16.6.2016   

DA

Den Europæiske Unions Tidende

C 218/31

1.

Den 12. februar 2013 forelagde Kommissionen sit forslag til Europa-Parlamentets og Rådets direktiv om foranstaltninger, der skal sikre et højt fælles niveau for net- og informationssikkerhed i hele EU (herefter benævnt direktivet) med artikel 114 i TEUF som retsgrundlag.

2.

Det Europæiske Økonomiske og Sociale Udvalg vedtog sin udtalelse den 22. maj 2013, og Regionsudvalget vedtog sin udtalelse den 3.-4. juli 2013.

3.

Europa-Parlamentet vedtog ved førstebehandlingen den 13. marts 2014 (1) en lovgivningsmæssig beslutning indeholdende 138 ændringer.

4.

Rådet og Europa-Parlamentet indledte forhandlinger med henblik på at nå til tidlig enighed ved andenbehandlingen i oktober 2014. Forhandlingerne blev afsluttet med positivt resultat den 7. december 2015, hvor Europa-Parlamentet og Rådet nåede til foreløbig enighed om en kompromistekst.

5.

Den 18. december 2015 bekræftede De Faste Repræsentanters Komité den kompromistekst til direktivet, som de to institutioner var nået til enighed om.

6.

Den 28. januar 2016 sendte formanden for Europa-Parlamentets IMCO-udvalg en skrivelse til formanden for De Faste Repræsentanters Komité, hvori det anførtes, at hvis Rådet formelt sendte Europa-Parlamentet sin holdning som aftalt, med forbehold af den juridisk-sproglige gennemgang, ville hun henstille til plenarforsamlingen, at Rådets holdning accepteres uden ændringer ved Parlamentets andenbehandling.

7.

Den 29. februar 2016 bekræftede Rådet sin politiske tilslutning til kompromisteksten til direktivet.

8.

Det fremgår af forhandlingsresultatet, at direktivet fastsætter foranstaltninger med henblik på at opnå et højt fælles sikkerhedsniveau for net- og informationssystemer i Unionen for at forbedre det indre markeds funktion.

9.

Efter afstemningen på plenarmødet førte Europa-Parlamentet og Rådet forhandlinger med henblik på at indgå en andenbehandlingsaftale på grundlag af Rådets førstebehandlingsholdning, som Europa-Parlamentet som sådan kunne godkende. Teksten til Rådets førstebehandlingsholdning afspejler til fulde det kompromis, som de to medlovgivere er nået frem til.

10.

Hovedelementerne i det kompromis, der er indgået med Europa-Parlamentet, skitseres nedenfor:

11.

I henhold til kompromiset har medlemsstaterne visse forpligtelser med hensyn til deres nationale cybersikkerhedskapacitet. For det første er medlemsstaterne forpligtet til at vedtage en national strategi, der fastlægger de strategiske mål og hensigtsmæssige politiske og lovgivningsmæssige foranstaltninger med henblik på at nå og opretholde et højt sikkerhedsniveau for net- og informationssystemer.

12.

For det andet udpeger medlemsstaterne en eller flere nationale kompetente myndigheder for sikkerheden i net- og informationssystemer for at overvåge anvendelsen af direktivet på nationalt plan.

13.

For det tredje er medlemsstaterne også forpligtet til at udpege et nationalt centralt kontaktpunkt for sikkerheden i net- og informationssystemer, som vil udgøre et bindeled, som gør det muligt for myndighederne i medlemsstaterne at samarbejde på tværs af grænserne og med de relevante myndigheder i andre medlemsstater samt med samarbejdsgruppen og CSIRT-nettet. En gang om året forelægger det centrale kontaktpunkt også samarbejdsgruppen en rapport om de anmeldelser, som det har modtaget.

14.

Endelig udpeger medlemsstaterne en eller flere enheder, der håndterer IT-sikkerhedshændelser (»CSIRT'er«), som er ansvarlige for at håndtere hændelser og risici. Kompromisteksten fastsætter krav til og opgaver for CSIRT'er i bilag I.

15.

