Cybersikkerhetsforordningen
Oppfyllelse av forfatningsrettslige krav meldt av Norge 25.6.2024. EØS-komiteens beslutning trer i kraft 1.8.2024
Tidligere
- Norsk lov kunngjort 20.12.2023
Bakgrunn
BAKGRUNN (fra departementets EØS-notat, sist oppdatert 23.1.2023)
Sammendrag av innhold
Forordningen gjennomføres som en konsekvens av global digitalisering og økt risiko for cybersikkerhetshendelser. Forordningen innebærer at ENISA får et styrket budsjett, flere ansatte og et styrket og permanent mandat og vil dermed spille en større rolle i EUs cybersikkerhetslandskap. ENISA vil med et permanent mandat ivareta rollen som Den Europeiske Unions Byrå for Cybersikkerhet (the European Union Agency for Cyber Security). ENISA skal etter anmodning kunne bistå medlemslandene med grenseoverskridende hendelseshåndtering, herunder blant annet rådgivning, analyse og tekniske undersøkelser. ENISA skal også særlig bistå og legge til rette for medlemslandenes kapasitetsutbygging, operasjonelt samarbeid og forskning og utvikling.
Forordningen etablerer også et felleseuropeisk rammeverk for frivillig sertifisering av IKT-produkter, tjenester og prosesser (Definert i artikkel 2 nr. 12,13 og 14). ENISA får også viktige oppgaver i forbindelse med å utvikle og administrere dette rammeverket. Forordningen setter i denne sammenheng også et krav om at medlemslandene skal etablere tilsynsmyndigheter og andre roller for sikkerhetssertifisering.
Grunnet behovet for lovendring og budsjettmessige konsekvenser tas det forbehold om Stortingets samtykke til å innlemme rettsakten i EØS-avtalen, jf. EØS-avtalen art. 103.
Bakgrunn og formål
I forbindelse med EU-kommisjonens president Jean-Claude Junckers State of the Union-tale 13. september 2017 presenterte EU-kommisjonen, i samarbeid med EUs representant for utenrikssaker og sikkerhetspolitikk, en felles kommunikasjon om EUs arbeid med digital sikkerhet. Her ble kommisjonens «Cyber Security package» lansert med konkrete tiltak for å møte trusselbildet.
EU-kommisjonen har slått fast at EU står overfor betydelige digitale sikkerhetsutfordringer. Kommisjonen viste til at antallet utpressingssaker økte med 300% mellom 2015 og 2017. Det er også vist til at de økonomiske konsekvensene av IKT-kriminalitet ble femdoblet fra 2013 til 2017, og at de kan ytterligere firedobles innen 2019. Undersøkelser synes å vise at befolkningen flere steder i verden anser at IKT-angrep fra andre stater er blant de største truslene mot nasjonal sikkerhet.
Formålet med denne forordningen er å sikre et velfungerende indre marked med et høyt nivå av cybersikkerhet, motstandsdyktighet og tillit i EU. Dette skal oppnås ved å fastsette mål, oppgaver og organisatoriske forhold for EUs Cybersikkerhetsbyrå (ENISA), samt etablere et felleseuropeisk rammeverk for sikkerhetssertifisering av IKT-produkter, tjenester og prosesser. (jf. artikkel 1).
Forordningen inngår som et element i EUs digitaliseringsstrategi, som har som formål å stimulere til økonomisk vekst og øke EUs konkurransekraft. Forordningen gir ENISA en sterkere og mer sentral rolle ved at de skal understøtte medlemslandenes gjennomføring av direktiv (EU) 2016/1148 (NIS-direktivet), og ved å motvirke trusler på en mer aktiv måte.
I dette EØS-posisjonsnotatet benyttes begrepene "IKT-sikkerhet", «digital sikkerhet» og "cybersikkerhet" synonymt.
Forordningens innhold
AVSNITT 1 – GENERELLE BESTEMMELSER
Generelle bestemmelser og definisjoner følger av artikkel 1 og 2.
Av artikkel 1 fremgår forordningens formål. Formålet er å sikre et velfungerende indre marked og å oppnå et høyt nivå av cybersikkerhet, motstandsdyktighet og tillitt innad i EU. Dette skal oppnås ved å:
- fastsette mål, oppgaver og organisatoriske forhold for ENISA,
etablere et rammeverk for opprettelse av europeiske cybersikkerhetssertifiseringsordninger, som igjen har to formål:
- å sikre et tilstrekkelig sikkerhetsnivå for IKT-produkter, -tjenester og –prosesser i EU
- å unngå fragmentering av det indre marked med hensyn til cybersikkerhetsertifiseringsordninger i EU.
Cybersikkerhetssertifiseringsrammeverket kommer til anvendelse uten at det berører andre spesifikke EU-rettsakter som omhandler frivillig eller obligatorisk sertifisering.
Forordningen berører ikke medlemsstatenes kompetanse med hensyn til aktiviteter vedrørende offentlig sikkerhet, forsvar, statssikkerhet og innenfor det strafferettslige området.
Av artikkel 2 fremgår en rekke definisjoner hvor flere viser til begrep som er definert i NIS-direktivet. Det vises også til definisjoner som benyttes i forordning om akkrediterings- og markedstilsynskrav i forbindelse med markedsføring av produkter (EF) 765/2008.
AVSNITT 2 – ENISA (Den Europeiske Unions Byrå for Cybersikkerhet)
Kapittel I – Mandat og formål
ENISA (European Network and Information Security Agency) ble opprettet i 2004 og har siden opprettelsen hatt et midlertidig mandat for sitt arbeid. Utfordringen med et tidsavgrenset mandat er at det gir begrensede muligheter for langsiktig planlegging og bæredyktig støtte til EUs medlemsland. Et midlertidig mandat er ikke i tråd med NIS-direktivet som gir ENISA oppgaver av permanent karakter. Et midlertidig mandat underbygger heller ikke EUs visjon for IKT-sikkerhetsområdet.
