This document is an excerpt from the EUR-Lex website
Document 52019DC0546
REPORT FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL assessing the consistency of the approaches taken by Member States in the identification of operators of essential services in accordance with Article 23(1) of Directive 2016/1148/EU on security of network and information systems
RAPPORT FRÅN KOMMISSIONEN TILL EUROPAPARLAMENTET OCH RÅDET om en bedömning av enhetligheten i medlemsstaternas tillvägagångssätt vid identifieringen av leverantörer av samhällsviktiga tjänster i enlighet med artikel 23.1 i direktiv (EU) 2016/1148 om säkerhet i nätverks- och informationssystem
RAPPORT FRÅN KOMMISSIONEN TILL EUROPAPARLAMENTET OCH RÅDET om en bedömning av enhetligheten i medlemsstaternas tillvägagångssätt vid identifieringen av leverantörer av samhällsviktiga tjänster i enlighet med artikel 23.1 i direktiv (EU) 2016/1148 om säkerhet i nätverks- och informationssystem
COM/2019/546 final
EUROPEISKA KOMMISSIONEN
Bryssel den 28.10.2019
COM(2019) 546 final
RAPPORT FRÅN KOMMISSIONEN TILL EUROPAPARLAMENTET OCH RÅDET
om en bedömning av enhetligheten i medlemsstaternas tillvägagångssätt vid identifieringen av leverantörer av samhällsviktiga tjänster i enlighet med artikel 23.1 i direktiv (EU) 2016/1148 om säkerhet i nätverks- och informationssystem
1.Inledning
Europaparlamentets och rådets direktiv (EU) 2016/1148 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen 1 (NIS-direktivet) är det första inremarknadsinstrument med mål att förbättra EU:s motståndskraft mot cybersäkerhetsrisker. Syftet med direktivet, som bygger på artikel 114 i fördraget om Europeiska unionens funktionssätt, är att säkerställa kontinuiteten för tjänster som gör det möjligt för unionens ekonomi och samhälle att fungera väl. För detta ändamål införs genom direktivet konkreta åtgärder för att bygga upp cybersäkerheten i hela EU och minska framväxande hot mot de nätverks- och informationssystem som används för att tillhandahålla samhällsviktiga tjänster i centrala sektorer.
Efter direktivets ikraftträdande i augusti 2016 skulle medlemsstaterna senast den 9 maj 2018 2 anta de nationella åtgärder som krävdes för att följa NIS-direktivets bestämmelser. Direktivet främjar en riskhanteringskultur i företag eller andra enheter som tillhandahåller samhällsviktiga tjänster, som i artikel 5 definieras som ”leverantörer av samhällsviktiga tjänster”. Leverantörer som omfattas av direktivet ska vidta ändamålsenliga och proportionella tekniska och organisatoriska åtgärder för att hantera risker som hotar säkerheten i deras nätverks- och informationssystem och rapportera allvarliga incidenter till behöriga myndigheter.
Medlagstiftarna har delegerat genomförandet av NIS-direktivet till medlemsstaterna, som förväntas definiera samhällsviktiga tjänster och identifiera leverantörer av samhällsviktiga tjänster på sina territorier. Följaktligen föreskrivs det i artikel 5.7 i direktivet att medlemsstaterna ska rapportera resultaten av denna identifiering till kommissionen. För att möjliggöra samordnad rapportering har både kommissionen 3 och den samarbetsgrupp som har inrättats enligt direktivet 4 gett medlemsstaterna vägledning om identifieringsförfarandet.
I denna rapport bedömer kommissionen enhetligheten i medlemsstaternas tillvägagångssätt vid identifiering av leverantörer av samhällsviktiga tjänster i enlighet med artikel 23.1. Eftersom det på detta område finns ett nära samband mellan enhetligheten i identifieringen av leverantörer av samhällsviktiga tjänster och risken för splittring på den inre marknaden, kommer rapporten också att bidra till den allmänna bedömningen av NIS-direktivet i enlighet med artikel 23.2, där det föreskrivs att kommissionen regelbundet ska se över hur detta direktiv fungerar och bedöma förteckningen över de sektorer och delsektorer som berörs av identifieringen och de typer av digitala tjänster som omfattas av direktivet. Den första rapporten ska lämnas in senast den 9 maj 2021.
1.1Rapportens syfte
På grund av sin viktiga funktion i ekonomin och samhället i stort måste leverantörer av samhällsviktiga tjänster ha en särskilt stark motståndskraft mot cyberincidenter. I detta avseende är det viktigt att medlemsstaterna har ett enhetligt tillvägagångssätt vid identifieringen av dessa leverantörer, och det av flera skäl:
1.För att minska riskerna förenade med beroende som sträcker sig över gränser:
Bristande enhetlighet vid identifieringen av viktiga leverantörer som tillhandahåller tjänster över gränserna kan leda till att medlemsstaterna har olika stark motståndskraft mot cyberincidenter, vilket ökar risken för att en gränsöverskridande incident skadar kritisk infrastruktur eller leder till förlust av människoliv 5 . Systemansvariga för energiöverföringssystem eller registreringsenheter för toppdomäner, vilka båda ingår i förteckningen över typer av enheter i bilaga II, är till exempel enheter som utnyttjar den inre marknaden till fullo genom att tillhandahålla gränsöverskridande tjänster till konsumenter och företag. En enhetlig identifiering av sådana leverantörer i hela unionen kan därför bidra till att förhindra spridningen av cyberhot på hela den inre marknaden 6 .
2.För att garantera lika villkor för leverantörer på den inre marknaden:
Enligt NIS-direktivet ska medlemsstaterna fastställa säkerhetskrav och förfaranden för rapportering av incidenter för leverantörer av samhällsviktiga tjänster. Eftersom direktivet innebär en minimiharmonisering avseende leverantörer av samhällsviktiga tjänster kan medlemsstaterna införa högre krav på leverantörerna än dem som föreskrivs i direktivet. Sådana åtgärder stärker medlemsstaternas motståndskraft, men de kan också medföra ytterligare regelbörda för de berörda leverantörerna. Därför är det viktigt att leverantörer som erbjuder liknande tjänster av liknande betydelse omfattas av liknande regler.
3.För att minska risken för skilda tolkningar av direktivet:
Direktivet har utformats för att ge medlemsstaterna utrymme att själva välja berörda enheter, så att nationella särdrag beaktas. Detta tillvägagångssätt ökar samtidigt risken för att direktivets bestämmelser genomförs på olika sätt och kan eventuellt leda till bristande enhetlighet i medlemsstaternas åtgärder. Detta är särskilt viktigt för företag med verksamhet i flera länder, vilka därför måste uppfylla lagstiftningskraven i mer än en medlemsstat.
4.För att få en övergripande bild av motståndskraften mot cyberincidenter i hela EU:
Leverantörer av samhällsviktiga tjänster är föremål för tillsyn där syftet är att kontrollera att säkerhetsprinciperna genomförs på ett effektivt sätt och att viktiga incidenter rapporteras. Tillsynen gynnar ett starkare offentlig-privat samarbete, vilket leder till delad kunskap om cybersäkerhetsberedskapen i en medlemsstat. Tack vare samarbetsgruppen kan utbytet av nationella erfarenheter, däribland information om rapporterade incidenter 7 , samlas på EU-nivå och bidra till en noggrannare bedömning av de huvudsakliga hoten och behoven. För att vara effektivt måste dock ett sådant informationsutbyte bygga på en gemensam syn på vilka enheter som bör betraktas som leverantörer av samhällsviktiga tjänster.
