EU-strategi for digital sikkerhet (revisjon)
Nærmere omtale
BAKGRUNN (fra Kommisjonens pressemelding 16.12.2020)
Ny EU-strategi for cybersikkerhed og nye regler, der skal gøre fysiske og digitale kritiske enheder mere modstandsdygtige
I dag fremlægger Kommissionen og Unionens højtstående repræsentant for udenrigsanliggender og sikkerhedspolitik en ny EU-strategi for cybersikkerhed. Som et centralt element i udformningen af Europas digitale fremtid, genopretningsplanen for Europa og strategien for EU's sikkerhedsunion vil strategien for cybersikkerhed styrke Europas kollektive modstandsdygtighed over for cybertrusler og bidrage til at sikre, at alle borgere og virksomheder fuldt ud kan drage fordel af pålidelige tjenester og digitale værktøjer. Uanset om det er internettilkoblede enheder, elnet, banker, fly, offentlige forvaltninger eller hospitaler, som europæerne gør brug af, fortjener de at gøre det i vished om, at de vil blive beskyttet mod cybertrusler.
Den nye strategi for cybersikkerhed giver også EU mulighed for at gå foran inden for internationale normer og standarder i cyberspace og styrke samarbejdet med partnere rundt om i verden for at fremme et globalt, åbent, stabilt og sikkert cyberspace baseret på retsstatsprincippet, menneskerettighederne, de grundlæggende frihedsrettigheder og demokratiske værdier.
Desuden fremsætter Kommissionen forslag vedrørende både den digitale og den fysiske modstandsdygtighed hos kritiske enheder og netværk: et direktiv om foranstaltninger til et højt fælles cybersikkerhedsniveau i hele Unionen (det reviderede NIS-direktiv eller "NIS 2") og et nyt direktiv om kritiske enheders modstandsdygtighed. Disse dækker en lang række sektorer og har til formål at håndtere nuværende og fremtidige risici både online og offline, lige fra cyberangreb til kriminalitet eller naturkatastrofer, på en sammenhængende og komplementær måde.
Tillid og sikkerhed i centrum for EU's digitale årti
Den nye strategi for cybersikkerhed har til formål at sikre et globalt og åbent internet og samtidig tilbyde værn, der ikke kun skal garantere sikkerheden, men også beskytte europæiske værdier og alles grundlæggende rettigheder. For at bygge videre på de resultater, der er opnået i de seneste måneder og år, omfatter strategien konkrete forslag til lovgivningsmæssige, investeringsmæssige og politiske initiativer på tre af EU's indsatsområder:
- Modstandsdygtighed, teknologisk suverænitet og lederskab
På dette indsatsområde foreslår Kommissionen at reformere reglerne om sikkerhed i net- og informationssystemer med et direktiv om foranstaltninger til et højt fælles cybersikkerhedsniveau i hele Unionen (det reviderede NIS-direktiv eller "NIS 2") for at øge cyberrobustheden i kritiske offentlige og private sektorer: hospitaler, energinet, jernbaner, datacentre, offentlige forvaltninger, forskningslaboratorier, fremstilling af kritisk medicinsk udstyr og lægemidler samt anden kritisk infrastruktur og tjenester skal forblive uigennemtrængelige i et stadig mere dynamisk og komplekst trusselsmiljø.
Kommissionen foreslår også, at der opbygges et netværk af sikkerhedscentre i hele EU, der skal drives af kunstig intelligens (AI) og udgøre et reelt "cybersikkerhedsskjold" for EU, som hurtigt kan opdage tegn på cyberangreb og muliggøre en proaktiv indsats, før skaden indtræffer. Yderligere foranstaltninger vil omfatte målrettet støtte til små og mellemstore virksomheder (SMV'er) via de digitale innovationsknudepunkter samt en øget indsats for at opkvalificere arbejdsstyrken, tiltrække og fastholde de bedste cybersikkerhedstalenter og investere i forskning og innovation, der er åben, konkurrencedygtig og baseret på ekspertise.
