EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 52019DC0546
REPORT FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL assessing the consistency of the approaches taken by Member States in the identification of operators of essential services in accordance with Article 23(1) of Directive 2016/1148/EU on security of network and information systems
RAPPORT FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET med en vurdering af ensartetheden i medlemsstaternes tilgange til identifikation af operatører af væsentlige tjenestener i henhold til artikel 23, stk. 1, i direktiv (EU) 2016/1148 om net- og informationssikkerhed
RAPPORT FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET med en vurdering af ensartetheden i medlemsstaternes tilgange til identifikation af operatører af væsentlige tjenestener i henhold til artikel 23, stk. 1, i direktiv (EU) 2016/1148 om net- og informationssikkerhed
COM/2019/546 final
EUROPA-KOMMISSIONEN
Bruxelles, den 28.10.2019
COM(2019) 546 final
RAPPORT FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET
med en vurdering af ensartetheden i medlemsstaternes tilgange til identifikation af operatører af væsentlige tjenestener i henhold til artikel 23, stk. 1, i direktiv (EU) 2016/1148 om net- og informationssikkerhed
1.Indledning
Direktiv (EU) 2016/1148 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen 1 (NIS-direktivet) er det første instrument for det indre marked, der har til formål at forbedre EU's modstandsdygtighed over for cybersikkerhedsrisici. På grundlag af artikel 114 i traktaten om Den Europæiske Unions funktionsmåde har direktivet til formål at sikre kontinuiteten i de tjenester, der gør det muligt for Unionens økonomi og samfund at fungere korrekt. Med dette for øje indfører direktivet konkrete foranstaltninger til at opbygge cybersikkerhedskapaciteter i hele EU og mindske de voksende trusler mod net- og informationssystemer, der anvendes til at levere væsentlige tjenester i nøglesektorer.
Efter direktivets ikrafttræden i august 2016 havde medlemsstaterne en frist til den 9. maj 2018 2 til at vedtage de nationale foranstaltninger, der er nødvendige for at overholde NIS-direktivets bestemmelser. Direktivet fremmer en risikostyringskultur blandt virksomheder eller enheder, der leverer væsentlige tjenester, idet de i artikel 5 defineres som "operatører af væsentlige tjenester". Operatører, der er omfattet af direktivet, skal træffe passende og forholdsmæssige tekniske og organisatoriske foranstaltninger til at styre deres sikkerhedsrisici vedrørende net- og informationssystemer og underrette de kompetente myndigheder om alvorlige hændelser.
Medlovgiverne har uddelegeret gennemførelsen af NIS-direktivet til medlemsstaterne, der skal definere væsentlige tjenester og identificere operatører af væsentlige tjenester på deres område. I henhold til direktivets artikel 5, stk. 7, skal medlemsstaterne således underrette Kommissionen om resultaterne af denne identificering. Med henblik på samordnet underretning har både Kommissionen 3 og den samarbejdsgruppe, der er nedsat i kraft af direktivet 4 , udarbejdet vejledning til medlemsstaterne vedrørende identificeringsprocessen.
I overensstemmelse med artikel 23, stk. 1, vurderes i denne rapport ensartetheden i medlemsstaternes fremgangsmåder med hensyn til at identificere operatører af væsentlige tjenester. I betragtning af den tætte forbindelse mellem ensartethed i identificeringen af operatører af væsentlige tjenester og risikoen for fragmentering på det indre marked på dette område, berører rapporten også den bredere vurdering af NIS-direktivet som angivet i artikel 23, stk. 2. Ifølge denne bestemmelse tager Kommissionen regelmæssigt direktivets overordnede funktion op til revision og vurderer listen over de sektorer og delsektorer, for hvilke operatører af væsentlige tjenester samt de typer af digitale tjenester, der er omfattet af direktivet, skal identificeres. Den første sådanne rapport forelægges senest den 9. maj 2021.
1.1Rapportens formål
Da operatører af væsentlige tjenester spiller en vigtig rolle i økonomien og samfundet som helhed, skal de udvise særlig stor modstandsdygtighed over for cyberhændelser. I den forbindelse er det vigtigt, at medlemsstaterne anvender en ensartet tilgang til identificering af operatører af væsentlige tjenester, af flere grunde:
1.For at mindske de risici, de er forbundet med grænseoverskridende afhængighed:
Hvis vigtige operatører, der leverer grænseoverskridende tjenester, ikke identificeres på en ensartet måde, kan det føre til et uensartet niveau af cyberrobusthed mellem forskellige medlemsstater. Det øger risikoen for, at en grænseoverskridende hændelse kan skade kritiske infrastrukturer eller forårsage tab af menneskeliv 5 . For eksempel er operatører af energitransmission eller topdomænenavneadministratorer, som begge optræder på listen over enheder i bilag II, enheder, som udnytter det indre marked bedst muligt ved at levere grænseoverskridende tjenester til forbrugere og virksomheder. En ensartet identificering af sådanne udbydere i hele Unionen kan derfor bidrage til at forhindre cybertrusler i at sprede sig til hele det indre marked 6 .
2.For at sikre lige konkurrencevilkår for operatører på det indre marked:
Ifølge NIS-direktivet skal medlemsstaterne fastlægge sikkerhedskrav og procedurer for underretning om hændelser for operatører af væsentlige tjenester. Givet direktivets tilgang med minimumsharmonisering vedrørende operatører af væsentlige tjenester står det medlemsstaterne frit for at pålægge operatører krav, som er strengere end direktivets krav. Sådanne foranstaltninger kan ganske vist forbedre medlemsstaternes modstandsdygtighed, men kan samtidig øge de lovgivningsmæssige omkostninger for de berørte operatører. Derfor er det vigtigt, at operatører, der leverer lignende tjenester af lignende relevans, behandles på samme måde lovgivningsmæssigt.
3.For at mindske risikoen for forskellige fortolkninger af direktivet:
Direktivets udformning giver medlemsstaterne råderum til selv at vælge de relevante enheder for at tage hensyn til særlige nationale forhold. Samtidig øger denne tilgang risikoen for uensartet gennemførelse af direktivets bestemmelser og kan potentielt føre til uoverensstemmelser mellem medlemsstaternes foranstaltninger. Dette er især vigtigt med hensyn til virksomheder, der er aktive i flere lande, og som derfor skal opfylde lovkravene i mere end blot en enkelt medlemsstat.
4.For at give et omfattende overblik over cyberrobustheden i hele EU:
Operatører af væsentlige tjenester er underlagt tilsyn for at bekræfte, at sikkerhedspolitikkerne gennemføres effektivt, og at der underrettes om væsentlige hændelser. Tilsyn fremmer udviklingen af et stærkere offentlig-privat samarbejde, der fører til udvikling af en fælles viden om en medlemsstats beredskab i forbindelse med cybersikkerhed. Takket være samarbejdsgruppen kan udveksling af nationale erfaringer, herunder oplysninger om underrettede hændelser 7 , aggregeres på EU-plan og bidrage til en mere nøjagtig vurdering af de vigtigste trusler og behov. For at en sådan informationsudveksling kan virke godt, skal den være baseret på en fælles forståelse af, hvilke enheder der skal identificeres som operatører af væsentlige tjenester.
1.2Identificeringsprocedure i henhold til NIS-direktivet
NIS-direktivets bilag II indeholder en liste over syv sektorer og deres respektive delsektorer samt de typer af enheder, der er relevante for identificeringsprocessen (tabel 1). I henhold til artikel 5, stk. 3, skal medlemsstaterne udarbejde en liste over væsentlige tjenester baseret på disse sektorer, delsektorer og typer af enheder. Direktivets tilgang med minimumsharmonisering giver medlemsstaterne mulighed for at gå videre end bilag II og foretage identificering i yderligere sektorer og delsektorer.
|
Sektor |
Delsektor |
|
1. Energi |
a) Elektricitet |
|
b) Olie |
|
|
c) Gas |
|
|
2. Transport |
a) Lufttransport |
|
b) Jernbanetransport |
|
|
c) Søfart |
|
|
d) Vejtransport |
|
|
3. Bankvæsen |
|
|
4. Finansielle markedsinfrastrukturer |
|
|
5. Sundhedssektoren |
|
|
6. Drikkevandsforsyning og distribution |
|
|
7. Digital infrastruktur |
|
Tabel 1: Sektorer og delsektorer i NIS-direktivets bilag II
I artikel 5, stk. 2, fastlægges tre kriterier for medlemsstaternes identificering af operatører af væsentlige tjenester:
1.Den pågældende enhed leverer en tjeneste, der er væsentlig for opretholdelsen af kritiske samfundsmæssige og/eller økonomiske aktiviteter. Med henblik herpå skal de nationale kompetente myndigheder benytte deres tidligere etablerede lister over væsentlige tjenester.
