Bruxelles, den 23.6.2021

JOIN(2021) 14 final

2021/0166(NLE)

FÆLLES MEDDELELSE TIL EUROPA-PARLAMENTET OG RÅDET EMPTY

Rapport om gennemførelsen af EU's strategi for cybersikkerhed for det digitale årti


FÆLLES MEDDELELSE TIL EUROPA-PARLAMENTET OG RÅDET

Rapport om gennemførelsen af EU's strategi for cybersikkerhed for det digitale årti

I.Cyberrobusthed, operationel kapacitet og åbenhed er vigtigere end nogensinde før

Cybersikkerhed er uundværlig for udbredelsen af grønnere og mere intelligent teknologi i verden efter pandemien. Den er overordnet set uundværlig for EU's sikkerhed og er en søjle i sikkerhedsunionen. Social, politisk og økonomisk udvikling kræver teknologisk suverænitet og et globalt, åbent og sikkert cyberspace, der er baseret på retsstatsprincippet og respekt for menneskerettighederne og de grundlæggende frihedsrettigheder. Sådan lød den centrale forudsætning i den fælles meddelelse fra Kommissionen og den højtstående repræsentant for udenrigsanliggender og sikkerhedspolitik om EU's strategi for cybersikkerhed for det digitale årti, der blev vedtaget den 16. december 2020 1 . Alle kritiske enheder er potentielle ofre for cyberangreb. Udviklingen i de seneste seks måneder har styrket strategiens fokus på at fremskynde lovgivningsreformer, investeringer og kollektive operationelle reaktioner.

Nylige cyberangreb har især vist den øgede udbredelse af ransomware og cyberspionage og den voksende risiko, de udgør for alle sektorer i økonomien og samfundet som helhed. Hændelsernes omfang har været ekstraordinært: hundredtusindvis af servere blev ramt af angrebene på Microsoft Exchange, 18 000 organisationer blev potentielt berørt af SolarWinds Orion-kampagnen, følsomme oplysninger om hundredvis af patienter blev stjålet, og lægetjenester blev forstyrret af ransomwareangrebet på Irlands sundhedsvæsen, der opstod en brændstofkrise og forekom massivt datatyveri i cyberangrebet på Colonial Pipelines faktureringssystem samt forstyrrelse af driften af verdens største oksekødsleverandør 2 . Selv om skadernes fulde omfang fortsat er uklart, understreger hver eneste hændelse de potentielt vidtrækkende konsekvenser af ondsindet udnyttelse af sårbarheder i informations- og kommunikationsteknologiprodukter, -tjenester, -systemer og -netværk. Sådanne cyberangreb kan forventes at blive hyppigere og mere alvorlige, ligesom de kan underminere vores sikkerhed.

Det er derfor vigtigt, at Den Europæiske Union hurtigt opnår resultater på alle fronter — lovgivningsmæssigt, operationelt, investeringsmæssigt og diplomatisk — som fastsat i strategien. Forslagene til et direktiv om foranstaltninger, der skal sikre et højt fælles cybersikkerhedsniveau i hele Unionen ("NIS2-direktivet") 3 , til et direktiv om kritiske enheders robusthed 4 samt til en forordning og et direktiv om digital operationel modstandsdygtighed 5 bør vedtages snarest muligt. I denne forbindelse er det vigtigt at forfølge en ambitiøs tilgang, navnlig med hensyn til forsyningskæder, i lyset af hvordan sårbarheder i forbindelse med nylige cyberangreb blev sporet tilbage til softwareleverandører, og at træffe foranstaltninger, der sikrer de offentlige forvaltningers modstandsdygtighed og hurtig indberetning af hændelser. Behovet for at oprette et netværk af sikkerhedsoperationscentre (eller SOC'er) til tidlig opdagelse af signaler om cyberangreb er blevet mere presserende end nogensinde før, og det samme gælder behovet for at udvikle en troværdig, effektiv og kollektiv EU-reaktion, herunder på operationelt plan, på alvorlige hændelser gennem den fælles cyberenhed 6 . I betragtning af stigningen i antallet af cyberangreb, der gennemføres af statslige eller statsstøttede aktører, skal ansvarlig statslig adfærd fortsat fremmes i FN samt gennem cyberdialoger og strukturerede udvekslinger med regionale organisationer, herunder Den Afrikanske Union, ASEAN Regional Forum, Organisationen af Amerikanske Stater (OAS) og Organisationen for Sikkerhedssamarbejde i Europa (OSCE), sammen med effektive diplomatiske tiltag for at forebygge, modvirke, hindre og reagere på ondsindet adfærd i cyberspace. Samarbejdet med ligesindede tredjelande og prioriteterne i den transatlantiske dagsorden vil have særlig betydning. Navnlig samarbejdet mellem EU og USA om specifikke cybersikkerhedsaspekter bør undersøges nærmere, herunder om informationsudveksling og bekæmpelse af ransomware.

II.Oversigt over de første seks måneder af gennemførelsen

Man er allerede kommet langt med en række strategiske tiltag.

