29.11.2022   

DA

Den Europæiske Unions Tidende

C 452/23

Resumé af udtalelsen fra Den Europæiske Tilsynsførende for Databeskyttelse om forslaget til Europa-Parlamentets og Rådets forordning om horisontale cybersikkerhedskrav til produkter med digitale elementer og om ændring af forordning (EU) 2019/1020

(2022/C 452/07)

(Udtalelsen findes i sin helhed på engelsk, fransk og tysk på EDPS' websted https://edps.europa.eu)

Den 15. september 2022 fremsatte Europa-Kommissionen et forslag til Europa-Parlamentets og Rådets forordning om horisontale cybersikkerhedskrav til produkter med digitale elementer og om ændring af forordning (EU) 2019/1020 (1) (»forslaget«).

EDPS hilser forslaget velkommen og støtter fuldt ud dets overordnede mål om at forbedre det indre markeds funktion ved at fastlægge en ensartet retlig ramme for væsentlige cybersikkerhedskrav til produkter med digitale elementer, der bringes i omsætning på EU-markedet.

EDPS minder om, at artikel 5, stk. 1, litra f), i GDPR har indført sikkerhed som et af hovedprincipperne for behandling af personoplysninger. Artikel 32 i GDPR definerer yderligere denne forpligtelse, der gælder for både dataansvarlige og databehandlere, for at sikre et passende sikkerhedsniveau. EDPS glæder sig derfor over, at principperne om sikkerhed og dataminimering allerede er indarbejdet i de væsentlige cybersikkerhedskrav, der er anført i bilag I til forslaget. Desuden anbefaler EDPS på det kraftigste, at princippet om databeskyttelse gennem design og gennem standardindstillinger medtages i de væsentlige cybersikkerhedskrav til produkter med digitale elementer.

Betragtning 17 indeholder meget vigtige forvaltningsbestemmelser, som ikke er afspejlet i den operationelle del af forslaget. EDPS anbefaler derfor, at alle aspekter vedrørende skabelse af synergier inden for både standardisering og certificering af cybersikkerhed samt synergier mellem dette forslag og EU's databeskyttelseslovgivning inden for markedsovervågning og håndhævelse præciseres i den operationelle del af forslaget. Desuden finder EDPS det nødvendigt at præcisere, at forslaget ikke sigter mod at påvirke anvendelsen af gældende EU-lovgivning om behandling af personoplysninger, herunder de opgaver og beføjelser, der påhviler de uafhængige tilsynsmyndigheder med kompetence til at overvåge, at disse instrumenter overholdes.

EDPS glæder sig over, at det med denne bestemmelse anerkendes, at behandlingen af personoplysninger er en kritisk og følsom funktion og som sådan kan kræve, at de tilsvarende kritiske produkter med digitale elementer skal have en europæisk cybersikkerhedsattest i henhold til en europæisk cybersikkerhedscertificeringsordning. Samtidig anbefaler EDPS, at det i en betragtning i forslaget præciseres, at indhentning af en europæisk cybersikkerhedsattest i henhold til forslaget ikke garanterer overholdelse af GDPR.

Endelig ser EDPS med tilfredshed på de foreslåede sanktioner, som svarer til dem, der er fastsat i GDPR for en overtrædelse af GDPR's artikel 32 om behandlingssikkerhed, med en maksimal bøde på 2,5 % af den samlede årlige omsætning. Forslaget kan dermed tjene som endnu en form for beskyttelse af personer med bopæl i EU-medlemsstaterne, sammen med bestemmelserne i GDPR.

1.   INDLEDNING

1.

 Den 15. september 2022 fremsatte Europa-Kommissionen et forslag til Europa-Parlamentets og Rådets forordning om horisontale cybersikkerhedskrav til produkter med digitale elementer og om ændring af forordning (EU) 2019/1020.

2.

 Formålet med forslaget er at forbedre det indre markeds funktion ved at fastlægge en ensartet retlig ramme for væsentlige cybersikkerhedskrav til produkter med digitale elementer, der bringes i omsætning på EU-markedet (2). Forslaget har navnlig til formål at fastsætte grænsebetingelserne for udviklingen af sikre produkter med digitale elementer ved at sikre, at hardware- og softwareprodukter bringes i omsætning med færre sårbarheder, og at fabrikanterne tager sikkerheden alvorligt i hele et produkts livscyklus. Det har også til formål at skabe betingelser, der gør det muligt for brugerne at tage hensyn til cybersikkerhed, når de udvælger og anvender produkter med digitale elementer (3).

3.

 Forslaget fastslår derfor (4):

regler for omsætning af produkter med digitale elementer for at sikre cybersikkerheden for sådanne produkter

væsentlige krav til design, udvikling og produktion af produkter med digitale elementer og forpligtelser for erhvervsdrivende i forbindelse med disse produkter med hensyn til cybersikkerhed

væsentlige krav til sårbarhedshåndteringsprocesser, som fabrikanterne skal indføre for at sikre cybersikkerheden for produkter med digitale elementer i hele deres livscyklus, og forpligtelser for erhvervsdrivende i forbindelse med disse processer

regler om markedsovervågning og håndhævelse af ovennævnte regler og krav.

