Forordningen om cybersikkerhed

 

RESUMÉ AF:

Forordning (EU) 2019/881 om Den Europæiske Unions Agentur for Cybersikkerhed og om cybersikkerhedscertificering af informations- og kommunikationsteknologi (forordningen om cybersikkerhed)

HVAD ER FORMÅLET MED FORORDNINGEN?

Den har til formål at opnå et højt niveau af cybersikkerhed*, cyberrobusthed og tillid til Den Europæiske Union (EU) ved at fastlægge:

• mål, opgaver og organisatoriske forhold vedrørende et styrket og omdøbt Den Europæiske Unions Agentur for Cybersikkerhed med et nyt permanent mandat
• en ramme for frivillige europæiske cybersikkerhedscertificeringsordninger for IKT-produkter, -tjenester og -processer.

HOVEDPUNKTER

ENISA’s mandat er at:

• opnå et højt fælles niveau af cybersikkerhed i hele EU
• støtte den nationale indsats og EU-institutioner, organer, kontorer og agenturer i forbedringen af cybersikkerhed
• tjene som referencepunkt for rådgivning og ekspertise om cybersikkerhed for Unionens institutioner, organer, kontorer og agenturer og for andre relevante interessenter
• bidrage til at reducere fragmenteringen af det indre marked
• handle uafhængigt, undgå overlap med nationale aktiviteter og tage hensyn til national ekspertise
• udvikle sine egne ressourcer, herunder teknisk og menneskelig kapacitet.

ENISA’s opgaver er at:

• hjælpe med at udvikle og gennemføre EU-politik og -lovgivning
• fremme kapacitetsopbygning f.eks. gennem bedre forebyggelse, opdagelse og analyse af og reaktion på cybertrusler* og ved at hjælpe med udviklingen af nationale enheder, der håndterer IT-sikkerhedshændelser (CSIRT’er) eller gennem organiseringen af cybersikkerhedsøvelser på EU-plan
• støtte operationelt samarbejde blandt alle involverede interessenter i EU, herunderinformationssikkerhedstjenester for Unionens institutioner, organer, kontorer og agenturer (CERT-EU), navnlig i form af udveksling af know-how og bedste praksis, udstedelse af relevante retningslinjer og servicering af EU- og CSIRT-netværket
• støtte og fremme udviklingen og gennemførelsen af EU’s cybersikkerhedscertificering af IKT-produkter, -tjenester og -processer som en del af rollen i udarbejdelsen af ordninger under den nye europæiske ramme for cybersikkerhedscertificering
• indsamle og analysere viden og information om cybersikkerhed, især f.eks. om nye teknologier, cybertrusler og -hændelser, at informere og rådgive nationale myndigheder, relevante interessenter og, via en særlig portal, offentligheden (borgere, organisationer og virksomheder)
• øge offentlighedens bevidsthed om risiciene i forbindelse med cybersikkerhed og yde vejledning om god praksis for individuelle brugere samt fremme bevidstheden om og uddannelse i cybersikkerhed overordnet set
• rådgive om forskningsbehov og -prioriteter samt bidrage til den strategiske forsknings- og innovationsdagsorden på EU-plan inden for cybersikkerhed
• bidrage til Unionens indsats for at samarbejde om cybersikkerhed med internationale partnere og organisationer.

ENISA har følgende administrative og ledelsesmæssige struktur:

• Bestyrelse med en repræsentant fra hvert EU-medlemsstat-land og to medlemmer udnævnt af Europa-Kommissionen fastlægger den de overordnede retningslinjer for agenturets drift og sikrer, at det udfører sine opgaver under forhold, der sætter den i stand til at virke i overensstemmelse med forordningen
• et forretningsudvalg bestående af fem medlemmer, der forbereder de afgørelser, der skal vedtages af bestyrelsen
• en uafhængig administrerende direktør, der står til ansvar over for bestyrelsen og aflægger rapport til Europa-Parlamentet og Rådet for Den Europæiske Union, når denne anmodes herom, og som er ansvarlig for administrationen af agenturet
• en ENISA rådgivningsgruppe bestående af anerkendte eksperter, der repræsenterer de relevante interessenter såsom IKT-industrien, udbydere af elektroniske kommunikationsnet eller -tjenester, små og mellemstore virksomheder, forbrugere, akademiske eksperter, operatører af væsentlige tjenester sammen med repræsentanter for de kompetente myndigheder anmeldt under den europæiske kodeks for elektronisk kommunikation, standardiseringsorganisationer, retshåndhævende myndigheder og databeskyttelsestilsynsmyndigheder, koncentrerer sig om spørgsmål, der er relevante for interessenter, og forelægger dem for ENISA
• et netværk af nationale forbindelsesofficerer bestående af repræsentanter for samtlige medlemsstater letter udvekslingen af oplysninger mellem ENISA og mdlemsstaterne og støtter ENISA i udbredelsen af agenturets aktiviteter, resultater og anbefalinger.