II.1    Modstandsdygtighed, teknologisk suverænitet og lederskab

I hele verden er forsyningskæder og kritisk infrastruktur, herunder hospitaler, der bekæmper covid-19-pandemien, nu i konstant fare for cyberangreb. Kommissionen støtter medlovgiverne i at sikre en hurtig vedtagelse af den foreslåede reform af NIS-direktivet, som navnlig vil udvide dækningen af sundhedssektoren, herunder forskningslaboratorier og fremstilling af kritisk medicinsk udstyr og lægemidler, og nye aktiviteter i energisektoren såsom brintproduktion, fjernvarme, elproduktion og centrale olielagre.

Forordningen om oprettelse af kompetencecentret for cybersikkerhed og netværket af nationale koordinationscentre blev vedtaget den 20. maj 2021 7 . Den vil samle ressourcer fra EU, medlemsstaterne og industrien for at forbedre og styrke den teknologiske og industrielle cybersikkerhedskapacitet, styrke EU's åbne strategiske autonomi og give mulighed for at konsolidere en del af de cybersikkerhedsrelaterede aktiviteter, der finansieres under Horisont Europa, programmet for et digitalt Europa og genopretnings- og resiliensfaciliteten — finansieringsstrømme på op til i alt 4,5 mia. EUR over de næste seks år 8 . Dette vil støtte udviklingen af et EU-cyberskjold til tidlig opdagelse af cyberangreb inden 2023, der består af et netværk af centre for sikkerhedsoperationer, som både kan være offentlige eller private, og som vil udnytte værktøjer drevet af kunstig intelligens. Flere medlemsstater har medtaget udviklingen af sådanne nationale centre i deres respektive genopretnings- og resiliensplaner. Kommissionen vil supplere disse bestræbelser ved at tildele midler fra programmet for et digitalt Europa og støtte deres trinvise forbindelse. De finansielle programmer vil også støtte EuroQCI's initiativ til opbygning af en sikker kvantekommunikationsinfrastruktur, der dækker hele EU 9 , herunder dets oversøiske territorier, ved hjælp af den bedste kombination af jordbaserede og rumbaserede teknologier og en særlig budgetpost til støtte for sundhedssektorens cyberrobusthed.

Sikring af 5G-cybersikkerhed er en løbende proces, der vil ledsage den gradvise udrulning af 5G og gennemførelsen af EU's 5G-værktøjskasse  10 . De fleste medlemsstater har allerede — eller vil snart have — indført rammer for indførelse af passende restriktioner for 5G-leverandører. Kravene til mobilnetoperatører styrkes gennem gennemførelsen af kodeksen for elektronisk kommunikation, og EU's Agentur for Cybersikkerhed, ENISA, er ved at udarbejde et forslag til en EU-cybersikkerhedscertificeringsordning for 5G-net 11 . I lyset af nye tendenser og udviklinger i 5G-forsyningskæden, har medlemsstaternes myndigheder besluttet at iværksætte en tilbundsgående analyse af de sikkerhedsmæssige konsekvenser af åbne, opdelte og interoperable netværksteknologiløsninger ("Open RAN") under EU-værktøjskassen. Resultatet af dette arbejde vil yderligere bidrage til EU's fælles tilgang til sikkerheden i 5G-net.

Der er behov for en større indsats, navnlig gennem EU's handlingsplan for digital uddannelse, for at afhjælpe den massive mangel på kvalificeret arbejdskraft, der forventes at nå op på næsten to millioner ubesatte stillinger inden for cybersikkerhed på verdensplan i 2022 og 350 000 alene i Europa, og den alvorlige underrepræsentation af kvinder, der kun udgør 11 % af den globale arbejdsstyrke inden for cybersikkerhed og en endnu lavere andel — 7 % — i Europa 12 . Andre igangværende politiske initiativer omfatter forberedende arbejde med henblik på fremtidige sikkerhedsinitiativer vedrørende tingenes internet og, for så vidt angår internetstandarder, udvikling af en nonprofit-tjeneste til oversættelse af domænenavne ("DNS4EU").

II.2    Opbygning af operationel kapacitet til at forebygge, afværge og reagere

I kraft af stigningen i statslige og statsfinansierede samt kriminelle angreb på netværk og informationssystemer og den stigende afhængighed af databaser med følsomme oplysninger har EU behov for tættere sammenkobling af cybersamfundene. De skal reagere konsekvent på de civile, strafferetlige, diplomatiske og forsvarsmæssige aspekter af omfattende cyberangreb, som mange følsomme økonomiske sektorer for nylig har oplevet. Det er derfor nødvendigt, at alle samfund gør en indsats for at fuldføre de fire trin, der er skitseret i Kommissionens henstilling om opbygning af den fælles cyberenhed, der blev vedtaget samtidig med denne rapport, som en mekanisme til yderligere koordinering og udfyldning af huller i EU's reaktion på cybertrusler 13 . I kampen mod cyberkriminalitet blev der opnået politisk enighed om den midlertidige forordning om bekæmpelse af seksuelt misbrug af børn online, som snart vil blive vedtaget 14 , og Kommissionens nye strategi for organiseret kriminalitet 15 fokuserer på behovet for at udstyre de retshåndhævende myndigheder med de nødvendige digitale værktøjer. Kommissionen vedtog også i februar 2020 en handlingsplan om synergier mellem de civile industrier og forsvars- og rumindustrierne, som identificerer et nyt flagskibsprojekt med henblik på etablering af et rumbaseret globalt system for sikker konnektivitet i EU. Den har til formål at give alle i Europa adgang til højhastighedsforbindelser og tilvejebringe et modstandsdygtigt konnektivitetssystem, der gør det muligt for Europa at forblive forbundet, uanset hvad der sker 16 .

