(fra departementets EØS-notat, sist oppdatert 6.10.2025)

Sammendrag av innhold

Bakgrunn og formål

Bakgrunnen for forordningen er den sikkerhetspolitiske situasjonen i Europa (Russlands krig mot Ukraina) og økningen i antall cyberangrep som utløser behov for å styrke solidariteten på EU-nivå for å oppdage, forberede seg på og håndtere cybersikkerhetstrusler og hendelser. Den økende digitaliseringen av samfunnet har gjort både offentlig og privat sektor mer sårbar for cyberangrep. Truslene er ofte komplekse, raske og grenseoverskridende, og krever derfor en koordinert innsats på tvers av medlemslandene. Forordningen må ses i sammenheng med EUs policy for cyberforsvar, som ble publisert 10. november 2022 (JOIN(2022) 49 final). I EUs policy for cyberforsvar legges det særlig vekt på sivil støtte til å deteksjon av cyberhendelser og situasjonsforståelse. Forslaget her om å etablere sikkerhetsoperasjonssentre på tvers i EU er en del av dette, og forutsettes å bli senere utvidet og tatt i bruk i større skala.

Med dette som bakgrunn har cybersolidaritetsforordningen følgende formål:

• styrke EUs felles situasjonsforståelse og kapasitet til å avdekke cybertrusler og -hendelser
• styrke kritiske enheters beredskap i hele EU og styrke solidariteten ved å utvikle koordinert testing av beredskap samt forbedrede kapasiteter for respons og gjenoppretting for å håndtere betydelige cybersikkerhetshendelser, storskala cybersikkerhetshendelser eller hendelser som tilsvarer slike i omfang – inkludert muligheten for å gjøre Unionens støtte til cybersikkerhetsrespons tilgjengelig for tredjeland tilknyttet det digitale Europa-programmet (DEP);
• å styrke Unionens motstandskraft og bidra til effektiv hendelseshåndtering ved å gjennomgå og vurdere betydelige cybersikkerhetshendelser eller storskala hendelser, inkludert å trekke lærdom og, der det er hensiktsmessig, komme med anbefalinger.

Formålene skal oppnås gjennom

1. Etablering av et europeisk cybersikkerhetsskjold: Kjernen i dette er et pan-europeisk nettverk av cyberknutepunkter – det såkalte European Cybersecurity Alert System. Dette systemet skal:
   1. Forbedre situasjonsforståelse og koordinering mellom medlemslandene
   2. Bruke avansert teknologi, inkludert kunstig intelligens, til å oppdage og dele informasjon om trusler i sanntid.
   3. Bestå av nasjonale og grenseoverskridende cyberknutepunkter.
2. Cyberberedskapsmekanisme (Cybersecurity Emergency Mechanism) som består av:
   1. Mekanismer for at ett medlemsland kan bistå et annet ved alvorlige cyberangrep.
   2. Etablering av en EU Cybersecurity Reserve som er et nettverk av pålitelige private leverandører som kan mobiliseres ved alvorlige hendelser.
   3. Støtte til beredskapstiltak i form av testing av kritiske sektorer (som helse, energi og finans) for sårbarheter
3. Cybersecurity Incident Review Mechanism
   1. ENISA får ansvar for å gjennomføre etteranalyser av alvorlige hendelser og gi anbefalinger for forbedringer.

Tiltakene i cybersolidaritetsforordningen skal støttes med midler fra cybersikkerhetsdelen i DIGITAL. Cybersikkerhetsforordningen gjør derfor også enkelte endringer i DIGITALforordningen (EU) 2021/694 for å øke andelen av DIGITAL-midler som skal gå til cybersikkerhetstiltak. Tiltakene utfyller etablerte strukturer slik som nettverket av Security Incident Response Teams (CSIRTs), European Network of Cyber Crisis Liaison Organizations (EU-CyCLONE) og NIS Cooperation Group etablert gjennom direktiv (EU) 2022/2555 (NIS 2-direktivet).