I 2017 ble det gjennomført en evaluering av ENISA på måloppnåelse og oppgaveløsning. Resultatet var positivt og konkluderte med at byrået i all hovedsak har nådd sine mål og løst sine oppgaver tilfredsstillende. Evalueringen pekte på enkelte utfordringer, bl.a. at ENISA har et bredt mandat, men at det er begrensede finansielle og menneskelige ressurser. Kommisjonen har vedtatt å gi ENISA et permanent og styrket mandat, jf. art. 3.
ENISA skal utføre oppgavene de pålegges gjennom denne forordningen, det vil si primært støtte medlemslandene, EU-institusjonene, organene, kontorene og byråene til å forbedre cybersikkerheten, og gjennom dette oppnå sitt hovedformål, å oppnå et felles høyt cybersikkerhetsnivå i EU. ENISAs oppgaver følger også av andre rettsakter som vedrører cybersikkerhet, blant annet NIS-direktivet.
ENISAs oppgaver skal utføres for å sørge for en ensartet gjennomføring av relevante rettslige rammer, med særskilt henvisning til en effektiv gjennomføring av NIS-direktivet. ENISA skal handle uavhengig når de utfører sine pålagte oppgaver, og ta hensyn til medlemsstatenes ekspertise og unngå overlapping av medlemsstatenes aktiviteter.
Målene for ENISAs arbeid (jf. art. 4):
Byrået skal
- være et ekspertisesenter og bistå i EU-kommisjonens arbeid med digital sikkerhet.
- bistå EU og EUs institusjoner og medlemsland med å utvikle og gjennomføre EU-strategier for digital sikkerhet, herunder også sektorspesifikke strategier.
- støtte kapasitetsbygging og beredskap ved å bistå EU, EUs institusjoner, medlemslandene og offentlige og private interessenter, for å øke egenbeskyttelsen av nettverks- og informasjonssystemer, forbedre cyberresiliens og responskapasiteter og utvikle ferdigheter og kompetanse innenfor digital sikkerhet.
- fremme samarbeid, informasjonsutveksling og koordinering mellom medlemsland, Unionen, Unionens institusjoner og relevante interessenter, herunder privat sektor, om saker knyttet til cybersikkerhet.
- bidra til å øke cybersikkerhetskapabiliteter på EU-nivå for å støtte medlemslandenes tiltak for å forebygge og håndtere cybertrusler, særlig i grenseoverskridende cyberhendelser.
- fremme bruken av Europeisk cybersikkerhetssertifisering, bl.a. ved å bidra til etablering og vedlikehold av et felleseuropeisk rammeverk for sikkerhetssertifisering, for å øke transparens og verifisering av IT-produkter, tjenester og prosesser med formål om å styrke tilliten til og unngå fragmentering av det digitale indre marked.
- bidra til økt kunnskap og kompetanse om cybersikkerhet, herunder cyberhygiene og cyberferdigheter, for både privatpersoner og virksomheter.
Kapittel II Oppgaver:
1) Policyutvikling og lovregulering (jf. art. 5)
ENISA får i oppgave å bidra proaktivt i policyutvikling og lovgivning for cybersikkerhetsfeltet, samt til andre politiske initiativ med cybersikkerhetselementer innenfor ulike sektorer (f.eks. energi, transport og finans). ENISA får i denne sammenheng en styrket rådgivende rolle, da i form av uavhengige vurderinger, analyser og forarbeider til policy- og lovutvikling. ENISA skal også støtte medlemslandene med implementeringen av NIS-direktivet, hvis formål er å etablere et høyt felles sikkerhetsnivå for nett- og informasjonssikkerhet innenfor en rekke samfunnsviktige sektorer (energi, transport, finans, helse, vannforsyning, IKT-infrastruktur osv.). Dette innebærer blant annet å bistå medlemslandene med å oppnå en ensartet gjennomføring av direktivet på tvers av grenser og sektorer ved å utstede uttalelser, retningslinjer, beste praksis mv. Tilsvarende skal ENISA støtte arbeidet i NIS-samarbeidsgruppen (NIS-direktivet artikkel 11), som har som oppgave å støtte medlemslandene i implementeringen av NIS-direktivet samt understøtte strategisk samarbeid og erfaringsutveksling mellom medlemslandene.
ENISA skal understøtte utvikling og gjennomføring av policyer innen elektronisk kommunikasjon og tillitstjenester og fremme et høyere sikkerhetsnivå i elektronisk kommunikasjon gjennom rådgivning og ved å utgi tekniske retningslinjer, samt fremme utveksling av beste praksis mellom kompetente myndigheter.
ENISA skal også understøtte en jevnlig gjennomgang av EUs aktiviteter og avgi årlige rapporter, basert på innrapporteringer, på status og etterlevelse av EU-policy og -regulering, jf. art. 10(3) i NIS-direktivet, art. 19(3) i forordning om eID og elektroniske tilleggstjenester og art. 40 i ekomkodeksen
2) Kapasitetsbygging (jf. art. 6)
ENISA får i oppgave å bidra til å øke EUs og de nasjonale offentlige myndigheters kapasitet og ekspertise til å forebygge, detektere og analysere hendelser blant annet gjennom å bistå med utvikling av nasjonale strategier for cybersikkerhetsområdet, tilby kurs, fremme samarbeid og informasjonsutveksling, og støtte CERT-EU (EUs Computer Emergency Response Team) i deres arbeid, og bidra i etableringen av ulike lands nasjonale CSIRT'er (Computer Security Incident Response Team). I denne forbindelse vil ENISA tilrettelegge for cybersikkerhetsøvelser på EU-nivå minimum annethvert år.
ENISA skal særlig støtte informasjonsutveksling i og mellom sektorer oppført i NIS-direktivets vedlegg II ved å stille til rådighet beste praksis og prosedyrer.
