FH har modtaget Forsvarsministeriets høring over udkast til lovforslag til lov om ændring af lov om Center for Cybersikkerhed (Initiativer til styrkelse af cybersikkerheden).
Af høringen fremgår, at lovforslaget er et led i udmøntningen af den nationale strategi for cyber- og informationssikkerhed.
I lovforslaget foreslås det, at der efter § 6 i den gældende lov om Center for Cybersikkerhed indsættes følgende:
”§ 6 a. Med henblik på at kunne rådgive myndigheder og virksomheder om forebyggelse af sikkerhedshændelser, kan Center for Cybersikkerhed gennemføre forebyggende sikkerhedstekniske undersøgelser, når en myndighed eller virksomhed har anmodet centeret herom.
Stk. 2. Efter anmodning fra myndigheden eller virksomheden kan Center for Cybersikkerhed som led i den forebyggende sikkerhedstekniske undersøgelse
1) uden retskendelse behandle trafikdata, pakkedata og stationære data hos myndigheden eller virksomheden,
2) behandle offentlig tilgængelige data om myndigheden eller virksomheden og dennes medarbejdere, og
3) iværksætte forebyggelsesaktiviteter rettet imod udvalgte medarbejdere eller enheder i myndigheden eller virksomheden.”
Af bemærkningerne til lovforslaget fremgår det, at Center for Cybersikkerhed efter det foreslåede § 6a, stk. 2, nr. 3 efter anmodning fra myndigheden eller virksomheden vil kunne iværksætte forebyggelsesaktiviteter rettet mod udvalgte medarbejder eller enheder i myndigheden eller virksomheden.
De i bemærkningerne nærmere beskrevne forebyggelsesaktiviteter i form af fx såkaldt spear phishing, er omfattet af aftalerne om kontrolforanstaltninger på det statslige, regionale og kommunale område (Cirkulære om aftale om kontrolforanstaltninger, CIR nr. 9588 af 01/11/2010, Aftale om kontrolforanstaltninger indgået mellem RLTN og Forhandlingsfællesskabet, samt Aftale om kontrolforanstaltninger indgået mellem KL og Forhandlingsfællesskabet).
FH retter opmærksomheden på § 4, stk. 1, som er enslydende i cirkulæret/aftalerne, om information til de ansatte 6 uger forud for iværksættelse af nye kontrolforanstaltninger samt cirkulæret/aftalernes § 4, stk. 3, ligeledes enslydende i cirkulæret/aftalerne, hvoraf det fremgår:
”Hvis formålet med kontrolforanstaltningen vil forspildes ved en forudgående information, eller tvingende driftsmæssige grunde er til hinder herfor, skal kommunen informere de ansatte snarest muligt efter iværksættelsen af kontrolforanstaltningen samt redegøre for årsagen til, at der ikke kunne ske en
forudgående information.”
En tilsvarende aftale om kontrolforanstaltninger indeholdende informationspligt er gældende på det private område, jf. den af DA og LO indgåede aftale om kontrolforanstaltninger af 27. oktober 2006.