Nærmere om hovedelementene i forordningen

Artikkel 3 - Etablering av det europeiske cybersikkerhetsvarslingssystemet (European Cybersecurity Alert System)

I artikkel 3 etableres det europeiske cybersikkerhetsvarslingssystemet som skal bestå av et pan-europeisk nettverk av infrastruktur, bestående av nasjonale cyberknutepunkter og grenseoverskridende cyberknutepunkter som deltar på frivillig basis. Det europeiske cybersikkerhetsvarslingssystemet skal blant annet

1. bidra til bedre beskyttelse mot og respons på cybertrusler ved å støtte, samarbeide med og styrke kapasiteten til relevante enheter, særlig CSIRTs, CSIRTs-nettverket, EU-CyCLONe og kompetente myndigheter utpekt eller etablert i henhold til artikkel 8 nr. 1 i direktiv (EU) 2022/2555;
2. samle relevante data og informasjon om cybertrusler og hendelser fra ulike kilder innenfor de grenseoverskridende cybersentrene, og dele analyserte eller aggregerte opplysninger gjennom disse sentrene, der det er relevant også med CSIRTs-nettverket;
3. innhente og støtte produksjonen av høykvalitets, handlingsrettet informasjon og etterretning om cybertrusler, ved bruk av avanserte verktøy og teknologier, og dele slik informasjon og etterretning;
4. bidra til å styrke koordinert oppdagelse av cybertrusler og felles situasjonsforståelse på tvers av Unionen, samt til utsendelse av varsler, herunder, der det er relevant, ved å gi konkrete anbefalinger til berørte enheter;
5. tilby tjenester og aktiviteter for cybersikkerhetsmiljøet i Unionen, inkludert bidrag til utvikling av avanserte verktøy og teknologier, som kunstig intelligens og verktøy for dataanalyse.

Tiltak for gjennomføring av det europeiske cybersikkerhetsvarslingssystemet skal støttes med finansiering fra Digital Europe-programmet (DEP) og implementeres i samsvar med forordning (EU) 2021/694, særlig dets spesifikke mål nr. 3.

Norge har allerede besluttet deltagelse i et Nordisk-Baltisk cyberkonsortium (NBCC), hvor Nasjonal sikkerhetsmyndighet er utpekt som nasjonalt cyberknutepunkt i Norge. NBCC er et fellesprosjekt, koordinert av Danmark. Søknad på opprettelse av NBCC er godkjent med merknader av det europeiske kompetansesentereet for cybersikkerhet (ECCC). NBCC skal nå skal innlede tilskuddsforhandlinger med ECCC. For Norges del er det Nasjonal sikkerhetsmyndighet som har fått rollen som “National Security Operations Center (SOC)” eller “National Cyber Hub” i forbindelse med arbeidet i Nordisk-Baltisk cyberkonsortium. Dette tilsvarer rollen som cyberknutepunkt, jf. forordningen artikkel 4.

Artikkel 4 - Nasjonale cyberknutepunkter

Når en medlemsstat beslutter å delta i det europeiske cybersikkerhetsvarslingssystemet, skal den utpeke eller, der det er aktuelt, opprette et nasjonalt cyberknutepunkt for formålene i denne forordningen.

Et nasjonalt cyberknutepunkt skal være én enkelt enhet som handler under myndigheten til en medlemsstat. Det kan være et CSIRT eller, der det er aktuelt, en nasjonal myndighet for håndtering av cyberkriser eller annen kompetent myndighet utpekt eller opprettet i henhold til artikkel 8 nr. 1 i direktiv (EU) 2022/2555 (NIS2-direktivet), eller en annen enhet. Det nasjonale cyberknutepunktet skal:

1. ha kapasitet til å fungere som et kontaktpunkt og en inngangsport til andre offentlige og private organisasjoner på nasjonalt nivå for innsamling og analyse av informasjon om cybertrusler og hendelser, og bidra til et grenseoverskridende cyberknutepunkt som nevnt i artikkel 5; og
2. være i stand til å oppdage, aggregere og analysere data og informasjon som er relevante for cybertrusler og hendelser, slik som etterretning om cybertrusler, ved særlig bruk av avanserte teknologier, med mål om å forebygge hendelser.