2.Leveringen af denne tjeneste afhænger af net- og informationssystemer.
3.En hændelse ville få væsentlige forstyrrende virkninger for leveringen af den relevante tjeneste. I artikel 6 præciseres det, at betydningen af en hændelse skal vurderes ved hjælp af tværsektorielle forhold og, hvor det er relevant, sektorspecifikke forhold 8 .
Endvidere fremgår det af direktivets artikel 5, stk. 4, at medlemsstaterne hører hinanden, hvis de konstaterer, at en potentiel operatør af væsentlige tjenester leverer tjenester i mere end én medlemsstat. Denne obligatoriske procedure skal hjælpe medlemsstaterne med at vurdere den potentielle indvirkning af en cyberhændelse, der påvirker enheder med grænseoverskridende aktiviteter, og fungere som en sikkerhedsforanstaltning for de virksomheder, der er berørt af proceduren i forskellige medlemsstater.
1.3Rapportens metodologi
Resultaterne af rapporten er baseret på en vurdering foretaget mellem november 2018 og september 2019. Mange medlemsstater havde ikke rettidigt forelagt Kommissionen de oplysninger, der var nødvendige for at udarbejde denne rapport. Rapportens vedtagelse måtte derfor udsættes til efter den 9. maj 2019, dvs. den dato for vedtagelse, der er fastsat i NIS-direktivets artikel 23, stk. 1. Oplysningerne blev indsamlet gennem flere kanaler: oplysninger fra medlemsstaterne på grundlag af en standardiseret skabelon udarbejdet af ENISA, standardiserede interviews med udvalgte nationale myndigheder, og møder i samarbejdsgruppen, herunder en workshop om emnet, der fandt sted den 19. marts 2019.
På grundlag af de indsamlede oplysninger evalueres det i rapporten, hvor ensartet medlemsstaternes tilgang til identificering er ved
1.at sammenligne de forskellige identificeringsmetoder, som de nationale myndigheder har valgt,
2.at undersøge listerne over væsentlige tjenester og de tærskler, som medlemsstaterne har valgt,
3.at analysere antallet af operatører af væsentlige tjenester i de enkelte medlemsstater.
I rapporten evalueres det ligeledes, hvordan direktivets bestemmelser om den grænseoverskridende høringsprocedure (artikel 5, stk. 4) og lex specialis-princippet (artikel 1, stk. 7) er gennemført. Rapporten indeholder en faktuel analyse af medlemsstaternes identificeringsproces samt foreløbige konklusioner og åbne spørgsmål, der kan overvejes nærmere.
1.4Datatilgængelighed
Ifølge NIS-direktivet skal medlemsstaterne kun indberette et begrænset datasæt til Kommissionen. For eksempel er de nationale myndigheder ikke forpligtet til at fremsende navnene på de identificerede operatører, hvilket gør det vanskeligt for Kommissionens tjenestegrene at sammenligne resultaterne af identificeringsprocessen med hensyn til listens fuldstændighed og indvirkningen på virksomheder af samme størrelse i samme sektor.
I henhold til artikel 5, stk. 7, burde alle medlemsstater have forelagt det nødvendige input til denne rapport senest den 9. november 2018. Kun 15 lande havde imidlertid forelagt væsentlige oplysninger senest denne dato (se bilagstabellen i afsnit 4.1). Efter gentagne påmindelser fra Kommissionen manglede der stadig betydelige mængder oplysninger. Den 6. juli 2019 sendte Kommissionen derfor en åbningsskrivelse til seks medlemsstater 9 med opfordring til at forelægge de manglende oplysninger inden for to måneder.
På datoen for offentliggørelsen af denne rapport havde 23 medlemsstater forelagt alle de oplysninger, der kræves i henhold til artikel 5, stk. 7: Bulgarien, Cypern, Danmark, Det Forenede Kongerige, Estland, Finland, Frankrig, Grækenland, Irland, Italien, Kroatien, Letland, Litauen, Luxembourg, Malta, Nederlandene, Polen, Portugal, Slovakiet, Spanien, Sverige, Tjekkiet, og Tyskland. De øvrige fem medlemsstater (Belgien, Rumænien, Slovenien, Ungarn og Østrig) har kun delvist forelagt data om national identificering af operatører af væsentlige tjenester, da det ikke har været muligt for dem at afslutte deres identificeringsproces før offentliggørelsen af denne rapport.
2.Medlemsstaternes identificering af operatører af væsentlige tjenester
NIS-direktivet fastlægger en ramme for identificering af operatører af væsentlige tjenester, som giver medlemsstaterne råderum til at tage hensyn til særlige nationale forhold. Som følge heraf har medlemsstaterne udviklet en lang række forskellige identificeringsmetoder.
2.1Medlemsstaternes metodologi
Medlemsstaterne har udviklet forskellige metoder til at identificere operatører og har dermed fuldt udnyttet den fleksibilitet, som NIS-direktivet indebærer. Et af de elementer, der har haft indflydelse på de nationale metoder, var, at der allerede fandtes en ramme, f.eks. Rådets direktiv 2008/114/EF om kritisk infrastruktur 10 , eller andre nationale bestemmelser om "væsentlige operatører". I sådanne tilfælde tog medlemsstaterne udgangspunkt i deres tidligere erfaring og indarbejdede særlige forhold vedrørende NIS-direktivet i deres eksisterende metodologi.
Forskellene i nationale metoder falder inden for følgende hovedkategorier: væsentlige tjenester, anvendelse af tærskler, centraliseringsgrad, myndigheder med ansvar for identificering, og vurdering af afhængigheden af net- og informationssystemer. På grund af betydningen for vurderingen af ensartetheden i identificering af operatører af væsentlige tjenester analyseres væsentlige tjenester og tærskler i separate afsnit. De øvrige kriterier behandles i dette afsnit.
Centraliseringsgrad
De fleste medlemsstater har valgt at uddelegere en del af beslutningsprocessen vedrørende forskellige elementer i identificeringsprocessen til sektormyndigheder (ministerier, styrelser osv.). Centraliseringsgraden varierer fra sag til sag. De fleste medlemsstater udpeger en enkelt myndighed som ansvarlig for at give vejledning til sektormyndighederne og konsolidere oplysninger, men nogle lande har valgt at lade en enkelt myndighed stå for identificeringsprocessen. Der er også tilfælde af meget udpræget decentralisering, hvor sektormyndighederne er ansvarlige for at udvikle deres egne metoder.
Mange medlemsstater har omhyggeligt afvejet de forskellige aspekter af den institutionelle struktur for identificering af operatører af væsentlige tjenester. Myndigheder har angivet undgåelse af interessekonflikter som en af fordelene ved centraliseret identificering: operatørerne synes at være mere tilbageholdende med at videregive relevante oplysninger til sektormyndighederne, da de frygter, at oplysningerne også vil blive brugt til andre reguleringsformål.
En decentraliseret tilgang synes på den anden side at fremme dialogen mellem de kompetente NIS-myndigheder (både inden for cybersikkerhed og sektormyndigheder) og hjælpe dem med bedre at identificere konsekvenserne af tværsektoriel afhængighed. Endvidere har sektormyndighederne normalt en dybere forståelse af sektorerne end de overordnede myndigheder.
Identifikationsprocedure (top-down eller bottom-up)
Det er også vigtigt at skelne mellem de medlemsstater, hvor de offentlige myndigheder står for identificeringsprocessen ("top-down"-identificering), og de medlemsstater, hvor markedsoperatørerne selv skal kontrollere, om de opfylder kravene som operatører af væsentlige tjenester ("bottom-up"-identificering eller selvidentificering). Hvis sidstnævnte tilgang skal fungere effektivt, skal medlemsstaterne fastsætte bøder, der er høje nok til at afskrække operatører fra at holde sig tilbage, som det fremgår af NIS-direktivets artikel 21. De fleste har valgt en top-down-identificeringsproces. I praksis benytter myndighederne dog ofte til dels visse elementer af selvevaluering, f.eks. spørgeskemaer, som potentielle operatører af væsentlige tjenester skal udfylde.
