Cybersäkerhet i nätverks- och informationssystem

 

SAMMANFATTNING AV FÖLJANDE DOKUMENT:

Direktiv (EU) 2016/1148 – cybersäkerhet i nätverks- och informationssystem

VILKET SYFTE HAR DIREKTIVET?

I direktivet föreslås en omfattande uppsättning åtgärder för att höja nivån på säkerheten i nätverks- och informationssystem (cybersäkerhet*) för att säkra de tjänster som är grundläggande för EU:s ekonomi och samhälle. Det syftar till att säkerställa att EU-länderna är väl förberedda och redo att hantera och vidta åtgärder mot cyberangrepp genom att

• utse behöriga myndigheter,
• inrätta computer-security incident response teams (CSIRT-enheter),
• anta nationella strategier för cybersäkerhet.

I direktivet fastställs också samarbete på EU-nivå både strategiskt och tekniskt.

Slutligen införs skyldighet för leverantörer av samhällsviktiga tjänster och digitala tjänster att vidta lämpliga säkerhetsåtgärder och meddela relevanta nationella myndigheter om allvarliga incidenter.

VIKTIGA PUNKTER

Förbättra den nationella kapaciteten för cybersäkerhet

EU-länderna måste

• utse en eller flera nationella behöriga myndigheter och CSIRT-enheter och identifiera en gemensam kontaktpunkt (om det finns fler än en behörig myndighet),
• identifiera leverantörer av samhällsviktiga tjänster i kritiska sektorer som energi, transport, finans, bankväsende, hälsa, vatten och digital infrastruktur där ett cyberangrepp skulle kunna störa en samhällsviktig tjänst.

EU-länderna måste också inrätta en nationell cybersäkerhetsstrategi för nätverks- och informationssystem*, där följande punkter omfattas:

• Att vara förberedd och redo att hantera och vidta åtgärder vid cyberangrepp.
• Roller, ansvarsområden och samarbete för offentliga organ och andra parter.
• Program för utbildning och åtgärder för ökad medvetenhet.
• Forsknings- och utvecklingsplaner.
• Planering för att identifiera risker.

De nationella behöriga myndigheterna övervakar tillämpningen av direktivet genom att

• bedöma cybersäkerhets- och säkerhetsprinciperna hos leverantörer av samhällsviktiga tjänster,
• ha tillsyn över leverantörer av digitala tjänster,
• delta i arbetet med samarbetsgruppen (som utgörs av behöriga myndigheter för nätverks- och informationssäkerhet från vart och ett av EU-länderna, Europeiska kommissionen och Europeiska unionens byrå för nät- och informationssäkerhet (Enisa)),
• informera allmänheten när det behövs för att förebygga en incident eller hantera en pågående incident, samtidigt som konfidentialiteten respekteras,
• utfärda bindande instruktioner för att åtgärda brister i cybersäkerheten.

CSIRT-enheterna är ansvariga för att

• övervaka och vidta åtgärder vid cybersäkerhetsincidenter,
• tillhandahålla riskanalys och incidentanalys samt situationsmedvetenhet,
• delta i CSIRT-nätverket,
• samarbeta med den privata sektorn,
• främja användningen av standardiserad praxis för incident- och riskhantering och klassificering av information.

Säkerhets- och rapporteringskrav

Direktivet syftar till att främja en kultur av riskhantering. Företag som arbetar i nyckelsektorer måste bedöma vilka risker de tar och anta åtgärder för att trygga cybersäkerheten. Dessa företag måste till de behöriga myndigheterna eller CSIRT-enheterna rapportera varje relevant incident, såsom hackning eller stöld av uppgifter, som allvarligt äventyrar cybersäkerheten och har avsevärd störande inverkan på kontinuiteten i kritiska tjänster och tillhandahållandet av varor.

För att avgöra vilka incidenter som ska rapporteras av leverantörer av samhällsviktiga tjänster*, ska EU-länderna ta hänsyn till hur länge en incident varade och dess geografiska utbredning, och även andra faktorer, som antalet användare som är beroende av tjänsten i fråga.

Viktiga leverantörer av digitala tjänster (sökmotorer, molntjänster och internetbaserade marknadsplatser) måste också följa säkerhets- och rapporteringskraven.

Förbättra samarbetet på EU-nivå

Genom direktivet upprättas samarbetsgruppen vars uppgifter innefattar att

• ge vägledning till nätverket av CSIRT-enheter,
• utbyta bästa praxis när det gäller att identifiera leverantörer av samhällsviktiga tjänster,
• hjälpa EU-länderna att bygga upp sin kapacitet för cybersäkerhet,
• dela information och bästa praxis om medvetandehöjning och utbildning, forskning och utveckling,
• dela information och samla bästa praxis om risker och incidenter,
• diskutera metoder för rapportering av incidenter.

