Bryssel den 23.6.2021

JOIN(2021) 14 final

2021/0166(NLE)

GEMENSAMT MEDDELANDE TILL EUROPAPARLAMENTET OCH RÅDET EMPTY

Rapport om genomförandet av EU:s strategi för cybersäkerhet för ett digitalt decennium


GEMENSAMT MEDDELANDE TILL EUROPAPARLAMENTET OCH RÅDET

Rapport om genomförandet av EU:s strategi för cybersäkerhet för ett digitalt decennium

I.Cyberresiliens, operativ kapacitet och öppenhet är viktigare än någonsin

Cybersäkerhet är nödvändig för införandet av smartare och miljövänligare teknik i världen efter pandemin. Cybersäkerheten är absolut nödvändig för EU:s säkerhet och utgör en hörnsten i säkerhetsunionen. Social, politisk och ekonomisk utveckling kräver teknisk suveränitet och en global och öppen cyberrymd som bygger på rättsstatsprincipen samt respekt för mänskliga rättigheter och grundläggande friheter. Detta var själva premissen för det gemensamma meddelandet från kommissionen och den höga representanten för utrikes frågor och säkerhetspolitik om EU:s strategi för cybersäkerhet för ett digitalt decennium, som antogs den 16 december 2020 1 . Alla kritiska enheter kan potentiellt utsättas för cyberattacker. Utvecklingen under de senaste sex månaderna har visat att strategins fokus på intensifierade lagstiftningsreformer, investeringar och gemensamma operativa insatser var riktigt.

Den senaste tidens cyberattacker har i synnerhet visat att utpressningstrojaner och cyberspionage blivit allt vanligare och att riskerna ökar för alla sektorer av ekonomin och samhället i stort. Incidenterna har varit av extraordinär omfattning: Hundratusentals servrar drabbades av attackerna mot Microsoft Exchange. 18 000 organisationer berördes potentiellt av kampanjen SolarWinds Orion. Känsliga uppgifter om hundratals patienter stals och hälso- och sjukvård drabbades av avbrott efter ett angrepp med en utpressningstrojan mot Irlands hälso- och sjukvårdssystem. Cyberattacken mot Colonial Pipelines faktureringssystem resulterade i en kritisk bränslesituation och en massiv datastöld, och världens största nötköttsleverantör drabbades av driftsavbrott 2 . Även om skadornas fulla omfattning fortfarande är oklar belyser varje incident de möjliga långtgående konsekvenserna av illvilligt utnyttjande av sårbarheter i produkter, tjänster, system och nätverk inom informations- och kommunikationsteknik. Sådana cyberattacker kan förväntas få ökad effekt och frekvens och hota vår säkerhet.

Det är därför viktigt att Europeiska unionen påskyndar framstegen på alla områden – lagstiftningsmässiga, operativa, investeringsrelaterade och diplomatiska – i enlighet med strategin. Förslagen till ett direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen (NIS2-direktivet) 3 , till ett direktiv om motståndskraften hos kritiska enheter 4 samt till en förordning och ett direktiv om digital operativ motståndskraft 5 , bör antas så snart som möjligt. I detta sammanhang är det viktigt att eftersträva en ambitiös strategi särskilt när det gäller leveranskedjor, med tanke på hur man i samband med den senaste tidens cyberattacker kunde spåra sårbarheter tillbaka till programvaruleverantörer, och att vidta åtgärder för att säkerställa de offentliga förvaltningarnas motståndskraft och snabb rapportering av incidenter. Det är viktigare än någonsin att inrätta ett nätverk av säkerhetscentrum för tidig upptäckt av signaler om cyberattacker och att utveckla en trovärdiga, effektiva och kollektiva motåtgärder från EU:s sida, inbegripet på en operativ nivå, mot stora incidenter genom den gemensamma cyberenheten 6 . Med tanke på det ökade antalet cyberattacker som utförs av statliga eller statsstödda aktörer måste ett ansvarsfullt agerande av stater även fortsättningsvis främjas i FN samt genom cyberdialoger och strukturerade utbyten med regionala organisationer, inbegripet Afrikanska unionen, Aseans regionala forum, Amerikanska samarbetsorganisationen (OAS) och Organisationen för säkerhetssamarbete i Europa (OSSE), i kombination med effektiva diplomatiska åtgärder för att förebygga, avskräcka, motverka och reagera på fientligt beteende i cyberrymden. Särskilt viktigt är samarbetet med likasinnade tredjeländer och prioriteringarna i den transatlantiska agendan. Framför allt samarbetet mellan EU och USA om specifika cybersäkerhetsaspekter bör utnyttjas ytterligare, bland annat när det gäller informationsutbyte och bekämpning av utpressningstrojaner.

II.Översikt över de första sex månaderna av genomförandet

Flera strategiska åtgärder är redan långt framskridna.

II.1    Resiliens, teknisk suveränitet och ledarskap

Över hela världen löper leveranskedjor och kritisk infrastruktur, inklusive sjukhus som kämpar mot covid-19-pandemin, en ständig risk för cyberattacker. Kommissionen stöder medlagstiftarna för att säkerställa ett snabbt antagande av den föreslagna reformen av NIS-direktivet, som i synnerhet kommer att utvidga täckningen av hälso- och sjukvårdssektorn, inbegripet forskningslaboratorier och tillverkning av kritiska medicintekniska produkter och läkemedel, och ny verksamhet inom energisektorn, såsom väteproduktion, fjärrvärme, elproduktion och central oljelagring.