Med forordningen nedsættes følgende:

• en cybersikkerhedscertificeringsgruppe sammensat af anerkendte eksperter med henblik på f.eks. at rådgive Kommissionen om strategiske spørgsmål vedrørende den europæiske ramme for cybersikkerhedscertificering og på anmodning rådgive ENISA om generelle og strategiske spørgsmål vedrørende agenturets relevante opgaver
• Den Europæiske Cybersikkerhedscertificeringsgruppe (ECCG) sammensat af nationale repræsentanter der skal rådgive og bistå Kommissionen i dens arbejde med at sikre en konsekvent gennemførelse og anvendelse af forordningen, og ENISA i relation til udarbejdelse af mulige cybersikkerhedscertificeringsordninger.

ENISA:

• oprettes for en ubegrænset periode fra den 27. juni 2019
• opererer i overensstemmelse med et samlet programmeringsdokument, der indeholder agenturets årlige og flerårige arbejdsprogram
• følger Kommissionens sikkerhedsregler for at beskytte følsomme, ikkeklassificerede oplysninger og EU-klassificerede oplysninger
• videregiver ikke fortrolige oplysninger, som det behandler eller modtager, til tredjemand
• deltager fuldt ud i EU-foranstaltninger for at bekæmpe bedrageri, korruption og andre ulovlige aktiviteter
• behandler personoplysninger i overensstemmelse med de respektive EU-regler.

Med forordningen fastsættes en europæisk ramme for cybersikkerhedscertificering med henblik på at:

• forbedre det indre markeds funktion ved at højne cybersikkerhedsniveauet i EU og muliggøre en harmoniseret tilgang på EU-plan til europæiske cybersikkerhedscertificeringsordninger for at skabe et digitalt indre marked for IKT-produkter, -tjenester og -processer
• definere en mekanisme til attestering af, at IKT-produkter, -tjenester og -processer, der er evalueret i overensstemmelse med sådanne ordninger, opfylder de fastlagte sikkerhedskrav med henblik på at beskytte tilgængeligheden, autenticiteten, integriteten eller fortroligheden af data, der lagres, overføres eller behandles, eller de dermed forbundne funktioner eller tjenester, der tilbydes i eller er tilgængelige via disse produkter, tjenester og processer, i hele deres livscyklus.

I henhold til rammen:

• Kommissionen:
  • offentliggør et rullende arbejdsprogram for europæiske cybersikkerhedscertificeringsordninger, der identificerer strategiske prioriteter og IKT-produkter, -tjenester og -processer eller kategorier, der kan have gavn af en ordning
  • kan anmode ENISA om at udarbejde en mulig certificeringsordning eller gennemgå en eksisterende certificeringsordning.
• ENISA:
  • udarbejder egnede udkast til ordninger på anmodning af Kommissionen eller Den Europæiske Cybersikkerhedscertificeringsgruppe
  • evaluerer hver vedtaget certificeringsordning hvert femte år under hensyntagen til den modtagne feedback
  • vedligeholder et dedikeret websted, der oplyser om ordningerne, attesterne og overensstemmelseserklæringerne.

De frivillige europæiske cybersikkerhedscertificeringsordninger:

• tilstræber at nå forskellige sikkerhedsmål, f.eks. beskytte lagrede, overførte og behandlede data
• betegner sikkerhedsniveauet for IKT-produkter, -tjenester og -processer som grundlæggende, betydeligt eller højt
• tillader producenter og udbydere af IKT-produkter, -tjenester og -processer med lav risiko (dvs. »grundlæggende«) selv at vurdere disse (selvvurdering af overensstemmelse)
• skal indeholde visse funktioner, f.eks. beskrivelser af formål, genstanden og anvendelsesområdet samt de anvendte evalueringskriterier og -metoder
• erstatter tilsvarende nationale ordninger, selv om disse attester forbliver gyldige indtil udløbsdatoen.

Producenter og udbydere af IKT-produkter, -tjenester og -processer skal offentliggøre:

• vejledninger og anbefalinger for at bistå slutbrugere med installation, ibrugtagning, drift og vedligeholdelse af deres produkter eller -tjenester
• oplysninger om hvor længe de tilbyder sikkerhedssupport
• dens kontaktoplysninger
• en henvisning til onlineregistre med oplysninger om kendte cybersikkerhedsproblemer, der berører deres produkter eller tjenester.

