EU-strategi for digital sikkerhet
Felles meddelelse til Europaparlamentet, Rådet, Den europeiske økonomiske og sosiale komite og Regionsutvalget. EU-strategi for digital sikkerhet. Et åpent, trygt og sikkert cyberspace
Joint Communication to the European Parliament, the Council, the European Economic and Social Committee and the Committee of the Regions. Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace
Meddelelse lagt fram 7.2.2013 av Kommisjonen og Høyrepresentanten for EUs utenriks- og sikkerhetspolitikk. Omtale i Stortingsbibliotekets EU/EØS-nytt 8.2.2013
Bakgrunn
BAKGRUNN (fra Stortingsbibliotekets EU/EØS-nytt 8.2.2013)
Forslag om ikt-sikkerhet ikke merket som EØS-relevant
Sentrale internettaktører og operatører av kritisk infrastruktur må innføre tiltak mot it-angrep og får plikt til å melde fra om større sikkerhetsbrudd. Dette er en del av strategien og forslaget til direktiv som Europakommisjonen og EUs utenrikstjeneste la fram 7. januar. Verken strategien eller direktivet er merket som EØS-relevante.
Strategien, Et åbent, sikkert og beskyttet cyberspace, har som mål å styrke it-beredskapen og få en drastisk reduksjon av cyberkriminalitet. I tillegg ønsker man å utforme en politikk for it-forsvars og kapasitet knyttet til den felles sikkerhets- og forsvarspolitikken. Utvikling av industrielle og teknologiske ressurser knyttet til it-sikkerhet er et annet tiltak.
Direktivforslaget om nett- og informasjonssikkerhet inneholder blant annet følgende tiltak:
• Alle EU-landene skal ha en strategi og en nasjonal myndighet for å kunne forebygge, håndtere å reagere (eventuelt med bøter) på mulige og aktuelle angrep.
• Samarbeidet mellom EU-landene og Kommisjonen skal styrkes. Det skal være mulig å utveksle sensitiv informasjon gjennom et sikkert system.
• Operatører av kritisk infrastruktur innenfor finans, transport, energi og helse, og også viktige internettaktører som sosiale nettjenester, e-handelsvirksomhet, søkemotorer og nettskytjenester, får meldeplikt og må også innføre tiltak mot it-angrep. Det samme gjelder offentlige myndigheter.
Meldeplikten om it-angrep er et kontroversielt grep ifølge digi.no. Bedrifter ønsker i liten grad at dette skal komme fram siden det kan skade omdømmet. Det blir imidlertid opp til hvert enkelt land om informasjonen skal være offentlig. Meldeplikten gjelder hendelser som "i betydelig grad" påvirker sikkerheten i kjernetjenestene. Hva som kommer innenfor begrepet "i betydelig grad" vil bli vedtatt av Kommisjonen på et senere tidspunk, gjennom såkalte delegerte rettsakter.
Ifølge Euractiv blir forslaget til direktiv kritisert for å være for vagt og at det gjør lite for å beskytte data lagret utenfor EU. Det siste omtales som et vanskelig juridisk spørsmål.
BAKGRUNN - II (fra Kommisjonens pressemelding 7.2.2013, dansk utgave)
EU-cybersikkerhedsplan skal beskytte det åbne internet og friheden og mulighederne der
Europa-Kommissionen har i samarbejde med Unionens højtstående repræsentant for udenrigsanliggender og sikkerhedspolitik offentliggjort en strategi for cybersikkerhed i forbindelse med Kommissionens forslag til lovgivning om net- og informationssikkerhed (NIS).
Cybersikkerhedsstrategien – "Et åbent, sikkert og beskyttet cyberspace" - tegner EU's vidtfavnende vision for, hvordan man bedst forebygger og reagerer på cyberforstyrrelser og -angreb. Den skal yderligere fremme europæiske værdier som frihed og demokrati og skabe grobund for en sikker vækst i den digitale økonomi. Den igangsætter specifikke tiltag, som har til formål at forbedre informationssystemers cyberrobusthed, mindske cyberkriminalitet og styrke EU's internationale cybersikkerhedspolitik og cyberforsvar.