Förordningen om inrättande av Europeiska kompetenscentrumet för cybersäkerhet och av nätverket av nationella samordningscentrum antogs den 20 maj 2021 7 . Den kommer att samla resurser från EU, medlemsstaterna och industrin för att förbättra och stärka den tekniska och industriella cybersäkerhetskapaciteten, stärka EU:s öppna strategiska oberoende och erbjuda en möjlighet att konsolidera en del av den cybersäkerhetsrelaterade verksamhet som finansieras genom Horisont Europa, programmet för ett digitalt Europa och faciliteten för återhämtning och resiliens – finansieringsströmmar på sammanlagt upp till 4.5 miljarder euro under de kommande sex åren 8 . Detta kommer att stödja utvecklingen fram till 2023 av en ”EU-cybersköld” för tidig upptäckt av cyberattacker som består av ett nätverk av centrum för säkerhetsoperationer, som kan vara offentliga eller privata och som kommer att utnyttja AI-baserade verktyg. Flera medlemsstater har inkluderat utvecklingen av sådana nationella centrum i sina respektive planer för återhämtning och resiliens. Kommissionen kommer att komplettera dessa insatser genom att anslå medel från programmet för ett digitalt Europa och stödja en gradvis sammankoppling av dem. De finansiella programmen kommer också att stödja EuroQCI-initiativ för att bygga upp en säker kvantkommunikationsinfrastruktur som sträcker sig över hela EU 9 , inbegripet EU:s utomeuropeiska territorier, med hjälp av den bästa kombinationen av markbaserad och rymdbaserad teknik, och en särskild budgetpost för att stödja cyberresiliens inom hälso- och sjukvårdssektorn.

Att säkerställa 5G-cybersäkerhet är en kontinuerlig process som kommer att åtfölja det gradvisa införandet av 5G och genomförandet av EU:s verktygslåda för 5G  10 . De flesta medlemsstater har redan – eller kommer snart att ha – ramar för att införa lämpliga restriktioner för 5G-leverantörer. Kraven på mobiloperatörer skärps genom införlivandet av kodexen för elektronisk kommunikation, och EU:s cybersäkerhetsbyrå, Enisa, håller på att utarbeta ett förslag till EU-system för cybersäkerhetscertifiering av 5G-nät 11 . När det gäller nya trender och utvecklingar i 5G-leveranskedjan har medlemsstaternas myndigheter beslutat att inleda en djupgående analys av säkerhetskonsekvenserna av öppna, disaggregerade och interoperabla nättekniska lösningar (Open RAN) inom ramen för EU:s verktygslåda. Resultatet av detta arbete kommer att ytterligare bidra till EU:s samordnade strategi för 5G-nätens säkerhet.

Det krävs större insatser, särskilt genom EU:s handlingsplan för digital utbildning, för att ta itu med den enorma kompetensbrist som förutspås leda till nästan två miljoner otillsatta cybersäkerhetstjänster globalt fram till 2022 – 350 000 enbart i Europa – och med den allvarliga underrepresentationen av kvinnor – kvinnor utgör endast 11 % av den globala cybersäkerhetspersonalen och ännu mindre – 7 % – i Europa 12 . Andra pågående politiska initiativ omfattar förberedande arbete inför framtida initiativ för säkerhet i sakernas internet och, när det gäller internetstandarder, utveckling av en icke-vinstdrivande tjänst för domännamnskonfiguration (DNS4EU).

II.2    Operativ kapacitet för att förebygga, motverka och bemöta

I och med det ökade antalet statliga och statsstödda attacker och brottsliga angreppen mot nätverk och informationssystem, och det ökande beroendet av databaser med känslig information, behöver EU en närmare sammankoppling av de olika cybergrupperna. De måste reagera konsekvent på de civila, straffrättsliga, diplomatiska och försvarsrelaterade aspekterna av storskaliga cyberattacker som många känsliga ekonomiska sektorer på senare tid har upplevt. Det krävs därför insatser från alla samhällsgrupper för att slutföra de fyra steg som beskrivs i kommissionens rekommendation om uppbyggnaden av den gemensamma cyberenheten, som antogs samtidigt med denna rapport, som en mekanism för ytterligare samordning och åtgärdande av luckor i EU:s insatser mot cyberhot 13 . I kampen mot cyberbrottslighet nåddes en politisk överenskommelse om den tillfälliga förordningen mot sexuella övergrepp mot barn på nätet, som snart kommer att antas 14 , och kommissionens nya strategi mot organiserad brottslighet 15 fokuserar på behovet av att utrusta brottsbekämpande myndigheter med de digitala verktyg de behöver. I februari 2020 antog kommissionen också en handlingsplan för synergieffekter mellan civil industri, försvarsindustri och rymdindustri i vilken man identifierar ett nytt flaggskeppsprojekt för inrättandet av ett rymdbaserat globalt system för konnektivitet i EU. Syftet med den är ”att möjliggöra tillgång till höghastighetsuppkoppling för alla i Europa och ge ett motståndskraftigt konnektivitetssystem som gör det möjligt för Europa att förbli uppkopplat oavsett vad som händer” 16 .

