Rådet for Digital Sikkerhed: Nyt lovforslag giver Center for Cybersikkerhed øget adgang til personoplysninger og virksomhedsdata

Forsvarsministeriet har sendt udkastet til lov om ændring af Lov om Center for Cybersikkerhed i offentlig høring den 8. januar i indeværende år. I den forbindelse har Rådet for Digital Sikkerhed afgivet høringssvar, hvor Rådet først og fremmest noterer sig, at regeringen har god fokus på informations- og cybersikkerhed.

Der er gennem det seneste år iværksat mange gode tiltag. Finansministeriets strategi for cyber- og informationssikkerhed, Digitaliseringsstyrelsens portal Sikker Digital, Erhvervsstyrelsen og Rådets Sikkerhedstjekket, Erhvervsstyrelsens Privacy-kompas, som er ved at blive moderniseret, Justitsministeriets revision af Lov om TV-overvågning, Sektorstrategierne for sikkerhed og senest men ikke mindst nu revisionen af Lov om Center for Cybersikkerhed. Rådet er meget tilfredse med regeringens fokus. Det er afgørende for, at borgerne kan have tillid til digitalisering af samfundet, at der er god fokus på informationssikkerhed i både den offentlige og private sektor. Alle regeringens tiltag bidrager på forskellig vis hertil.

Rådet har overordnet noteret sig, at Center for Cybersikkerhed ønsker at udvide sine muligheder for at gribe ind forskellige steder i den digitale infrastruktur med henblik på at understøtte et højt informationssikkerhedshedsniveau ved at opdage, analysere og bidrage til at imødegå sikkerhedshændelser. Rådet mener, at de udfordringer CFCS søger at adressere og løse er af kritisk betydning for rigets sikkerhed og stabilitet, hvorfor vi anerkender behovet for at øge sikkerheden på den kritiske infrastruktur, hvor dette lovforslag er en ud af flere potentielle løsninger.

Samtidig bemærker Rådet, at på trods af en række fundamentale problemer i lovforslaget, så er den underliggende problemstilling, af en sådan vigtighed, at det er afgørende, at holdbare løsninger findes hertil. Rådet er af den opfattelse, at selvom lovforslaget som det foreligger ved høringen ikke er den retmæssige løsning, kan elementer heraf alligevel danne inspiration for løsninger. Den underliggende målsætning kunne eksempelvis opnås ved, at 1) Sætte minimumskrav til sikkerhed og beredskab for de organisationer, der indgår i den kritiske infrastruktur; 2) Opsætte CFCS services til krypteret modtagelse af relevante anonymiserede sikkerhedshændelser og/eller logninger; 3) Opsætte en statslig pulje af økonomiske midler til finansiering af de nødvendige tiltag og værktøjer ude i de enkelte organisationer. Således opnås det ønskede formål, samtidig med at virksomheder og privates rettigheder respekteres og tilgang til reel data stadig kan betinges af en dommerkendelse.

Med udgangspunkt i en sådan alternativ tilgang, kan Rådets bemærkninger til lovforslaget som det foreligger ved høringen findes her.