1.2Identifieringsförfarande enligt NIS-direktivet
I bilaga II till NIS-direktivet finns en förteckning över sju sektorer och deras respektive delsektorer samt de typer av enheter som berörs av identifieringsförfarandet ( tabell 1 ). Enligt artikel 5.3 ska medlemsstaterna upprätta en förteckning över samhällsviktiga tjänster utifrån dessa sektorer, delsektorer och typer av enheter. Eftersom direktivet utgör en minimiharmonisering kan medlemsstaterna identifiera fler sektorer och delsektorer än dem som anges i bilaga II.
|
Sektor |
Delsektor |
|
1. Energi |
a) Elektricitet |
|
b) Olja |
|
|
c) Gas |
|
|
2. Transport |
a) Lufttransport |
|
b) Järnvägstransport |
|
|
c) Sjöfart |
|
|
d) Vägtransport |
|
|
3. Bankverksamhet |
|
|
4. Finansmarknadsinfrastruktur |
|
|
5. Hälso- och sjukvårdssektorn |
|
|
6. Leverans och distribution av dricksvatten |
|
|
7. Digital infrastruktur |
|
Tabell 1: Sektorer och delsektorer enligt bilaga II till NIS-direktivet
I artikel 5.2 anges tre kriterier som medlemsstaterna kan använda för att identifiera leverantörer av samhällsviktiga tjänster:
1.Den berörda enheten ska tillhandahålla en tjänst som är viktig för att upprätthålla kritisk samhällelig och/eller ekonomisk verksamhet. I detta syfte måste nationella behöriga myndigheter ta hänsyn till sina tidigare upprättade förteckningar över samhällsviktiga tjänster.
2.Tillhandahållandet av denna tjänst ska vara beroende av nätverks- och informationssystem.
3.En incident skulle medföra en betydande störning vid tillhandahållandet av tjänsten. I artikel 6 anges det att medlemsstaterna ska beakta sektorsöverskridande faktorer och, i lämpliga fall, sektorsspecifika faktorer när de fastställer om en störning är betydande. 8
Enligt artikel 5.4 i direktivet ska medlemsstaterna dessutom samråda med varandra om de konstaterar att en möjlig leverantör av samhällsviktiga tjänster tillhandahåller tjänster i flera medlemsstater. Detta obligatoriska förfarande ska hjälpa medlemsstaterna att bedöma den möjliga effekten av en cyberincident som berör enheter med gränsöverskridande verksamhet och ska skydda de företag som berörs av förfarandet i olika medlemsstater.
1.3Rapportens metod
Rapportens resultat bygger på en bedömning som genomfördes mellan november 2018 och september 2019. Många medlemsstater hade inte lämnat den information som krävdes för rapporten i tid till kommissionen. Rapporten hann därför inte antas den 9 maj 2019, det datum som anges i artikel 23.1 i NIS-direktivet. Uppgifterna samlades in genom flera kanaler: information från medlemsstaterna på grundval av en standardmall från Enisa, standardiserade intervjuer med utvalda nationella myndigheter och möten i samarbetsgruppen, däribland en workshop i frågan den 19 mars 2019.
På grundval av den insamlade informationen utvärderas enhetligheten i medlemsstaternas tillvägagångssätt vid identifieringen genom
1.en jämförelse av de nationella myndigheternas olika identifieringsmetoder,
2.en genomgång av medlemsstaternas förteckningar över samhällsviktiga tjänster och tröskelvärden samt
3.en analys av antalet leverantörer av samhällsviktiga tjänster i varje medlemsstat.
I rapporten utvärderas det också hur direktivets bestämmelser om gränsöverskridande samråd (artikel 5.4 och lex specialis-principen enligt artikel 1.7) har genomförts. I rapporten görs en faktabaserad analys av medlemsstaternas identifieringsförfarande, åtföljt av preliminära slutsatser och öppna frågor för fortsatt analys.
1.4Dataåtkomst
Enligt NIS-direktivets bestämmelser ska medlemsstaterna endast tillhandahålla en begränsad mängd uppgifter till kommissionen. Nationella myndigheter måste exempelvis inte ange identifierade leverantörers namn, vilket gör det svårt för kommissionen att jämföra identifieringsförfarandets resultat när det gäller förteckningens fullständighet och inverkan på företag av samma storlek och i samma sektor.
Enligt artikel 5.7 skulle alla medlemsstater ha lämnat den information som krävdes för rapporten senast den 9 november 2018. Endast 15 länder lämnade dock in väsentliga uppgifter i tid (se tabellen i avsnitt 4.1). Trots upprepade påminnelser från kommissionens sida var luckorna i materialet fortfarande stora. Kommissionen översände därför formella underrättelser till sex medlemsstater 9 den 26 juli 2019, där den uppmanade dem att lämna in de uppgifter som saknades inom två månader.
Vid offentliggörandet av denna rapport hade 23 medlemsstater lämnat alla uppgifter som krävs enligt artikel 5.7: Bulgarien, Kroatien, Tjeckien, Danmark, Tyskland, Estland, Irland, Grekland, Spanien, Frankrike, Italien, Cypern, Lettland, Litauen, Luxemburg, Malta, Nederländerna, Polen, Portugal, Slovakien, Finland, Sverige och Förenade kungariket. Övriga fem medlemsstater (Belgien, Rumänien, Slovenien, Ungern och Österrike) har endast delvis lämnat uppgifter om identifiering av nationella leverantörer av samhällsviktiga tjänster, eftersom de inte hunnit slutföra identifieringen.
2.Identifiering av leverantörer av samhällsviktiga tjänster i medlemsstaterna
I NIS-direktivet fastställs en ram för identifiering av leverantörer av samhällsviktiga tjänster som ger medlemsstaterna en viss frihet att ta hänsyn till nationella särdrag. Medlemsstaterna har därmed tagit fram flera olika identifieringsmetoder.
2.1Metoder som används av medlemsstaterna
Medlemsstaterna har tagit fram olika metoder för att identifiera leverantörerna, genom att till fullo utnyttja den flexibilitet som NIS-direktivet ger. En faktor som påverkade de nationella metoderna var befintliga ramar, såsom rådets direktiv 2008/114/EG om kritisk infrastruktur 10 eller andra nationella bestämmelser om ”mycket viktiga leverantörer”. I sådana fall använde medlemsstaterna sin tidigare erfarenhet som referenspunkt och införlivade NIS-direktivets särdrag i befintliga metoder.
Skillnaderna mellan de nationella metoderna berör i huvudsak följande områden: samhällsviktiga tjänster, användning av tröskelvärden, centraliseringsgrad, myndigheter med ansvar för identifiering och bedömning av beroende av nätverks- och informationssystem. Separata avsnitt har ägnats åt analysen av samhällsviktiga tjänster och tröskelvärden, eftersom de är så pass viktiga för bedömningen av identifieringens enhetlighet. Övriga kriterier tas upp i detta avsnitt.
Centraliseringsgrad
De flesta medlemsstater har valt att delegera en del av besluten om olika delar av identifieringsförfarandet till myndigheter för enskilda sektorer (ministerier, byråer osv.). Decentraliseringsgraden varierar från fall till fall. De flesta medlemsstater utser en enda myndighet som ska ge myndigheter för enskilda sektorer vägledning och sammanföra information. Vissa länder har dock valt att låta en enda myndighet ha hand om identifieringen. I vissa fall förekommer också en extrem decentralisering, där myndigheter för enskilda sektorer får utarbeta sina egna metoder.
Många medlemsstater har noggrant övervägt de olika aspekterna av institutionernas identifiering av leverantörer av samhällsviktiga tjänster. Myndigheterna uppger att en av fördelarna med centraliserad identifiering är att intressekonflikter kan undvikas: Leverantörerna drar sig tydligen mer för att lämna relevant information till sektorsmyndigheter, eftersom de är oroliga för att informationen även kan användas för andra regleringsändamål.
Decentraliserade tillvägagångssätt tycks däremot främja dialog mellan NIS-behöriga myndigheter (både för cybersäkerhet och enskilda sektorer), vilket gör det lättare för dem att fastställa konsekvenserna av sektorsöverskridande beroende. Myndigheter för enskilda sektorer har dessutom ofta en djupare kunskap om sektorerna än huvudmyndigheterna.
