FÆLLES MEDDELELSE TIL EUROPA-PARLAMENTET, RÅDET, DET EUROPÆISKE ØKONOMISKE OG SOCIALE UDVALG OG REGIONSUDVALGET

EU-strategi for cybersikkerhed:

Et åbent, sikkert og beskyttet cyberspace

1.           Indledning

1.1.        Baggrund

I de sidste tyve år har internettet og mere bredt cyberspace haft enorm indvirkning på alle samfundets sider. Vores hverdag, grundlæggende rettigheder, sociale relationer og økonomier er afhængige af, at informations- og kommunikationsteknologien fungerer gnidningsløst. Det åbne og frie cyberspace har fremmet den politiske og sociale integration i hele verden; det har nedbrudt barrierer mellem lande, samfund og borgere og således muliggjort samspil og udveksling af information og idéer i hele verden; det har skabt et forum for ytringsfriheden og udøvelsen af grundlæggende rettigheder og rustet mennesker i deres søgen efter demokratiske og mere lige samfund – mest iøjnefaldende under det arabiske forår.

For at cyberspace fortsat kan være åbent og frit, må de samme normer, principper og værdier, som EU opretholder offline, også gælde online. De grundlæggende rettigheder, demokratiet og retsstaten skal beskyttes i cyberspace. Vores frihed og velstand afhænger mere og mere af et solidt og innovativt internet, som vil fortsætte sin blomstrende udvikling, hvis det fremmes af innovationen i den private sektor og civilsamfundet. Men frihed online kræver også sikkerhed og beskyttelse. Cyberspace bør beskyttes mod hændelser, ondsindede handlinger og misbrug, og de offentlige myndigheder spiller en vigtig rolle i bestræbelserne på at sikre et frit og sikkert cyberspace. De offentlige myndigheder har flere opgaver: at sikre adgang og åbenhed, at respektere og beskytte de grundlæggende rettigheder online og at opretholde internettets pålidelighed og interoperabilitet. Men den private sektor ejer og driver store dele af cyberspace, og hvis et initiativ skal lykkes, er det derfor nødvendigt at dens ledende rolle anerkendes.

Informations- og kommunikationsteknologi er blevet rygraden i vores økonomiske vækst og er en afgørende ressource, som alle økonomiske sektorer baserer sig på. Den understøtter nu de komplekse systemer, som får vores økonomier til at fungere i nøglesektorer som f.eks. finanssektoren, sundhed, energi og transport, og mange forretningsmodeller bygger på konstant adgang til internettet og informationssystemernes gnidningsløse funktion.

Europa vil med fuldførelsen af det digitale indre marked kunne øge sit BNP med næsten 500 mia. EUR om året[1], svarende til gennemsnitligt 1 000 EUR pr. person. Hvis de nye indbyrdes forbundne teknologier, herunder e-betalinger, cloud computing og kommunikation mellem maskiner[2], virkelig skal tage afsæt, er det nødvendigt, at borgerne har tiltro og tillid. Desværre har en Eurobarometer-undersøgelse[3] i 2012 vist, at næsten en tredjedel af europæerne tvivler på deres evne til at bruge internettet til banktransaktioner eller køb. Et overvældende flertal har også sagt, at de undgår at afsløre personlige oplysninger online, fordi de er bekymrede for sikkerheden. I hele EU har mere end én ud af ti internetbrugere allerede været udsat for internetbedrageri.

I de seneste år har man kunnet konstatere, at den digitale verden giver enorme fordele, men også, at den er sårbar. Cybersikkerhedshændelserne[4], som kan være tilsigtede eller utilsigtede, vokser med alarmerende hast og vil kunne afbryde forsyningen af væsentlige tjenester, som vi tager for givet, f.eks. vand, sundhed, elektricitet eller mobiltjenester. Truslerne kan have forskellig oprindelse — der kan bl.a. være tale om kriminelle angreb, politisk motiverede angreb, terrorangreb eller statsstøttede angreb samt naturkatastrofer og utilsigtede fejl.

EU's økonomi er allerede berørt af cyberkriminelle[5] aktiviteter, der er rettet mod den private sektor og enkeltpersoner. Cyberkriminelle anvender stadig mere sofistikerede metoder til at bryde ind i informationssystemer, stjæle kritiske data eller kræve løsepenge af virksomheder. Stigningen i økonomisk spionage og statsstøttede aktiviteter i cyberspace udgør en ny kategori af trusler mod offentlige myndigheder og virksomheder i EU.

I lande uden for EU kan offentlige myndigheder også misbruge cyberspace til overvågning og kontrol over deres egne borgere. EU kan imødegå denne situation ved at fremme frihed på nettet og sikre overholdelse af de grundlæggende rettigheder på nettet.

Alle disse faktorer ligger til grund for, at offentlige myndigheder i hele verden er gået i gang med at udvikle strategier for cybersikkerhed og behandle cyberspace som et stadig vigtigere internationalt anliggende. Tiden er inde til, at EU optrapper sin indsats på dette område. Dette forslag til en EU-strategi for cybersikkerhed, som er fremsat af Kommissionen og Unionens højtstående repræsentant for udenrigsanliggender og sikkerhedspolitik (den højtstående repræsentant) skitserer EU's vision på dette område, præciserer de respektive roller og ansvarsområder og udstikker de påkrævede foranstaltninger på grundlag af en stærk og effektiv beskyttelse og fremme af borgernes rettigheder, med henblik på at gøre EU's online-miljø til det sikreste i verden.

1.2.        Principper for cybersikkerhed

Det grænseløse internettet med dets mange niveauer er blevet et af de mest effektive instrumenter til at opnå globale fremskridt, uden tilsyn eller regulering fra det offentliges side. Den private sektor bør fortsat spille en ledende rolle i forbindelse med opbygningen og den daglige forvaltning af internettet, men der i stigende grad behov for krav om gennemsigtighed, ansvarlighed og sikkerhed. I denne strategi præciseres det, hvilke principper der bør ligge til grund for politikken for cybersikkerhed i EU og på internationalt plan.

EU's centrale værdier gælder lige så meget i den digitale som i den fysiske verden

De love og normer, der gælder for andre områder af vores dagligdag, gælder også i forbindelse med cyberspace.

Beskyttelse af de grundlæggende rettigheder, ytringsfriheden, personoplysninger og privatlivets fred

Der kan kun opnås en fornuftig og effektiv cybersikkerhed, hvis denne sikkerhed baseres på de grundlæggende rettigheder og frihedsrettigheder, der er nedfældet i EU’s charter om grundlæggende rettigheder, og EU's centrale værdier. Tilsvarende kan enkeltpersoners rettigheder ikke sikres uden sikre net og systemer. Enhver form for informationsudveksling i forbindelse med cybersikkerhed bør, når der er tale om personoplysninger, være i overensstemmelse med EU’s databeskyttelseslovgivning og i fuldt omfang tage højde for enkeltpersoners rettigheder på dette område.

Adgang for alle

I betragtning af, hvor meget den digitale verden betyder for samfundsaktiviteterne, udgør begrænset eller ingen adgang til internettet og digital analfabetisme et handicap for borgerne. Alle bør have adgang til internettet og til en uhindret informationsstrøm. Internettets integritet og sikkerhed skal sikres for at muliggøre sikker adgang for alle.

Demokratisk og effektiv forvaltning med mange aktører

Den digitale verden kontrolleres ikke af en enkelt enhed. Der findes i øjeblikket mange interesseparter, bl.a. mange kommercielle og ikke-statslige enheder, der er involveret i den daglige ledelse af internetressourcer, ‑protokoller og ‑standarder og i den fremtidige udvikling af internettet. EU bekræfter på ny, at alle interesseparter i den nuværende forvaltningsmodel for internettet er vigtige, og støtter denne forvaltningstilgang med inddragelse af forskellige interesseparter[6].