När det gäller det internationella perspektivet håller den höga representanten för närvarande på att förbereda den översyn av ramen för EU:s politik för it-försvar som ska läggas fram för medlemsstaterna under andra halvåret 2021, i linje med den ambition som fastställts inom ramen för den strategiska kompassen 17 . Den höga representanten har arbetat för att förbättra EU:s förmåga att förebygga, avskräcka, motverka och reagera på skadlig cyberverksamhet, bland annat genom att stärka det internationella samarbetet. Den 17 maj 2021 anordnade Europeiska utrikestjänsten, i samarbete med det portugisiska ordförandeskapet och Europeiska unionens institut för säkerhetsstudier (EUISS), en scenariobaserad diskussion med EU:s medlemsstater och internationella partner för att förbättra den ömsesidiga förståelsen av de respektive diplomatiska strategierna för att förebygga, avskräcka, motverka och reagera på skadlig cyberverksamhet, och identifiera möjligheter att ytterligare stärka det internationella samarbetet i detta syfte 18 . För att ytterligare stärka EU:s verktygslåda för cyberdiplomati samlar utrikestjänsten in erfarenheter och kan komma att se över riktlinjerna för genomförandet av ramen för en gemensam diplomatisk respons från EU mot skadlig cyberverksamhet.

Såsom tillkännagavs i EU:s strategi för cybersäkerhet för ett digitalt decennium inleder kommissionen en studie för att utveckla medvetandehöjande verktyg för att förbättra EU-företagens beredskap och motståndskraft mot stölder av immateriella rättigheter som möjliggörs av informationsteknik 19 . Kommissionen intensifierade också verkställighetsåtgärderna i samband med direktiv 2013/40/EU om angrepp mot informationssystem genom att inleda ytterligare överträdelseförfaranden mot flera medlemsstater i juni 2021. 20 Kommissionen kommer vid behov att överväga ytterligare åtgärder. Att förbättra tillgången till cybersäkerhetskompetens hos EU:s arbetskraft kommer också att vara avgörande. Kompetenscentrumet för cybersäkerhet kommer att vidta viktiga åtgärder i detta avseende i syfte att öka kunskapen och kapaciteten och uppmuntra utvecklingen av tvärvetenskaplig kompetens på området cybersäkerhet.

II.3    Främjande av en global och öppen cyberrymd

Hotbilden förvärras av geopolitiska spänningar över ett globalt och öppet internet och över teknik i hela leveranskedjan. Begränsningar av och på internet, den ökade omfattningen av skadlig cyberverksamhet och sådan verksamhet som påverkar säkerheten och integriteten hos produkter och tjänster inom informations- och kommunikationsteknik utgör ett hot mot en global och öppen cyberrymd samt mot rättsstatsprincipen, mänskliga rättigheter, den grundläggande friheten och demokratiska värden. Den höga representanten arbetar därför tillsammans med medlemsstaterna för att främja ett ansvarsfullt agerande från statens sida i cyberrymden, särskilt genom att upprätta ett handlingsprogram för att främja en ansvarsfull statlig utveckling på FN-nivå, tillsammans med de 53 andra medförslagsställarna, på grundval av rekommendationen i konsensusrapporten av den 12 mars 2021 från FN:s öppna arbetsgrupp för utveckling på området för information och telekommunikation inom ramen för internationell säkerhet. 21 . EU arbetar med att stärka och utvidga förbindelserna med tredjeländer, internationella och regionala organisationer samt flerpartssamfundet genom cyberdialoger, i enlighet med strategin, genom att inrätta ett EU-nätverk för cyberdiplomati. Dessutom håller en EU-nämnd för kapacitetsuppbyggnad på cyberområdet 22 på att inrättas, så att institutioner, organ och byråer bättre ska kunna samordna och samarbeta sitt arbete vad gäller EU:s externa insatser för kapacitetsuppbyggnad på cyberområdet.

Inom ramen för FN antog generalförsamlingen den 26 maj 2021 arbetsmetoder för den ad hoc-kommitté som inrättades genom resolution 74/247 om motverkande av användning av informations- och kommunikationsteknik för brottsliga ändamål 23 . Villkoren som antagits omfattar viktiga element för att säkerställa inkluderande beslutsförfaranden och ett starkare deltagande från det civila samhällets sida i ad hoc-kommitténs arbete. Det första förhandlingsmötet i den process som kommer att leda till en ny FN-konvention kommer att äga rum i New York i januari 2022.

Vid plenarmötet den 28 maj 2021 i kommittén för konventionsstater i Europarådets Budapestkonvention om it-brottslighet slutförde konventionsstaterna diskussionerna och antog ett utkast till det andra tilläggsprotokollet till konventionen 24 , vilket bör stärka samarbetet om it-brottslighet och elektroniska bevis vid brottsutredningar. Kommissionen deltog i diskussionerna på EU:s vägnar 25 . Detta bör ligga till grund för det formella slutförandet av förhandlingarna under andra halvåret 2021 och för det påföljande öppnandet för undertecknande av det andra tilläggsprotokollet i början av 2022.

