Europaparlaments- og rådsforordning (EU) .../... om endring av forordning (EU) 2019/881 med hensyn til administrerte sikkerhetstjenester
Cybersikkerhetsforordningen: endringsbestemmelser om administrerte sikkerhetstjenester
Rådsbehandling 2.12.2024 (enighet med Europaparlamentet; endelig vedtak) med pressemelding. Omtale publisert i Stortingets EU/EØS-nytt 5.12.2024.
Tidligere
- Forslag til europaparlaments- og rådsforordning lagt fram av Kommisjonen 18.4.2023 med pressemelding
- Europaparlamentets plenumsbehandling 24.4.2024
Bakgrunn
BAKGRUNN (fra departementets EØS-notat, sist oppdatert 25.8.2023)
Sammendrag av innhold
Bakgrunn og formål
Endringsforordningen innebærer målrettede endringer i cybersikkerhetsforordningen med sikte på å muliggjøre, ved hjelp av gjennomføringsrettsakter fra EU-kommisjonen, europeiske cybersikkerhetssertifiseringsordninger for såkalte "administrerte sikkerhetstjenester". Rådet oppfordret EU og medlemslandene i sine konklusjoner 23. mai 2023 til å styrke innsatsen for å øke det generelle nivået av cybersikkerhet, for eksempel ved å legge til rette for fremveksten av pålitelige cybersikkerhetstjenesteleverandører. Kommisjonen uttaler at sertifisering av administrerte sikkerhetstjenester er et effektivt virkemiddel for å sikre tillit til kvaliteten på disse tjenestene og dermed lette etableringen av en pålitelig europeisk cybersikkerhetsindustri. Leverandører av administrerte sikkerhetstjenester kommer bl.a. til å spille en viktig rolle i EUs cybersikkerhetsreserve, hvis gradvise oppbygging understøttes av cybersolidaritetsforordningen som foreslås parallelt med denne forordningen. De relevante cybersikkerhetstjenestene som leveres av såkalte "pålitelige leverandører" etter cybersolidaritetsforordningen tilsvarer de "administrerte sikkerhetstjenestene" i dette forslaget.
Noen medlemsstater har allerede etablert sertifiseringsordninger for administrerte sikkerhetstjenester, og for å unngå fragmentering, foreslår EU-kommisjonen at det legges til rette for europeiske ordninger for dette.
Forslaget endrer ikke virkeområdet eller forpliktelsene i cybersikkerhetsforordningen. Forslaget er i samsvar med NIS2-direktivet og leverandører av administrerte sikkerhetstjenester skal anses for å være vesentlige eller viktige enheter som tilhører en sektor av særlig kritisk betydning i henhold til NIS2-direktivet. Som det fremgår i fotalepunkt 86 i NIS2-direktivet spiller tilbydere av administrerte sikkerhetstjenester en viktig rolle i å bistå virksomheter i deres arbeid med å forebygge, oppdage, reagere på eller gjenopprette etter hendelser. Disse leverandørene er imidlertid også et mål for cyberangrep selv. Vesentlige og viktige enheter etter NIS2 bør derfor utvise forsiktighet ved valg av leverandører av administrerte sikkerhetstjenester.
Dette forslaget tar sikte på å forbedre kvaliteten og sammenlignbarheten av administrerte sikkerhetstjenester. Forslaget åpner dermed for at vesentlige og viktige enheter underlagt NIS2 kan utøve økt aktsomhet ved valg av leverandør av administrerte sikkerhetstjenester, slik det kreves i direktivet. I tillegg er definisjonen av «administrerte sikkerhetstjenester» i dette forslaget avledet fra og nært knyttet til definisjonen av «leverandører av administrerte sikkerhetstjenester» i NIS2.
