Det europeiske industri-, teknologi- og forskningskompetansesenter for cybersikkerhet

Tittel

Forslag til europaparlaments- og rådsforordning om opprettelse av det europeiske industri-, teknologi- og forskningskompetansesenter for cybersikkerhet og nettverket av nasjonale koordinasjonssentre

Proposal for Regulation of the European Parliament and of the Council establishing the European Cybersecurity Industrial, Technology and Research Competence Centre and the Network of National Coordination Centres

Siste nytt

Foreløpig holdning (forhandlingsposisjon) vedtatt av Rådet 13.3.2019

Nærmere omtale

[Red. anm.: Forslaget er av Kommisjonen ikke merket EØS-relevant]

BAKGRUNN (fra kommisjonsforslaget, dansk utgave)

Forslagets begrundelse og formål

I takt med at dagligdagen og økonomierne bliver mere og mere afhængige af digitale teknologier, udsættes borgerne i stadig større omfang for alvorlige cyberhændelser. Sikkerheden fremadrettet afhænger af at kunne beskytte EU bedre mod cybertrusler, da både den civile infrastruktur og den militære kapacitet er afhængige af sikre digitale systemer.

For at tackle de voksende udfordringer har EU støt øget sine aktiviteter på området med afsæt i strategien for cybersikkerhed fra 2013 og dens mål og principper om at fremme et pålideligt, sikkert og åbent cyberøkosystem. I 2016 vedtog EU de første foranstaltninger inden for cybersikkerhed gennem Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 om sikkerheden i net- og informations systemer.

På baggrund af et cybersikkerhedsområde under hastig forandring forelagde Kommissionen og EU's højtstående repræsentant for udenrigsanliggender og sikkerhedspolitik i september 2017 en fælles meddelelse "Modstandsdygtighed, afskrækkelse og forsvar: opbygning af en stærk cybersikkerhed for EU" for yderligere at styrke EU's modstandsdygtighed over for, afskrækkelse af og reaktion på cyberangreb. Den fælles meddelelse, der også bygger på tidligere initiativer, skitserede en række foreslåede foranstaltninger, herunder bl.a. at styrke Den Europæiske Unions Agentur for Net-og Informationssikkerhed (ENISA), at skabe en frivillig EU-dækkende ramme for cybersikkerhedscertificering af produkter og tjenesteydelser i den digitale verden samt en plan for hurtig og koordineret reaktion på væsentlige cybersikkerhedshændelser og -kriser.

I den fælles meddelelse anerkendes det, at det også er i EU's strategiske interesse at sikre, at EU bevarer og udvikler afgørende teknologiske kapaciteter inden for cybersikkerhed til at sikre det digitale indre marked, og navnlig at beskytte kritiske netværk og informationssystemer og tilvejebringe vigtige cybersikkerhedstjenester. EU skal være i stand til på egen hånd at sikre sine digitale aktiver og konkurrere på globale marked for cybersikkerhed.

På nuværende tidspunkt er EU nettoimportør af cybersikkerhedsprodukter og -løsninger og er i vid udstrækning afhængig af ikke-europæiske leverandører. Markedet for cybersikkerhed er på verdensplan et marked på 600 mia. EUR, som forventes at vokse i de næste fem år med i gennemsnit ca. 17 % målt på omsætning, antallet af virksomheder og beskæftigelsen. Men set ud fra et markedsperspektiv befinder kun 6 af EU's medlemsstater sig blandt de 20 førende lande inden for cybersikkerhed.

Samtidig findes der i EU omfattende erfaring og ekspertise inden for cybersikkerhed - mere end 660 organisationer fra hele EU tilmeldte sig for nylig en kortlægning af ekspertisecentre for cybersikkerhed, som Kommissionen stod for. Denne ekspertise kan, hvis den omsættes til kommercielle produkter og løsninger, gøre det muligt for EU at dække hele værdikæden inden for cybersikkerhed. Men forskernes og erhvervslivets indsats er fragmenteret og savner tilpasning og en fælles mission, hvilket hæmmer EU's konkurrenceevne på dette område samt dens evne til at sikre sine digitale aktiver. De relevante sektorer for cybersikkerhed (f.eks. energi, rumfart, forsvar, transport) og deres underområder er i dag ikke tilstrækkeligt understøttet. Synergierne mellem de civile og militære cybersikkerhedssektorer udnyttes heller ikke fuldt ud i Europa.

Oprettelsen i 2016 af det offentlig-private partnerskab (OPP) for cybersikkerhed i EU var et reelt første skridt, der samler forskning, industri og den offentlige sektor om at fremme forskning og innovation inden for cybersikkerhed og inden for den finansielle ramme for 2014-2020, og burde munde ud i gode, mere målrettede resultater inden for forskning og innovation. OPP gjorde det muligt for industrielle partnere at give tilsagn om deres respektive udgifter på de områder, der er fastlagt i partnerskabets strategiske forsknings- og innovationsdagsorden.