Strategien formulerer EU's vision for cybersikkerhed inden for fem hovedprioriteter:
• Opnåelse af cyberrobusthed
• Drastisk mindskelse af cyberkriminalitet
• EU's cyberforsvarspolitik og -kapacitet skal udbygges i forbindelse med den fælles sikkerheds- og forsvarspolitik (FSFP)
• Udvikling af de industrielle og teknologiske ressourcer til at fremme cybersikkerhed
• Fastlæggelse af en kohærent international cyperspacepolitik i EU og fremme af centrale EU-værdier.
EU-politikken for cyberspace fremmer respekten for centrale EU-værdier, definerer normer for ansvarlig adfærd og fremmer anvendelsen af eksisterende international ret for cyberspace, samtidig med at den hjælper lande uden for EU med at opbygge cybersikkerhedskapacitet og fremmer internationalt samarbejde om cyberanliggender.
EU har gjort vigtige fremskridt for at beskytte borgerne bedre mod internetkriminalitet bl.a. ved at oprette et europæisk center til bekæmpelse af it-kriminalitet (IP/13/13), ved at fremsætte forslag til lovgivning om angreb på informationssystemer (IP/10/1239) og ved at grundlægge en global alliance mod seksuelt misbrug af børn online (IP/12/1308). Strategien sigter også mod at udvikle og finansiere et net af nationale ekspertisecentre for cyberkriminalitet, som skal forestå uddannelse og kapacitetsopbygning.
Det foreslåede NIS-direktivet er en nøglekomponent i den samlede strategi, og det kræver, at alle medlemsstater, de vigtigste katalysatorer på internetområdet og operatører af kritisk infrastruktur som f.eks. e-handelsplatforme, sociale netværk og leverandører af energi, transportløsninger, bank- og sundhedstjenester samarbejder for at garantere et beskyttet og pålideligt digitalt miljø i hele EU. Det foreslåede direktiv omfatter bl.a. disse tiltag:
a) Medlemsstaterne skal vedtage en NIS-strategi og udpege en national NIS-kompetent myndighed med tilstrækkelige finansielle og menneskelige ressourcer til at forebygge, håndtere og reagere på NIS-risici og -hændelser.
b) Skabelse af en samarbejdsmekanisme mellem medlemsstaterne og Kommissionen med henblik på at dele tidlige varslinger om risici og hændelser gennem en beskyttet infrastruktur, og samarbejde om og arrangere jævnlige peer review.
c) Operatører af kritisk infrastruktur på visse områder (finansielle tjenesteydelser, transport, energi, sundhed), katalysatorer af centrale tjenester i informationssamfundet (især applikationsbutikker, e-handelsplatforme, internetbetalingsportaler, cloud computing, søgemaskiner, sociale netværk) og offentlige forvaltninger skal indføre risikostyringsmetoder og indberette større sikkerhedshændelser vedrørende deres vigtigste tjenesteydelser.
Neelie Kroes, næstformand for Europa-Kommissionen med ansvar for den digitale dagsorden, udtaler:
"Jo flere folk, der afhænger af internettet, des mere afhænger de af, at det er sikkert. Et sikkert internet beskytter vores rettigheder og muligheder for at gøre forretning på internettet. Tiden er inde til en koordineret indsats, for prisen for intet at gøre er meget højere, end prisen for at handle."
Catherine Ashton, EU's højtstående repræsentant for udenrigsanliggender og sikkerhedspolitik og Kommissionens næstformand, udtaler:
"For at cyberspace fortsat kan være åbent og frit, må de samme normer, principper og værdier, som EU opretholder offline, også gælde på internettet. De grundlæggende rettigheder, demokratiet og retsstaten skal beskyttes i cyberspace. EU arbejder sammen med sine internationale partnere såvel som civilsamfundet og den private sektor for at fremme disse rettigheder globalt."
Cecilia Malmström, EU's kommissær for indre anliggender, udtaler:
"Strategien understreger vores konkrete tiltag for at reducere cyberkriminalitet drastisk. Mange EU-lande står og mangler de nødvendige værktøjer til at opspore og bekæmpe organiseret internetkriminalitet. Alle medlemsstater bør oprette effektive nationale enheder til at bekæmpe cyberkriminalitet, og disse kan nyde godt af den ekspertise og støtte, som det europæiske center til bekæmpelse af it-kriminalitet, EC3, kan tilbyde."
