Telebranchen raser over lovforslag om flere - og diffuse - beføjelser til Center for Cybersikkerhed

Regeringen er bekymret for stats- og industrispionage. Derfor er der lagt op til, at teleudbyderne kan tvinges til at etablere 'konkrete foranstaltninger' for at 'sikre informationssikkerheden'. »Elastik i metermål,« raser telebranchen

Et netop fremsat lovforslag fra forsvarsminister Peter Christensen (V), der giver øgede beføjelser til Center for Cybersikkerhed, møder kritik fra teleoperatørernes brancheorganisation, Teleindustrien.

Lovforslaget Lov om net- og informationssikkerhed (PDF) er en genfremsættelse af et lovforslag fra maj 2015, der bortfaldt på grund af valgudskrivelsen.

Direktør i Teleindustrien Jakob Willer har tidligere forholdt stillet sig kritisk til et udkast til lovforslaget i april. Og den kritik består.

Da Version2 talte med Willer i april i år om det daværende lovudkast, var der særligt to elementer, han fandt problematisk.

Det ene var paragraf 3 stk 3.

Her står:

»Såfremt det er af væsentlig samfundsmæssig betydning, kan Center for Cybersikkerhed påbyde udbydere af offentligt tilgængelige net og tjenester at træffe konkrete foranstaltninger med henblik på at sikre informationssikkerheden i offentligt tilgængelige net og tjenester. Centeret fastsætter nærmere regler herom.«

Det er endnu ret upræcist beskrevet, hvad Center for Cybersikkerhed kan kræve, men det fremgår af bemærkningerne til lovforslaget, at indgrebet f.eks. kan ske, hvis en 'udbyder har valgt at benytte software, som konkret vurderes at udgøre en trussel mod informationssikkerheden.' I det tilfælde kan centeret stille krav om 'risikostyring'.

Forsvarsministeriet er ifølge bemærkningerne simpelt hen bekymrede for, at adgang til kommunikationssystemer kan udnyttes til 'industrispionage og spionage mod myndigheder og personer. Desuden kan der være en risiko for, at adgangen til telenettet f.eks. i en krisesituation kan udnyttes til at påvirke tilgængeligheden af den samfundsvigtige IKT-infrastruktur,' lyder det.

Ud over paragraf 3, stk. 3 er der stk. 2 under paragraf 4, hvor det fremgår, at der kan stilles krav om, at udbyderne skal indsende et endeligt aftaleudkast til Center for Cybersikkerhed umiddelbart forud for indgåelse af leverandøraftaler, og at aftalen først kan indgås op til 10 arbejdsdage efter centerets modtagelse af dette udkast.

Telebranche: Det er en blankocheck

Begge dele står der stadig, og det er no-go set med Teleindustriens øjne. I relation til formuleringen i paragraf 3 stk. 3 om, at CFCS skal fastsætte nærmere regler, siger Jakob Willer:

»Det er en blankocheck i forhold til, hvad de kan stille krav om. Det er det, vi frygter: Hvad kan de stille krav om? Og hvad kan vi vurdere har samfundsmæssig betydning? Det er jo elastik i metermål, der ligger i den formulering.«

I forhold til standstill-perioden på op til 10 arbejdsdage, hvor et selskab skal vente på en tilbagemelding fra CFCS, før en aftale kan indgås, siger Willer:

»Det er dybt problematisk for selskaber, der skal agere på et kommercielt marked.«

Jakob Willer mener, at de administrative byrder som følge af lovforslaget kan være enorme.

»Vi er meget kritiske over for det her forslag. Og sidste gang, det blev fremsat, nåede udvalget (forsvarsudvalget, red.) at stille en lang række spørgsmål til det. Og vi håber, de forslag vil blive rejst igen under behandlingen af dette lovforslag, så vi kan få belyst, hvad det her egentlig vil have af konsekvenser. For det mangler vi virkelig at få belyst.«

Oprindeligt udkast skabte bred bekymring

Et tidligt udkast til Lovforslaget blev i sin tid lækket af Version2-blogger Poul-Henning Kamp tilbage i december 2014. Og dengang vakte det en del furore blandt privacy-bekymrede.

Blandt andet fordi det af lovforslaget, i den ordlyd, Poul-Henning Kamp offentliggjorde, fremgik, at CFCS alene ved fremvisning af legitimation - og altså uden retskendelse - skulle have adgang til udbyderes lokaliteter med henblik på indsamling af oplysninger.

Læs også: Omstridt lovforslag om øgede beføjelser til Center for Cybersikkerhed i høring i ny udgave

Endvidere fremgik det af det lækkede udkast, at udbyderen skal sikre, at CFCS efter anmodning kan få adgang til teleinfrastrukturen.

Begge dele gav blandt andet næstformand for IT-Politisk Forening Jesper Lund anledning til bekymring for, at borgerne på den måde kunne overvåges uden retskendelse via teleoperatørernes infrastruktur.

Formuleringerne er siden blevet ændret. Også i relation til lovforslaget, der blev fremsat i maj.

Og i forhold til det nuværende lovforslag har Jesper Lund derfor ikke noget at udsætte i privacy-sammenhæng. Han forstår dog godt, hvis telebranchen er lorne over de tilbageværende formuleringer:

»Jeg har forståelse for deres bekymringer i forhold til, at det bliver meget bureaukratisk og potentielt begrænsende for den daglige drift af teleselskabet,« siger Jesper Lund og fortsætter:

»Med de præciseringer, der er lavet i lovforslaget, i forhold til, at der hverken er adgang til metadata om kommunikationen eller indholdet af kommunikationen, så er det ikke os, der er i klemme her.«

I relation til det aktuelle lovforslag oplyser Center for Cybersikkerhed via centrets hjemmeside, at 'Lovforslaget er et initiativ i den nationale strategi for cyber- og informationssikkerhed og har til formål at styrke informationssikkerheden i telesektoren og dermed beskytte danske borgeres, virksomheders og myndigheders oplysninger.'