Det europeiske industri-, teknologi- og forskningskompetansesenter for cybersikkerhet
Bakgrunn
BAKGRUNN (fra departementets EØS-notat, sist oppdatert 23.1.2023)
Sammendrag av innhold
Innledning
Forordning (EU) 2021/887 om opprettelse av det europeiske industri-, teknologi- og forskningskompetansesenteret for cybersikkerhet og nettverket av nasjonale koordineringssentre (forordningen om kompetansesenter for cybersikkerhet) ble vedtatt 20. mai 2021 og trådte i kraft i EU 28. juni 2021.
Forordningen er ikke merket som EØS-relevant, men er nært koblet til aktiviteter Norge deltar i. Blant annet skal aktivitetene i «Programmet for et digitalt Europa» (DIGITAL) knyttet til satsingsområdet cybersikkerhet og tillit, implementeres under indirekte styring fra det europeiske kompetansesenteret for cybersikkerhet og nettverket av nasjonale koordineringssentre som etableres av forordningen. Det europeiske kompetansesenteret skal administrere cybersikkerhetsrelaterte midler både fra Horisont Europa og DIGITAL. Videre henvises det til både NIS-direktivet ((EU) 2016/1148) og Cybersecurity Act ((EU) 2019/881) i forordningen. Denne forordningen utgjør en del av den større EU-cyberpakken som Norge blir en del av.
Kompetansesenteret og nettverkets oppdrag/formål
Det følger av artikkel 3 at kompetansesenteret og nettverket av nasjonale koordineringssentre skal
- bistå EU med å styrke dens førende posisjon og strategiske autonomi på cybersikkerhetsområdet ved å fastholde og utvikle EUs forskningsmessige, akademiske, samfunnsmessige, teknologiske og industrielle cybersikkerhetskapasiteter og -evner som er nødvendige for å styrke tilliten til og sikkerheten, herunder fortroligheten, integriteten og tilgjengeligheten av data på det digitale indre markedet
- støtte EUs teknologiske kapasiteter, evner og ferdigheter med hensyn til robustheten og påliteligheten av infrastrukturen, nett- og informasjonssystemer, herunder kritisk infrastruktur og alminnelig anvendt hardware og software i EU og
- øke EUs cybersikkerhetsindustris globale konkurranseevne, sikre høye cybersikkerhetsstandarder i hele EU og gjøre cybersikkerhet til en konkurransemessig fordel for andre industrier i EU.
Kompetansesenteret skal utføre oppgavene i samarbeid med ENISA og kompetansefellesskapet i relevant omfang og skal anvende midlene fra relevante EU-programmer i tråd med oppdraget nevnt i kulepunktene.
Kompetansesenteret
Kompetansesenteret skal ha en dobbel rolle: (1) utføre spesifikke oppgaver innen området cybersikkerhetsindustri, teknologi og forskning som fastsatt i forordningen og (2) administrere cybersikkerhetsrelaterte midler fra Horisont Europa og DIGITAL. Finansieringen av kompetansesenterets funksjon vil hovedsakelig stamme fra disse programmene.
Etter forordningen artikkel 11 består kompetansesenteret av Fellesskapet, representert ved Europakommisjonen, og medlemsstatene. Kompetansesenteret er satt sammen med et styre, en administrerende direktør og en strategisk rådgivende gruppe. Styret består av én representant fra hvert medlemsland og to representanter fra Kommisjonen. Hvert styremedlem har en stedfortreder som stiller i medlemmets fravær. Medlemmene av styret som representerer sitt medlemsland, skal være medarbeidere i sine respektive medlemslands offentlige sektor og utpekes på grunnlag av sin kunnskap om cybersikkerhetsforskning, -teknologi og -industri og deres evne til å sikre koordineringen av tiltak og posisjoner med sine respektive nasjonale koordineringssentre eller på grunnlag av sine relevante leder- administrative eller budsjettmessige ferdigheter. Medlemmene utpekes for en fireårsperiode som kan fornyes.
Styret kan invitere observatører, herunder representanter fra relevante EU-institusjoner, -organer, -kontorer og -byråer og medlemmer av fellesskapet til å delta i styrets møter alt etter hva som er relevant.
En representant fra ENISA er permanent observatør i styret. Styret kan invitere en representant fra den strategisk rådgivende gruppe til møter.
Daglig leder/administrerende direktør skal delta i styremøter uten stemmerett.
Den strategiske rådgivningsgruppen reguleres i artiklene 18, 19 og 20. Det fremgår at gruppen skal ha en rådgivende rolle overfor kompetansesenteret og utgjøre en slags bindeledd mellom kompetansesenteret og Fellesskapet. Medlemmene i gruppen utnevnes av styret og det skal totalt være maksimalt 20 medlemmer. Medlemmene skal ha erfaring og kompetanse innen cybersikkerhetsforskning og industri.