Byrået skal også bidra i etableringen av sentrene for informasjonsutveksling og analyse (ISAC'er) innen ulike sektorer ved å stille til rådighet beste praksis og veiledning i tilgjengelige verktøy og prosedyrer.
3) Operasjonelt samarbeid på EU nivå(jf. art. 7)
Etter forordningen får ENISA myndighet til å støtte det operasjonelle samarbeidet på tvers av Unionen og på tvers av medlemslandene, herunder i CSIRT-nettverket (bestående av medlemslandenes CSIRT’er (iht NIS-direktivet)). I den forbindelse inngår ENISA i et strukturert samarbeid med CERT-EU for å utnytte synergier og unngå overlapp av aktiviteter. ENISA skal også ivareta sekretariatsfunksjon for CSIRT-nettverket.
ENISA skal støtte medlemslandene i det operasjonelle samarbeidet innen CSIRT-nettverket med generell rådgivning om forebygging, deteksjon og håndtering, eventuelt etter anmodning også knyttet til spesifikke hendelser. På anmodning fra et eller flere berørte medlemsland, og med formål om å skulle levere rådgivning om forebygging av fremtidige hendelser, vil ENISA kunne gi støtte til eller utføre en påfølgende teknisk undersøkelse av hendelser med betydelig eller vesentlig virkning i henhold til NIS-direktivet.
ENISA skal legge til rette for regelmessige cybersikkerhetsøvelser annet hvert år.
ENISA vil også få i oppgave å regelmessig utarbeide en teknisk EU-cybersikkerhetsrapport, i nært samarbeid med medlemslandene om hendelser og trusler. Dette skal være basert på offentlig tilgjengelig informasjon, ENISAs egne analyser og rapporter, som på frivillig basis deles av bl.a. medlemslandenes CSIRTer eller NIS-direktivets sentrale kontaktpunkter, jf. art. 14(5) i NIS-direktivet, Det Europeiske senter for bekjempelse av cyberkriminalitet (EC3) hos Europol eller CERT-EU.
Ved større såkalte "grenseoverskridende cybersikkerhetshendelser eller -kriser", og med formål om å fremme operasjonelt samarbeid, får ENISA myndighet til å: a) sammenstille rapporter fra nasjonale kilder for å skape felles situasjonsforståelse, b) sikre effektiv informasjonsflyt og sørge for at det er eskaleringsmekanismer på plass mellom CSIRT-nettverket og de tekniske og politiske beslutningstagere på EU-nivå, c) etter anmodning støtte teknisk håndtering av en hendelse, inkludert frivillig deling av tekniske løsninger mellom medlemslandene, d) støtte kommunikasjon til offentligheten/publikum om en hendelse, og e) teste samarbeidsplaner for håndtering av slike hendelser.
4) Oppgaver relatert til markedet, cybersikkerhetssertifisering, og standardisering (jf. art. 8)
ENISA får i oppgave å understøtte det indre marked, ved å analysere utviklingstendenser innenfor cybersikkerhetsmarkedet, og ved å understøtte EUs policyutvikling for IKT-standardisering og IKT-sikkerhetssertifisering. Detaljer om sertifiseringsordningen følger lenger ned i teksten.
5) Oppgaver relatert til kunnskap og kompetansebygging (jf. art. 9)
ENISA skal være EUs informasjonsknutepunkt vedr. nett- og informasjonssikkerhet. Det innebærer å fremme og utveksle beste praksis og initiativer på tvers av EU. Byrået skal stille til rådighet rådgivning, veiledning og beste praksis vedrørende sikkerheten i kritiske infrastrukturer. ENISA skal i samarbeid med nasjonale myndigheter og relevante interessenter gi råd og veiledning knyttet til sikkerhet i nett- og informasjonssystemer særlig knyttet til sikkerhet i de infrastrukturer som understøtter sektorer under NIS-direktivet, og tilbydere av digitale tjenester som omfattes av nevnte direktiv. Etter en vesentlig grenseoverskridende hendelse skal ENISA dessuten få i oppgave å utarbeide rapporter for å gi veiledning til virksomheter og borgere i hele EU på bakgrunn av den aktuelle hendelsen.
6) Oppgaver relatert til bevisstgjøring og utdannelse (jf. art. 10)
ENISA skal bevisstgjøre offentligheten om risiko forbundet med cybersikkerhet og drive målrettet veiledning mot brukere, organisasjoner og virksomheter om blant annet cyberhygiene og cyberferdigheter. Byrået skal i samarbeid med medlemslandene etterstrebe økt bevissthet og fremme utdannelse, gjennom opplysningskampanjer og tilretteleggelse for offentlig debatt.
7) Oppgaver relatert til forskning og innovasjon (jf. art. 11)
ENISA skal med sin ekspertise rådgi EU og nasjonale myndigheter i forskningsbehov og prioriteringer for cybersikkerhetsområdet. ENISA vil også der Kommisjonen har gitt nødvendig bemyndigelse, delta i gjennomførelsen av EUs finansieringsprogram for forskning og innovasjon på cybersikkerhetsområdet. ENISA skal bidra til den strategiske forsknings- og innovasjonsdagsordenen i EU innen cybersikkerhet.
8) Oppgaver relatert til internasjonalt samarbeid (jf. art. 12)
ENISA skal bidra til EUs innsats for å fremme internasjonalt samarbeid på cybersikkerhetsfeltet ved å delta som observatør og i tilretteleggelsen av internasjonale øvelser. ENISA skal, på anmodning fra Kommisjonen, fremme utveksling av beste praksis mellom relevante internasjonale organisasjoner - samt stille ekspertise til rådighet for Kommisjonen, og rådgi og støtte Kommisjonen i spørsmål knyttet til avtaler om gjensidig anerkjennelse av cybersikkerhetsattester med tredjeland i samarbeid med ECCG jf. art 62.
Kapittel III - Organisasjon:
Artikkel 13 til 23 omhandler organiseringen av byrået og beskriver ansvar, myndighet og organiseringen av arbeidet som tilligger "Management Board", "Executive Board" og "Executive Director". Dette er i stor grad samsvarende med den organiseringen som følger av denne forordnings forløper (EU) 526/2013.