Men EU kan foretage langt større investeringer og har behov for en mere effektiv mekanisme til at opbygge varig kapacitet, samle indsatser og kompetencer og stimulere udviklingen af innovative løsninger på industriens udfordringer vedrørende cybersikkerhed inden for nye multifunktionelle teknologier (f.eks. kunstig intelligens, kvantedatabehandling, blockchain og sikre digitale identiteter) samt i kritiske sektorer (f.eks. transport, energi, sundhed, finans, offentlige myndigheder, telekommunikation, fremstilling, forsvar, rumfart).

Den fælles meddelelse så nærmere på muligheden for at styrke EU's cybersikkerhedskapacitet ved hjælp af et netværk af kompetencecentre for cybersikkerhed med et europæisk kompetencecenter for cybersikkerhed i centrum. Formålet hermed er at supplere den eksisterende kapacitetsopbygningsindsats på dette område på EU-plan og på nationalt plan. Den fælles meddelelse gav udtryk for Kommissionens intention om at iværksætte en konsekvensanalyse i 2018, der skal undersøge mulighederne for at oprette strukturen. Som et første skridt og for at bidrage til overvejelserne fremadrettet iværksatte Kommissionen en pilotfase under Horisont 2020, der skal være med til at samle nationale centre i et netværk, som vil skabe ny fremdrift inden for cybersikkerhedskompetence og teknologiudvikling.

Stats- og regeringscheferne på det digitale topmøde i Tallinn i september 2017 op fordrede EU til at blive en "global leder inden for cybersikkerhed senest i 2025 for at sikre tillid og beskyttelse af vores borgere, forbrugere og virksomheder på nettet og for at muliggøre et frit og lovstyret internet."

Rådets konklusioner, der blev vedtaget i november 2017, opfordrede Kommissionen til hurtigt at forelægge en konsekvensanalyse om og inden midten af 2018 at foreslå de relevante retlige instrumenter til gennemførelse af initiativet.

Programmet det digitale Europa, som Kommissionen fremsatte forslag om i juni 2018, søger at udvide og maksimere fordelene ved digital omstilling for Europas borgere og virksomheder på alle EU's relevante politikområder, ved at styrke politikker og støtte ambitionerne for det digitale indre marked. Programmet foreslår en sammenhængende og overordnet tilgang, der skal sikre den bedst mulige anvendelse af avancerede teknologier og den rette kombination af teknisk kapacitet og menneskelig kompetence til den digitale omstilling - ikke kun inden for cybersikkerhed, men også med hensyn til intelligent datainfrastruktur, kunstig intelligens, avancerede færdigheder og anvendelser i industrien og inden for områder af offentlig interesse. Disse elementer er indbyrdes afhængige og gensidigt forstærkende og, når de fremmes samtidig, kan de opnå den fornødne størrelse, der kan få en dataøkonomi til at trives. Programmet Horisont Europa - EU's næste FoI-rammeprogram, har ligeledes cybersikkerhed som et af sine prioriterede indsatsområder.

I denne forbindelse foreslås det i nærværende forordning at oprette et europæisk industri-, teknologi - og forskningskompetencecenter for cybersikkerhed med et netværk af nationale koordinationscentre. For at stimulere Europas teknologiske og industrielle økosystem inden for cybersikkerhed bør denne formålsbestemte samarbejdsmodel fungere som følger: Kompetencecentret skal fremme og bistå netværkets arbejde, fremme kompetencefællesskabet for cybersikkerhed og derved fremme den teknologiske dagsorden for cybersikkerhed og lette adgangen til den indsamlede ekspertise. I denne forbindelse vil kompetencecentret navnlig gennemføre de relevante dele af programmet for det digitale Europa og Horisont Europa-programmet ved at yde tilskud og foretage indkøb. I lyset af de betragtelige cybersikkerhedsinvesteringer i andre dele af verden og behovet for at koordinere og sammenlægge ressourcer i Europa foreslås kompetencecentret som et europæisk partnerskab, der dermed kan fremme fælles investeringer fra EU, medlemsstaterne og/eller industrien. Forslaget pålægger derfor medlemsstaterne at bidrage med et forholdsmæssigt beløb til kompetencecentrets og netværkets initiativer. Bestyrelsen udgør det øverste beslutningsorgan, hvor alle medlemsstaterne har mulighed for at deltage, men hvor kun de medlemsstater, der deltager i finansieringen, har stemmeret. Stemmeordningen i bestyrelsen følger princippet om dobbelt flertal, hvor der kræves 75 % af det finansielle bidrag og 75 % af stemmerne. I betragtning af Kommissionens ansvar over for EU-budgettet råder Kommissionen over 50 % af stemmerne. I forbindelse med sit arbejde i bestyrelsen vil Kommissionen, når det er passende, benytte sig af ekspertisen fra Tjenesten for EU's Optræden Udadtil. Bestyrelsen bør bistås af et industrielt og videnskabeligt rådgivende organ, der kan sørge for en løbende dialog med den private sektor, forbrugerorganisationerne og andre relevante interessenter.