Nasjonalt koordineringssenter
I medlemslandene skal det opprettes nasjonale koordineringssentre. Koordineringssenteret skal blant annet fungere som et nasjonalt kontaktpunkt opp mot det europeiske kompetansesenteret og fremme og legge til rette for deltakelse fra fag- og forskningsmiljøer nasjonalt. Det vil blant annet innebære å bistå i søknadsprosesser og gjennomføre tiltak som kompetansesenteret har tildelt tilskudd.
Utnevning av nasjonale koordineringssentre reguleres i forordningen artikkel 6. Det fremgår at dersom medlemslandene skal kunne motta midler til opprettelsen av sitt nasjonale koordineringssenter, må de nominere en enhet som skal fungere som det nasjonale koordineringssenteret. Denne fristen er nå utsatt til høsten 2022 og det er frist til 15. februar 2023 med å søke EU om tilleggsmidler til drift. Medlemslandene kan be Kommisjonen om å uttale seg om deres valg og hvorvidt enheten oppfyller de krav som stilles til et nasjonalt koordineringssenter. Oversikt over nasjonale koordineringssentre publiseres av kompetansesenteret.
Det nasjonale koordineringssenteret skal være en offentlig enhet eller en enhet hvor majoriteten eies av medlemslandet, som utfører offentlige administrative funksjoner i henhold til nasjonal rett. Koordineringssenteret må ha kapasitet til å kunne støtte kompetansesenteret og nettverket med å oppfylle oppdraget disse har i henhold til artikkel 3. Det skal enten råde over eller ha tilgang til forskningsmessig og teknologisk cybersikkerhetsekspertise. Det skal ha kapasitet til å involvere og koordinere effektivt med industrien, offentlige sektor, den akademiske verden og forskningsmiljøer, og borgerne, samt med de myndighetene som er utpekt i medhold av NIS2-direktivet.
Det nasjonale koordineringssenteret skal til enhver tid kunne anmode Kommisjonen om å anerkjenne at det har nødvendig kapasitet til å forvalte midler til å gjennomføre oppdraget i artikkel 3. En slik anmodning behandles etter prosedyren fastsatt i artikkel 6 nr. 6.
Nettverket består av alle de nasjonale koordineringssentrene som er meddelt styret i kompetansesenteret.
Oppgavene til det nasjonale koordineringssenteret står opplistet i artikkel 7. Det fremgår blant annet at det nasjonale koordineringssenteret skal
- Være kontaktpunkt for fellesskapet på nasjonalt plan for å støtte kompetansesenteret med å oppfylle deres misjon og mål
- Gi ekspertise og aktivt bidra til de strategiske oppgavene til kompetansesenteret som angitt i artikkel 5 og tar hensyn til relevante nasjonale og regionale utfordringer for cybersikkerhet
- Fremme, oppfordre og tilrettelegge deltakelse fra det sivile samfunnet, industrien, spesielt SMBer, akademia og forskningsmiljøer samt andre interessenter på nasjonalt nivå
- Tilby teknisk assistanse til interessenter ved å støtte dem i gjennomføringen av prosjekter styrt av kompetansesenteret
- Søke å etablere synergier med relevante nasjonale, regionale og lokale aktiviteter innen f.eks. forskning, ibruktaking og innovasjon innen cybersikkerhet
- Gjennomføre spesifikke aksjoner som har fått bevilgning fra kompetansesenteret
- Engasjere seg med nasjonale myndigheter med henblikk på å bidra til å fremme og spre utdanning innen cybersikkerhet
- Fremme og spre relevante resultater fra nettverkets, fellesskapet og kompetansesenterets arbeid nasjonalt, regionalt og lokalt
- Vurdere anmodninger fra enheter etablert i medlemsstaten om å bli en del av fellesskapet
- Fremme involvering av relevante enheter som følge av aktiviteter fra kompetansesenteret
På bakgrunn av en beslutning fattet etter artikkel 6(6) kan de nasjonale koordineringssentrene motta pengestøtte fra EU i tråd med finansforordningen artikkel 195 nr. 1 bokstav d).
De nasjonale koordineringssentrene samarbeider, når det er relevant, gjennom nettverket.