I direktivet upprättas också CSIRT-nätverket som utgörs av representanter från EU-ländernas CSIRT-enheter och incidenthanteringsorganisation (Computer Emergency Response Team (CERT-EU)). Det har följande uppgifter:

• Dela information om CSIRT-tjänster.
• Dela information om cybersäkerhetsincidenter.
• Stödja EU-länderna i deras åtgärder vid gränsöverskridande incidenter.
• Diskutera och identifiera en samordnad åtgärd vid en incident som rapporteras av ett EU-land.
• Diskutera, utforska och identifiera ytterligare former av operativt samarbete, däribland
  • kategorier av risker och incidenter,
  • tidiga varningar,
  • ömsesidigt bistånd,
  • samordning mellan länder som vidtar åtgärder vid risker och incidenter som berör fler än ett EU-land,
• information till samarbetsgruppen om verksamheten och begäran om vägledning,
• diskussion om lärdomar som dragits från cybersäkerhetsövningar,
• diskussion om enskilda CSIRT-enheters kapacitet på deras begäran,
• utfärdande av riktlinjer om operativt samarbete.

Sanktioner

EU-länderna måste tillämpa ändamålsenliga, proportionerliga och avskräckande sanktioner för att säkerställa att bestämmelserna i detta direktiv tillämpas.

VILKEN PERIOD GÄLLER DIREKTIVET FÖR?

Det gäller från och med den 8 augusti 2016. EU-länderna måste införliva det i sin nationella lagstiftning senast den 9 maj 2018, och identifiera leverantörer av samhällsviktiga tjänster senast den 9 november 2018.

BAKGRUND

• Cybersäkerhet (Europeiska kommissionen)
• Cybersäkerhet: Kommissionen trappar upp sina åtgärder mot cyberangrepp – pressmeddelande (Europeiska kommissionen)
• Direktivet om säkerhet i nätverks- och informationssystem – pressmeddelande (Europeiska kommissionen)
• Resiliens, avskräckning och försvar: ett starkt cyberförsvar för EU – faktablad (Europeiska kommissionen).

VIKTIGA BEGREPP

HUVUDDOKUMENT

Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen (EUT L 194, 19.7.2016, s. 1).

ANKNYTANDE DOKUMENT

Kommissionens genomförandeförordning (EU) 2018/151 av den 30 januari 2018 om tillämpningsföreskrifter för Europaparlamentets och rådets direktiv (EU) 2016/1148 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen vad gäller närmare specificering av de aspekter som ska beaktas av leverantörer av digitala tjänster när de hanterar risker som hotar säkerheten i deras nät- och informationssystem samt parametrarna för fastställande av om en incident har avsevärd inverkan (EUT L 26, 31.1.2018, s. 48).

Kommissionens genomförandebeslut (EU) 2017/179 av den 1 februari 2017 om fastställande av de förfaranden som krävs för samarbetsgruppens verksamhet enligt artikel 11.5 i Europaparlamentets och rådets direktiv (EU) 2016/1148 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen (EUT L 28, 2.2.2017, s. 73).

Meddelande från kommissionen till Europaparlamentet och rådet Maximalt utnyttjande av it-säkerhetsdirektivet – mot ett effektivt genomförande av direktiv (EU) 2016/1148 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen (COM(2017) 476 final 2, 4.10.2017).

Kommissionens rekommendation (EU) 2017/1584 av den 13 september 2017 om samordnade insatser vid storskaliga cyberincidenter och cyberkriser (EUT L 239, 19.9.2017, s. 36).

Gemensamt meddelande till Europaparlamentet och rådet Resiliens, avskräckning och försvar: ett starkt cyberförsvar för EU (JOIN(2017) 450 final, 13.9.2017).

Arbetsdokument från kommissionens avdelningar – Assessment of the EU 2013 cybersecurity strategy (SWD(2017) 295 final, 13.9.2017) (ej översatt till svenska).

Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (EUT L 257, 28.8.2014, s. 73).

Rådets beslut 2013/488/EU av den 23 september 2013 om säkerhetsbestämmelser för skydd av säkerhetsskyddsklassificerade EU-uppgifter (EUT L 274, 15.10.2013, s. 1).

Fortlöpande ändringar av beslut 2013/488/EU har införlivats i originaltexten. Denna konsoliderade version har enbart dokumentationsvärde.

Europaparlamentets och rådets direktiv 2013/40/EU av den 12 augusti 2013 om angrepp mot informationssystem och om ersättande av rådets rambeslut 2005/222/RIF (EUT L 218, 14.8.2013, s. 8).

Europaparlamentets och rådets förordning (EU) nr 526/2013 av den 21 maj 2013 om Europeiska unionens byrå för nät- och informationssäkerhet (Enisa) och om upphävande av förordning (EG) nr 460/2004 (EUT L 165, 18.6.2013, s. 41).

Gemensamt meddelande till Europaparlamentet, rådet, Europeiska ekonomiska och sociala kommittén samt Regionkommittén EU:s strategi för cybersäkerhet: En öppen, säker och trygg cyberrymd (JOIN(2013) 1 final, 7.2.2013).

Senast ändrat 01.03.2018