Regeringskansliet
Faktapromemoria 2017/18:FPM8
Cybersäkerhetsakten | 2017/18:FPM8 |
Näringsdepartementet
Dokumentbeteckning
KOM (2017) 477
Förslag till EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING om Enisa, EU:s cybersäkerhetsbyrå, och om upphävande av förordning (EU) nr 526/2013, och om cybersäkerhetscertifiering av informations- och kommunikationsteknik (cybersäkerhetsakten)
Sammanfattning
Cybersäkerhetsakten syftar till att höja cybersäkerheten i EU och förslaget består i princip av ett nytt men betydligt utökat mandat för Europeiska byrån för nät- och informationssäkerhet (Enisa), i förslaget omdöpt till EU:s cybersäkerhetsbyrå (EU Cybersecurity Agency). Betydande nyheter är att byrån 1) föreslås få ett permanent mandat, 2) på begäran från medlemsstaterna ska kunna bistå operativt vid gränsöverskridande IT- incidenter samt 3) föreslås utveckla och förvalta ett
Regeringen ställer sig preliminärt positiv till ett permanent mandat för Enisa under förutsättning att mandatet är föremål för regelbundna utvärderingar.
Regeringen är preliminärt positiv till de förtydliganden som görs kring uppgifter som Enisa redan har kring policyutveckling, kunskapsbyggnad och kunskapsspridning, medvetandegörande och stödjandeverksamhet kring forskning och standardisering, övningar m.m.. Regeringen menar dock att mer analys behövs rörande de huvudsakliga utvigningarna av mandatet, vilka hänför sig till att byrån på begäran av medlemsstater ska kunna bistå operativt vid gränsöverskridande
och förvalta ett
Sverige bör avseende förslaget verka för en så hög grad av frivillighet för medlemsstaterna som möjligt samt att slutresultatet av förhandlingarna blir så budgetneutralt som möjligt, såväl för den svenska stadsbudgeten som för
1 Förslaget
1.1Ärendets bakgrund
Cybersäkerhetspaketet presenterades i mitten av september 2017 och består bl.a. av meddelandet om effektiv implementering av
Paketet innefattar både förslag till nya initiativ och åtgärder på cybersäkerhetsområdet som redan genomförs eller håller på att genomföras, såsombeslutet om
Europeiska unionens byrå för nät- och informationssäkerhet (ENISA) grundades ursprungligen år 2004 och har fått sitt mandat förnyat regelbundet. Det nuvarande mandatet för ENISA anges i förordning 526/2013 (ENISA- förordningen) och löper ut den 19 juni 2020.
ENISA:s mandat är att bidra till en hög nivå av nät- och informationssäkerhet inom unionen genom att:
utveckla och upprätthålla en hög expertkunskapsnivå,
hjälpa unionens institutioner, organ och byråer att utarbeta politik för nät- och informationssäkerhet,
hjälpa unionens institutioner, organ och byråer och medlemsstaterna att genomföra den politik som krävs för att uppfylla de rättsliga kraven på nätverk- och informationssäkerhet under befintliga och framtida rättsliga regler inom unionen, och på så vis bidra till en välfungerande inre marknad,
hjälpa EU och medlemsstaterna att förbättra och stärka deras kapacitet och beredskap för att förhindra, upptäcka och svara på nät- och informationssäkerhetsproblem och incidenter,
använda sin sakkunskap för att stimulera brett samarbete mellan aktörer från offentlig och privat sektor.
Genom direktiv 2016/1148 om åtgärder för en hög gemensam nivå av säkerhet i nätverk och informationssystem i hela unionen
Byrån ligger i Grekland, med huvudort i Heraklion (Kreta) och kärnverksamhet i Aten. Den har 84 anställda (48 fast tjänster) och en årlig driftsbudget på 11.25 meuro. Den leds av en verkställande direktör och styrs av en styrelse, direktion och den ständiga intressentgruppen. Ett informellt nätverk av nationella sambandsmän underlättar kontakterna med medlemsstaterna.
I enlighet med Enisaförordningen 526/2013 av den 21 maj 2013 om Europeiska unionens byrå för nät- och informationssäkerhet (Enisa) har KOM gjort en utvärdering av ENISA. Utvärderingens slutsatser är att ENISA anförtroddes ett brett mandat – som tillåter flexibilitet men i vissa fall saknar fokus vilket gör det svårt för myndigheten att få betydande effekt – och dess mål bedöms vara relevanta under perioden
Byrån nådde dessa resultat trots flera utmaningar. En av de viktigaste utmaningarna relaterar till begränsade resurser, som inte matchade byråns breda mandat, särskilt med tanke på de nya uppgifter som tilldelats byrån genom
Cybersäkerhethotlandskapet utvecklas snabbt med ytterligare hot som växer fram samtidigt som Europa blir alltmer beroende av digital infrastruktur och tjänster genom inte bara anslutna enheter men nu via allestädes närvarande anslutning. Sakernas Internet skapar nya möjligheter för energieffektivitet, miljöskydd, uppkopplad rörlighet, hälsoövervakning i realtid samt smarta och smidiga finansiella transaktioner i den digitala ekonomin och samhället. Men parallellt med dessa sporrar för företagen möjliggörs nya sårbarheter och attackvektorer som möjliggör komprometterande av enheter, med syfte att störa den digitala inre marknaden.