Hvis reglerne og tærsklerne for identificering af operatører af væsentlige tjenester er udtrykkelige og gennemsigtige, burde både top-down- og bottom-up-identificering give resultater, der ligger tæt på hinanden. Valg af den ene frem for den anden tilgang burde derfor i princippet ikke have betydning for ensartetheden.
Vurdering af netafhængighed
Som beskrevet i afsnit 1.2, skal medlemsstaterne i henhold til artikel 5, stk. 2, litra b), vurdere en operatørs afhængighed af net- og informationssystemer som led i identificeringsprocessen for operatører af væsentlige tjenester. I forbindelse med anvendelsen af disse kriterier anser mange medlemsstater afhængighed af net- og informationssystemer for at være en del af nutidens digitale økonomi. Nogle myndigheder valgte imidlertid mere omfattende fremgangsmåder, f.eks. at udføre detaljerede vurderinger eller anmode operatørerne om selv at vurdere deres afhængighed.
2.2Identificering af tjenester
I 23. betragtning til NIS-direktivet nævnes udtrykkeligt listen over væsentlige tjenester som input til "vurderingen af den lovgivningsmæssige praksis i hver medlemsstat, så der kan sikres en overordnet sammenhæng i identificeringsprocessen blandt medlemsstaterne". Da de lister over væsentlige tjenester, som medlemsstaterne udarbejder, danner grundlag for identificeringen af operatører, kan forskelle i de identificerede tjenester føre til uensartet identificering af operatører på tværs af medlemsstaterne, navnlig hvis bestemte tjenester, der leveres i alle lande, kun identificeres af nogle medlemsstater.
Antallet af tjenester, som medlemsstaterne har identificeret, ifølge NIS-direktivets bilag II, og som er indberettet til Kommissionen, varierer kraftigt mellem medlemsstaterne (alle medlemsstaternes antal fremgår af bilaget i afsnit 4.2). Med et gennemsnit på 35 tjenester pr. medlemsstat varierer antallet af identificerede tjenester fra 12 til 87 som vist i figur 1 . Mens de større medlemsstater har tendens til at identificere lidt flere tjenester end de mindre medlemsstater, synes der ikke at være nogen stærk sammenhæng mellem medlemsstaternes størrelse og antallet af identificerede tjenester. Dette kan forventes, fordi forbrugerne og virksomhederne i praksis normalt har adgang til de samme typer tjenester i alle medlemsstater uanset størrelse.
Figur 1: Samlet antal væsentlige tjenester identificeret af medlemsstaterne
Antallet af identificerede tjenester varierer ikke kun ved betragtning af medlemsstaterne som helhed, men også ved et nærmere blik på sektorer og delsektorer. For eksempel varierer antallet af identificerede tjenester i banksektoren fra 1 til 21. Som figur 2 viser, er der betydelige forskelle mellem landene inden for de fleste sektorer og delsektorer.
Figur 2: Antal tjenester, som medlemsstaterne har identificeret i hver sektor og delsektor. Hvert datapunkt repræsenterer antallet af identificerede tjenester i en medlemsstat i den pågældende sektor/delsektor 11
De antal, der vises i figur 2 , afspejler til en vis grad forskelle mellem landenes metoder. Nogle medlemsstater har f.eks. valgt en mere granulær tilgang til at identificere tjenester end andre har. Antallet er således højere for disse medlemsstater. De oplysninger, som Kommissionen har modtaget fra medlemsstaterne, viser dog tydeligt, at forskellene i antal også skyldes medlemsstaternes uensartede valgte fremgangsmåder, som illustreret ved nedenstående eksempler fra delsektorerne elektricitet og jernbanetransport:
|
Estland
|
Portugal |
Danmark |
Bulgarien
|
||
|
Elektricitetsforsyning |
Distributionssystemoperatører |
Distribution af elektricitet |
Distribution af elektricitet |
||
|
Sikring af driften og vedligeholdelsen af et distributionssystem for elektrisk energi |
|||||
|
Transmissionssystemoperatører |
Transmission af elektricitet |
Transmission af elektricitet |
|||
|
Drift, vedligeholdelse og udvikling af et transmissionssystem for elektricitet |
|||||
|
Produktion af elektricitet |
Produktion af elektricitet |
|||
|
|
Marked for elektricitet |
Tabel 2: Eksempler på medlemsstaters valg af tilgang til identificering af væsentlige tjenester i delsektoren elektricitet
I tabel 2 sammenlignes nogle af medlemsstaternes metoder til at identificere væsentlige tjenester i elektricitetssektoren. Nogle lande (f.eks. Estland) har valgt en meget generel betegnelse, som giver mulighed for at identificere stort set enhver operatør, som skønnes at være væsentlig inden for delsektoren elektricitet. Andre lande (f.eks. Portugal, Danmark og Bulgarien) har valgt en langt mere granulær tilgang. For eksempel har Bulgarien udarbejdet en meget detaljeret liste over tjenester, som endda indeholder en tjeneste, der ikke indgår i bilag II (marked for elektricitet). Portugal og Danmark har imidlertid valgt en granulær tilgang, hvor de ikke medtager visse tjenester, som andre har medtaget. Det kan medføre ulige konkurrencevilkår for operatører af væsentlige tjenester på det indre marked.
Manglende ensartethed, f.eks. som det fremgår af tabel 2, skyldes forskelle i den nationale gennemførelse af NIS-direktivet og i tilfælde af sektorer, der ikke falder ind under bilag II (f.eks. marked for elektricitet) er den en konsekvens af direktivets tilgang med minimumsharmonisering. Manglende ensartethed betyder derfor ikke, at de medlemsstater, som ikke har identificeret en bestemt tjeneste, nødvendigvis har undladt at anvende direktivets bestemmelser korrekt.
Tabel 3 viser fire landes valgte tilgang i forhold til delsektoren jernbanetransport. Frankrig har udarbejdet en meget detaljeret og omfattende liste over tjenester, som er væsentlige for jernbanetransportens funktion, mens de tre andre lande kun har valgt en lille delmængde af disse tjenester. Hvad angår Polen, er det ikke helt klart, hvilke tjenester der hører ind under kategorierne "godstransport med jernbane" og "passagertransport med jernbane". Betegnelserne er så generelle, at de lige så godt kan omfatte nogle af de tjenester, som Frankrig har identificeret, f.eks. "styring og forvaltning af jernbanetrafik". Det er værd at bemærke, at Kommissionen ikke har midler til rådighed til at undersøge sådanne tilfælde yderligere: NIS-direktivet forpligter ikke de nationale myndigheder til at give mere detaljerede oplysninger.
|
Finland |
Frankrig |
Irland |
Polen |
|||
|
Statslig forvaltning af infrastruktur |
Vedligeholdelse af infrastruktur |
Infrastrukturforvaltere |
|
|||
|
Vedligeholdelse af rullende materiel |
|
|
|||
|
Trafikstyring |
Styring og forvaltning af jernbanetrafik |
|
Udarbejdelse af togkøreplaner |
|||
|
Godstransport og farligt gods |
Jernbanevirksomheder |
Godstransport med jernbane |
|||
|
Passagertransport |
Passagertransport med jernbane |
||||
|
Metro-, sporvogns- og andre letbanetjenester (herunder underjordiske tjenester) |
|
||||
|
Jernbanetransportydelser |
|
|
Tabel 3: Eksempler på medlemsstaters valg af tilgang til identificering af væsentlige tjenester i delsektoren jernbanetransport
De medlemsstater, der indgår i tabel 2 og tabel 3, er kun valgt som eksempler, og fordi deres metodologi let kan sammenlignes. De fleste andre medlemsstater har valgt tilsvarende tjenester med deraf følgende lignende "manglende ensartethed". Faktisk optræder "manglende ensartethed", som i eksemplerne fra delsektorerne elektricitet og jernbanetransport, på tværs af alle medlemsstater og de sektorer, der er omfattet af direktivets bilag II. Størstedelen af den manglende ensartethed skyldes, at nogle tjenester kun identificeres i nogle, men ikke alle medlemsstater. Bilaget til denne rapport indeholder fuldstændige lister over tjenester i delsektorerne elektricitet og jernbanetransport, som omfatter alle medlemsstaterne.
