EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Cybersecurity of network and information systems
Cybersäkerhet i nätverks- och informationssystem
Cybersäkerhet i nätverks- och informationssystem
Direktiv (EU) 2016/1148 – cybersäkerhet i nätverks- och informationssystem
I direktivet föreslås en omfattande uppsättning åtgärder för att höja nivån på säkerheten i nätverks- och informationssystem (cybersäkerhet*) för att säkra de tjänster som är grundläggande för EU:s ekonomi och samhälle. Det syftar till att säkerställa att EU-länderna är väl förberedda och redo att hantera och vidta åtgärder mot cyberangrepp genom att
I direktivet fastställs också samarbete på EU-nivå både strategiskt och tekniskt.
Slutligen införs skyldighet för leverantörer av samhällsviktiga tjänster och digitala tjänster att vidta lämpliga säkerhetsåtgärder och meddela relevanta nationella myndigheter om allvarliga incidenter.
Förbättra den nationella kapaciteten för cybersäkerhet
EU-länderna måste
EU-länderna måste också inrätta en nationell cybersäkerhetsstrategi för nätverks- och informationssystem*, där följande punkter omfattas:
De nationella behöriga myndigheterna övervakar tillämpningen av direktivet genom att
CSIRT-enheterna är ansvariga för att
Säkerhets- och rapporteringskrav
Direktivet syftar till att främja en kultur av riskhantering. Företag som arbetar i nyckelsektorer måste bedöma vilka risker de tar och anta åtgärder för att trygga cybersäkerheten. Dessa företag måste till de behöriga myndigheterna eller CSIRT-enheterna rapportera varje relevant incident, såsom hackning eller stöld av uppgifter, som allvarligt äventyrar cybersäkerheten och har avsevärd störande inverkan på kontinuiteten i kritiska tjänster och tillhandahållandet av varor.
För att avgöra vilka incidenter som ska rapporteras av leverantörer av samhällsviktiga tjänster*, ska EU-länderna ta hänsyn till hur länge en incident varade och dess geografiska utbredning, och även andra faktorer, som antalet användare som är beroende av tjänsten i fråga.
Viktiga leverantörer av digitala tjänster (sökmotorer, molntjänster och internetbaserade marknadsplatser) måste också följa säkerhets- och rapporteringskraven.
Förbättra samarbetet på EU-nivå
Genom direktivet upprättas samarbetsgruppen vars uppgifter innefattar att
I direktivet upprättas också CSIRT-nätverket som utgörs av representanter från EU-ländernas CSIRT-enheter och incidenthanteringsorganisation (Computer Emergency Response Team (CERT-EU)). Det har följande uppgifter:
Sanktioner
EU-länderna måste tillämpa ändamålsenliga, proportionerliga och avskräckande sanktioner för att säkerställa att bestämmelserna i detta direktiv tillämpas.
Det gäller från och med den 8 augusti 2016. EU-länderna måste införliva det i sin nationella lagstiftning senast den 9 maj 2018, och identifiera leverantörer av samhällsviktiga tjänster senast den 9 november 2018.
Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen (EUT L 194, 19.7.2016, s. 1).
Kommissionens genomförandeförordning (EU) 2018/151 av den 30 januari 2018 om tillämpningsföreskrifter för Europaparlamentets och rådets direktiv (EU) 2016/1148 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen vad gäller närmare specificering av de aspekter som ska beaktas av leverantörer av digitala tjänster när de hanterar risker som hotar säkerheten i deras nät- och informationssystem samt parametrarna för fastställande av om en incident har avsevärd inverkan (EUT L 26, 31.1.2018, s. 48).
Kommissionens genomförandebeslut (EU) 2017/179 av den 1 februari 2017 om fastställande av de förfaranden som krävs för samarbetsgruppens verksamhet enligt artikel 11.5 i Europaparlamentets och rådets direktiv (EU) 2016/1148 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen (EUT L 28, 2.2.2017, s. 73).
Meddelande från kommissionen till Europaparlamentet och rådet Maximalt utnyttjande av it-säkerhetsdirektivet – mot ett effektivt genomförande av direktiv (EU) 2016/1148 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen (COM(2017) 476 final 2, 4.10.2017).
Kommissionens rekommendation (EU) 2017/1584 av den 13 september 2017 om samordnade insatser vid storskaliga cyberincidenter och cyberkriser (EUT L 239, 19.9.2017, s. 36).
Gemensamt meddelande till Europaparlamentet och rådet Resiliens, avskräckning och försvar: ett starkt cyberförsvar för EU (JOIN(2017) 450 final, 13.9.2017).
Arbetsdokument från kommissionens avdelningar – Assessment of the EU 2013 cybersecurity strategy (SWD(2017) 295 final, 13.9.2017) (ej översatt till svenska).
Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (EUT L 257, 28.8.2014, s. 73).
Rådets beslut 2013/488/EU av den 23 september 2013 om säkerhetsbestämmelser för skydd av säkerhetsskyddsklassificerade EU-uppgifter (EUT L 274, 15.10.2013, s. 1).
Fortlöpande ändringar av beslut 2013/488/EU har införlivats i originaltexten. Denna konsoliderade version har enbart dokumentationsvärde.
Europaparlamentets och rådets direktiv 2013/40/EU av den 12 augusti 2013 om angrepp mot informationssystem och om ersättande av rådets rambeslut 2005/222/RIF (EUT L 218, 14.8.2013, s. 8).
Europaparlamentets och rådets förordning (EU) nr 526/2013 av den 21 maj 2013 om Europeiska unionens byrå för nät- och informationssäkerhet (Enisa) och om upphävande av förordning (EG) nr 460/2004 (EUT L 165, 18.6.2013, s. 41).
Gemensamt meddelande till Europaparlamentet, rådet, Europeiska ekonomiska och sociala kommittén samt Regionkommittén EU:s strategi för cybersäkerhet: En öppen, säker och trygg cyberrymd (JOIN(2013) 1 final, 7.2.2013).
Senast ändrat 01.03.2018