EU:s cybersäkerhetsakt

 

SAMMANFATTNING AV FÖLJANDE DOKUMENT:

Förordning (EU) 2019/881 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik (cybersäkerhetsakten)

VILKET SYFTE HAR FÖRORDNINGEN?

Den syftar till att uppnå en hög nivå av cybersäkerhet, cyberresiliens och förtroende i Europeiska unionen (EU) genom att fastställa

• mål, uppgifter och organisatoriska frågor för Europeiska unionens cybersäkerhetsbyrå (Enisa) som stärkts och fått ett nytt namn och ett nytt stående uppdrag,
• en ram för frivilliga europeiska ordningar för cybersäkerhetscertifiering av produkter, tjänster och processer inom informations- och kommunikationstekniken (IKT).

VIKTIGA PUNKTER

Enisas uppdrag är att

• uppnå en hög gemensam nivå av cybersäkerhet i hela EU,
• stödja nationella myndigheter och EU-institutioner, EU-organ och EU-byråer i arbetet med att förbättra cybersäkerheten,
• tjäna som referenspunkt för vetenskaplig och teknisk rådgivning och expertis i fråga om cybersäkerhet för unionens institutioner, organ och byråer samt för andra berörda aktörer,
• bidra till att minska fragmenteringen på den inre marknaden,
• agera självständigt, undvika dubbelarbete i förhållande till nationell verksamhet och ta hänsyn till nationell expertis,
• utveckla sina egna tekniska, mänskliga och kunskapsrelaterade resurser.

Enisas uppgifter är att

• bidra till att utveckla och genomföra EU:s politik och lagstiftning,
• främja kapacitetsuppbyggnad, till exempel genom insatser för bättre förebyggande, upptäckt och analys av, samt förmåga att reagera på, cyberhot* och genom att stödja utvecklingen av nationella enheter för hantering av it-säkerhetsincidenter (CSIRT-enheter) eller genom att anordna cybersäkerhetsövningar på unionsnivå,
• stödja EU:s operativa samarbete mellan alla berörda aktörer, inbegripet EU:s cybersäkerhetstjänst för unionens institutioner, organ och byråer (CERT-EU), framför allt genom utbyte av sakkunskap och bästa praxis, tillhandahållande av relevanta riktlinjer och underhåll av nätverket av nationella och unionens CSIRT-enheter,
• stödja och främja utvecklingen och genomförandet av EU:s cybersäkerhetscertifiering av IKT-produkter, -tjänster och -processer, som en del av sin roll i utarbetandet av ordningar inom det nya europeiska ramverket för cybersäkerhetscertifiering,
• samla in och analysera kunskap och information om cybersäkerhet, särskilt om ny teknik, cyberhot och it-incidenter, för att tillhandahålla information och rådgivning till nationella myndigheter, berörda parter och, genom en särskild portal, allmänheten (medborgare, organisationer och företag),
• öka allmänhetens medvetenhet om cybersäkerhetsrisker, tillhandahålla vägledning om god praxis för enskilda användare och främja medvetenhet och utbildning om cybersäkerhet i allmänhet,
• ge råd om forskningsbehov och -prioriteringar och bidra till EU:s strategiska forsknings- och innovationsagenda för cybersäkerhet, och
• bidra till EU:s ansträngningar att samarbeta om cybersäkerhet med sina internationella partner och organisationer.

Enisa har följande administrativa struktur och ledningsstruktur:

• En styrelse med en företrädare för varje medlemsstat och två ledamöter som utses av Europeiska kommissionen. Styrelsen fastställer den allmänna riktningen för byråns verksamhet och ser till att byrån utför sina uppgifter under förhållanden som gör att den kan tjänstgöra i enlighet med inrättandeförordningen.
• En direktion med fem ledamöter som förbereder beslut som ska antas av styrelsen.
• En oberoende verkställande direktör, som är ansvarig inför styrelsen och på begäran rapporterar till Europaparlamentet och rådet, ansvarar för att sköta byråns förvaltning.
• Enisas rådgivande grupp med erkända experter som företräder berörda intressenter, såsom IKT-branschen, leverantörer av elektroniska kommunikationsnät eller kommunikationstjänster, små och medelstora företag, konsumenter, den akademiska världen, leverantörer av samhällsviktiga tjänster samt företrädare för behöriga myndigheter som anmälts i enlighet med den europeiska kodexen för elektronisk kommunikation, standardiseringsorganisationer, rättsvårdande myndigheter och tillsynsmyndigheter med ansvar för dataskydd, fokuserar på frågor som är relevanta för intressenter och uppmärksammar Enisa på dem.
• Ett nätverk av nationella kontaktpersoner, bestående av företrädare för alla medlemsstater, underlättar informationsutbytet mellan Enisa och medlemsstaterna och stöder Enisa när det gäller att göra dess verksamhet, resultat och rekommendationer allmänt kända.