Fellesskapet
Forordningen etablerer også et såkalt kompetansefellesskap for cybersikkerhet (fellesskapet). Etter artikkel 8 består dette av industri, herunder små og mellomstore virksomheter (SMBer), akademiske organisasjoner og forskningsorganisasjoner, andre relevante sivilsamfunnssammenslutninger, samt alt etter hva som er hensiktsmessig, relevante europeiske standardiseringsorganisasjoner, offentlige organer og andre enheter som har befatning med operasjonelle og tekniske cybersikkerhetsspørsmål og hvor det er relevant, interessenter i sektorer som har en interesse for cybersikkerhet og som står overfor cybersikkerhetsutfordringer. Fellesskapet samler de viktigste interessenter med hensyn til teknologisk, industriell, akademisk og forskningsmessig cybersikkerhetskapasitet i EU. Fellesskapet skal involvere nasjonale koordineringssentre, europeiske digitale innovasjonsknutepunkter (når det er relevant), samt EU-institusjoner, organer og byråer med relevant ekspertise, som for eksempel ENISA.
Aktørene som kan bli registrert som del av fellesskapet må demonstrere at de er i stand til å bidra til kompetansesenteret og nettverkets oppdrag og skal ha cybersikkerhetsekspertise med hensyn til minst ett av de følgende områder:
- akademia, forskning og innovasjon
- industriell utvikling eller produksjonsutvikling
- utdanning
- informasjonssikkerhet eller hendelseshåndtering
- etikk
- formell og teknisk standardisering og spesifisering
Det er de nasjonale koordineringssentrene som først vurderer om en enhet etablert i sitt medlemsland skal bli del av fellesskapet, mens det er kompetansesenteret som treffer beslutningen/registrerer dem. Kompetansesenteret kan trekke tilbake en registrering dersom de nasjonale koordineringssentrene mener at vedkommende enhet ikke bør være en del av fellesskapet, enten av nasjonale sikkerhetsmessige årsaker eller fordi vilkårene for ekskludering etter finansforordningen artikkel 136 er til stede. Kompetansesenteret vurderer om EU-organer og byråer skal tas inn som medlemmer av fellesskapet.
En enhet som er medlem av fellesskapet skal utnevne en representant med ekspertise innen cybersikkerhetsforskning, -teknologi eller -industri.
Fellesskapet yter gjennom sine arbeidsgrupper, først og fremst gjennom den strategiske rådgivningsgruppen, strategisk rådgivning til den administrerende direktøren i kompetansesenteret og styret om dagsordenen, det årlige arbeidsprogrammet, samt det årlige og flerårige arbeidsprogrammet.
Merknader
Rettslige konsekvenser
Forordning 2021/694 om programmet for et digitalt Europa (DIGITAL) ble 24. september 2021 inntatt i EØS-avtalens protokoll 31 om samarbeid på særlige områder utenfor de fire friheter, uten behov for lov- eller forskriftsendringer. Det antas at den samme protokollen vil benyttes for å innlemme kompetansesenterforordningen, også uten behov for lov- eller forskriftsendringer.
EFTA-statene skal delta fullt ut i styret og skal der ha de samme rettighetene og pliktene som EUs medlemsstater, unntatt stemmerett.
EFTA-statenes borgere skal kunne velges til medlem i den strategiske rådgivende gruppen.
Økonomiske og administrative konsekvenser
Forordningens artikkel 7(3) har bestemmelser om tilskudd til nasjonale koordineringssentre. I utkast til arbeidsprogram for DIGITAL er det foreslått satt av inntil to millioner euro i tilskudd per nasjonalt koordineringssenter. Medlemstatene må dekke 50% selv, både til drift og evt. nasjonal pott av prosjektmidler.
Forordningen legger opp til at de nasjonale koordineringssentrene skal ha en sentral rolle som kontaktpunkt nasjonalt, og som et mellomledd mellom aktørene og det europeiske kompetansesenteret. Dersom forordningen tas inn i EØS-avtalen, legger JD opp til at Nasjonal sikkerhetsmyndighet (NSM) i et nært samarbeid med Forskningsrådet (NFR) skal fungere som det nasjonale koordineringssenteret. I forordningen fremgår det at en mulig etat for rollen som nasjonalt koordineringssenter kan være den som er kompetent myndighet etter NIS-direktivet, men dette er ikke et krav. Etaten må ha tilstrekkelig kapasitet, og ha eller ha tilgang til forskningsmessig, industriell og teknologisk cybersikkerhetskompetanse og bør være i stand til effektivt å engasjere og koordinere med industrien, offentlig sektor og forskningsmiljøene. Det følger av forordningen at andre offentlige etater kan bistå det nasjonale koordineringssenteret.
Etablering av et nasjonalt koordineringssenter skjer i form av en utlysning i DIGITALs første arbeidsprogram. Koordineringssenteret vil være finansiert 50% gjennom DIGITAL oppad begrenset til to millioner euro. Det er kun kandidater som er meldt inn for Kommisjonen i god tid før 15. februar 2023 som kan delta i utlysningen. Foreslåtte økonomiske og administrative konsekvenser er at NSM setter av 2 og NFR 1 årsverk til å ivareta rollen som det nasjonale koordineringssenteret. Ved å velge disse etablerte virksomhet/etat vil man begrense de administrative kostnadene. Det fulle økonomiske omfanget er vanskelig å forutse da det vil bero på hvor stort og ressurskrevende et slikt koordineringssenter vil være i Norge og hvor store prosjektmidler som er ønskelig å bevilge.