Baggrund
Antallet og omfanget af cybersikkerhedshændelser vokser, de bliver mere komplicerede og kender ikke til landegrænser. Disse hændelser kan forårsage store sikkerhedsmæssige og økonomiske skader. Derfor skal indsatsen for at forebygge, samarbejde om og opnå større gennemsigtighed i forhold til cyberhændelser forbedres.
Europa-Kommissionens og de enkelte medlemsstaters hidtidige indsats har været for fragmenteret til at kunne håndtere denne voksende udfordring.
Fakta om cybersikkerhed i dag
• Der er hver dag omkring 150 000 computervirusser i omløb, og 148 000 computere bliver dagligt inficeret.
• Det Verdensøkonomiske Forum vurderer, at der er ca. 10 % sandsynlighed for et større sammenbrud i den kritiske informationsinfrastruktur i det kommende årti, og det kan potentielt forårsage skader for 250 mia. USD.
• Cyberkriminalitet er årsagen til en væsentlig del af angrebene på cybersikkerheden, og Symantec vurderer, at ofre for cyberkriminalitet verden over mister omkring 290 mia. USD hvert år, mens en undersøgelse af McAfee anslår udbyttet af cyberkriminalitet til 750 mia. USD om året.
• Eurobarometers undersøgelse om cybersikkerhed for 2012 fandt frem til, at 38 % af internetbrugerne i EU har ændret adfærd på grund af bekymringer for deres cybersikkerhed: 18 % er mindre tilbøjelige til at købe varer på internettet, og 15 % er mindre tilbøjelige til at anvende netbank. Den viser også, at 74 % af de adspurgte var enige i, at risikoen for at blive offer for cyberkriminalitet er steget, 12 % har allerede været udsat for bedrageri online og 89 % undgår at afsløre personlige oplysninger.
• Ifølge den offentlige høring om NIS har 56,8 % af de adspurgte i løbet af det seneste år oplevet NIS-hændelser, som havde alvorlige konsekvenser for deres aktiviteter.
• Imidlertid viser tal fra Eurostat, at kun 26 % af EU's virksomheder havde en formelt defineret ikt-sikkerhedspolitik i januar 2012.
Nyttige links
MEMO/13/71 Ofte stillede spørgsmål
EU's strategi for cybersikkerhed: Et åbent, sikkert og beskyttet cyberspace
Forslag til direktiv om foranstaltninger, der skal sikre et højt fælles net- og informationssikkerhedsniveau i hele EU
Forslag om ikt-sikkerhet ikke merket som EØS-relevant
Sentrale internettaktører og operatører av kritisk infrastruktur må innføre tiltak mot it-angrep og får plikt til å melde fra om større sikkerhetsbrudd. Dette er en del av strategien og forslaget til direktiv som Europakommisjonen og EUs utenrikstjeneste la fram 7. januar. Verken strategien eller direktivet er merket som EØS-relevante.
Strategien, Et åbent, sikkert og beskyttet cyberspace, har som mål å styrke it-beredskapen og få en drastisk reduksjon av cyberkriminalitet. I tillegg ønsker man å utforme en politikk for it-forsvars og kapasitet knyttet til den felles sikkerhets- og forsvarspolitikken. Utvikling av industrielle og teknologiske ressurser knyttet til it-sikkerhet er et annet tiltak.
Direktivforslaget om nett- og informasjonssikkerhet inneholder blant annet følgende tiltak:
• Alle EU-landene skal ha en strategi og en nasjonal myndighet for å kunne forebygge, håndtere å reagere (eventuelt med bøter) på mulige og aktuelle angrep.
• Samarbeidet mellom EU-landene og Kommisjonen skal styrkes. Det skal være mulig å utveksle sensitiv informasjon gjennom et sikkert system.
• Operatører av kritisk infrastruktur innenfor finans, transport, energi og helse, og også viktige internettaktører som sosiale nettjenester, e-handelsvirksomhet, søkemotorer og nettskytjenester, får meldeplikt og må også innføre tiltak mot it-angrep. Det samme gjelder offentlige myndigheter.
