EU-byrået ENISA og europeisk cybersikkerhet

Tittel

Europaparlaments- og rådsforordning (EU) 2019/881 av 17. april 2019 om ENISA (EUs cybersikkerhetsbyrå), om cybersikkerhetssertifisering av informasjons- og kommunikasjonsteknologi, og om oppheving av forordning (EU) 526/2013 (forordningen om cybersikkerhet)

Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA (the European Union Agency for Cybersecurity) and on information and communications technology cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act)

Siste nytt

Europaparlaments- og rådsforordning publisert i EU-tidende 7.6.2019

Nærmere omtale

BAKGRUNN (fra departementets EØS-notat, sist oppdatert 3.12.2019

Sammendrag av innhold
Forordningen gjennomføres som en konsekvens av global digitalisering og økt risiko for cybersikkerhetshendelser. Forordningen innebærer at ENISA får et styrket budsjett, flere ansatte og et styrket og permanent mandat og vil dermed spille en større rolle i EUs cybersikkerhetslandskap. ENISA vil med et permanent mandat ivareta rollen som Den Europeiske Unions Byrå for Cybersikkerhet (the European Union Agency for Cyber Security). ENISA skal etter anmodning kunne bistå medlemslandene med grenseoverskridende hendelseshåndtering, herunder blant annet rådgivning, analyse og tekniske undersøkelser. ENISA skal også særlig bistå og legge til rette for medlemslandenes kapasitetsutbygging, operasjonelt samarbeid og forskning og utvikling.

Forordningen etablerer også et felleseuropeisk rammeverk for frivillig sertifisering av IKT-produkter, tjenester og prosesser (Definert i artikkel 2 nr. 12,13 og 14). ENISA får også viktige oppgaver i forbindelse med å utvikle og administrere dette rammeverket. Forordningen setter i denne sammenheng også et krav om at medlemslandene skal etablere tilsynsmyndigheter og andre roller for sikkerhetssertifisering.

Bakgrunn og formål
I forbindelse med EU-kommisjonens president Jean-Claude Junckers State of the Union-tale 13. september 2017 presenterte EU-kommisjonen, i samarbeid med EUs representant for utenrikssaker og sikkerhetspolitikk, en felles kommunikasjon om EUs arbeid med digital sikkerhet. Her ble kommisjonens «Cyber Security package» lansert med konkrete tiltak for å møte trusselbildet.

EU-kommisjonen har slått fast at EU står overfor betydelige digitale sikkerhetsutfordringer. Kommisjonen viste til at antallet utpressingssaker økte med 300% mellom 2015 og 2017. Det er også vist til at de økonomiske konsekvensene av IKT-kriminalitet ble femdoblet fra 2013 til 2017, og at de kan ytterligere firedobles innen 2019. Undersøkelser synes å vise at befolkningen flere steder i verden anser at IKT-angrep fra andre stater er blant de største truslene mot nasjonal sikkerhet.

Formålet med denne forordningen er å sikre et velfungerende indre marked med et høyt nivå av cybersikkerhet, motstandsdyktighet og tillit i EU. Dette skal oppnås ved å fastsette mål, oppgaver og organisatoriske forhold for EUs Cybersikkerhetsbyrå (ENISA), samt etablere et felleseuropeisk rammeverk for sikkerhetssertifisering av IKT-produkter, tjenester og prosesser. (jf. artikkel 1).

Forordningen inngår som et element i EUs digitaliseringsstrategi, som har som formål å stimulere til økonomisk vekst og øke EUs konkurransekraft. Forordningen gir ENISA en sterkere og mer sentral rolle ved at de skal understøtte medlemslandenes gjennomføring av direktiv (EU) 2016/1148 (NIS-direktivet), og ved å motvirke trusler på en mer aktiv måte.

I dette EØS-posisjonsnotatet benyttes begrepene "IKT-sikkerhet", «digital sikkerhet» og "cybersikkerhet" synonymt.

Forordningens innhold

AVSNITT 1 – GENERELLE BESTEMMELSER

Generelle bestemmelser og definisjoner følger av artikkel 1 og 2.

Av artikkel 1 fremgår forordningens formål. Formålet er å sikre et velfungerende indre marked og å oppnå et høyt nivå av cybersikkerhet, motstandsdyktighet og tillitt innad i EU. Dette skal oppnås ved å:

1. fastsette mål, oppgaver og organisatoriske forhold for ENISA,

2. etablere et rammeverk for opprettelse av europeiske cybersikkerhetssertifiseringsordninger, som igjen har to formål:

a. å sikre et tilstrekkelig sikkerhetsnivå for IKT-produkter, -tjenester og –prosesser i EU

b. å unngå fragmentering av det indre marked med hensyn til cybersikkerhetsertifiseringsordninger i EU.

Cybersikkerhetssertifiseringsrammeverket kommer til anvendelse uten at det berører andre spesifikke EU-rettsakter som omhandler frivillig eller obligatorisk sertifisering.

Forordningen berører ikke medlemsstatenes kompetanse med hensyn til aktiviteter vedrørende offentlig sikkerhet, forsvar, statssikkerhet og innenfor det strafferettslige området.

Av artikkel 2 fremgår en rekke definisjoner hvor flere viser til begrep som er definert i NIS-direktivet. Det vises også til definisjoner som benyttes i forordning om akkrediterings- og markedstilsynskrav i forbindelse med markedsføring av produkter (EF) 765/2008.

AVSNITT 2 – ENISA (Den Europeiske Unions Byrå for Cybersikkerhet)

Kapittel I – Mandat og formål

ENISA (European Network and Information Security Agency) ble opprettet i 2004 og har siden opprettelsen hatt et midlertidig mandat for sitt arbeid. Utfordringen med et tidsavgrenset mandat er at det gir begrensede muligheter for langsiktig planlegging og bæredyktig støtte til EUs medlemsland. Et midlertidig mandat er ikke i tråd med NIS-direktivet som gir ENISA oppgaver av permanent karakter. Et midlertidig mandat underbygger heller ikke EUs visjon for IKT-sikkerhetsområdet.

I 2017 ble det gjennomført en evaluering av ENISA på måloppnåelse og oppgaveløsning. Resultatet var positivt og konkluderte med at byrået i all hovedsak har nådd sine mål og løst sine oppgaver tilfredsstillende. Evalueringen pekte på enkelte utfordringer, bl.a. at ENISA har et bredt mandat, men at det er begrensede finansielle og menneskelige ressurser. Kommisjonen har vedtatt å gi ENISA et permanent og styrket mandat, jf. art. 3.