Nasjonale cyberknutepunkter kan samarbeide med aktører i privat sektor for å utveksle relevante data og informasjon med sikte på å oppdage og forebygge cybertrusler og hendelser.

Artikkel 5 - Grenseoverskridende cyberknutepunkter

Når minst tre medlemsstater forplikter seg til å sikre at deres nasjonale cyberknutepunkter samarbeider om koordinering av aktiviteter knyttet til cybersikkerhetsdeteksjon og overvåking av trusler, kan disse medlemsstatene opprette et vertsbasert konsortium for formålene i denne forordningen.

Et vertsbasert konsortium skal bestå av minst tre deltakende medlemsstater som har avtalt å etablere og bidra til anskaffelse av verktøy, infrastruktur eller tjenester for, samt drift av, et grenseoverskridende cyberknutepunkt.

Etter artikkel 9 nr. 3 kan et vertsbasert konsortium pekes ut av det europeiske kompetansesenteret for cybersikkerhet (ECCC) til å delta i felles innkjøp av verktøy, infrastruktur og tjenester sammen med ECCC, og til å motta EU-midler fra DIGITAL-programmet. Når et vertsbasert konsortium er utpekt etter artikkel 9 nr. 3 stilles det krav om at medlemmene inngår en skriftlig konsortieavtale.

Et grenseoverskridende cyberknutepunkt skal samle de nasjonale cyberknutepunktene til medlemsstatene i det vertsbaserte konsortiet i en koordinert nettverksstruktur. Formålet er å styrke overvåking, deteksjon og analyse av cybertrusler, forebygge hendelser og støtte produksjon av etterretning om cybertrusler, særlig gjennom utveksling av relevante data og informasjon, anonymisert der det er hensiktsmessig, samt gjennom deling av avanserte verktøy og felles utvikling av kapasiteter for deteksjon, analyse, forebygging og beskyttelse i et tillitsbasert miljø.

Artikkel 6 - Samarbeid og informasjonsdeling i og mellom grenseoverskridende cyberknutepunkter

I artikkel 6 fastsettes regler for hvordan nasjonale cyberknutepunkter i et vertsbasert konsortium skal samarbeide og dele informasjon innenfor og mellom grenseoverskridende cyberknutepunkter. Medlemsstatene i et vertsbasert konsortium skal sikre at deres nasjonale cyberknutepunkter deler relevant informasjon (som trusselindikatorer, sårbarheter, angrepsmetoder og anbefalinger) med hverandre. Informasjonen skal anonymiseres der det er hensiktsmessig. Målet er å forbedre trusseldeteksjon, styrke CSIRT-nettverket og øke det generelle cybersikkerhetsnivået i EU.

Den skriftlige avtalen mellom medlemsstatene i konsortiet skal forplikte partene til å dele informasjon og angi vilkårene for deling, etablere en styringsstruktur som fremmer og belønner informasjonsdeling og sette mål for utvikling av avanserte verktøy og teknologier, som kunstig intelligens og dataanalyseverktøy.

Artikkel 9 - Finansiering av det europeiske cybersikkerhetsvarlingssystemet

På bakgrunn av utlysninger kan medlemsstater som ønsker å delta i det europeiske cybersikkerhetsvarslingssystemet utpekes av Det europeiske kompetansesenteret for industri, teknologi og forskning innen cybersikkerhet (ECCC) til å delta i felles anskaffelse av verktøy, infrastruktur eller tjenester for å etablere eller styrke kapasiteten til nasjonale cyberknutepunkter utpekt eller opprettet i henhold til artikkel 4 nr. 1. ECCC kan tildele tilskudd til de utvalgte medlemsstatene for å finansiere driften av slike verktøy, infrastruktur eller tjenester. Unionens finansielle bidrag skal dekke inntil 50 % av anskaffelseskostnadene og inntil 50 % av driftskostnadene. De utvalgte medlemsstatene skal dekke resterende kostnader. Før anskaffelsesprosedyren igangsettes, skal ECCC og de utvalgte medlemsstatene inngå en vertskaps- og bruksavtale som regulerer bruken av verktøyene, infrastrukturen eller tjenestene.