Genom förordningen inrättas följande:

• En intressentgrupp för cybersäkerhetscertifiering med erkända experter som till exempel ska ge kommissionen råd i strategiska frågor som rör den europeiska ramen för cybersäkerhetscertifiering och på begäran ska ge Enisa råd kring allmänna och strategiska frågor som rör byråns relevanta uppgifter.
• En europeisk grupp för cybersäkerhetscertifiering som består av nationella företrädare och som ska ge kommissionen råd och bistånd i dess arbete med att säkerställa konsekvent genomförande och tillämpning av den europeiska ramen för cybersäkerhetscertifiering, och som ska bistå Enisa när det gäller utarbetandet av förslag till ordningar för cybersäkerhetscertifiering.

Enisa

• inrättas på obestämd tid från och med den 27 juni 2019,
• arbetar enligt ett samlat programdokument som innehåller dess årliga och fleråriga programplanering,
• följer kommissionens säkerhetsbestämmelser för att skydda känsliga icke-sekretessbelagda uppgifter och sekretessbelagda EU-uppgifter,
• röjer inte konfidentiell information som den behandlar eller mottar till tredje part,
• deltar fullt ut i EU:s åtgärder för att bekämpa bedrägeri, korruption och annan olaglig verksamhet,
• behandlar personuppgifter i enlighet med respektive EU-regler.

Genom förordningen inrättas ett europeiskt ramverk för cybersäkerhetscertifiering för att

• förbättra den inre marknadens funktion genom att öka cybersäkerhetsnivån i EU och möjliggöra en harmoniserad strategi på unionsnivå för europeiska ordningar för cybersäkerhetscertifiering i syfte att skapa en digital inre marknad för IKT-produkter, -tjänster och -processer,
• införa en mekanism för att inrätta certifieringsordningar som bekräftar att IKT-produkter, -tjänster och -processer som har utvärderats i enlighet med sådana ordningar uppfyller angivna säkerhetskrav för att skydda tillgängligheten, äktheten, integriteten och konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller funktioner eller tjänster som tillhandahålls av eller är tillgängliga via dessa produkter, tjänster och processer under hela deras livscykel.

Inom ramen sker följande:

• Kommissionen
  • offentliggör unionens löpande arbetsprogram för europeisk cybersäkerhetscertifiering i vilket fastställs strategiska prioriteringar och IKT-produkter, -tjänster och -processer eller -kategorier som skulle kunna dra nytta av en ordning,
  • kan begära att Enisa utarbetar ett förslag till certifieringsordning eller ser över en befintlig sådan.
• Enisa
  • utarbetar lämpliga förslag till certifieringsordning, på begäran av kommissionen eller europeiska gruppen för cybersäkerhetscertifiering,
  • utvärderar varje antagen certifieringsordning vart femte år, med beaktande av synpunkter som inkommit,
  • underhåller en särskild webbplats med information om ordningar för cybersäkerhetscertifiering, europeiska cybersäkerhetscertifikat och EU-intyg om överensstämmelse.

De frivilliga europeiska ordningarna för cybersäkerhetscertifiering

• strävar efter att uppnå olika säkerhetsmål, såsom att skydda lagrade, överförda och behandlade uppgifter,
• betecknar säkerhetsnivån för IKT-produkter, -tjänster och -processer som grundläggande, betydande eller hög,
• låter tillverkare och leverantörer av IKT-produkter, -tjänster och -processer med låg risk (dvs. grundläggande säkerhetsnivå) själva bedöma dessa (självbedömning av överensstämmelse),
• måste innehålla vissa inslag, såsom tydliga beskrivningar av föremålet och tillämpningsområdet och omfattningen samt de utvärderingskriterier och metoder som används,
• ersätter liknande nationella ordningar, även om certifikaten förblir giltiga fram till sin sista giltighetsdag.

Tillverkare och leverantörer av certifierade IKT-produkter, -tjänster eller -processer ska offentliggöra

• vägledning och rekommendationer för att hjälpa slutanvändarna att installera, tillämpa och underhålla sina produkter eller tjänster,
• information om hur länge de tillhandahåller cybersäkerhetsstöd,
• sina kontaktuppgifter,
• hänvisningar till datakataloger med information om välkända cybersäkerhetsfrågor som påverkar deras produkter eller tjänster.