ENISA skal utføre oppgavene de pålegges gjennom denne forordningen, det vil si primært støtte medlemslandene, EU-institusjonene, organene, kontorene og byråene til å forbedre cybersikkerheten, og gjennom dette oppnå sitt hovedformål, å oppnå et felles høyt cybersikkerhetsnivå i EU. ENISAs oppgaver følger også av andre rettsakter som vedrører cybersikkerhet, blant annet NIS-direktivet.

ENISAs oppgaver skal utføres for å sørge for en ensartet gjennomføring av relevante rettslige rammer, med særskilt henvisning til en effektiv gjennomføring av NIS-direktivet. ENISA skal handle uavhengig når de utfører sine pålagte oppgaver, og ta hensyn til medlemsstatenes ekspertise og unngå overlapping av medlemsstatenes aktiviteter.

Målene for ENISAs arbeid (jf. art. 4):

Byrået skal

- være et ekspertisesenter og bistå i EU-kommisjonens arbeid med digital sikkerhet.

- bistå EU og EUs institusjoner og medlemsland med å utvikle og gjennomføre EU-strategier for digital sikkerhet, herunder også sektorspesifikke strategier.

- støtte kapasitetsbygging og beredskap ved å bistå EU, EUs institusjoner, medlemslandene og offentlige og private interessenter, for å øke egenbeskyttelsen av nettverks- og informasjonssystemer, forbedre cyberresiliens og responskapasiteter og utvikle ferdigheter og kompetanse innenfor digital sikkerhet.

- fremme samarbeid, informasjonsutveksling og koordinering mellom medlemsland, Unionen, Unionens institusjoner og relevante interessenter, herunder privat sektor, om saker knyttet til cybersikkerhet.

- bidra til å øke cybersikkerhetskapabiliteter på EU-nivå for å støtte medlemslandenes tiltak for å forebygge og håndtere cybertrusler, særlig i grenseoverskridende cyberhendelser.

- fremme bruken av Europeisk cybersikkerhetssertifisering, bl.a. ved å bidra til etablering og vedlikehold av et felleseuropeisk rammeverk for sikkerhetssertifisering, for å øke transparens og verifisering av IT-produkter, tjenester og prosesser med formål om å styrke tilliten til og unngå fragmentering av det digitale indre marked.

- bidra til økt kunnskap og kompetanse om cybersikkerhet, herunder cyberhygiene og cyberferdigheter, for både privatpersoner og virksomheter.

Kapittel II Oppgaver:

1) Policyutvikling og lovregulering (jf. art. 5)

ENISA får i oppgave å bidra proaktivt i policyutvikling og lovgivning for cybersikkerhetsfeltet, samt til andre politiske initiativ med cybersikkerhetselementer innenfor ulike sektorer (f.eks. energi, transport og finans). ENISA får i denne sammenheng en styrket rådgivende rolle, da i form av uavhengige vurderinger, analyser og forarbeider til policy- og lovutvikling. ENISA skal også støtte medlemslandene med implementeringen av NIS-direktivet, hvis formål er å etablere et høyt felles sikkerhetsnivå for nett- og informasjonssikkerhet innenfor en rekke samfunnsviktige sektorer (energi, transport, finans, helse, vannforsyning, IKT-infrastruktur osv.). Dette innebærer blant annet å bistå medlemslandene med å oppnå en ensartet gjennomføring av direktivet på tvers av grenser og sektorer ved å utstede uttalelser, retningslinjer, beste praksis mv. Tilsvarende skal ENISA støtte arbeidet i NIS-samarbeidsgruppen (NIS-direktivet artikkel 11), som har som oppgave å støtte medlemslandene i implementeringen av NIS-direktivet samt understøtte strategisk samarbeid og erfaringsutveksling mellom medlemslandene.

ENISA skal understøtte utvikling og gjennomføring av policyer innen elektronisk kommunikasjon og tillitstjenester og fremme et høyere sikkerhetsnivå i elektronisk kommunikasjon gjennom rådgivning og ved å utgi tekniske retningslinjer, samt fremme utveksling av beste praksis mellom kompetente myndigheter.

ENISA skal også understøtte en jevnlig gjennomgang av EUs aktiviteter og avgi årlige rapporter, basert på innrapporteringer, på status og etterlevelse av EU-policy og -regulering, jf. art. 10(3) i NIS-direktivet, art. 19(3) i forordning om eID og elektroniske tilleggstjenester og art. 40 i ekomkodeksen

2) Kapasitetsbygging (jf. art. 6)

ENISA får i oppgave å bidra til å øke EUs og de nasjonale offentlige myndigheters kapasitet og ekspertise til å forebygge, detektere og analysere hendelser blant annet gjennom å bistå med utvikling av nasjonale strategier for cybersikkerhetsområdet, tilby kurs, fremme samarbeid og informasjonsutveksling, og støtte CERT-EU (EUs Computer Emergency Response Team) i deres arbeid, og bidra i etableringen av ulike lands nasjonale CSIRT'er (Computer Security Incident Response Team). I denne forbindelse vil ENISA tilrettelegge for cybersikkerhetsøvelser på EU-nivå minimum annethvert år.

ENISA skal særlig støtte informasjonsutveksling i og mellom sektorer oppført i NIS-direktivets vedlegg II ved å stille til rådighet beste praksis og prosedyrer.

Byrået skal også bidra i etableringen av sentrene for informasjonsutveksling og analyse (ISAC'er) innen ulike sektorer ved å stille til rådighet beste praksis og veiledning i tilgjengelige verktøy og prosedyrer.

3) Operasjonelt samarbeid på EU nivå(jf. art. 7)

Etter forordningen får ENISA myndighet til å støtte det operasjonelle samarbeidet på tvers av Unionen og på tvers av medlemslandene, herunder i CSIRT-nettverket (bestående av medlemslandenes CSIRT’er (iht NIS-direktivet)). I den forbindelse inngår ENISA i et strukturert samarbeid med CERT-EU for å utnytte synergier og unngå overlapp av aktiviteter. ENISA skal også ivareta sekretariatsfunksjon for CSIRT-nettverket.

ENISA skal støtte medlemslandene i det operasjonelle samarbeidet innen CSIRT-nettverket med generell rådgivning om forebygging, deteksjon og håndtering, eventuelt etter anmodning også knyttet til spesifikke hendelser. På anmodning fra et eller flere berørte medlemsland, og med formål om å skulle levere rådgivning om forebygging av fremtidige hendelser, vil ENISA kunne gi støtte til eller utføre en påfølgende teknisk undersøkelse av hendelser med betydelig eller vesentlig virkning i henhold til NIS-direktivet.

ENISA skal legge til rette for regelmessige cybersikkerhetsøvelser annet hvert år.

