Cyber Security: Overblik over relevant lovgivning og det nye NIS-direktiv, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer

13 juni 2017

I kølvandet på det stigende antal cyberangreb, der hvert år rammer danske og udenlandske virksomheder og myndigheder, er der kommet stor fokus på cyber security. Senest med det globale cyberangreb, der ved brug af programmet WannaCry (en form for ransomware) låste og krypterede filer rundt om i Europa, herunder på samfundskritiske institutioner som de engelske hospitaler, demonstrerede WannaCry, hvor dårligt det globale samfund er klædt på til at modstå sikkerhedsbrud. Den nuværende regulering svarer ikke på, hvordan cyber security konkret optimeres og sikkerhedsbrud undgås, men der er efterhånden opstået et rammeværk og nogle grundelementer, som myndighederne og markedet forventer, at virksomhederne er bekendte med og overholder. Denne artikel forsøger at samle dette rammeværk.

Cyberangreb som WannaCry kan ramme private såvel som offentlige institutioner i Danmark af kritisk betydning for samfundets funktion, stabilitet og sikkerhed. Det er derfor væsentligt, at danske myndigheder og virksomheder sætter sig ind i rammerne for regulering af cyber security og tager aktiv stilling til sikring af eget sikkerhedsniveau.

Nedenfor gennemgås overordnet den juridiske regulering, som virksomheder og myndigheder bør have kendskab til.

Ny EU sikkerhedsregulering – NIS direktivet (om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen)

På EU-plan er der for nylig blevet introduceret et nyt direktiv, NIS-direktivet (2016/1148), der trådte i kraft i august 2016 og skal være implementeret af medlemsstaterne inden den 9. maj 2018. Helt overordnet har direktivet til formål at harmonisere og skærpe reglerne for sikkerhed for væsentlige tjenester og digitale tjenester. Direktivet indfører i den forbindelse en række sikkerhedskrav samt en underretningspligt ved sikkerhedshændelser. NIS-direktivet er endvidere den første paneuropæiske lovgivning om cybersikkerhed, der sigter på at styrke de nationale cyber- myndigheder og øge koordinationen imellem dem.

Direktivet finder anvendelse på operatører af væsentlige tjenester (OVT) og udbydere af digitale tjenester (UDT)

Operatører af væsentlige tjenester (OVTere) er afgrænset til operatører inden for sektorerne for drikkevandsforsyning og -distribution, energi (el, olie og gas), transport, bankvæsen, sundhed samt finansiel og digital infrastruktur. Disse er omfattet af direktivet, såfremt de leverer en tjeneste, der er væsentlig for opretholdelsen af kritiske samfundsmæssige og/eller økonomiske aktiviteter, der afhænger af et net- og informationssystem, og hvor en sikkerhedshændelse vil få væsentlig forstyrrende virkning for leveringen af tjenesten.

Derudover er OVTere forpligtede til hurtigst muligt at underrette den kompetente myndighed om sikkerhedshændelser, som har væsentlig forstyrrende virkning for kontinuiteten af tjenesten.

Det er op til de nationale myndigheder at lave en positiv liste over det pågældende lands OVTere, der vil blive omfattet af reglerne under NIS-direktivet. Vi må derfor forvente, at offentliggørelsen af de danske OVTere foreligger senest november 2018, som selvfølgelig er en dynamisk liste.

Udbydere af digitale tjenester (UDTere) omfatter tjenester som onlinemarkedspladser, onlinesøgemaskiner eller cloud-tjenester, der ikke betragtes som en kritisk infrastruktur, hvorfor NIS direktivets krav til UDTernes sikkerhedsforanstaltninger er lempeligere og anderledes end for OVTerne. Begge grupper skal dog træffe passende og forholdsmæssige tekniske og organisatoriske foranstaltninger for at imødegå risici, der er forbundet med deres net- og informationssystemer. UDTerne har imidlertid alene underretningspligt ved betydelige sikkerhedshændelser.

Leverandører til OVTere og UDTere

NIS-direktivet er rettet mod specifikke ansvarlige aktører i form af OVTere og UDTere. Kontraktuelt må markedet imidlertid forvente, at forpligtelserne helt eller delvist kan blive overvæltet på leverandører. Kravene i NIS-direktivet er derfor generelt relevant for de fleste aktører, der leverer til OVTere eller UDTere. Aktørerne i de relevante sektorer bør derfor forholde sig til deres rolle i distributions- og driftskæden og forholde sig til, i hvilket omfang de skal påtage sig ansvar for sikkerhed, og hvordan sikkerhed relateret til deres specifikke ydelse er håndteret praktisk og kontraktuelt.