Set fra et internationalt perspektiv er den højtstående repræsentant i overensstemmelse med ambitionen i det strategiske kompas 17 i øjeblikket ved at forberede revisionen af rammen for cyberforsvarspolitik, som skal forelægges for medlemsstaterne i andet halvår af 2021. Den højtstående repræsentant har arbejdet på at forbedre EU's evne til at forebygge, modvirke, hindre og reagere på ondsindede cyberaktiviteter, herunder ved at styrke det internationale samarbejde. Den 17. maj 2021 organiserede Tjenesten for EU's Optræden Udadtil (EU-Udenrigstjenesten) i samarbejde med det portugisiske formandskab og Den Europæiske Unions Institut for Sikkerhedsstudier (EUISS) en scenariebaseret drøftelse med EU's medlemsstater og internationale partnere for at forbedre den gensidige forståelse af de respektive diplomatiske tilgange til at forebygge, modvirke, hindre og reagere på ondsindede cyberaktiviteter og identificere muligheder for yderligere at styrke det internationale samarbejde med henblik herpå 18 . For yderligere at styrke EU's cyberdiplomatiske værktøjskasse indsamler EU-Udenrigstjenesten erfaringer, og den kan revidere retningslinjerne for gennemførelsen af rammen for en fælles diplomatisk EU-reaktion på ondsindede cyberaktiviteter.

Som bebudet i EU's strategi for cybersikkerhed for det digitale årti lancerer Kommissionen en undersøgelse for at udvikle værktøjer til bevidstgørelse, der har til formål at forbedre EU-virksomheders beredskab og modstandsdygtighed over for cyberbaseret tyveri af intellektuel ejendom 19 . Kommissionen intensiverede også håndhævelsesforanstaltningerne i forbindelse med direktiv 2013/40/EU om angreb på informationssystemer ved at indlede yderligere overtrædelsesprocedurer mod flere medlemsstater i juni 2021 20 . Kommissionen vil overveje yderligere tiltag, hvis det er nødvendigt. Det vil også være afgørende at forbedre tilgængeligheden af cybersikkerhedsfærdigheder i EU's arbejdsstyrke. Kompetencecentret for cybersikkerhed vil levere nøgleaktioner i denne henseende med henblik på at forbedre viden og kapacitet og tilskynde til udvikling af tværfaglige færdigheder inden for cybersikkerhed.

II.3    Fremme af et globalt og åbent cyberspace

Trusselsbilledet forværres af geopolitiske spændinger over det globale og åbne internet og via teknologier i hele forsyningskæden. Begrænsninger af og på internettet samt stigningen i ondsindede cyberaktiviteter og aktiviteter, der påvirker sikkerheden og integriteten af informations- og kommunikationsteknologiprodukter og -tjenester, udgør en trussel mod et globalt og åbent cyberspace samt retsstatsprincippet, menneskerettighederne, den grundlæggende frihed og de demokratiske værdier. Den højtstående repræsentant arbejder derfor sammen med medlemsstaterne på at fremme ansvarlig statslig adfærd i cyberspace, navnlig ved at udarbejde et handlingsprogram for fremme af ansvarlig statslig adfærd på FN-plan sammen med de 53 andre medsponsorer på grundlag af henstillingen i konsensusrapporten af 12. marts 2021 fra FN's åbne arbejdsgruppe om udvikling inden for information og telekommunikation i forbindelse med international sikkerhed 21 . EU arbejder på at styrke og udvide forbindelserne med tredjelande, internationale og regionale organisationer samt multiinteressentsamfundet gennem cyberdialoger som fastsat i strategien ved at oprette et EU-netværk for cyberdiplomati. Desuden er der ved at blive oprettet et europæisk råd for cyberkapacitetsopbygning 22 , hvilket giver EU's institutioner, organer og agenturer mulighed for bedre at koordinere og samarbejde om EU's eksterne cyberkapacitetsopbygningsindsats.

Inden for rammerne af De Forenede Nationer vedtog Generalforsamlingen den 26. maj 2021 retningslinjer for arbejdet i det ad hoc-udvalg, der blev nedsat ved resolution 74/247 om bekæmpelse af anvendelsen af informations- og kommunikationsteknologi til kriminelle formål. 23 De retningslinjer, der endeligt vedtages, omfatter vigtige elementer til at sikre inklusive beslutningsprocedurer og større inddragelse af civilsamfundet i ad hoc-udvalgets arbejde. Det første forhandlingsmøde i den proces, der skal føre til en ny FN-konvention, finder sted i New York i januar 2022.

På plenarmødet den 28. maj 2021 i Komitéen af Stater, der er parter i Europarådets Budapestkonvention om IT-kriminalitet, afsluttede de deltagende stater drøftelserne og vedtog et udkast til en tekst til anden tillægsprotokol til konventionen 24 , som bør styrke samarbejdet om cyberkriminalitet og elektronisk bevismateriale i forbindelse med strafferetlig efterforskning. Kommissionen deltog i drøftelserne på vegne af EU 25 . Dette bør danne grundlag for den formelle afslutning af forhandlingerne i løbet af andet halvår af 2021 og for den efterfølgende åbning for undertegnelse af anden tillægsprotokol i begyndelsen af 2022.