En ENISA-rådgivningsgruppe og et nettverk av nasjonale forbindelsesoffiserer (National Liaison Officers Network) opprettes som en del av ENISAs struktur etter denne forordningen jf. artikkel 13 bokstav d og e, jf., artikkel 21.
ENISAs rådgivingsgruppe blir bredt sammensatt etter forslag fra administrerende direktør, og skal rådgi ENISA med hensyn til hvordan ENISA skal utføre sine oppgaver, med unntak av denne forordnings kapittel III.
Det opprettes også en «Cybersikkerhetssertifiseringsgruppe for Interessenter» med medlemmer valgt av Kommisjonen etter forslag fra ENISA, jf. artikkel 22. Gruppen skal blant annet rådgi Kommisjonen om strategiske spørsmål knyttet til det europeiske rammeverket for cybersikkerhetssertifisering, rådgi og bistå ENISA om utførelse av ENISAs oppgaver.
Artikkel 24 til 28 omhandler bestemmelser knyttet til ENISAs drift og forvaltning.
Kapittel IV - Budsjett
Artikkel 29 til 33 tar for seg budsjett, regler for finansiering og hvordan man skal motarbeide bedrageri.
Kapittel V - Personale
Artikkel 34 til 37 omhandler ENISAs ansatte.
Kapittel VI - Generelle bestemmelser om ENISA
Artikkel 38 til 45 tar for seg generelle bestemmelser relatert til ENISAs juridiske status og ansvar, språkordninger, beskyttelse av personopplysninger, samarbeid med tredjeland og internasjonale organisasjoner og sikkerhetsregler for behandling av gradert og sensitiv ugradert informasjon osv.
AVSNITT 3 RAMMEBETINGELSER FOR CYBERSIKKERHETSSERTIFISERING
Forordningen inneholder et nytt regelverk for sikkerhetssertifisering av IKT-produkter, tjenester og prosesser jf. artikkel 46 flg.
Noe av bakgrunnen for dette er at trusselbildet og økningen av IKT-kriminalitet har fremtvunget ulike nasjonale sertifiseringsregelverk. Konsekvensen er bl.a. fragmenterte og lite hensiktsmessige ordninger som ikke samspiller effektivt inn mot EUs indre marked (interoperabilitetsutfordringer).
Målet med et felleseuropeisk regelverk er å fremme IKT-sikkerhet som et konkurransefortrinn og bidra til forbrukernes tillit til IKT-produktene, samtidig som IKT sikkerhetsnivået blir hevet. Et felles regelverk vil også kunne redusere sertifiseringskostnader. Initiativet supplerer og støtter også gjennomførelsen av NIS-direktivet ved å gi de virksomheter som er omfattet av direktivet et verktøy for å påvise etterlevelse av direktivet for hele EU. Forordningen innfører ikke direkte operasjonelle sertifiseringsordninger, men etablerer et rammeverk av regler for innførelse av spesifikke europeiske sertifiseringsordninger for IKT-produkter, tjenester og prosesser, som blir utarbeidet etter forslag fra ENISA og vedtatt ved "gjennomførelsesrettsakter" fra Kommisjonen (beskrevet lenger ned).
En cybersikkerhetssertifiseringsordning vil i henhold til forordningen attestere at IKT-produktene, tjenestene og prosessene som er sertifisert i overensstemmelse med ordningen og oppfyller fastsatte sikkerhetskrav. For eksempel hva gjelder beskyttelsesevne mot kompromittering, tilgjengelighet, autentisering, integritet og konfidensialitet av de data som oppbevares eller behandles i produktet, tjenesten eller prosessen. De europeiske sertifiseringsordningene vil ikke selv utvikle tekniske standarder, men benytte eksisterende standarder om tekniske krav og evalueringsprosedyrer som produktene skal overholde. Sertifiseringsordningene skal utformes slik at de, basert på relevans for den aktuelle prosess, produkt- eller tjenestegruppen, tar hensyn til flere sikkerhetsmål, (jf. art. 51), herunder:
- Beskytte data mot utilsiktet eller uautorisert lagring, behandling eller offentliggjøring, og beskytte data mot utilsiktet eller uautorisert ødeleggelse, tap eller endring, i hele IKT-produktet, tjenesten eller prosessens levetid.
- Sikre at kun autoriserte personer, programmer eller maskiner har adgang til dataene, herunder bl.a. gjennom tilstrekkelig logging av type data og hvilke handlinger som er utført.
- Verifisere at IKT-produkter, tjenester eller prosesser ikke inneholder kjente sårbarheter, og at disse er sikre som følge av standardinnstillinger og innebygget sikkerhet.
- Sikre tilgjengelighet og tilgang til data (restore) ved tilfeller av fysiske eller tekniske hendelser.
- Sikre at IKT-produkter og -tjenester innehar ajourført software og hardware fri for kjente sårbarheter, samt er gitt mekanismer for sikker oppdatering.
Videre innebærer forordningens bestemmelser at ordningene skal fastsette flere spesifikke elementer knyttet til omfang og innhold i cybersikkerhetssertifiseringen, jf. art. 54. Det omfatter bl.a. valg av aktuelle IKT-produkter,–tjenester og prosesser, spesifisering av cybersikkerhetskrav (f.eks. med henvisning til relevante standarder eller tekniske spesifikasjoner), evalueringskriterier og -metoder og det tillitsnivået de er ment å garantere, herunder grunnleggende, betydelig eller høyt, jf. art. 52. For tillitsnivået «grunnleggende» vil det i en sertifiseringsordning også kunne åpnes for en forenklet prosedyre med selvvurdering, jf. art. 53.