2.3Tærskler
Selv om de fleste medlemsstater anvender tærskler til at identificere operatører af væsentlige tjenester, varierer tærsklernes rolle fra land til land. Med hensyn til de tværsektorielle tærskler er det muligt at fastsætte tærskler, der er baseret på
·en enkelt kvantitativ faktor (f.eks. antal brugere, der benytter en tjeneste) for at fastslå, om en enhed skal betragtes som en operatør af væsentlige tjenester inden for en bestemt tjeneste
·et større antal kvantitative faktorer (f.eks. antal brugere, der benytter en tjeneste, plus markedsandel)
·en kombination af kvantitative og kvalitative faktorer.
Desuden giver direktivet medlemsstaterne mulighed for at anvende sektorspecifikke tærskler ud over de tværsektorielle. Det giver de nationale myndigheder større frihed i identificeringsprocessen, så de kan tage hensyn til særlige nationale og sektorspecifikke forhold. Samtidig medfører det en meget kompleks blanding af tærskler, som kan have en negativ indvirkning på den overordnede ensartethed i identificeringen af operatører af væsentlige tjenester.
Table 4 viser et eksempel på denne mangfoldighed af fremgangsmåder. Den viser, at medlemsstaternes valgte tærskler i sektoren digital infrastruktur ikke alene varierer kvantitativt (f.eks. identificerer Tyskland DNS-udbydere som operatører af væsentlige tjenester, hvis de forvalter mindst 250 000 domæner, mens Polens tærskel blot er 100 000 domæner), men også kvalitativt (f.eks. "antal sammenkoblede autonome systemer" i forhold til "markedsandel").
Ensartethed i valget af kvantitative tærskler alene sikrer ikke fuld ensartethed mellem de nationale fremgangsmåder. Eftersom tærskler i nogle medlemsstater kun er et blandt flere kriterier, der benyttes til at identificere operatører af væsentlige tjenester, kan resultaterne af identificeringsprocessen stadig være meget forskellige, selv om tærsklerne ligner hinanden. Nogle medlemsstater anvender f.eks. komplekse karaktersystemer, hvor flere faktorer indgår i en enkelt formel 12 . Sådanne faktorer kan f.eks. omfatte en enheds afhængighed af net- og informationssystemer eller nogle af de forhold, som er nævnt i NIS-direktivets artikel 6, stk. 1. Hertil kommer, at nogle medlemsstater slet ikke anvender tærskler eller kun anvender dem i den indledende fase af vurderingen. Disse overvejelser gælder ikke kun for sektoren digital infrastruktur, men for alle de sektorer, der indgår i bilag II.
Det kan være en udfordring at fastsætte den rette tærskel, især for sektorer med mange små operatører. Et eksempel på denne mangfoldighed er de mange mindre sundhedsfaciliteter (f.eks. klinikker eller akutberedskab), som leverer en væsentlig tjeneste til et forholdsvis lille antal brugere, men hvis de ikke er tilgængelige på grund af en cybersikkerhedshændelse, kan det medføre tab af menneskeliv. Et andet problem opstår, når forsyningskædens funktion afhænger af tjenester fra operatører, som udgør små, men ikke desto mindre væsentlige led i kæden (f.eks. i sektorer som logistiksektoren 13 ). En medlemsstat er i gang med at undersøge anvendelse af kriterier for den leverede tjenestes vigtighed eller kritiske betydning som en mulig løsning på dette problem.
|
Land |
Internetudvekslingspunkter (IXP) |
DNS-udbyder |
TLD-navneadministratorer |
|
Anvendelse af overvejende sektorspecifikke tærskler |
|||
|
AT |
Sammenkoblede autonome systemer
|
DNS-resolvere: 88 000 brugere,
|
50 000 domæner |
|
DE |
Sammenkoblede autonome systemer
|
DNS-resolvere: 100 000 brugere, Autoritative DNS-servere: 250 000 domæner |
(tjeneste ikke identificeret) |
|
DK |
gns. daglig datamængde > 200 gbit/s |
DNS-resolvere: 100 000 brugere, Autoritative DNS-servere: 100 000 domæner |
500 000 domæner |
|
EE |
(tjeneste ikke identificeret) |
(tjeneste ikke identificeret) |
Administrator af national TLD |
|
FI |
(tjeneste ikke identificeret) |
(tjeneste ikke identificeret) |
Administratorer af national og regional TLD |
|
FR |
(ingen officiel tærskel) |
(ingen officiel tærskel) |
(ingen officiel tærskel) |
|
HR |
sammenkoblede medlemmer > 15 |
DNS-tjeneste for national TLD |
Administrator af national TLD |
|
IE |
(tærskel ukendt) |
DNS-resolvere: 100 mio. forespørgsler/døgn, Autoritative DNS-servere: 50 000 domæner |
Administrator af national TLD |
|
MT |
25 % markedsandel |
DNS-resolvere: 78 000 forespørgsler/dag, Autoritative DNS-servere: 7 800 domæner |
750 000 forespørgsler/dag |
|
PL |
Sammenkoblede autonome systemer
|
Autoritative DNS-servere: 100 000 domæner |
TLD-administratorer for mindst 100 000 abonnenter |
|
SE |
(tjeneste ikke identificeret) |
DNS-resolvere: 100 000 brugere, Autoritative DNS-servere: 25 000 domæner |
250 000 domæner |
|
SK |
Autonomt system, der sammenkobler mindst to andre autonome systemer med 2 Gbps |
DNS-resolvere: 3 mio. forespørgsler/døgn, Autoritative DNS-servere: > 1 000 domæner |
TLD-administrator |
|
UK |
markedsandel > 50 %, eller
|
DNS-resolvere: 2 000 000 kunder/dag,
|
TLD-administratorer ≥ 2 mia. forespørgsler/dag |
|
Anvendelse af tværsektorielle tærskler |
|||
|
CY |
50 000 brugere, eller
|
50 000 brugere, eller
|
50 000 brugere, eller
|
|
LT |
indbyggere > 145 000 |
Indbyggere > 145 000 |
Indbyggere > 145 000 |
|
LU |
100 % markedsandel |
13 500 kontrakter |
100 % markedsandel |
Tabel 4: 16 medlemsstaters valg af tærskler i sektoren digital infrastruktur
2.4Antal identificerede operatører
Listerne over væsentlige tjenester og tærsklerne er de vigtigste bestemmende faktorer for ensartet identificering af operatører af væsentlige tjenester. De foregående afsnit har vist, at medlemsstaterne i begge henseender har anvendt NIS-direktivets bestemmelser på forskellige måder, hvilket kan give anledning til et problem med ensartethed i den efterfølgende identificering af operatører af væsentlige tjenester. I dette afsnit sammenlignes antallet af identificerede operatører i medlemsstaterne i de sektorer og delsektorer, der indgår i bilag II.
Figur 3: Operatører af væsentlige tjenester identificeret af medlemsstaterne på tværs af alle sektorer i bilag II (pr. 100 000 indbyggere, afvigende værdier og manglende data er udelukket for klarhedens skyld)
Det samlede antal operatører af væsentlige tjenester, som medlemsstaterne har indberettet til Kommissionen, varierer fra 20 til 10 897 med et gennemsnit på 633 operatører af væsentlige tjenester pr. medlemsstat (tallene for alle medlemsstaterne findes i afsnit 4.2 i bilaget til denne rapport). Alt i alt er der et klart positivt forhold mellem et lands størrelse og antallet af identificerede operatører. Det forklarer imidlertid ikke i tilstrækkelig grad de store forskelle i de tal, som medlemsstaterne har indberettet. For at tage højde for forholdet mellem størrelse og befolkning viser figur 3 en sammenligning af medlemsstaternes antal identificerede operatører af væsentlige tjenester pr. 100 000 indbyggere. Det tyder på, at medlemsstaternes metoder til at identificere operatører har givet meget forskellige resultater.
En mere dybtgående undersøgelse af sektorerne og delsektorerne viser betydelige forskelle mellem medlemsstaternes antal identificerede operatører på tværs af alle de sektorer, der er omfattet af bilag II ( figur 4 ). I energisektoren varierer antallet f.eks. fra 0,3 operatører til 29 operatører pr. 1 000 000 indbyggere. I banksektoren varierer antallet fra 0,07 operatører til 51 operatører pr. 1 000 000 indbyggere (idet medlemsstater, som ikke har identificeret en eneste operatør af væsentlige tjenester i den sektor, ikke er medtaget).