Et fælles ansvar for sikkerhed

I og med at mennesker på alle områder af deres liv bliver mere og mere afhængige af informations- og kommunikationsteknologi, er der svagheder, som skal indkredses ordentligt, analyseres grundigt og afhjælpes eller mindskes. Alle relevante aktører - uanset om det er offentlige myndigheder, den private sektor eller enkelte borgere - er nødt til at erkende dette fælles ansvar, træffe foranstaltninger til at beskytte sig selv og om nødvendigt finde en koordineret løsning for at styrke cybersikkerheden.

2.           Strategiske prioriteter og tiltag

EU bør beskytte et online-miljø, der giver størst mulig frihed og sikkerhed til gavn for alle. Samtidig med at det anerkendes, at det først og fremmest er medlemsstaternes opgave at behandle sikkerhedsudfordringer i cyberspace, foreslås der i denne strategi specifikke tiltag, der kan styrke indsatsen i EU som helhed. Disse tiltag er både kort- og langsigtede og omfatter forskellige politikinstrumenter[7] og typer af aktører, både i EU-institutionerne, medlemsstaterne og industrien.

EU-visionen i denne strategi fokuserer på fem strategiske prioriteter, som behandler de udfordringer, der er anført ovenfor:

· Opnåelse af cyberrobusthed

· Drastisk mindskelse af cyberkriminalitet

· Udvikling af cyberforsvarspolitik og -kapacitet i forbindelse med den fælles sikkerheds- og forsvarspolitik (FSFP)

· Udvikling af de industrielle og teknologiske ressourcer til at fremme cybersikkerhed

· Fastlæggelse af en kohærent international cyberspacepolitik i EU og fremme af centrale EU-værdier.

2.1.        Opnåelse af cyberrobusthed

For at fremme cyberrobustheden i EU skal både de offentlige myndigheder og den private sektor udvikle deres kapacitet og samarbejde effektivt. På baggrund af de positive resultater, der er opnået under hidtidige aktiviteter[8], vil yderligere EU-tiltag kunne bidrage til bl.a. at bekæmpe cyberkriminalitetsrisici og –trusler, der indebærer en grænseoverskridende dimension, og til at gennemføre en koordineret indsats i nødsituationer. Dette vil i høj grad støtte et velfungerende indre marked og øge den interne sikkerhed i EU.

Europa vil fortsat være sårbar, hvis der ikke gøres en betragtelig indsats for at styrke den offentlige og private sektors kapacitet, ressourcer og metoder til at forebygge, detektere og håndtere hændelser i forbindelse med cybersikkerhed. Det er grunden til, at Kommissionen har udarbejdet en strategi for net- og informationssikkerhed (NIS)[9]. Det Europæiske Agentur for Net- og Informationssikkerhed (ENISA) blev oprettet i 2004[10], og Rådet og Parlamentet er i færd med at drøfte en ny forordning for at styrke ENISA og ajourføre dets mandat[11]. Desuden kræves det i rammedirektivet om elektronisk kommunikation[12], at udbydere af elektroniske kommunikationstjenester på passende vis skal styre risiciene for deres net og indberette væsentlige brud på sikkerheden. Desuden kræves det i EU's databeskyttelseslovgivning[13], at de registeransvarlige skal sikre databeskyttelseskrav og beskyttelsesforanstaltninger, herunder sikkerhedsrelaterede foranstaltninger, og at de i forbindelse med offentligt tilgængelige elektroniske kommunikationstjenester skal indberette hændelser, der indebærer brud på persondatasikkerheden, til de kompetente nationale myndigheder.

Trods fremskridt, som er baseret på frivillige forpligtelser, er der fortsat huller i hele EU, navnlig hvad angår national kapacitet, koordination i tilfælde af grænseoverskridende hændelser og den private sektors deltagelse og beredskab. Denne strategi ledsages af et forslag til lovgivning, der navnlig skal:

· fastsætte fælles mindstekrav til NIS på nationalt plan, der vil forpligte medlemsstaterne til at: udpege nationale NIS-kompetente myndigheder, oprette et velfungerende it-udrykningshold (CERT), og vedtage en national NIS-strategi og en national NIS-samarbejdsplan. Kapacitetsopbygning og koordination vedrører også EU-institutionerne: i 2012 blev der oprettet et fast it-udrykningshold, der er ansvarligt for sikkerheden i it-systemerne i EU's institutioner, agenturer og organer ("CERT-EU")

· fastlægge koordinerede forebyggelses-, detekterings-, afbødnings- og indsatsmekanismer, der muliggør informationsudveksling og gensidig bistand mellem de nationale NIS-kompetente myndigheder. De nationale NIS-kompetente myndigheder vil blive bedt om at sørge for et hensigtsmæssig EU-dækkende samarbejde, navnlig på grundlag af en EU-plan for NIS-samarbejde, der udformes med henblik på at håndtere cyberhændelser med en grænseoverskridende dimension. Dette samarbejde vil også bygge videre på de fremskridt, der er gjort i forbindelse med det europæiske forum for medlemsstaterne (EFMS)[14], der har haft produktive drøftelser og udvekslinger om en offentlig NIS-politik og kan integreres i samarbejdsmekanismen, når den er på plads

· forbedre den private sektors deltagelse og beredskab. Da størstedelen af nettene og informationssystemerne ejes og drives privat, er det afgørende at forbedre samarbejdet med den private sektor for at fremme cybersikkerheden. Den private sektor bør på det tekniske plan udvikle sin egen cyberrobusthed og udveksle den bedste praksis på tværs af de forskellige sektorer. De værktøjer, der er udviklet af industrien til at reagere på hændelser, påvise årsager og gennemføre kriminaltekniske undersøgelser, bør også gavne den offentlige sektor.

Men aktørerne i den private sektor mangler stadig effektive incitamenter til at give pålidelige data om forekomsten eller virkningen af NIS-hændelser, indføre en risikostyringskultur eller investere i sikkerhedsløsninger. Derfor tager den foreslåede lovgivning sigte på at sikre, at aktørerne på en række centrale områder (såsom energi, transport, bankvæsen, børser, katalysatorer af centrale internettjenester og offentlige myndigheder) vurderer de cybersikkerhedsrisici, de står over for, gennem passende risikostyring sørger for, at net og informationssystemer er pålidelige og robuste, og udveksler de pågældende oplysninger med de nationale NIS-kompetente myndigheder. Hvis der indføres en cybersikkerhedskultur, vil det kunne forbedre forretningsmulighederne og konkurrenceevnen i den private sektor, som vil kunne gøre cybersikkerhed til et salgsargument.

Disse enheder vil til de nationale NIS-kompetente myndigheder skulle indberette de hændelser, der i betydelig grad påvirker kontinuiteten i vigtige tjenesteydelser og leveringen af varer, som er afhængige af forskellige net og informationssystemer.

De nationale NIS-kompetente myndigheder bør samarbejde og udveksle information med andre tilsynsmyndigheder, navnlig myndigheder med ansvar for beskyttelse af personoplysninger. De NIS-kompetente myndigheder bør på deres side indberette hændelser af formodet alvorlig kriminel art til de retshåndhævende myndigheder. De nationale kompetente myndigheder bør også på et særligt websted regelmæssigt offentliggøre uklassificerede informationer om igangværende tidlig varsling af hændelser og risici og om koordinerede indsatser. De retlige forpligtelser bør hverken erstatte eller forhindre, at der udvikles uformelt og frivilligt samarbejde, bl.a. mellem den offentlige og den private sektor, for at øge sikringsniveauerne og forbedre udvekslingen af oplysninger og bedste praksis. Navnlig er det europæiske offentlig-private partnerskab for en robust ikt-infrastruktur (EP3R[15]) en god og solid platform på EU-niveau, som bør udvikles yderligere.

Gennem Connecting Europe-faciliteten (CEF)[16] vil der kunne ydes økonomisk støtte til vigtig infrastruktur, som forbinder medlemsstaternes NIS-kapacitet, således at det gøres lettere at samarbejde i hele EU.