EU upprepade, tillsammans med sina partner, i juni 2021 sitt åtagande att arbeta tillsammans för att bemöta det akuta och eskalerande hotet från kriminella nätverk vilka använder sig av utpressningsprogram och som utgör risker för medborgare och företag, främja en samsyn om hur befintlig internationell rätt är tillämplig på cyberrymden och främja denna strategi i FN och andra internationella forum, och uppmanade alla stater att skyndsamt identifiera och hindra kriminella nätverk vilka använder utpressningsprogram och som verkar inom deras gränser och hålla dessa nätverk ansvariga för sina handlingar 26 .

II.4    Cybersäkerhet i EU:s institutioner, organ och byråer

EU håller på att höja standarderna för cybersäkerhet och informationssäkerhet i EU:s institutioner, organ och byråer. Kommissionen genomför samråd med berörda parter och benchmarking av den nuvarande politiken i syfte att anta förslag före slutet av 2021.

III.Bakgrund till denna rapport

Kommissionen och den höga representanten antog EU:s strategi för cybersäkerhet den 16 december 2020. Där fastställs prioriteringar och nyckelåtgärder för att bygga upp Europas motståndskraft, självständighet, ledarskap och operativa kapacitet inför växande och komplexa hot mot de europeiska nätverks- och informationssystemen, och för att främja en global och öppen cyberrymd och EU:s internationella partnerskap. Kommissionen och den höga representanten åtog sig att övervaka hur genomförandet av strategin fortskrider.

Europeiska rådet uppmanade i sitt uttalande av den 26 februari 2021 kommissionen och den höga representanten att senast i juni 2021 rapportera om genomförandet av strategin 27 . Rådet välkomnade i sina slutsatser av den 9 mars 2021 strategin och betonade att cybersäkerhet är avgörande för uppbyggnaden av ett motståndskraftigt, grönt och digitalt Europa och uppmanade kommissionen och den höga representanten att upprätta en detaljerad genomförandeplan där prioriteringarna och tidsplanen för planerade åtgärder fastställs 28 . Strategin behandlas för närvarande av Europaparlamentets berörda utskott, med särskilt fokus på risken för fragmenterad lagstiftning och möjligheten att stärka den europeiska industrin i takt med att den digitaliseras 29 . Den 27 april antog Europeiska ekonomiska och sociala kommittén ett yttrande där man välkomnade strategin som ett positivt steg mot att skydda sig mot globala cyberhot och skydda den ekonomiska tillväxten 30 .

Denna rapport är ett svar på denna utveckling och i synnerhet på uppmaningen från Europeiska rådet.

   

(1)

Gemensamt meddelande till Europaparlamentet och rådet – EU:s strategi för cybersäkerhet för ett digitalt decennium, JOIN (2020) 18.

(2)

Solarwinds, ett stort amerikanskt it-företag, utsattes 2020 för en cyberattack som spreds till dess kunder, förblev oupptäckt i månader och gav hackare tillgång till tusentals företag och offentliga organ som använde dess produkt Orion, däribland sex av EU:s institutioner, organ och byråer. Från och med januari 2021 upptäcktes ett antal dagnollattacker i Microsoft Exchange Server som påverkade e-postsystem runtom i världen. I maj utsattes Irlands folkhälsomyndighet för ett angrepp som hade en betydande inverkan på tjänstekontinuiteten. Colonial Pipeline, den största bränsleledningsoperatören i USA, tvingades stoppa driften den 7 maj efter att ha upptäckt ett intrång genom en cybersäkerhetsattack som hade påverkat deras huvudsakliga it-system, och i juni 2021 attackerades JBS USA Holdings Inc., den USA-baserade filialen av världens största köttleverantör (baserat på försäljning), framgångsrikt av en utpressningstrojan, vilket ledde till allvarliga driftsavbrott.

(3)

Förslag till direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, och om upphävande av direktiv (EU) 2016/1148 – COM(2020) 823 final.

(4)

Förslag till direktiv om resiliens i kritiska enheter, COM (2020) 829.

(5)

Förslag till förordning om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014 och (EU) nr 909/2014, COM (2020) 595. Förslag till direktiv om ändring av direktiv 2006/43/EG, 2009/65/EG, 2009/138/EU, 2011/61/EU, 2013/36/EU, 2014/65/EU, (EU) 2015/2366 och (EU) 2016/2341, COM(2020) 596.

(6)

[Revisionsrättens rekommendation]

(7)

Europaparlamentets och rådets förordning (EU) 2021/887 av den 20 maj 2021 om inrättande av Europeiska kompetenscentrumet för cybersäkerhet inom näringsliv, teknik och forskning och av nätverket av nationella samordningscentrum

(8)

Kompetenscentrumet för cybersäkerhet kommer att göra detta särskilt genom att besluta om och förvalta cybersäkerhetsfonder från programmet för ett digitalt Europa och Horisont Europa-programmet samt från medlemsstaterna.