Identifieringsförfarande (uppifrån-och-ned mot nedifrån-och-upp)
En annan viktig åtskillnad kan göras mellan medlemsstater där de offentliga myndigheterna genomför identifieringen (uppifrån-och-ned) och medlemsstater där marknadsaktörerna själva får kontrollera om de uppfyller kriterierna för leverantörer av samhällsviktiga tjänster (så kallad nedifrån-och-upp-identifiering eller självidentifiering). För att det sistnämnda tillvägagångssättet ska fungera ordentligt bör medlemsstaterna fastställa böter som är höga nog för att få leverantörerna att anmäla sig, i enlighet med artikel 21 i NIS-direktivet. I de flesta fall sker identifieringen uppifrån-och-ned. I praktiken använder dock myndigheterna självbedömning i viss mån, till exempel frågeformulär som ska fyllas i av möjliga leverantörer av samhällsviktiga tjänster.
Om reglerna och tröskelvärdena för identifieringen är tydliga och transparenta bör både uppifrån-och-ned-identifieringen och nedifrån-och-upp-identifieringen ge liknande resultat. I princip bör därför inte valet av metod göra någon skillnad för enhetligheten.
Bedömning av nätverksberoende
Såsom förklaras i avsnitt 1.2 krävs det i artikel 5.2 b att medlemsstaterna, som ett led i identifieringsförfarandet, ska bedöma leverantörens beroende av nätverks- och informationssystem. Många medlemsstater förutsätter att beroende av nätverks- och informationssystem är en självklarhet i dagens digitala ekonomi när de tillämpar dessa kriterier. Vissa myndigheter väljer dock noggrannare metoder, exempelvis genom att göra detaljerade bedömningar eller genom att uppmana leverantörerna att själva bedöma sitt beroende.
2.2Identifiering av tjänster
I skäl 23 i NIS-direktivet anges det uttryckligen att förteckningarna över samhällsviktiga tjänster ska utgöra ett bidrag till ”bedömningen av lagstiftningspraxis inom varje medlemsstat med syftet att säkerställa en övergripande enhetlighet”. Eftersom leverantörerna identifieras utifrån medlemsstaternas förteckningar över samhällsviktiga tjänster kan skillnader i de identifierade tjänsterna leda till bristande enhetlighet i medlemsstaternas identifiering av leverantörer, framför allt om särskilda tjänster som tillhandahålls i alla länder endast identifieras av vissa medlemsstater.
Antalet tjänster som medlemsstaterna har identifierat i enlighet med bilaga II till NIS-direktivet och rapporterat till kommissionen varierar kraftigt mellan medlemsstaterna (antalet för enskilda medlemsstater anges i bilagan i avsnitt 4.2). Varje medlemsstat har identifierat i genomsnitt 35 tjänster, varvid antalet identifierade tjänster varierar mellan 12 och 87 (se figur 1 ). Större medlemsstater tenderar att identifiera något fler tjänster än mindre medlemsstater, men det verkar inte finnas något starkt samband mellan medlemsstaternas storlek och antalet identifierade tjänster. Detta är väntat, eftersom konsumenterna och företagen i praktiken brukar ha tillgång till samma typer av tjänster i alla medlemsstater, oavsett storlek.
Figur 1: Totalt antal identifierade samhällsviktiga tjänster per medlemsstat
Antalet identifierade tjänster varierar inte bara mellan medlemsstaterna, utan även mellan sektorer och delsektorer. Inom banksektorn sträcker sig exempelvis antalet identifierade tjänster från 1 till 21. Såsom framgår av figur 2 finns det stora skillnader i antalet identifierade tjänster mellan länderna inom de flesta sektorer och delsektorer.
Figur 2: Antal identifierade tjänster i medlemsstaterna per sektor och delsektor. Varje datapunkt står för antalet identifierade tjänster av en medlemsstat inom respektive (del)sektor. 11
I viss mån återspeglar uppgifterna i figur 2 ländernas olika tillvägagångssätt. Vissa medlemsstater har exempelvis valt en mer detaljerad metod för identifiering av tjänster, vilket har lett till ett större antal i sådana medlemsstater. De uppgifter som kommissionen har fått från medlemsstaterna visar dock tydligt att skillnaderna i antal även är en följd av bristande enhetlighet i medlemsstaternas tillvägagångssätt, såsom delsektorerna för elektricitet och järnvägstransport visar:
|
Estland(minst detaljerad metod) |
Portugal |
Danmark |
Bulgarien(mest detaljerad metod) |
||
|
Elförsörjning |
Systemansvariga för distributionssystemet |
Eldistribution |
Distribution av elektricitet |
||
|
Säkerställa funktion och underhåll för ett distributionssystem för elenergi |
|||||
|
Systemansvariga för överföringssystemet |
Elöverföring |
Överföring av elektricitet |
|||
|
Drift, underhåll och utveckling av ett elöverföringssystem |
|||||
|
Elproduktion |
Elproduktion |
|||
|
|
Elmarknad |
Tabell 2: Illustrativa exempel på medlemsstaternas tillvägagångssätt vid identifiering av samhällsviktiga tjänster i delsektorn för elektricitet
I tabell 2 jämförs några sätt på vilka medlemsstaterna har identifierat samhällsviktiga tjänster i delsektorn för elektricitet. Vissa länder (såsom Estland) har valt en mycket allmän rubrik för i stort sett alla leverantörer som de betraktar som samhällsviktiga inom delsektorn för elektricitet. Andra länder (såsom Portugal, Danmark och Bulgarien) har valt en mycket mer detaljerad metod. Bulgarien har exempelvis utarbetat en ytterst detaljerad förteckning över tjänster, som även omfattar en tjänst som inte ingår i bilaga II (elmarknader). Portugal och Danmark har dock använt en detaljerad metod utan vissa tjänster som andra har tagit med. Detta skulle kunna leda till olika villkor för leverantörer av samhällsviktiga tjänster på den inre marknaden.
Bristande enhetlighet, såsom framgår av tabell 2 , är en följd av att NIS-direktivet har genomförts på olika sätt nationellt och, när det gäller sektorer som inte ingår i bilaga II (såsom elmarknader), och av att direktivet innebär en minimiharmonisering. Bristande enhetlighet innebär därför inte att medlemsstater som inte har identifierat en viss tjänst nödvändigtvis har tillämpat direktivets bestämmelser på ett felaktigt sätt.
I tabell 3 anges fyra länders tillvägagångssätt inom delsektorn för järnvägstransport. Frankrike har utarbetat en mycket detaljerad och omfattande förteckning över tjänster som är väsentliga för järnvägstransporten, medan de övriga tre endast har valt en mindre del av dessa tjänster. När det gäller Polen är det inte helt klart vilka tjänster som omfattas av kategorierna ”järnvägstransport, godstrafik” och ”järnvägstransport, passagerartrafik”. Beteckningarna är så allmänna att de lika gärna skulle kunna omfatta vissa av de tjänster som har identifierats av Frankrike, såsom ”styrning och ledning av järnvägstrafik”. Det är värt att påpeka att kommissionen inte har möjlighet att analysera sådana fall ytterligare: NIS-direktivet kräver inte att nationella myndigheter ska lämna mer detaljerad information.
|
Finland |
Frankrike |
Irland |
Polen |
|||
|
Statlig infrastrukturförvaltning |
Underhåll av infrastruktur |
Infrastrukturförvaltare |
|
|||
|
Underhåll av rullande materiel |
|
|
|||
|
Trafikledningstjänster |
Styrning och ledning av järnvägstrafik |
|
Utarbetande av tågtidtabeller |
|||
|
Gods och farliga material |
Järnvägsföretag |
Järnvägstransport, godstrafik |
|||
|
Passagerartrafik |
Järnvägstransport, passagerartrafik |
||||
|
Tunnelbana, spårvagnar och andra spårvägstjänster (även under jord) |
|
||||
|
Järnvägstjänster |
|
|
Tabell 3: Illustrativa exempel på medlemsstaternas tillvägagångssätt vid identifiering av samhällsviktiga tjänster i delsektorn för järnvägstransport
Medlemsstaterna i tabell 2 och tabell 3 valdes endast ut som exempel och för att deras metoder är enkla att jämföra. De flesta andra medlemsstater har valt liknande tjänster och uppvisar därför liknande ”bristande enhetlighet”. Den ”bristande enhetlighet” som finns i delsektorerna för elektricitet och järnvägstransport återfinns faktiskt i samtliga medlemsstater och alla sektorer i bilaga II till direktivet. Det mesta av denna bristande enhetlighet avser tjänster som endast har identifierats i vissa och inte i samtliga medlemsstater. Fullständiga förteckningar över tjänster i delsektorerna för elektricitet och järnvägstransport för alla medlemsstater finns i bilagan till denna rapport.