ENISA vil også få i oppgave å regelmessig utarbeide en teknisk EU-cybersikkerhetsrapport, i nært samarbeid med medlemslandene om hendelser og trusler. Dette skal være basert på offentlig tilgjengelig informasjon, ENISAs egne analyser og rapporter, som på frivillig basis deles av bl.a. medlemslandenes CSIRTer eller NIS-direktivets sentrale kontaktpunkter, jf. art. 14(5) i NIS-direktivet, Det Europeiske senter for bekjempelse av cyberkriminalitet (EC3) hos Europol eller CERT-EU.

Ved større såkalte "grenseoverskridende cybersikkerhetshendelser eller -kriser", og med formål om å fremme operasjonelt samarbeid, får ENISA myndighet til å: a) sammenstille rapporter fra nasjonale kilder for å skape felles situasjonsforståelse, b) sikre effektiv informasjonsflyt og sørge for at det er eskaleringsmekanismer på plass mellom CSIRT-nettverket og de tekniske og politiske beslutningstagere på EU-nivå, c) etter anmodning støtte teknisk håndtering av en hendelse, inkludert frivillig deling av tekniske løsninger mellom medlemslandene, d) støtte kommunikasjon til offentligheten/publikum om en hendelse, og e) teste samarbeidsplaner for håndtering av slike hendelser.

4) Oppgaver relatert til markedet, cybersikkerhetssertifisering, og standardisering (jf. art. 8)

ENISA får i oppgave å understøtte det indre marked, ved å analysere utviklingstendenser innenfor cybersikkerhetsmarkedet, og ved å understøtte EUs policyutvikling for IKT-standardisering og IKT-sikkerhetssertifisering. Detaljer om sertifiseringsordningen følger lenger ned i teksten.

5) Oppgaver relatert til kunnskap og kompetansebygging (jf. art. 9)

ENISA skal være EUs informasjonsknutepunkt vedr. nett- og informasjonssikkerhet. Det innebærer å fremme og utveksle beste praksis og initiativer på tvers av EU. Byrået skal stille til rådighet rådgivning, veiledning og beste praksis vedrørende sikkerheten i kritiske infrastrukturer. ENISA skal i samarbeid med nasjonale myndigheter og relevante interessenter gi råd og veiledning knyttet til sikkerhet i nett- og informasjonssystemer særlig knyttet til sikkerhet i de infrastrukturer som understøtter sektorer under NIS-direktivet, og tilbydere av digitale tjenester som omfattes av nevnte direktiv. Etter en vesentlig grenseoverskridende hendelse skal ENISA dessuten få i oppgave å utarbeide rapporter for å gi veiledning til virksomheter og borgere i hele EU på bakgrunn av den aktuelle hendelsen.

6) Oppgaver relatert til bevisstgjøring og utdannelse (jf. art. 10)

ENISA skal bevisstgjøre offentligheten om risiko forbundet med cybersikkerhet og drive målrettet veiledning mot brukere, organisasjoner og virksomheter om blant annet cyberhygiene og cyberferdigheter. Byrået skal i samarbeid med medlemslandene etterstrebe økt bevissthet og fremme utdannelse, gjennom opplysningskampanjer og tilretteleggelse for offentlig debatt.

7) Oppgaver relatert til forskning og innovasjon (jf. art. 11)

ENISA skal med sin ekspertise rådgi EU og nasjonale myndigheter i forskningsbehov og prioriteringer for cybersikkerhetsområdet. ENISA vil også der Kommisjonen har gitt nødvendig bemyndigelse, delta i gjennomførelsen av EUs finansieringsprogram for forskning og innovasjon på cybersikkerhetsområdet. ENISA skal bidra til den strategiske forsknings- og innovasjonsdagsordenen i EU innen cybersikkerhet.

8) Oppgaver relatert til internasjonalt samarbeid (jf. art. 12)

ENISA skal bidra til EUs innsats for å fremme internasjonalt samarbeid på cybersikkerhetsfeltet ved å delta som observatør og i tilretteleggelsen av internasjonale øvelser. ENISA skal, på anmodning fra Kommisjonen, fremme utveksling av beste praksis mellom relevante internasjonale organisasjoner - samt stille ekspertise til rådighet for Kommisjonen, og rådgi og støtte Kommisjonen i spørsmål knyttet til avtaler om gjensidig anerkjennelse av cybersikkerhetsattester med tredjeland i samarbeid med ECCG jf. art 62.

Kapittel III - Organisasjon:

Artikkel 13 til 23 omhandler organiseringen av byrået og beskriver ansvar, myndighet og organiseringen av arbeidet som tilligger "Management Board", "Executive Board" og "Executive Director". Dette er i stor grad samsvarende med den organiseringen som følger av denne forordnings forløper (EU) 526/2013.

En ENISA-rådgivningsgruppe og et nettverk av nasjonale forbindelsesoffiserer (National Liaison Officers Network) opprettes som en del av ENISAs struktur etter denne forordningen jf. artikkel 13 bokstav d og e, jf., artikkel 21.

ENISAs rådgivingsgruppe blir bredt sammensatt etter forslag fra administrerende direktør, og skal rådgi ENISA med hensyn til hvordan ENISA skal utføre sine oppgaver, med unntak av denne forordnings kapittel III.

Det opprettes også en «Cybersikkerhetssertifiseringsgruppe for Interessenter» med medlemmer valgt av Kommisjonen etter forslag fra ENISA, jf. artikkel 22. Gruppen skal blant annet rådgi Kommisjonen om strategiske spørsmål knyttet til det europeiske rammeverket for cybersikkerhetssertifisering, rådgi og bistå ENISA om utførelse av ENISAs oppgaver.

Artikkel 24 til 28 omhandler bestemmelser knyttet til ENISAs drift og forvaltning.

Kapittel IV - Budsjett

Artikkel 29 til 33 tar for seg budsjett, regler for finansiering og hvordan man skal motarbeide bedrageri.

Kapittel V - Personale

Artikkel 34 til 37 omhandler ENISAs ansatte.

Kapittel VI - Generelle bestemmelser om ENISA

Artikkel 38 til 45 tar for seg generelle bestemmelser relatert til ENISAs juridiske status og ansvar, språkordninger, beskyttelse av personopplysninger, samarbeid med tredjeland og internasjonale organisasjoner og sikkerhetsregler for behandling av gradert og sensitiv ugradert informasjon osv.

AVSNITT 3 RAMMEBETINGELSER FOR CYBERSIKKERHETSSERTIFISERING

Forordningen inneholder et nytt regelverk for sikkerhetssertifisering av IKT-produkter, tjenester og prosesser jf. artikkel 46 flg.