(9)

  https://ec.europa.eu/digital-single-market/en/news/future-quantum-eu-countries-plan-ultra-secure-communication-network  

(10)

Rapport om effekterna av kommissionens rekommendation av den 26 mars 2019 om it-säkerhet i 5G-nät, SWD(2020) 357 final, 16 december 2020 (ej översatt till svenska).

(11)

Utarbetandet av systemet sker efter stöd från samarbetsgruppen för nät- och informationssäkerhet och i enlighet med artikel 48 i cybersäkerhetsakten. Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013. https://ec.europa.eu/digital-single-market/en/news/cybersecurity-5g-networks-commission-requests-eu-cybersecurity-agency-develop-certification

(12)

  https://ec.europa.eu/education/education-in-the-eu/digital-education-action-plan_sv  

(13)

[Den gemensamma cyberenheten skulle möjliggöra ett samordnat svar på och återhämtning från storskaliga cyberincidenter och cyberkriser och bidra till att mobilisera resurser för bistånd. Den skulle inbegripa experter från olika cybersäkerhetsgrupper för att skapa en gemensam situationsmedvetenhet och säkerställa nödvändig beredskap. Den skulle också samordna biståndsmekanismer på begäran av en eller flera medlemsstater.]

(14)

  https://www.europarl.europa.eu/news/it/press-room/20210430IPR03213/provisional-agreement-on-temporary-rules-to-detect-and-remove-online-child-abuse  

(15)

Strategin mot organiserad brottslighet 2021–2025, COM(2021) 170, 14.4.2021.

(16)

COM (2021) 70, 22.2.2021.

(17)

Rådets slutsatser om säkerhet och försvar av den 17 juni 2020 (8910/20)

(18)

  https://eeas.europa.eu/headquarters/headquarters-homepage/98588/cyberspace-strengthening-cooperation-promoting-security-and-stability_en  

(19)

 COM(2020) 760, 25.11.2020.

(20)

De berörda medlemsstaterna är Belgien, Estland, Luxemburg, Polen, Sverige, Tjeckien och Österrike.

(21)

  https://front.un-arm.org/wp-content/uploads/2021/03/Final-report-A-AC.290-2021-CRP.2.pdf  

(22)

  https://www.eucybernet.eu/

(23)

  https://www.unodc.org/unodc/en/cybercrime/cybercrime-adhoc-committee.html

(24)

https://rm.coe.int/0900001680a2aa42

(25)

Det andra tilläggsprotokollet till Budapestkonventionen om it-brottslighet innehåller åtgärder och skyddsåtgärder för att förbättra det internationella samarbetet mellan brottsbekämpande och rättsliga myndigheter samt mellan myndigheter och tjänsteleverantörer i andra länder, och för vilka kommissionen deltar i förhandlingarna på EU:s vägnar. Rådets beslut av juni 2019 (ref 9116/19)

(26)

Uttalande från toppmötet mellan EU och USA den 15 juni 2021. https://www.consilium.europa.eu/media/50443/eu-us-summit-joint-statement-15-june-final-final.pdf . Kommuniké från G7-toppmötet i Carbis Bay: Vår gemensamma agenda för globala insatser för en bättre återuppbyggnad, 13 juni 2021. https://www.consilium.europa.eu/media/50361/carbis-bay-g7-summit-communique.pdf  

(27)

  https://www.consilium.europa.eu/media/48625/2526-02-21-euco-statement-en.pdf  

(28)

  https://www.consilium.europa.eu/sv/press/press-releases/2021/03/22/cybersecurity-council-adopts-conclusions-on-the-eu-s-cybersecurity-strategy/  

(29)

(2021/2568(RSP))

(30)

  https://www.eesc.europa.eu/sv/our-work/opinions-information-reports/opinions/communication-cybersecurity-strategy  


Bryssel den 23.6.2021

JOIN(2021) 14 final

BILAGA

till

Gemensamt meddelande till Europaparlamentet och rådet

Rapport om genomförandet av EU:s strategi för cybersäkerhet för ett digitalt decennium


Framsteg i genomförandet av de strategiska initiativen

Referens

Initiativ

Kommissionen (KOM)/Den höga representanten (HR)

Ställning

(1)Resiliens, teknisk suveränitet och ledarskap

1.1

Antagande av det reviderade direktivet om nät- och informationssäkerhet

KOM

Parlamentets ståndpunkt förväntas bli klar i slutet av 2021. Lägesrapport om förhandlingarna framlagd av rådet i juni.

För att komplettera detta och ta itu med de sektorsspecifika reglerna på energiområdet håller en nätföreskrift om cybersäkerhet i enlighet med elförordningen (EU) 2019/943 på att utvecklas för att stärka energisektorns motståndskraft och skydd. När det gäller förordningen och direktivet om digital operativ motståndskraft (Dora) förväntas parlamentets ståndpunkt bli klar under andra halvåret 2021. Rådet förväntas nå enighet om en allmän riktlinje för förslaget i juni 2021.

1.2

Lagstiftningsåtgärder för ett säkert sakernas internet.

KOM

Pågående studier och samråd om övergripande regler pågår.

Framsteg mot en delegerad akt enligt direktivet om radioutrustning (direktiv 2014/53/EU) för eventuellt antagande under 2021. Reglerna för motorfordon för alla nya fordonstyper från och med juli 2022 ska tillämpas.