2.3Tröskelvärden
De flesta medlemsstater tillämpar visserligen tröskelvärden för att identifiera leverantörer av samhällsviktiga tjänster, men tröskelvärdenas betydelse varierar mellan olika länder. När det gäller sektorsöverskridande tröskelvärden är det möjligt att fastställa tröskelvärden med
·en enda kvantitativ faktor (t.ex. antalet användare som använder en tjänst) för att avgöra om en enhet ska betraktas som en leverantör av samhällsviktiga tjänster inom en viss tjänst,
·en större uppsättning kvantitativa faktorer (t.ex. antalet användare som använder en tjänst plus marknadsandel), och
·en kombination av kvantitativa och kvalitativa faktorer.
Dessutom innebär direktivet att medlemsstaterna får tillämpa sektorsspecifika tröskelvärden utöver de sektorsöverskridande tröskelvärdena. Detta ger nationella myndigheter större frihet vid identifieringen, så att de kan ta hänsyn till nationella och sektorsspecifika särdrag. Samtidigt ger det upphov till en mycket komplex mix av tröskelvärden, vilket kan inverka negativt på identifieringens sammantagna enhetlighet.
Ett exempel på denna mångfald av tillvägagångssätt finns i tabell 4 . Tabellen visar att de tröskelvärden som medlemsstaterna har valt inom sektorn för digital infrastruktur inte bara varierar kvantitativt (i Tyskland identifieras exempelvis DNS-leverantörer som leverantörer av samhällsviktiga tjänster om de förvaltar minst 250 000 domäner, medan Polen har fastställt ett tröskelvärde på endast 100 000 domäner), utan även kvalitativt (t.ex. ”antal sammankopplade autonoma system” contra ”marknadsandel”).
Konsekvent valda kvantitativa tröskelvärden är i sig ingen garanti för att de nationella tillvägagångssätten är fullständigt enhetliga. Eftersom tröskelvärden endast är ett av flera kriterier som används i vissa medlemsstater för att identifiera leverantörer av samhällsviktiga tjänster kan identifieringen fortfarande ge mycket olika resultat, även om tröskelvärdena liknar varandra. Vissa medlemsstater använder exempelvis komplicerade poängsystem med flera faktorer i en enda formel 12 . Sådana faktorer kan till exempel vara en enhets beroende av nätverks- och informationssystem eller vissa av de som anges i artikel 6.1 i NIS-direktivet. I vissa medlemsstater används dessutom inte tröskelvärden alls eller endast i det inledande skedet av bedömningen. Dessa överväganden gäller inte bara för sektorn för digital infrastruktur utan för alla sektorer i bilaga II.
Det kan vara svårt att fastställa rätt tröskelvärde, särskilt när det gäller sektorer med många små leverantörer. Ett exempel på en sådan mångfald är de många småskaliga vårdinrättningar (t.ex. kliniker eller akutvårdstjänster) som tillhandahåller en samhällsviktig tjänst för relativt få användare, men vars otillgänglighet på grund av en cybersäkerhetsincident kan leda till att patienter avlider. Ett annat problem uppstår om leveranskedjorna är beroende av tjänster från leverantörer som utgör små men ändå väsentliga länkar i kedjan (t.ex. inom logistiksektorn 13 ). Som en möjlig lösning på problemet utforskar en medlemsstat användningen av kriterier som är kopplade till tjänstens betydelse eller kritiska karaktär.
|
Land |
Internetknutpunkter (IXP) |
DNS-leverantörer |
Registreringsenheter för toppdomäner |
|
Användning av huvudsakligen sektorsspecifika tröskelvärden |
|||
|
AT |
sammankopplade autonoma system > 100 |
Uppslagningstjänster: 88 000 användare;Auktor. DNS: 50 000 domäner |
50 000 domäner |
|
DE |
sammankopplade autonoma system > 300 |
Uppslagningstjänster: 100 000 användare; Auktor. DNS: 250 000 domäner |
(tjänst ej identifierad) |
|
DK |
daglig datavolym i snitt > 200 Gbit/s |
Uppslagningstjänster: 100 000 användare; Auktor. DNS: 100 000 domäner |
500 000 domäner |
|
EE |
(tjänst ej identifierad) |
(tjänst ej identifierad) |
Registreringsenhet för landets toppdomän |
|
FI |
(tjänst ej identifierad) |
(tjänst ej identifierad) |
Registreringsenheter för landets och en regions toppdomän |
|
FR |
(inget officiellt tröskelvärde) |
(inget officiellt tröskelvärde) |
(inget officiellt tröskelvärde) |
|
HR |
sammankopplade medlemmar > 15 |
DNS-tjänst för landets toppdomän |
Registreringsenhet för landets toppdomän |
|
IE |
(okänt tröskelvärde) |
Uppslagningstjänster: 100 m frågor/24 tim; Auktor. DNS: 50 000 domäner |
Registreringsenhet för landets toppdomän |
|
MT |
25 % marknadsandel |
Uppslagningstjänster: 78 000 frågor/dag; Auktor. DNS: 7 800 domäner |
750 000 frågor/dag |
|
PL |
sammankopplade autonoma system ≥ 100 |
Auktor. DNS: 100 000 domäner |
Toppdomänsregister för minst 100 000 abonnenter |
|
SE |
(tjänst ej identifierad) |
Uppslagningstjänster: 100 000 användare; Auktor. DNS: 25 000 domäner |
250 000 domäner |
|
SK |
Autonomt system (AS) sammankopplat med minst två andra AS med 2 Gbps |
Uppslagningstjänster: 3 m frågor/24 tim; Auktor. DNS: > 1 000 domäner |
Registreringsenhet för toppdomäner |
|
UK |
marknadsandel > 50 %, ellersammankoppling till globala internetrutter ≥ 50 % |
Uppslagningstjänster: 2 000 000 kunder/dag;Auktor. DNS: 250 000 domäner |
Toppdomänsregister ≥ 2 miljarder frågor/dag |
|
Användning av sektorsöverskridande tröskelvärden |
|||
|
CY |
50 000 användare, eller5 % av abonnenterna på marknaden |
50 000 användare, eller5 % av abonnenterna på marknaden |
50 000 användare, eller5 % av abonnenterna på marknaden |
|
LT |
invånare > 145 000 |
invånare > 145 000 |
invånare > 145 000 |
|
LU |
100 % marknadsandel |
13 500 kontrakt |
100 % marknadsandel |
Tabell 4: Tröskelvärden valda av 16 medlemsstater i sektorn för digital infrastruktur
2.4Antal identifierade leverantörer
Förteckningarna över samhällsviktiga tjänster och tröskelvärdena är de viktigaste faktorerna för en enhetlig identifiering av leverantörer av samhällsviktiga tjänster. Enligt föregående avsnitt har medlemsstaterna i båda fallen tillämpat NIS-direktivets bestämmelser på olika sätt, vilket kan leda till problem med enhetligheten vid senare identifiering av leverantörer av samhällsviktiga tjänster. I detta avsnitt jämförs det hur många leverantörer medlemsstaterna har identifierat inom sektorerna och delsektorerna i bilaga II.
Figur 3: Leverantörer av samhällsviktiga tjänster som medlemsstaterna har identifierat inom alla sektorer i bilaga II (per 100 000 invånare, avvikande värden och uppgifter som har utelämnats av tydlighetsskäl)
Medlemsstaterna har rapporterat totalt 20–10 897 leverantörer av samhällsviktiga tjänster till kommissionen, i genomsnitt 633 leverantörer per medlemsstat (antalen för respektive medlemsstat ges i avsnitt 4.2 i bilagan till denna rapporten). Generellt finns ett tydligt positivt samband mellan landets storlek och antalet identifierade leverantörer. Detta förklarar dock inte i tillräcklig grad de mycket varierande antal som medlemsstaterna har rapporterat. För att ta hänsyn till förhållandet mellan storlek och population innehåller figur 3 en jämförelse av antalet identifierade leverantörer av samhällsviktiga tjänster per 100 000 invånare. Figuren visar att medlemsstaternas sätt att identifiera leverantörer på har gett mycket olika resultat.