Tilbydere av sertifiserte IKT-produkter, tjenester eller prosesser skal også offentliggjøre enkelte supplerende opplysninger, herunder veiledninger, anbefalinger for å bistå sluttbrukere med sikker konfigurasjon drift og vedlikehold mv. Det skal angis hvor lenge det tilbys sikkerhetsstøtte og det skal gjøres mulig for sluttbruker å orientere seg om sårbarheter samt å kunne melde om sårbarheter de selv oppdager.
Det skal være frivillig å benytte seg av sertifiseringsregelverket. Kommisjonen vil imidlertid regelmessig vurdere effekten og anvendelsen av de vedtatte sertifiseringsordningene, og hvorvidt en ordning skal gjøres obligatorisk gjennom EU-retten. Den første vurderingen av en sertifiseringsordning skal gjøres senest innen utløpet av 2023. På bakgrunn av evalueringen og etter en nærmere prosess identifiseres hvilke IKT-produkter, tjenester og prosesser som bør omfattes av eventuelle obligatoriske ordninger, herunder vil Kommisjonen prioritere de sektorer som omfattes av NIS-direktivets vedlegg II jf. art 56.
Om forberedelse og vedtakelse av sertifiseringsordninger:
Kommisjonen skal offentliggjøre et «rullende arbeidsprogram» for europeisk cybersikkerhetssertifisering som peker ut strategiske prioriteringer for fremtidige cybersikkerhetssertifiseringsordninger. Arbeidsprogrammet skal omfatte en oversikt over produkter, tjenester og prosesser som bør omfattes av en ordning, basert på bl.a. hvilke ordninger som eksisterer, etterspørsel i markedet, utvikling i cybertrussebildet mv.
Forordningen legger opp til at de europeiske sertifiseringsordningene skal utarbeides av ENISA primært etter anmodning fra kommisjonen basert på kommisjonens arbeidsprogram, jf. art. 48. Utarbeidelse skal skje med bistand fra og i tett samarbeid med den Europeiske Cybersikkerhetssertifiserings gruppen (ECCG) jf. art 49. ECCG opprettes etter forordningens artikkel 62, og skal fungere som et ekspertorgan sammensatt av representanter for nasjonale sertifiseringsmyndigheter.
Kommisjonen vedtar sertifiseringsordningene ved hjelp av gjennomføringsrettsakter, jf. art. 49 og etter en bred prosess. De ulike ordningene skal publiseres på en webside drevet av ENISA, jf. art. 50.
Om cybersikkerhetssertifisering:
Når en europeisk cybersikkerhetssertifiseringsordning har blitt vedtatt kan produsenter og tilbydere av IKT-tjenester søke sertifisering for deres produkter, tjenester eller prosesser. Sertifiseringen er i henhold til forordningen frivillig, med mindre annet blir fastsatt jf. omtale av art. 56 over.
Sertifisering og utstedelse av cybersikkerhetsattest skal utføres av etterlevelsesorganer (conformity assessment bodies) som er akkreditert til å utføre sertifiseringer primært for tillitsnivåene «grunnleggende» og «betydelig» jf. art. 56 nr. 4. For tillitsnivået «høyt» er det primært en nasjonal cybersikkerhetssertifiseringsmyndighet som utsteder sertifikatet. Hvordan dette gjøres beror på hvordan sertifiseringsordningen er utformet. Akkrediteringen av etterlevelsesorgan utføres av nasjonale akkrediteringsorganer som er utpekt i henhold til forordning (EF) nr. 765/2008 om krav til akkreditering og markedsovervåkning i forbindelse med markedsføring av produkter. I medhold av lov 12. april 2013 nr. 13 om det frie varebytte i EØS (EØS-vareloven) § 3 første ledd er Norsk Akkreditering pekt ut som nasjonalt akkrediteringsorgan i Norge. Forordningen åpner for at man kan fastsette i en sertifiseringsordning at sertifiseringen i godt begrunnede tilfeller skal foretas av et offentlig organ jf. art. 56 (4), (5) og (6), jf. art. 60.
Nasjonale tilsynsmyndigheter skal for hver europeisk sertifiseringsordning orientere Kommisjonen om akkrediterte etterlevelsesorganer. Kommisjonen vil på bakgrunn av dette, og innen et år etter ikrafttredelsen, offentliggjøre en liste over innmeldte etterlevelsesorganer. Cybersikkerhetsattestene utstedes for den perioden som er fastsatt for den enkelte sertifiseringsordning, og vil kunne forlenges såfremt kravene fortsatt er oppfylt. En europeisk cybersikkerhetsattest skal anerkjennes i alle medlemsland, jf. art. 56 (10).
Om nasjonale ordninger og myndigheter:
Etter artikkel 57 vil nasjonale sertifiseringsordninger som allerede er omfattet av en europeisk sertifiseringsordning opphøre fra det tidspunkt det fastsettes i en gjennomføringsrettsakt som etablerer en ny ordning etter artikkel 49. Selv om en ordning opphører, vil utstedte attester gjelde til utløpsdato. Nasjonale sertifiseringsordninger som ikke er omfattet av en europeisk cybersikkerhetssertifiseringsordning vil fortsatt bestå.
Medlemslandene må heller ikke vedta nye nasjonale sertifiseringsordninger for IKT-produkter, tjenester og prosesser som allerede er omfattet av en europeisk ordning.
Med hensyn på å unngå fragmentering av det indre marked, skal medlemslandene meddele initiativ til å opprette nye nasjonale ordninger til Kommisjonen og ECCG.
Forordningen innebærer at det må utpekes minst én myndighet i hvert land som kan føre tilsyn med sertifiseringen, herunder at etterlevelsesorganene overholder regelverket, at de attester som organene har utstedt er i overenstemmelse med kravene som følger av forordningen og at de er i henhold til den europeiske cybersikkerhetssertifiseringsordningen mv.
Den nasjonale myndigheten skal være uavhengig av de enheter den fører tilsyn med, og medlemslandene skal sikre at nasjonale sertifiseringsmyndigheters aktiviteter vedrørende utstedelse av sertifiseringsattester etter art. 56 (5a) og (6) er strengt adskilt fra sine tilsynsaktiviteter etter art. 58.
