Det europeiske byrå for nett- og informasjonssikkerhet (ENISA): modernisering
Rapport om evaluering av ENISA lagt fram av Kommisjonen 13.9.2017
Bakgrunn
BAKGRUNN (fra departementets EØS-notat, sist oppdatert 25.11.2013)
Sammendrag av innhold
European Network and Information Security Agency (ENISA) ble etablert i 2004 for en periode på fem år. Formålet med byrået var å sikre et høyt og effektivt nivå på nett- og informasjonssikkerheten (NIS) i fellesskapet, å fremme en kultur for nett- og informasjonssikkerhet til beste for borgere, forbrukere, private virksomheter og offentlig sektor i EU, og å bidra til utviklingen av et velfungerende indre marked. I 2008 ble det besluttet å forlenge ENISAs mandat med tre år, til mars 2012. I 2011 ble mandatet forlenget med ytterligere 18 måneder. I forbindelse med evalueringen forut for beslutningen i 2008 var det en debatt om retningen for EU og ENISA når det gjelder nett- og informasjonssikkerhet. EU fremmet i mars 2009 en kommunikasjon om Critical Information Infrastructure Protection og Network and Information Security (NIS), hvor blant annet ENISA inngikk. I juni 2009 (Telecom Council) besluttet medlemsstatene at ENISAs mandat burde utvides og byråets ressurser økes i tråd med den økte betydningen NIS har fått i samfunnet. NIS har en sentral rolle i handlingsplanen Digital Agenda Europe. Kommisjonen fremmet i september 2010 forslag til forordning om styrking og modernisering av ENISA og om å etablere et nytt mandat for byrået. Forordringen ble vedtatt av parlamentet og rådet 21. mai 2013.Det overordnede målet med forordningen er å gjøre EU, medlemsstatene og berørte aktører i stand til å utvikle god evne til å forhindre, avdekke og respondere på NIS-problemer. Dette vil bidra til utviklingen av informasjonssamfunnet i alle medlemsland, bedre den europeiske konkurranseevnen og sikre at det indre markedet fungerer effektivt. ENISAs nye mandat er for syv år med mulighet for forlengelse. Mandatet omtaler byråets oppgaver mer detaljert enn tidligere. ENISA skal på forespørsel fra medlemsland eller EU-institusjoner bidra med veiledning ved tap av informasjon eller sikkerhetsbrudd. De skal videre opprette en avdeling i Athen og etablere et styre (Executive Board). Utkastet til mandat var utformet i henhold til EUs retningslinjer for desentralisering av institusjoner. Oppgaver ENISAs nye mandat komplementerer både regulatoriske og ikke-regulatoriske politiske initiativer om NIS. ENISA bidra på det regulatoriske området. Byrået skal støtte Kommisjonen og medlemsstatene med å lage rammeverk for å implementere sikkerhetsbestemmelsene fremmet i artikkel 13 (a) i rammedirektivet.
ENISA skal videre sette opp årlige diskusjonsforum for nasjonale kompetente myndigheter, regulatører og private aktører. De skal bidra til cybersikkerhetsøvelser, etablering av en CERT for EUs egneinstitusjoner og støtte etableringen av nasjonale CERTer i medlemslandene. ENISA skal også drive med bevisstgjøring om NIS, herunder:
• bygge og opprettholde et liaisonnettverk og samle kunnskap for å sikre at byrået er vel informert om NIS-landskapet.
• være et NIS-støttesenter for politikkutviklng og implementering (e-privacy, e-sign, e-ID og innkjøpsstandarder for NIS)
• støtte unionens CIIP og sikkerhetspolitikk (øvelser, EP3R, European Information Sharing and Alert System osv)
• sette opp et rammeverk for innsamling av NIS-data, inkludert utviklingsmetoder og praksis for rapportering og deling
• studere økonomien i NIS
• stimulere til samarbeid med tredjeland og internasjonale organisasjoner
• fremme ikke-operative mål knyttet til NIS-aspektene av ”cybercrime”
Merknader
Det rettslige grunnlaget for rettsakten er traktatens artikkel 114. Dette er en forordning som vil få direkte virkning i medlemsstatene så fort den trer i kraft. Forordningen faller inn under rettsakter i "gruppe 2" (rettsakter som krever forskriftsendring som ikke griper vesentlig inn i norsk handlefrihet). Forordningen vil måtte innlemmes i EØS-avtalen og det vil være nødvendig med en endring i forskrift om elektronisk kommunikasjon. Forordnigen antas ikke å ha økonomiske eller administrative konsekvenser utover den kontingenten Norge årlig betaler for deltakelse i ENISA. Denne kontingenten dekkes gjennom ordinære budsjettdisposisjoner. ENISAs budsjett for 2014 legger til grunn et norsk bidrag på 257.000 euro. Over en periode på syv år vil det norske bidraget totalt beløpe seg til 2,067 millioner euro dersom proporsjonalitetsfaktoren for 2014 (3,03%) legges til grunn. Den norske finansieringen deles likt mellom SD og JD.
Sakkyndige instansers merknader
SU kommunikasjonser ble orientert om kommisjonens forslag i møtet 11. februar 2011.
Vurdering
Norge deltar i dag i ENISA og har status som fullt medlem uten stemmerett. Norge bidrar årlig økonomisk til byrået for å kunne delta. Det er Norges oppfatning at byrået har bidratt til å øke bevisstheten om nett- og informasjonssikkerhets i Europa og er en interessant samarbeidspartner for de norske sikkerhetsmiljøene som NorSIS og NSM/NorCERT. ENISAs nye mandat innebærer at byrået blir noe mer fleksibel samtidig som det også formelt dras inn i prosesser satt i gang av Kommisjonen. At byrået også gjennom regelverket gis konkrete oppgaver er nytt. ENISA vil også få en større rolle i kampen mot ”cyber crime”. Justismyndigheter og personvernmyndigheter er invitert med i byråets gruppe for interessenter (Permanent Stakeholders Group). Norge mener utvidelsen av ENISAs mandat er hensiktsmessig og vil bidra til en mer koordinert og helhetlig tilnærming til NIS i Europa. Fortsatt norsk deltakelse i ENISA vurderes som viktig og nødvendig og ikke kontroversielt. Byrået gir Norge innpass på en arena hvor vi har mye kompetanse og kan bidra, men også dra nytte av andre lands og byråets kompetanse.
Konklusjon: Forslaget vurderes som EØS-relevant og akseptabel, og anbefales inntatt i EØS-avtalens vedlegg XI. Det vil være behov for tilpasningstekst for å sikre deltakelse for EFTA landene i ENISA på samme nivå som i dag.
Status
Kommisjonen fremmet forslag ble 30. september 2010. Europaparlamentet og Rådet kom 1. februar 2013 frem til enighet om forslag til et nytt mandat for ENISA. Forordringen ble vedtatt 21. mai 2013.