Endelig er det vigtigt, at der på EU-niveau gennemføres øvelser i cyberhændelser for at simulere samarbejdet mellem medlemsstaterne og den private sektor. Den første øvelse med inddragelse af medlemsstaterne blev gennemført i 2010 ("Cyber Europe 2010") og den anden, som også den private sektor deltog i, fandt sted i oktober 2012 ("Cyber Europe 2012"). I november 2011 blev der gennemført en skrivebordsøvelse for EU og USA ("Cyber Atlantic 2011"). Der er planlagt flere øvelser for de kommende år, bl.a. med internationale partnere.

Kommissionen vil: · videreføre sine aktiviteter, der gennemføres af Det Fælles Forskningscenter, i tæt koordination med medlemsstaternes myndigheder og ejere og operatører af kritisk infrastruktur for at indkredse NIS-svaghederne i den europæiske kritiske infrastruktur og fremme udviklingen af robuste systemer. · iværksætte et EU-finansieret pilotprojekt[17] i begyndelsen af 2013 om bekæmpelse af botnet and malware for at skabe en ramme for koordination og samarbejde mellem EU’s medlemsstater, organisationer i den private sektor som f.eks. internettjenesteudbydere og internationale partnere. Kommissionen anmoder ENISA om: · at hjælpe medlemsstaterne med at udvikle en stærk national cyberrobusthed, især ved at opbygge ekspertise om sikkerhed og robusthed i industrielle styringssystemer og transport- og energiinfrastruktur · i 2013 at undersøge, om det kan lade sig gøre at indføre Computer Security Incident Response Team(s) for industrielle styringssystemer (ICS-CSIRT) for EU. · fortsat at støtte medlemsstaterne og EU-institutionerne i bestræbelserne for at gennemføre regelmæssige fælleseuropæiske øvelser i cyberhændelser, som også vil udgøre det operationelle grundlag for EU's deltagelse i internationale cyberhændelsesøvelser. Kommissionen opfordrer Europa-Parlamentet og Rådet til: · hurtigt at vedtage forslaget til et direktiv om et højt fælles niveau for net- og informationssikkerhed (NIS) i hele EU, som tager fat om kapacitet og beredskab, samarbejde på EU-plan, indførelse af risikostyring og informationsudveksling om NIS. Kommissionen anmoder industrien om: · at føre an med at investere i et højt cybersikkerhedsniveau og i højere grad udveksle bedste praksis og information på sektorplan og med de offentlige myndigheder for at sikre en stærk og effektiv beskyttelse af aktiver og enkeltpersoner, navnlig gennem offentlig-private partnerskaber som f.eks. EP3R og Trust in Digital Life (TDL)[18]. ·

Bevidstgørelse

Alle har ansvaret for at sørge for cybersikkerhed. Slutbrugerne spiller en afgørende rolle for sikkerheden i net og informationssystemer: de skal gøres opmærksomme på onlinerisici og rustes til at træffe enkle foranstaltninger til at beskytte sig mod dem.

I de seneste år er der udviklet adskillige initiativer, som bør videreføres. Navnlig har ENISA været involveret i oplysningskampagner ved at offentliggøre rapporter, tilrettelægge workshopper for eksperter og udvikle offentlig-private partnerskaber. Europol, Eurojust og de nationale databeskyttelsesmyndigheder arbejder også aktivt inden for oplysning. I oktober 2012 gennemførte ENISA sammen med visse medlemsstater den ”europæiske cybersikkerhedsmåned". Oplysning er et af de områder, som EU's og USA's fælles arbejdsgruppe om cybersikkerhed og cyberkriminalitet[19] søger at fremme, og det er også afgørende i forbindelse med programmet for et sikrere internet[20] (fokuseret på børns sikkerhed online).

Kommissionen anmoder ENISA om: · i 2013 at foreslå en køreplan for et "net- og informationssikkerhedskørekort" som et frivilligt certificeringsprogram til at fremme it-fagfolks færdigheder og kompetence (f.eks. administratorer af websteder). Kommissionen vil: · med støtte fra ENISA tilrettelægge en cybersikkerhedskonkurrence i 2014, hvor universitetsstuderende vil konkurrere med forslag til NIS-løsninger. Kommissionen opfordrer medlemsstaterne[21] til: · fra og med 2013 at organisere en årlig cybersikkerhedsmåned med støtte fra ENISA og medinddragelse af den private sektor for at gøre slutbrugerne mere bevidste. Der vil også blive organiseret en samordnet cybersikkerhedsmåned mellem EU og USA, første gang i 2014. · at intensivere de nationale bestræbelser inden for NIS-uddannelse og ‑undervisning ved at indføre: NIS-undervisning i skolerne i 2014; NIS-undervisning og udvikling af sikkert software og persondatabeskyttelse for datalogistuderende; og grundlæggende NIS-undervisning for ansatte i offentlige administrationer. Kommissionen opfordrer industrien til: · at fremme bevidstgørelsen om cybersikkerhed på alle niveauer, både i forretningspraksis og i kundekontakt. Industrien bør især gøre sig overvejelser om, hvordan man kan gøre administrerende direktører og bestyrelser mere ansvarlige for at sørge for cybersikkerhed.

2.2.        Drastisk mindskelse af cyberkriminalitet

Jo mere vi bruger den digitale verden, jo flere muligheder får de cyberkriminelle. Cyberkriminalitet er en af de hurtigst voksende former for kriminalitet, idet der på verdensplan er mere end en million mennesker, som hver dag bliver ofre herfor. Cyberkriminalitet og cyberkriminelle net bliver mere og mere sofistikerede, og vi skal have de rette operationelle værktøjer og den rette kapacitet til at takle dem. Cyberkriminalitet er forbundet med høj profit og lav risiko, og de kriminelle udnytter ofte websteddomænernes anonymitet. Cyberkriminalitet kender ingen grænser – internettets globale udbredelse betyder, at de retshåndhævende myndigheder er nødt til at vedtage en koordineret og samarbejdsbaseret tilgang på tværs af grænserne for at kunne imødegå denne voksende trussel.

En stærk og effektiv lovgivning

EU og medlemsstaterne har brug for en stærk og effektiv lovgivning til at bekæmpe cyberkriminalitet. Europarådets konvention om it-kriminalitet, også kendt som Budapestkonventionen, er en bindende international traktat, som udgør en effektiv ramme for vedtagelsen af national lovgivning.

EU har allerede vedtaget lovgivning om cyberkriminalitet, herunder et direktiv om bekæmpelse af seksuel udnyttelse af børn og børnepornografi[22]. Man er i EU også ved at blive enige om et direktiv om angreb mod informationssystemer, især gennem brug af botnet.

Kommissionen vil: · sikre, at direktiverne vedrørende cyberkriminalitet gennemføres og anvendes hurtigt · indtrængende opfordre de medlemsstater, der endnu ikke har ratificeret Europarådets Budapestkonvention om it-kriminalitet, til at ratificere og gennemføre dens bestemmelser hurtigst muligt.

Styrkelse af den operationelle kapacitet til at bekæmpe cyberkriminalitet

Udviklingen af cyberkriminelle teknikker er i hastig stigning: de retshåndhævende myndigheder kan ikke bekæmpe cyberkriminalitet med forældede operationelle værktøjer. I øjeblikket har ikke alle EU-medlemsstater den operationelle kapacitet, de skal bruge til effektivt at imødegå cyberkriminalitet. Alle medlemsstater bør have effektive nationale enheder til bekæmpelse af cyberkriminalitet.