Den nasjonale myndigheten skal kunne behandle klager i forbindelse med attester utstedt av etterlevelsesorganene.
Forordningen etablerer også en ordning med en «fagfellevurdering» jf. art 59. Dette for å sikre en ensartet standard for cybersikkerhetsattester og overnstemmelseserklæringer innad i EU. Vurderingene skal gjennomføres av minst to nasjonale sertifiseringsmyndigheter fra andre stater og av Kommisjonen. Dette skal gjennomføres minst hvert femte år. Vurderingen skal innebære undersøkelser av sertifiseringsmyndighetens aktiviteter knyttet til utstedelser av attester og at dette er adskilt fra tilsynsvirksomhet, at prosedyrer for tilsyn med og håndhevelse av oppfølging av attester og etterlevelsesorganenes aktiviteter overholdes og hvis relevant om myndighetene har den tilstrekkelige ekspertise til å utstede attester for tillitsnivået «høyt».
Forordningen legger opp til at det etableres en europeisk cybersikkerhetssertifiseringsgruppe (ECCG), jf. art. 62, bestående av alle medlemslands nasjonale sertifiseringstilsynsmyndigheter. Gruppen skal både gi råd til Kommisjonen i cybersikkerhetssertifiseringspolitikk, samt samarbeide med ENISA om å utarbeide forslag til europeiske cybersikkerhetssertifiseringsordninger, følge utviklingen, fremme samarbeid og støtte gjennomføringen av ordningen med fagfellevurdering jf. art. 59. Gruppen kan også foreslå for Kommisjonen konkrete ordninger som ENISA bør få i oppdrag å utarbeide. Kommisjonen innehar formannskapet og sekretariatsfunksjonen for gruppen med bistand fra ENISA, jf. art. 62(5). Medlemslandene skal etter forordningen fastsette regler for sanksjoner for brudd på forordningens bestemmelser og de europeiske sertifiseringsordninger. Sanksjonene skal være effektive, stå i rimelig forhold til bruddet og ha avskrekkende effekt, jf. art. 65.
AVSNITT IV AVSLUTTENDE BESTEMMELSER
Effekten av ENISAs nye rolle og virkningen av sertifiseringsordningen skal evalueres hvert femte år.
Europaparlaments- og rådsforordning (EU) nr. 526/2013 av 21. mai 2013 om Det europeiske byrå for nett- og informasjonssikkerhet (ENISA) og om oppheving av forordning (EF) nr. 460/2004 oppheves.
Artikkel 58 om nasjonale cybersikkerhetssertifiseringsmyndigheter, artikkel 60 om etterlevelsesorganer, artikkel 61 om rapportering av akkreditering, artikkel 63 om klage, artikkel 64 om rett til effektive rettsmidler og artikkel 65 om sanksjoner trer ikke kraft før 28. juni 2021.
Vurdering
Forordningen vurderes som positiv sett opp mot de utfordringene man ser innenfor cybersikkerhetsfeltet. ENISA ble opprettet i 2004 og har siden opprettelsen hatt et midlertidig mandat for sitt arbeid. Utfordringen med et tidsavgrenset mandat er at det gir begrensede muligheter for langsiktig planlegging og bæredyktig støtte til medlemsstatene. En styrking av ENISA vil tilrettelegge for langsiktig planlegging samt understøtte NIS-direktivet som gir ENISA oppgaver av permanent karakter. Alle medlemsstatene i EU har likevel et selvstendig ansvar for å sørge for egen cybersikkerhet. En utvidelse av ENISAs mandat skal ikke være til erstatning for dette ansvaret. Det er likevel klart at ENISA får en fremtredende rolle innen EUs cybersikkerhetssatsning. En felles satsning innen EU gjør statene i stand til å dele situasjonsforståelse og respondere på alvorlige sikkerhetshendelser mer effektivt. Denne forordning og NIS-direktivet inngår begge i EUs satsning innen cybersikkerhet. Et styrket samarbeidet i EUs regi vil være av stor betydning for å løse fremtidige utfordringer innen digital sikkerhet. Det er viktig at Norge sikres en plass i dette samarbeidet, da nåværende og fremtidige utfordringer ikke kan løses av en stat alene.
Omforent sertifisering for både EU og EØS anses i utgangspunktet for å være et positivt tiltak. Målet med et felleseuropeisk regelverk er å fremme cybersikkerhet som et konkurransefortrinn og bidra til forbrukernes tillit til IKT-produktene, samtidig som sikkerhetsnivået blir hevet. Et felles regelverk vil også kunne redusere sertifiseringskostnader. Initiativet supplerer og støtter også gjennomførelsen av NIS-direktivet ved å gi de virksomheter som er omfattet av direktivet et verktøy for å påvise etterlevelse av direktivet for hele EU.
Sertifisering vil etter forordningen inntil videre være frivillig. Innen en viss tid skal Kommisjonen ha gjort en første vurdering av hvorvidt enkelte sertifiseringsordninger skal gjøres obligatoriske. Det vil i første omgang være snakk om sektorer som er omfattet av NIS-direktivet. Flere norske virksomheter vil dermed kunne bli bundet av krav til sertifisering av IKT-produkter, tjenester eller prosesser. Ettersom leverandører av slike tjenester ofte er globale og/eller europeiske, er felles-europeiske løsninger riktig. Sertifisering av produkter og tjenester vil ikke motvirke norske interesser. Et sertifiseringsrammeverk bør i størst mulig grad være beskrivende med tanke på kvalitets- og sikkerhetsnivået som oppnås, og det bør legges til rette for at det vil være attraktivt å benytte i markedsføringssammenheng. Da vil det være mindre behov for regulering, og effekten vil komme på grunn av etterspørsel. En felles overbygning i et rammeverk vil bidra til at man unngår at produkter, tjenester og prosesser må sertifiseres flere ganger avhengig av hvor produktet er produsert eller skal selges, og man vil unngå at produsenter velger ordninger som gir en raskere og enklere sertifisering enn andre ordninger. Rammeverket skaper også fleksibilitet til å etablere tilpassede ordninger avhengig av produktets, tjenestens eller prosessenes egenart, og påkrevd sikkerhetsnivå.