EU gentog sammen med sine partnere i juni 2021, at det er fast besluttet på at arbejde sammen om at tackle den presserende og eskalerende trussel fra kriminelle ransomwarenetværk, der udgør en risiko for vores borgere og virksomheder, for at fremme en fælles forståelse af, hvordan den eksisterende folkeret finder anvendelse på cyberspace, og for at fremme denne tilgang i FN og andre internationale fora og opfordrer alle stater til hurtigst muligt at identificere og afbryde kriminelle ransomwarenetværk, der opererer inden for deres grænser, og drage disse netværk til ansvar for deres handlinger 26 .

II.4    Cybersikkerhed i EU's institutioner, organer og agenturer

EU er på vej til at hæve standarderne for cybersikkerhed og informationssikkerhed i EU's institutioner, organer og agenturer. Kommissionen gennemfører høringer af interessenter og benchmarking af de nuværende politikker med henblik på vedtagelse af forslag inden udgangen af 2021.

III.Baggrund for rapporten

Kommissionen og den højtstående repræsentant vedtog EU's strategi for cybersikkerhed den 16. december 2020. Den fastsætter prioriteter og nøgleaktioner med henblik på at opbygge Europas modstandsdygtighed, autonomi, lederskab og operationelle kapacitet i lyset af de voksende og komplekse trusler mod europæiske net og informationssystemer samt fremme et globalt og åbent cyberspace og Europas internationale partnerskaber i den forbindelse. Kommissionen og den højtstående repræsentant påtog sig at overvåge fremskridtene i gennemførelsen af strategien.

Det Europæiske Råd opfordrede i sin erklæring af 26. februar 2021 Kommissionen og den højtstående repræsentant til at aflægge rapport om gennemførelsen af strategien senest i juni 2021 27 . Rådet hilste i sine konklusioner, der blev vedtaget den 9. marts 2021, strategien velkommen, idet det understregede, at cybersikkerhed er afgørende for opbygningen af et modstandsdygtigt, grønt og digitalt Europa, og det opfordrede Kommissionen og den højtstående repræsentant til at udarbejde en detaljeret gennemførelsesplan, der fastsætter prioriteterne og tidsplanen for de planlagte tiltag 28 . Strategien er under overvejelse i Europa-Parlamentets relevante udvalg, herunder et særlig fokus på risikoen for fragmenteret regulering og muligheden for at styrke den europæiske industri, efterhånden som den digitaliseres 29 . Det Europæiske Økonomiske og Sociale Udvalg vedtog den 27. april en udtalelse, hvori det hilste strategien velkommen som et positivt skridt i retning af at beskytte mod globale cybertrusler og sikre økonomisk vækst 30 .

Denne rapport er et svar på denne udvikling og navnlig på opfordringen fra Det Europæiske Råd.

   

(1)

Fælles meddelelse til Europa-Parlamentet og Rådet, EU's strategi for cybersikkerhed for det digitale årti, JOIN (2020) 18.

(2)

Solarwinds, en stor amerikansk it-virksomhed, blev i 2020 udsat for et cyberangreb, der spredte sig til dets kunder, og som gik uopdaget hen i flere måneder, hvilket gav hackere adgang til tusindvis af virksomheder og offentlige kontorer, der anvendte dets Orion-produkter, herunder seks EU-institutioner, -organer og -agenturer. Fra januar 2021 blev der fundet en række zero-day-udnyttelser i Microsoft Exchange Server, som påvirkede e-mailsystemer rundt om i verden. I maj blev det irske Health Service Executive udsat for et angreb, der havde en betydelig indvirkning på tjenestens kontinuitet. Colonial Pipeline, USA's største brændstofrørledningsoperatør, måtte indstille driften den 7. maj efter at have opdaget et brud som følge af et cybersikkerhedsangreb, der havde påvirket deres vigtigste it-systemer, og i juni 2021 blev JBS USA Holdings Inc., den amerikanske filial af verdens største kødleverandør målt på salg, udsat for et succesrigt ransomwareangreb, hvilket medførte alvorlige afbrydelser af driften.

(3)

Forslag til direktiv om foranstaltninger, der skal sikre et højt fælles cybersikkerhedsniveau i hele Unionen, og om ophævelse af direktiv EU 2016/1148, COM (2020) 823.

(4)

Forslag til direktiv om kritiske enheders modstandsdygtighed, COM (2020) 829.

(5)

Forslag til forordning om digital operationel modstandsdygtighed i den finansielle sektor og om ændring af forordning (EF) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014 og (EU) nr. 909/2014, COM(2020) 595; Forslag til direktiv om ændring af direktiv 2006/43/EF, 2009/65/EF, 2009/138/EU, 2011/61/EU, 2013/36/EU, 2014/65/EU, (EU) 2015/2366 og (EU) 2016/2341, COM(2020) 596.

(6)

[JCU's henstilling]

(7)

Europa-Parlamentets og Rådets forordning (EU) 2021/887 af 20. maj 2021 om oprettelse af Det Europæiske Industri-, Teknologi- og Forskningskompetencecenter for Cybersikkerhed og Netværket af Nationale Koordinationscentre.

(8)

Kompetencecentret for cybersikkerhed vil navnlig gøre dette ved at træffe beslutning om og forvalte cybersikkerhedsmidler fra programmet for et digitalt Europa og Horisont Europa-programmet samt fra medlemsstaterne.