Figur 4: Antal operatører af væsentlige tjenester identificeret af 25 medlemsstater i hver sektor og delsektor (pr. 1 000 000 indbyggere, på en logaritmisk skala, afvigende værdier er udeladt af klarhedshensyn). Hvert datapunkt repræsenterer antallet af identificerede operatører af væsentlige tjenester i en medlemsstat i den pågældende sektor/delsektor 14
2.5Direktivets anvendelse på andre sektorer end dem, der indgår i bilag II
En undersøgelse af de forelagte oplysninger afslører, at 11 ud af 28 medlemsstater har identificeret væsentlige tjenester i sektorer, som ikke er omfattet af direktivets bilag II. Ud af disse 11 medlemsstater har syv identificeret i alt 157 operatører af væsentlige tjenester, som ikke er omfattet af de typer enheder, der er angivet i bilag II.
|
Yderligere sektor |
Eksempler på enheder |
Antal medlemsstater |
|
Informationsinfrastruktur |
Datacentre, serverfarme |
5 |
|
Finansielle tjenesteydelser (enheder uden for listen i bilag II) |
Forsikrings- og genforsikringsselskaber |
4 |
|
Tjenester for den offentlige sektor |
Elektroniske tjenester for borgerne |
4 |
|
Varme |
Varmeproducenter og -leverandører |
3 |
|
Spildevand |
Indsamlings- og behandlingsanlæg |
3 |
|
Logistik |
Posttjenester |
2 |
|
Fødevarer |
Producenter, markedspladser |
2 |
|
Miljø |
Bortskaffelse af farligt affald |
2 |
|
National sikkerheds-/redningstjeneste |
112, krisestyring |
2 |
|
Kemisk industri |
Leverandører og producenter af stoffer |
2 |
|
Sociale tjenester |
Enheder med ansvar for sociale ydelser |
1 |
|
Uddannelse |
Myndigheder med ansvar for nationale eksamener |
1 |
|
Kollektiv catering |
Distributionsstyring |
1 |
|
Vand |
Vandbygningskonstruktioner |
1 |
Tabel 5: Medlemsstaternes valg af sektorer ud over de sektorer, der er angivet i bilag II
Informationsinfrastruktur (identificeret af fem medlemsstater), finansielle tjenesteydelser leveret af enheder uden for bilag II (identificeret af fire medlemsstater) og tjenester for den offentlige sektor (identificeret af fire medlemsstater) er de mest populære kategorier (tabel 5).
I betragtning af, hvor vigtig cyberrobusthed er for, at økonomien og samfundet som helhed kan fungere, har en række medlemsstater besluttet at gøre brug af muligheden for at inkludere andre sektorer end dem, der er angivet i bilag II. Adskillige medlemsstaters valg af at anvende NIS-direktivet på yderligere sektorer rejser spørgsmålet om, hvorvidt det nuværende anvendelsesområde for bilag II er hensigtsmæssigt for at opfylde formålet om at beskytte alle operatører i Unionen, der er kritiske for samfundet og økonomien.
2.6Den grænseoverskridende høringsprocedure
NIS-direktivets artikel 5, stk. 4, forpligter medlemsstaterne til at høre hinanden, inden der træffes endelig afgørelse om identificering af operatører, som leverer tjenester i mere end én medlemsstat. Samarbejdsgruppen udsendte i juli 2018 et referencedokument med henblik på at hjælpe medlemsstaterne med at gennemføre hensigtsmæssige grænseoverskridende høringer 15 .
De modtagne oplysninger viser, at meget få nationale myndigheder har valgt at kontakte deres modparter i andre medlemsstater, og kun to medlemsstater har kontaktet andre medlemsstater i betydeligt omfang. Desuden har kun få medlemsstater oplyst, at de har kontaktet andre myndigheder på en mindre systematisk måde. På trods af grænseoverskridende tjenesters store betydning på det indre marked har de fleste medlemsstater, som har kontaktet andre medlemsstater, kun gjort det med hensyn til et meget begrænset antal operatører. Uanset medlemsstaternes begrænsede anvendelse af proceduren har mange nationale myndigheder udtrykt interesse i den grænseoverskridende høringsproces og betragter den som et vigtigt element i NIS-rammen for identificering. Faktisk har flere medlemsstater udtrykt bekymring over, at operatørerne uden effektiv grænseoverskridende høring kan blive tvunget til at håndtere en lang række forskellige lovkrav eller stilles ringere i forhold til andre mindre strengt regulerede operatører af væsentlige tjenester, der er aktive på markedet.
Sammen med de nationale myndigheder har Kommissionen afdækket flere grunde til, at høringsproceduren indtil videre ikke anvendes efter hensigten:
·For mange medlemsstater har det taget længere tid end forventet at identificere deres operatører af væsentlige tjenester. De lande, der havde truffet deres afgørelser tidligt, følte sig derfor ikke i stand til at høre de pågældende lande.
·Mangelen på sikre kanaler til overførsel af oplysninger: Nogle medlemsstater har givet udtryk for, at de er tilbageholdende med at kommunikere med deres modparter, idet de betragter operatørernes navne som hemmelige oplysninger.
·Det betydelige omfang af eksisterende grænseoverskridende afhængighedsforhold, som har medført, at det er nødvendigt at tage kontakt til et stort antal berørte medlemsstater, navnlig i forbindelse med paneuropæiske operatører.
·Mangelen på en fælles forståelse for den grænseoverskridende høringsprocedures mål og omfang: mens nogle medlemsstater kun betragter det som et redskab til at informere hinanden om identificeringer af operatører af væsentlige tjenester med en grænseoverskridende virkning, betragter andre det således, at formålet er indbyrdes tilpasning af tærskler og lovkrav. Ifølge 24. betragtning til direktivet er det først og fremmest en procedure til at vurdere i fællesskab, om en operatør har kritisk betydning med henblik på identificeringsprocessen.
·Et andet problem opstår, når en medlemsstat kontaktes af to andre medlemsstater vedrørende den samme operatør. I så fald er den pågældende medlemsstat ikke altid i stand til at bringe sine regler i overensstemmelse med begge de andre medlemsstaters samtidig. Med henblik herpå omhandler 24. betragtning multilaterale drøftelser. Det er vigtigt, at medlemsstaterne gør brug af denne mulighed for at sikre ensartethed.
2.7Hensynet til lex specialis-princippet i identificeringsprocessen
Kommissionen har påvist en vis grad af uensartethed mellem medlemsstaterne med hensyn til anvendelsen af lex specialis-princippet. Det har medført en ujævn anvendelse af direktivet, som på den ene side resulterer i identificering af operatører af væsentlige tjenester, hvor sektorspecifikke regler finder anvendelse, og på den anden side i utilstrækkelig identificering af operatører af væsentlige tjenester i visse bilag II-sektorer.
I henhold til artikel 1, stk. 3, finder NIS-direktivet ikke anvendelse på virksomheder, som er omfattet af kravene i rammedirektivet om telekommunikation 16 . Nogle medlemsstater har imidlertid tilsyneladende identificeret operatører af væsentlige tjenester, som faktisk bør være underlagt rammedirektivet om telekommunikation, f.eks. internetadgang og telefonitjenester.
Endvidere fremgår det af artikel 1, stk. 7, at NIS-direktivets bestemmelser om sikkerhedskrav og underretning om hændelser ikke finder anvendelse på operatører, der allerede er reguleret af sektorspecifikke EU-retsakter med forpligtelser med mindst tilsvarende virkning.
De fleste medlemsstater har identificeret operatører af væsentlige tjenester i sektorerne bankvæsen og finansielle markedsinfrastrukturer, men nogle få medlemsstater har ikke identificeret operatører af væsentlige tjenester med den begrundelse, at operatørerne leverer tjenester, der er omfattet af leges speciales.
Kommissionen er stadig i gang med at indsamle detaljerede oplysninger om anvendelsen af lex specialis-princippet i henhold til NIS-direktivet. Den arbejder på en dybdegående kontrol af national lovgivning og besøger lande for at vurdere det aktuelle niveau af gennemførelse, herunder med hensyn til lex specialis-bestemmelserne. På grundlag heraf agter Kommissionen at tage lex specialis-princippet op til yderligere drøftelse i samarbejdsgruppen med henblik på bedre indbyrdes tilpasning mellem medlemsstaterne.
