Cybersikkerhed for net- og informationssystemer

 

RESUMÉ AF:

Direktiv (EU) 2016/1148 — cybersikkerhed for net- og informationssystemer

HVAD ER FORMÅLET MED DIREKTIVET?

Det foreslår en omfattende række foranstaltninger til at øge sikkerhedsniveauet for net- og informationssystemer (cybersikkerhed*) for at sikre tjenester, der spiller en afgørende rolle for EU’s økonomi og samfundet. Formålet er at sikre, at EU-landene etablerer et beredskab og er i stand til at håndtere og reagere på cyberangreb ved at:

• udpege kompetente myndigheder
• etablere enheder, der håndterer IT-sikkerhedshændelser (CSIRT’er)
• vedtage nationale cybersikkerhedsstrategier.

Direktivet etablerer ligeledes EU-samarbejde på både strategisk og teknisk niveau.

Endelig indfører det en forpligtelse for operatører af væsentlige tjenester og udbydere af digitale tjenester til at træffe passende sikkerhedsforanstaltninger og underrette de relevante nationale myndigheder om alvorlige hændelser.

HOVEDPUNKTER

Forbedring af den nationale cybersikkerhedskapacitet

EU-landene skal:

• udpege en eller flere nationale kompetente myndigheder og CSIRT’er og udpege et centralt kontaktpunkt (hvis der er mere end en kompetent myndighed)
• identificere operatører af væsentlige tjenester i kritiske sektorer, såsom energi, transport, finans, banker, sundhed, vand og digital infrastruktur, hvor et cyberangreb kunne have en forstyrrende virkning på en væsentlig tjeneste.

EU-landene skal også udarbejde en national cybersikkerhedsstrategi for net- og informationssystemer*, der dækker følgende emner:

• beredskab og kapacitet til at håndtere cyberangreb
• roller, ansvarsfordeling og samarbejde mellem regeringer og andre parter
• uddannelses- og oplysningsprogrammer
• forsknings- og udviklingsplaner
• risikovurderingsplan til brug ved identifikation af risici.

De nationale kompetente myndigheder skal overvåge anvendelsen af direktivet ved at:

• vurdere operatører af væsentlige tjenesters cybersikkerhed og sikkerhedspolitik
• overvåge udbydere af digitale tjenester
• deltage i arbejdet i samarbejdsgruppen (der sammensættes af repræsentanter for de kompetente myndigheder for sikkerhedsniveau for net- og informationssystemer (NIS) i de enkelte EU-lande, Europa-Kommissionen og Den Europæiske Unions Agentur for Net- og Informationssikkerhed (ENISA))
• informere offentligheden, når det er relevant, for at forhindre en hændelse eller håndtere en igangværende hændelse, samtidig med at oplysningernes fortrolighed sikres
• udstede påbud til afhjælpning af mangler i forbindelse med cybersikkerhed.

CSIRT’er er ansvarlige for at:

• overvåge og reagere på cybersikkerhedshændelser
• udarbejde risiko- og hændelsesanalyser og situationsrapporter
• deltage i CSIRT-netværket
• samarbejde med den private sektor
• fremme anvendelse af standardiseret praksis for håndtering af hændelser og risici samt klassificering af information.

Sikkerhedskrav og underretningspligt

Direktivets formål er at fremme en risikostyringskultur. Virksomheder i nøglesektorer skal foretage en risikovurdering af deres aktiviteter og etablere foranstaltninger til sikring af cybersikkerheden. Virksomhederne skal underrette de kompetente myndigheder eller CSIRT’er om relevante hændelser, f.eks. hacking eller datatyveri, der har alvorlig betydning for cybersikkerheden og væsentlige konsekvenser for kontinuiteten af kritiske tjenester samt levering af varer.

Ved fastlæggelse af de hændelser, som operatører af væsentlige tjenester* skal foretage underretning om, skal EU-landene tage højde for en hændelses varighed og geografiske udbredelse samt andre faktorer, f.eks. antal brugere, der er afhængige af tjenesten.

Centrale udbydere af digitale tjenester (søgemaskiner, cloud computing-tjenester og onlinemarkedspladser) skal ligeledes overholde sikkerheds- og underretningskravene.

Styrket samarbejde på EU-plan

Direktivet etablerer samarbejdsgruppen, der blandt andet har til opgave at:

• vejlede CSIRT-netværket
• udveksle bedste praksis for identifikation af operatører af væsentlige tjenester
• bistå EU-landene i at opbygge cybersikkerhedskapacitet
• udveksle oplysninger og bedste praksis vedrørende oplysning og uddannelse, forskning og udvikling
• udveksle oplysninger og udvikle bedste praksis vedrørende risici og hændelser
• drøfte metoder til rapportering af underretning om hændelser.