(9)

  https://ec.europa.eu/digital-single-market/en/news/future-quantum-eu-countries-plan-ultra-secure-communication-network . 

(10)

Rapport om virkningerne af Kommissionens henstilling af 26. marts 2019 om cybersikkerhed i 5G-net, SWD(2020) 357 final, 16. december 2020.

(11)

 Udarbejdelsen af ordningen sker efter støtte fra NIS-samarbejdsgruppen og i overensstemmelse med artikel 48 i forordningen om cybersikkerhed. Forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed) og om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013. https://ec.europa.eu/digital-single-market/en/news/cybersecurity-5g-networks-commission-requests-eu-cybersecurity-agency-develop-certification .

(12)

  https://ec.europa.eu/education/education-in-the-eu/digital-education-action-plan_da . 

(13)

[Den fælles cyberenhed ville muliggøre en koordineret reaktion på og genopretning efter omfattende cyberhændelser og -kriser og bidrage til at sikre mobilisering af ressourcer til bistand. Den ville inddrage eksperter på tværs af cybersikkerhedssamfund for at opbygge en fælles situationsbevidsthed og sikre det nødvendige beredskab. Den ville også koordinere bistandsmekanismer efter anmodning fra en eller flere medlemsstater.]

(14)

  https://www.europarl.europa.eu/news/it/press-room/20210430IPR03213/provisional-agreement-on-temporary-rules-to-detect-and-remove-online-child-abuse . 

(15)

Strategi for organiseret kriminalitet 2021-2025, COM(2021) 170 af 14.4.2021.

(16)

COM (2021) 70 af 22.2.2021.

(17)

Rådets konklusioner om sikkerhed og forsvar af 17. juni 2020 (8910/20).

(18)

  https://eeas.europa.eu/headquarters/headquarters-homepage/98588/cyberspace-strengthening-cooperation-promoting-security-and-stability_en . 

(19)

 COM(2020) 760 af 25.11.2020.

(20)

De pågældende medlemsstater er Østrig, Belgien, Tjekkiet, Estland, Luxembourg, Polen og Sverige.

(21)

  https://front.un-arm.org/wp-content/uploads/2021/03/Final-report-A-AC.290-2021-CRP.2.pdf . 

(22)

  https://www.eucybernet.eu/ .

(23)

  https://www.unodc.org/unodc/en/cybercrime/cybercrime-adhoc-committee.html .

(24)

https://rm.coe.int/0900001680a2aa42.

(25)

Den anden tillægsprotokol til Budapestkonventionen om IT-kriminalitet omfatter foranstaltninger og garantier til forbedring af det internationale samarbejde mellem retshåndhævende og retlige myndigheder samt mellem myndigheder og tjenesteudbydere i andre lande, og for hvilke Kommissionen deltager i forhandlingerne på vegne af EU; Rådets afgørelse af juni 2019 (ref. 9116/19).

(26)

Erklæring fra topmødet mellem EU og USA, 15. juni 2021 https://www.consilium.europa.eu/media/50443/eu-us-summit-joint-statement-15-june-final-final.pdf . Kommunikéet fra G7-topmødet i Carbis Bay: Our Shared Agenda for Global Action to Build Back Better, 13. juni 2021; https://www.consilium.europa.eu/media/50361/carbis-bay-g7-summit-communique.pdf . 

(27)

  https://www.consilium.europa.eu/media/48625/2526-02-21-euco-statement-en.pdf . 

(28)

  https://www.consilium.europa.eu/en/press/press-releases/2021/03/22/cybersecurity-council-adopts-conclusions-on-the-eu-s-cybersecurity-strategy/ . 

(29)

(2021/2568(RSP)).

(30)

  https://www.eesc.europa.eu/en/our-work/opinions-information-reports/opinions/communication-cybersecurity-strategy . 


Bruxelles, den 23.6.2021

JOIN(2021) 14 final

BILAG

til

Fælles meddelelse til Europa-Parlamentet og Rådet

Rapport om gennemførelsen af EU's strategi for cybersikkerhed for det digitale årti


Fremskridt med hensyn til gennemførelsen af de strategiske initiativer

Henvisning

Initiativ

COM/Den højtstående repræsentant (HR)

Status

(1)Modstandsdygtighed, teknologisk suverænitet og lederskab

1.1

Vedtagelse af det reviderede NIS-direktiv

COM

Parlamentets holdning forventes færdiggjort ved udgangen af 2021. Statusrapport om forhandlingerne forelagt af Rådet i juni.

Som supplement til og til håndtering af de sektorspecifikke regler på energiområdet er der ved at blive udviklet en netkodeks om cybersikkerhed i henhold til elektricitetsforordningen (EU) 2019/943 med henblik på at øge modstandsdygtigheden i og beskyttelsen af energisektoren. Med hensyn til forordningen og direktivet om digital operationel modstandsdygtighed forventes Parlamentets holdning at blive færdiggjort i andet halvår af 2021. Rådet forventes at nå frem til en generel indstilling til forslaget i juni 2021.

1.2

Lovgivningsmæssige foranstaltninger for et sikkert tingenes internet

COM

Igangværende undersøgelser og høringer om udførlige regler er i gang.