Noe av bakgrunnen for dette er at trusselbildet og økningen av IKT-kriminalitet har fremtvunget ulike nasjonale sertifiseringsregelverk. Konsekvensen er bl.a. fragmenterte og lite hensiktsmessige ordninger som ikke samspiller effektivt inn mot EUs indre marked (interoperabilitetsutfordringer).

Målet med et felleseuropeisk regelverk er å fremme IKT-sikkerhet som et konkurransefortrinn og bidra til forbrukernes tillit til IKT-produktene, samtidig som IKT sikkerhetsnivået blir hevet. Et felles regelverk vil også kunne redusere sertifiseringskostnader. Initiativet supplerer og støtter også gjennomførelsen av NIS-direktivet ved å gi de virksomheter som er omfattet av direktivet et verktøy for å påvise etterlevelse av direktivet for hele EU. Forordningen innfører ikke direkte operasjonelle sertifiseringsordninger, men etablerer et rammeverk av regler for innførelse av spesifikke europeiske sertifiseringsordninger for IKT-produkter, tjenester og prosesser, som blir utarbeidet etter forslag fra ENISA og vedtatt ved "gjennomførelsesrettsakter" fra Kommisjonen (beskrevet lenger ned).

En cybersikkerhetssertifiseringsordning vil i henhold til forordningen attestere at IKT-produktene, tjenestene og prosessene som er sertifisert i overensstemmelse med ordningen og oppfyller fastsatte sikkerhetskrav. For eksempel hva gjelder beskyttelsesevne mot kompromittering, tilgjengelighet, autentisering, integritet og konfidensialitet av de data som oppbevares eller behandles i produktet, tjenesten eller prosessen. De europeiske sertifiseringsordningene vil ikke selv utvikle tekniske standarder, men benytte eksisterende standarder om tekniske krav og evalueringsprosedyrer som produktene skal overholde. Sertifiseringsordningene skal utformes slik at de, basert på relevans for den aktuelle prosess, produkt- eller tjenestegruppen, tar hensyn til flere sikkerhetsmål, (jf. art. 51), herunder:

- Beskytte data mot utilsiktet eller uautorisert lagring, behandling eller offentliggjøring, og beskytte data mot utilsiktet eller uautorisert ødeleggelse, tap eller endring, i hele IKT-produktet, tjenesten eller prosessens levetid.

- Sikre at kun autoriserte personer, programmer eller maskiner har adgang til dataene, herunder bl.a. gjennom tilstrekkelig logging av type data og hvilke handlinger som er utført.

- Verifisere at IKT-produkter, tjenester eller prosesser ikke inneholder kjente sårbarheter, og at disse er sikre som følge av standardinnstillinger og innebygget sikkerhet.

- Sikre tilgjengelighet og tilgang til data (restore) ved tilfeller av fysiske eller tekniske hendelser.

- Sikre at IKT-produkter og -tjenester innehar ajourført software og hardware fri for kjente sårbarheter, samt er gitt mekanismer for sikker oppdatering.

Videre innebærer forordningens bestemmelser at ordningene skal fastsette flere spesifikke elementer knyttet til omfang og innhold i cybersikkerhetssertifiseringen, jf. art. 54. Det omfatter bl.a. valg av aktuelle IKT-produkter,–tjenester og prosesser, spesifisering av cybersikkerhetskrav (f.eks. med henvisning til relevante standarder eller tekniske spesifikasjoner), evalueringskriterier og -metoder og det tillitsnivået de er ment å garantere, herunder grunnleggende, betydelig eller høyt, jf. art. 52. For tillitsnivået «grunnleggende» vil det i en sertifiseringsordning også kunne åpnes for en forenklet prosedyre med selvvurdering, jf. art. 53.

Tilbydere av sertifiserte IKT-produkter, tjenester eller prosesser skal også offentliggjøre enkelte supplerende opplysninger, herunder veiledninger, anbefalinger for å bistå sluttbrukere med sikker konfigurasjon drift og vedlikehold mv. Det skal angis hvor lenge det tilbys sikkerhetsstøtte og det skal gjøres mulig for sluttbruker å orientere seg om sårbarheter samt å kunne melde om sårbarheter de selv oppdager.

Det skal være frivillig å benytte seg av sertifiseringsregelverket. Kommisjonen vil imidlertid regelmessig vurdere effekten og anvendelsen av de vedtatte sertifiseringsordningene, og hvorvidt en ordning skal gjøres obligatorisk gjennom EU-retten. Den første vurderingen av en sertifiseringsordning skal gjøres senest innen utløpet av 2023. På bakgrunn av evalueringen og etter en nærmere prosess identifiseres hvilke IKT-produkter, tjenester og prosesser som bør omfattes av eventuelle obligatoriske ordninger, herunder vil Kommisjonen prioritere de sektorer som omfattes av NIS-direktivets vedlegg II jf. art 56.

Om forberedelse og vedtakelse av sertifiseringsordninger:

Kommisjonen skal offentliggjøre et «rullende arbeidsprogram» for europeisk cybersikkerhetssertifisering som peker ut strategiske prioriteringer for fremtidige cybersikkerhetssertifiseringsordninger. Arbeidsprogrammet skal omfatte en oversikt over produkter, tjenester og prosesser som bør omfattes av en ordning, basert på bl.a. hvilke ordninger som eksisterer, etterspørsel i markedet, utvikling i cybertrussebildet mv.

Forordningen legger opp til at de europeiske sertifiseringsordningene skal utarbeides av ENISA primært etter anmodning fra kommisjonen basert på kommisjonens arbeidsprogram, jf. art. 48. Utarbeidelse skal skje med bistand fra og i tett samarbeid med den Europeiske Cybersikkerhetssertifiserings gruppen (ECCG) jf. art 49. ECCG opprettes etter forordningens artikkel 62, og skal fungere som et ekspertorgan sammensatt av representanter for nasjonale sertifiseringsmyndigheter.

Kommisjonen vedtar sertifiseringsordningene ved hjelp av gjennomføringsrettsakter, jf. art. 49 og etter en bred prosess. De ulike ordningene skal publiseres på en webside drevet av ENISA, jf. art. 50.

Om cybersikkerhetssertifisering:

Når en europeisk cybersikkerhetssertifiseringsordning har blitt vedtatt kan produsenter og tilbydere av IKT-tjenester søke sertifisering for deres produkter, tjenester eller prosesser. Sertifiseringen er i henhold til forordningen frivillig, med mindre annet blir fastsatt jf. omtale av art. 56 over.