Forslaget utfyller også den foreslåtte cybersolidaritetsforordningen. Den foreslåtte cybersolidaritetsforordningen gir en prosess for å velge leverandører for en cybersikkerhetsreserve på EU-nivå, som blant annet bør ta hensyn til om disse leverandørene har en europeisk eller nasjonal cybersikkerhetssertifisering. Fremtidige sertifiseringsordninger for administrerte sikkerhetstjenester vil derfor spille en viktig rolle i gjennomføringen av cybersolidaritetsforordningen.
Nærmere om forslaget
Forslaget er delt inn i to artikler og kan oppsummeres som følger:
Artikkel 1 foreslår målrettede endringer i cybersikkerhetsforordningen (EU) 2019/881 for å muliggjøre fremtidig vedtakelse (gjennom implementeringsrettsakter) av europeiske sertifiseringsordninger for «administrerte sikkerhetstjenester». Disse tjenestene, slik som respons på hendelser, penetrasjonstesting, sikkerhetsrevisjon og rådgivning, anses som kritiske og sensitive, og tilbys for å hjelpe selskaper og andre organisasjoner med å forhindre, oppdage, svare eller komme seg etter cyberhendelser. Mer spesifikt inneholder artikkel 1 følgende endringer:
- endrer omfanget av det europeiske rammeverket for cybersikkerhetssertifisering i Cybersecurity Act til å inkludere «administrerte sikkerhetstjenester»
- introduserer en definisjon av disse tjenestene, som er nært tilpasset definisjonen av «leverandører av administrerte sikkerhetstjenester» etter NIS2-direktivet
- fastsetter en ny artikkel 51a om sikkerhetsmålene for europeisk cybersikkerhetssertifisering tilpasset «administrerte sikkerhetstjenester» og
- legger til en rekke tekniske endringer for å sikre at de relevante artiklene også gjelder for «administrerte sikkerhetstjenester»
Artikkel 2 fastsetter at tiltaket trer i kraft den tjuende dagen etter at det ble offentliggjort i EUs offisielle tidsskrift.
Merknader
Rettslige konsekvenser
Cybersikkerhetsforordningen er innlemmet i EØS-avtalen, foreløpig med konstitutsjonelt forbehold fra Norges side. Prop. 109 LS om lov om digital sikkerhet hvor det bl.a. bes om Stortingets samtykke til innlemmelse av rettsakten i EØS-avtalen, vil bli behandlet høsten 2023. I forslag til lov om digital sikkerhet foreslås det en lovbestemmelse som legger til rette for at cybersikkerhetsforordningen inkorporeres som forskrift. Lovbestemmelsen omhandler sikkerhetssertifisering av IKT-produkter, IKT-tjenester og IKT-prosesser, og det må vurderes om denne ordlyden må inkludere "administrerte sikkerhetstjenester" for å reflektere innholdet i denne endringsforordningen.
Forskrift som inkorporerer cybersikkerhetsforordningen i norsk rett er under utarbeidelse. Det vil være naturlig å inkludere denne forordningen i forskriften.
Økonomiske og administrative konsekvenser
EU-kommisjonen har angitt at forslaget har ingen budsjettmessige konsekvenser for EU, hvilket indikerer at forslaget heller ikke har nevneverdige økonomiske eller administrative konsekvenser ved eventuell innlemmese i EØS-avtalen og norsk rett.
Forslaget endrer ikke prinsippet om frivillighet, slik at det vil fortsatt være opp til medlemsstatene selv å gjøre bruk av de europeiske sertifiseringsordningene som eventuelt vil bli etablert ved gjennomføringsforordninger.
Skulle det bli aktuelt for Norge å implementere en europeisk sertifiseringsordning for administrerte sikkerhetstjenester, vil denne kunne få konsekvenser for NSMs etablerte kvalitetsordning for hendelseshåndtering, og kunne medføre at det vil bli behov for en fornyet vurdering av denne.
Sakkyndige instansers merknader
Vurdering
Innholder informasjon unntatt offentlighet, jf. offl. § 13
Status
Forslaget ble publisert 18. april 2023.
Forslaget ble sendt til Rådets komite (Coreper) 2. juni 2023.