Samarbejdsgruppen etablerer CSIRT-netværket, der sammensættes af repræsentanter for EU-landendes CSIRT’er og IT-beredskabsenheden (CERT-EU). CSIRT-netværket har til opgave at:

• udveksle oplysninger om CSIRT’ernes tjenester
• udveksle oplysninger om cybersikkerhedshændelser
• støtte EU-landene i at håndtere grænseoverskridende hændelser
• drøfte og identificere en samordnet reaktion på en hændelse, der er blevet indberettet af et EU-land
• drøfte, undersøge og identificere yderligere former for operationelt samarbejde, herunder:
  • kategorier af risici og hændelser
  • tidlige varslinger
  • gensidig bistand
  • koordination mellem lande, der reagerer på risici og hændelser, som påvirker mere end ét EU-land
• oplyse samarbejdsgruppen om sine aktiviteter og anmode om vejledning
• drøfte erfaringer fra øvelser vedrørende cybersikkerheden
• drøfte en CSIRT’s kapaciteter på anmodning herom
• udstede retningslinjer for operationelt samarbejde.

Sanktioner

EU-landene skal anvende effektive sanktioner, der står i et rimeligt forhold til overtrædelsen og har afskrækkende virkning, for at sikre, at bestemmelserne i direktivet anvendes.

HVORNÅR GÆLDER DIREKTIVET FRA?

Det trådte i kraft den 8. august 2016. EU-landene skal indarbejde det i den nationale lovgivning inden den 9. maj 2018 og identificere operatører af væsentlige tjenester inden den 9. november 2018.

BAGGRUND

• Cybersikkerhed (Europa-Kommissionen).
• Cybersikkerhed: Kommissionen optrapper sin indsats mod cyberangreb — pressemeddelelse (Europa-Kommissionen).
• Direktiv om sikkerhedsniveau for net- og informationssystemer — pressemeddelelse (Europa-Kommissionen).
• Modstandsdygtighed, afskrækkelse og forsvar: opbygning af en stærk cybersikkerhed i Europa — faktablad (Europa-Kommissionen).

VIGTIGE BEGREBER

HOVEDDOKUMENT

Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen (EUT L 194 af 19.7.2016, s. 1-30).

TILHØRENDE DOKUMENTER

Kommissionens gennemførelsesforordning (EU) 2018/151 af 30. januar 2018 om regler for anvendelsen af Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 for så vidt angår yderligere specifikation af de elementer, som udbydere af digitale tjenester skal tage i betragtning for at styre risiciene i forhold til sikkerheden i net- og informationssystemer, og af kriterierne for bestemmelse af, om en hændelses konsekvenser er betydelige (EUT L 26 af 31.1.2018, s. 48-51).

Kommissionens gennemførelsesafgørelse (EU) 2017/179 af 1. februar 2017 om fastlæggelse af de proceduremæssige ordninger, der er nødvendige for samarbejdsgruppens virke i medfør af artikel 11, stk. 5, i Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen (EUT L 28 af 2.2.2017, s. 73-77).

Meddelelse fra Kommissionen til Europa-Parlamentet og Rådet: Fuld udnyttelse af NIS — mod en effektiv gennemførelse af direktiv (EU) 2016/1148 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen (COM(2017) 476 final 2 af 4.10.2017).

Kommissionens henstilling (EU) 2017/1584 af 13. september 2017 om en koordineret reaktion på væsentlige cybersikkerhedshændelser og -kriser (EUT L 239 af 19.9.2017, s. 36-58).

Fælles meddelelse til Europa-Parlamentet og Rådet — Modstandsdygtighed, afskrækkelse og forsvar: opbygning af en stærk cybersikkerhed for EU (JOIN(2017) 450 final af 13.9.2017)

Arbejdsdokument fra Kommissionens tjenestegrene — Vurdering af EU’s strategi for cybersikkerhed 2013 (SWD(2017) 295 final af 13.9.2017).

Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014 af 23. juli 2014 om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked og om ophævelse af direktiv 1999/93/EF (EUT L 257 af 28.8.2014, s. 73-114).

Rådets afgørelse 2013/488/EU af 23. september 2013 om reglerne for sikkerhedsbeskyttelse af EU’s klassificerede informationer (EUT L 274 af 15.10.2013, s. 1-50).

Efterfølgende ændringer af afgørelse 2013/488/EU er indarbejdet i grundteksten. Denne konsoliderede udgave har ingen retsvirkning.

Europa-Parlamentets og Rådets direktiv 2013/40/EU af 12. august 2013 om angreb på informationssystemer og om erstatning af Rådets rammeafgørelse 2005/222/RIA (EUT L 218 af 14.8.2013, s. 8-14).

Europa-Parlamentets og Rådets forordning (EU) nr. 526/2013 af 21. maj 2013 om Den Europæiske Unions Agentur for Net- og Informationssikkerhed (ENISA) og om ophævelse af forordning (EF) nr. 460/2004 (EUT L 165 af 18.6.2013, s. 41-58).

Fælles meddelelse til Europa-Parlamentet, Rådet, Det Europæiske Økonomiske og Sociale Udvalg og Regionsudvalget — EU-strategi for cybersikkerhed: Et åbent, sikkert og beskyttet cyberspace (JOIN(2013) 1 final af 7.2.2013).

seneste ajourføring 01.03.2018