This document is an excerpt from the EUR-Lex website
Document 32024H1101
Commission Recommendation (EU) 2024/1101 of 11 April 2024 on a Coordinated Implementation Roadmap for the transition to Post-Quantum Cryptography
Kommissionens rekommendation (EU) 2024/1101 av den 11 april 2024 om en samordnad färdplan för genomförandet av övergången till postkvantkryptografi
Kommissionens rekommendation (EU) 2024/1101 av den 11 april 2024 om en samordnad färdplan för genomförandet av övergången till postkvantkryptografi
C/2024/2393
EUT L, 2024/1101, 12.4.2024, ELI: http://data.europa.eu/eli/reco/2024/1101/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
- Date of document:
- 11/04/2024; Dag för antagande
- Deadline:
- 12/04/2027; Omprövning senast se punkt 11
- Author:
- Europeiska kommissionen, Generaldirektoratet för kommunikationsnät, innehåll och teknik
- Responsible body:
- CNECT
- Form:
- Rekommendation
- Treaty:
- Fördraget om Europeiska unionens funktionssätt
- Legal basis:
- Link
- Link
- Link
- Select all documents mentioning this document
- Instruments cited:
- EUROVOC descriptor:
- Subject matter:
- Directory code:
|
officiella tidning |
SV L-serien |
|
2024/1101 |
12.4.2024 |
KOMMISSIONENS REKOMMENDATION (EU) 2024/1101
av den 11 april 2024
om en samordnad färdplan för genomförandet av övergången till postkvantkryptografi
EUROPEISKA KOMMISSIONEN HAR ANTAGIT FÖLJANDE REKOMMENDATION
med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 292,
med beaktande av Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972, och om upphävande av direktiv (EU) 2016/1148 (1) (NIS 2-direktivet), och
av följande skäl:
|
(1) |
Att skydda data och säkra känslig kommunikation är avgörande för unionens samhälle, ekonomi, säkerhet och välstånd. Cybersäkerhet är av strategisk betydelse för uppbyggnaden av ett Europa rustat för den digitala tidsåldern (2) och är ett centralt mål för policyprogrammet för det digitala decenniet (3). |
|
(2) |
I både EU:s strategi för en säkerhetsunion (4) och EU:s strategi för cybersäkerhet (5) framhålls kryptering som en viktig teknik för att uppnå resiliens, teknisk suveränitet och uppbyggnad av operativ kapacitet för att förebygga cyberattacker. Kryptering är i själva verket avgörande för den digitala världen för att säkra digitala system och transaktioner, skydda en rad grundläggande rättigheter och säkra försvarskapacitet. Den kapplöpning som olika länder och privata enheter bedriver för att utveckla kvantdatorkapacitet och frigöra nya potentiellt givande möjligheter utgör ett hot mot de nuvarande kryptografiska standarderna. Dessa standarder spelar en avgörande roll för att säkerställa datasekretess, dataintegritet, skydd av känslig kommunikation och stöd till väsentliga delar av nätsäkerheten. |
|
(3) |
Den framtida potentiella utvecklingen av kvantdatorer som kan bryta dagens kryptering gör det nödvändigt för Europa att söka starkare skyddsåtgärder som säkerställer skyddet av känslig kommunikation och den långsiktiga integriteten hos konfidentiell information, dvs. genom att så snabbt som möjligt byta till postkvantkryptografi. Denna nya typ av kryptografi kommer att undanröja de kända sårbarheterna i den nuvarande asymmetriska kryptografin och öka motståndskraften mot hoten från skadlig användning av kvantdatorer. |
|
(4) |
Kommissionen har finansierat forskning och utveckling av postkvantkryptografi i över ett årtionde, med tanke på att kvantdatorteknik kan utgöra ett hot mot kryptosystem med öppen nyckel. |
|
(5) |
Medlemsstaterna bör överväga att så snart som möjligt migrera sina nuvarande digitala infrastrukturer och tjänster för offentliga förvaltningar och annan kritisk infrastruktur till postkvantkryptografi, vilket leder till en grundläggande förändring av kryptografiska algoritmer, protokoll och system. Det framhålls i kommissionens nyligen offentliggjorda vitbok How to master Europe’s digital infrastructure needs att detta kräver en samordnad insats som involverar statliga organ, standardiseringsorgan, berörda parter inom industrin, forskare och yrkesverksamma inom cybersäkerhet. |
|
(6) |