En mer djupgående undersökning av sektorerna och delsektorerna pekar på betydande skillnader i identifierade antal mellan medlemsstaterna för alla sektorer i bilaga II ( figur 4 ). I energisektorn varierar exempelvis antalet från 0,3 leverantörer till 29 leverantörer per 1 000 000 invånare. Antalet i banksektorn varierar från 0,07 leverantörer till 51 leverantörer per 1 000 000 invånare (medlemsstater som inte har identifierat en enda leverantör i sektorn ej medräknade).
Figur 4: Antal leverantörer av samhällsviktiga tjänster som har identifierats av 25 medlemsstater i varje sektor och delsektor (per 1 000 000 invånare, på en logaritmisk skala, avvikande värden har utelämnats av tydlighetsskäl). Varje datapunkt står för en medlemsstats antal identifierade leverantörer av samhällsviktiga tjänster inom respektive (del)sektor. 14
2.5Tillämpning av direktivet inom sektorer som inte ingår i bilaga II
En genomgång av de inlämnade uppgifterna visar att 11 av 28 medlemsstater har identifierat samhällsviktiga tjänster i sektorer som inte ingår i bilaga II till direktivet. Av dessa elva medlemsstater har sju identifierat totalt 157 leverantörer som tillhandahåller tjänster som inte ingår i bilaga II.
|
Ytterligare sektor |
Exempel på enheter |
Antal medlemsstater |
|
Informationsinfrastruktur |
Datacentraler, serverhallar |
5 |
|
Finansiella tjänster (enheter som inte ingår i bilaga II) |
Försäkrings- och återförsäkringsföretag |
4 |
|
Statliga tjänster |
Elektroniska tjänster för medborgare |
4 |
|
Värme |
Värmeproducenter och värmeleverantörer |
3 |
|
Avloppsvatten |
Anläggningar för uppsamling och rening |
3 |
|
Logistik |
Posttjänster |
2 |
|
Livsmedel |
Producenter, handelsplatser |
2 |
|
Miljö |
Hantering av farligt avfall |
2 |
|
Nationella säkerhets-/alarmeringstjänster |
112, krishantering |
2 |
|
Kemisk industri |
Leverantörer och producenter av ämnen |
2 |
|
Sociala tjänster |
Enheter med ansvar för sociala förmåner |
1 |
|
Utbildning |
Myndigheter med ansvar för nationella prov |
1 |
|
Kollektiv catering |
Distributionshantering |
1 |
|
Vatten |
Vattenbyggnader |
1 |
Tabell 5: Medlemsstaternas utvalda sektorer som inte ingår i bilaga II
De vanligaste kategorierna är informationsinfrastruktur (identifierad av fem medlemsstater), finansiella tjänster av enheter som inte ingår i bilaga II (identifierade av fyra medlemsstater) och statliga tjänster (identifierade av fyra medlemsstater) ( tabell 5 ).
Med tanke på hur viktig motståndskraften mot cyberincidenter är för ekonomin och samhället i stort har flera medlemsstater beslutat att utnyttja möjligheten att ta med sektorer som inte ingår i bilaga II. Det faktum att flera medlemsstater väljer att tillämpa NIS-direktivet på ytterligare sektorer ger upphov till frågan om huruvida bilagans nuvarande tillämpningsområde är tillräckligt för att nå målet att skydda alla leverantörer i unionen som har en avgörande betydelse för samhället och ekonomin.
2.6Det gränsöverskridande samrådsförfarandet
Enligt artikel 5.4 i NIS-direktivet ska medlemsstaterna samråda med varandra innan de fattar ett slutligt beslut om identifieringen av leverantörer som tillhandahåller tjänster i flera medlemsstater. Samarbetsgruppen utfärdade ett referensdokument i juli 2018 för att hjälpa medlemsstaterna att genomföra lämpliga gränsöverskridande samråd. 15
Baserat på den information som har erhållits har endast mycket få nationella myndigheter valt att kontakta sina motparter i andra medlemsstater, och endast två medlemsstater har kontaktat andra medlemsstater i större utsträckning. Dessutom har endast ett fåtal medlemsstater angett att de har kontaktat andra myndigheter på ett mindre systematiskt sätt. Trots de gränsöverskridande tjänsternas stora betydelse på den inre marknaden har de flesta medlemsstater som har kontaktat andra medlemsstater endast gjort det för ett mycket begränsat antal leverantörer. Trots medlemsstaternas begränsade användning av förfarandet har många nationella myndigheter uttryckt intresse för det gränsöverskridande samrådsförfarandet och anser att det är en viktig del av NIS-direktivets identifieringsram. Flera medlemsstater har faktiskt uttryckt oro för att leverantörerna, i brist på ett ändamålsenligt gränsöverskridande samråd, kan ställas inför en uppsjö av olika regleringsmässiga krav eller hamna i underläge jämfört med andra, mindre reglerade leverantörer på marknaden.
Kommissionen har tillsammans med de nationella myndigheterna fastställt flera orsaker till att samrådsförfarandet hittills inte har använts så mycket som det var tänkt:
·Det tog längre tid än väntat för många medlemsstater att identifiera sina leverantörer av samhällsviktiga tjänster. Länder som var tidigt ute ansåg sig därför inte kunna samråda med dessa länder.
·Det råder brist på säkra kanaler för informationsöverföring: Vissa medlemsstater har ogärna velat kommunicera med sina motparter, eftersom de har betraktat leverantörernas namn som sekretessbelagda uppgifter.
·Det finns många fall med beroende som sträcker sig över gränser, vilket har lett till ett behov av att kontakta ett stort antal berörda medlemsstater, särskilt när det gäller alleuropeiska leverantörer.
·Det råder olika uppfattningar om det gränsöverskridande samrådets mål och tillämpningsområde: Medan vissa medlemsstater endast betraktar det som ett sätt att underrätta varandra om identifieringar med gränsöverskridande inverkan, ska det enligt andra leda till en anpassning av tröskelvärden och regleringsmässiga krav. Skäl 24 i direktivet tyder på att det framför allt är ett förfarande för gemensam bedömning av en leverantörs betydelse i samband med identifieringen.
·Ett annat problem uppstår när en medlemsstat kontaktas av två andra medlemsstater om samma leverantör. I ett sådant fall kan det hända att den berörda medlemsstaten inte kan anpassa sina regler till båda medlemsstaterna samtidigt. Därför föreskrivs multilaterala diskussioner i skäl 24. Det är viktigt att medlemsstaterna utnyttjar denna möjlighet för att säkerställa enhetlighet.
2.7Tillämpning av lex specialis-principen vid identifieringen
Kommissionen har konstaterat en viss bristande enhetlighet i medlemsstaternas tillämpning av lex specialis-principen. Detta har lett till en ojämn tillämpning av direktivet: å ena sidan identifiering av leverantörer som omfattas av sektorsspecifika regler, å andra sidan otillräcklig identifiering av leverantörer i vissa sektorer som ingår i bilaga II.
I artikel 1.3 anges det att NIS-direktivet inte gäller företag som omfattas av kraven i ramdirektivet om telekommunikation 16 . Vissa medlemsstater tycks dock ha identifierat leverantörer som tillhandahåller tjänster som egentligen omfattas av ramdirektivet, såsom internet- och telefontjänster.
Enligt artikel 1.7 gäller dessutom inte NIS-direktivets bestämmelser om säkerhetskrav och incidentrapporter leverantörer som redan omfattas av unionens sektorspecifika rättsakter med skyldigheter av åtminstone motsvarande verkan.
Även om de flesta medlemsstater har identifierat leverantörer i bank- och finansmarknadssektorerna, har några medlemsstater inte identifierat några leverantörer, med hänvisning till att leverantörernas tjänster omfattas av leges speciales.