Utvärderingen ledde till slutsatsen att det nuvarande mandatet inte utrustar ENISA med de nödvändiga verktygen för att möta dagens och framtidens cybersäkerhetsutmaningar. Utvärderingen anges visa att det trots ett antal utmanande frågor finns betydande potential för ENISA, med tillräckligt uppdrag, och stöd när det gäller finansiella resurser och anställda, att bidra till ökad cybersäkerhet i EU.
Det har också identifierats ett tydligt behov av samarbete och samordning mellan olika intressenter. Behovet av en samordnande enhet på
1.2Förslagets innehåll
Det nya föreslagna mandatet syftar till att ge byrån en starkare och mer central roll, i synnerhet genom att också stödja medlemsstaterna i genomförandet av
Förslagets huvudsakliga delar:
ENISA föreslås beviljas ett permanent mandat (efter att tidigare haft ett antal tidsbegränsade mandat som förlängts). Mandat, mål och uppgifter skulle fortfarande vara föremål för regelbunden översyn.
Det föreslagna mandatet klargör ytterligare ENISA:s roll som Europeiska unionens byrå för cybersäkerhet och som referenspunkten för cybersäkerhet i EU:s ekosystem och agerande i nära samarbete med alla andra relevanta organ i detta ekosystem. Detta innebära inga större eller principiella skillnader mot idag.
Organisationen och styrningen av myndigheten, vilka bedömdes positivt under utvärderingen, förändras i begränsad utsträckning, särskilt för att se till att behoven hos en vidare krets intressenter bättre återspeglas i byråns arbete. Detta innebära inga större eller principiella skillnader mot idag.
Den föreslagna omfattningen av mandatet är avgränsad och stärker de områden där byrån har visat tydligt mervärde och lägger till nya områden där stöd behövs med tanke på de nya prioriteringarna och initiativen, i synnerhet
Lite mer konkret innehåller förslaget följande delar:
Kapacitetsbyggande: ENISA skulle bidra till en förbättring av EU och nationella offentliga myndigheters kapacitet och expertis, inbegripet incidenthantering och tillsynen av cybersäkerhetsrelaterade regleringsåtgärder. Byrån skulle också uppdras att bidra till etableringen av informationsutbytes- och analyscentum (ISACS) inom olika sektorer genom att utbyta bästa praxis och vägledning om tillgängliga verktyg och förfaranden samt genom lämplig adressering av regulatoriska frågor relaterade till informationsutbyte.
Kunskap och information, medvetandegörande: ENISA skulle bli informationsnavet i EU. Detta skulle innebära främjande och utbyte av
bästa praxis och initiativ i hela EU genom att samla information om cybersäkerhet som härrör från EU och nationella institutioner, byråer och organ. Byrån skulle också tillgängliggöra rådgivning, vägledning och metodtips om säkerhet för kritisk infrastruktur. I efterdyningarna av betydande gränsöverskridande cybersäkerhetsincidenter skulle ENISA dessutom sammanställa rapporter med syfte att ge vägledning till företag och medborgare i hela EU. Denna del av arbetet skulle också involvera ordinarie upplysningsverksamhet i samarbete med medlemsstaternas myndigheter.
Marknadsrelaterade uppgifter (standardisering,
oI förslaget fastställs en övergripande ram med regler som styr Europeiska
oFörslaget anger väsentliga funktioner och uppgifter för ENISA inom
o Europeiska
o Enligt förslaget ska övervakning, tillsyn och verkställighetsuppgifter ligga hos medlemsstaterna. Medlemsstaterna måste tillhandahålla en tillsynsmyndighet för
överensstämmelse, samt intyg utfärdade av dylika organ inom deras territorium, överensstämmer med kraven i denna förordning och relevanta europeiska itsäkerhetscertifieringssystem.
o Den föreslagna förordningen kommer att säkerställa kompatibilitet med
Forskning och innovation: ENISA skulle bidra med sin expertis genom rådgivning till EU och nationella myndigheter rörande prioriteringar inom forskning och utveckling, inklusive inom ramen för det avtalsmässiga
Det operativa samarbetet och krishantering: Denna del av arbetet bör bygga på att stärka den befintliga förebyggande och operativa kapaciteten, särskilt uppgradering av de paneuropeiska cybersäkerhetsövningarna (Cyber Europe) genom att genomföra dem årligen, och på en stödjande roll i operativt samarbete i form av sekretariat för
EU:s cybersäkerhetsrekommendation (s.k. blueprint): ENISA skulle också spela en roll i utformandet av kommissionens rekommendation till medlemsstaterna för ett samordnat svar på storskaliga gränsöverskridande cybersäkerhetsincidenter och kriser på
lägesrapporter som baseras på information som görs tillgänglig för myndigheten på frivillig basis av medlemsstaterna och andra organ.