Det kan også tenkes at etableringen av Fellesskapet, hvor flere aktører i feltet skal samhandle og samarbeide, vil generere økonomiske og administrative kostnader. Dette er det imidlertid vanskelig å anslå.
Sakkyndige instansers merknader
Forordningen vurderes relevant og akseptabel.
Vurdering
Forordningen er et ledd i gjennomføringen av cybersikkerhetsdelene i EUs rammeprogram for digitalisering (DIGITAL Europe Programme 2021-2027) og forsking (Horisont Europa 2021-2027). Det er lagt opp til tette koblinger og synergier mellom cybersikkerhetsprosjekter i Horisont Europa og tilsvarende satsinger i DIGITAL. Norsk deltakelse i kompetansesenteret er derfor viktig for å sikre best mulig utnyttelse av midlene Norge bidrar med i DIGITAL. Norges deltakelse i DIGITAL og Horisont Europa innebærer en forpliktelse for Norge til å bidra til finansiering av programmene. I utgangspunktet vil den norske deltakelsen i DIGITAL sikre at norske søkere er kvalifisert til å delta i utlysninger. Ved vurderingen av utlysninger er det imidlertid en forutsetning at norske søkere har et nasjonal koordineringssenter som kompetansesenteret forholder seg til. Deltakelsen gir oss videre tilgang til nettverk og kompetanse på et område som er svært viktig for Norge, og hvor europeisk samarbeid er særlig viktig. Næringspolitisk har det også en egen verdi at kompetansesenteret skal arbeide med industri, teknologi og forskning, og dermed ikke bare med offentlig sektor som deler av cybersecurity-arbeidet ofte konsentrerer seg om. Norge har både relevante næringsrettede forskningsmiljøer på området (bl.a. forskningsinstituttene SINTEF, Institutt for Energiteknikk, Norse, Norsk Regnesentral m.fl.) og bedrifter med stor kompetanse og store behov innenfor cybersikkerhet.
I Nasjonal strategi for digital sikkerhet er internasjonalt samarbeid fremhevet som helt avgjørende for utviklingen av globale retningslinjer og for å redusere og bekjempe digitale trusler. Norge må samarbeide med allierte og nære partnere for bedre å kunne forstå og håndtere hybride trusler. Gjennomføringen av EU-forordningen i norsk rett vil bidra til at norske aktører kan svare ut en etterspørsel etter europeisk og internasjonalt samarbeid blant både tjenesteleverandører og forskningsmiljøer på cybersikkerhetsområdet. Det er i tråd med norske målsetninger å styrke teknologisk kapasitet, cybersikkerhetskunnskap og robusthet av infrastruktur, nett- og informasjonssystemer, særlig innenfor kritisk infrastruktur. Norge bør derfor koble seg på EUs strategier og programmer innenfor dette. Innlemmelse av kompetansesenterforordningen i EØS-avtalen vil gi norske virksomheter og forskningsmiljøer tilgang til viktige arenaer for utvikling av slik kompetanse.
Det europeiske kompetansesenteret skal ledes av et «Governing Board» (styre) bestående av en representant fra hvert medlemsland og to representanter fra Kommisjonen. En representant fra ENISA er tildelt fast plass som observatør. Norsk deltakelse i styret i kompetansesenteret vil gi muligheten til å være kjent med diskusjoner og prioriteringer og innflytelse både i konkrete saker og i utviklingen av programmet innenfor cybersikkerhet.
Et nasjonalt koordineringssenter er en forutsetninge for at akademia, forskningsinstitusjoner, SMBer og andre kan dra nytte av DIGITAL innenfor cybersikkerhetsområdet.
Innholder informasjon unntatt offentlighet, jf. offl. § 13
Status
Innlemmelse av denne forordningen I EØS-avtalens protokoll 31 skjer ved vedtak i EØS-komiteen den 3. februar 2023. Justis- og beredskapsdepartementet (JD) sendte søknad om forhåndsgodkjenning av et norsk senter til Kommisjonen den 22. november 2022 og avventer svar. I mellomtiden er NSM og NFR av JD og Kunnskapsdepartementet (KD) gitt i oppdrag å ivareta rollen som kontaktpunkt/senter etter forordningen. De forbereder en søknad til EU om etableringen, som innebærer økonomisk støtte til drift og prosjektmidler innen fristen den 15. Februar 2023. Fristene i denne utlysningen ble utsatt i EU pga for lave søkertall i 2022.