Fremskridt hen imod en delegeret retsakt i henhold til radioudstyrsdirektivet (direktiv 2014/53/EU) med henblik på eventuel vedtagelse i 2021; fra juli 2022 skal der gennemføres regler for motorkøretøjer for alle nye køretøjstyper.

Kommissionen arbejder sammen med interessenter om rollen for cybersikkerhedscertificering af produkter, processer og tjenester i forskellige sektorer.    

1.3

Gennemførelse af investeringer i cybersikkerhed (navnlig fra programmet for et digitalt Europa, Horisont Europa og genopretnings- og resiliensfaciliteten), navnlig gennem industri-, teknologi- og forskningskompetencecentret for cybersikkerhed og netværket af kompetencecentre, når disse er til rådighed, for at nå op på 4,5 mia. EUR i offentlige og private investeringer i perioden 2021-2027

COM

Der vil snart blive vedtaget nye arbejdsprogrammer for finansieringsmekanismerne under Horisont Europa og programmet for et digitalt Europa, som skal forvaltes af det nye industri-, teknologi- og forskningskompetencecenter for cybersikkerhed og netværket af kompetencecentre.

1.4

Et EU-netværk af AI-baserede sikkerhedsoperationscentre [EU's cyberskjold] og en ultrasikker kvantekommunikationsinfrastruktur [EuroQCI]

COM

Medlemsstaterne er blevet opfordret til at udvikle national operativ kapacitet gennem sikkerhedsoperationscentre (SOC'er). Flere medlemsstater har til hensigt at anvende genopretnings- og resiliensfaciliteten til at fremme SOC'er, og der er drøftelser i gang mellem Kommissionen og andre EU-institutioner, -organer og -agenturer og medlemsstaterne om, hvordan man forbinder SOC'erne og værtsdatabehandlings- og analysekapaciteten 1 .

Medlemsstaterne arbejder fortsat på at fremme EuroQCI-initiativet med Kommissionen og Den Europæiske Rumorganisation. EuroQCI-handlingsplanen afventer medlemsstaternes godkendelse. I det første program for et digitalt Europa opfordres der til at støtte nationale QCI-netværk, og udviklingen af centrale teknologier, der er nødvendige for EuroQCI, vil snart blive iværksat.

Kommissionen vedtog i februar 2020 en handlingsplan om synergier mellem civile industrier og forsvars- og rumindustrier, som udpeger et nyt flagskibsprojekt til etablering af et rumbaseret globalt system for sikker konnektivitet i EU. Flere medlemsstater har medtaget initiativer vedrørende sikker konnektivitet i deres genopretnings- og resiliensplaner.

Aktioner under Connecting Europe-faciliteten — Det digitale område (CEF2) vil støtte opbygningen af grænseoverskridende forbindelser mellem nationale netværk. Flere medlemsstater har medtaget EuroQCI i deres genopretnings- og resiliensplaner.

1.5

Udbredt indførelse af cybersikkerhedsteknologier gennem målrettet støtte til SMV'er under de digitale innovationsknudepunkter

COM

Kommissionen arbejder på at sikre, at cybersikkerhedsindhold og -ekspertise leveres gennem initiativet for europæiske digitale innovationsknudepunkter under programmet for et digitalt Europa og i samarbejde med nationale koordinationscentre for cybersikkerhed. Interessenter inden for cybersikkerhed, herunder Den Europæiske Organisation for Cybersikkerhed, er ved at udvikle et "servicekatalog" for innovationsknudepunkter med fokus på cybersikkerhed.

1.6

Udvikling af en DNS-oversættelsestjeneste på EU-plan som et sikkert og åbent alternativ for EU's borgere, virksomheder og offentlige forvaltninger i deres tilgang til internettet [DNS4EU]

COM

Der er øremærket midler til udvikling af DNS4EU under det digitale arbejdsprogram for Connecting Europe-faciliteten — Det digitale område (CEF2) for 2021-23 2 , og der er planlagt en indkaldelse af forslag til projektet i 2021.

Kommissionen indgår desuden i forbindelse med internetsikkerhed i drøftelser med internetinteressenter og agter at iværksætte en undersøgelse med henblik på at definere en beredskabsplan med støtte fra EU-midler til håndtering af ekstreme scenarier, som påvirker integriteten og tilgængeligheden af det globale DNS-rodsystem.

Der er ved at blive udarbejdet en undersøgelse om overvågning af udviklingen og udbredelsen af centrale internetstandarder til støtte for EU's politikker og for at fremskynde udbredelsen af vigtige internetstandarder såsom internetprotokol v6 (IPv6) og veletableret internetsikkerhed, standarder og god praksis for DNS, routing og e-mail-sikkerhed (planlagt start i efteråret 2021).

Finansiering under programmet for et digitalt Europa tager sigte på at oprette et internetobservatorium inden for rammerne af aktiviteterne i det europæiske industri-, teknologi- og forskningskompetencecenter for cybersikkerhed.

1.7

Afslutning af gennemførelsen af 5G-værktøjskassen

COM

Medlemsstaterne gjorde med støtte fra Kommissionen og ENISA yderligere fremskridt inden for gennemførelsen af 5G-værktøjskassen, navnlig restriktionerne for højrisikoleverandører. Andre foranstaltninger på EU-plan omfatter udarbejdelsen af en EU-kandidatcertificeringsordning for 5G-net og NIS-samarbejdsgruppens iværksættelse af en analyse af Open RAN's sikkerhedsmæssige konsekvenser.