- Opbygning af operationel kapacitet til at forebygge, afværge og reagere
Via en progressiv og inklusiv proces er Kommissionen sammen med medlemsstaterne ved at forberede en ny fælles cyberenhed for at styrke samarbejdet mellem de EU-organer og myndigheder i medlemsstaterne med ansvar for at forebygge, afværge og reagere på cyberangreb, herunder i civilsamfundet, hos de retshåndhævende organer, i diplomatiske kredse og på cyberforsvarsområdet. Den højtstående repræsentant fremsætter forslag om at styrke EU's cyberdiplomatiske værktøjskasse for at forebygge, afskrække fra, afværge og reagere effektivt på ondsindede cyberaktiviteter, navnlig dem, der påvirker vores kritiske infrastruktur, forsyningskæder og demokratiske institutioner og processer. Ved at bygge videre på Det Europæiske Forsvarsagenturs arbejde og tilskynde medlemsstaterne til at gøre fuld brug af det permanente strukturerede samarbejde og Den Europæiske Forsvarsfond sigter EU også mod at styrke cyberforsvarssamarbejdet yderligere og udvikle avancerede cyberforsvarskapaciteter.
- Fremme af et globalt og åbent cyberspace gennem øget samarbejde
EU vil optrappe samarbejdet med sine internationale partnere om at styrke den regelbaserede verdensorden, fremme international sikkerhed og stabilitet i cyberspace og beskytte menneskerettighederne og de grundlæggende frihedsrettigheder online. EU vil fremme internationale normer og standarder, der afspejler disse EU-kerneværdier, ved at samarbejde med sine internationale partnere i De Forenede Nationer og andre relevante fora. EU vil yderligere styrke sin cyberdiplomatiske værktøjskasse og øge indsatsen for cyberkapacitetsopbygning over for tredjelande ved at udvikle en EU-dagsorden for ekstern opbygning af cyberkapacitet. Cyberdialogerne optrappes med tredjelande, regionale og internationale organisationer samt multiinteressentfællesskabet. EU vil også oprette et EU-netværk for cyberdiplomati på globalt plan for at fremme sin vision om cyberspace.
EU er fast besluttet på at støtte den nye strategi for cybersikkerhed med investeringer på et hidtil uset niveau i EU's digitale omstilling i løbet af de næste syv år over det næste langsigtede EU-budget, navnlig programmet for et digitalt Europa og Horisont Europa, samt genopretningsplanen for Europa. Medlemsstaterne opfordres derfor til at gøre fuld brug af EU's genopretnings- og resiliensfacilitet for at fremme cybersikkerheden og investere på lige fod med EU. Målet er at nå op på investeringer fra EU, medlemsstaterne og erhvervslivet på i alt 4,5 mia. EUR, navnlig inden for rammerne af kompetencecentret for cybersikkerhed og netværket af koordinationscentre, og at sikre, at en stor andel går til SMV'er.
Kommissionen sigter også mod at styrke EU's industrielle og teknologiske kapacitet inden for cybersikkerhed, herunder gennem projekter, der støttes i fællesskab af EU's og medlemsstaternes nationale budgetter. EU har en enestående mulighed for at samle sine aktiver med henblik på at styrke sin strategiske autonomi og gå forrest inden for cybersikkerhed i hele den digitale forsyningskæde (herunder data- og cloudtjenester, næste generation af processorteknologier, ultrasikker konnektivitet og 6G-net) i overensstemmelse med sine værdier og prioriteter.
Net- og informationssystemers og kritiske enheders digitale og fysiske modstandsdygtighed
De eksisterende foranstaltninger på EU-plan, der har til formål at beskytte centrale tjenester og infrastrukturer mod både cyberrisici og fysiske risici, skal ajourføres. Cybersikkerhedsrisici udvikler sig fortsat med den stigende grad af digitalisering og indbyrdes forbundethed. Fysiske risici er også blevet mere komplekse siden vedtagelsen af EU's regler fra 2008 om kritisk infrastruktur, som i øjeblikket kun omfatter energi- og transportsektoren. Revisionerne har til formål at ajourføre reglerne efter logikken i strategien for EU's sikkerhedsunion, overvinde den falske splittelse mellem online og offline og nedbryde silotilgangen.
