EU-cybersikkerhedscenter – cyberforsvarsaftale
Finansminister Kristian Jensen (V) overtog forelæggelsen i europaudvalget mandag 11. marts af et EU-forslag om cybersikkerhed, mens forsvarsminister Claus Hjort Frederiksen (V) lagde sidste hånd på regeringens aftale med Socialdemokratiet, Dansk Folkeparti og Det radikale Venstre om ændringer i loven om Center for Cybersikkerhed. Dagen efter – tirsdag 12. marts – stemte EU-parlamentet for it-sikkerhedsforslaget, og forsvarsministeren åbnede for at lade cybersikkerhedsloven gælde i Grønland.
MANDAT TIL EU-CYBERSIKKEHEDSCENTER
Af Claus Djørup
EU-landene vedtager formentlig i nær fremtid at oprette et kompetencecenter for cybersikkerhed, der skal styrke sikkerheden for virksomheder og borgere og gøre it-sikkerhed til en konkurrencemæssig fordel.
Forordningsforslaget udgøres af tre elementer:
1) Et industri-, teknologi- og forskningskompetencecenter for cybersikkerhed, der forventes placeres i Bryssel.
2) Netværket af nationale koordinationscentre.
3) Fagligt kompetencefællesskab af industrielle, akademiske og almennyttige forskningsinstitutioner, organisationer, sammenslutninger og andre enheder.
Erhvervspolitik
Begrundelsen for forslaget er primært erhvervspolitik og også forbrugerpolitik, og derfor kunne det sagtens tænkes at blive placeret et andet sted, påpegede finansminister Kristian Jensen (V) ved forelæggelsen i europaudvalget mandag 11. marts, hvor han vikarierede for forsvarsminister Claus Hjort Frederiksen (V).
– Det er ikke fastlagt, om Center for Cybersikkerhed skal være det nationale kompetencecenter. Forslaget har ophæng på at være erhvervspolitik og derfor godt finde en anden national forandring end Center for Cybersikkerhed, erklærede Kristian Jensen.
Den udtalelse var stilet til Rasmus Nordqvist (AL), som er bekymret for gennemsigtigheden og frygter militarisering af cybersikkerhed, hvis Danmarks nationale koordinationscenter lægges ind under Center for Cybersikkerhed, der er en enhed i forsvarets regi. Det skal være en civil myndighed, lød hans opfordring.
Forskning og teknologi
De to anvendte hjemler har med finansministerens ord ”ophæng inden for forskning og konkurrenceevne” og altså ikke omfattet af forsvarsforbeholdet, nemlig 1) oprettelse af fællesforetagender inden for forskning, teknologisk udvikling og administration konkurrence og 2) EU-industriens konkurrenceevne.
Centeret får ikke operative opgaver.
Finansieres over EU-budgettet
Udgiften bliver årligt 2,1 milliarder kroner, hvoraf den danske del svarer til 43 millioner kroner.
For hele budgetperioden 2021-2027 er budgettet knap 2 milliarder euro (14,8 mia. kr.), hvoraf Danmarks andel er 2 procent – 300 millioner kroner – via medlemsbidraget.
Altså mange penge, og det kunne være det dobbelte. Kompromisforslaget lægger op til, at den nationale medfinansiering på et tilsvarende beløb udgår.
Det er meget om for finansministeren, at pengene findes inden for budgettet, som ifølge de budgetrestriktive lande såsom Danmark skal holdes på én procent af EU27-landenes bruttonationalindkomst (bni). Det øger i øvrigt sparekravet efter nettobidragslandet Storbritanniens udtræden.
Videre skal der ikke være national medfinansiering.
NATO-regnskabet
Samtidig vil regeringen om muligt medregne de 300 millioner kroner i Danmarks forsvarsudgifter i NATO-opgørelsen.
Her lå Enhedslistens begrundelse for at votere nej til mandatet, nemlig sammenblanding af civile og militære aspekter. Søren Bo Søndergaard (EL) vil ikke være med til en stigning i forsvarsbudgettet.
Dansk Folkeparti kan ikke se en reel merværdi i forslaget, som Kenneth Kristensen Berth (DF) betegner udtryk for knopskydningstyranniet i EU.
AFTALE OM OFFENTLIGT-PRIVAT CYBERSIKKERHEDSRÅD MED VEKSLENDE FORMANDSKAB
Tilbage på kontoret meddelte Kristian Jensen sammen med innovationsminister Sophie Løhde (V) i en pressemeddelelse, at der nedsættes et cybersikkerhedsråd, der skal rådgive regeringen om, hvordan den nationale cyber- og informationssikkerhedsstrategi skal udvikles.
