Regeringskansliet
Faktapromemoria 2015/16:FPM118
Meddelande om stärkt motståndskraft i 2015/16:FPM118 nätverk och informationssystem
(cyberresiliens)
Justitiedepartementet
KOM(2016)410
Meddelande från Kommissionen till Europaparlamentet, Rådet, Europeiska ekonomiska och sociala kommittén samt Regionkommittén: Stärka Europas system för cyberresiliens och främja en konkurrenskraftig och innovativ cybersäkerhetsbransch
Sammanfattning
Meddelandet innehåller en presentation av ett antal initiativ och förslag till åtgärder som syftar till att stärka Europas system för cyberresiliens (IT- system, kritisk infrastruktur m.m. ska vara motståndskraftiga och kunna fortsätta leverera önskade tjänster vad som än händer) och främja en konkurrenskraftig och innovativ cybersäkerhetsbransch i Europa.
Initiativen och förslagen presenteras inom ramen för tre huvudområden:
1)ett intensifierat samarbete för att stärka beredskapen och hantera cyberincidenter
2)utmaningar på Europas inre marknad för cybersäkerhet och
3)främjande av industriell kapacitet på cybersäkerhetsområdet
Kommissionens initiativ och förslag har i nuläget ingen påverkan på svensk reglering och meddelandet innehåller inte några konkreta förslag till nya rättsakter. Regeringen ställer sig generellt positiv till fortsatta satsningar på området inom ramen för EU. Regeringen vill dock framhålla vikten av att de åtgärder som meddelandet innehåller inte avleder resurser från det pågående arbetet med
1 Förslaget
1.1Ärendets bakgrund
Kommissionens meddelande är framtaget på eget initiativ av kommissionen. Meddelandet tar avstamp i olika åtgärder på policyområdet som redan genomförs eller håller på att genomföras inom cybersäkerhetsområdet. Dessa åtgärder är t.ex. beslutet om EU:s Cybersäkerhetsstrategi och
Trots dessa framsteg har EU, enligt kommissionens meddelande, fortfarande otillräckligt skydd mot cyberincidenter, vilket kan undergräva den digitala inre marknaden, det ekonomiska livet och samhällslivet i stort. Mot denna bakgrund undersöker kommissionen hur den föränderliga cybersäkerhetssituationen kan mötas och analyserar vilka ytterligare åtgärder som kan behövas för att öka EU:s cyberresiliens, förmåga att hantera incidenter samt främja en konkurrenskraftig och innovativ cybersäkerhetsbransch i Europa. Kommissionens meddelande kopplar arbetet till EU:s Cybersäkerhetsstrategi och strategin för den digitala inre marknaden (se faktapromemoria 2014/15:FPM35). Meddelandet presenterades den 5 juli 2016.
1.2Förslagets innehåll
Meddelandet innehåller en presentation av ett antal initiativ och förslag till åtgärder som syftar till att stärka Europas system för cyberresiliens och främja en konkurrenskraftig och innovativ cybersäkerhetsbransch i Europa.
Initiativen och förslagen presenteras inom ramen för tre huvudområden:
1)ett intensifierat samarbete för att stärka beredskapen och hantera cyberincidenter
2)utmaningar på Europas inre marknad för cybersäkerhet och
3)främjande av industriell kapacitet på cybersäkerhetsområdet
1.2.1Ett intensifierat samarbete för att stärka beredskapen att hantera cyberincidenter
Initiativen och förslagen om ett intensifierat samarbete för att stärka beredskapen och hantera cyberincidenter syftar till att stärka existerande och överenskomna samarbetsmekanismer för att öka EU:s resiliens och beredskap, även gentemot eventuella cybersäkerhetskriser som kan påverka flera medlemsstater samtidigt. Genom
cybersäkerhetsincidenter och ett ökat informationsutbyte om risker. Genom direktivet kommer också en samarbetsgrupp att inrättas för att underlätta det strategiska samarbetet och öka förtroendet mellan medlemsstaterna. Med tanke på cyberhotens art och mångfald uppmuntrar kommissionen medlemsstaterna att utnyttja direktivets samarbetsmekanismer maximalt och öka det gränsöverskridande samarbetet kring beredskap inför storskaliga cyberincidenter. Ett sådant samarbete skulle enligt kommissionen gagnas av en samordnad strategi för hur den typen av storskaliga cyberincidenter kan hanteras, och en sådan strategi skulle kunna vara i form av en konkret plan. Under första halvåret 2017 kommer kommissionen därför att lägga fram en sådan samarbetsplan så att samarbetsgruppen,
Inom samma huvudområde presenterar kommissionen även andra initiativ och förslag för ett ökat samarbete. För att stödja samarbetsmekanismerna inom ramen för
Kommissionen hänvisar även till att den kommer att slutföra utvärderingen av Enisa före utgången av 2017. I samband med utvärderingen ska man ta ställning till om Enisas mandat behöver ändras eller utvidgas, med målet att ta fram ett eventuellt förslag så snart som möjligt.
Kommissionen pekar också på behovet av ökade insatser för utbildning och övning på cybersäkerhetsområdet. Som en uppföljning av antagandet av
Slutligen behandlas inom detta huvudområde problematiken kring ömsesidiga och gränsöverskridande säkerhetsberoenden mellan sektorer. En allvarlig cyberincident inom en sektor eller medlemsstat kan direkt eller indirekt påverka – eller spridas till – andra sektorer eller andra medlemsstater. En viktig faktor när man ska bedöma risken för och konsekvenserna av en storskalig cyberincident är graden av dessa beroenden. Kommissionen avser därför att genom olika initiativ arbeta för att främja utvecklingen av samarbetet mellan sektorerna och öka kunskapen om beroendeförhållandena.