(2)Opbygning af operationel kapacitet til at forebygge, modvirke og reagere

2.1

Færdiggørelse af den europæiske ramme for håndtering af cybersikkerhedskriser og fastlæggelse af proceduren, milepælene og tidsplanen for oprettelse af den fælles cyberenhed

COM med HR

Kommissionen vedtog den 23. juni 2021 en henstilling om opbygning af den fælles cyberenhed, der omhandler milepæle, processer og tidsplaner og tager hensyn til drøftelser med medlemsstaterne.

2.2

Fortsættelse af gennemførelsen af dagsordenen for cyberkriminalitet under strategien for EU's sikkerhedsunion

COM

Med støtte fra Kommissionen identificerer medlemsstaterne bedste praksis for registrering, udarbejdelse og offentliggørelse af statistiske data om indberetninger, retsforfølgning og domfældelse for lovovertrædelser i forbindelse med cyberangreb som defineret i direktiv 2013/40/EU om angreb på informationssystemer.

Kommissionen overvåger fremskridtene efter de åbne traktatbrudsprocedurer vedrørende syv medlemsstaters utilstrækkelige gennemførelse af direktiv 2013/40/EU. Der kan indledes yderligere procedurer senere i 2021.

Kommissionen iværksatte en undersøgelse af identitetstyveri, og resultaterne forventes at foreligge i december 2021.

Indsamlingen af data om kriminalitetsstatistikker vil blive udvidet i 2021 i overensstemmelse med artikel 14 i direktiv 2013/40/EU.

2.3

Tilskynde til og lette oprettelsen af en EU-arbejdsgruppe om cyberintelligens for medlemsstaterne under EU's Efterretnings- og Situationscenter (INTCEN)

HR

Den højtstående repræsentant fortsætter med at tilskynde til og lette nedsættelsen af en arbejdsgruppe om cyberintelligens for medlemsstaterne med henblik på at styrke INTCEN's dedikerede kapacitet på dette område på grundlag af frivillige efterretningsbidrag fra medlemsstaterne og med forbehold for deres kompetencer. Der er planlagt yderligere drøftelser mellem EU-Udenrigstjenesten og medlemsstaterne.

2.4

Fremsætte EU's holdning til cyberforsvar med afskrækkende virkning for at forebygge, modvirke, hindre og reagere på ondsindede cyberaktiviteter

HR med COM

EU-Udenrigstjenesten er ved at gennemgå retningslinjerne for gennemførelsen af rammen for EU's fælles diplomatiske reaktion på ondsindede cyberaktiviteter med henblik på at bidrage til udviklingen af den cyberdiplomatiske værktøjskasse 3 . Der er ved at blive udarbejdet et forslag om cyberforsvar med afskrækkende virkning, som i begyndelsen af 2022 skal forelægges Rådet af den højtstående repræsentant med inddragelse af Kommissionen i overensstemmelse med dens beføjelser.

Den 16. april 2021 blev der udsendt en erklæring på EU's vegne, hvori der blev udtrykt solidaritet med USA i forbindelse med virkningerne af ondsindede cyberaktiviteter, navnlig cyberangrebet på SolarWinds 4 .

For yderligere at fremme det internationale samarbejde var EU-Udenrigstjenesten med formandskabet for Rådet og Den Europæiske Unions Institut for Sikkerhedsstudier den 17. maj 2021 vært for en drøftelse for at forbedre den gensidige forståelse af de respektive diplomatiske tilgange til at forebygge, modvirke, hindre og reagere på ondsindede cyberaktiviteter.

2.5

Revision af politikrammen for cyberforsvar

HR med COM

Revisionen af rammen for cyberforsvarspolitik i samarbejde med medlemsstaterne og interessenterne begyndte i maj 2021.

2.6

Lette udviklingen af EU's militære vision og strategi for cyberspace som et operationsområde med henblik på militære FSFP-missioner og -operationer

HR

Den militære vision og strategi for cyberspace som operationsområde skal danne grundlag for nationale strategier og dermed støtte harmoniseringen af EU's indsats inden for cyberforsvar. EU's anden workshop om koncepter for cyberforsvar blev afholdt den 28.-29. april 2021 med henblik på forelæggelse for EU's Militærkomité i juni 2021.

2.7

Støtte synergier mellem den civile industri og forsvars- og rumindustrien

COM

En handlingsplan for støtte til synergier mellem sektorerne blev vedtaget i februar 2021.

2.8

Styrke cybersikkerheden for kritiske ruminfrastrukturer under rumprogrammet.

COM

Et arbejdsprogram er under udarbejdelse.

(3)Fremme af et globalt og åbent cyberspace

3.1

Definere en række mål i internationale standardiseringsprocesser og fremme disse på internationalt plan

COM

Arbejdet med disse mål er i gang.

3.2

Fremme international sikkerhed og stabilitet i cyberspace, navnlig gennem forslaget fra EU og medlemsstaterne til et handlingsprogram til fremme af ansvarlig statslig adfærd i cyberspace i De Forenede Nationer

HR

EU fortsætter arbejdet med at fastlægge handlingsprogrammet på grundlag af konsensusrapporten af 12. marts 2021 fra FN's åbne arbejdsgruppe om udvikling inden for information og telekommunikation i forbindelse med international sikkerhed.