3.Konklusioner
I denne rapport evalueres medlemsstaternes valgte fremgangsmåder til at identificere operatører af væsentlige tjenester i henhold til NIS-direktivet. Rapportens formål er at vurdere graden af ensartethed mellem medlemsstaternes praksis i betragtning af den aktuelle rammes eventuelle indvirkning på det indre markeds funktion og styring af de risici, der er forbundet med cyberafhængighed.
Den gennemførte analyse viser, at NIS-direktivet har fungeret som katalysator i mange medlemsstater med hensyn til at bane vejen for reelle ændringer i det institutionelle og lovgivningsmæssige landskab vedrørende cybersikkerhed. Desuden har forpligtelsen til at identificere operatører af væsentlige tjenester udløst en omfattende vurdering af de risici, der er forbundet med operatører, som er aktive inden for kritiske aktiviteter og moderne net- og informationssystemer i næsten alle medlemsstater. Det kan betragtes som en bedrift for Unionen som helhed i overensstemmelse med direktivets formål.
I forbindelse med denne rapport har Kommissionen undersøgt de enkelte medlemsstaters identificeringsmetoder, de tjenester, som de nationale myndigheder anser for at være væsentlige, tærsklerne for identificering og antallet af operatører af væsentlige tjenester identificeret i de forskellige sektorer, der er omfattet af direktivet:
·Medlemsstaterne har udviklet mange forskellige metoder som led i den overordnede tilgang til identificering af operatører af væsentlige tjenester (afsnit 2.1), men også med hensyn til definitionen af væsentlige tjenester og fastsættelsen af tærskler. Det kan have en negativ indvirkning på den ensartede anvendelse af NIS-bestemmelserne i hele EU, muligvis med konsekvenser for det indre markeds smidige funktion og den effektive håndtering af cyberafhængighedsforhold.
·Desuden ser det ud til, at medlemsstaterne har forskellige fortolkninger af, hvad der udgør en væsentlig tjeneste i henhold til NIS-direktivet, idet medlemsstaternes granularitetsniveauer er forskellige (se afsnit 2.2). Det gør det vanskeligt at sammenligne listerne over væsentlige tjenester. Endvidere er der risiko for, at direktivets anvendelsesområde bliver fragmenteret, idet nogle operatører er udsat for yderligere regulering (fordi de er blevet identificeret af deres respektive medlemsstater), mens andre, som leverer tilsvarende tjenester, fortsat ikke er medtaget (fordi de ikke er blevet identificeret). Med henblik på at afhjælpe denne uensartethed kan yderligere arbejde baseret på medlemsstaternes erfaringer føre til en bedre tilpasset liste over væsentlige tjenester.
·I rapporten er der desuden fundet en betydelig uensartethed i medlemsstaternes anvendelse af tærskler (afsnit 2.3). En yderligere tilpasning af tærskler på EU-niveau kan bidrage til at afhjælpe problemet. Dette kunne f.eks. være en opgave for sektorspecifikke arbejdsområder under samarbejdsgruppen under hensyntagen til særlige nationale forhold, f.eks. særlige krav i små medlemsstater.
·Nogle landes udnyttelse af muligheden for at identificere væsentlige tjenester i yderligere sektorer eller delsektorer ud over dem, der er omfattet af bilag II, understreger, at andre sektorer potentielt kan være sårbare over for cyberhændelser ud over dem, der omhandles i NIS-direktivet (afsnit 2.5). Identificering af operatører af væsentlige tjenester i sektorer såsom informationsinfrastruktur, finansielle tjenesteydelser uden for enheder, der optræder i bilag II, og tjenester for den offentlige sektor kan forbedre organisationers cyberrobusthed i de pågældende sektorer. Hvis kun en delmængde af medlemsstaterne imidlertid identificerer operatører af væsentlige tjenester i sådanne sektorer, kan det have negative konsekvenser for det indre marked og de lige konkurrencevilkår, som det forventes at sikre.
De mange former for metoder og bedste praksis, som de nationale myndigheder har udarbejdet, har særlig værdi og bør tages i betragtning i fremtiden, f.eks. i samarbejdsgruppens arbejde og medlemsstaternes videre arbejde med identificering af operatører af væsentlige tjenester. Det nuværende omfang af mangfoldighed kan dog have en negativ indvirkning på opfyldelsen af direktivets mål.
Kommissionens foreløbige konklusion er, at NIS-direktivet ganske vist har sat gang i en afgørende proces med henblik på at øge og forbedre operatørers risikostyringspraksis i kritiske sektorer, men der er en betydelig grad af fragmentering over hele EU, når det gælder identificering af operatører af væsentlige tjenester. Det skyldes delvis direktivets udformning og delvis medlemsstaternes forskellige gennemførelsesmetoder.
Medlemsstaterne bør tilstræbe at anvende NIS-direktivets bestemmelser på en måde, der er så ensartet som mulig, idet de gør fuld brug af de vejledninger, der udarbejdes af Kommissionen og samarbejdsgruppen. Kommissionen har derfor identificeret flere nationale foranstaltninger, der kan bidrage til at afhjælpe de problemer, der fremhæves i denne rapport:
·Mange medlemsstater blev ikke færdige med at identificere operatører af væsentlige tjenester inden for direktivets tidsramme. Desuden havde 23 medlemsstater på datoen for offentliggørelsen af denne rapport indgivet alle de oplysninger, som kræves i henhold til artikel 5, stk. 7. Yderligere fem medlemsstater havde indgivet delvise oplysninger. Kommissionen opfordrer kraftigt de nationale myndigheder med ansvar for identificering til at afslutte processen så hurtigt som muligt og sende de nødvendige oplysninger til Kommissionen hurtigst muligt.
·De kompetente myndigheder bør regelmæssigt revidere deres lister over væsentlige tjenester og sikre, at alle eksisterende væsentlige tjenester er identificeret, så antallet af tilfælde af "manglende ensartethed" med hensyn til væsentlige tjenester i hele det indret marked reduceres.
·Medlemsstaterne bør engagere sig mere aktivt med hinanden for at tilpasse tærsklerne, hvor det er muligt, og navnlig i sektorer med en stærk grænseoverskridende dimension, såsom transport eller energi. Det kan opnås gennem den grænseoverskridende høringsprocedure, der er fastsat i NIS-direktivets artikel 5, stk. 4, men også gennem en bedre udnyttelse af samarbejdsgruppens eksisterende strukturer.
·De nationale myndigheder bør høre hinanden for at sikre, at grænseoverskridende operatører er underlagt ensartede sikkerhedskrav og krav om underretning om hændelser på det indre marked. Desuden bør medlemsstaterne kontakte sådanne operatører for at indhente flere oplysninger om lovgivningsmæssige forskelle. En bedre cyberrobusthed bør ikke opnås på bekostning af mere fragmenteret lovgivning. Om nødvendigt bør medlemsstaterne også deltage i multilaterale drøftelser, som det fremgår af 24. betragtning til NIS-direktivet.
Ud over de nationale foranstaltninger kan der også træffes en række foranstaltninger på EU-plan med henblik på at forbedre ensartetheden. Kommissionen vil indlede drøftelser for at forbedre den ujævne og til tider fragmenterede situation for identificering. Blandt de potentielle foranstaltninger er:
·NIS-samarbejdsgruppens rolle bør styrkes for at fremme en fælles forståelse af gennemførelse af direktivet på en mere ensartet måde. Med dette for øje vil Kommissionen foreslå, at det eksisterende specifikke arbejdsområde vedrørende identificering af operatører af væsentlige tjenester hurtigt gennemgår sine retningslinjer for bedre at kunne håndtere eksisterende tilfælde af manglende ensartethed. Samarbejdsgruppen bør også undersøge muligheden for at oprette yderligere sektorspecifikke arbejdsområder 17 med henblik på at øge sammenhængen mellem medlemsstaterne samt anvendelsen af et skræddersyet kommunikationsværktøj til at styrke samarbejdet inden for gruppen.
·I øjeblikket er der kun meget få medlemsstater, som benytter den grænseoverskridende høringsprocedure med hensyn til identificering af operatører, der leverer tjenester i mere end én medlemsstat. For at styrke udvekslingen af oplysninger bør samarbejdsgruppen revidere sit referencedokument om de nærmere bestemmelser for høringsprocessen i sager med grænseoverskridende virkninger og nå til enighed om en konsekvent fortolkning af omfanget, målene og procedurerne for en sådan høring. Samtidig vil Kommissionen undersøge mulighederne for sikker udveksling af oplysninger mellem de kompetente myndigheder.