Kommissionen håller fortfarande på att samla in detaljerad information om tillämpningen av lex specialis-principen inom ramen för NIS-direktivet. Den genomför för närvarande djupgående kontroller av den nationella lagstiftningen och landsbesök för att bedöma den nuvarande införlivande- och genomförandegraden, bland annat med avseende på lex specialis-bestämmelserna. Med utgångspunkt i detta tänker kommissionen ytterligare diskutera lex specialis-principen i samarbetsgruppen för att uppnå en bättre anpassning mellan medlemsstaterna.
3.Slutsatser
I denna rapport utvärderas medlemsstaternas tillvägagångssätt för att identifiera leverantörer av samhällsviktiga tjänster enligt NIS-direktivet. Målet är att bedöma enhetligheten i medlemsstaternas metoder med tanke på den nuvarande ramens möjliga inverkan på den inre marknadens funktion och hanteringen av de risker som är förknippade med cyberberoende.
Analysen visar att NIS-direktivet har fungerat som en katalysator i många medlemsstater och banat väg för verkliga institutionella och regleringsmässiga förändringar med avseende på cybersäkerhet. Dessutom har skyldigheten att identifiera leverantörer av samhällsviktiga tjänster gett upphov till en övergripande bedömning av de risker som är förenade med leverantörer inriktade på kritisk verksamhet och moderna nätverks- och informationssystem i nästan alla medlemsstater. Detta kan betraktas som en framgång för unionen som helhet i linje med direktivets mål.
För denna rapport har kommissionen granskat de nationella identifieringsmetoderna, de tjänster som nationella myndigheter anser vara samhällsviktiga, tröskelvärdena för identifiering och antalet leverantörer av samhällsviktiga tjänster som har identifierats inom olika sektorer som omfattas av direktivet:
·Medlemsstaterna har använt olika metoder för den allmänna identifieringen av leverantörer av samhällsviktiga tjänster (avsnitt 2.1) men också för att definiera samhällsviktiga tjänster och fastställa tröskelvärden. Detta kan göra tillämpningen av NIS-bestämmelserna mindre enhetlig i unionen, vilket skulle kunna störa den inre marknadens funktion och göra hanteringen av cyberberoende mindre ändamålsenlig.
·Dessutom verkar medlemsstaterna ha olika uppfattningar om vad som utgör en samhällsviktig tjänst enligt NIS-direktivet, eftersom de tillämpar olika detaljnivåer (se avsnitt 2.2). Detta försvårar jämförelsen av förteckningarna över samhällsviktiga tjänster. Dessutom finns det risk för att direktivets tillämpningsområde splittras, då vissa leverantörer drabbas av ytterligare regelbörda (eftersom de har identifierats av sin medlemsstat), medan andra som tillhandahåller liknande tjänster slipper detta (eftersom de inte har identifierats). För att ta itu med denna bristande enhetlighet skulle ytterligare insatser baserade på medlemsstaternas erfarenheter kunna leda till en mer enhetlig förteckning över samhällsviktiga tjänster.
·Av rapporten framgår det dessutom att det finns stora skillnader i hur medlemsstaterna tillämpar tröskelvärdena (avsnitt 2.3). En ytterligare anpassning av tröskelvärdena på EU-nivå skulle kunna bidra till att detta problem avhjälps. Sådant arbete skulle exempelvis kunna utföras av sektorsbaserade arbetsgrupper under samarbetsgruppen, med beaktande av nationella särdrag såsom små medlemsstaters särskilda behov.
·Det faktum att vissa länder har utnyttjat möjligheten att identifiera samhällsviktiga tjänster i sektorer eller delsektorer som inte ingår i bilaga II visar att det finns andra sektorer som kan vara sårbara för cyberincidenter än de som nämns i NIS-direktivet (avsnitt 2.5). Identifieringen av leverantörer av samhällsviktiga tjänster i andra sektorer, såsom informationsinfrastruktur, finansiella tjänster av enheter som inte ingår i bilaga II och statliga tjänster, kan förbättra motståndskraften mot cyberincidenter hos organisationer i sådana sektorer. Om endast en mindre del av medlemsstaterna identifierar leverantörer i sådana sektorer skulle detta dock kunna få negativa konsekvenser för den inre marknaden och de lika villkor som den är tänkt att säkerställa.
De många metoder och den bästa praxis som de nationella myndigheterna har tagit fram är särskilt värdefulla och bör beaktas i framtiden, till exempel i samarbetsgruppens arbete och vid medlemsstaternas löpande identifiering av leverantörer. Den nuvarande mångfalden skulle dock kunna försvåra uppnåendet av direktivets mål.
Kommissionen drar den preliminära slutsatsen att NIS-direktivet visserligen har lett till en viktig ökning och förbättring av leverantörernas riskhantering i kritiska sektorer, men att identifieringen av leverantörer är starkt splittrad i unionen. Detta beror delvis på direktivets utformning och delvis på medlemsstaternas olika genomförandemetoder.
Medlemsstaterna bör sträva efter att tillämpa NIS-direktivets bestämmelser så enhetligt som möjligt och utnyttja kommissionens och samarbetsgruppens vägledningsdokument till fullo. Kommissionen har därför identifierat flera nationella åtgärder som skulle kunna mildra de problem som tas upp i denna rapport:
·Många medlemsstater har inte slutfört identifieringen av leverantörer av samhällsviktiga tjänster inom den tidsram som fastställs i direktivet. Vid offentliggörandet av denna rapport hade dessutom 23 medlemsstater lämnat alla de uppgifter som krävs enligt artikel 5.7. Ytterligare fem medlemsstater hade lämnat ofullständiga uppgifter. Kommissionen anmodar de nationella myndigheter som har hand om identifieringen att slutföra arbetet så snabbt som möjligt och snarast översända nödvändig information till kommissionen.
·Behöriga myndigheter bör regelbundet se över sina förteckningar över samhällsviktiga tjänster och se till att alla befintliga samhällsviktiga tjänster identifieras, så att den ”bristande enhetligheten” avseende tjänsterna minskas på den inre marknaden.
·Medlemsstaterna bör om möjligt samarbeta mer aktivt för att anpassa tröskelvärdena till varandra, särskilt i sektorer med en stark gränsöverskridande dimension, såsom transport eller energi. Detta kan uppnås genom det gränsöverskridande samrådsförfarande som föreskrivs i artikel 5.4 i NIS-direktivet, men också genom att bättre utnyttja samarbetsgruppens befintliga strukturer.
·De nationella myndigheterna bör samråda med varandra för att se till att gränsöverskridande leverantörer omfattas av liknande säkerhets- och incidentrapporteringskrav på den inre marknaden. Dessutom bör medlemsstaterna kontakta sådana leverantörer för att samla in mer information om regelskillnader. Motståndskraften mot cyberincidenter får inte förbättras till priset av en splittrad lagstiftning. Om nödvändigt bör medlemsstaterna också föra multilaterala diskussioner i enlighet med skäl 24 i NIS-direktivet.
Utöver nationella åtgärder finns en rad åtgärder som skulle kunna vidtas på unionsnivå och som skulle leda till ökad enhetlighet. Kommissionen ska inleda diskussioner för att förbättra det ojämna och ibland splittrade sättet att identifiera leverantörer på. Möjliga åtgärder är bland annat följande:
·Samarbetsgruppens roll bör stärkas för att främja en gemensam syn på hur direktivet kan genomföras på ett enhetligare sätt. Därför ska kommissionen föreslå att den befintliga särskilda arbetsgruppen om identifiering av leverantörer av samhällsviktiga tjänster snabbt ser över sina riktlinjer för att bättre ta itu med den bristande enhetlighet som finns. Samarbetsgruppen bör också överväga inrättandet av ytterligare sektorsinriktade arbetsgrupper 17 för att öka medlemsstaternas samstämmighet och användningen av ett skräddarsytt kommunikationsverktyg för att stärka samarbetet i gruppen.