1.3Gällande svenska regler och förslagets effekt på dessa
Svenska regler om certifiering av
1.4Budgetära konsekvenser / Konsekvensanalys
Ett nytt tillägg i ENISA:s mandat, i kommissionens förlag, är att byrån skulle stödja EU:s politik inom
Enligt förslaget, med reservation för att inget kan förutsägas om nästa fleråriga finansiella ramverk, skall cybersäkerhetsbyråns budget i princip fördubblas till ca 23 miljoner euro år 2022.
Inrättandet av ett europeiskt ramverk för
Enligt kommissionen konskvensanalys (SWD(2017) 500 final) för det alternativ de föreslår skulle EU ha en byrå inriktad på att ge stöd till medlemsstaterna,
stöd till genomförandet av
policyutveckling och regelgenomförande,
kunskaper och medvetenhet,
forskning,
operativt samarbete och krishantering,
Relationen mellan det tänkta
2 Ståndpunkter
2.1Preliminär svensk ståndpunkt
Regeringen ställer sig preliminärt positiv till ett permanent mandat för Enisa under förutsättning att finansiering avdelas på
Regeringen är preliminärt positiv till de förtydliganden som görs kring uppgifter som Enisa redan har kring policyutveckling, kunskapsbyggnad och kunskapsspridning, medvetandegörande och stödjandeverksamhet kring forskning och standardisering, övningar m.m..
Sverige verkar för att främja och stärka den inre marknaden, och betonar samtidigt vikten av globala standarder och motverkandet av digital protektionism. Sverige har även betonat vikten av att utveckla EU:s gemensamma kapacitet att hantera dagens cybersäkerhetsutmaningar, men menar på att eventuellt stöd från EU och dess institutioner att hantera incidenter inte på något sätt ska ersätta medlemsstaternas eget ansvar för cybersäkerhet.
Sverige avser verka för en så hög grad av frivillighet för medlemsstaterna som möjligt.
Förslagets effekter på
propositionen (1994/95:40) om budgeteffekter av Sveriges medlemskap i Europeiska unionen m.m. Ökade kostnader på statsbudgeten ska finansieras inom befintliga ramar inom berörda utgiftsområden på statsbudgeten.
2.2Medlemsstaternas ståndpunkter
Medlemsstaternas ståndpunkter är ännu inte kända. Det förväntas dock finnas ett starkt stöd för ett permanent mandat för byrån. Det finns fler länder än Sverige som underhand uttryckt skepsis till de föreslagna utvidgningarna av mandatet. Vilka majoritetsförhållanden som kommer finnas i dessa delar är dock ännu okänt.
2.3Institutionernas ståndpunkter
Institutionernas ståndpunkter är ännu inte kända.
2.4Remissinstansernas ståndpunkter
Remissinstansernas ståndpunkter är ännu inte kända.
3 Förslagets förutsättningar
3.1Rättslig grund och beslutsförfarande
Förslaget vilar på artikel 114 i fördraget. Det betyder att det ordinarie lagstiftningsförfarandet är tillämpligt. Enligt artikel 294 i fördraget beslutar rådet med kvalificerad majoritet och Europaparlamentet är medbeslutande.
3.2Subsidiaritets- och proportionalitetsprincipen
Subsidiaritetsprincipen kräver bedömning av behovet och mervärdet av EU- åtgärden. Kommissionens bedömning av respekten för subsidiaritetsprincipen:
Att subsidiaritetsprincipen respekterats inom detta område erkändes redan vid antagandet av de aktuella ENISA förordning.
I den aktuella kontexten och om man ser till framtida scenarion, verkar det som att för att öka EU:s kollektiva robusthet inom
Mervärdet av agerande på
De föreslagna åtgärderna går enligt kommissionen inte utöver vad som är nödvändigt för att uppnå sina politiska mål. Tillämpningsområdet för EU- åtgärden åtgärder hindrar dessutom enigt kommissionen inte någon ytterligare nationella åtgärder på området för nationella säkerhetsfrågor.
Regeringen delar kommissionens bedömning att
3.3Fortsatt behandling av ärendet
Förslaget är under fortsatt analys och gemensam beredning inom Regeringskansliet. Förslaget planeras remitteras till myndigheter, organisationer och företag. Remissvaren väntas inkomma till regeringen under november månad.
Den 20 oktober planeras förslaget börja behandlas i den horisontella rådsarbetsgruppen för cyberfrågor. Förslaget är en del av det cybersäkerhetspaket som Europeiska kommissionen presenterade den 13 september 2017 och cybersäkerhet planeras att diskuteras på det nyinsatta
4 Övrigt
4.1Fackuttryck / termer
CSIRT – Enheter för hantering av
Enisa – European Union Agency for Network and Information Security. Europeiska unionens byrå för nät- och informationssäkerhet.
EU:s strategi för cybersäkerhet – Gemensamt meddelande till Europaparlamentet, Rådet, Europeiska ekonomiska och sociala kommittén samt Regionkommittén (JOIN(2013)1 final).
NIS – Nät- och informationssäkerhet