Center for Cybersikkerhed (CFCS) vil fra 1. juli 2019 kunne kræve at få placeret overvågningsudstyr hos en lang række danske virksomheder og myndigheder. Det er resultatet af en ny lovgivning, som blev vedtaget af Folketinget den 7. maj.
Men nu viser et udkast til en ny bekendtgørelse om tilslutning til overvågningstjenesten, at det også bliver virksomhedens ansvar, at eventuelle driftsleverandører får sat forsvarets udstyr op.
Det sætter den påbudte virksomhed i en meget svær situation, da det nok er de færreste internationale driftsleverandører, der vil acceptere overvågningsudstyr fra fremmede landes efterretningstjenester på deres udstyr.
Men sker det ikke, så venter der bøder og muligt opsagte kontrakter for den påbudte virksomhed.
”Det er et krav, der i realiteten ikke vil kunne overholdes af virksomheder, der får driftet et eller flere systemer i skyen. Underleverandører fra f.eks. andre EU-lande eller USA vil ikke bare gå med til, at der bliver sat overvågningsudstyr op fra den danske efterretningstjeneste på deres udstyr. Danske virksomheder vil jo heller ikke acceptere, hvis f.eks. den kinesiske eller russiske efterretningstjeneste kom og satte spionudstyr op på danske grund,” siger Birgitte Hass, adm. direktør i IT-Branchen.
Virksomhederne bliver sat i en umulig situation
En stor del af de virksomheder, der må forventes af få et påbud om, at de skal tilslutte sig CFCS netsikkerhedstjeneste, vil have en lang række driftsleverandører med servere placeret i udlandet.
Da det ikke er realistisk at få underleverandørerne til at acceptere at få sat overvågning op, vil ikke bare en række danske virksomheder men også alle offentlige myndigheder og instanser effektivt være afskåret fra at bruge cloud-løsninger.
”Det er meget problematisk for både erhvervslivet og det offentlige. Kravet gør, at man i praksis ikke kan bruge cloud-løsninger som virksomhed, ligesom det offentlige må opgive at gå i skyen, som ellers muliggør billige, fleksible og sikre driftsløsninger for dem,” udtaler Birgitte Hass.
Vi har allerede med persondataloven fået principperne på plads for, hvornår data skal være i landet, og hvornår det er muligt at anvende EU eller internationale cloud-løsninger. Når regeringen med den ene hånd jf. persondataloven tillader anvendelse af cloudløsninger, bør de ikke med den anden hånd sætte nye barrierer op, der i praksis gør det umuligt.
IT-Branchen har derfor sendt et høringssvar til Forsvarsministeriet vedr. bekendtgørelsen, hvor vi bl.a. gør opmærksom på faren ved at kræve, at også underleverandører skal sætte overvågningsudstyr op.
Læs Bekendtgørelse om tilslutning til Center for Cybersikkerheds netsikkerhedstjeneste
Læs IT-Branchens høringssvar