·Der synes at være en vis uensartethed i anvendelsen af direktivets bestemmelser om lex specialis blandt medlemsstaterne. Kommissionen vil derfor via samarbejdsgruppens strukturer drøfte tilfælde, hvor lex specialis-princippet måske ikke er anvendt korrekt.
Foranstaltninger, der træffes på EU-plan, bør sikre en sammenhængende ramme, der tager hensyn til både sektorspecifikke aktiviteter, som tager højde for specifikke eller højere krav til cybersikkerhed, og anden EU-lovgivning.
4.Bilag
4.1Oversigt over de tilgængelige oplysninger fordelt efter medlemsstat
|
Medlemsstat |
Dato for indgivelse |
Liste over tjenester |
Antal operatører af væsentlige tjenester |
Tærskler |
|
AT |
Forsinket indgivelse |
Leveret |
MANGLER |
Leveret |
|
BE |
Forsinket indgivelse |
Leveret |
MANGLER |
MANGLER |
|
BG |
Forsinket indgivelse |
Leveret |
Leveret |
Leveret |
|
CY |
Til tiden |
Leveret |
Leveret |
Leveret |
|
CZ |
Forsinket indgivelse |
Leveret |
Leveret |
Leveret |
|
DE |
Til tiden |
Leveret |
Leveret |
Leveret |
|
DK |
Til tiden |
Leveret |
Leveret |
Leveret |
|
EE |
Til tiden |
Leveret |
Leveret |
Leveret |
|
EL |
Forsinket indgivelse |
Leveret |
Leveret |
Leveret |
|
ES |
Til tiden |
Leveret |
Leveret |
Leveret |
|
FI |
Til tiden |
Leveret |
Leveret |
Leveret |
|
FR |
Til tiden |
Leveret |
Leveret |
Ingen officielle tærskler |
|
HR |
Til tiden |
Leveret |
Leveret |
Leveret |
|
HU |
Til tiden |
Delvis leveret |
Delvis leveret |
Delvis leveret |
|
IE |
Forsinket indgivelse |
Leveret |
Leveret |
Leveret |
|
IT |
Forsinket indgivelse |
Leveret |
Leveret |
Leveret |
|
LT |
Til tiden |
Leveret |
Leveret |
Leveret |
|
LU |
Forsinket indgivelse |
Leveret |
Leveret |
Leveret |
|
LV |
Forsinket indgivelse |
Leveret |
Leveret |
Leveret |
|
MT |
Forsinket indgivelse |
Leveret |
Leveret |
Leveret |
|
NL |
Forsinket indgivelse |
Leveret |
Leveret |
Leveret |
|
PL |
Til tiden |
Leveret |
Leveret |
Leveret |
|
PT |
Til tiden |
Leveret |
Leveret |
Leveret |
|
RO |
Forsinket indgivelse |
Leveret |
Delvis leveret |
MANGLER |
|
SE |
Til tiden |
Leveret |
Leveret |
Leveret |
|
SI |
Forsinket indgivelse |
Leveret |
MANGLER |
Leveret |
|
SK |
Til tiden |
Leveret |
Leveret |
Leveret |
|
UK |
Til tiden |
Leveret |
Leveret |
Leveret |
4.2Antal tjenester og operatører af væsentlige tjenester, som hver medlemsstat har identificeret
|
Medlemsstat |
Identificerede operatører af væsentlige tjenester |
Tjenester i henhold til bilag II |
Yderligere tjenester |
|
AT |
0 |
46 |
0 |
|
BE |
0 |
31 |
0 |
|
BG |
185 |
30 |
3 |
|
CY |
20 |
29 |
17 |
|
CZ |
50 |
31 |
12 |
|
DE |
573 |
15 |
12 |
|
DK |
128 |
39 |
0 |
|
EE |
137 |
18 |
6 |
|
EL |
67 |
30 |
0 |
|
ES |
132 |
55 |
18 |
|
FI |
10 897 18 |
20 |
0 |
|
FR |
127 |
70 |
20 |
|
HR |
85 |
49 |
2 |
|
HU |
42 |
12 |
0 |
|
IE |
64 |
26 |
0 |
|
IT |
553 |
37 |
0 |
|
LT |
22 |
37 |
0 |
|
LU |
49 |
21 |
0 |
|
LV |
66 |
18 |
0 |
|
MT |
36 |
29 |
2 |
|
NL |
42 |
12 |
0 |
|
PL |
142 |
87 |
0 |
|
PT |
1 250 |
26 |
0 |
|
RO |
86 |
77 |
0 |
|
SE |
326 |
27 |
0 |
|
SI |
0 |
34 |
2 |
|
SK |
273 |
28 |
7 |
|
UK |
470 |
34 |
0 |
4.3Medlemsstaternes identificerede tjenester i delsektoren elektricitet
|
Medlemsstat |
Identificerede tjenester |
|
AT |
̶Faciliteter til produktion af elektricitet ̶Kontrolsystemer i produktionsfaciliteter ̶Distributionsnet ̶Transmissionsnet |
|
BE |
̶Produktions- transport- og distributionsvirksomheder ̶Distribution af elektricitet ̶Transport af elektricitet |
|
BG |
̶Produktion af elektricitet ̶Transmission af elektricitet ̶Drift, vedligeholdelse og udvikling af et transmissionssystem for elektricitet ̶Distribution af elektricitet ̶Sikring af driften og vedligeholdelsen af et distributionssystem for elektrisk energi ̶Marked for elektricitet |
|
CY |
̶Produktion/forsyning ̶Distribution/transmission ̶Tjenester vedrørende markedet for elektricitet |
|
CZ |
̶Produktion af elektricitet ̶Salg af elektricitet ̶Drift af transmissionssystemer ̶Drift af distributionssystemer |
|
DE |
̶Strømforsyning |
|
DK |
̶Transmission af elektricitet ̶Distribution af elektricitet ̶Produktion af elektricitet |
|
EE |
̶Elektricitetsforsyning |
|
EL |
̶Elektricitetsforsyning ̶Distribution af elektricitet ̶Transmission af elektricitet |
|
ES |
̶Produktion af elektricitet ̶Transmission af elektricitet ̶Distribution af elektricitet ̶Centre for drift og kontrol af elektriske systemer |
|
FI |
̶Transmissionstjeneste ̶Distribution af elektricitet i distributionsnettet ̶Elektricitetsforsyning gennem højspændingsdistributionsnet |
|
FR |
̶Salg eller videresalg til grossister og endelige kunder ̶Distribution af elektricitet ̶Transmission af elektricitet |
|
HR |
̶Produktion af elektricitet ̶Transmission af elektricitet ̶Distribution af elektricitet |
|
HU |
̶Elektricitet |
|
IE |
̶Distributionssystemoperatører ̶Elektricitetsvirksomheder ̶Transmissionssystemoperatører |
|
IT |
̶Produktion ̶Handel ̶Transmission ̶Distribution |
|
LT |
̶Tjeneste vedrørende produktion af elektricitet ̶Tjeneste vedrørende transmission af elektricitet ̶Tjeneste vedrørende distribution af elektricitet ̶Tjeneste vedrørende elektricitetsforsyning |
|
LU |
̶Elektricitetsforsyning ̶Distribution af elektricitet ̶Transmission af elektricitet |
|
LV |
̶Produktion af elektricitet ̶Distribution af elektricitet ̶Transmission af elektricitet |
|
MT |
̶Levering af elektricitet til forbrugerne ̶Transmission og/eller distribution af elektricitet til forbrugerne ̶Produktion af elektricitet til forbrugerne |
|
NL |
̶Transmission og distribution af elektricitet |
|
PL |
̶Produktion af elektricitet ̶Transmission af elektricitet ̶Distribution af elektricitet ̶Handel med elektricitet ̶Oplagring af elektricitet ̶Tjenester vedrørende kvalitetssikring og forvaltning af energiinfrastruktur |
|
PT |
̶Distributionssystemoperatører ̶Transmissionssystemoperatører |
|
RO |
̶Produktion af elektricitet ̶Elektricitetsforsyning til forbrugerne ̶Drift af centraliserede markeder for elektricitet ̶Transport af elektricitet ̶Drift af elektricitetssystemet ̶Distribution af elektricitet |
|
SE |
̶TSO ̶DSO ̶Produktion ̶Engros |
|
SI |
̶Produktion af elektricitet i vandkraftværker ̶Produktion af elektricitet i termiske kraftværker, atomkraftværker ̶Transmission af elektricitet ̶Distribution af elektricitet ̶Handel med elektricitet |
|
SK |
̶Elektricitetsvirksomhed ̶Transmissionssystemoperatør ̶Distributionssystemoperatør |
|
UK |
̶Elektricitetsforsyning ̶Transmission af elektricitet ̶Distribution af elektricitet |
