Nyhed

Skærpede krav til sikkerhed i kritisk infra­struktur med nyt lovforslag

Fra den 1. juli 2021 kan teleudbydere blive ramt af indgribende forbud mod at bruge visse leverandører og underleverandører. Det er et af hovedelementerne i et lovforslag om leverandørsikkerhed i den kritiske teleinfrastruktur, som regeringen har fremsat. I denne nyhed giver vi dig hovedtrækkene i lovforslaget, som har til hensigt at imødegå de største cyberrisici i den kritiske teleinfrastruktur – særligt i forbindelse med udrulningen af 5G-teknologien.

Mand sidder ved computer med mobil i hånden

Lovforslaget lægger op til, at Center for Cybersikkerhed (CFCS) skal have ret til at forbyde teleudbydere med over 50.000 private kunder og/eller 500 statslige kunder at indgå nye aftaler, opretholde eksisterende aftaler og anvende kritiske netkomponenter, systemer m.v., hvis de vurderes at udgøre en trussel mod statens sikkerhed. 

Formålet med lovforslaget er at kunne udelukke udvalgte virksomheder fra at bygge og drive kritisk, dansk infrastruktur og dermed reducere risikoen for, at fremmede aktører installerer "bagdøre" i teleudstyret, der kan udnyttes til eksempelvis spionage, overvågning og sabotage. Med andre ord gør lovforslaget telekommunikation til en del af kritisk dansk infrastruktur og cybersikkerhed til en parameter ved indkøb af ydelser og komponenter til den kritiske teleinfrastruktur. 

Lovforslaget bygger ovenpå de gældende regler i lov om sikkerhed i net og tjenester, hvorefter CFCS skal underrettes, før en teleudbyder indleder forhandlinger med en leverandør. Samtidig skal forslaget ses i sammenhæng med regeringens andet nylige lovforslag om en dansk screeningsordning, der skal imødegå de risici, som kan være forbundet med fremmede investeringer og andre særlige økonomiske aktiviteter. Det kan du læse mere om i denne nyhed: Forslaget til investeringsscreeningslov er fremsat i Folketinget. 

Hovedpunkterne i lovforslaget

Omfatter alle typer teleinfrastruktur

Lovforslaget omfatter alle typer teleinfrastruktur, det vil sige både mobilnetværk (5G, 4G, 3G, 2G), fibernet, coax, satellitbaseret bredbånd, fastnet og alle fremtidige teknologier på området. Lovforslaget er altså ikke begrænset til 5G, selvom det populært er blevet kendt som "5G-lovforslaget". De sikkerhedsmæssige udfordringer, som forslaget skal imødegå, er dog i særdeleshed aktualiseret af udrulningen af 5G-teknologien i mobilnettet.

Bred definitionen af kritisk teleinfrastruktur

Lovforslaget omfatter "kritiske netkomponenter, systemer og værktøjer", der er nærmere defineret i loven. Forsvarsministeriet har valgt ikke at harmonisere definitionen i forhold til EU’s 5G-toolbox, som graduerer kritisk teleinfrastruktur. I stedet fastholder forslaget en sondring mellem kritisk og ikke-kritisk teleinfrastruktur.

Den praktiske konsekvens af forslagets definition af "kritiske netkomponenter, systemer og værktøjer" er, at stort set alle IT-systemer, der anvendes i en teleudbyders forretning – inklusive tjenesteudbydere, der ikke har eget netværk, men anvender egne supportsystemer – vil blive omfattet af loven.

Definitionen ændres næppe i forbindelse med lovforslagets behandling, da den har været anvendt i den danske NIS-regulering siden 2016.

En "samlet vurdering" 

Lovforslaget er ikke rettet mod bestemte leverandører eller lande, men lægger op til, at CFCS skal foretage en "samlet vurdering" af dels om nye aftaler udgør en trussel mod statens sikkerhed (§2), dels om eksisterende aftaler, komponenter m.v. udgør en væsentlig trussel mod statens sikkerhed (§3). 

Kerneområdet er situationer, hvor der er risiko for at aftalen, komponenten mv. kan misbruges til enten sabotage (dvs. hel eller delvis afbrydelse mod telenettet) eller spionage mod samfundskritiske funktioner (f.eks. industrispionage mod virksomheder i forsvarsindustrien eller forskningsindustrien).

Risiko for industrispionage mod private virksomheder falder udenfor loven, hvis risikoen ikke samtidig udgør en trussel mod statens sikkerhed.

I en "samlet vurdering" kan CFCS blandt andet se nærmere på leverandørens væsentligste underleverandører og andre aktører, der udøver kontrol over eller har betydelig indflydelse på leverandøren. Det kan eksempelvis være leverandørens ejere eller bestyrelsesmedlemmer. 