Kommissionen vil: · gennem sine finansieringsprogrammer[23] bistå medlemsstaterne med at identificere huller og styrke deres kapacitet til at undersøge og bekæmpe cyberkriminalitet. Kommissionen vil endvidere støtte organer, der forbinder forskersamfundet/akademiske kredse, retshåndhævere og den private sektor, svarende til det arbejde, der i øjeblikket udføres af de af Kommissionen finansierede ekspertisecentre for cyberkriminalitet, som visse medlemsstater allerede har oprettet. · sammen med medlemsstaterne koordinere indsatsen for at identificere den bedste praksis og de bedste tilgængelige teknikker, bl.a. med støtte fra JRC, for at bekæmpe cyberkriminalitet (f.eks. med hensyn til udvikling og brug af kriminaltekniske redskaber eller til trusselsanalyser). · arbejde tæt sammen med det nye europæiske center for bekæmpelse af cyberkriminalitet (EC3) under Europol og med Eurojust for at afpasse sådanne initiativer med den bedste praksis på det operationelle plan.

Bedre koordination på EU-plan

EU kan supplere medlemsstaternes indsats ved at lette en koordineret og samarbejdsbaseret strategi, der samler retshåndhævende og retlige myndigheder og offentlige og private berørte parter både i og uden for EU.

Kommissionen vil: · støtte det nye europæiske center for bekæmpelse af cyberkriminalitet (EC3) som europæisk kontaktpunkt i forbindelse med bekæmpelsen af cyberkriminalitet. Centret skal bistå med analyser og efterretning, støtte undersøgelser, sørge for kriminaltekniske undersøgelser af høj kvalitet, fremme samarbejde, skabe kanaler for informationsudveksling mellem de kompetente myndigheder i medlemsstaterne, den private sektor og andre interesseparter og gradvis tjene som talerør for de retshåndhævende myndigheder[24]. · støtte indsatsen for at øge det ansvar, der påhviler registratorer af domænenavne, og sikre, at oplysningerne om websteders ejerskab er nøjagtige, på grundlag af håndhævelseshenstillingerne til ICANN (Internet Corporation for Assigned Names and Numbers), i overensstemmelse med EU-retten, herunder databeskyttelsesreglerne. · på basis af den seneste lovgivning fortsat styrke EU's indsats for at bekæmpe seksuelt misbrug af børn online. Kommissionen har vedtaget en europæisk strategi for et bedre internet for børn[25] og har sammen med en række EU-lande og lande uden for EU lanceret en global alliance mod seksuelt misbrug af børn online[26]. Alliancen skal fremme yderligere tiltag fra medlemsstaternes side med støtte fra Kommissionen og EC3. Kommissionen anmoder Europol (EC3) om: · først at fokusere sin analytiske og operationelle støtte på medlemsstaternes undersøgelser af cyberkriminalitet for at hjælpe dem med at optrævle og forhindre kriminelle cybernet, primært i forbindelse med seksuelt misbrug af børn, betalingssvindel, botnet og uautoriseret adgang. · regelmæssigt at udarbejde strategiske og operationelle rapporter om tendenser og nye trusler for at identificere prioriteter og fokusere på undersøgelsestiltag, der iværksættes af de hold, der skal bekæmpe cyberkriminalitet i medlemsstaterne. Kommissionen anmoder Det Europæiske Politiakademi (Cepol) om i samarbejde med Europol: · at koordinere udformningen og planlægningen af kurser med henblik på at udstyre retshåndhævelsesmyndighederne med den viden og ekspertise, der er nødvendig for effektivt at bekæmpe cyberkriminalitet. Kommissionen anmoder Eurojust om: · at identificere de væsentligste hindringer for det retlige samarbejde om undersøgelser vedrørende cyberkriminalitet og for koordinationen mellem medlemsstaterne og med tredjelande og at støtte undersøgelser og retsforfølgelse af cyberkriminalitet, på både operationelt og strategisk plan, samt uddannelse på området. Kommissionen anmoder Eurojust og Europol (EC3) om: · at gennemføre et tæt samarbejde, bl.a. via udveksling af information, for at effektivisere deres indsats for at bekæmpe cyberkriminalitet, i overensstemmelse med deres respektive mandater og kompetencer.

2.3.        Udvikling af cyberforsvarspolitik og -kapacitet i forbindelse med rammerne for den fælles sikkerheds- og forsvarspolitik (FSFP)

Cybersikkerhedsindsatsen i EU omfatter også cyberforsvarsdimensionen. For bedre at ruste kommunikations- og informationssystemerne, der understøtter medlemsstaternes forsvars- og sikkerhedsinteresser, bør udbygningen af cyberforsvarskapaciteten koncentreres om detektering, indsats og genopretning i tilfælde af avancerede cybertrusler.

Da disse trusler er komplekse, bør der skabes større synergi mellem de civile og militære tilgange til at beskytte kritisk infrastruktur. Disse bestræbelser bør støttes af forskning og udvikling og tættere samarbejde mellem de offentlige myndigheder, den private sektor og den akademiske verden i EU. For at undgå overlapning vil EU undersøge mulighederne for, hvordan EU og NATO kan supplere deres bestræbelser for at gøre den kritiske infrastruktur, som medlemmerne af de to organisationer er afhængige af, i staten, forsvaret og på andre områder mere robust.

Den høje repræsentant vil fokusere på følgende hovedaktiviteter og opfordrer medlemsstaterne og Det Europæiske Forsvarsagentur til at samarbejde med henblik herpå:

· Vurdering af EU’s operationelle cyberforsvarskrav og fremme af udviklingen af EU's cyberforsvarskapacitet og ‑teknologi for at håndtere alle aspekter af kapacitetsudvikling – herunder doktrin, ledelse, organisation, personale, uddannelse, teknologi, infrastruktur, logistik og interoperabilitet.

· Udvikling af EU’s cyberforsvarspolitiske ramme til at beskytte net i forbindelse med FSFP-missioner og -operationer, herunder dynamisk risikostyring, bedre trusselsanalyse og informationsudveksling. Forbedring af mulighederne for cyberforsvarsundervisning og ‑øvelser for militæret i europæisk og multinational kontekst, herunder integration af cyberforsvarselementer i de eksisterende programmer.

· Fremme af dialogen og koordinationen mellem civile og militære aktører i EU – med særlig vægt på udveksling af god praksis, udveksling af oplysninger og hurtig varsling, håndtering af hændelser, risikovurdering, bevidstgørelse og prioritering af cybersikkerhed.

· Dialog med internationale partnere, herunder NATO, andre internationale organisationer og multinationale ekspertisecentre, for at sikre effektiv forsvarskapacitet, identificere samarbejdsområder og undgå overlapninger.

2.4.        Udvikling af industrielle og teknologiske ressourcer til at fremme cybersikkerhed

Europa har en fremragende forsknings- og udviklingskapacitet, men mange af de globale førende udbydere af innovative ikt-produkter og ‑tjenesteydelser befinder sig uden for EU. Der er en risiko for, at Europa bliver for afhængig ikke kun af ikt, der produceres andre steder, men også af sikkerhedsløsninger, som udvikles uden for dets grænser. Det er vigtigt at sikre, at hardware- og softwarekomponenter, der produceres i EU og i tredjelande og anvendes i kritiske tjenester og infrastruktur samt også i stigende grad i mobile enheder, er pålidelige og sikre og garanterer, at personoplysninger beskyttes.

Fremme af et indre marked for cybersikkerhedsprodukter

Der kan kun opnås en høj grad af sikkerhed, hvis alle i værdikæden (f.eks. fabrikanter af materiel, udviklere af software og udbydere af informationssamfundstjenester) gør sikkerhed til en prioritet. Det ser dog ud til[27], at mange aktører stadig betragter sikkerhed som næsten endnu byrde, og der er begrænset efterspørgsel efter sikkerhedsløsninger. Det er nødvendigt, at der overholdes passende krav for cybersikkerhed i hele værdikæden for de ikt-produkter, der bruges i Europa. Den private sektor skal have incitamenter til at sørge for et højt niveau af cybersikkerhed - f.eks. vil mærker, der attesterer passende cybersikkerhed, kunne give virksomheder, der har gode præstationer og resultater inden for cybersikkerhed, et salgsargument og dermed også en konkurrencefordel. Desuden vil de forpligtelser, der er fastlagt i forslaget til NIS-direktiv, i betydelig grad kunne bidrage til at øge virksomhedernes konkurrenceevne i de omfattede sektorer.

