11.5.2021   

SV

Europeiska unionens officiella tidning

C 183/3

Sammanfattning av Europeiska datatillsynsmannens yttrande om strategin för cybersäkerhet och NIS 2.0-direktivet

(Den fullständiga texten till detta yttrande finns på engelska, franska och tyska på Europeiska datatillsynsmannens webbplats www.edps.europa.eu)

(2021/C 183/03)

Den 16 december 2020 antog Europeiska kommissionen ett förslag till Europaparlamentets och rådets direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, och om upphävande av direktiv (EU) 2016/1148 (förslaget). Samtidigt utfärdade Europeiska kommissionen och unionens höga representant för utrikes frågor och säkerhetspolitik ett gemensamt meddelande till Europaparlamentet och rådet med titeln ”EU:s strategi för cybersäkerhet för ett digitalt decennium” (strategin).

Europeiska datatillsynsmannen (EDPS) ger sitt fulla stöd till strategins övergripande mål att säkerställa ett globalt och öppet internet med starka skyddsåtgärder mot riskerna för säkerheten och de grundläggande rättigheterna genom att erkänna det strategiska värdet av internet och dess styrning och genom att förstärka unionens åtgärder i det avseendet i en flerpartsmodell.

Likaså välkomnar Europeiska datatillsynsmannen förslagets syfte att införa systematiska och strukturella ändringar av det gällande NIS-direktivet så att det omfattar en bredare uppsättning av enheter i hela unionen i kombination med starkare säkerhetsåtgärder, däribland obligatorisk riskhantering, minimistandarder och relevanta bestämmelser om övervakning och verkställighet. I detta hänseende anser Europeiska datatillsynsmannen att det är nödvändigt att integrera unionens institutioner, organ och byråer fullt ut i den EU-omfattande ramen för cybersäkerhet för att uppnå en enhetlig skyddsnivå genom att uttryckligen inbegripa unionens institutioner, organ och byråer i förslagets tillämpningsområde.

Vidare betonar Europeiska datatillsynsmannen vikten av att integrera integritets- och dataskyddsperspektivet i de åtgärder för cybersäkerhet som anges i förslaget eller i andra av strategins initiativ för cybersäkerhet för att säkerställa en helhetssyn och möjliggöra synergier i hanteringen av cybersäkerheten och skyddet av de personuppgifter som behandlas. Det är lika viktigt att varje eventuell begränsning av rätten till skydd av personuppgifter och integritet som följer av sådana åtgärder uppfyller de kriterier som fastställs i artikel 52 i EU-stadgan om de grundläggande rättigheterna, i synnerhet att de uppnås genom en lagstiftningsåtgärd och att de både är nödvändiga och proportionerliga.

Europeiska datatillsynsmannen förväntar sig att förslaget inte syftar till att påverka tillämpningen av den befintliga EU-lagstiftning som styr behandlingen av personuppgifter, däribland arbetsuppgifterna och befogenheterna för den oberoende tillsynsmyndighet som är behörig att övervaka efterlevnaden av dessa instrument. Detta innebär att alla system och tjänster för cybersäkerhet som används vid förebyggande, upptäckt och bekämpning av cyberhot bör vara förenliga med den nuvarande ramen för integritets- och dataskydd. I detta avseende anser Europeiska datatillsynsmannen att det är viktigt och nödvändigt att fastställa en tydlig och otvetydig definition av begreppet cybersäkerhet för tillämpningen av förslaget.

Europeiska datatillsynsmannen utfärdar särskilda rekommendationer för att säkerställa att förslaget på ett korrekt och effektivt sätt kompletterar den befintliga unionslagstiftningen om skydd av personuppgifter, i synnerhet den allmänna dataskyddsförordningen och direktivet om integritet och elektronisk kommunikation, däribland genom att involvera Europeiska datatillsynsmannen och Europeiska dataskyddsstyrelsen vid behov och genom att fastställa tydliga mekanismer för samarbetet mellan de behöriga myndigheterna i de olika regleringsområdena.

Dessutom bör bestämmelserna om förvaltningen av registreringsenheterna för toppdomäner på internet omfatta en tydlig definition av relevant tillämpningsområde och relevanta villkor i lagstiftningen. Likaså måste konceptet med CSIRT-enheternas proaktiva skanning av nätverk och informationssystem förtydligas ytterligare med avseende på tillämpningsområdet och de typer av personuppgifter som behandlas. Vidare betonas risken för att dataöverföringar som inte uppfyller kraven kan förekomma i samband med utkontraktering av tjänster för cybersäkerhet eller förvärv av produkter för cybersäkerhet och deras leveranskedja.

Europeiska datatillsynsmannen välkomnar uppmaningen att främja användningen av kryptering, i synnerhet totalsträckskryptering, och upprepar sin ståndpunkt att kryptering är en kritisk och oersättlig teknik för effektivt integritets- och dataskydd. Om den kringgås kommer mekanismen att förlora all skyddskapacitet på grund av den möjliga olagliga användningen och förlusten av förtroende för säkerhetskontrollerna. För detta ändamål bör det klargöras att inget i förslaget ska tolkas som ett godkännande av en försvagad totalsträckskryptering genom ”bakdörrar” eller liknande lösningar.

1.   Inledning och bakgrund

1.

 Den 16 december 2020 antog Europeiska kommissionen ett förslag till Europaparlamentets och rådets direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, och om upphävande av direktiv (EU) 2016/1148 (1) (förslaget).