3.3

Tilbyde praktisk vejledning om anvendelse af menneskerettigheder og grundlæggende frihedsrettigheder i cyberspace

HR med COM

Med udgangspunkt i handlingsplanen vedrørende menneskerettigheder og demokrati (2020-2024) og dens retningslinjer for menneskerettigheder vedrørende ytringsfrihed online og offline vil EU fortsat fremme yderligere overholdelse af international menneskerettighedslovgivning og internationale menneskerettighedsstandarder. Der er planlagt koordineringsmøder med relevante interessenter i andet halvår af 2021.

3.4

Bedre beskyttelse af børn mod seksuelt misbrug og seksuel udnyttelse og en strategi for børns rettigheder

COM

Europa-Parlamentet og Rådet nåede i maj 2021 til enighed om en midlertidig forordning for at sikre, at udbydere af onlinekommunikationstjenester kan fortsætte deres frivillige praksis med at afsløre og indberette seksuelt misbrug af børn online og fjerne materiale med seksuelt misbrug af børn. Kommissionen er ved at udarbejde et forslag til en permanent ramme.

3.5

Styrke og fremme Budapestkonventionen om IT-kriminalitet, herunder gennem arbejdet med anden tillægsprotokol til Budapestkonventionen

COM med HR

Kommissionen deltager i forhandlingerne om den anden tillægsprotokol på EU's vegne, og protokollen kan eventuelt åbnes for undertegnelse i begyndelsen af 2022.

3.6

Udvide EU's dialog med tredjelande, regionale og internationale organisationer om cyberspørgsmål, herunder gennem et uformelt cyberdiplomatisk EU-netværk

HR med COM

EU overvejer, hvordan man kan styrke og udvide det nuværende sæt af cyberdialoger. I øjeblikket finder der cyberdialoger sted med Brasilien, Kina, Indien, Japan, Republikken Sydkorea og USA. Den første cyberdialog mellem EU og Ukraine fandt sted den 3. juni 2021. Desuden indeholder handels- og samarbejdsaftalen (TCA) med Det Forenede Kongerige planer om at bestræbe sig på at etablere en cyberdialog mellem EU og Det Forenede Kongerige.

EU's delegationer og de relevante medlemsstaters ambassader rundt om i verden er i gang med forberedelserne til oprettelsen af et uformelt EU-netværk for cyberdiplomati med henblik på at fremme EU's vision for cyberspace, udveksle oplysninger og regelmæssigt koordinere udviklingen i cyberspace. Netværket for cyberdiplomati forventes at påbegynde sit arbejde i andet halvår af 2021.

3.7

Styrke udvekslingerne med multiinteressentfællesskabet, navnlig ved regelmæssige og strukturerede udvekslinger med den private sektor, den akademiske verden og civilsamfundet

COM med HR

Regelmæssige og strukturerede udvekslinger med interessenter, herunder den private sektor, den akademiske verden og civilsamfundet, bør styrkes, også i forbindelse med overvejelser om dialoginfrastrukturen for cyberspørgsmål (se 3.6 ovenfor).

3.8

Foreslå en dagsorden for EU's eksterne cyberkapacitetsopbygning samt et råd for EU's cyberkapacitetsopbygning

COM med HR

Der er drøftelser i gang om oprettelse af EU's råd for cyberkapacitetsopbygning. Et første indledende møde fandt sted i april 2021. Når udvalget er etableret, vil det udarbejde dagsordenen.

Cybersikkerhed i EU's institutioner, organer og agenturer

A.1

Forordning om fælles informationssikkerhedsregler for alle EU's institutioner, organer og agenturer

COM

Kommissionen rådfører sig med andre institutioner, organer og agenturer og medlemsstaternes nationale sikkerhedseksperter med henblik på vedtagelse af et forslag i fjerde kvartal af 2021.

A.2

Forordning om fælles regler for cybersikkerhed for EU's institutioner, organer og agenturer

COM

Kommissionen er sammen med andre institutioner, organer og agenturer i færd med at benchmarke cybersikkerhedspolitikker og vurdere trusselsbilledet med henblik på vedtagelse af et forslag i fjerde kvartal af 2021.

A.3

Nyt retsgrundlag for styrkelse af CERT-EU's stabilitet og finansiering

COM

Kommissionen overvejer sammen med andre institutioner, organer og agenturer de nye fælles regler for cybersikkerhed som retsgrundlag for at styrke CERT-EU med henblik på at håndtere det stigende antal væsentlige hændelser, der sandsynligvis vil blive foreslået som en del af punkt A.2 ovenfor.

(1)

Der finder drøftelser sted med CSIRT-netværket, Det Europæiske Netværk af Forbindelsesorganisationer for Cyberkriser (CyCLoNe) og NIS Coooperation Group.

(2)

Parlamentet og Rådet nåede den 12. marts 2021 til enighed om den foreslåede Connecting Europe-facilitet (CEF2).

(3)

Rådets afgørelse (FUSP) 2020/1127, 2020/1537 og 2020/651 som en del af 9916/17.

(4)

  https://www.consilium.europa.eu/da/press/press-releases/2021/04/15/declaration-by-the-high-representative-on-behalf-of-the-european-union-expressing-solidarity-with-the-united-states-on-the-impact-of-the-solarwinds-cyber-operation/ .