Man bør også søge at fremme en fælleseuropæisk markedsefterspørgsel efter yderst sikre produkter. For det første tager denne strategi sigte på at øge samarbejdet og gennemsigtigheden for ikt-produkters sikkerhed. Der opfordres til, at der etableres en platform, der samler relevante europæiske offentlige og private interesseparter, for at fastlægge god cybersikkerhedspraksis for hele værdikæden og skabe gunstige markedsvilkår for udviklingen og indførelsen af sikre ikt-løsninger. Der bør primært fokuseres på nye incitamenter til at foretage en passende risikostyring og vedtage sikkerhedsstandarder og ‑løsninger og på mulighederne for at indføre frivillige EU-certificeringsordninger, der bygger på eksisterende ordninger i EU og på internationalt plan. Kommissionen vil arbejde for, at der vedtages en kohærent tilgang blandt medlemsstaterne for at undgå forskelle, der forårsager stedrelaterede ulemper for virksomheder.

For det andet vil Kommissionen støtte udviklingen af sikkerhedsstandarder og EU-dækkende frivillige certificeringsordninger inden for cloud computing, samtidig med at der tages behørigt hensyn til behovet for at sikre databeskyttelsen. Arbejdet bør koncentreres om sikkerhed i forsyningskæden, navnlig i kritiske økonomiske sektorer (industrielle styringssystemer, energi og transportinfrastruktur). Dette arbejde bør bygge på det løbende standardiseringsarbejde i de europæiske standardiseringsorganer (CEN, CENELEC og ETSI)[28], arbejdet i koordinationsgruppen for cybersikkerhed samt ekspertise fra ENISA, Kommissionen og andre relevante aktører.

Kommissionen vil: · i 2013 lancere en offentlig-privat platform for NIS-løsninger til at udvikle incitamenter for indførelsen af sikre ikt-løsninger og god cybersikkerhed, som skal anvendes for ikt-produkter, der bruges i Europa. · i 2014 foreslå anbefalinger til at sørge for cybersikkerheden for ikt i hele værdikæden på grundlag af denne platforms arbejde · undersøge, hvordan større udbydere af ikt-hardware og ‑software vil kunne informere de nationale kompetente myndigheder om konstaterede sårbarheder, som vil kunne få betydelige sikkerhedsfølger. Kommissionen anmoder ENISA om: · i samarbejde med relevante nationale kompetente myndigheder, relevante interesseparter, internationale og europæiske standardiseringsorganer og Europa-Kommissionens fælles forskningscenter at udarbejde tekniske retningslinjer og henstillinger til indførelsen af NIS-standarder og god NIS-praksis i den offentlige og private sektor. Kommissionen opfordrer offentlige og private interesseparter til: · at fremme udvikling og indførelse af industristyrede sikkerhedsstandarder, tekniske standarder og principperne om indbygget sikkerhed og privatlivsbeskyttelse for fabrikanter af ikt-produkter og udbydere af ikt-tjenester, herunder cloud-udbydere. De nye generationer af software og hardware bør udstyres med stærkere, integrerede og brugervenlige sikkerhedselementer. · at udarbejde industristyrede standarder for virksomhedernes præstationer inden for cybersikkerhed og forbedre de tilgængelige oplysninger til offentligheden ved at udvikle sikkerhedsmærkning eller kvalitetsmærker, der hjælper forbrugerne med at finde rundt på markedet.

Fremme af F&U-investeringer

F&U kan bidrage til en stærk industripolitik, fremme en pålidelig europæisk ikt-industri, sætte skub i det indre marked og reducere Europas afhængighed af udenlandsk teknologi. F&U bør udfylde de teknologiske huller inden for ikt-sikkerhed, forberede den næste generation af sikkerhedsudfordringer, tage hensyn til den konstante udvikling i brugernes behov og udnytte teknologier med dobbelt anvendelse. Den bør også fortsat støtte udviklingen af kryptografi. Dette skal suppleres med en indsats for at omsætte F&U-resultater til kommercielle løsninger ved at tilvejebringe de nødvendige incitamenter og hensigtsmæssige politiske betingelser.

EU bør gøre bedst mulig brug af Horisont 2020[29]-rammeprogrammet for forskning og innovation, der skal lanceres i 2014. Kommissionens forslag indeholder specifikke mål for pålidelig ikt og bekæmpelse af cyberkriminalitet, som er i tråd med denne strategi. Horisont 2020 vil støtte sikkerhedsrelateret forskning i forbindelse med nye ikt-teknologier, tilvejebringe løsninger for at opnå "end-to-end"-sikre ikt-systemer, ‑tjenester og ‑applikationer, tilvejebringe incitamenter til at indføre og gennemføre eksisterende løsninger og tage fat om spørgsmål om interoperabilitet mellem net og informationssystemer. På EU-plan vil der især blive udvist opmærksomhed om at optimere og bedre koordinere forskellige finansieringsprogrammer (Horisont 2020, Fonden for Intern Sikkerhed, EDA-forskning, inklusive det europæiske rammesamarbejde).

Kommissionen vil: · anvende Horisont 2020 til at tage fat om forskellige aspekter af ikt-fortrolighed og –sikkerhed, fra F&U til innovation og anvendelse. Under Horisont 2020 vil der også blive udviklet redskaber og instrumenter til at bekæmpe kriminelle og terroristiske aktiviteter, der er rettet mod cyberspace. · etablere mekanismer til bedre at koordinere EU-institutionernes og medlemsstaternes forskningsdagsordener og tilskynde medlemsstaterne til at investere mere i F&U. Kommissionen opfordrer indtrængende medlemsstaterne til: · inden udgangen af 2013 at udvikle god praksis for anvendelsen af de offentlige myndigheders købekraft (f.eks. via offentlige indkøb) til at stimulere udviklingen og anvendelsen af sikkerhedselementer ved ikt-produkter og ‑tjenester. · at fremme tidlig inddragelse af industrien og den akademiske verden i udviklingen og koordinationen af løsninger. Dette bør ske ved at man bedst muligt udnytter Europas industribase og dertil knyttet teknologisk innovation inden for F&U, og tiltagene bør koordineres mellem de civile og militære organisationers forskningsprogrammer. Kommissionen anmoder Europol og ENISA om: · at identificere nye tendenser og behov i betragtning af udviklingen i cyberkriminalitet og mønstrene for cybersikkerhed, således at der kan udarbejdes digitale kriminaltekniske værktøjer og teknologier, som er hensigtsmæssige. Kommissionen opfordrer offentlige og private interesseparter til: · i samarbejde med forsikringsbranchen at udvikle harmoniseret metrik til beregning af risikopræmier, som ville give virksomheder, der har foretaget investeringer i sikkerhed, mulighed for at nyde fordel af et lavere risikopræmier.

2.5.        Fastlæggelse af en kohærent international cyberspacepolitik i EU og fremme af EU’s centrale værdier

At bevare et åbent, frit og sikkert cyberspace er en global udfordring, som EU bør løse sammen med de relevante internationale partnere og organisationer, den private sektor og civilsamfundet.

EU vil i sin internationale cyberspacepolitik søge at fremme internettets åbenhed og frihed, anspore bestræbelserne for at udvikle adfærdsregler og anvende eksisterende internationale love i cyberspace. EU vil også arbejde for at bygge bro over den digitale kløft og vil deltage aktivt i de internationale bestræbelser på at opbygge cybersikkerhedskapacitet. EU's internationale engagement i cyberspørgsmål vil være styret af EU's centrale værdier: menneskets værdighed, frihed, demokrati, lighed, retsstatsprincippet og respekten for de grundlæggende rettigheder.