Fire objektive kriterier (ikke-udtømmende) 

Lovforslaget oplister fire kriterier, som navnlig skal indgå i den samlede vurdering. Det er således af særlig betydning, om leverandøren, inklusive dens underleverandører, ejere, bestyrelsesmedlemmer m.v.:

  1. hører til et land, som Danmark ikke har indgået en sikkerhedsaftale med
  2. hører hjemme i et land, som kan pålægge leverandøren at udføre spionage
  3. er ejet af statslige organer 
  4. tidligere er blevet afsløret i at spionere mod Danmark. 

I praksis betyder det, at der i øjeblikket kun er to potentielle 5G-leverandører på det danske marked: Ericsson og Nokia.

Proportionalitetsprincippet 

Proportionalitetsprincippet finder sædvanligvis anvendelse. Det er derfor en forudsætning for at nedlægge et forbud mod en aftale, at CFCS har vurderet, at hensynet til statens sikkerhed ikke effektivt kan varetages ved mindre indgribende foranstaltninger end et forbud. 

Det kan hertil udledes af lovforslagets bemærkninger og høringssvar, at CFCS forventeligt kun i ganske få tilfælde vil træffe afgørelse om forbud, idet sikkerhedsmæssige aspekter først og fremmest forudsættes håndteret gennem et længere rådgivnings- og dialogforløb mellem teleudbyderen og CFCS.

Sanktioner 

CFCS vil kunne sanktionere en manglende efterlevelse af et forbud ved at beslutte at afsætte medlemmer af udbyderens ledelse.

Mulighed for ekspropriation 

Lovforslaget har karakter af erstatningsfri regulering på nær i situationer, hvor afgørelser om forbud mod en aftale udgør ekspropriation. I de tilfælde, hvor CFCS vurderer, at der er behov for at nedlægge et forbud, vil CFCS derfor samtidig skulle vurdere, om forbuddet udgør ekspropriation (og dermed skal ske mod fuld erstatning). 

Undtaget fra aktindsigt og fravigelse af forvaltningslovens regler

Ifølge lovforslaget skal CFCS' afgørelser være undtaget aktindsigt efter offentlighedsloven. Derudover fraviger lovforslaget forvaltningslovens kapitel 4-6 om blandt andet partens aktindsigt, partshøring og begrundelse. 

Dermed er lovforslaget mere vidtgående end den tilsvarende undtagelse i § 8, stk. 1, i lov om Center for Cybersikkerhed, som forudsætter, at principperne i offentlighedsloven og forvaltningslovens kapitel 4-6 trods alt skal følges "i størst muligt omfang". 

Vi forventer, at Forsvarsministeriet vil justere bemærkningerne til lovforslaget på dette punkt i forbindelse med behandlingen. 

Ingen administrativ rekurs – domstolsprøvelse

CFCS' afgørelser kan ikke kan påklages til Forsvarsministeriet (eller anden administrativ myndighed). Den ulovbestemte administrative rekursadgang er dermed afskåret. I lovforslaget begrundes dette med argumentet om, at CFCS' afgørelser forudsætter et "særligt fagligt indblik". CFCS' afgørelser kan derfor kun indbringes for domstolene.

Ikrafttræden 

Hvis loven vedtages, får den virkning for aftaler, der er indgået fra og med den 7. december 2020. Aftaler, som er indgået før den 7. december 2020, bliver først omfattet af loven fra den 1. januar 2026. Det vil sige, at de teleudbydere, der bliver omfattet af loven, får ca. fem år til at gennemgå, genforhandle og evt. genudbyde aftaler med de leverandører, der kunne blive omfattet af et forbud.

Lovforslaget blev førstebehandlet den 26. marts 2021. Vi holder dig opdateret på det videre arbejde med forslaget.

Læs udkastet til lovforslag.

Læs den kommenterede høringsoversigt.
Juridiske specialer
Informationsteknologi
Outsourcing
Telekommunikation
Brancher
Teknologi, medier og telekommunikation

Kontakt

Christel Teglers

Christel Teglers

Partner (København)
Dir. +45 38 77 46 93
Mob. +45 61 61 30 34
cht@kromannreumert.com
Kristian Storgaard

Kristian Storgaard

Partner (Aarhus)
Dir. +45 38 77 44 70
Mob. +45 20 19 74 10
kst@kromannreumert.com
Torben Waage

Torben Waage

Partner (København)
Dir. +45 38 77 45 60
Mob. +45 40 61 08 86
tw@kromannreumert.com

Nyhedsservice

Nyhedsservice

Få relevante nyheder og invitationer til arrangementer direkte i din indbakke.

Tilmeld dig