Ved at arbejde tæt sammen med netværket af nationale koordinationscentre og kompetencefælleskabet for cybersikkerhed (med en stor og varieret gruppe af aktører, der er involveret i teknologiudvikling af cybersikkerhed, som f.eks. forskningsenheder, industrier på udbudssiden, industrier på efterspørgselssiden, og den offentlige sektor), som er oprettet ved denne forordning, vil det europæiske industri-, teknologi- og forskningskompetencecenter for cybersikkerhed blive det vigtigste gennemførelsesorgan for EU's finansielle ressourcer, der er afsat til cybersikkerhed under det foreslåede program for et digitalt Europa og programmet Horisont Europa.

En sådan samlet tilgang vil gøre det muligt at støtte cybersikkerhed på tværs af hele værdikæden, fra forskning til støtte til udvikling og indførelse af nøgleteknologier. Medlemsstaternes finansielle bidrag skal svare til EU's finansielle bidrag til dette initiativ og er en forudsætning for dets succes.

I betragtning af dens særlige ekspertise og brede og relevante repræsentation af interessenter bør den europæiske organisation for cybersikkerhed, som er Kommissionens modpart til det kontraktlige offentligt-private partnerskab for cybersikkerhed under Horisont 2020, indbydes til at bidrage til arbejdet i centret og netværket.

Desuden bør det europæiske industri-, teknologi- og forskningskompetencecenter for cybersikkerhed også forsøge at skabe større synergier mellem de civile og militære dimensioner af cybersikkerhed. Det bør støtte medlemsstater og andre relevante aktører med rådgivning og udveksling af ekspertise og fremme samarbejde med hensyn til projekter og aktioner. På anmodning af medlemsstaterne kunne det også fungere som projektleder, navnlig for så vidt angår Den Europæiske Forsvarsfond. Dette initiativ tager sigte på at bidrage til håndtering af følgende problemer:

Utilstrækkeligt samarbejde mellem cybersikkerhedsindustrier på udbuds- og efterspørgselssiden. De europæiske virksomheder står over for udfordringen med både fortsat at være sikre og samtidig tilbyde sikre produkter og tjenesteydelser til deres kunder. Dog er de imidlertid ofte ikke i stand til på passende vis at sikre deres eksisterende produkter, tjenester og aktiver eller til at udforme sikre innovative produkter og tjenesteydelser. Individuelle aktører, hvis hovedaktivitet ikke er knyttet til cybersikkerhed, har ofte ikke selv råd til at udvikle og etablere centrale cybers ikkerhedsaktiver. Samtidig er relationerne mellem efterspørgsels- og udbudssiden af markedet for cybersikkerhed endnu ikke tilstrækkeligt udviklet, hvilket betyder, at tilvejebringelsen af europæiske produkter og løsninger, der er tilpasset de forskellige sektorers behov, ikke er optimal, og at der ikke eksisterer en utilstrækkelig grad af tillid mellem markedsaktørerne.

Manglende effektiv samarbejdsmekanisme mellem medlemsstaterne for industriel kapacitetsopbygning. Der findes heller ikke i dag nogen effek tiv samarbejdsmekanisme for medlemsstaterne til at arbejde sammen om at opbygge de nødvendige kapaciteter til støtte for innovation inden for cybersikkerhed på tværs af brancher og udbredelsen af avancerede europæiske cybersikkerhedsløsninger. De eksisterende samarbejdsmekanismer for medlemsstaterne inden for cybersikkerhed i direktiv (EU) 2016/1148 har ikke mandat til at tage højde for denne type aktiviteter.

Utilstrækkeligt samarbejde inden for og mellem forskere og erhvervsliv. Trods Europas teoretiske kapacitet til at dække hele værdikæden inden for cybersikkerhed findes der relevante sektorer for cybersikkerhed (f.eks. energi, rumfart, forsvar, transport) og underområder, der i dag er dårligt understøttet af forskersamfundet, eller som kun støttes af et begrænset antal centre (f.eks. post-kvante- og kvantekryptografi, tillid og cybersikkerhed i KI). Selv om dette samarbejde tydeligvis eksisterer, er det meget ofte en kortsigtet, rådgivningsbaseret ordning, som ikke tillader indgåelse af langsigtede forskningsplaner til løsning af industriens udfordringer inden for cybersikkerhed.

Utilstrækkeligt samarbejde mellem civile og forsvarsrelaterede cybersikkerhedsforsknings-og innovationsmiljøer. Problemet med utilstrækkelige samarbejdsniveauer vedrører også civile og forsvarsmæssige fællesskaber. De eksisterende synergier, anvendes ikke i fuld udstrækning som følge af manglende effektive mekanismer, der gør det muligt for disse fællesskaber at samarbejde effektivt og skabe tillid, hvilket i endnu højere grad end på andre områder er en forudsætning for et vellykket samarbejde. Dette kombineres med begrænsede finansielle kapaciteter på EU's marked for cybersikkerhed, herunder utilstrækkelige midler til at støtte innovation.

Nøkkelinformasjon

EU



eu-flagg
Kommisjonens framlegg
Dato
20.09.2018
Annen informasjon

Norge



norge-flagg
Ansvarlig departement
Kommunal- og moderniseringsdepartementet