Integrering af cyberspacespørgsmål i EU's eksterne forbindelser og fælles udenrigs- og sikkerhedspolitik

Kommissionen, den højtstående repræsentant og medlemsstaterne bør udarbejde en kohærent international EU-politik for cyberspace, som sigter mod større samarbejde og stærkere forbindelser med centrale internationale partnere og organisationer og med civilsamfundet og den private sektor. EU’s samråd med internationale partnere om cyberspørgsmål bør udformes, koordineres og gennemføres således, at der tilføres merværdi til de eksisterende bilaterale dialoger mellem EU's medlemsstater og tredjelande. EU vil lægge fornyet vægt på dialog med tredjelande, med særligt fokus på ligesindede partnere, som deler EU's værdier. Det vil arbejde for at opnå et højt niveau af databeskyttelse, bl.a. for overførsel af personoplysninger til tredjelande. Med henblik på at løse de globale udfordringer i cyberspace vil EU søge tættere samarbejde med organisationer, der er aktive på dette område, såsom Europarådet, OECD, FN, OSCE, NATO, AU, ASEAN og OAS. På det bilaterale plan er samarbejdet med USA særligt vigtigt og vil blive udviklet yderligere, navnlig inden for rammerne af EU's og USA's fælles arbejdsgruppe om cybersikkerhed og cyberkriminalitet.

Et af de væsentligste elementer i EU's internationale cyberpolitik vil bestå i at fremme cyberspace som et område med frihed og grundlæggende rettigheder. En udvidet adgang til internettet bør fremme demokratiske reformer og demokrati i hele verden. En forøgelse af den globale konnektivitet bør ikke ledsages af censur eller af overvågning af masserne. EU bør anspore virksomhedernes sociale ansvar[30] og iværksætte internationale initiativer for at forbedre den globale koordination på dette område.

Ansvaret for et mere sikkert cyberspace ligger hos alle aktører i det globale informationssamfund, fra de enkelte borgere til staten. EU støtter bestræbelserne på at fastsætte normer for adfærd i cyberspace, som alle parter bør overholde. På samme måde som det i EU forventes, at borgerne respekterer deres samfundsmæssige pligter og ansvar og lovgivningen online, bør også staterne overholde normerne og den eksisterende lovgivning. For så vidt angår spørgsmål om international sikkerhed, ansporer EU udviklingen af tillidsskabende foranstaltninger med hensyn til cybersikkerhed for at øge gennemsigtigheden og mindske risikoen for misforståelser med hensyn til statens adfærd.

EU anbefaler ikke, at der skabes nye internationale retlige instrumenter for cyberanliggender.

De juridiske forpligtelser, der er nedfældet i den internationale konvention om borgerlige og politiske rettigheder, den europæiske menneskerettighedskonvention og EU's charter om grundlæggende rettigheder, bør også overholdes online. EU vil fokusere på, hvordan man sikrer, at disse foranstaltninger også håndhæves i cyberspace.

I forbindelse med bekæmpelsen af cyberkriminalitet er Budapestkonventionen et instrument, der kan ratificeres af tredjelande. Den kan bruges som model for udarbejdelsen af national lovgivning mod cyberkriminalitet og som grundlag for det internationale samarbejde på dette område.

Hvis der opstår væbnede konflikter, som omfatter cyberspace, vil den internationale humanitære ret og, hvis det er hensigtsmæssigt, menneskerettighedslovgivningen gælde i påkommende tilfælde. Kapacitetsopbygning vedrørende cybersikkerhed og robust informationsinfrastruktur i tredjelande

Den underliggende infrastruktur, der leverer og letter kommunikationstjenester, vil kunne fungere mere gnidningsløst, hvis det internationale samarbejde styrkes. Dette omfatter udveksling af bedste praksis, udveksling af oplysninger, øvelser i tidlig varsling og fælles styring af hændelser osv. EU vil bidrage til dette mål ved at intensivere de igangværende internationale bestræbelser på at styrke de samarbejdsnet for beskyttelse af kritisk informationsinfrastruktur, som de offentlige myndigheder og den private sektor deltager i.

Det er ikke alle steder i verden, at man får udbytte af internettets positive virkninger, da man nogle steder ikke har en tilstrækkelig åben, sikker, interoperabel og pålidelig adgang. Den Europæiske Union vil derfor fortsat støtte landenes bestræbelser for at give deres befolkninger bedre adgang til internettet og forbedre brugen med henblik på at sikre dets integritet og sikkerhed og effektivt bekæmpe cyberkriminalitet.

I samarbejde med medlemsstaterne vil Kommissionen og den højtstående repræsentant: · søge at udarbejde en kohærent international EU-politik for cyberspace for at øge samarbejdet med vigtige internationale partnere og organisationer, integrere cyberspørgsmål i FUSP og forbedre koordinationen af globale cyberanliggender · støtte udviklingen af adfærdsnormer og tillidsskabende foranstaltninger inden for cybersikkerhed; fremme dialoger om, hvordan man anvender gældende folkeret i cyberspace og fremme Budapestkonventionen med henblik på bekæmpelse af cyberkriminalitet; · medvirke til at fremme og beskytte grundlæggende rettigheder, herunder adgang til information og ytringsfrihed, med fokus på: a) udvikling af nye offentlige retningslinjer om ytringsfrihed online og offline; b) kontrol med eksport af produkter eller tjenester, der kan anvendes til censur eller masseovervågning online; c) udvikling af foranstaltninger og værktøjer til at udvide adgangen til internettet og gøre det mere åbent og robust med sigte på at bekæmpe censur eller masseovervågning inden for kommunikationsteknologi; d) ruste de berørte parter til at bruge kommunikationsteknologien til at fremme de grundlæggende rettigheder. · samarbejde med internationale partnere og organisationer, den private sektor og civilsamfundet for at støtte den globale kapacitetsopbygning i tredjelande til at forbedre adgangen til information og til et åbent internet for at forhindre og imødegå cybertrusler, herunder uheld, cyberkriminalitet og cyberterrorisme, og for at styrke donorkoordinationen i forbindelse med styringen af opbygningen af kapacitet. · anvende forskellige EU-støtteinstrumenter til kapacitetsopbygning i forbindelse med cybersikkerhed, herunder støtte til uddannelse af retshåndhævende, retligt og tekniske personale til at imødegå cybertrusler, samt støtte udarbejdelsen af relevante nationale politikker, strategier og institutioner i tredjelande. · øge den politiske koordination og informationsdeling via de internationale netværker for beskyttelse af kritisk informationsinfrastruktur som f.eks. Meridian-netværket, samarbejde mellem NIS-kompetente myndigheder og andre parter.

3.           Roller og ansvarsområder

Cyberhændelser standser ikke ved grænserne i vores sammenkoblede digitale økonomi og samfund. Alle aktører, det være sig NIS-kompetente myndigheder, CERT, håndhævelsesmyndigheder eller industrien, må påtage sig et ansvar, både nationalt og på EU-plan, og samarbejde for at styrke cybersikkerheden. Da der kan være forskellige retlige rammer og retssystemer, som er involveret, er en af de vigtigste udfordringer for EU nu at præcisere, hvilke roller og ansvarsområder de mange involverede aktører har.