4.

 EU-rammen omfatter flere horisontale retsakter, der dækker visse aspekter i forbindelse med cybersikkerhed fra forskellige vinkler (produkter, tjenester, krisestyring og kriminalitet). I 2013 trådte direktivet om angreb på informationssystemer (5), der harmoniserer kriminalisering og sanktioner for en række strafbare handlinger rettet mod informationssystemer, i kraft. I august 2016 trådte direktiv (EU) 2016/1148 (6) om sikkerhed i net- og informationssystemer (NIS-direktivet) i kraft som den første EU-retsakt om cybersikkerhed. I revisionen heraf, der er mundet ud i NIS 2-direktivet, hæves EU’s fælles ambitionsniveau med hensyn til cybersikkerheden for IKT-tjenester. I 2019 trådte EU’s forordning om cybersikkerhed (7) i kraft med det formål at øge sikkerheden i forbindelse med IKT-produkter, -tjenester og -processer gennem indførelse af en frivillig europæisk ramme for cybersikkerhedscertificering.

5.

 Denne udtalelse fra EDPS er afgivet på grundlag af en høring fra Europa-Kommissionen af 15. september 2022 i henhold til artikel 42, stk. 1, i EUDPR. EDPS bifalder henvisningen til denne høring i forslagets betragtning 71. I denne henseende noterer EDPS sig med tilfredshed, at han allerede var blevet hørt uformelt i medfør af betragtning 60 i EUDPR.

3.   KONKLUSION

31.

 På baggrund af ovenstående fremsætter EDPS følgende henstillinger:

(1)

at princippet om databeskyttelse gennem design og standardindstillinger som udgangspunkt medtages i de væsentlige cybersikkerhedskrav for produkter med digitale elementer

(2)

i præamblen at forklare den store betydning af produkter med digitale elementer, der udfører kryptografiske operationer, herunder kryptering i hvile og i transit og pseudonymisering, som er nødvendige for effektiv informationssikkerhed, cybersikkerhed, databeskyttelse og privatlivet

(3)

i bilag II at tilføje materielle og immaterielle produkter med digitale elementer, der udfører kryptografiske operationer

(4)

at lade forordning (EU) 2017/745 (8) udgå af listen over lovgivninger, der ikke er omfattet af forslagets anvendelsesområde

(5)

udtrykkeligt at præcisere i forslaget, hvilke elementer der indgår i de væsentlige krav i artikel 3, stk. 3, litra e), i direktiv 2014/53/EU (9) om personoplysninger og privatlivet

(6)

at de praktiske aspekter vedrørende skabelse af synergier inden for både standardisering og certificering af cybersikkerhed samt synergier mellem dette forslag og EU's databeskyttelseslovgivning inden for markedsovervågning og håndhævelse præciseres i den operationelle del af forslaget

(7)

at præcisere, at forslaget ikke sigter mod at påvirke anvendelsen af eksisterende EU-lovgivning om behandling af personoplysninger, herunder de opgaver og beføjelser, der påhviler de uafhængige tilsynsmyndigheder med kompetence til at overvåge, at disse instrumenter overholdes.

(8)

at tilføje relevante definitioner af »gratis software«, »open source-software« og »gratis og open source-software«

(9)

at præcisere i en betragtning i forslaget, at indhentning af en europæisk cybersikkerhedsattest i henhold til forslaget ikke garanterer overholdelse af GDPR.

Bruxelles, den 9. november 2022.

Wojciech Rafał WIEWIÓROWSKI

(1)  COM/2022/454 final.

(2)  Betragtning 1 i forslaget.

(3)  Betragtning 2 i forslaget.

(4)  Artikel 1 i forslaget.

(5)  Europa-Parlamentets og Rådets direktiv 2013/40/EU af 12. august 2013 om angreb på informationssystemer og om erstatning af Rådets rammeafgørelse 2005/222/RIA (EUT L 218 af 14.8.2013, s. 8).

(6)  Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen (EUT L 194 af 19.7.2016, s. 1).

(7)  Europa-Parlamentets og Rådets forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordning om cybersikkerhed) (EUT L 151 af 7.6.2019, s. 15).

(8)  Europa-Parlamentets og Rådets forordning (EU) 2017/745 af 5. april 2017 om medicinsk udstyr, om ændring af direktiv 2001/83/EF, forordning (EF) nr. 178/2002 og forordning (EF) nr. 1223/2009 og om ophævelse af Rådets direktiver 90/385/EØF og 93/42/EØF (EUT L 117 af 5.5.2017, s. 1).

(9)  Europa-Parlamentets og Rådets direktiv 2014/53/EU af 16. april 2014 om harmonisering af medlemsstaternes lovgivning om tilgængeliggørelse på markedet af radioudstyr og om ophævelse af direktiv 1999/5/EF (EUT L 153, 22.5.2014, s. 62).