·Endast mycket få medlemsstater utnyttjar för närvarande det gränsöverskridande samrådsförfarandet för att identifiera leverantörer som tillhandahåller samhällsviktiga tjänster i flera medlemsstater. För att förbättra informationsutbytet bör samarbetsgruppen se över sitt referensdokument om samrådsmetoder i fall med gränsöverskridande inverkan och enas om en enhetlig tolkning av dess tillämpningsområde, mål och förfaranden. Samtidigt ska kommissionen undersöka sätt att möjliggöra ett säkert informationsutbyte mellan behöriga myndigheter.
·Det tycks finnas en viss grad av bristande enhetlighet i medlemsstaternas tillämpning av direktivets bestämmelser om lex specialis. Kommissionen ska därför utnyttja samarbetsgruppens strukturer för att diskutera fall med eventuell felaktig tillämpning av lex specialis-principen.
Åtgärder på unionsnivå bör garantera en enhetlig ram, med beaktande av både sektorsverksamhet där särskilda eller högre krav på cybersäkerhet förutses och annan europeisk lagstiftning.
4.Bilagor
4.1Översikt över tillgängliga uppgifter per medlemsstat
|
Medlemsstat |
Inlämningsdatum |
Förteckning över tjänster |
Antal leverantörer |
Tröskelvärden |
|
AT |
Försenad inlämning |
Levererat |
SAKNAS |
Levererat |
|
BE |
Försenad inlämning |
Levererat |
SAKNAS |
SAKNAS |
|
BG |
Försenad inlämning |
Levererat |
Levererat |
Levererat |
|
CY |
I tid |
Levererat |
Levererat |
Levererat |
|
CZ |
Försenad inlämning |
Levererat |
Levererat |
Levererat |
|
DE |
I tid |
Levererat |
Levererat |
Levererat |
|
DK |
I tid |
Levererat |
Levererat |
Levererat |
|
EE |
I tid |
Levererat |
Levererat |
Levererat |
|
EL |
Försenad inlämning |
Levererat |
Levererat |
Levererat |
|
ES |
I tid |
Levererat |
Levererat |
Levererat |
|
FI |
I tid |
Levererat |
Levererat |
Levererat |
|
FR |
I tid |
Levererat |
Levererat |
Inga officiella tröskelvärden |
|
HR |
I tid |
Levererat |
Levererat |
Levererat |
|
HU |
I tid |
Delvis levererat |
Delvis levererat |
Delvis levererat |
|
IE |
Försenad inlämning |
Levererat |
Levererat |
Levererat |
|
IT |
Försenad inlämning |
Levererat |
Levererat |
Levererat |
|
LT |
I tid |
Levererat |
Levererat |
Levererat |
|
LU |
Försenad inlämning |
Levererat |
Levererat |
Levererat |
|
LV |
Försenad inlämning |
Levererat |
Levererat |
Levererat |
|
MT |
Försenad inlämning |
Levererat |
Levererat |
Levererat |
|
NL |
Försenad inlämning |
Levererat |
Levererat |
Levererat |
|
PL |
I tid |
Levererat |
Levererat |
Levererat |
|
PT |
I tid |
Levererat |
Levererat |
Levererat |
|
RO |
Försenad inlämning |
Levererat |
Delvis levererat |
SAKNAS |
|
SE |
I tid |
Levererat |
Levererat |
Levererat |
|
SI |
Försenad inlämning |
Levererat |
SAKNAS |
Levererat |
|
SK |
I tid |
Levererat |
Levererat |
Levererat |
|
UK |
I tid |
Levererat |
Levererat |
Levererat |
4.2Antal tjänster och leverantörer identifierade av varje medlemsstat
|
Medlemsstat |
Identifierade leverantörer |
Tjänster i bilaga II |
Övriga tjänster |
|
AT |
0 |
46 |
0 |
|
BE |
0 |
31 |
0 |
|
BG |
185 |
30 |
3 |
|
CY |
20 |
29 |
17 |
|
CZ |
50 |
31 |
12 |
|
DE |
573 |
15 |
12 |
|
DK |
128 |
39 |
0 |
|
EE |
137 |
18 |
6 |
|
EL |
67 |
30 |
0 |
|
ES |
132 |
55 |
18 |
|
FI |
10897 18 |
20 |
0 |
|
FR |
127 |
70 |
20 |
|
HR |
85 |
49 |
2 |
|
HU |
42 |
12 |
0 |
|
IE |
64 |
26 |
0 |
|
IT |
553 |
37 |
0 |
|
LT |
22 |
37 |
0 |
|
LU |
49 |
21 |
0 |
|
LV |
66 |
18 |
0 |
|
MT |
36 |
29 |
2 |
|
NL |
42 |
12 |
0 |
|
PL |
142 |
87 |
0 |
|
PT |
1250 |
26 |
0 |
|
RO |
86 |
77 |
0 |
|
SE |
326 |
27 |
0 |
|
SI |
0 |
34 |
2 |
|
SK |
273 |
28 |
7 |
|
UK |
470 |
34 |
0 |
4.3Tjänster identifierade av medlemsstaterna i delsektorn för elektricitet
|
Medlemsstat |
Identifierade tjänster |
|
AT |
̶Elproduktionsanläggningar ̶Styrsystem i produktionsanläggningar ̶Distributionsnät ̶Överföringsnät |
|
BE |
̶Produktions-, transport- och distributionsföretag ̶Eldistribution ̶Eltransport |
|
BG |
̶Elproduktion ̶Överföring av elektricitet ̶Drift, underhåll och utveckling av ett elöverföringssystem ̶Eldistribution ̶Säkerställa funktion och underhåll för ett distributionssystem för elenergi ̶Elmarknad |
|
CY |
̶Produktion/försörjning ̶Distribution/överföring ̶Elmarknadstjänster |
|
CZ |
̶Elproduktion ̶Elförsäljning ̶Drift av överföringssystem ̶Drift av distributionssystem |
|
DE |
̶Strömförsörjning |
|
DK |
̶Elöverföring ̶Eldistribution ̶Elproduktion |
|
EE |
̶Elförsörjning |
|
EL |
̶Elförsörjning ̶Eldistribution ̶Överföring av el |
|
ES |
̶Elproduktion ̶Överföring av el ̶Eldistribution ̶Centraler för drift och styrning av elektriska system |
|
FI |
̶Överföringstjänst ̶Distribution av elektricitet i distributionsnätet ̶Elförsörjning genom högspänningsnät |
|
FR |
̶Försäljning eller återförsäljning av el till grossister och slutkunder ̶Eldistribution ̶Överföring av elektricitet |
|
HR |
̶Produktion av elektricitet ̶Överföring av elektricitet ̶Eldistribution |
|
HU |
̶Elektricitet |
|
IE |
̶Systemansvariga för distributionssystemet ̶Elföretag ̶Systemansvariga för överföringssystemet |
|
IT |
̶Produktion ̶Handel ̶Överföring ̶Distribution |
|
LT |
̶Elproduktionstjänster ̶Elöverföringstjänster ̶Eldistributionstjänster ̶Elförsörjningstjänster |
|
LU |
̶Elförsörjning ̶Eldistribution ̶Överföring av el |
|
LV |
̶Elproduktion ̶Eldistribution ̶Överföring av el |
|
MT |
̶Tillhandahållande av elektricitet till konsumenter ̶Överföring och/eller distribution av el till konsumenter ̶Elproduktion för konsumenter |
|
NL |
̶Överföring och distribution av el |
|
PL |
̶Elkraftsproduktion ̶Elkraftsöverföring ̶Elkraftsdistribution ̶Handel med elkraft ̶Elkraftslagring ̶Kvalitetssäkringstjänster och förvaltning av energiinfrastruktur |
|
PT |
̶Systemansvariga för distributionssystemet ̶Systemansvariga för överföringssystemet |
|
RO |
̶Produktion av elektricitet ̶Försörjning av elektricitet till konsumenter ̶Drift av centraliserade elmarknader ̶Transport av elektricitet ̶Drift av elkraftsystem ̶Eldistribution |
|
SE |
̶Systemansvariga för överföringssystemet ̶Systemansvariga för distributionssystemet ̶Produktion ̶Partihandel |
|
SI |
̶Produktion av energi i vattenkraftverk ̶Produktion av elektricitet i värmekraftverk eller kärnkraftverk ̶Överföring av elektricitet ̶Eldistribution ̶Handel med elektricitet |
|
SK |
̶Elbolag ̶Systemansvariga för överföringssystemet ̶Systemansvariga för distributionssystemet |
|
UK |
̶Elförsörjning ̶Överföring av el ̶Eldistribution |