I denna rekommendation från kommissionen uppmanas medlemsstaterna att utarbeta en övergripande strategi för antagandet av postkvantkryptografi för att säkerställa en samordnad och synkroniserad övergång mellan de olika medlemsstaterna och deras offentliga sektorer. Strategin bör fastställa tydliga mål, milstolpar och tidsfrister som leder till fastställandet av en gemensam färdplan för genomförandet av postkvantkryptografi. Detta bör leda till att postkvantkryptografisk teknik införs i befintliga system för offentlig förvaltning och kritisk infrastruktur i hela unionen via hybridsystem som kan kombinera postkvantkryptografi med befintliga krypteringsmetoder eller med kvantnyckeldistribution. |
|
(7) |
För en effektiv övergång till postkvantkryptografi bör den samordnade färdplanen för genomförandet av postkvantkryptografi innehålla en förteckning över åtgärder som medlemsstaterna ska vidta, inbegripet med beaktande av algoritmer för postkvantkryptografi, med en tydlig tidsplan för olika faser och milstolpar som ska uppnås, med beaktande av deras ömsesidiga beroendeförhållanden, samt de berörda parter som ska delta. |
|
(8) |
För ett harmoniserat genomförande av postkvantkryptografi i hela unionen är det viktigt att utveckla gemensamma europeiska standarder och utveckla ett regelverk för att identifiera och välja ut algoritmer för postkvantkryptografi som ska användas i de digitala näten och tjänsterna i hela unionen. Genom ett aktivt deltagande av EU-finansierade forskare stöder unionen redan utvecklingen och testningen av möjliga algoritmer för postkvantkryptografi för standarder i internationella urvalsprocesser för postkvantkryptografi. I denna rekommendation från kommissionen uppmanas medlemsstaterna att ha ett nära samarbete på EU-nivå med unionens cybersäkerhetsexperter, samarbetsgruppen för nät- och informationssäkerhet och Europeiska unionens cybersäkerhetsbyrå (Enisa), när det gäller utvärdering och urval av lämpliga algoritmer för postkvantkryptografi och antagande av dessa som EU-standarder för ett harmoniserat genomförande i hela unionen. |
|
(9) |
Medlemsstaterna och unionen bör fortsätta att aktivt samarbeta med sina internationella strategiska partner för att utveckla internationella standarder för postkvantkryptografi i syfte att säkerställa kommunikationens framtida interoperabilitet. |
|
(10) |
När medlemsstaterna har enats om den samordnade färdplanen för genomförandet av postkvantkryptografi bör den fungera som en mall för fastställandet av de nationella övergångsplanerna till postkvantkryptografi eller, om nationella planer har fastställts, deras anpassning till den gemensamma färdplanen för genomförandet av postkvantkryptografi. |
|
(11) |
För att säkerställa att framsteg görs i förhållande till målen i denna rekommendation avser kommissionen att noga övervaka de åtgärder som vidtas som svar på rekommendationen. Medlemsstaterna uppmanas därför att på kommissionens begäran lämna all relevant information som de rimligen kan förväntas tillhandahålla för att säkerställa en sådan övervakning. På grundval av den information som har erhållits på detta sätt och all annan tillgänglig information kommer kommissionen att bedöma effekterna av denna rekommendation och avgöra om det krävs ytterligare åtgärder, inbegripet förslag till bindande unionsrättsakter. |
|
(12) |
Denna rekommendation om postkvantkryptografi bygger på de politiska mål som anges i EU:s strategi för cybersäkerhet för att förbättra genomgående säkerhet och resiliens hos unionens digitala infrastrukturer och tjänster för offentliga förvaltningar och annan kritisk infrastruktur. Den tjänar målen för den digitala inre marknaden och det gemensamma meddelandet om den europeiska strategin för ekonomisk säkerhet 10919/23 (6), och den beaktar riskerna för den fysiska säkerheten och cybersäkerheten hos kritisk infrastruktur, samt de risker som identifierats inom ramen för den nyligen genomförda riskbedömningen för kvantteknik (7). Den respekterar de grundläggande rättigheterna och iakttar de principer som erkänns särskilt i EU:s stadga om de grundläggande rättigheterna (artiklarna 7, 8 och 11) och den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (artiklarna 8 och 10), som innebär positiva skyldigheter för regeringarna att minimera risken för olaglig tillgång till och kontroll av information, vilket kräver att kryptografisk teknik skyddas och främjas. |
HÄRIGENOM REKOMMENDERAS FÖLJANDE.