Sertifisering og utstedelse av cybersikkerhetsattest skal utføres av etterlevelsesorganer (conformity assessment bodies) som er akkreditert til å utføre sertifiseringer primært for tillitsnivåene «grunnleggende» og «betydelig» jf. art. 56 nr. 4. For tillitsnivået «høyt» er det primært en nasjonal cybersikkerhetssertifiseringsmyndighet som utsteder sertifikatet. Hvordan dette gjøres beror på hvordan sertifiseringsordningen er utformet. Akkrediteringen av etterlevelsesorgan utføres av nasjonale akkrediteringsorganer som er utpekt i henhold til forordning (EF) nr. 765/2008 om krav til akkreditering og markedsovervåkning i forbindelse med markedsføring av produkter. I medhold av lov 12. april 2013 nr. 13 om det frie varebytte i EØS (EØS-vareloven) § 3 første ledd er Norsk Akkreditering pekt ut som nasjonalt akkrediteringsorgan i Norge. Forordningen åpner for at man kan fastsette i en sertifiseringsordning at sertifiseringen i godt begrunnede tilfeller skal foretas av et offentlig organ jf. art. 56 (4), (5) og (6), jf. art. 60.

Nasjonale tilsynsmyndigheter skal for hver europeisk sertifiseringsordning orientere Kommisjonen om akkrediterte etterlevelsesorganer. Kommisjonen vil på bakgrunn av dette, og innen et år etter ikrafttredelsen, offentliggjøre en liste over innmeldte etterlevelsesorganer. Cybersikkerhetsattestene utstedes for den perioden som er fastsatt for den enkelte sertifiseringsordning, og vil kunne forlenges såfremt kravene fortsatt er oppfylt. En europeisk cybersikkerhetsattest skal anerkjennes i alle medlemsland, jf. art. 56 (10).

Om nasjonale ordninger og myndigheter:

Etter artikkel 57 vil nasjonale sertifiseringsordninger som allerede er omfattet av en europeisk sertifiseringsordning opphøre fra det tidspunkt det fastsettes i en gjennomføringsrettsakt som etablerer en ny ordning etter artikkel 49. Selv om en ordning opphører, vil utstedte attester gjelde til utløpsdato. Nasjonale sertifiseringsordninger som ikke er omfattet av en europeisk cybersikkerhetssertifiseringsordning vil fortsatt bestå.

Medlemslandene må heller ikke vedta nye nasjonale sertifiseringsordninger for IKT-produkter, tjenester og prosesser som allerede er omfattet av en europeisk ordning.

Med hensyn på å unngå fragmentering av det indre marked, skal medlemslandene meddele initiativ til å opprette nye nasjonale ordninger til Kommisjonen og ECCG.

Forordningen innebærer at det må utpekes minst én myndighet i hvert land som kan føre tilsyn med sertifiseringen, herunder at etterlevelsesorganene overholder regelverket, at de attester som organene har utstedt er i overenstemmelse med kravene som følger av forordningen og at de er i henhold til den europeiske cybersikkerhetssertifiseringsordningen mv.

Den nasjonale myndigheten skal være uavhengig av de enheter den fører tilsyn med, og medlemslandene skal sikre at nasjonale sertifiseringsmyndigheters aktiviteter vedrørende utstedelse av sertifiseringsattester etter art. 56 (5a) og (6) er strengt adskilt fra sine tilsynsaktiviteter etter art. 58.

Den nasjonale myndigheten skal kunne behandle klager i forbindelse med attester utstedt av etterlevelsesorganene.

Forordningen etablerer også en ordning med en «fagfellevurdering» jf. art 59. Dette for å sikre en ensartet standard for cybersikkerhetsattester og overnstemmelseserklæringer innad i EU. Vurderingene skal gjennomføres av minst to nasjonale sertifiseringsmyndigheter fra andre stater og av Kommisjonen. Dette skal gjennomføres minst hvert femte år. Vurderingen skal innebære undersøkelser av sertifiseringsmyndighetens aktiviteter knyttet til utstedelser av attester og at dette er adskilt fra tilsynsvirksomhet, at prosedyrer for tilsyn med og håndhevelse av oppfølging av attester og etterlevelsesorganenes aktiviteter overholdes og hvis relevant om myndighetene har den tilstrekkelige ekspertise til å utstede attester for tillitsnivået «høyt».

Forordningen legger opp til at det etableres en europeisk cybersikkerhetssertifiseringsgruppe (ECCG), jf. art. 62, bestående av alle medlemslands nasjonale sertifiseringstilsynsmyndigheter. Gruppen skal både gi råd til Kommisjonen i cybersikkerhetssertifiseringspolitikk, samt samarbeide med ENISA om å utarbeide forslag til europeiske cybersikkerhetssertifiseringsordninger, følge utviklingen, fremme samarbeid og støtte gjennomføringen av ordningen med fagfellevurdering jf. art. 59. Gruppen kan også foreslå for Kommisjonen konkrete ordninger som ENISA bør få i oppdrag å utarbeide. Kommisjonen innehar formannskapet og sekretariatsfunksjonen for gruppen med bistand fra ENISA, jf. art. 62(5). Medlemslandene skal etter forordningen fastsette regler for sanksjoner for brudd på forordningens bestemmelser og de europeiske sertifiseringsordninger. Sanksjonene skal være effektive, stå i rimelig forhold til bruddet og ha avskrekkende effekt, jf. art. 65.

AVSNITT IV AVSLUTTENDE BESTEMMELSER

Effekten av ENISAs nye rolle og virkningen av sertifiseringsordningen skal evalueres hvert femte år.

Europaparlaments- og rådsforordning (EU) nr. 526/2013 av 21. mai 2013 om Det europeiske byrå for nett- og informasjonssikkerhet (ENISA) og om oppheving av forordning (EF) nr. 460/2004 oppheves.

Artikkel 58 om nasjonale cybersikkerhetssertifiseringsmyndigheter, artikkel 60 om etterlevelsesorganer, artikkel 61 om rapportering av akkreditering, artikkel 63 om klage, artikkel 64 om rett til effektive rettsmidler og artikkel 65 om sanksjoner trer ikke kraft før 28. juni 2021.

Vurdering
Forordningen vurderes som positiv sett opp mot de utfordringene man ser innenfor IKT-sikkerhetsfeltet. En styrking av ENISA vil tilrettelegge for langsiktig planlegging samt understøtte NIS-direktivet som gir ENISA oppgaver av permanent karakter. Alle medlemslandene i EU har likevel et selvstendig ansvar for å sørge for egen IKT-sikkerhet. En utvidelse av ENISAs mandat skal ikke være til erstatning for dette ansvaret. Dette presiseres i forordningen. Det er likevel klart at ENISA får en fremtredende rolle innen EUs cybersikkerhetssatsning.

Norge er assosiert medlem av ENISA Management Board, en rolle som deles mellom Kommunal- og moderniseringsdepartementet og Justis- og beredskapsdepartementet.