Kommissionen samarbetar med berörda parter om cybersäkerhetscertifieringens roll för produkter, processer och tjänster inom olika sektorer.    

1.3

Genomföra investeringar i cybersäkerhet (särskilt från programmet för ett digitalt Europa, Horisont Europa och faciliteten för återhämtning och resiliens), i synnerhet genom kompetenscentrumet för cybersäkerhet inom näringsliv, teknik och forskning och nätverket av kompetenscentrum om tillgängligt, för att nå upp till 4,5 miljarder euro i offentliga och privata investeringar under perioden 2021–2027.

KOM

Nya arbetsprogram för Horisont Europa och programmet för ett digitalt Europa kommer snart att antas, som ska förvaltas av det nya kompetenscentrumet för cybersäkerhet inom näringsliv, teknik och forskning och av nätverket av kompetenscentrum.

1.4

Ett EU-nätverk av AI-baserade säkerhetscentrum [den europeiska cyberskölden] och en ultrasäker kvantkommunikationsinfrastruktur [EuroQCI]

KOM

Medlemsstaterna har uppmanats att utveckla sin nationella operativa kapacitet genom centrum för säkerhetsoperationer. Flera medlemsstater har för avsikt att använda faciliteten för återhämtning och resiliens för att främja standardavtalsklausuler, och det pågår diskussioner med deltagande av kommissionen och andra EU-institutioner, organ och byråer samt medlemsstaterna om hur man kan koppla samman standardavtalsklausulerna och värdlandets data- och analyskapacitet. 1  

Medlemsstaterna fortsätter att arbeta vidare med EuroQCI tillsammans med kommissionen och Europeiska rymdorganisationen. EuroQCI-handlingsplanen väntar på medlemsstaternas godkännande. Inom det första programmet för ett digitalt Europa uppmanas till stöd för nationella nätverk för kvantkommunikationsinfrastruktur, och utvecklingen av viktig teknik som behövs för EuroQCI kommer snart att inledas.

I februari 2020 antog kommissionen en handlingsplan för synergier mellan civil industri, försvarsindustri och rymdindustri som identifierar ett nytt flaggskeppsprojekt för inrättandet av ett rymdbaserat globalt system för konnektivitet i EU. Flera medlemsstater har inkluderat initiativ för säker konnektivitet i sina planer inom ramen för faciliteten för återhämtning och resiliens.

Åtgärder inom fonden för ett sammanlänkat Europa – Digitalt kommer att stödja uppbyggnaden av gränsöverskridande länkar mellan nationella nät. Flera medlemsstater har inkluderat EuroQCI i sina planer inom ramen för faciliteten för återhämtning och resiliens.

1.5

Allmänt införande av cybersäkerhetsteknik genom särskilt stöd till små och medelstora företag inom ramen för de digitala innovationsknutpunkterna.

KOM

Kommissionen arbetar för att säkerställa att cybersäkerhetsinnehåll och sakkunskap tillhandahålls genom initiativet för europeiska digitala innovationsknutpunkter inom ramen för programmet för ett digitalt Europa och i samverkan med nationella samordningscentrum för cybersäkerhet. Intressenter inom cybersäkerhet, däribland Europeiska cybersäkerhetsorganisationen, håller på att ta fram en ”tjänstekatalog” för cybersäkerhetsinriktade innovationsknutpunkter.

1.6

Utveckling av en EU-tjänst för domännamnskonfiguration som ett säkert och öppet alternativ för EU:s medborgare, företag och offentliga förvaltningar för att få tillgång till internet [DNS4EU].

KOM

Finansiering för utvecklingen av DNS4EU har öronmärkts inom ramen för det digitala arbetsprogrammet för 2021–23 2 tillhörande fonden för ett sammanlänkat Europa – Digitalt, och en ansökningsomgång för projektet planeras under 2021.

Dessutom diskuterar kommissionen internetsäkerhet med internetaktörer och avser att inleda en studie för att fastställa en beredskapsplan, med stöd av EU-medel, för att hantera extrema scenarier som påverkar det globala DNS-rotsystemets integritet och tillgänglighet.

En studie om övervakning av utvecklingen och införandet av centrala internetstandarder till stöd för EU:s politik och för att påskynda införandet av centrala internetstandarder såsom internetprotokoll v6 (IPv6) och väletablerad internetsäkerhet, standarder och god praxis för DNS, dirigering och e-postsäkerhet håller på att utarbetas (planerad start hösten 2021).

Finansiering inom ramen för programmet för ett digitalt Europa planeras för att inrätta ett internetobservatorium inom ramen för verksamheten vid Europeiska kompetenscentrumet för cybersäkerhet inom näringsliv, teknik och forskning.

1.7

Slutförande av genomförandet av verktygslådan för 5G-cybersäkerhet

KOM

Medlemsstaterna har med stöd av kommissionen och Enisa gjort ytterligare framsteg med att genomföra 5G-verktygslådan, särskilt restriktionerna för högriskleverantörer. Andra åtgärder på EU-nivå omfattar utarbetandet av ett EU-förslag till certifieringssystem för 5G-nät och inledande från samarbetsgruppens för nät- och informationssäkerhet sida av en analys av säkerhetskonsekvenserna av Open RAN.