På tilsvarende måte kan ECCC velge et vertsbasert konsortium til å delta i felles anskaffelse av verktøy, infrastruktur eller tjenester. ECCC kan tildele tilskudd til konsortiet for å finansiere driften av disse. Unionens finansielle bidrag skal dekke inntil 75 % av anskaffelseskostnadene og inntil 50 % av driftskostnadene. Konsortiet skal dekke resterende kostnader. Før anskaffelsesprosedyren igangsettes, skal ECCC og konsortiet inngå en vertskaps- og bruksavtale som regulerer bruken av verktøyene, infrastrukturen eller tjenestene.

Artikkel 10 - Cyberberedskapsmekanisme

I artikkel 10 etableres det en mekanisme for cybersikkerhetsberedskap som skal forbedre Unionens motstandsdyktighet mot cybertrusler, samt forberedelse og håndtering av kortsiktige virkninger av betydelige cybersikkerhetshendelser, storskala cybersikkerhetshendelser og hendelser som tilsvarer storskala cybersikkerhetshendelser. Etter bestemmelsen skal tiltak under beredskapsmekanismen tilbys etter anmodning og supplere nasjonale tiltak.  

Tiltakene som gjennomfører mekanismen for cybersikkerhetsberedskap skal finansieres gjennom DIGITAL-programmet og via ECCC, med unntak av cybersikkerhetsreservern som gjennomføres av Kommisjonen og ENISA.

Artikkel 11 - Tiltakstyper

I artikkel 11 spesifiseres det nærmere hvilke typer tiltak som cyberberedskapsordningen skal støtte. Det kan være snakk om tiltak for beredskap, som inkluderer koordinert testing av beredskap og andre beredskapstiltak i utvalgte virksomheter omfattet av NIS2-direktivet. Videre kan det være snakk om tiltak som støtter respons og gjenoppretting etter hendelser og til tak som støtter gjensidig bistand etter artikkel 18.

Artikkel 14 - Etablering av EUs cybersikkerhetsreserve

I artikkel 14 etableres EUs cybersikkerhetsreserve. Reserven skal bistå med å håndtere, støtte responsen på og bidra til gjenoppretting etter hendelser. Reserven skal bestå av responstjenester fra pålitelige leverandører av administrerte sikkerhetstjenester, valgt i henhold til kriteriene fastsatt i artikkel 17(2). De som skal kunne anmode om bistand fra reserven er medlemsstatenes myndigheter for håndtering av cyberkriser og CSIRT-er etter NIS2-direktivet, CERT-EU og kompetente myndigheter som CSIRT-er og myndigheter for håndtering av cyberkriser i tredjeland tilknyttet DIGITAL-programmet.

Kommisjonen skal ha det overordnede ansvaret for gjennomføringen av EUs cybersikkerhetsreserve og bl.a. fastsette prioriteringer og utvikling av reserven i samråd med samarbeidsgruppen etter NIS2-direktivet. Det er likevel ENISA som vil ha ansvaret for drift og administrering av reserven.

Kommisjonen er gitt myndighet til å vedta delegerte rettsakter for å supplere forordningen med bestemmelser om reserven. 

Artikkel 15 - Anmodninger om støtte fra EUs cybersikkerhetsreserve

Artikkel 15 gir nærmere bestemmelser om anmodninger om støtte fra EUs cybersikkerhetsreserve. For å kunne motta støtte må man først ha iverksatt relevante tiltak for å redusere virkningene av hendelsen det anmodes om støtte for. Det er kontaktpunktet utpekt etter NIS2-direktivet som vil være ansvarlig for å anmode om støtte.

Kommisjonen kan gi gjennomføringsrettskater med prosedyrer for anmodninger om bistand fra reserven.