For at støtte og lette strategisk samarbejde mellem medlemsstaterne og for at skabe tillid samt med henblik på at opnå et højt fælles sikkerhedsniveau for net- og informationssystemer i Unionen opretter kompromisteksten en samarbejdsgruppe. Gruppen skal bestå af repræsentanter fra medlemsstaterne, Kommissionen og Den Europæiske Unions Agentur for Net- og Informationssikkerhed (ENISA) og have specifikke opgaver, der er anført i teksten, såsom at udveksle bedste praksis og oplysninger om en række spørgsmål og at drøfte medlemsstaternes kapaciteter og beredskab.

16.

Kompromiset indfører desuden et net af nationale CSIRT'er for at bidrage til skabelsen af tillid mellem medlemsstaterne og at fremme et hurtigt og effektivt operationelt samarbejde. Nettet vil bestå af repræsentanter for medlemsstaternes CSIRT'er og CERT-EU, og Kommissionen deltager i nettet som observatør. ENISA varetager sekretariatsopgaverne og støtter aktivt samarbejdet mellem CSIRT'erne. Teksten indeholder en liste over opgaver, som nettet skal udføre, såsom at udveksle oplysninger om CSIRT's tjenester, aktiviteter og samarbejdsmuligheder, yde medlemsstater støtte i at håndtere hændelser på tværs af grænserne og under visse omstændigheder udveksle og drøfte oplysninger om hændelser og dermed forbundne risici.

17.

Direktivet fastsætter visse forpligtelser for to grupper af markedsoperatører: operatører af væsentlige tjenester og udbydere af digitale tjenester.

18.

Bilag II til direktivet indeholder en liste over sektorer, der er vigtige for samfundet og økonomien, dvs. energi, transport, bankvæsen, finansmarkedsinfrastrukturer, sundhedssektoren, drikkevandsvandforsyning og distribution og digital infrastruktur. Inden for disse sektorer skal medlemsstaterne udpege operatørerne af væsentlige tjenester ud fra præcise kriterier, der fastsættes i direktivet.

19.

Bilag III til direktivet indeholder en liste med tre typer af digitale tjenester, hvis udbydere vil skulle opfylde kravene i direktivet: onlinemarkedspladser, onlinesøgemaskiner og cloud computing-tjenester. Alle udbydere af digitale tjenester, der leverer de nævnte tjenester, vil skulle opfylde kravene i direktivet med undtagelse af mikrovirksomheder og små virksomheder.

20.

De to grupper markedsoperatører vil være forpligtet til at træffe tekniske og organisatoriske foranstaltninger for at styre risiciene for sikkerheden i net- og informationssystemer og forhindre og minimere virkningen af hændelser, der berører sikkerheden i disse systemer. Endvidere vil hændelser, der har en vis indvirkning på de pågældende tjenester, skulle anmeldes til de nationale kompetente myndigheder eller CSIRT'er. Direktivet fastsætter kriterier til at fastlægge omfanget af sådanne hændelsers indvirkning.

21.

Direktivet benytter en differentieret tilgang med hensyn til de to kategorier af operatører. Sikkerheds- og anmeldelseskravene er lavere for udbydere af digitale tjenester end for operatører af væsentlige tjenester, hvilket afspejler omfanget af den risiko afbrydelse af deres tjenester kan udgøre for vores samfund og økonomi. I betragtning af at udbyderne af digitale tjenester ofte er aktive i mange medlemsstater og med henblik på at sikre et højt harmoniseringsniveau, afskærer direktivet desuden medlemsstaterne fra at indføre yderligere sikkerheds- og anmeldelseskrav for disse udbydere.

22.

Kompromisteksten fastsætter endvidere, at enheder, som ikke er blevet identificeret som operatører af væsentlige tjenester og ikke er udbydere af digitale tjenester, på frivillig basis kan anmelde visse hændelser.

23.

Medlemsstaterne vil skulle gennemføre direktivet senest 21 måneder efter datoen for dets ikrafttræden og vil have yderligere 6 måneder til at udpege deres operatører af væsentlige tjenester.

24.

Rådets holdning afspejler til fulde det kompromis, der blev opnået enighed om under forhandlingerne mellem Europa-Parlamentet og Rådet, med Kommissionens samtykke. Kompromiset bekræftes ved den skrivelse, som formanden for IMCO-udvalget den 28. januar 2016 sendte til formanden for De Faste Repræsentanters Komité.