I betragtning af spørgsmålets kompleksitet og de mange forskellige aktører er løsningen ikke en centraliseret europæisk overvågning. De nationale regeringer er bedst placeret til at organisere forebyggelse og reaktion på cyberhændelser og ‑angreb og til at etablere kontakter og netværk med den private sektor og offentligheden på tværs af deres politikker og retlige rammer. Da risiciene potentielt eller rent faktisk er grænseoverskridende, vil en effektiv national indsats samtidig ofte kræve samarbejde på EU-plan. For at behandle spørgsmålet om cybersikkerhed på en omfattende måde bør aktiviteterne spænde over tre centrale piller - NIS, retshåndhævelse og forsvar – som også opererer inden for forskellige juridiske rammer:

3.1.        Koordination mellem NIS-kompetente myndigheder/CERT, retshåndhævelsesmyndigheder og forsvar

På nationalt plan

Medlemsstaterne bør enten allerede nu eller som følge af denne strategi have strukturer til at håndtere cyberrobusthed, cyberkriminalitet og forsvar og bør opnå det kapacitetsniveau, der er nødvendigt for at håndtere cyberhændelser. Men da en række enheder kan have operationelt ansvar over forskellige dimensioner af cybersikkerhed, og da det er vigtigt at inddrage den private sektor, bør koordinationen på nationalt niveau optimeres på tværs af ministerierne. Medlemsstaterne bør i deres nationale strategier for cybersikkerhed fastlægge rollerne og ansvarsområderne for deres forskellige nationale enheder.

Der bør tilskyndes til udveksling af information mellem de nationale enheder og med den private sektor, så medlemsstaterne og den private sektor løbende kan danne sig et samlet billede af de forskellige trusler og bedre forstå nye tendenser og teknikker, der anvendes både til at udføre cyberangreb og til at reagere på dem hurtigere. Ved etableringen af nationale NIS-samarbejdsplaner, som aktiveres i tilfælde af cyberhændelser, bør medlemsstaterne kunne foretage en klar fordeling af roller og ansvarsområder og optimere reaktionsindsatsen.

På EU-plan

Ligesom på nationalt plan er der på EU-plan en række aktører, der beskæftiger sig med cybersikkerhed. Navnlig er ENISA, Europol/EC3 og EDA er tre agenturer, der beskæftiger sig med henholdsvis NIS, retshåndhævelse og forsvar. Disse agenturer har bestyrelser, hvor medlemsstaterne er repræsenteret, og tilbyder platforme for koordination på EU-plan.

Det vil blive tilstræbt at fremme koordinationen og samarbejdet mellem ENISA, Europol/EC3 og EDA på en række områder, hvor de alle er involveret, især med hensyn til tendensanalyse, risikovurdering, uddannelse og udveksling af eksempler på bedste praksis. De bør samarbejde, men samtidig bevare deres særlige karakteristika. Disse agenturer bør sammen med CERT-EU, Kommissionen og medlemsstaterne støtte oprettelsen af en anset gruppe tekniske og politiske eksperter på dette område.

Uformelle kanaler for koordination og samarbejde vil blive suppleret af mere strukturerede forbindelser. EU’s militærstab og EDA’s projektgruppe for cyberforsvar kan bidrage til at fremme koordinationen på forsvarsområdet. Programrådet for Europol/EC3 vil samle repræsentanter fra bl.a. Eurojust, Cepol, medlemsstaterne[31], ENISA og Kommissionen, som derigennem vil få mulighed for at udveksle særlig knowhow og sikre, at EC3's tiltag gennemføres i partnerskab, hvor alle berørte parters yderligere ekspertise anerkendes og deres mandat respekteres. ENISA’s nye mandat skulle gøre det muligt at styrke forbindelserne med Europol og med de berørte parter i industrien. Det vigtigste er dog, at Kommissionens lovgivningsforslag om NIS vil fastlægge en ramme for samarbejdet via et netværk af nationale NIS-kompetente myndigheder og behandle spørgsmål om informationsudveksling mellem NIS-myndigheder og retshåndhævende myndigheder.

På internationalt plan

Kommissionen og den højtstående repræsentant sikrer sammen med medlemsstaterne en koordineret international indsats med hensyn til cybersikkerhed. Kommissionen og den høje repræsentant vil dermed forsvare EU's centrale værdier og fremme en fredelig, åben og gennemsigtig anvendelse af cyberteknologier. Kommissionen, den højtstående repræsentant og medlemsstaterne fører en politisk dialog med internationale partnere og internationale organisationer som f.eks. Europarådet, OECD, OSCE, NATO og FN.

3.2.        EU-støtte i tilfælde af et større cyberhændelser eller ‑angreb

Større cyberhændelser eller ‑angreb kan få følger for EU's offentlige myndigheder, erhvervslivet og enkeltpersoner. Som følge af denne strategi, og især det foreslåede direktiv om net- og informationssikkerhed, bør forebyggelsen, detekteringen og imødegåelsen af cyberhændelser blive forbedret, og medlemsstaterne og Kommissionen bør holde hinanden bedre orienteret om større cyberhændelser eller ‑angreb. Indsatsmekanismerne vil dog være forskellige, alt efter hændelsens art, omfang og grænseoverskridende virkninger.

Hvis hændelsen har alvorlige konsekvenser for drifts/forretningskontinuiteten, foreslås det i NIS-direktivet, at der udløses nationale eller EU-dækkende NIS-samarbejdsplaner, afhængigt af hændelsens grænseoverskridende karakter. Netværket af NIS-kompetente myndigheder vil i den forbindelse blive anvendt til at udveksle information og støtte. Dette vil gøre det muligt at bevare og/eller genoprette de berørte net og tjenester.

Hvis hændelsen synes at vedrøre en kriminel handling, bør Europol/EC3 underrettes, således at de – sammen med de retshåndhævende myndigheder i de berørte lande – kan iværksætte en undersøgelse, bevare bevismateriale, identificere gerningsmændene og i sidste ende sikre, at disse retsforfølges.

Hvis hændelsen synes at vedrøre cyberspionage eller et statsstøttet angreb eller har følger for den nationale sikkerhed, vil de nationale sikkerheds- og forsvarsmyndigheder advare deres relevante kolleger, så de ved, at de er under angreb og kan forsvare sig. Derefter aktiveres mekanismerne for tidlig varsling, og, hvis det er påkrævet, krisestyring eller andre procedurer. En cyberhændelse eller et cyberangreb, der er særligt alvorlige, vil kunne udgøre tilstrækkelig begrundelse for, at en medlemsstat kan påberåbe sig EU’s solidaritetsbestemmelse (artikel 222 i traktaten om Den Europæiske Unions funktionsmåde).

Hvis hændelsen synes at have kompromitteret personoplysninger, bør de nationale databeskyttelsesmyndigheder eller den nationale tilsynsmyndighed i henhold til direktiv 2002/58/EF inddrages.

Endelig vil man til håndteringen af cyberhændelser og ‑angreb kunne trække på kontaktnet og støtte fra internationale partnere. Dette kan omfatte teknisk afbødning, kriminalundersøgelse eller aktivering af krisestyrings- og indsatsmekanismer.

4.           Konklusion og opfølgning

Dette forslag til en EU-strategi for cybersikkerhed, som er fremsat af Kommissionen og Unionens højtstående repræsentant for udenrigsanliggender og sikkerhedspolitik, skitserer EU's vision og de tiltag, der kræves, på grundlag af en stærk beskyttelse og fremme af borgernes rettigheder, for at gøre EU’s onlinemiljø til det sikreste i verden[32].

Denne vision kan kun virkeliggøres gennem et reelt partnerskab mellem mange aktører, hvor man påtager sig et ansvar og tager fat om de fremtidige udfordringer.

Kommissionen og den høje repræsentant opfordrer derfor Rådet og Europa-Parlamentet til, at de godkender strategien og bidrager til at realisere de skitserede tiltag. Der er også brug for stærk opbakning og engagement fra den private sektor og civilsamfundet, som er nøgleaktører, med henblik på at øge vores sikkerhedsniveau og beskytte borgernes rettigheder.

Det er nu, der skal handles. Kommissionen og den højtstående repræsentant er fast besluttet på at arbejde sammen med alle aktører til at opnå den sikkerhed, Europa har brug for. For at sikre at strategien gennemføres hurtigt og i lyset af den eventuelle udvikling, vil de samle alle relevante parter i en konference på højt plan og vurdere fremskridtene i løbet af 12 måneder.