Artikkel 21 - Europeisk mekanisme for gjennomgang av cybersikkerhetshendelser

I artikkel 21 etableres det en europeisk mekanisme for gjennomgang av cybersikkerhetshendelser. En slik gjennomgang gjøres etter anmodning fra enten Kommisjonen eller EU-CyCLONe og av ENISA. Berørte medlemsstater må godkjenne at det gjøres en slik gjennomgang.

Gjennomgangen resulterer i en rapport utarbeidet av ENISA som skal inneholde en vurdering og analyse av den spesifikke betydelige eller storskala cybersikkerhetshendelsen, inkludert hovedårsaker, kjente utnyttbare sårbarheter og lærdommer. ENISA skal sikre at rapporten er i samsvar med EU- eller nasjonal lovgivning om beskyttelse av sensitiv eller klassifisert informasjon. Dersom de berørte medlemsstatene eller andre brukere nevnt i artikkel 14(3) ber om det, skal data og informasjon i rapporten anonymiseres. Rapporten skal ikke inneholde detaljer om aktivt utnyttede sårbarheter som fortsatt ikke er utbedret. ENISA kan publisere en offentlig tilgjengelig versjon av gjennomgangsrapporten. Denne versjonen skal kun inneholde pålitelig offentlig informasjon, eller annen pålitelig informasjon med samtykke fra de berørte.

Merknader
Rettslige konsekvenser

Ved å ta forordningen inn i EØS-avtalen og nasjonal rett oppstår det ikke en forpliktelse for medlemsstatene til å etablere nasjonale cyberknutepunkter eller til å delta i grenseoverskridende cyberknutepunkter. EFTA-sekretariatet har lagt til grunn at forordningen kan inkorporeres i EØS-avtalen vedlegg XI. Endelig plassering er fortsatt til vurdering. 

Det påpekes likevel at dersom det besluttes etablert nasjonale cyberknutepunkter eller deltakelse i grenseoverskridende cyberknutepunkter vil dette kunne få rettslige konsekvenser. Flere av oppgavene disse knutepunktene er forutsatt å skulle ivareta etter forordningens artikkel 4 og 5 kan være av en slik karakter at de etter sitt innhold vil kreve særskilt regulering i nasjonal rett. For eksempel er det en del bestemmelser som forutsetter deling av opplysninger i forbindelse med hendelseshåndtering. Videre forutsetter artikkel 12 nr. 7 at den ansvarlige myndigheten har hjemmel til å revidere virksomhetens oppfølging av tiltak. Det er mulig at den nasjonale lovgivningen vi nå har på dette området gjennom digitalsikkerhetslov- og forskrift er tilstrekkelig, men dette bør vurderes nærmere. 

Økonomiske og administrative konsekvenser

Cybersolidaritetsforordningen øker ikke det samlede nivået av økonomiske forpliktelser under programmet for et digitalt Europa (DIGITAL). Bidraget til cybersolidaritetsforordningen fra DIGITAL vil skje i form av en omfordeling av midler fra de andre programområdene til cybersikkerhetsdelen av DIGITAL.

Dersom forordningen tas inn i EØS-avtalen vil det som nevnt ikke automatisk oppstå en forpliktelse til å etablere et nasjonalt cyberknutepunkt, delta i utlysninger under DIGITAL eller til å delta i et grenseoverskridende cyberknutepunkt. Dersom vi ønsker å etablere et nasjonalt cyberknutepunkt, vil de økonomiske og administrative konsekvensene bero på ambisjonsnivået og graden av ønsket om integrasjon på EU-nivå innen cybersikkerhet. Deltakelse i det europeiske nettverket av cyberknutepunkter forutsetter imidlertid at det er utpekt, eller etablert et nasjonalt cyberknutepunkt, jf. artikkel 4. Dersom en medlemsstat deltar i utlysninger om DIGITAL-midler til opprettelse eller styrking av sitt nasjonale cyberknytepunkt, og mottar slike midler, oppstår det en forpliktelse til å også delta i et grenseoverskridende cyberknutepunkt.