Persondatasikkerhed i den nye persondataforordning (GDPR)

Man kan ikke tale om sikkerhed uden at sige persondatasikkerhed. Uden at dette på nogen måde skal være en artikel om persondatasikkerhed, kan det nævnes, at den nye persondataforordning også stiller en række krav til sikkerheden af it-systemer, og at der generelt er sket en stor ændring, hvad angår persondatasikkerheden i forhold til tidligere EU-regulering på området. Der er i vidt omfang sket en uddybning af sikkerhedskravene, der i forvejen kendes fra persondataloven, samt kommet større fokus på risikovurderinger, herunder kravet om, at dataansvarlige under visse betingelser skal udarbejde en DPIA (Data Protection Impact Assessment), der udgør et brugbart værktøj til at sikre compliance med de nye persondataregler. I tilfælde af sikkerhedsbrud skal alle forhold omkring det dokumenteres, og myndighederne skal i mange tilfælde orienteres om bruddet inden for 72 timer.

Anden dansk sikkerhedsregulering

Udover ovenstående generelle sikkerhedskrav, findes der en række direkte krav relateret til it-sikkerheden i selskabsloven og speciallovgivningen. Derudover findes der en del indirekte lovkrav til sikkerheden i anden lovgivning.

I henhold til selskabslovens § 115 skal bestyrelsen i et kapitalselskab f.eks. sikre en forsvarlig organisation af kapitalselskabets virksomhed, herunder have overblik over risici og påse, at IT-organisationen er forsvarlig, robust og driftssikker. Ansvaret for at føre en forsvarlig og effektiv sikkerhedspolitik ligger således i sidste ende hos ledelsen. Der er da også efterhånden sædvanligt at CIOen er en del af koncernledelsen i de fleste større danske virksomheder.

Derudover findes der en ledelsesbekendtgørelse og outsourcingsbekendtgørelse, som finder anvendelse på finansielle virksomheder. Disse fastlægger dels ledelsens ansvar for et selskabs it-sikkerhedspolitik dels de overordnede krav til outsourceren og leverandøren, som skal sikre, at varetagelsen af opgaver ved outsourcing foregår betryggende. Der er senest i marts 2017 kommet en ny vejledning til outsourcing-bekendtgørelsen, men der mangler stadig afklaring af en del praktiske forhold omkring, hvordan specifikke sikkerhedskrav for den finansielle branche skal passes ind i markedets tilgang til f.eks. cloudservices som commodity ydelser.

Sundhedssektoren har helt særlige minimumssikkerhedskrav til opbevaring af patientjournaler på offentlige sygehuse i henhold til bekendtgørelsen om patientjournaler, ligesom der er en konkret regulering af beredskab under Bekendtgørelse om planlægning af sundhedsberedskabet.

Telesektoren er en af de mest regulerede sektorer, når det kommer til sikkerhed. Særlige konsekvenser og pligter af at være teleudbyder indebærer bl.a.:

  • Pligt til at lade sig registrere som teleudbyder;
  • Pligt til at have et kontaktpunkt som politiet kan få fat på døgnet rundt i tilfælde af, at politiet har behov for bistand til at foretage indgreb i meddelelseshemmeligheden;
  • Pligt til at sikre, at det tekniske udstyr, som anvendes, er indrettet så politiet kan få adgang til oplysninger om teletrafik og adgang til historiske og fremadrettede teleoplysninger;
  • Pligt til at iagttage logningskrav om at foretage registrering og opbevaring (i et år) af oplysninger om teletrafik, der generes eller behandles i udbyderens net, således at det vil kunne anvendes som led i efterforskningen af strafbare forhold (dog pt. under revision);
  • Pligt til at efterleve regler om informationssikkerhed og beredskab;
  • Pligt til at efterleve diverse krav til indholdet af de tjenester, der udbydes, og til indholdet af de kontraktvilkår, som skal tilbydes kunderne.

Andre sektorspecifikke beredskabskrav. Udover den finansielle sektor, sundhedssektoren og telesektoren er der også en del øvrige sektorspecifikke beredskabskrav:

  • Bekendtgørelse om beredskab for naturgassektoren
  • Bekendtgørelse om beredskab for elsektoren (inkl. forsyningskritiske it-systemer)
  • Bekendtgørelse om beredskab i forbindelse med offshore olie- og gasaktiviteter
  • Bekendtgørelse om beredskab om forurening af havet fra olie- og gasanlæg mv.
  • Bekendtgørelse om jernbanevirksomheder og jernbaneinfrastrukturforvaltere
  • Bekendtgørelse om risikobaseret kommunalt redningsberedskab

Indirekte sikkerhedskrav

Udover de konkrete lovgivningskrav er der også flere eksempler på indirekte lovkrav til IT-sikkerheden såsom hvidvaskningsreglerne (herunder undersøgelses- og underretningspligten), de børsretlige regler, straffelovens regler vedrørende offentligt ansattes uberettiget videregivelse eller udnyttelse af fortrolige oplysninger samt brevhemmeligheden (relevant for e-mailpolitik og misbrug heraf).

De børsretlige regler, f.eks. markedsmisbrugsforordningen vedrørende oplysningspligt, insiderhandel, kursmanipulation og interne regler indebærer f.eks., at børsnoterede virksomheder skal overveje, hvornår et cyberangreb har en sådan karakter, at det skal meddeles til markedet som et krav efter de børsretlige regler.