(2)Operativ kapacitet för att förebygga, motverka och bemöta

2.1

Fullborda den europeiska ramen för hantering av cyberkriser och fastställa processen, milstolparna och tidsplanen för inrättandet av den gemensamma cyberenheten.

KOM med HR

Den 23 juni 2021 antog kommissionen en rekommendation om att bygga upp den gemensamma cyberenheten, där man tar upp milstolpar, process och tidsplan och beaktar diskussionerna med medlemsstaterna.

2.2

Fortsätta genomförandet av agendan mot cyberbrottslighet inom ramen för strategin för säkerhetsunionen

KOM

Medlemsstater kartlägger med stöd från kommissionen bästa praxis för att registrera, framställa och offentliggöra statistiska uppgifter om rapporter, åtal och fällande domar för cyberangrepp som definieras i direktiv 2013/40/EU om angrepp på informationssystem.

Kommissionen övervakar utvecklingen till följd av de pågående överträdelseförfarandena avseende sju medlemsstaters otillräckliga införlivande av direktiv 2013/40/EU. Ytterligare förfaranden kan komma att inledas senare under 2021.

Kommissionen inledde en undersökning om identitetsstöld där resultat förväntas i december 2021.

Uppgiftsinsamlingen om brottsstatistik kommer att utökas under 2021 i enlighet med artikel 14 i direktiv 2013/40/EU.

2.3

Uppmuntra och underlätta inrättandet av medlemsstaternas arbetsgrupp för cyberunderrättelser som verkar från EU:s underrättelse- och lägescentral (Intcen).

HR

Den höga representanten fortsätter att uppmuntra och underlätta inrättandet av medlemsstaternas arbetsgrupp för cyberunderrättelser för att stärka Intcens särskilda kapacitet på detta område, på grundval av frivilliga underrättelsebidrag från medlemsstaterna och utan att det påverkar deras befogenheter. Ytterligare diskussioner planeras mellan utrikestjänsten och medlemsstaterna.

2.4

Främja EU:s cyberavskräckningspolitik för att förebygga, avskräcka, och reagera på skadlig cyberverksamhet

HR med KOM

Utrikestjänsten ser över riktlinjerna för genomförandet av ramen för en gemensam diplomatisk respons från EU mot skadlig internetverksamhet för att bidra till utvecklingen av verktygslådan för cyberdiplomati 3 . Ett förslag om cyberavskräckningspolitik som den höga representanten ska lägga fram inför rådet i början av 2022 håller på att utarbetas, med deltagande av kommissionen i linje med dess befogenheter.

Den 16 april 2021 utfärdades ett uttalande på Europeiska unionens vägnar som uttryckte solidaritet med Förenta staterna med tanke på konsekvenserna av skadlig cyberverksamhet, särskilt cyberattacken mot SolarWinds 4 .

För att ytterligare främja det internationella samarbetet stod utrikestjänsten tillsammans med rådets ordförandeskap och Europeiska unionens institut för säkerhetsstudier värd för en diskussion den 17 maj 2021 för att förbättra den ömsesidiga förståelsen av de respektive diplomatiska strategierna för att förebygga, avskräcka, motverka och reagera på skadlig cyberverksamhet.

2.5

Översyn av ramen för EU:s politik för it-försvar

HR med KOM

Översynen av ramen för EU:s politik för it-försvar inleddes i maj 2021 i samarbete med medlemsstaterna och berörda parter.

2.6

Underlätta utvecklingen av EU:s militära vision och strategi för cyberrymden som ett operativt område för militära GSFP-uppdrag och GSFP-insatser

HR

Den militära visionen och strategin för cyberrymden som ett operativt område ska ligga till grund för nationella strategier och därmed stödja harmoniseringen av EU:s insatser på cyberförsvarsområdet. Det andra seminariet om konceptuell utformning av EU:s cyberförsvar hölls den 28–29 april 2021 i syfte att lägga fram resultaten inför EU:s militära kommitté i juni 2021

2.7

Stöd för synergieffekter mellan civil-, försvars- och rymdindustrierna

KOM

En handlingsplan för att stödja synergieffekter mellan sektorerna antogs i februari 2021.

2.8

Stärka cybersäkerheten för kritisk rymdinfrastruktur inom rymdprogrammet.

KOM

Ett arbetsprogram håller på att utarbetas.

(3)Främja en global och öppen cyberrymd

3.1

Fastställa en uppsättning mål i internationella standardiseringsprocesser och främja dessa på internationell nivå

KOM

Arbetet med dessa mål pågår.

3.2

Främja internationell säkerhet och stabilitet i cyberrymden, särskilt genom förslaget från EU och dess medlemsstater om ett handlingsprogram för staters ansvarsfulla agerande i cyberrymden i FN

HR

EU fortsätter arbetet med att fastställa handlingsprogrammet på grundval av konsensusrapporten av den 12 mars 2021 från FN:s öppna arbetsgrupp för utveckling på området för information och telekommunikation inom ramen för internationell säkerhet.