Deltakelse i utlysninger under DIGITAL skjer i form av en medfinansieringsmekanisme. Til etablering og styrking av sine nasjonale cyberknutepunkter kan medlemsstater få dekket 50% av kostnadene forbundet med innkjøp av utstyr, infrastruktur og tjenester, og 50% av kostnadene forbundet med driften av cyberknytepunktet.

Ved etablering av et grenseoverskridende cyberknytepunkter etableres det et vertskapskonsortium (Hosting Consortium) som også kan motta midler fra DIGITAL. Et vertskapskonsortium kan motta opptil 75% av kostnadene forbundet med innkjøp av utstyr, infrastruktur og tjenester, og 50% av driftskostnadene.

Selv om forordningen ikke oppstiller dette som et krav, vil en reell forutsetning for full utnyttelse av tiltakene i cybersikkerhetsforordningen, være at det settes av midler i statsbudsjettet til å støtte den delen av kostnadene som ikke dekkes av DIGITAL. Dette er imidlertid vurderinger som må gjøres når det eventuelt er snakk om å etablere et nasjonalt cyberknytepunkt eller delta i et grenseoverskriftende cyberknutepunkt, og har ikke direkte betydning for om forordningen kan tas inn i EØS-avtalen og norsk rett.

Sakkyndige instansers merknader

[EØS-notatet har vært forelagt spesialutvalget for kommunikasjoner.]

Vurdering

Forordningen er ikke merket som EØS-relevant. Forordningen er imidlertid nært knyttet til NIS2-direktivet, og har som mål å utfylle cybersikkerhetslovgivningen som allerede er innlemmet i EØS-avtalen, inkludert cybersikkerhetsforordningen og forordningen om etablering av kompetansesenteret for cybersikkerhet (ECCC). Kjerneaktivitetene til forordningen, herunder det europeiske cybersikkerhetsvarslingssystemet og cyberberedskapsmekanismen, vil bli støttet av DIGITAL. Også ulike beredskapshandlinger som koordinert testing for potensielle sårbarheter i kritiske enheter, vil bli implementert gjennom tilskudd administrert av ECCC.

Rettsakten vurderes derfor EØS-relevant og akseptabel. Ved innlemmelse i EØS-avtalen bør det vurderes om det er behov for tilpasninger som reflekterer to-pilarstrukturen i EØS-avtalen gjennom at EØS/EFTA-institusjoner får en rolle i den europeiske mekanismen for gjennomgang av cybersikkerhetshendelser. 

Norge har besluttet deltagelse i et Nordisk-Baltisk cyberkonsortium. Formålet er å øke det operative samarbeidet blant nordiske og baltiske land (jf. tiltak i Totalberedskapsmeldingen). Nordiske og baltiske land står overfor lignende cybertrusler, har en del delt infrastruktur og er utsatt for grenseoverskridende cyberangrep. En sterk regional deteksjon av cybertrusler gjennom deling av data, bruk av cybertrusseletterretning og analysekapasitet vil være til fordel for myndigheter, bedrifter og innbyggere i regionen. Opprettelsen av det nordisk-baltiske cyberkonsortiet (NBCC) vil styrke båndene mellom landene og mellom offentlige og private cybersikkerhetsorganisasjoner for å styrke beskyttelsen av regionens kritiske infrastruktur, forbedre vår kollektive cybersikkerhetskunnskap, gi nye insentiver for informasjonsdeling og på sikt øke innovasjonen innen den regionale cybersikkerhetsbransjen. NBCC er et fellesprosjekt, koordinert av Danmark. Med kontor i København og et nettverk av nasjonale analytikere i deltakerlandene, har NBCC som mål å bringe sammen offentlige og private CERTer og selskaper som opererer innenfor kritisk infrastruktur. For Norges del er det Nasjonal sikkerhetsmyndighet som er utpekt som nasjonalt cyberknutepunkt, jf. forordningen artikkel 4.

Innholder informasjon unntatt offentlighet, jf. offl. § 20

Status

Forslaget ble publisert 18. april 2023 og forordningen ble vedtatt 19. desember 2024.