Som reaktion på de voksende trusler som følge af digitalisering og indbyrdes forbundethed vil det foreslåede direktiv om foranstaltninger til et højt fælles cybersikkerhedsniveau i hele Unionen (det reviderede NIS-direktiv eller "NIS 2") omfatte mellemstore og store enheder fra flere sektorer alt efter, hvor vigtige de er for økonomien og samfundet. NIS 2 styrker de sikkerhedskrav, der pålægges virksomhederne, tager fat på forsyningskædernes sikkerhed og leverandørernes forbindelser, strømliner rapporteringsforpligtelserne, indfører strengere tilsynsforanstaltninger for de nationale myndigheder og strengere håndhævelseskrav og sigter mod at harmonisere medlemsstaternes sanktionsordninger. NIS 2-forslaget vil bidrage til at øge udvekslingen af oplysninger og samarbejdet om cyberkrisestyring på nationalt plan og EU-plan.
Det foreslåede direktiv om kritiske enheders modstandsdygtighed (CER) udvider både anvendelsesområdet for og dybden af direktivet om europæisk kritisk infrastruktur fra 2008. Der er nu omfattet ti sektorer: energi, transport, bankvirksomhed, finansielle markedsinfrastrukturer, sundhed, drikkevand, spildevand, digital infrastruktur, offentlig forvaltning og rummet. I henhold til det foreslåede direktiv skal medlemsstaterne hver især vedtage en national strategi for at sikre kritiske enheders modstandsdygtighed og foretage regelmæssige risikovurderinger. Disse vurderinger vil også bidrage til at identificere en mindre delmængde af kritiske enheder, som skal underlægges forpligtelser med henblik på at øge deres modstandsdygtighed over for ikkecyberrelaterede risici, herunder med hensyn til risikovurderinger på enhedsniveau, tekniske og organisatoriske foranstaltninger og underretning om hændelser. Kommissionen vil til gengæld yde supplerende støtte til medlemsstaterne og kritiske enheder, f.eks. ved at udarbejde en oversigt på EU-plan over grænseoverskridende og tværsektorielle risici, bedste praksis, metoder, uddannelsesaktiviteter på tværs af grænserne og øvelser for at teste kritiske enheders modstandsdygtighed.
Sikring af næste generation af net: 5G og efterfølgende generationer
I henhold til den nye strategi for cybersikkerhed opfordres medlemsstaterne til med støtte fra Kommissionen og ENISA — Den Europæiske Unions Agentur for Cybersikkerhed — at fuldføre gennemførelsen af EU's 5G-værktøjskasse, der er en omfattende tilgang baseret på objektiv risiko til sikkerheden i 5G og fremtidige generationer af netværk.
Der blev i dag offentliggjort en rapport om virkningen af Kommissionens henstilling om cybersikkerheden i forbindelse med 5G-net og fremskridtene med gennemførelsen af EU's værktøjskasse med risikobegrænsende foranstaltninger siden statusrapporten fra juli 2020, og ifølge den er de fleste medlemsstater allerede godt på vej til at gennemføre de anbefalede foranstaltninger. De bør nu sigte mod at afslutte gennemførelsen senest i andet kvartal af 2021 og sikre, at de konstaterede risici afbødes tilstrækkeligt på en koordineret måde, navnlig med henblik på at minimere eksponeringen for højrisikoleverandører og undgå afhængighed af disse leverandører. Kommissionen fastsætter også i dag centrale mål og tiltag, der har til formål at fortsætte det koordinerede arbejde på EU-plan.
Medlemmerne af kollegiet udtaler:
Margrethe Vestager, ledende næstformand med ansvar for et Europa klar til den digitale tidsalder, udtaler: "Europa er fast engageret i den digitale omstilling af vores samfund og økonomi. Vi er derfor nødt til at støtte det med et større investeringsniveau end nogensinde før. Den digitale omstilling tager fart, men kan kun lykkes, hvis borgerne og virksomhederne kan stole på, at de internetopkoblede produkter og tjenester — som de er afhængige af — er sikre."