I ENISAs mandat fremgår det at byrået skal utføre sine oppgaver etter forordningen med formål å fremme et høyt felles cybersikkerhetsnivå i EU. Dette skal gjøres ved aktiv støtte til medlemslandene og EU-institusjonene gjennom å være et referansepunkt for rådgivning om og ekspertise innen digital sikkerhet. Det fremgår videre at ENISA skal handle uavhengig ved utførelse av sine oppgaver, og skal unngå overlapp med medlemslandenes aktiviteter samt skal ta hensyn til medlemsstatenes eksisterende ekspertise.

ENISA skal imidlertid utvikle egne tekniske og menneskelige kapasiteter for å utføre dette. I formålsbestemmelsen, samt de bestemmelsene som tildeler byrået mer konkrete oppgaver fremgår det at ENISAs rolle i stor grad skal omfatte rådgivning , støtte og bistand til EU-institusjonenes og medlemsstatenes egne prosesser, herunder støtte til å utarbeide strategier, utarbeide «best practice» samt bistå særlig sektorer under NIS-direktivet med å ivareta direktivets krav.

Innenfor det såkalte operasjonelle samarbeidet medfører dette støtte til kapasitetsbygging i EU ved å bistå EU-institusjonene, medlemslandene samt private aktører til å bedre beskyttelsen av informasjons- og nettverkssystemer.

Hvordan dette vil utøves i praksis, og dermed også i hvor stor grad dette vil kunne komme til å påvirke Norge, samt eventuelt forholdet mellom relevante nasjonale aktører og ENISA er ikke helt klart ut fra forordningen isolert sett. Dette vil i det vesentlige bero på medlemslandenes ønsker om å involvere ENISA i forbindelse med eventuelle hendelser.

Flere medlemsland og fagmiljø har på forordningens forslagsstadium uttrykt motstand mot å legge et operativt element inn i ENISA. Det har vært et behov for å se nærmere på hva slags operasjonell kapasitet ENISA skal utgjøre, samt hva slags operasjonell bistand som skal tilbys for håndtering av grenseoverskridende IKT-sikkerhetshendelser. Departementet forstår EINISAs rolle slik at den ikke får noen fullmakter til å ta over noen form for nasjonal håndtering.

Forordningen må sees i sammenheng med NIS-direktivet. Som beskrevet over har ENISA permanente oppgaver etter NIS-direktivet. ENISA har en viktig rolle innen samarbeidsgruppen som er opprettet under NIS-direktivet hvor formålet er å forbedre samarbeid og informasjonsutveksling mellom medlemsland innen cybersikkerhetsspørsmål. Videre skal ENISA også ivareta sekretariatet og aktivt støtte samarbeidet mellom CSIRT-enhetene som medlemslandene er forpliktet til å opprette etter NIS-direktivet.

Det er imidlertid både i NIS-direktivet og denne forordningen slik at medlemslandene ikke er pålagt noen deling av informasjon. Informasjonsdeling er imidlertid en forutsetning for at ENISA skal kunne ivareta sin funksjon og forbedre EUs koordinerte respons mot cybertrusler.

En felles satsning innen EU gjør landene i stand til å dele situasjonsforståelse og respondere på alvorlige sikkerhetshendelser mer effektivt. Denne forordning og NIS-direktivet inngår begge i EUs satsning innen cybersikkerhet. NIS-direktivet er vurdert som EØS-relevant, men enda ikke tatt inn i EØS avtalen. Norge har vurdert direktivet til å være gunstig for norsk digital sikkerhet og vil innføre dette gjennom en egen lov som har vært på høring i 2019. Gjennom NIS-direktivet ha mulighet til å delta i NIS-samarbeidsgruppen og CSIRT-nettverket. Gjennom Cybersecurity Act vil Norge ha mulighet til å delta i de relevante fora for sertifisering av IKT-produkter, tjenester og prosesser.

Et styrket samarbeidet i EU regi vil være av stor betydning for å løse fremtidige utfordringer innen digital sikkerhet. Det er viktig at Norge sikres en plass i dette samarbeidet, da nåværende og fremtidige utfordringer ikke kan løses av en stat alene.

Det skal gjennomføres regelmessige og uavhengige evalueringer av ENISAs arbeid, herunder måloppnåelse, arbeidsmetoder og hvorvidt oppgavene til byrået er relevante særlig knyttet til oppgavene vedrørende operasjonelt samarbeid. Første evalueringsrapport etter forordningen skal Kommisjonen offentliggjøre innen 28. juni 2024.

Foreslått organisering og styring av ENISA forandres i liten grad sammenlignet med i dag. I art. 42 videreføres eksisterende ordning når det gjelder tredje lands deltakelse i ENISA. Vi kan derfor ikke se at forordningen, med et utvidet og permanent mandat for ENISA, vil medføre endringer for Norges rolle i ENISA. I samarbeid med EFTA-sekretariatet har vi derimot bedt om en klargjøring av art. 62, altså ECCG, at denne gruppen også består av EFTA-land.

Omforent sertifisering for både EU og EØS anses i utgangspunktet for å være et positivt tiltak.

Sertifisering vil etter forordningen inntil videre være frivillig. Innen en viss tid skal Kommisjonen ha gjort en første vurdering hvorvidt enkelte sertifiseringsordninger skal gjøres obligatoriske. Det vil i første omgang være snakk om sektorer som er omfattet av NIS-direktivet. Flere norske virksomheter vil dermed kunne bli bundet av krav til sertifisering av IKT-produkter, tjenstester eller prosesser.

Ettersom leverandører av slike tjenester ofte er globale og/eller europeiske, er felles-europeiske løsninger riktig. Sertifisering av produkter og tjenester vil ikke motvirke norske interesser. Et sertifiseringsrammeverk bør i størst mulig grad være beskrivende med tanke på kvalitets- og sikkerhetsnivået som oppnås, og det bør legges til rette for at det vil være attraktivt å benytte i markedsføringssammenheng. Da vil det være mindre behov for regulering, og effekten vil komme på grunn av etterspørsel. En felles overbygning i et rammeverk vil bidra til at man unngår at produkter, tjenester og prosesser må sertifiseres flere ganger avhengig av hvor produktet er produsert eller skal selges, og man vil unngå at produsenter velger ordninger som gir en raskere og enklere sertifisering enn andre ordninger. Rammeverket skaper også fleksibilitet til å etablere tilpassede ordninger avhengig av produktets, tjenestens eller prosessenes egenart, og påkrevd sikkerhetsnivå. Forordningen legger opp til ulike former for sertifisering, fra konsumentprodukter og bedriftsløsninger til løsninger som krever høyere sikkerhet som eksempelvis i kritiske infrastrukturer, noe som vil innebære at det mulig bør etableres flere typer sertifiseringsorganer.

