Forelengelse av ENISA-byråets mandat
Europaparlaments- og rådsforordning (EF) nr. 1007/2008 av 24. september 2008 om endring av forordning (EF) nr. 460/2004 om opprettelse av Det europeiske byrå for nett- og informasjonssikkerhet med hensyn til varigheten av Byråets mandat
Regulation (EC) No 1007/2008 of the European Parliament and of the Council of 24 September 2008 amending Regulation (EC) No 460/2004 establishing the European Network and Information Security Agency as regards its duration
Sak om mangelfull norsk gjennomføring åpnet av EFTAs overvåkingsorgan 23.2.2010
Nærmere omtale
BAKGRUNN (fra departementets EØS-notat, sist oppdatert 3.1.2013)
Sammendrag av innhold
European Network and Information Security Agency (ENISA) ble etablert i 2004 for en periode på fem år. Formålet med byrået var å sikre et høyt og effektivt nivå på nett- og informasjonssikkerheten i fellesskapet, å fremme en kultur for nett- og informasjonssikkerhet til beste for borgere, forbrukere, private virksomheter og offentlig sektor i EU og å bidra til et velfungerende indre marked.
Det fremgår av artikkel 25 i forordningen som etablerer ENISA at Kommisjonen skulle utføre en evaluering av byrået innen mars 2007. En slik evaluering ble gjennomført og et ekspertpanel la i januar 2007 frem en rapport hvor det fremkommer at de opprinnelige politiske årsakene til at byrået ble etablert samt de opprinnelige målene med byrået fortsatt er eksisterende.
ENISAs styre anbefalte på bakgrunn av evalueringen at det burde gjøres noen endringer i forordningen. En av disse endringene var forordningen skulle endres til å utvide byråets mandat uten at dette skulle medføre at det materielle virkeområdet skulle endres. En offentlig høring om utvidelsen og fremtiden til byrået ble holdt i perioden juni-september 2007. De som responderte var i hovedsak enige om at et byrå fortsatt er riktig instrument for å håndtere utfordringene knyttet til nett- og informasjonssikkerhet i EU.
Som et ledd i den regulatoriske gjennomgangen (regulatory review) fremmet Kommisjonen et forslag om å etablere et nytt byrå innenfor området elektronisk kommunikasjon (EECMA). Kommisjonen foreslo at dette nye byrået skulle ta over ENISAs aktiviteter. Siden ENISAs mandat utgår 13. mars 2009 ville det for å opprettholde kontinuiteten bli nødvendig å vedta en midlertidig regulering for de to årene som er mellom tiden fra 13. mars 2009 og datoen når det nye byrået etter planen skulle ta over aktivitetene, dvs. 14. mars 2011. Kommisjonen foreslo følgelig at ENISAs eksistens skulle forlenges til 13. mars 2011. Senere, i en revidert utgave av forslagene i den regulatoriske gjennomgangen foreslås ikke lenger en integrert regulatør, men at ENISA skal beholde sin uavhengighet. Denne endringen gjenspeiler synspunktene fra EPs første gjennomgang.
Vurdering
Norge deltar i ENISA og har observatørstatus i byråets styre. Norge bidrar årlig økonomisk til byrået for å kunne delta. Det er Norges oppfatning at byrået har bidratt til å øke bevisstheten om nett- og informasjonssikkerhet i Europa og at byråets mål og aktiviteter bør videreføres. Det er ikke til å legge skjul på at ENISA har hatt problemer og at byråets plassering på Kreta har gjort det vanskelig for byrået å utføre oppgavene på en tilfredsstillende måte, men likefullt har byrået høyst kompetent personell og har gjennomført mange gode prosjekter.
Norge har vært negative til forslaget om å opprette et nytt byrå, EECMA, innenfor elektronisk kommunikasjon (se eget EØS-notat om dette byrået). Norsk holdning er følgelig at nett- og informasjonssikkerhetsspørsmål i Europa blant annet bør kunne ivaretas gjennom en videreføring av ENISA som eget byrå.
Når det gjelder norsk deltakelse i nett- og informasjonssikkerhetsarbeidet i Europa så har ENISA bidratt til at Norge har fått innpass på arenaer vi tidligere ikke har fått tilgang til. En slik posisjon vil kunne blitt vanskeligere å oppnå i et nytt, større og sannsynligvis mektigere byrå.
Norge mener beslutningen om å forlenge ENISAs mandat frem til mars 2012 er hensiktsmessig. Forlenging av ENISAs mandat vil kreve en mindre forskriftsendring i ekomforskriften.
