TI har sammen med DI Digital og IT-Branchen rettet en henvendelse til Forsvarsudvalget med en opfordring til at revidere reglerne om net- og informationssikkerhed. De nye regler skaber stor uklarhed og uforudsigelighed for teleselskaberne.

Som branche ønsker vi selvfølgelig et højt sikkerhedsniveau med effektiv beskyttelse mod it-relaterede trusler. Vi vurderer imidlertid ikke, at de forbedringer i informationssikkerheden, der opnås med de nye bekendtgørelser, står mål med de byrder, der pålægges erhvervslivet.

Vi opfordrer derfor til, at reglerne på området relativt hurtigt underlægges en revision, og at CFCS anlægger en praksis på området baseret på dialog og samarbejde med telebranchens aktører om at styrke sikkerheden. 

/Jakob Willer – 20102365

Se henvendelsen af 6. juli 2016 her:

Til forsvarsordførerne

Lov om net- og informationssikkerhed trådte i kraft d. 1. juli 2016.

I telebranchens høringssvar til selve loven og til bekendtgørelserne har vi udtrykt stor bekymring for den uforudsigelighed, som telebranchen stilles overfor med de nye regler, som udstedes af Center for Cybersikkerhed (CFCS).

På trods af visse tilretninger i bekendtgørelserne er det efter vores opfattelse fortsat meget uklart, hvilke forpligtelser teleselskaber i praksis kan blive pålagt, hvilke retssikkerhedsmæssige garantier, de har, samt hvilke omkostninger og administrative byrder, loven og bekendtgørelserne vil medføre.

Det er overordnet vores bekymring, at omfanget af de i bekendtgørelserne anførte forpligtelser er så vidtgående, at det i praksis er hindrende både for innovation og vækst, samt for udvikling af sikkerhed i telebranchen. Det er vores vurdering, at disse regler faktisk kan mindske Danmarks mulighed for at følge med den teknologiske udvikling – også når det gælder implementeringen af nye sikkerhedsteknologier.

Som branche ønsker vi selvfølgelig et højt sikkerhedsniveau med effektiv beskyttelse mod it-relaterede trusler. Vi vurderer imidlertid ikke, at de forbedringer i informationssikkerheden, der opnås med de foreliggende bekendtgørelser, står mål med de byrder, der pålægges erhvervslivet.

Vi opfordrer derfor til, at reglerne på området relativt hurtigt underlægges en revision, og at CFCS anlægger en praksis på området baseret på dialog og samarbejde med telebranchens aktører om at styrke sikkerheden. 

Med venlig hilsen

Jakob Willer, direktør – Teleindustrien

Birgitte Hass, adm. direktør – IT-Branchen

Peder Søgaard-Pedersen, fagleder – DI Digital

Baggrund:

Bekendtgørelserne giver CFCS mulighed for at pålægge udbyderne meget vidtgående påbud uden nærmere afgrænsning af kriterierne for skønsudøvelsen.

Den usikkerhed og uforudsigelighed i rammevilkår, der er skabt med den nye regulering vil i praksis kunne stå i vejen for innovation og investeringer i ny teknologi. Derved er reglerne i modstrid med de politiske visioner om, at Danmark skal ligge blandt de førende IT-nationer.

Det er vores opfattelse, at CFCS’ rolle i forbindelse med sikkerhed i de private erhverv primært bør være vejledende og ikke styrende. De vedtagne retningslinjer fratager i praksis telebranchen råderet over udviklingen af sikkerheden i egne platforme. Efter vores vurdering er branchen bedre i stand til selv at udvikle sikkerhedsstandarder for erhvervet, og det risikerer at skade sikkerhedsniveauet, at CFCS nu i praksis fratager branchen denne mulighed.

Telebranchen finder det fortsat problematisk, at:

Udmøntningen af loven i de foreliggende bekendtgørelser går videre end (overimplementerer) de gældende EU-regler og indføres før, der er lavet fælles europæiske regler på området. Det betyder, at danske udbydere – uden faglig eller saglig begrundelse – bliver pålagt strengere krav end øvrige udbydere i EU til skade for branchens konkurrenceevne og for investeringer i dansk teleinfrastruktur

En dansk særregulering, som bekendtgørelserne er udtryk for, kan udgøre en væsentlig barriere for udbuddet af nye innovative tjenester, teknologier og systemer på det danske marked, da kravene er markant anderledes, end hvad der gælder i EU i øvrigt. CFCS har i processen udtrykt ”at det ikke nødvendigvis vil være en ulempe, såfremt udenlandske leverandører, der ser de relativt beskedne sikkerhedskrav i bekendtgørelserne som en barriere, fravælger det danske marked”. Vi stiller os uforstående overfor, at en statslig myndighed får så vide rammer, at vi som industri afskæres fra at finde de mest optimale løsninger på et internationalt marked.

De erhvervsøkonomiske konsekvenser af bekendtgørelser i praksis er ukendte, idet vurderingen i høringsmaterialet langt fra giver et reelt billede af de byrder, der pålægges erhvervslivet. Vi finder det dertil bekymrende, at branchen ikke er inddraget i vurderingen af de økonomiske konsekvenser.

En række kriterier og definitioner i bekendtgørelserne ikke er afgrænset tilstrækkeligt konkret. Dette gælder for eksempel definitionen af ’kritiske netkomponenter’ og ’væsentlig samfundsmæssig betydning’. Disse forhold gør i praksis, at der gives nærmest ubegrænset mulighed for påbud fra CFCS, hvorfor rammevilkårene for udbyderne bliver uforudsigelige og uklare.

Forhandlinger om systemer og netkomponenter vil fremover være omfattet af en forpligtelse til at underrette CFCS. Denne omfattende proces vil medføre et ikke ubetydeligt ressourcepres på både selskaber og CFCS, hvorfor lang sagsbehandlingstid må forventes. Dette kan i sig selv forsinke indførslen af nye teknologier i danske telenet.