Senere ændringer til forskriften
Ændrer i/ophæver
Den fulde tekst

Cirkulære om behandling af data i og fra Center for Cybersikkerheds netsikkerhedstjeneste

(Til chefen for Forsvarets Efterretningstjeneste)

Registrering af data

§ 1. For alle typer data, der er omfattet af kapitel 4 i lov om Center for Cybersikkerhed, og som behandles af Center for Cybersikkerhed, skal centeret kunne redegøre for, om der er tale om trafikdata, pakkedata eller stationære data, samt for, om der er tale om data, der behandles som led i tekniske tests og konfiguration. Center for Cybersikkerhed skal endvidere kunne redegøre for, hvornår og under hvilke omstændigheder data er tilvejebragt, samt fremvise den nødvendige dokumentation herfor.

Stk. 2. Videregivelse af data, der er omfattet af kapitel 4 i lov om Center for Cybersikkerhed, skal registreres af Center for Cybersikkerhed.

Stk. 3. Analyse af pakkedata og stationære data, der er omfattet af kapitel 4 i lov om Center for Cybersikkerhed, skal registreres af Center for Cybersikkerhed.

Udveksling og efterfølgende videregivelse af data

§ 2. Center for Cybersikkerhed må kun udveksle data, der er omfattet af kapitel 4 i lov om Center for Cybersikkerhed, med den øvrige del af Forsvarets Efterretningstjeneste, når:

1) Udvekslingen er nødvendig for at understøtte et højt informationssikkerhedsniveau,

2) udvekslingen sker med udtrykkeligt angivne og saglige formål, og

3) der er begrundet mistanke om en sikkerhedshændelse.

Stk. 2. Stk. 1, nr. 3, finder ikke anvendelse på data, der hidrører fra myndigheder på Forsvarsministeriets område.

Stk. 3. Enhver udveksling af data efter stk. 1 skal registreres af Center for Cybersikkerhed.

§ 3. Den øvrige del af Forsvarets Efterretningstjeneste må kun videregive data, der er modtaget fra Center for Cybersikkerhed efter § 2, efter de regler, der følger af § 16 i lov om Center for Cybersikkerhed.

Stk. 2. Enhver videregivelse af data efter stk. 1 skal forudgående godkendes af chefen for Center for Cybersikkerhed eller en af denne udpeget person. Når videregivelsen er sket, underrettes Center for Cybersikkerhed herom, og videregivelsen registreres af centeret.

Adgang til informationssystemer

§ 4. Kun medarbejdere ved Center for Cybersikkerhed må have adgang til netsikkerhedstjenestens informationssystemer, som anvendes i forbindelse med behandling af data, der er omfattet af kapitel 4 i lov om Center for Cybersikkerhed, jf. dog stk. 3.

Stk. 2. Såfremt Center for Cybersikkerheds netsikkerhedstjeneste behandler data, der er omfattet af kapitel 4 i lov om Center for Cybersikkerhed, i informationssystemer, hvortil også medarbejdere ved den øvrige del af Forsvarets Efterretningstjeneste har adgang, skal det sikres, at kun medarbejdere ved Center for Cybersikkerhed har adgang til de dele af informationssystemerne, hvor der behandles data, som er omfattet af kapitel 4 i lov om Center for Cybersikkerhed, jf. dog stk. 3.

Stk. 3. Medarbejdere ved den øvrige del af Forsvarets Efterretningstjeneste, der varetager servicefunktioner af teknisk eller administrativ karakter for Center for Cybersikkerhed, kan af chefen for Center for Cybersikkerhed eller en af denne udpeget person efter en konkret vurdering gives adgang til informationssystemer efter stk. 1 og 2, såfremt en sådan adgang er nødvendig for varetagelsen af de pågældende medarbejderes funktioner.

Stk. 4. Center for Cybersikkerhed fører en liste over medarbejdere ved Forsvarets Efterretningstjeneste, der aktuelt er omfattet af stk. 3.

Stk. 5. Informationssystemer, der efter § 6 b i lov om Center for Cybersikkerhed anvendes som fiktive angrebsmål, er ikke omfattet af stk. 1-4.

Indstationering

§ 5. Medarbejdere ved den øvrige del af Forsvarets Efterretningstjeneste, der varetager indhentnings- og analysefunktioner, samt medarbejdere fra andre myndigheder eller virksomheder kan indstationeres ved Center for Cybersikkerhed, herunder i netsikkerhedstjenesten.

Stk. 2. Indstationering sker i henhold til en skriftlig aftale.

Stk. 3. Indstationering sker for en periode på mindst én måned. I tilfælde af en sikkerhedshændelse, der har en sådan karakter, at Center for Cybersikkerhed konkret har behov for de særlige kompetencer, som de pågældende medarbejdere besidder, kan der dog ske indstationering for en kortere periode.

Ikrafttrædelse

§ 6. Cirkulæret træder i kraft den 1. september 2019.

Stk. 2. Samtidig ophæves Forsvarsministeriets retningslinjer af 30. juni 2014 vedrørende behandling af data i og fra Center for Cybersikkerheds netsikkerhedstjeneste.

Forsvarsministeriet, den 21. august 2019

Trine Bramsen

/ Jon Bach Holm