1. TILLÄMPNINGSOMRÅDE OCH MÅL
Syftet med denna rekommendation är att främja övergången till postkvantkryptografi för att skydda digitala infrastrukturer och tjänster för offentliga förvaltningar och annan kritisk infrastruktur i unionen genom att göra det möjligt för medlemsstaterna att
|
1) |
fastställa en samordnad färdplan för genomförandet av postkvantkryptografi som syftar till att synkronisera medlemsstaternas insatser för att utforma och genomföra nationella omställningsplaner och samtidigt säkerställa gränsöverskridande interoperabilitet, |
|
2) |
stödja utvärderingen och urvalet av relevanta EU-algoritmer för postkvantkryptografi med hjälp av cybersäkerhetsexperter och främja antagande av sådana algoritmer som unionsstandarder som bör genomföras i hela unionen som en del av den samordnade färdplanen för genomförandet av postkvantkryptografi, |
|
3) |
vidta lämpliga och proportionella åtgärder för att förbereda denna övergång. |
2. SAMORDNAD FÄRDPLAN SOM HANTERAR ÖVERGÅNGEN TILL POSTKVANTKRYPTOGRAFI
|
4) |
I denna rekommendation uppmuntras medlemsstaterna att samordna sina åtgärder på unionsnivå genom ett särskilt forum för medlemsstaterna. För detta ändamål rekommenderar kommissionen att medlemsstaterna utnyttjar befintliga strukturer på unionsnivå på cybersäkerhetsområdet och inrättar en undergrupp till samarbetsgruppen för nät- och informationssäkerhet. Denna undergrupp skulle kunna bestå av företrädare för nationella säkerhetsorgan och cybersäkerhetsexperter, särskilt från nationella cybersäkerhetsmyndigheter och Enisa. Undergruppen får bjuda in företrädare för relevanta berörda parter att delta i dess arbete, t.ex. i rådgivande organ för offentliga organisationer, industrin, tjänsteleverantörer och operatörer, i syfte att samla in synpunkter och utbyta information om övergången av digitala infrastrukturer och tjänster för offentliga förvaltningar och annan kritisk infrastruktur till postkvantkryptografi inom olika sektorer, samordna deras insatser på nationell nivå och utveckla den samordnade färdplanen för genomförandet av postkvantkryptografi, i enlighet med unionens konkurrensregler och unionens dataskyddslagstiftning. |
|
5) |
Denna undergrupp för postkvantkryptografi bör överväga lämpliga, effektiva och proportionella åtgärder för att definiera och samordna utvecklingen av den samordnade färdplanen för genomförandet av postkvantkryptografi. Undergruppen för postkvantkryptografi uppmuntras att inleda diskussioner med andra relevanta organ, såsom Europol, Nato eller andra, för att undvika dubbelarbete och säkerställa en sammanhållen strategi för att hantera nya utmaningar. |
|
6) |
I detta syfte uppmanas medlemsstaterna att, med det snaraste efter offentliggörandet av denna rekommendation, inrätta en sådan undergrupp för postkvantkryptografi i enlighet med kommissionens genomförandebeslut (EU) 2017/179 (8) och att utse expertföreträdare som bör ha ett nära samarbete med kommissionen och som bör ges i uppdrag att fastställa och utveckla den samordnade färdplanen för genomförandet av postkvantkryptografi. |
|
7) |
Den samordnade färdplanen för genomförandet av postkvantkryptografi bör vara tillgänglig efter en period på två år efter offentliggörandet av denna rekommendation, som kommer att följas av utveckling och ytterligare anpassning av enskilda medlemsstaters övergångsplaner för postkvantkryptografi, i enlighet med principerna i den samordnade färdplanen för genomförandet av postkvantkryptografi. |
3. INSATSER PÅ UNIONSNIVÅ
|
8) |
Det övergripande arbetet kommer att övervakas och utvärderas regelbundet av kommissionen i samarbete med medlemsstaternas expertföreträdare. |
|
9) |
I detta syfte får kommissionen begära att medlemsstaternas företrädare lämnar all relevant information som de rimligen kan förväntas tillhandahålla för att säkerställa övervakningen av de framsteg som görs i utarbetandet av denna samordnade färdplan för genomförandet av postkvantkryptografi och av dessa åtgärders effektivitet. |
|
10) |
På grundval av denna och all annan tillgänglig information kommer kommissionen att bedöma de planerade åtgärderna och driften av medlemsstaternas nätverk av företrädare och avgöra om det krävs ytterligare åtgärder, inbegripet förslag till bindande unionsrättsakter. |
4. ÖVERSYN
|
11) |
Medlemsstaterna bör samarbeta med kommissionen för att bedöma effekterna av denna rekommendation högst tre år efter det att den har offentliggjorts, i syfte att fastställa lämpliga sätt att gå vidare. Denna bedömning bör ta hänsyn till resultatet av de nationella experternas arbete i undergruppen för postkvantkryptografi. |
Utfärdad i Bryssel den 11 april 2024.
På kommissionens vägnar
Thierry BRETON
Ledamot av kommissionen
(1) EUT L 333, 27.12.2022, s. 80.
(2) COM(2020) 67 final.
(3) Europaparlamentets och rådets beslut (EU) 2022/2481 av den 14 december 2022 om inrättande av policyprogrammet för det digitala decenniet 2030 (EUT L 323, 19.12.2022, s. 4).
(4) COM(2020) 605 final.
(5) JOIN(2020) 18 final.
(6) https://data.consilium.europa.eu/doc/document/ST-10919-2023-INIT/en/pdf.
(7) JOIN(2023) 20 final.
(8) Kommissionens genomförandebeslut (EU) 2017/179 av den 1 februari 2017 om fastställande av de förfaranden som krävs för samarbetsgruppens verksamhet enligt artikel 11.5 i Europaparlamentets och rådets direktiv (EU) 2016/1148 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen (EUT L 28, 2.2.2017, s. 73).
ELI: http://data.europa.eu/eli/reco/2024/1101/oj
ISSN 1977-0820 (electronic edition)