Det er viktig at ny sertifiseringsløsning ikke kommer i konflikt med andre etablerte internasjonale sertifiseringsløsninger, men komplementerer eller understøtter disse. Forordningen ivaretar internasjonalt samarbeid gjennom ENISA. Det følger også av artikkel 54 bokstav t, at hver europeiske sertifiseringsordning skal oppstille betingelser for gjensidig anerkjennelse av sertifiseringsordninger med tredjeland. Det er således Kommisjonen som inngår avtalene med tredjelandene.
Siden gjennomføringen av EØS-komiteens beslutninger i norsk rett vil kreve lovendring og innebbære budsjettmessige konsekvenser, er Stortingets samtykke til godkjennelse av EØS-komiteens beslutning nødvendig i medhold av Grunnloven § 26 annet ledd. I henhold til EØS-avtalen artikkel 93 nr. 2 skal beslutninger i EØS-komiteen treffes ved enighet mellom EU på den ene siden og EØS/EFTA-statene, som opptrer samstemt, på den andre. Det følger av artikkel 103 nr. 1 at beslutningen først blir bindende for Norge etter at man fra norsk side har meddelt de andre partene at de forfatningsmessige kravene er oppfylt.
Konklusjon
Forordningen anses som EØS-relevant. Forordningen anses som akseptabel, med de foreslåtte tilpasninger som sikrer EØS-EFTA statenes deltakelse og status i ENISA og ECCG (uten stemmerett).
Andre opplysninger
Oversikt over identifiserte rettslige konsekvenser:
Gjeldende forordning om ENISA er en del av EØS-avtalen, og er i dag gjennomført i ekomforskriften §8-7. Justis- og beredskapsdepartementet har funnet det mer hensiktsmessig å gjennomføre forordningen i forskrift til ny lov om digital sikkerhet, som også gjennomfører NIS-direktivet i norsk rett.
Et utkast til en slik lov ble sendt på høring 21. desember 2018.
Justis- og beredskapsdepartementettar sikte på å legge frem en Prop. LS med en ny lov om digital sikkerhet og om Stortingets samtykke til godkjennelse av EØS-komiteens beslutning.
Medlemsstatene skal sørge for en nasjonal tilsynsmyndighet for sertifisering, hvis oppgaver bl.a. vil være kontroll med etterlevelsen av ordningen, sanksjoner ved brudd og klagebehandling. Myndighetene skal også få hjemmel til å få adgang til kontorlokaler for undersøkelser.
Myndighetene skal også samarbeide med andre sertifiseringsmyndigheter eller øvrige myndigheter, samt utveksle informasjon om manglende overholdelse av regelverket.
Etterlevelsesorganer skal akkrediteres av nasjonale akkrediteringsorganer som er utpekt etter (EU) 756/2008.
Økonomiske- og administrative konsekvenser
Norge er allerede assosiert medlem av ENISA (uten stemmerett). Medlemskapet ivaretas av både Justis- og beredskapsdepartementet og Kommunal- og distriktsdepartementet, og kostnadene fordeles likt mellom departementene og dekkes innenfor det enkelte departementets budsjett. Etter at forordningen trådte i kraft i EU i 2019, har kontingenten for medlemmer av ENISA økt. For 2021 og 2022 utgjorde den samlede kontingenten for norsk deltakelse i ENISA henholdsvis 5 643 744 og 5 271 246 kroner. De økte kostnadene er kostnader som allerede effektueres, uavhengig av om forordningen implementeres i EØS-avtalen eller ikke. Organisering og styring av ENISA er lite forandret etter forordningen trådte i kraft i EU i 2019, og departementet kan ikke se at innlemmelse av forordningen i EØS-avtalen vil medføre store endringer for Norges rolle i ENISA.
Hva gjelder cybersikkerhetssertifiseringsordningen forutsetter vurderingen av administrative og økonomiske konsekvenser i det følgende at det legges opp til en løsning hvor staten kun ivaretar den obligatoriske myndighetsrollen. Dette innebærer at kommersielle sertifiseringsorganer i størst mulig grad står for sertifisering av produkter, tjenester og prosesser, og at det kun utpekes en nasjonal cybersikkerhetssertifiseringsmyndighet (jf. artikkel 58).
For Norge vil forordningen innebære å avklare blant annet hvordan og hvem som utpekes til dette. Både Nasjonal sikkerhetsmyndighet (NSM) og Nasjonal kommunikasjonsmyndighet (Nkom) har relevant kompetanse, så dette spørsmålet må vurderes nærmere. Per i dag har Nkom en rolle når det gjelder funksjonalitet i ekomnett og ikke minst for utstyr som bruker radio. NSM har på sin side allerede gjennomført sertifisering av operative sikkerhetstjenester og tjenestemiljøer. Det forutsettes at den nasjonale cybersikkerhetssertifiseringsmyndigheten deltar i ECCG, som vil ha en viktig rolle ved utarbeidelse av nye sertifiseringsordninger under rammeverket. NSM deltar i ECCG i dag, men har som nevnt ikke blitt formelt utpekt til dette. Det er likevel naturlig å se for seg at NSM innehar en overordnet myndighet etter forordningen.
Norge har i dag en sertifiseringsordning for sikkerhet i IT-produkter etter ISO/IEC 15408 (Common Criteria), jf. Norges tilslutning til Common Criteria Recognition Arrangement (CCRA) og SOG-IS Mutual Recognition Arrangement (SOG-IS MRA). NSM har rollen som Sertifiseringsmyndighet for IT sikkerhet (SERTIT) etter disse avtalene.