Status
Forordningen ble vedtatt i EU i juni 2008 og publisert i OJ 24. september 2008. Forordningen ble innlemmet i EØS-avtalen 24. april 2009 og gjennomført i norsk regelverk ved inkorporasjon 1. januar 2010 (ekomforskriften § 8-7).
Sammendrag av innhold
European Network and Information Security Agency (ENISA) ble etablert i 2004 for en periode på fem år. Formålet med byrået var å sikre et høyt og effektivt nivå på nett- og informasjonssikkerheten i fellesskapet, å fremme en kultur for nett- og informasjonssikkerhet til beste for borgere, forbrukere, private virksomheter og offentlig sektor i EU og å bidra til et velfungerende indre marked.
Det fremgår av artikkel 25 i forordningen som etablerer ENISA at Kommisjonen skulle utføre en evaluering av byrået innen mars 2007. En slik evaluering ble gjennomført og et ekspertpanel la i januar 2007 frem en rapport hvor det fremkommer at de opprinnelige politiske årsakene til at byrået ble etablert samt de opprinnelige målene med byrået fortsatt er eksisterende.
ENISAs styre anbefalte på bakgrunn av evalueringen at det burde gjøres noen endringer i forordningen. En av disse endringene var forordningen skulle endres til å utvide byråets mandat uten at dette skulle medføre at det materielle virkeområdet skulle endres. En offentlig høring om utvidelsen og fremtiden til byrået ble holdt i perioden juni-september 2007. De som responderte var i hovedsak enige om at et byrå fortsatt er riktig instrument for å håndtere utfordringene knyttet til nett- og informasjonssikkerhet i EU.
Som et ledd i den regulatoriske gjennomgangen (regulatory review) fremmet Kommisjonen et forslag om å etablere et nytt byrå innenfor området elektronisk kommunikasjon (EECMA). Kommisjonen foreslo at dette nye byrået skulle ta over ENISAs aktiviteter. Siden ENISAs mandat utgår 13. mars 2009 ville det for å opprettholde kontinuiteten bli nødvendig å vedta en midlertidig regulering for de to årene som er mellom tiden fra 13. mars 2009 og datoen når det nye byrået etter planen skulle ta over aktivitetene, dvs. 14. mars 2011. Kommisjonen foreslo følgelig at ENISAs eksistens skulle forlenges til 13. mars 2011. Senere, i en revidert utgave av forslagene i den regulatoriske gjennomgangen foreslås ikke lenger en integrert regulatør, men at ENISA skal beholde sin uavhengighet. Denne endringen gjenspeiler synspunktene fra EPs første gjennomgang.
Vurdering
Norge deltar i ENISA og har observatørstatus i byråets styre. Norge bidrar årlig økonomisk til byrået for å kunne delta. Det er Norges oppfatning at byrået har bidratt til å øke bevisstheten om nett- og informasjonssikkerhet i Europa og at byråets mål og aktiviteter bør videreføres. Det er ikke til å legge skjul på at ENISA har hatt problemer og at byråets plassering på Kreta har gjort det vanskelig for byrået å utføre oppgavene på en tilfredsstillende måte, men likefullt har byrået høyst kompetent personell og har gjennomført mange gode prosjekter.
Norge har vært negative til forslaget om å opprette et nytt byrå, EECMA, innenfor elektronisk kommunikasjon (se eget EØS-notat om dette byrået). Norsk holdning er følgelig at nett- og informasjonssikkerhetsspørsmål i Europa blant annet bør kunne ivaretas gjennom en videreføring av ENISA som eget byrå.
Når det gjelder norsk deltakelse i nett- og informasjonssikkerhetsarbeidet i Europa så har ENISA bidratt til at Norge har fått innpass på arenaer vi tidligere ikke har fått tilgang til. En slik posisjon vil kunne blitt vanskeligere å oppnå i et nytt, større og sannsynligvis mektigere byrå.
Norge mener beslutningen om å forlenge ENISAs mandat frem til mars 2012 er hensiktsmessig. Forlenging av ENISAs mandat vil kreve en mindre forskriftsendring i ekomforskriften.
Status
Forordningen ble vedtatt i EU i juni 2008 og publisert i OJ 24. september 2008. Forordningen ble innlemmet i EØS-avtalen 24. april 2009 og gjennomført i norsk regelverk ved inkorporasjon 1. januar 2010 (ekomforskriften § 8-7).