Ansvarlig departement: Samferdselsdepartementet
Saksområde: IT, telekom og medier: telekommunikasjonstjenester (del av EØS-avtalens vedlegg 11)
Behandlende organ: Europaparlamentet og Rådet: behandler nye forslag
Sakstype: Forordning
BAKGRUNN (fra departementets EØS-notat, sist oppdatert 19.4.2013)
Sammendrag av innhold
European Network and Information Security Agency (ENISA) ble etablert i 2004 for en periode på fem år. Formålet med byrået var å sikre et høyt og effektivt nivå på nett- og informasjonssikkerheten (NIS) i fellesskapet, å fremme en kultur for nett- og informasjonssikkerhet til beste for borgere, forbrukere, private virksomheter og offentlig sektor i EU og å bidra til utviklingen av et velfungerende indre marked. I 2008 ble det besluttet å forlenge ENISAs mandat med tre år, til mars 2012. I 2011 ble mandatet forlenget med ytterligere 18 måneder. I forbindelse med evalueringen forut for beslutningen i 2008 var det en debatt om retningen for EU og ENISA når det gjelder nett- og informasjonssikkerhet. EU fremmet i mars 2009 en kommunikasjon om Critical Information Infrastructure Protection, hvor blant annet ENISA inngikk. I juni 2009 (Telecom Council) besluttet også medlemsstatene at ENISAs mandat burde utvides og byråets ressurser økes i tråd med den økte betydningen NIS har fått i samfunnet. NIS har en sentral rolle i handlingsplanen Digital Agenda Europe. Kommisjonen fremmet i september 2010 forslag til forordning om styrking og modernisering av ENISA og om å etablere et nytt mandat for byrået. Det overordnede målet med forordningen er å gjøre EU, medlemsstatene og berørte aktører i stand til å utvikle god evne til å forhindre, avdekke og respondere på NIS-problemer. Dette vil bidra til utviklingen av informasjonssamfunnet i alle medlemsland, bedre den europeiske konkurranseevnen og sikre at det indre markedet fungerer effektivt. ENISAs nye mandat er for syv år med mulighet for forlengelse og omtaler byråets oppgaver mer detaljert enn det tidligere mandatet. ENISA skal på forespørsel fra medlemsland eller EU-institusjoner bidra med veiledning ved tap av informasjon eller sikkerhetsbrudd. De skal videre opprette en avdeling i Athen og etablere et styre (Executive Board). Utkastet til mandat er utformet i henhold til EUs retningslinjer for desentralisering av institusjoner.
Oppgaver ENISAs nye mandat komplementerer både regulatoriske og ikke-regulatoriske politiske initiativer om NIS. ENISA bidra på det regulatoriske området. Byrået skal støtte Kommisjonen og medlemsstatene med å lage rammeverk for å implementere sikkerhetsbestemmelsene fremmet i artikkel 13 (a) i rammedirektivet. ENISA skal videre sette opp årlige diskusjonsforum for nasjonale kompetente myndigheter, regulatører og private aktører, ogbidra til cyber sikkerhetsøvelser, etablering av CERT for EUs egneinstitusjoner og støtte etableringen av nasjonale CERTer i medlemslandene. ENISA skal også drive med bevisstgjøring om NIS, herunder::
• bygge og opprettholde et liaison nettverk og samle kunnskap for å sikre at byrået er vel informert om NIS-landskapet.
• være et NIS-støttesenter for politikkutviklng og implementering (e-privacy, e-sign, e-ID og innkjøpsstandarder for NIS)
• støtte unionens CIIP og sikkerhetspolitikk (øvelser, EP3R, European Information Sharing and Alert System osv)
• sette opp et rammeverk for innsamling av NIS-data, inkludert utviklingsmetoder og praksis for rapportering og deling
• studere økonomien i NIS
• stimulere til samarbeid med tredjeland og internasjonale organisasjoner
• fremme ikke-operative mål knyttet til NIS-aspektene av ”cybercrime”
Merknader
Det rettslige grunnlaget for rettsakten er traktatens artikkel 114. Dette er en forordning som vil få direkte virkning i medlemsstatene så fort den trer i kraft. Forordningen faller inn under rettsakter i "gruppe 2" (rettsakter som krever forskriftsendring som ikke griper vesentlig inn i norsk handlefrihet). Forordningen vil måtte innlemmes i EØS-avtalen og det vil være nødvendig med en endring i forskrift om elektronisk kommunikasjon. Forslaget antas ikke å ha økonomiske eller administrative konsekvenser utover den kontingenten Norge årlig betaler for deltakelse i ENISA. Denne kontingenten dekkes gjennom ordinære budsjettdisposisjoner.
Vurdering
Norge deltar i dag i ENISA og har observatørstatus i byråets styre. Norge bidrar årlig økonomisk til byrået for å kunne delta. Det er Norges oppfatning at byrået har bidratt til å øke bevisstheten om nett- og informasjonssikkerhets i Europa og er en interessant samarbeidspartner for de norske sikkerhetsmiljøene som NorSIS og NSM/NorCERT. ENISAs nye mandat innebærer at byrået blir noe mer fleksibel samtidig som det også formelt dras inn i prosesser satt i gang av Kommisjonen. At byrået også gjennom regelverket gis konkrete oppgaver er nytt. ENISA vil også få en større rolle i kampen mot ”cyber crime”. Justismyndigheter og personvernmyndigheter er invitert med i byråets gruppe for interessenter (Permanent Stakeholders Group). Norge mener utvidelsen av ENISAs mandat er hensiktsmessig og vil bidra til en mer koordinert og helhetlig tilnærming til NIS i Europa.
Fortsatt norsk deltakelse i ENISA vurderes som viktig og nødvendig og ikke kontroversielt. Byrået gir Norge innpass på en arena hvor vi har mye kompetanse og kan bidra, men også dra nytte av andre lands og byråets kompetanse.
Konklusjon: Forslaget vurderes som EØS-relevant og akseptabel, og anbefales inntatt i EØS-avtalens vedlegg XI. Det vil være behov for tilpasningstekst for å sikre deltakelse for EFTA landene i ENISA på samme nivå som i dag
Status
Kommisjonen fremmet forslag ble 30. september 2010. Europaparlamentet og Rådet kom 1. februar 2013 frem til enighet om forslag til et nytt mandat for ENISA. Mandatet vil ventelig blir formelt godkjent av EP 16. april 2013.