Ved innføringen av forordningen er det planlagt to sertifiseringsordninger – EUCC for produktsertifisering etter ISO/IEC 15408 og EUCS for sertifisering av skytjenester. Ved innføringen av EUCC vil sertifisering etter SOG-IS MRA opphøre, og sertifisering etter CCRA på sikt tilpasses denne ordningen.
Kravet om etablering av nasjonale organ i henhold til rammeverket for cybersikkerhetssertifisering vil innebære økonomiske konsekvenser. NSM har avsatt to stillinger til arbeid med sertifiseringsordningen for IT-sikkerhet (SERTIT). Disse stillingene har både ansvar for rollen som sertifiseringsmyndighet og sertifiseringsorgan. Dette innebærer både forvaltning av sertifiseringsordningen etter ISO/IEC 15408 (Common Criteria), internasjonal oppfølging av CCRA og SOG-IS MRA samt sertifisering av produkter etter ordningene. Ved innføringen av forordningen vil ikke lenger den nasjonale sertifiseringsmyndigheten inneha rollen som sertifiseringsorgan. Samtidig vil den nasjonale sertifiseringsmyndigheten blant annet ha ansvar for mottak av klager, egenerklæringer, utpeking av sertifiseringsorgan samt føre tilsyn med disse. Grunnet stor fleksibilitet i hvordan de nasjonale sertifiseringsmyndighetene kan utføre sine oppgaver og manglende erfaringsgrunnlag, er det vanskelig å vurdere ressursbehovet med særlig nøyaktighet. Det anslås at det vil måtte avsettes ressurser til å følge opp den enkelte sertifiseringsordning, herunder utpeking av sertifiseringsorgan, mottak av eventuelle klager og egenerklæringer og tilsyn med sertifiseringsorganene. Videre vil det være behov for ressurser til oppfølging av den Europeiske cybersikkerhetssertifiseringsgruppen, kontakt med Norsk Akkreditering og andre relevante myndighetsaktører. Basert på tilgjengelig kunnskap om den fremtidige ordningen, anslås det ressursmessige merbehovet derfor til minimum to årsverk (ett årsverk per ordning).
Innføringen av forordningen vil utvide virkeområdet for sertifisering fra kun produkter til også å dekke tjenesteleveranser og prosesser. Riktig bruk av gode sertifiseringsordninger kan bidra til å øke den samlede evnen til å motstå ulike former for cyberoperasjoner og dermed gi samfunnsøkonomisk gevinst. Videre vil også anskaffelsesprosesser kunne forenkles gjennom å stille krav til bruk av sertifiserte produkter, tjenester eller prosesser. Norske virksomheter som har ønsket å få produkter sertifisert etter ISO/EIC 15408, har til nå nytt godt av at selve sertifiseringen har blitt utført vederlagsfritt gjennom SERTIT. Etter forordningen vil sertifisering i utgangspunktet gjøres av kommersielle sertifiseringsorganer, og dette medfører en betydelig merkostnad for disse virksomhetene. Samtidig er det viktig å understreke at bruken av sertifiserte produkter, tjenester og prosesser i utgangspunktet er frivillig, derfor vil et marked for sertifiserte produkter, tjenester eller prosesser være styrt av tilbud og etterspørsel. Dette må også sees i sammenheng med EU-kommisjonens forslag til et revidert direktiv for sikkerhet i nettverk og informasjonssystemer (NIS2), hvor det i noen grad legges opp til krav om sertifisering.
Flere av de ledende sertifiseringsorganene i verden har i dag tilhold i Norge, sertifisering etter forordningen kan derfor åpne for et nytt virksomhetsområde for disse, noe også norske teknologibedrifter kan nyte godt av. Effekten av denne synergien vil være størst dersom det legges opp til en internasjonal annerkjennelse av sertifikater utstedt under sertifiseringsordningen, slik det er lagt opp til i implementasjonen av sertifiseringsordningen EUCC.
Sakkyndige instansers merknader:
Faglige innspill til et tidligere utkast til forslag KOM 2017/477 er mottatt fra NSM, SD, Nkom, FD, KMD og NFD.
Det ble første gang orientert om forslag (KOM 2017/477) til rettsakt i spesisalutvalget for kommunikasjoner der Samferdselsdepartementet, Kommunal- og moderniseringsdepartementet, Barne- og likestillingsdepartementet, Justis- og beredskapsdepartementet, Utenriksdepartementet og Nasjonal kommunikasjonsmyndighet er representert, i januar 2018 og muntlig fremlagt for utvalget 2. februar 2018. Det ble videre muntlig redegjort for den vedtatte forordningen i møte i SU Kommunikasjoner i september 2019 og EØS-posisjonsnotat ble behandlet ved skriftlig prosedyre i november 2019. SU kommunikasjoner fant rettsakten relevant og akseptable for innlemming i EØS-avtalen med de tilpasninger som foreslås. Standardskjema ble returnert til EFTA-sekretariatet 20.12.2019.
Status
Rådet vedtok sin posisjon på meldingen om EUs reviderte cybersikkerhetsstrategi – Resilience, Deterrence and Defence: Building strong cybersecurity in Europe – på møtet i Rådet for allmenne saker 20. november 2017. Konklusjonene fra møtet støtter opp om et permanent mandat for ENISA i form av at det opprettes et EU Cybersecurity Agency. De maner videre til at Europa utvikler en verdensledende sertifiseringsordning for å øke sikkerheten og tilliten til digitale produkter og tjenester.
Rettsakten er vedtatt og trådt i kraft i EU fom 27. juni 2019.
Rettsakten er under vurdering i EØS-/EFTA-landene. Standardskjema ble returnert til EFTA-sekretariatet 20.12.2019.
EØS-komiteen forventes 3.februar 2023 å treffe beslutning om innlemmelse av cybersikkerhetsforordningen i EØS-avtalen. Beslutningen gjør tilføyelser til EØS-avtalens vedlegg XI og protokoll 37.