Den juridiske regulering af sikkerhed suppleres af en række standarder, herunder

  • Revisionsstandarder;
  • Kvalitets- og sikkerhedsstandarder;
  • Risk Management standarder;
  • Branchestandarder;
  • Andre standarder.

I den forbindelse er det efterhånden sædvanligt i markedet at kræve revisionserklæringer for it sikkerhed eller persondatasikkerhed. I den forbindelse vil revisorerklæringer udarbejdes med udgangspunkt i en af de følgende internationale standarder: ISAE 3402, ISAE 3000 eller ISRS 440 (USA-standarden er SOC 1, 2 og 3)

Offentlige myndigheder og IT-sikkerhed – ISO27001

Offentlige myndigheder, såvel som leverandører til offentlige myndigheder, bør være opmærksomme på, at der gælder særlige sikkerhedskrav for offentlige myndigheder.

    • Staten
      • ISO27001 skal være implementeret primo 2016
      • Selvejende statslige institutioner er ikke forpligtet, men Digitaliseringsstyrelsen anbefaler implementering
    • Regioner
      • Udgangspunktet er, at regionerne skal følge ISO27001
    • Kommuner
      • KL anbefaler anvendelse af ISO27001 i kommunerne 

Opsamlende vejledninger

Center for Cybersikkerhed (CFCS) har i samarbejde med Digitaliseringsstyrelsen udarbejdet en vejledning "Cyberforsvar der virker", der beskriver en konkret og prioriteret plan for, hvordan danske organisationer kan mindske risikoen for cyberangreb samt håndtere de værste konsekvenser, når et angreb rammer.

I vejledningen understreges det, at forbedringen af sikkerheden gennem ændringer i sikkerhedsstyring og -kultur ikke kan gennemføres uden ledelsens opbakning, der således spiller en central rolle for etableringen af et cyberforsvar. Ledelsen skal bl.a. sikre rådighed over de rigtige faciliteter og tekniske kompetencer, samt udarbejde en plan for organisationens vej gennem vejledningens syv trin, der er som følger:

  1. Forstå cybertruslen og gennemfør en overordnet it-risikovurdering
  2. Sikre, at organisationen råder over de rette tekniske kompetencer
  3. Implementer tiltagene til sikring af højrisikomål
  4. Introducer den nye sikkerhedspolitik for ansatte og udsend løbende informationer om cybertruslen
  5. Start i det små og prioriter højrisikomål, samt opbygge reaktive kompetencer
  6. Foretag løbende sikkerhedstekniske undersøgelser
  7. Lave flere tekniske og organisatoriske tiltag, herunder styring af mobile enheder, to-faktor-autentifikation og segmentering af netværk.

Bird & Birds kommentar

Alle offentlige og private virksomheder samt myndigheder står over for risikoen for at blive ramt af et cyberangreb.

Vi anbefaler derfor, at cybersikkerhed udover at være et teknisk spørgsmål, et juridisk compliance spørgsmål, der skal håndteres kontraktuelt, også indebærer en strategisk tilgang til anvendelse af risk management, herunder konkret stillingtagen til sikkerhedsstandarder, kommunikationsstrategi for kommunikation af sikkerhedsbrud til kunderne, myndigheder og potentielt markedet generelt.

Både ny og kommende juridisk sikkerhedsregulering vil altid per natur være bagud i forhold til teknologien, herunder konkret ved udbredelsen af IoT og den deraf relaterede kumulation af aktører og leverandører, der er involveret i sikkerhed, for ikke at glemme omfanget af selv små og billige connectede enheder, der kan udgøre en højrisiko adgang til en virksomhed eller myndigheds netværk. Reguleringen er derfor på trods af den seneste udvikling på mange punkter stadig overordnet og generel.

Derudover er det svært at ramme den rigtige balance for ansvar, risiko og cost i forhold til billige IoT enheder, eller aktører, der ikke er direkte involveret i den centrale ydelse, og de potentielt omfangsrige konsekvenser et cyberangreb kan have.

Sektorer eller brancheorganisationer kunne derfor med fordel udarbejde branchestandarder, der er balancerede for de forskellige aktører i markedet. Det er noget, der bl.a. i England er begyndt at se dagens lys. Eksempelvis indenfor atomenergi-branchen, hvor der er nogle åbenlyse uforholdsmæssigheder mellem cost og risiko, men også et åbenlyst behov for et meget højt sikkerhedsniveau. Man kunne forestille sig, at danske brancher indenfor de væsentlige tjenester med fordel kunne lave tilsvarende aftaler.

Mere om cybersikkerhed på Folkemødet – kom og hør nærmere

Ønsker du at vide mere om cyber security-problemstillingen, og hvordan vi i fremtiden sikrer den digitale infrastruktur i Danmark mod cyberangreb, vil der på Folkemødet den 16. juni 2017 blive afholdt en sikkerhedsdebat, hvor advokat Julie Bak-Larsen fra Bird & Bird er paneldeltager sammen med Teracom, Telekommunikationsindustrien og Center for Cybersikkerhed.

Sikkerhedsdebatten afholdes kl. 9:30-10:15 i Medieteltet, Kampeløkke Havn.