Medlemsstaterne udnævner en eller flere nationale cybersikkerhedscertificeringsmyndigheder med tilstrækkelige ressourcer og beføjelser til at føre tilsyn med og håndhæve reglerne vedrørende de Europæiske Cybersikkerhedscertificeringsordninger.

Kommissionen:

• vurderer regelmæssigt effektiviteten og brugen af de vedtagne certificeringsordninger og overvejer, om en ordning skal gøres obligatorisk
• skulle gennemfører sin første detaljerede vurdering senest den 31. december 2023 og efterfølgende hvert andet år
• skulle evaluere ENISA’s virkning og effektivitet senest den 28. juni 2024 og hvert femte år derefter.

Enkeltpersoner og juridiske enheder har ret til at indgive klage til udstederen af en europæisk cybersikkerhedsattest og har ret til effektive retsmidler.

Gennemførelsesretsakt

I januar 2024 vedtog Kommissionen gennemførelsesforordning (EU) 2024/482 (se resumé). Denne retsakt fastsætter regler for anvendelsen af forordning (EU) 2019/881 med hensyn til vedtagelse af den frivillige europæiske fælles kriteriebaserede cybersikkerhedscertificeringsordning (EUCC). Dette er den første ordning på EU-plan og vedrører certifikater på »væsentlige« eller »høje« sikkerhedsniveauer for ikt-produkter såsom hardware og software, herunder komponenter såsom chips og smart cards. Forordningen indeholder detaljerede regler for aspekter som:

• standarder og krav til evaluering af og udstedelse, fornyelse og tilbagetrækning af EUCC-certifikater for produkter og beskyttelsesprofiler
• overensstemmelsesvurderingsorganer, der er akkrediteret til at udstede certifikater eller udføre evalueringsaktiviteter
• overvågning af overholdelse, manglende overensstemmelse og manglende overholdelse
• sårbarhedshåndtering og oplysningsprocedurer
• opbevaring af optegnelser, videregivelse og beskyttelse af oplysninger
• Gensidige anerkendelsesaftaler med ikke-EU-lande
• Interkollegial evaluering af certificeringsorganer
• vedligeholdelse af ordningerne, og
• national informationssikkerhedscertificeringordninger indenfor EUCC.

EUCC-gennemførelsesforordningen vil gælde fra 27. februar 2025.

Forordning (EU) 2019/881 og dens tilhørende gennemførelsesforordning påvirker ikke medlemsstaternes ansvar for offentlig sikkerhed, forsvar, national sikkerhed og strafferet.

Forordningen ophæver forordning (EU) nr. 526/2013 pr. den 27. juni 2019.

HVORNÅR GÆLDER FORORDNINGEN FRA?

Forordningen trådte i kraft den 27. juni 2019.

Artikler om udpegningen af nationale cybersikkerhedsmyndigheder, akkrediterings- og overensstemmelsesvurderingsorganer, retten til at indgive klager til udstedere af europæiske cybersikkerhedscertifikater samt retten til effektive retsmidler samt sanktioner træder i kraft den 28. juni 2021.

BAGGRUND

ENISA, der er beliggende i Athen og har en filial i Heraklion, har bidraget til EU’s netværk og informationssikkerhed siden 2004. For yderligere oplysninger henvises til:

• Om ENISA — Den Europæiske Unions Agentur for Cybersikkerhed (ENISA)
• EU informationssikkerhedscertificering (ENISA)
• Cybersikkerhedspolitikker (Europa-Kommissionen).

VIGTIGE BEGREBER

HOVEDDOKUMENT

Europa-Parlamentets og Rådets forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed) (EUT L 151 af 7.6.2019, s. 15-69).

TILHØRENDE DOKUMENTER

Kommissionens gennemførelsesforordning (EU) 2024/482 af 31. januar 2024 om regler for anvendelsen af Europa-Parlamentets og Rådets forordning (EU) 2019/881 for så vidt angår vedtagelsen af den europæiske cybersikkerhedscertificeringsordning baseret på fælles kriterier (EUCC) (EUT L, 2024/482, 7. februar 2024).

Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39-98).

Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen (EUT L 194 af 19.7.2016, s. 1-30).

Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1-88).

Efterfølgende ændringer til forordning (EU) 2016/679 er blevet indarbejdet i grundteksten. Denne konsoliderede udgave har ingen retsvirkning.

seneste ajourføring 18.06.2024