i bemærk-ningerne. Forhold, der er afgørende for at få en god implementering og for CFCS’s virke. Væsentlige forhold er understreget nedenfor i 5 kort-fattede afsnit sammen med få forslag til forbedringer af udkastet. Vi har i vores høringssvar primært fokus på forhold, der er afgørende for et velfungerende cybersikkerhedssamarbejde mellem CFCS og vand-sektorens forsyningsselskaber, da vi finder, at det er her, DANVA fremadrettet har en central rolle.

Velfungerende cybersikkerhedsarbejde, frugtbart og klart samarbejde mellem CFCS og selskaberne

Det er vigtigt, at der etableres et frugtbart og velfungerende, dialog-baseret samarbejde mellem CFCS og de selskaber, der, enten frivilligt eller via påbud, er med i netsikkerhedstjenesten. Dette indebærer, at det er synligt og klart, hvilke midler og mål samarbejdet er baseret på. Derfor værdsætter vi, at der i bemærkningerne lægges vægt på, at samarbejdet om netsikkerhedstjenesten tager højde for selskabernes behov, og at aftaler er dialogbaserede.

Omfattede virksomheder
I forhold til de virksomheder, som efter forslaget skal være omfattet af loven, er der behov for, at det uddybes, hvilke kriterier der kan indgå i CFCS’s vurdering af, hvilke virksomheder der kan tilsluttes netsikkerheds-tjenesten, og hvilke der ved eventuelt pålæg skal tilsluttes, herunder hvad der nærmere menes med virksomheder af samfundsvigtig karakter og virksomheder af særlig samfundsvigtig karakter.

Det er afgørende for virksomhederne, at påbudsafgørelser foretages på proportionale og gennemskuelige vilkår, ligesom det må kræves, at CFCS’s afgørelse herom er begrundet og kan påklages.

Påbud og aftaler - tidsbegrænsede og velbegrundede

CFCS og det enkelte selskab bør regelfast være i dialog om samarbejdet og justere påbud, tilslutningsaftaler og øvrige samarbejdsaftaler. Vores betragtning er baseret på, at dette sikrer, at påbud og aftaler regel-mæssigt genovervejes og tilrettes, og samarbejdet justeres for at undgå, at der opstår uhensigtsmæssigheder, unødig administration og arbejde.

Det er DANVAs opfattelse, at det bør tilføjes, at adgang til data uden retskendelse fordrer, at CFCS kan godtgøre, at der er en begrundet mistanke og i øvrigt naturligvis, at indgrebet var nødvendigt for at undgå, at formålet forspildes. Hertil skal lægges et almindeligt krav om ret til domstolsprøvelse. Det forekommer retssikkerhedsmæssigt betænkeligt, at en myndighed på så løst et grundlag som en vurdering af ”et højt informationssikkerhedsniveau” kan knægte en grundlovssikret ret om privatlivets fred.

Vi håber, at deltagelse i netsikkerhedstjenesten giver ’value for money’, så flere selskaber vil indgå i netsikkerhedstjenesten.

Indvirkning på selskabernes økonomi og kompensation

Det er ikke velbeskrevet, hvilke omkostninger – direkte som indirekte – loven vil afstedkomme for selskaberne. Selskaber, der som følge af den nye lov må afsætte ressourcer og økonomi hertil, bør kompenseres, så samfundsvæsentlige selskaber ikke straffes økonomisk og ressource-mæssigt: Fx hvis et selskab efter kriterier (der pt. er uklare) påbydes deltagelse i netsikkerhedstjenesten og dermed pålægges omkostninger og må anvende ressourcer på samarbejdet. Det synes at give mening, at sammenhængen med den økonomiske regulering for vandsektoren overvejes, således at selskaberne sikres omkostningsdækning.

Erstatningsansvar ved sikkerhedsbrud forårsaget af CFCS

Fejl og sikkerhedsbrud kan opstå i forbindelse med CFCS’s og selskab-ernes samarbejde både i forbindelse med databehandling og data-kommunikation. Disse sikkerhedsbrud vil i værste tilfælde kunne medføre store omkostninger for selskaberne eller på anden måde have en negativ effekt på selskaberne. CFCS’s ansvar og erstatningsansvar i forbindelse med sikkerhedsbrud, forårsaget af CFCS, bør beskrives i bemærkningerne om erstatningsansvar side 58-59. Det skal sikres, at sandsynligheden for sikkerhedsbrud minimeres, og at der er en ansvarsfordeling og organise-ring, der tager hånd om sikkerhedsbrud, så der ikke opstår tvister mv.

Sikring af selskabernes data, kundedata og databeskyttelsesloven

Beskyttelse af kunde- og selskabsdata er meget vigtig og bør prioriteres højt. Der bør være saglige, faste og velbeskrevne regler for CFCS’s data-behandling og sletning af data, i det omfang det er muligt. CFCS bør kun behandle og analysere data efter klare regler og bør ikke opbevare over-flødige data. Selskaber bør underrettes regelfast, hvis data, herunder kundedata, blokeres eller slettes, og kommunikation forsinkes, så selskaberne er bekendt hermed og kan tage højde for dette. Det er afgørende, at persondata beskyttes, at meddelelseshemmeligheden håndhæves, og at CFCS’s arbejde tager højde for databeskyttelsesloven.

Videndeling og udsendelse af advarsler og operationel information

De indsamlede data, information og viden skal deles til gavn for forsyningsselskaber m. fl. I bemærkningerne kommer det også frem, at selskaberne får afrapportering af overvågningen og logs. Det er meget positivt, at der afrapporteres, og vi ser frem til, at det sker på en operationel måde. Selskaber bør også videregive data, information og viden om cybersikkerhed, herunder trusler, som selskaberne mener vil kunne bidrage til CFCS’s arbejde.
CFCS bør generelt bestræbe sig på at publicere information og viden om cybersikkerhed til gavn for forsyningskritiske selskaber fx via nyheds-tjenester, databaser eller lign., hvor der publiceres advarsler, Indicators of compromise, IOC, guidelines mv.

CFCS er en del af Danmarks efterretningstjeneste. Det indebærer, at en stor del af centrets aktiviteter er fortrolige. Det medfører samtidig, at selskaber, øvrige myndigheder og borgere må have tillid til centrets arbejde og aktiviteter. I forhold til samfundskritiske forsyningsselskaber anbefaler DANVA, at der er fortrolighed og en så stor åbenhed som muligt mellem centret og selskaberne. Dette vil kunne danne et godt udgangs-punkt for at parterne - samlet – kan arbejde effektivt med at forbedre cybersikkerheden.

DANVA står naturligvis til rådighed for en uddybning eller yderligere diskussion af indholdet.


Med venlig hilsen

DANVA