Det er en konsekvens af regeringens aftale samme dag med S, DF og R om ændringer i loven om Center for Cybersikkerhed (CFCS).
”Rådet vil bestå af Digitaliseringsstyrelsen, Center for Cybersikkerhed samt repræsentanter med særlig it-sikkerhedsmæssig kompetence fra den private sektor, brancheorganisationer, forskningsverdenen og forbrugersiden,” hedder det.
Digitaliseringsstyrelsen og Center for Cybersikkerhed vil på skift varetage formandsskabet for rådet
Det nye råd vil Rådet erstatter det ”advisory board for cyber- og informationssikkerhed”, som regeringen nedsatte sidste år.
Hovedpunkter
Forsvarsforligspartiernes hovedpunkter i de kommende CFCS-lovændringer:
* Gebyret for tilslutning til Center for Cybersikkerheds særlige netsikkerhedstjeneste fjernes.
* I helt særlige tilfælde vil visse myndigheder og virksomheder, der er en del af Danmarks kritiske infrastruktur, kunne få påbud om tilslutning til netsikkerhedstjenesten.
* CFCS får mulighed for – efter aftale med den enkelte myndighed eller virksomhed – at levere et aktivt cyberforsvar.
* CFCS’ nuværende monitorering af internetforbindelserne kan suppleres af sikkerhedssoftware, der installeres på f.eks. pc’er og servere.
* CFCS kan gennemføre forebyggende sikkerhedstekniske undersøgelser efter aftale med den enkelte myndighed eller virksomhed, hvor man søger at identificere sårbarheder og vurdere robustheden af it-systemer.
* Der kan ikke gives påbud om installation af sikkerhedssoftware.
* CFCS’ afrapportering efter sikkerhedstekniske undersøgelser anonymiseres.
* Indgrebsadvokater skal ikke medvirke i editionssager, dvs. der skal ikke være hemmelige partsadvokater ved udlevering af materiale.
”Det er aftaleparternes forventning, at lovforslaget vil bidrage til at øge fokus på alvoren af cybertruslen og dermed også styrke det private marked for it-sikkerhedsløsninger,” hedder det.
GRØNLAND OVERVEJER CFCS-LOV
Forsvarsministeriet og Center for Cybersikkerhed drøfter cybertruslen med de grønlandske myndigheder og behovet for at sætte CFCS-loven helt eller delvis i kraft for Grønland, oplyser forsvarsminister Claus Hjort Frederiksen (V) i et svar tirsdag (12. marts) til Aaja Chemnitz Larsen (IA).
Center for Cybersikkerhed kan på frivillig basis og efter aftale yde rådgivning til Grønland om cyber- og informationssikkerhed, men kan med den nuværende lovgivning ikke udføre de myndighedsopgaver i Grønland, som lovgivningen giver mulighed for i Danmark.
– Det betyder, at der vil kunne opstå forskellige niveauer af cyber- og informationssikkerhed i de forskellige dele af kongeriget, skriver Claus Hjort Frederiksen.
OVERVÆLDENDE FLERTAL I EP
EU-parlamentet stemte tirsdag 12. marts for forordningen med 586 stemmer for, 44 imod og 36 blanke, oplyser parlamentets pressetjeneste.
Tilbage står som sagt ministerrådet og en trilog om den endelige udformning.
Forordningen “opretter den første paneuropæiske cybersikkerhedscertificeringsordning for at sikre, at certificerede produkter, processer og tjenester, der sælges i EU-landene, opfylder cybersikkerhedsstandarder,” forklarer EP.
“EU’s nye lovgivning om cybersikkerhed, som allerede er aftalt uformelt med medlemsstaterne, understreger betydningen af at certificere kritisk infrastruktur, herunder energinettet, vand, energiforsyninger og banksystemer, ud over produkter, processer og tjenester,” fortsætter EP.
EU-kommissionen skal senest i 2023 vurdere, om nogle af de nye frivillige ordninger bør gøres obligatoriske.
“Forordningen om cybersikkerhed indeholder også bestemmelser om et permanent mandat og flere ressourcer til EU’s Agentur for Cybersikkerhed, ENISA,” slutter pressemeddelelsen. (Dj/130319)
© Ophavsretsklausul: Fagpressebureauets artikler og billeder må kun anvendes, distribueres eller publiceres efter aftale. Dette gælder også de i artiklerne nævnte personer, institutioner og virksomheder.