Medlemsstaterna utser en eller flera nationella myndigheter för cybersäkerhetscertifiering med tillräckliga resurser och befogenheter för att övervaka, kontrollera och verkställa reglerna för de europeiska ordningarna för cybersäkerhetscertifiering.

Kommissionen

• bedömer regelbundet effektiviteten och användningen av de antagna certifieringsordningarna och överväger huruvida någon ordning bör göras obligatoriskt,
• skulle slutföra sin första detaljerade bedömning senast den 31 december 2023, och efterföljande bedömningar vartannat år därefter,
• skulle utvärdera Enisas inverkan, effektivitet och ändamålsenlighet senast den 28 juni 2024 och därefter vart femte år.

Fysiska och juridiska personer har rätt att lämna in klagomål till den som utfärdar ett europeiskt cybersäkerhetscertifikat och att söka effektiva rättsmedel.

Genomförandeakt

I januari 2024 antog kommissionen genomförandeförordning (EU) 2024/482 (se sammanfattning). I denna akt fastställs tillämpningsföreskrifter för förordning (EU) 2019/881 vad gäller antagande av den frivilliga europeiska Common Criteria-baserade ordningen för cybersäkerhetscertifiering (EUCC). Detta är den första ordningen på EU-nivå och gäller certifikat för assuransnivåerna ”betydande” och ”hög” för IKT-produkter som maskinvara och programvara, inklusive komponenter som chips och smartkort. I förordningen ingår närmare bestämmelser om bl.a.

• standarder och krav för utvärdering och utfärdande, förnyelse och återkallande av EUCC-certifikat för produkter och skyddsprofiler,
• organ för bedömning av överensstämmelse som är ackrediterade att utfärda certifikat eller ägna sig åt utvärderingsverksamhet,
• övervakning av efterlevnad, bristande överensstämmelse och bristande efterlevnad,
• förfaranden för sårbarhetshantering och sårbarhetsinformation,
• bevarande av uppgifter, utlämnande och skydd av information,
• avtal om ömsesidigt erkännande med länder utanför EU,
• sakkunnighetsbedömning av certifieringsorgan,
• upprätthållande av ordningen, och
• nationella ordningar för cybersäkerhetscertifiering som omfattas av EUCC.

Genomförandeförordningen om EUCC kommer att gälla från och med den 27 februari 2025.

Förordning (EU) 2019/881 och tillhörande genomförandeförordning påverkar inte medlemsstaternas ansvar för allmän säkerhet, försvar, nationell säkerhet och straffrätt.

Genom förordningen upphävs förordning (EU) nr 526/2013 från och med den 27 juni 2019.

VILKEN PERIOD GÄLLER FÖRORDNINGEN FÖR?

Förordningen har gällt sedan den 27 juni 2019.

Artiklarna om utseende av nationella cybersäkerhetsmyndigheter, ackreditering och anmälan av organ för bedömning av överensstämmelse, rätten att inge klagomål till de som utfärdar europeiska cybersäkerhetscertifikat och rätten till rättsmedel samt om påföljder gäller från och med den 28 juni 2021.

BAKGRUND

Enisa, som har sin bas i Aten med ett filialkontor i Heraklion, har bidragit till EU:s nät- och informationssäkerhet sedan 2004. Mer information finns här:

• Om Enisa – Europeiska unionens cybersäkerhetsbyrå (Enisa)
• EU cybersäkerhetscertifiering (Enisa)
• Cybersäkerhetspolitik (Europeiska kommissionen)

VIKTIGA BEGREPP

HUVUDDOKUMENT

Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten) (EUT L 151, 7.6.2019, s. 15).

RELATERADE DOKUMENT

Kommissionens genomförandeförordning (EU) 2024/482 av den 31 januari 2024 om fastställande av tillämpningsföreskrifter för Europaparlamentets och rådets förordning (EU) 2019/881 vad gäller antagande av den europeiska Common Criteria-baserade ordningen för cybersäkerhetscertifiering (EUCC) (EUT L, 2024/482, 7.2.2024).

Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39).

Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen (EUT L 194, 19.7.2016, s. 1).

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1).

Fortlöpande ändringar och rättelser av förordning (EU) 2016/679 har införlivats i originaltexten. Denna konsoliderade version har endast dokumentationsvärde.

Senast ändrat 18.06.2024