Josep Borrell, højtstående repræsentant, udtaler: "Den internationale sikkerhed og stabilitet afhænger mere end nogensinde af et globalt, åbent, stabilt og sikkert cyberspace, hvor retsstatsprincippet, menneskerettighederne, frihedsrettighederne og demokratiet respekteres. Med dagens strategi optrapper EU sin indsats for at beskytte sine regeringer, borgere og virksomheder mod globale cybertrusler og for at vise vejen frem i cyberspace ved at sikre, at alle kan høste fordelene ved internettet og anvendelsen af teknologi."
Margaritis Schinas, næstformand med ansvar for fremme af vores europæiske levevis, udtaler: "Cybersikkerhed er en central del af sikkerhedsunionen. Der skelnes ikke længere mellem onlinetrusler og offlinetrusler. Den digitale og fysiske verden er nu uløseligt forbundne. Det sæt foranstaltninger, der fremlægges i dag, viser, at EU står klar til at bruge alle sine ressourcer og sin ekspertise til at forberede sig på og reagere på fysiske trusler og cybertrusler med samme beslutsomhed."
Thierry Breton, kommissær for det indre marked, udtaler: "Cybertrusler udvikler sig hurtigt, de bliver stadig mere komplekse og kan tilpasses. For at sikre, at vores borgere og infrastrukturer beskyttes, er vi nødt til at tænke flere skridt fremad. Med Europas modstandsdygtige og selvstændige "cybersikkerhedsskjold" kan vi udnytte vores ekspertise og viden til at konstatere trusler og reagere hurtigere, begrænse potentielle skader og øge vores modstandsdygtighed. Investering i cybersikkerhed er investering i en sund fremtid for vores onlinemiljø og i vores strategiske autonomi."
Ylva Johansson, kommissær med ansvar for indre anliggender, udtaler: "Vores hospitaler, spildevandssystemer og transportinfrastruktur er kun så stærke som deres svageste led. Forstyrrelser i en del af Unionen risikerer at påvirke leveringen af væsentlige tjenester andre steder. For at sikre et velfungerende indre marked og økonomisk grundlag for Europas indbyggere skal vores centrale infrastruktur være modstandsdygtig over for risici såsom naturkatastrofer, terrorangreb, ulykker og pandemier som den, vi oplever i dag. Mit forslag vedrørende kritisk infrastruktur gør netop dette."
De næste skridt
Europa-Kommissionen og den højtstående repræsentant er fast besluttet på at gennemføre den nye strategi for cybersikkerhed i de kommende måneder. De vil regelmæssigt aflægge rapport om de opnåede fremskridt og holde Europa-Parlamentet, Rådet for Den Europæiske Union og interessenter fuldt underrettet og inddraget i alle relevante tiltag.
Det er nu op til Europa-Parlamentet og Rådet at undersøge og vedtage det foreslåede NIS 2-direktiv og direktivet om kritiske enheders modstandsdygtighed. Når der er nået til enighed om forslagene, og de efterfølgende vedtages, skal medlemsstaterne gennemføre dem senest 18 måneder efter deres ikrafttræden.
Kommissionen vil med jævne mellemrum gennemgå NIS 2-direktivet og direktivet om kritiske enheders modstandsdygtighed og aflægge rapport om deres gennemførelse og virkninger.
Baggrund
Cybersikkerhed er en af Kommissionens topprioriteter og en hjørnesten i det digitale og forbundne Europa. En stigning i antallet af cyberangreb under coronaviruskrisen har vist, hvor vigtigt det er at beskytte hospitaler, forskningscentre og anden infrastruktur. Der er behov for en stærk indsats på området for at fremtidssikre EU's økonomi og samfund.
