Cybersikkerhed for net- og informationssystemer

 

RESUMÉ AF:

Direktiv (EU) 2016/1148 — cybersikkerhed for net- og informationssystemer

HVAD ER FORMÅLET MED DIREKTIVET?

Det foreslår en omfattende række foranstaltninger til at øge sikkerhedsniveauet for net- og informationssystemer (cybersikkerhed*) for at sikre tjenester, der spiller en afgørende rolle for EU’s økonomi og samfundet. Formålet er at sikre, at EU-landene etablerer et beredskab og er i stand til at håndtere og reagere på cyberangreb ved at:

Direktivet etablerer ligeledes EU-samarbejde på både strategisk og teknisk niveau.

Endelig indfører det en forpligtelse for operatører af væsentlige tjenester og udbydere af digitale tjenester til at træffe passende sikkerhedsforanstaltninger og underrette de relevante nationale myndigheder om alvorlige hændelser.

HOVEDPUNKTER

Forbedring af den nationale cybersikkerhedskapacitet

EU-landene skal:

EU-landene skal også udarbejde en national cybersikkerhedsstrategi for net- og informationssystemer*, der dækker følgende emner:

De nationale kompetente myndigheder skal overvåge anvendelsen af direktivet ved at:

CSIRT’er er ansvarlige for at:

Sikkerhedskrav og underretningspligt

Direktivets formål er at fremme en risikostyringskultur. Virksomheder i nøglesektorer skal foretage en risikovurdering af deres aktiviteter og etablere foranstaltninger til sikring af cybersikkerheden. Virksomhederne skal underrette de kompetente myndigheder eller CSIRT’er om relevante hændelser, f.eks. hacking eller datatyveri, der har alvorlig betydning for cybersikkerheden og væsentlige konsekvenser for kontinuiteten af kritiske tjenester samt levering af varer.

Ved fastlæggelse af de hændelser, som operatører af væsentlige tjenester* skal foretage underretning om, skal EU-landene tage højde for en hændelses varighed og geografiske udbredelse samt andre faktorer, f.eks. antal brugere, der er afhængige af tjenesten.

Centrale udbydere af digitale tjenester (søgemaskiner, cloud computing-tjenester og onlinemarkedspladser) skal ligeledes overholde sikkerheds- og underretningskravene.

Styrket samarbejde på EU-plan

Direktivet etablerer samarbejdsgruppen, der blandt andet har til opgave at:

Samarbejdsgruppen etablerer CSIRT-netværket, der sammensættes af repræsentanter for EU-landendes CSIRT’er og IT-beredskabsenheden (CERT-EU). CSIRT-netværket har til opgave at:

Sanktioner

EU-landene skal anvende effektive sanktioner, der står i et rimeligt forhold til overtrædelsen og har afskrækkende virkning, for at sikre, at bestemmelserne i direktivet anvendes.

HVORNÅR GÆLDER DIREKTIVET FRA?

Det trådte i kraft den 8. august 2016. EU-landene skal indarbejde det i den nationale lovgivning inden den 9. maj 2018 og identificere operatører af væsentlige tjenester inden den 9. november 2018.

BAGGRUND

VIGTIGE BEGREBER

Cybersikkerhed: et nets eller et informationssystems evne til at modstå handlinger, der er til skade for disponibiliteten, autenticiteten, integriteten og fortroligheden i forbindelse med digitale data og de tjenester, der tilbydes via disse systemer.
Net og informationssystem: et elektronisk kommunikationsnet eller enhver anordning eller gruppe af indbyrdes forbundne enheder, der behandler digitale data, samt de digitale data, som lagres, behandles, fremfindes eller overføres.
Væsentlige tjenester: private virksomheder eller offentlige organer med en vigtig rolle for samfundet og økonomien, f.eks. vandforsyning, elværker osv.

HOVEDDOKUMENT

Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen (EUT L 194 af 19.7.2016, s. 1-30).

TILHØRENDE DOKUMENTER

Kommissionens gennemførelsesforordning (EU) 2018/151 af 30. januar 2018 om regler for anvendelsen af Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 for så vidt angår yderligere specifikation af de elementer, som udbydere af digitale tjenester skal tage i betragtning for at styre risiciene i forhold til sikkerheden i net- og informationssystemer, og af kriterierne for bestemmelse af, om en hændelses konsekvenser er betydelige (EUT L 26 af 31.1.2018, s. 48-51).

Kommissionens gennemførelsesafgørelse (EU) 2017/179 af 1. februar 2017 om fastlæggelse af de proceduremæssige ordninger, der er nødvendige for samarbejdsgruppens virke i medfør af artikel 11, stk. 5, i Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen (EUT L 28 af 2.2.2017, s. 73-77).

Meddelelse fra Kommissionen til Europa-Parlamentet og Rådet: Fuld udnyttelse af NIS — mod en effektiv gennemførelse af direktiv (EU) 2016/1148 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen (COM(2017) 476 final 2 af 4.10.2017).

Kommissionens henstilling (EU) 2017/1584 af 13. september 2017 om en koordineret reaktion på væsentlige cybersikkerhedshændelser og -kriser (EUT L 239 af 19.9.2017, s. 36-58).

Fælles meddelelse til Europa-Parlamentet og Rådet — Modstandsdygtighed, afskrækkelse og forsvar: opbygning af en stærk cybersikkerhed for EU (JOIN(2017) 450 final af 13.9.2017)

Arbejdsdokument fra Kommissionens tjenestegrene — Vurdering af EU’s strategi for cybersikkerhed 2013 (SWD(2017) 295 final af 13.9.2017).

Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014 af 23. juli 2014 om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked og om ophævelse af direktiv 1999/93/EF (EUT L 257 af 28.8.2014, s. 73-114).

Rådets afgørelse 2013/488/EU af 23. september 2013 om reglerne for sikkerhedsbeskyttelse af EU’s klassificerede informationer (EUT L 274 af 15.10.2013, s. 1-50).

Efterfølgende ændringer af afgørelse 2013/488/EU er indarbejdet i grundteksten. Denne konsoliderede udgave har ingen retsvirkning.

Europa-Parlamentets og Rådets direktiv 2013/40/EU af 12. august 2013 om angreb på informationssystemer og om erstatning af Rådets rammeafgørelse 2005/222/RIA (EUT L 218 af 14.8.2013, s. 8-14).

Europa-Parlamentets og Rådets forordning (EU) nr. 526/2013 af 21. maj 2013 om Den Europæiske Unions Agentur for Net- og Informationssikkerhed (ENISA) og om ophævelse af forordning (EF) nr. 460/2004 (EUT L 165 af 18.6.2013, s. 41-58).

Fælles meddelelse til Europa-Parlamentet, Rådet, Det Europæiske Økonomiske og Sociale Udvalg og Regionsudvalget — EU-strategi for cybersikkerhed: Et åbent, sikkert og beskyttet cyberspace (JOIN(2013) 1 final af 7.2.2013).

seneste ajourføring 01.03.2018