3.3

Ge praktisk vägledning om tillämpningen av mänskliga rättigheter och grundläggande friheter i cyberrymden

HR med KOM

Med utgångspunkt i handlingsplanen för mänskliga rättigheter och demokrati (2020–2024) och dess riktlinjer för mänskliga rättigheter om yttrandefrihet online och offline kommer EU att fortsätta att främja ytterligare efterlevnad av internationell människorättslagstiftning och internationella människorättsnormer. Samordningsmöten med berörda parter planeras under andra halvåret 2021.

3.4

Bättre skydda barn mot sexuella övergrepp och sexuell exploatering, samt en strategi för barnets rättigheter

KOM

Europaparlamentet och rådet nådde i maj 2021 en överenskommelse om en tillfällig förordning för att säkerställa att leverantörer av kommunikationstjänster online kan fortsätta med sin frivilliga praxis för att upptäcka och rapportera sexuella övergrepp mot barn online och ta bort material med sexuella övergrepp mot barn. Kommissionen håller på att utarbeta ett förslag till en permanent ram.

3.5

Stärka och främja Budapestkonventionen om it-brottslighet, bland annat genom arbetet med det andra tilläggsprotokollet till Budapestkonventionen.

KOM med HR

Kommissionen deltar i förhandlingarna om det andra tilläggsprotokollet på EU:s vägnar, och protokollet kan eventuellt öppnas för undertecknande i början av 2022.

3.6

Utvidga EU:s cyberdialog med tredjeländer samt regionala och internationella organisationer, bland annat genom ett informellt EU-nätverk för cyberdiplomati

HR med KOM

EU överväger hur man kan stärka och utvidga den nuvarande uppsättningen cyberdialoger. För närvarande förs cyberdialoger med Brasilien, Kina, Indien, Japan, Sydkorea och USA. En första cyberdialog mellan EU och Ukraina ägde rum den 3 juni 2021. I handels- och samarbetsavtalet med Förenade kungariket föreskrivs dessutom att man ska sträva efter att inrätta en cyberdialog mellan EU och Förenade kungariket.

I EU:s delegationer och vid relevanta medlemsstaters ambassader runt om i världen pågår förberedelser för att bilda ett informellt EU-nätverk för cyberdiplomati för att främja EU:s vision om cyberrymden, utbyta information och säkra regelbunden samordning när det gäller utvecklingen i cyberrymden. Nätverket för cyberdiplomati förväntas inleda sitt arbete under andra halvåret 2021.

3.7

Stärka utbytet med flera olika aktörer, särskilt genom regelbundna och strukturerade utbyten med den privata sektorn, den akademiska världen och det civila samhället

KOM med HR

Regelbundna och strukturerade utbyten med aktörer, inbegripet den privata sektorn, den akademiska världen och det civila samhället, bör stärkas, även inom ramen för diskussionerna om dialogernas infrastruktur vad gäller cyberfrågor (se punkt 3.6 ovan).

3.8

Föreslå en EU-agenda för extern kapacitetsuppbyggnad på cyberområdet och en EU-nämnd för kapacitetsuppbyggnad på cyberområdet.

KOM med HR

Diskussioner pågår om att inrätta en EU-nämnd för kapacitetsuppbyggnad på cyberområdet. Ett inledande möte ägde rum i april 2021. När den väl har inrättats kommer nämnden att utveckla agendan.

Cybersäkerhet i EU:s institutioner, organ och byråer

A.1

En förordning om informationssäkerhetsregler som är gemensamma för alla EU:s institutioner, organ och byråer

KOM

Kommissionen samråder med andra institutioner, organ och byråer och medlemsstaternas nationella säkerhetsexperter inför antagandet av ett förslag under fjärde kvartalet 2021.

A.2

Förordningen om gemensamma regler för cybersäkerhet för EU:s institutioner, organ och byråer

KOM

Kommissionen håller tillsammans med andra institutioner, organ och byråer på att göra en benchmarking av cybersäkerhetspolitiken och bedöma hotbilden i syfte att anta ett förslag under fjärde kvartalet 2021.

A.3

Ny rättslig grund för CERT-EU för att stärka dess stabilitet och finansiering

KOM

Kommissionen, tillsammans med andra institutioner, organ och byråer, anser att de nya gemensamma cybersäkerhetsreglerna är den rättsliga grunden för att stärka CERT-EU för att hantera det ökande antalet betydande incidenter, som sannolikt kommer att föreslås som en del av A.2 ovan.

(1)

Diskussioner förs med CSIRT-nätverket, Europeiska kontaktnätverket för cyberkriser (EU-CyCLONe) och samarbetsgruppen för nät- och informationssäkerhet.

(2)

Europaparlamentet och rådet nådde den 12 mars 2021 en överenskommelse om den föreslagna fonden för ett sammanlänkat Europa.

(3)

Rådsbeslut (Gusp) 2020/1127, 2020/1537 och 2020/651 som ingår i 9916/17.

(4)

  https://www.consilium.europa.eu/sv/press/press-releases/2021/04/15/declaration-by-the-high-representative-on-behalf-of-the-european-union-expressing-solidarity-with-the-united-states-on-the-impact-of-the-solarwinds-cyber-operation/