4.4Medlemsstaternes identificerede tjenester i delsektoren jernbanetransport
|
Medlemsstat |
Identificerede tjenester |
|
AT |
̶Jernbaneinfrastruktur ̶Godstransport med jernbane ̶Passagertransport med jernbane ̶Jernbanestationer |
|
BE |
̶Infrastrukturforvaltere ̶Jernbanevirksomheder |
|
BG |
̶Levering, vedligeholdelse og drift af servicefaciliteter ̶Jernbanetransport ved jernbanetransportører ̶Vejledning om jernbanetransport |
|
CY |
Ingen identificering i denne delsektor |
|
CZ |
̶Jernbanedrift ̶Drift af jernbanetransport eller servicefacilitet |
|
DE |
̶Jernbane |
|
DK |
̶Forvaltning af jernbaneinfrastruktur ̶Jernbanetransport |
|
EE |
̶Jernbaneinfrastrukturforvalter ̶Jernbanetransportydelse |
|
EL |
̶Jernbaneinfrastrukturforvaltning ̶Jernbanetransportydelser |
|
ES |
̶Forvaltning af jernbanetransportydelser ̶Forvaltning af jernbanetransport ̶Tjenester vedrørende jernbanenet ̶Styring af jernbaneinformation og -telekommunikation |
|
FI |
̶Statslig forvaltning af infrastruktur ̶Trafikstyring |
|
FR |
̶Jernbanetransportydelser ̶Styring og forvaltning af jernbanetrafik ̶Vedligeholdelse af infrastruktur ̶Godstransport og farligt gods ̶Passagertransport ̶Vedligeholdelse af rullende materiel ̶Metro-, sporvogns- og andre letbanetjenester (herunder underjordiske tjenester) |
|
HR |
̶Drift og vedligeholdelse af jernbaneinfrastruktur, herunder trafikstyring og delsystemet til togkontrol og signaler ̶Jernbanetransportydelser vedrørende gods og/eller passagerer ̶Forvaltning af servicefaciliteter og levering af tjenesteydelser i servicefaciliteter ̶Levering af ekstra ydelser til jernbanetransport af gods eller passagerer |
|
HU |
Ingen identificering i denne delsektor |
|
IE |
̶Infrastrukturforvaltere ̶Jernbanevirksomheder |
|
IT |
Ingen identificering i denne delsektor |
|
LT |
̶Transport af passagerer og bagage med jernbane ̶Godstransport med jernbane ̶Udvikling, forvaltning og vedligeholdelse af jernbaneinfrastruktur |
|
LU |
̶Jernbaneinfrastrukturforvaltning ̶Gods- og passagertransport med jernbane |
|
LV |
Ikke relevant |
|
MT |
Ikke relevant |
|
NL |
Ingen identificering i denne delsektor |
|
PL |
̶Udarbejdelse af togkøreplaner ̶Passagertransport med jernbane ̶Godstransport med jernbane |
|
PT |
̶Infrastrukturforvaltere som defineret i artikel 3, nr. 2), i Europa-Parlamentets og Rådets direktiv 2012/34/EU ̶Jernbanevirksomheder som defineret i artikel 3, nr. 1), i direktiv 2012/34/EU, herunder operatører af servicefaciliteter som defineret som defineret i artikel 3, nr. 12), i direktiv 2012/34/EU |
|
RO |
̶Styring og forvaltning af jernbanetrafik ̶Godstransport ̶Transport af farligt gods ̶Passagertransport ̶Metro-, sporvogns- og andre letbanetjenester ̶Vedligeholdelse af jernbaneinfrastruktur ̶Vedligeholdelse af rullende materiel |
|
SE |
̶Infrastrukturforvaltning ̶Passagertransport ̶Godstransport |
|
SI |
̶Passagertransport med jernbane, mellembys ̶Godstransport med jernbane ̶Servicevirksomhed i forbindelse med landtransport (drift af stationer osv.) |
|
SK |
̶Infrastrukturoperatører ̶Jernbanevirksomheder |
|
UK |
̶Jernbanetransportydelser ̶Højhastighedsforbindelser ̶Metro-, sporvogns- og andre letbanetjenester (herunder underjordiske tjenester) ̶International jernbanetransport |
EUT L 194 af 19.7.2016, s. 1.
Pr. september 2019 har alle 28 medlemsstater givet meddelelse om fuld gennemførelse.
Meddelelse fra Kommissionen til Europa-Parlamentet og Rådet: Fuld udnyttelse af NIS – mod en effektiv gennemførelse af direktiv (EU) 2016/1148 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen, COM(2017) 476.
NIS-samarbejdsgruppen, som består af medlemsstaterne, Kommissionen og ENISA (Den Europæiske Unions Agentur for Net- og Informationssikkerhed), har oprettet et separat arbejdsområde til udveksling af oplysninger og bedste praksis med hensyn til identificering af operatører af væsentlige tjenester blandt medlemsstaterne.
For eksempel tog det i maj 2017 kun en enkelt dag for WannaCry, dvs. en ransomware-kryptoorm, at sprede sig til over 150 lande og inficere ca. 200 000 computere.
Ifølge NIS-samarbejdsgruppen kan det indre markeds åbenhed med hensyn til tjenester føre til "grænseoverskridende risici og afhængighedsforhold, der grundlæggende påvirker sådanne tjenesters tilgængelighed, integritet og fortrolighed".
I henhold til NIS-direktivets artikel 10, stk. 3, skal medlemsstaterne hvert år forelægge samarbejdsgruppen en sammenfattende rapport om de underretninger om hændelser, de har modtaget.
Et eksempel på tværsektorielle forhold er antallet af brugere, der er afhængige af en tjeneste eller en enheds markedsandel. Eksempler på sektorspecifikke forhold er antallet af autonome systemer, der er sammenkoblet i et internetudvekslingspunkt (IXP) eller en finansiel institutions antal transaktioner pr. år.
Østrig, Belgien, Grækenland, Ungarn, Rumænien og Slovenien.
Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning og udpegning af europæisk kritisk infrastruktur og vurdering af behovet for at beskytte den bedre. Direktivet har til formål at beskytte kritisk infrastruktur i energi- og transportsektoren bedre.
Identiske datapunkter er placeret oven over hinanden. Det er grunden til, at ikke alle 28 datapunkter kan ses i figuren. For eksempel har 17 medlemsstater identificeret nøjagtig tre væsentlige tjenester under digital infrastruktur.
For eksempel har en medlemsstat udviklet syv faktorer (fire såkaldte "operatørafhængige faktorer" og tre "virkningsafhængige faktorer") som input til en enkelt formel. Hvis den endelige beregning overstiger en vis tærskel, anerkendes den pågældende operatør som en operatør af væsentlige tjenester.
Logistiksektoren er ikke omfattet af NIS-direktivets bilag II.
Identiske datapunkter er placeret oven over hinanden. Det er grunden til, at ikke alle 25 datapunkter kan ses i figuren. For eksempel har både Danmark og Nederlandene identificeret 0,35 operatører af væsentlige tjenester pr. 1 000 000 indbyggere i delsektoren lufttransport.
Identification of Operators of Essential Services – Reference document on modalities of the consultation process in cases with cross-border impact, Cooperation Group Publication 07/2018.
Europa-Parlamentets og Rådets direktiv 2002/21/EF af 7. marts 2002 om fælles rammebestemmelser for elektroniske kommunikationsnet og -tjenester.
Arbejdsområder for energi og digital infrastruktur er oprettet i juni 2018 og juli 2019.
På grund Finlands identificeringsmetode er der identificeret et meget stort antal operatører af væsentlige tjenester i sundhedssektoren.