1.2.2Utmaningar för Europas inre marknad för cybersäkerhet
Initiativen och förslagen när det gäller Europas inre marknad för cybersäkerhet syftar till att främja en mer integrerad inre marknad för cybersäkerhetsprodukter och tjänster för att underlätta införandet av mer praktiska och överkomliga lösningar. Kommissionens bedömning är att tillgången på
För att skapa en fungerande inre marknad för cybersäkerhet, och på så sätt långsiktigt öka den gemensamma säkerheten i Europa, bör enligt kommissionen en eventuell ram för säkerhetscertifiering av
Offentliga förvaltningar kommer att engageras för att främja användning av gemensamma specifikationer och hänvisning till certifiering vid offentlig upphandling. Kommissionen kommer också att övervaka och rapportera om användningen av relevanta certifieringskrav inom offentlig upphandling på nationell nivå, särskilt när det gäller sektorspecifika system (t.ex. energi, transport, hälso- och sjukvård och offentlig förvaltning).
Kommissionen beskriver även initiativ och förslag för att öka investeringarna i cybersäkerhet i Europa och stödja små och medelstora företag vilka går ut på att använda befintliga verktyg för stöd till små och medelstora företag för att öka kunskaperna om befintliga finansieringsmekanismer bland cybersäkerhetsaktörer.
1.2.3Främjande av industriell kapacitet på cybersäkerhetsområdet
När det gäller huvudområdet industriell kapacitet på cybersäkerhetsområdet vill kommissionen främja konkurrenskraft och innovation för den europeiska cybersäkerhetsbranschen. Avsnittet beskriver kommissionens redan påbörjade arbete med att underteckna ett avtal med branschen om ett privatoffentligt partnerskap för cybersäkerhet, så att arbetet kan inledas under det tredje kvartalet 2016 (cPPP). Partnerskapet för cybersäkerhet inleds inom ramen för EU:s ramprogram för forskning och innovation för perioden 2014– 2020 (Horisont 2020). Partnerskapet kommer att mobilisera medel från två av programmets pelare: Ledarskap inom möjliggörande teknik och industriteknik och Samhällsutmaning – Säkra samhällen.
Partnerskapet kommer att genomföras med öppna och flexibla styrelseformer som är anpassade till cybersäkerhetsvillkorens snabba utveckling. Det kommer att beakta medlemsstaternas behov av att diskutera hur teknikutvecklingen påverkar möjligheterna till säker drift av nationella och gränsöverskridande infrastrukturer. Kommissionen kommer att inleda Horisont
1.3Gällande svenska regler och förslagets effekt på dessa
Kommissionens initiativ och förslag har i nuläget ingen påverkan på svensk reglering. Det kan dock inte uteslutas att något av förslagen kommer att utvecklas i den riktningen i framtiden.
1.4Budgetära konsekvenser / Konsekvensanalys
Kommissionen redovisar ingen bedömning av de budgetära konsekvenserna. Regeringen anser att de åtgärder som föreslås i meddelandet inte ska medföra några extra kostnader.
2 Ståndpunkter
2.1Preliminär svensk ståndpunkt
Informations- och cybersäkerhet är ett viktigt område för regeringen och regeringen ställer sig generellt positiv till fortsatta satsningar på området inom ramen för EU. Regeringen anser dock att medlemsstaterna i första hand nu bör koncentrera sig på att införliva
Regeringens är positiv till ett fortsatt starkt och proaktivt
meddelandet innehåller inte avleder resurser från det pågående arbetet med
2.2Medlemsstaternas ståndpunkter
Medlemsstaternas ståndpunkter är inte kända.
2.3Institutionernas ståndpunkter
Institutioners ståndpunkter är inte kända.
2.4Remissinstansernas ståndpunkter
Förslaget har inte varit föremål för remiss.
3 Förslagets förutsättningar
3.1Rättslig grund och beslutsförfarande
Meddelandet innehåller inte några konkreta förslag till nya rättsakter. Om nya rättsakter föreslås i ett senare skede bedöms följande artiklar vara relevanta. Europeiska unionen har befogenhet att besluta om åtgärder i syfte att upprätta den inre marknaden eller säkerställa dess funktion i enlighet med tillämpliga bestämmelser i fördragen (artikel 26 i fördraget om Europeiska unionens funktionssätt
3.2Subsidiaritets- och proportionalitetsprincipen
Meddelandet innehåller inte några konkreta förslag till nya rättsakter. Kommissionen anger inte i detta meddelande hur förslag och initiativ ansluter till subsidiaritets- och proportionalitetsprincipen.
4 Övrigt
4.1Fortsatt behandling av ärendet
Slovakien (ordförandeland) har aviserat att de avser att ta fram rådsslutsatser för att uttrycka rådets stöd för meddelandet. Arbetet med dessa har inletts inom ordförandeskapets vängrupp för cyberfrågor (FoP Cyber).
4.2Fackuttryck/termer
Cyberresiliens –
CSIRT – Enheter för hantering av
IKT – Informations- och kommunikationsteknologi
EU:s Cybersäkerhetsstrategi – I EU:s strategi för
cPPP – Ett avtalsbaserat
FoP Cyber – Ordförandeskapets vängrupp för cyberfrågor (Friends of Presidency for Cyber Issues)