[1]               Http://www.epc.eu/DSM/2/study_by_copenhagen.pdf

[2]               F.eks. planter med tilknyttede sensorer til at kommunikere med sprinkleranlægget, når det er tid til vanding.

[3]               2012 Special Eurobarometer 390 on Cybersecurity

[4]               Ved cybersikkerhed forstås normalt de beskyttelsesforanstaltninger og tiltag, der kan iværksættes til at beskytte cyberspace på både civile og militære områder mod trusler, der er forbundet med eller kan skade dets indbyrdes afhængige net og informationsinfrastruktur. I forbindelse med cybersikkerhed tilstræbes det at bevare netværkenes og infrastrukturens tilgængelighed og integritet og beskytte fortroligheden af de oplysninger, de indeholder.

[5]               Ved cyberkriminalitet forstås normalt en bred vifte af forskellige kriminelle aktiviteter, der omfatter computere og informationssystemer enten som primært værktøj eller som primært mål. Cyberkriminalitet omfatter traditionelle overtrædelser (f.eks. svig, forfalskning og identitetstyveri), indholdsrelaterede overtrædelser (f.eks. onlineudbud af børnepornografi eller tilskyndelse til racehad) og overtrædelser, der udelukkende er rettet mod computere og informationssystemer (f.eks. angreb på informationssystemer, denial of service og malware).

[6]               Se også KOM(2009) 277, meddelelse fra Kommissionen til Europa-Parlamentet og Rådet om "Forvaltning af internettet: de næste skridt".

[7]               Tiltag i forbindelse med informationsudveksling bør, når der er tale om personoplysninger, være i overensstemmelse med EU’s databeskyttelseslovgivning.

[8]               Se henvisningerne i denne meddelelse og i konsekvensanalysen i arbejdsdokumentet fra Kommissionens tjenestegrene, der ledsager Kommissionens forslag til et direktiv om net- og informationssikkerhed, navnlig afsnit 4.1.4, 5.2, bilag 2, bilag 6 og bilag 8.

[9]               I 2001 vedtog Kommissionen meddelelsen "Net- og informationssikkerhed: Forslag til en europæisk strategi" (KOM(2001) 298, endelig.); I 2006 vedtog Kommissionen en strategi for et sikkert informationssamfund (KOM(2006) 251). Siden 2009 har Kommissionen endvidere vedtaget en handlingsplan og en meddelelse om beskyttelse af kritisk informationsinfrastruktur (KOM(2009) 149, godkendt ved Rådets resolution 2009/C 321/01, og KOM(2011) 163, godkendt ved Rådets konklusioner 10299/11).

[10]             Forordning (EF) nr. 460/2004

[11]             KOM(2010) 521. De tiltag, der foreslås i denne strategi, medfører ikke ændringer af ENISA’s nuværende eller fremtidige mandat.

[12]             Artikel 13a og 13b i direktiv 2002/21/EF.

[13]             Artikel 17 i direktiv 95/46/EF; artikel 4 i direktiv 2002/58/EF.

[14]             Det europæiske forum for medlemsstaterne blev iværksat via KOM(2009) 149 som en platform til at fremme drøftelser mellem medlemsstaternes offentlige myndigheder om gode strategier for kritiske informationsinfrastrukturers sikkerhed og robusthed.

[15]             Det europæiske offentlig-private partnerskab for en robust infrastruktur blev iværksat via KOM(2009) 149. Denne platform indledte arbejdet og fremmede samarbejdet mellem den offentlige og den private sektor om identifikation af vigtige aktiver, ressourcer, funktioner og basiskrav for en robust infrastruktur samt samarbejdsbehov og mekanismer til at reagere på omfattende forstyrrelser med virkninger for elektronisk kommunikation.

[16]             https://ec.europa.eu/digital-agenda/en/connecting-europe-facility. CEF budgetpost 09.03.02 - Telenet (til at fremme sammenkobling og interoperabilitet mellem de nationale offentlige tjenester online samt adgangen til disse net).

[17]             CIP-ICT PSP-2012-6, 325188. Det har et samlet budget på 15 mio. EUR, med en EU-finansiering på 7,7 mio. EUR.

[18]             http://www.trustindigitallife.eu/

[19]             Denne arbejdsgruppe, der blev nedsat i forbindelse med topmødet mellem EU og USA i november 2010 (MEMO/10/597), har til opgave at udvikle samarbejdstiltag vedrørende en lang række spørgsmål om cybersikkerhed og cyberkriminalitet.

[20]             Programmet for et sikrere internet finansierer et netværk af ngo'er, der er aktive inden for børns velfærd online, et netværk af retshåndhævende organer, der udveksler oplysninger og bedste praksis vedrørende kriminel udnyttelse af internettet i forbindelse med udbredelse af materiale om seksuelt misbrug af børn, og et netværk af forskere, der indsamler oplysninger om onlineteknologiers anvendelse, risici og konsekvenser for børns liv.

[21]             Også med inddragelse af relevante nationale myndigheder, herunder NIS-kompetente myndigheder og databeskyttelsesmyndigheder.

[22]             Direktiv 2011/93/EU om erstatning af Rådets rammeafgørelse 2004/68/RIA.

[23]             For 2013, under programmet om forebyggelse og bekæmpelse af kriminalitet (ISEC). Efter 2013, under Fonden for Intern Sikkerhed (nyt instrument under FFR).

[24]             Den 28. marts 2012 vedtog Europa-Kommissionen meddelelsen "Bekæmpelse af kriminalitet for digitale tidsalder - Oprettelse af et europæisk center til bekæmpelse af it-kriminalitet".

[25]             KOM(2012) 196 endelig.

[26]             Rådets konklusioner om en global alliance mod seksuelt misbrug af børn online (EU’s og USA’s fælles erklæring) af 7. og 8. juni 2012 og erklæringen om iværksættelsen af den globale alliance mod seksuelt misbrug af børn online (http://europa.eu/rapid/press-release_MEMO-12-944_en.htm).

[27]             Se konsekvensanalysen i arbejdsdokumentet fra Kommissionens tjenestegrene, der ledsager Kommissionens forslag til et direktiv om net- og informationssikkerhed, pkt. 4.1.5.2.

[28]             Navnlig inden for rammerne af standard M/490 for intelligente net for det første sæt standarder for intelligent net- og referencearkitektur.

[29]             Horisont 2020 er det finansielle instrument til at gennemføre Innovation i EU, som er et Europa 2020-flagskibsinitiativ, der har til formål at sikre Europas globale konkurrenceevne. Fra 2014 til 2020 vil EU's nye rammeprogram for forskning og innovation indgå i indsatsen for at skabe ny vækst og nye arbejdspladser i Europa.

[30]             En ny EU-strategi 2011-2014 for virksomhedernes sociale ansvar, KOM(2011) 681 endelig.

[31]             Via repræsentation i EU’s taskforce vedrørende cyberkriminalitet, der består af lederne for medlemsstaternes enheder for EU-cyberkriminalitet.

[32]             Strategien vil blive finansieret inden for rammerne af de beløb, der er forudset for hvert af de relevante politikområder (CEF, Horisont 2020, Fonden for Intern Sikkerhed, FUSP og eksternt samarbejde, navnlig stabilitetsinstrumentet) som fastsat i Kommissionens forslag om den flerårige finansielle ramme 2014-2020 (med forbehold af budgetmyndighedens godkendelse og de endelige beløb i den vedtagne FFR for 2014-2020). Hvad angår behovet for at sikre overordnet sammenhæng med antallet af disponible stillinger til decentrale organer og underloftet for decentrale organer under de enkelte udgiftsområder i den næste FFR, vil de organer (Cepol, EDA, ENISA, Eurojust og Europol/EC3), der i denne meddelelse anmodes om at påtage sig nye opgaver, blive tilskyndet til at sørge herfor, for så vidt som det er fastslået, at organet rent faktisk har kapacitet til at absorbere øgede ressourcer, og alle muligheder for omfordeling er klarlagt.