Meldeplikten om it-angrep er et kontroversielt grep ifølge digi.no. Bedrifter ønsker i liten grad at dette skal komme fram siden det kan skade omdømmet. Det blir imidlertid opp til hvert enkelt land om informasjonen skal være offentlig. Meldeplikten gjelder hendelser som "i betydelig grad" påvirker sikkerheten i kjernetjenestene. Hva som kommer innenfor begrepet "i betydelig grad" vil bli vedtatt av Kommisjonen på et senere tidspunk, gjennom såkalte delegerte rettsakter.
Ifølge Euractiv blir forslaget til direktiv kritisert for å være for vagt og at det gjør lite for å beskytte data lagret utenfor EU. Det siste omtales som et vanskelig juridisk spørsmål.
BAKGRUNN - II (fra Kommisjonens pressemelding 7.2.2013, dansk utgave)
EU-cybersikkerhedsplan skal beskytte det åbne internet og friheden og mulighederne der
Europa-Kommissionen har i samarbejde med Unionens højtstående repræsentant for udenrigsanliggender og sikkerhedspolitik offentliggjort en strategi for cybersikkerhed i forbindelse med Kommissionens forslag til lovgivning om net- og informationssikkerhed (NIS).
Cybersikkerhedsstrategien – "Et åbent, sikkert og beskyttet cyberspace" - tegner EU's vidtfavnende vision for, hvordan man bedst forebygger og reagerer på cyberforstyrrelser og -angreb. Den skal yderligere fremme europæiske værdier som frihed og demokrati og skabe grobund for en sikker vækst i den digitale økonomi. Den igangsætter specifikke tiltag, som har til formål at forbedre informationssystemers cyberrobusthed, mindske cyberkriminalitet og styrke EU's internationale cybersikkerhedspolitik og cyberforsvar.
Strategien formulerer EU's vision for cybersikkerhed inden for fem hovedprioriteter:
• Opnåelse af cyberrobusthed
• Drastisk mindskelse af cyberkriminalitet
• EU's cyberforsvarspolitik og -kapacitet skal udbygges i forbindelse med den fælles sikkerheds- og forsvarspolitik (FSFP)
• Udvikling af de industrielle og teknologiske ressourcer til at fremme cybersikkerhed
• Fastlæggelse af en kohærent international cyperspacepolitik i EU og fremme af centrale EU-værdier.
EU-politikken for cyberspace fremmer respekten for centrale EU-værdier, definerer normer for ansvarlig adfærd og fremmer anvendelsen af eksisterende international ret for cyberspace, samtidig med at den hjælper lande uden for EU med at opbygge cybersikkerhedskapacitet og fremmer internationalt samarbejde om cyberanliggender.
EU har gjort vigtige fremskridt for at beskytte borgerne bedre mod internetkriminalitet bl.a. ved at oprette et europæisk center til bekæmpelse af it-kriminalitet (IP/13/13), ved at fremsætte forslag til lovgivning om angreb på informationssystemer (IP/10/1239) og ved at grundlægge en global alliance mod seksuelt misbrug af børn online (IP/12/1308). Strategien sigter også mod at udvikle og finansiere et net af nationale ekspertisecentre for cyberkriminalitet, som skal forestå uddannelse og kapacitetsopbygning.
Det foreslåede NIS-direktivet er en nøglekomponent i den samlede strategi, og det kræver, at alle medlemsstater, de vigtigste katalysatorer på internetområdet og operatører af kritisk infrastruktur som f.eks. e-handelsplatforme, sociale netværk og leverandører af energi, transportløsninger, bank- og sundhedstjenester samarbejder for at garantere et beskyttet og pålideligt digitalt miljø i hele EU. Det foreslåede direktiv omfatter bl.a. disse tiltag:
a) Medlemsstaterne skal vedtage en NIS-strategi og udpege en national NIS-kompetent myndighed med tilstrækkelige finansielle og menneskelige ressourcer til at forebygge, håndtere og reagere på NIS-risici og -hændelser.
b) Skabelse af en samarbejdsmekanisme mellem medlemsstaterne og Kommissionen med henblik på at dele tidlige varslinger om risici og hændelser gennem en beskyttet infrastruktur, og samarbejde om og arrangere jævnlige peer review.
c) Operatører af kritisk infrastruktur på visse områder (finansielle tjenesteydelser, transport, energi, sundhed), katalysatorer af centrale tjenester i informationssamfundet (især applikationsbutikker, e-handelsplatforme, internetbetalingsportaler, cloud computing, søgemaskiner, sociale netværk) og offentlige forvaltninger skal indføre risikostyringsmetoder og indberette større sikkerhedshændelser vedrørende deres vigtigste tjenesteydelser.