4.4Tjänster identifierade av medlemsstaterna i delsektorn för järnvägstransport
|
Medlemsstat |
Identifierade tjänster |
|
AT |
̶Järnvägsinfrastruktur ̶Järnvägstransport, godstrafik ̶Järnvägstransport, passagerartrafik ̶Järnvägsstationer |
|
BE |
̶Infrastrukturförvaltare ̶Järnvägsföretag |
|
BG |
̶Tillhandahållande, underhåll och drift av anläggningar ̶Järnvägstransport med järnvägsföretag ̶Vägledning om järnvägstransport |
|
CY |
Ingen identifiering i denna delsektor |
|
CZ |
̶Drift av järnvägar ̶Drift av järnvägstransport eller anläggningar för tjänster |
|
DE |
̶Järnväg |
|
DK |
̶Förvaltning av järnvägsinfrastruktur ̶Järnvägstransport |
|
EE |
̶Förvaltare av järnvägsinfrastruktur ̶Järnvägstransport |
|
EL |
̶Förvaltning av järnvägsinfrastruktur ̶Järnvägstjänster |
|
ES |
̶Förvaltning av järnvägstjänster ̶Förvaltning av järnvägstransport ̶Järnvägsnättjänster ̶Information och telekommunikation för järnvägstransport |
|
FI |
̶Statlig infrastrukturförvaltning ̶Trafikledningstjänster |
|
FR |
̶Järnvägstjänster ̶Styrning och ledning av järnvägstrafik ̶Underhåll av infrastruktur ̶Gods och farliga material ̶Passagerartrafik ̶Underhåll av rullande materiel ̶Tunnelbana, spårvagnar och andra spårvägstjänster (även under jord) |
|
HR |
̶Förvaltning och underhåll av järnvägsinfrastruktur, däribland delsystem för trafikledning och signalering ̶Järnvägstransport av gods och/eller passagerare ̶Förvaltning av anläggningar för tjänster och tillhandahållande av tjänster i anläggningar för tjänster ̶Tillhandahållande av övriga tjänster som krävs för järnvägstransport av gods eller passagerare |
|
HU |
Ingen identifiering i denna delsektor |
|
IE |
̶Infrastrukturförvaltare ̶Järnvägsföretag |
|
IT |
Ingen identifiering i denna delsektor |
|
LT |
̶Transport av passagerare och resgods via järnväg ̶Järnvägstjänster, godstrafik ̶Utveckling, förvaltning och underhåll av järnvägsinfrastruktur |
|
LU |
̶Förvaltning av järnvägsinfrastruktur ̶Järnvägstransport av gods och passagerare |
|
LV |
Ej tillämpligt |
|
MT |
Ej tillämpligt |
|
NL |
Ingen identifiering i denna delsektor |
|
PL |
̶Utarbetande av tågtidtabeller ̶Järnvägstransport, passagerartrafik ̶Järnvägstransport, godstrafik |
|
PT |
̶Infrastrukturförvaltare enligt definitionen i artikel 3.2 i Europaparlamentets och rådets direktiv 2012/34/EU ̶Järnvägsföretag enligt definitionen i artikel 3.1 i direktiv 2012/34/EU, inbegripet tjänsteleverantörer enligt definitionen i artikel 3.12 i direktiv 2012/34/EU |
|
RO |
̶Trafikreglering och trafikledning ̶Godstransporter ̶Transport av farligt gods ̶Passagerartrafik ̶Tunnelbana, spårvagnar och andra spårvägstjänster ̶Underhåll av järnvägsinfrastruktur ̶Underhåll av rullande materiel |
|
SE |
̶Infrastrukturförvaltning ̶Passagerartransport ̶Godstransport |
|
SI |
̶Järnvägstransport, passagerartrafik ̶Järnvägstransport, godstrafik ̶Tjänsteverksamhet av underordnad betydelse för landtransport (drift av järnvägsstationer osv.) |
|
SK |
̶Infrastrukturoperatörer ̶Järnvägsföretag |
|
UK |
̶Järnvägstjänster ̶Järnvägstjänster för höghastighetstrafik ̶Tunnelbana, spårvagnar och andra spårvägstjänster (även under jord) ̶Internationella järnvägstjänster |
EUT L 194, 19.7.2016, s. 1.
I september 2019 hade samtliga 28 medlemsstater meddelat att de har införlivat direktivet till fullo.
Meddelande från kommissionen till Europaparlamentet och rådet: Maximalt utnyttjande av it-säkerhetsdirektivet – mot ett effektivt genomförande av direktiv (EU) 2016/1148 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen, COM(2017) 476.
NIS-direktivets samarbetsgrupp, som består av företrädare för medlemsstaterna, kommissionen och Enisa (Europeiska unionens byrå för nät- och informationssäkerhet), har inrättat en separat arbetsgrupp i syfte att utbyta information och bästa praxis om identifiering av leverantörer av samhällsviktiga tjänster mellan medlemsstaterna.
Utpressningstrojanen WannaCry spreds till exempel till över 150 länder på en enda dag i maj 2017 och drabbade uppskattningsvis 200 000 datorer.
Enligt NIS-direktivets samarbetsgrupp kan öppenheten på den inre marknaden för tjänster leda till gränsöverskridande risker och beroende som på ett avgörande sätt påverkar sådana tjänsters tillgänglighet, integritet och konfidentialitet.
Enligt artikel 10.3 i NIS-direktivet ska medlemsstaterna varje år lämna en sammanfattande rapport till samarbetsgruppen om de incidentrapporter som mottagits.
Exempel på sektorsöverskridande faktorer är antalet användare som är beroende av tjänsten eller enhetens marknadsandel. Exempel på sektorsspecifika faktorer är antalet autonoma system som är sammankopplade med en internetknutpunkt (IXP) eller ett finansinstituts antal transaktioner per år.
Belgien, Grekland, Ungern, Österrike, Rumänien och Slovenien.
Rådets direktiv 2008/114/EG av den 8 december 2008 om identifiering av, och klassificering som, europeisk kritisk infrastruktur och bedömning av behovet att stärka skyddet av denna. Syftet med direktivet är att stärka skyddet av kritisk infrastruktur i energi- och transportsektorerna.
Identiska datapunkter är inritade ovanpå varandra. Därför syns inte samtliga 28 datapunkter i varje stapel. Till exempel har 17 medlemsstater identifierat exakt tre samhällsviktiga tjänster i stapeln för digital infrastruktur.
En medlemsstat har t.ex. tagit fram sju faktorer (fyra så kallade ”leverantörsfaktorer” och tre ”inverkansfaktorer”) i en enda formel. Om det slutliga värdet i beräkningen överstiger ett visst tröskelvärde erkänns den berörda leverantören som en leverantör av samhällsviktiga tjänster.
Logistiksektorn omfattas inte av bilaga II till NIS-direktivet.
Identiska datapunkter är inritade ovanpå varandra. Därför syns inte samtliga 25 datapunkter i varje stapel. Som exempel har både Danmark och Nederländerna identifierat 0,35 leverantörer per 1 000 000 invånare i delsektorn för lufttransport.
Identification of Operators of Essential Services – Reference document on modalities of the consultation process in cases with cross-border impact, publicerat av samarbetsgruppen i juli 2018.
Europaparlamentets och rådets direktiv 2002/21/EG av den 7 mars 2002 om ett gemensamt regelverk för elektroniska kommunikationsnät och kommunikationstjänster.
Arbetsgrupper om energi och om digital infrastruktur inrättades i juni 2018 respektive juli 2019.
På grund av Finlands identifieringsmetod identifierades ett mycket stort antal leverantörer i hälso- och sjukvårdssektorn.