Etterlevelse av forordningen innebærer å utpeke en eller flere myndigheter som nasjonale cybersikkerhetssertifiseringsorgan. Forordningens bestemmelser om dette trer imidlertid ikke i kraft før 28. juni 2021.

For Norge vil forordningen innebære å avklare blant annet hvordan og hvem som skal føre tilsyn med sertifiseringsordningen. Både NSM og Nkom har relevant kompetanse, så dette spørsmålet må vurderes nærmere. Per i dag har Nkom en rolle når det gjelder funksjonalitet i ekomnett og ikke minst for utstyr som bruker radio. NSM har på sin side allerede gjennomført sertifisering av operative sikkerhetstjenester og tjenestemiljøer.

Videre kan det også opprettes såkalte etterlevelesorgan som skal være et tredjepartsorgan, uavhengig av den organisasjon eller de IKT-produkter, -tjenester eller -prosesser, som det vurderer. Disse må akkrediteres og i visse tilfeller bemyndiges til å utføre oppgaver fra et nasjonale cybersikkerhetssertifiseringsorganet. Forordningas bestemmelser om etterlevelsesorganer trer ikke i kraft før 28. juni 2021.

Det er ut fra forordningens ordlyd ikke helt klart hvordan rammeverket skal forholde seg til eksisterende internasjonale sertifiseringsordninger innenfor IKT-sikkerhetsområdet slik som SOGIS ((Internasjonal avtale som Norge er del av: “Mutual Recognition Agreement of Information Technology Security Evaluation Certificates)

Det er dermed uklart hvordan fremtiden for eksisterende internasjonale arrangementer som SOGIS vil se ut. Fortalen omtaler SOGIS som delvis vellykket, selv om denne ordningen er den viktigste modellen for samarbeid og gjensidig anerkjennelse. Utfordringen er primært at dette arrangementet ikke har omfattet alle medlemsland, noe som gjør det mindre egnet under et helhetlig rammeverk. Man ønsker imidlertid å bygge videre på eksisterende nasjonale og internasjonale ordninger samt på systemer for gjensidig anerkjennelse, og da særlig SOGIS, for å legge til rette for en smidig overgang fra de eksisterende ordninger. Dette er for å hindre utbredelse av motstridende eller overlappende ordninger. Norge har siden opprettelsen hatt en viktig rolle innen SOGIS-samarbeidet, og dersom dette fortsatt skal ha en rolle under EUs rammeverk, vil Norge kunne fortsette sertifisering og anerkjennelse av sertifikater som tidligere under SOGIS avtaleverk. Det er likevel lite sannsynlig at SOGIS videreføres i sin nåværende form. Den nasjonale cybersikkerhetssertifiseringsmyndigheten forutsettes at deltar i ECCG, som vil ha en viktig rolle ved utarbeidelse av nye sertifiseringsordninger under rammeverket. Det er viktig å sikre norsk deltakelse i ECCG for å fortsatt ha en fremtredende rolle innen internasjonal sertifisering av IKT-produkter, tjenester og prosesser.

Det har vært en bekymring for hvordan forholdet til tredjeland ville reguleres i forordningen. Lenge kunne det tyde på at det vil bli et fragmentert marked mellom Europa, Amerika og Asia. Det er viktig at ny sertifiseringsløsning ikke kommer i konflikt med andre etablerte internasjonale sertifiseringsløsninger, men komplementerer eller understøtter disse. Forordningen ivaretar internasjonalt samarbeid gjennom ENISA. ENISA skal etter artikkel 12 bokstav d, rådgi Kommisjonen i spørsmål knytte til avtaler om gjensidig anerkjennelse av cybersikkerhatsattester med tredjeland, i samarbeid med ECCG. Kommisjonen kan med hensyn til rådgivningen fra ENISA og ECCG anbefale at det innledes relevante forhandlinger. Det følger også av artikkel 54 bokstav t, at hver europeiske sertifiseringsordning skal oppstille betingelser for gjensidig anerkjennelse av sertifiseringsordninger med tredjeland. Det er således Kommisjonen som inngår avtalene med tredjelandene.

Det skal ikke opprettes nye nasjonale sertifiseringsordninger for produkter, tjenester eller prosesser som omfattes av en europeisk sertifiseringsordning. Dette skal imidlertid ikke være til hinder for at man vedtar eller opprettholder nasjonale ordninger av hensyn til nasjonale sikkerhetsinteresser. Hensikten med at medlemslandene skal melde om initiativ knyttet til å opprette nasjonale ordninger, er at Kommisjonen og ECCG kan vurdere hvorvidt ordningen også bør kunne etableres som en europeisk ordning. Eksisterende attester som er utstedt i henhold til nasjonale ordninger og omfattes av en europeisk sertifiseringsordning, forblir gyldige til fastsatt utløpsdato.

I forordningen henvises det til eksisterende ordning for akkreditering av sertifiseringsorgan og derigjennom til gjensidig aksept av sertifikater iht. avtalen om europeisk akkreditering (EA). Norge er del av EA gjennom Norsk akkreditering, men det er uklart om denne deltagelsen (alene) vil sikre aksept i EU av sertifikater utgitt av norsk sertifiseringsorgan.

Den foreslåtte organiseringen og styringen av ENISA forandres i liten grad sammenlignet med i dag, men det er ikke helt tydelig ut fra forordningen hva slags operasjonell rolle ENISA skal få for fremtiden for gitte situasjoner. ENISAs rolle beror i stor grad på medlemslandenes ønsker og behov. Så langt er erfaringen med de samarbeidsgrupper og nettverk som er opprettet i forbindelse med EUs satsning innen cybersikkerhet i det vesentlige positive. Det er imidlertid viktig å sikre norsk deltakelse. Forordningen indikerer en forholdsvis stor økning av ENISAs finansielle og menneskelige ressurser i løpet av de neste fem årene. Dette vil medføre en økning av den årlige EØS-kontingenten. Hvis det blir besluttet å inngå i EUs sertifiseringssamarbeid under de ulike ordningene som etableres vil dette kunne ha økonomiske og administrative konsekvenser. Det er flere positive og interessante sider ved å etablere en slik sikkerhetssertifiseringsordning, men hvordan omfanget av ordninger under rammeverket vil bli er vanskelig å forutse. Ordninger vil fremmes som gjennomføringsrettsakter, som Norge vil måtte ta stilling til etterhvert som de kommer. Med forordningen som en del av EØS-avtalen vil Norge ha mulighet til deltakelse som for øvrig i EU-prosesser.