I den nye strategi for cybersikkerhed foreslås det at integrere cybersikkerhed i alle led i forsyningskæden og yderligere samle EU's aktiviteter og ressourcer på tværs af de fire områder inden for cybersikkerhed — det indre marked, retshåndhævelse, diplomati og forsvar. Den bygger på Europas digitale fremtid i støbeskeen og strategien for EU's sikkerhedsunion og tager udgangspunkt i en række retsakter, tiltag og initiativer, som EU har gennemført for at styrke cybersikkerhedskapaciteten og sikre et mere cyberrobust Europa. Dette omfatter strategien for cybersikkerhed fra 2013, som blev revideret i 2017, og Kommissionens europæiske dagsorden om sikkerhed 2015-2020. Den anerkender også den voksende indbyrdes forbundethed mellem intern og ekstern sikkerhed, navnlig gennem den fælles udenrigs- og sikkerhedspolitik.
Den første EU-dækkende lov om cybersikkerhed, NIS-direktivet, trådte i kraft i 2016 og bidrog til at opnå et højt fælles sikkerhedsniveau for net- og informationssystemer i hele EU. Som led i sin centrale politiske målsætning om at gøre "Europa klar til den digitale tidsalder" bebudede Kommissionen i februar en revision af NIS-direktivet. EU's direktiv om cybersikkerhed trådte i kraft i 2019 og har udstyret Europa med en ramme for cybersikkerhedscertificering af produkter, tjenester og processer. Det har også har styrket mandatet for EU's Agentur for Cybersikkerhed (ENISA).
For så vidt angår cybersikkerhed i 5G-net har medlemsstaterne med støtte fra Kommissionen og ENISA og med EU's 5G-værktøjskasse, der blev vedtaget i januar 2020, indført en omfattende tilgang baseret på objektiv risiko. Kommissionens gennemgang af sin henstilling fra marts 2019 om cybersikkerhed i forbindelse med 5G-net viste, at de fleste medlemsstater har gjort fremskridt med hensyn til at gennemføre værktøjskassen.
Med udgangspunkt i EU-strategien for cybersikkerhed fra 2013 har EU udviklet en sammenhængende og holistisk international cyberpolitik. I samarbejde med sine partnere på bilateralt, regionalt og internationalt plan har EU arbejdet for at fremme et globalt, åbent, stabilt og sikkert cyberspace, der styres af EU's kerneværdier og er baseret på retsstatsprincippet. EU har hjulpet tredjelande med at øge deres cyberrobusthed og evne til at bekæmpe cyberkriminalitet og har anvendt sin cyberdiplomatiske værktøjskasse fra 2017 til at bidrage yderligere til international sikkerhed og stabilitet i cyberspace, herunder ved for første gang at anvende sin cybersanktionsordning fra 2019, hvor 8 personer og 4 enheder/organer blev registreret. EU har også gjort betydelige fremskridt med samarbejde inden for cyberforsvar, herunder med hensyn til cyberforsvarskapaciteter og navnlig inden for sin ramme for cyberforsvarspolitik (CDPF), samt i forbindelse med det permanente strukturerede samarbejde (PESCO) og Det Europæiske Forsvarsagenturs arbejde.
Cybersikkerhed prioriteres også i EU's næste langsigtede budget (2021-2027). Inden for rammerne af programmet for et digitalt Europa vil EU støtte cybersikkerhedsforskning, -innovation og -infrastruktur, cyberforsvar og EU's cybersikkerhedsindustri. Som led i EU's reaktion på coronaviruskrisen, hvor der under nedlukningen blev konstateret en stigning i antallet af cyberangreb, sikres der i forbindelse med genopretningsplanen for Europa yderligere investeringer i cybersikkerhed.
EU har længe anerkendt behovet for at sikre den kritiske infrastrukturs modstandsdygtighed, da den leverer tjenester, som er afgørende for et velfungerende indre marked og for de europæiske borgeres liv og økonomiske grundlag. Derfor oprettede EU i 2006 det europæiske program for beskyttelse af kritisk infrastruktur (EPCIP) og vedtog i 2008 direktivet om europæisk kritisk infrastruktur, som finder anvendelse på energi- og transportsektoren. Disse foranstaltninger blev i de senere år suppleret af forskellige sektorspecifikke og tværsektorielle foranstaltninger vedrørende specifikke aspekter såsom klimasikring, civilbeskyttelse eller udenlandske direkte investeringer.