Neelie Kroes, næstformand for Europa-Kommissionen med ansvar for den digitale dagsorden, udtaler:
"Jo flere folk, der afhænger af internettet, des mere afhænger de af, at det er sikkert. Et sikkert internet beskytter vores rettigheder og muligheder for at gøre forretning på internettet. Tiden er inde til en koordineret indsats, for prisen for intet at gøre er meget højere, end prisen for at handle."
Catherine Ashton, EU's højtstående repræsentant for udenrigsanliggender og sikkerhedspolitik og Kommissionens næstformand, udtaler:
"For at cyberspace fortsat kan være åbent og frit, må de samme normer, principper og værdier, som EU opretholder offline, også gælde på internettet. De grundlæggende rettigheder, demokratiet og retsstaten skal beskyttes i cyberspace. EU arbejder sammen med sine internationale partnere såvel som civilsamfundet og den private sektor for at fremme disse rettigheder globalt."
Cecilia Malmström, EU's kommissær for indre anliggender, udtaler:
"Strategien understreger vores konkrete tiltag for at reducere cyberkriminalitet drastisk. Mange EU-lande står og mangler de nødvendige værktøjer til at opspore og bekæmpe organiseret internetkriminalitet. Alle medlemsstater bør oprette effektive nationale enheder til at bekæmpe cyberkriminalitet, og disse kan nyde godt af den ekspertise og støtte, som det europæiske center til bekæmpelse af it-kriminalitet, EC3, kan tilbyde."
Baggrund
Antallet og omfanget af cybersikkerhedshændelser vokser, de bliver mere komplicerede og kender ikke til landegrænser. Disse hændelser kan forårsage store sikkerhedsmæssige og økonomiske skader. Derfor skal indsatsen for at forebygge, samarbejde om og opnå større gennemsigtighed i forhold til cyberhændelser forbedres.
Europa-Kommissionens og de enkelte medlemsstaters hidtidige indsats har været for fragmenteret til at kunne håndtere denne voksende udfordring.
Fakta om cybersikkerhed i dag
• Der er hver dag omkring 150 000 computervirusser i omløb, og 148 000 computere bliver dagligt inficeret.
• Det Verdensøkonomiske Forum vurderer, at der er ca. 10 % sandsynlighed for et større sammenbrud i den kritiske informationsinfrastruktur i det kommende årti, og det kan potentielt forårsage skader for 250 mia. USD.
• Cyberkriminalitet er årsagen til en væsentlig del af angrebene på cybersikkerheden, og Symantec vurderer, at ofre for cyberkriminalitet verden over mister omkring 290 mia. USD hvert år, mens en undersøgelse af McAfee anslår udbyttet af cyberkriminalitet til 750 mia. USD om året.
• Eurobarometers undersøgelse om cybersikkerhed for 2012 fandt frem til, at 38 % af internetbrugerne i EU har ændret adfærd på grund af bekymringer for deres cybersikkerhed: 18 % er mindre tilbøjelige til at købe varer på internettet, og 15 % er mindre tilbøjelige til at anvende netbank. Den viser også, at 74 % af de adspurgte var enige i, at risikoen for at blive offer for cyberkriminalitet er steget, 12 % har allerede været udsat for bedrageri online og 89 % undgår at afsløre personlige oplysninger.
• Ifølge den offentlige høring om NIS har 56,8 % af de adspurgte i løbet af det seneste år oplevet NIS-hændelser, som havde alvorlige konsekvenser for deres aktiviteter.
• Imidlertid viser tal fra Eurostat, at kun 26 % af EU's virksomheder havde en formelt defineret ikt-sikkerhedspolitik i januar 2012.
Nyttige links
MEMO/13/71 Ofte stillede spørgsmål
EU's strategi for cybersikkerhed: Et åbent, sikkert og beskyttet cyberspace
Forslag til direktiv om foranstaltninger, der skal sikre et højt fælles net- og informationssikkerhedsniveau i hele EU