Konklusjon

Forordningen anses som EØS-relevant. Forordningen anses i hovedsak som akseptabel, men det anses nødvendig med tilpasninger i forbindelse med innlemmelse i EØS-avtalen for å sikre EØS-EFTA statenes deltakelse og status primært i ENISA og ECCG så nært tilsvarende EU-medlemsland som mulig.
Andre opplysninger

Oversikt over identifiserte rettslige konsekvenser:

Forordningen nødvendiggjør lovendringer og innlemmelse i EØS-avtalen krever derfor Stortingets samtykke, jf. Grl. § 26 andre ledd. Det vil bli tatt konstitusjonelt forbehold ved innlemmelsen i EØS-avtalen. Justis- og beredskapsdepartementet vil i samarbeid med berørte departementer legge fram et forslag til gjennomføring i norsk rett. En forløpig vurdering tilsier at forordningen gjennomføres i lovs form, med mulighet for å fastsette eventuelle gjennomføringsrettsakter som forskrifter til denne loven.

Medlemsstatene skal sørge for en nasjonal tilsynsmyndighet for sertifisering, hvis oppgaver bl.a. vil være kontroll med etterlevelsen av ordningen, sanksjoner ved brudd og klagebehandling. Myndighetene skal også få hjemmel til å få adgang til kontorlokaler for undersøkelser.

Myndighetene skal også samarbeide med andre sertifiseringsmyndigheter eller øvrige myndigheter, samt utveksle informasjon om manglende overholdelse av regelverket.

Etterlevelsesorganer skal akkrediteres av nasjonale akkrediteringsorganer som er utpekt etter (EU) 756/2008.

Det blir behov for en gjennomgang, og herunder eventuell endring, av norsk regelverk som henviser til ENISAs virksomhet blant annet må ekomforskriften § 8-7 (Gjennomføring av forordning om ENISA) endres.

Innen to år etter at den første cybersikkerhetssertifiseringsordningen er vedtatt, skal det vurderes om denne skal gjøres obligatorisk for sektorer som er underlagt NIS-direktivet. Dette vil kunne medføre presiseringer i lov som gjennomfører direktivet i norsk rett.

Økonomiske og administrative konsekvenser
Nasjonale sertifiseringsordninger for produkter- tjenester og prosesser som dekkes av en europeisk cybersikkerhetssertifiseringsordning skal opphøre, og det tillates ikke overlappende sertifiseringsordninger dersom området er dekket under det en europeisk ordning.

Sertifisering og utstedelse av cybersikkerhetsattester foretas av akkrediterte etterlevelsesorganer.

Det skal etableres en europeisk cybersikkerhetssertifiseringsgruppe bestående av nasjonale tilsynsmyndigheter for sertifisering som dels skal rådgi kommisjonen og dels foreslå sertifiseringsordninger.

Kravet om etablering av nasjonale organ i henhold til rammeverket for cybersikkerhetssertifisering vil innebære økonomiske konsekvenser. Det økonomiske omfanget er vanskelig å forutse da det vil bero på hvor mange sertifiseringsordninger som etableres.

Sertifiseringen skal bidra til økt robusthet i produkter og tjenester, noe som vil være fordelaktig for både privat og offentlig sektor. Større innsatsfaktorer på forebyggende tiltak gjennom mer robust tilvirkning av produkter og tjenester, vil i neste omgang kunne redusere behovet for hendelseshåndtering på kritiske områder gitt god utbredelse av sikrere produkter og tjenester. Det vurderes som viktig at industrien kan ha god forutsigbarhet med hensyn til innføringen av nye sikkerhetskrav, slik at industrien dermed kan gjøre nødvendige tilpasninger i utviklingsfasen. Mer robuste produkter og tjenester forventes derfor å kunne gi samfunnsøkonomiske gevinster. Det er imidlertid avgjørende at rammeverket legger opp til utstrakt bruk av internasjonalt anerkjente standarder, og at sertifiseringsordningen er åpen og tilgjengelig for alle interessenter innenfor og utenfor Europa. Dersom sertifiseringsordningen kun blir et europeisk anliggende, innebærer det nye barrierer for interessentene som dermed kan føre til bedrifts- og samfunnsøkonomiske tap.

Forordningen indikerer en forholdsvis stor økning av ENISAs finansielle og menneskelige ressurser i løpet av de neste årene. Dette vil få konsekvenser for den årlige kontingenten. Norge som medlem av ENSIA betaler årlig for deltakelsen i byrået. Denne kontingenten dekkes gjennom ordinære budsjettdisposisjoner.

I henhold til ENISA Programming Document for 2019-2021, må det påregnes en økning av EFTAs bidrag til ENISA. Økningen er estimert fra 248 626 Euro i 2018, til 259 884 Euro i 2019 og til 489 310 i 2020. Økningen indikerer dermed opp mot en dobling av kontingenten til ENISA fra EFTA-statene innen 2020/21.

Sakkyndige instansers merknader
Faglige innspill til et tidligere utkast til forslag KOM 2017/477 er mottatt fra NSM, SD, Nkom, FD, KMD og NFD.

Det ble første gang orientert om forslag (KOM 2017/477) til rettsakt i spesisalutvalget for kommunikasjoner der Samferdselsdepartementet, Kommunal- og moderniseringsdepartementet, Barne- og likestillingsdepartementet, Justis- og beredskapsdepartementet, Utenriksdepartementet og Nasjonal kommunikasjonsmyndighet er representert, i januar 2018 og muntlig fremlagt for utvalget 2. februar 2018. Det ble videre muntlig redegjort for den vedtatte forordningen i møte i SU Kommunikasjoner i september 2019 og EØS-posisjonsnotat ble behandlet ved skriftlig prosedyre i november 2019. SU kommunikasjoner fant rettsakten relevant og akseptable for innlemming i EØS-avtalen med de tilpasninger som foreslås.

Status
Rådet vedtok sin posisjon på meldingen om EUs reviderte cybersikkerhetsstrategi – Resilience, Deterrence and Defence: Building strong cybersecurity in Europe – på møtet i Rådet for allmenne saker 20. november 2017. Konklusjonene fra møtet støtter opp om et permanent mandat for ENISA i form av at det opprettes et EU Cybersecurity Agency. De maner videre til at Europa utvikler en verdensledende sertifiseringsordning for å øke sikkerheten og tilliten til digitale produkter og tjenester.

Rettsakten er vedtatt og trådt i kraft fom 27. juni 2019

Rettsakten er under vurdering i EØS-/EFTA-landene.

Nøkkelinformasjon

Norge



norge-flagg
Ansvarlig departement
Justis- og beredskapsdepartementet
Informasjon fra departementet