2.

 Samma datum utfärdade Europeiska kommissionen och unionens höga representant för utrikes frågor och säkerhetspolitik ett gemensamt meddelande till Europaparlamentet och rådet med titeln ”EU:s strategi för cybersäkerhet för ett digitalt decennium” (strategin). (2)

3.

 Syftet med strategin är att stärka unionens strategiska oberoende på cybersäkerhetsområdet och att förbättra dess resiliens och gemensamma insatser, såväl som att bygga upp ett globalt och öppet internet försett med kraftiga skyddsräcken för att hantera riskerna för EU-invånarnas säkerhet och grundläggande fri- och rättigheter. (3)

4.

 Strategin innehåller förslag på reglerings-, investerings- och policyinitiativ inom tre områden för EU-insatser: 1) resiliens, teknisk suveränitet och ledarskap, 2) operativ kapacitet för att förebygga, motverka och bemöta, och 3) främjande av en global och öppen cyberrymd.

5.

 Förslaget utgör ett av strategins regleringsinitiativ, i synnerhet inom området för resiliens, teknisk suveränitet och ledarskap.

6.

 Enligt motiveringen är syftet med förslaget att modernisera den befintliga rättsliga ramen, dvs. Europaparlamentets och rådets direktiv (EU) 2016/1148 (NIS-direktivet(4). Förslaget syftar till att bygga vidare på och upphäva det gällande NIS-direktivet, vilket var den första EU-omfattande rättsakten om cybersäkerhet, och att införa rättsliga åtgärder för att höja den övergripande nivån av cybersäkerhet i unionen. Förslaget har utfärdats med beaktande av de senaste årens ökade digitalisering av den inre marknaden och den snabbt föränderliga hotbilden mot cybersäkerheten, vilken har förstärkts sedan covid-19-krisen bröt ut. Syftet med förslaget är att hantera flera identifierade brister i NIS-direktivet och att höja nivån av cyberresiliens i alla sektorer, både offentliga och privata, som har en viktig funktion för ekonomin och samhället.

7.

 Huvudinslagen i förslaget är följande:

(i)

En utökning av det gällande NIS-direktivets tillämpningsområde genom att lägga till nya sektorer baserat på hur kritiska de är för ekonomin och samhället.

(ii)

Högre säkerhetskrav för de företag och enheter som omfattas genom att införa en metod för riskhantering med en förteckning över grundläggande säkerhetsaspekter som måste tillämpas.

(iii)

Hantering av säkerheten inom leveranskedjor och leverantörsrelationer genom att kräva att enskilda företag bemöter riskerna för cybersäkerheten i leveranskedjor och leverantörsrelationer.

(iv)

Förstärkning av samarbetet mellan medlemsstaternas myndigheter och unionens institutioner, organ och byråer i samband med verksamhet som rör cybersäkerhet, däribland hantering av cyberkriser.

8.

 Den 14 januari 2021 tog Europeiska datatillsynsmannen emot en begäran från Europeiska kommissionen om ett formellt samråd angående förslaget till Europaparlamentets och rådets direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, och om upphävande av direktiv (EU) 2016/1148.

3.   Slutsatser

77.

 Mot bakgrund av det ovan anförda rekommenderar Europeiska datatillsynsmannen följande:

Angående strategin för cybersäkerhet

Att ta hänsyn till att det första steget mot att minska de risker för dataskydd och integritet som följer av nya tekniker för att förbättra cybersäkerheten, däribland AI, är att tillämpa de krav på inbyggt dataskydd och dataskydd som standard som fastställs i artikel 25 i den allmänna dataskyddsförordningen, vilket kommer att bidra till integreringen av lämpliga skyddsåtgärder som pseudonymisering, kryptering, datanoggrannhet och uppgiftsminimering i utformningen och användningen av dessa tekniker och system.

Att ta hänsyn till vikten av att integrera integritets- och dataskyddsperspektivet i de riktlinjer och standarder som rör cybersäkerhet, såväl som i den traditionella hanteringen av cybersäkerhet, för att säkerställa en helhetssyn och möjliggöra synergier så att offentliga och privata organisationer kan hantera cybersäkerheten och skydda de uppgifter de behandlar utan onödigt dubbelarbete.

Att överväga och planera resurser som kan användas av EU:s institutioner, organ och byråer för att förstärka deras kapacitet när det gäller cybersäkerhet på ett sätt som fullt ut respekterar EU:s värderingar.

Att ta hänsyn till integritet och dataskydd i cybersäkerhetsfrågor genom att investera i riktlinjer, förfaranden och verktyg där integritets- och dataskyddsperspektivet är integrerat i den traditionella hanteringen av cybersäkerhet och där effektiva dataskyddsåtgärder används vid behandling av personuppgifter i verksamhet som rör cybersäkerhet.

Angående strategins och förslagets tillämpningsområde för unionens institutioner, organ och byråer

Att ta hänsyn till behoven och rollerna för EU:s institutioner, organ och byråer så att de kan integreras i denna övergripande EU-omfattande ram för cybersäkerhet som enheter med samma höga nivå av skydd som deras motsvarigheter i medlemsstaterna.

Att uttryckligen inbegripa unionens institutioner, organ och byråer i förslagets tillämpningsområde.

Angående förhållandet till befintlig unionslagstiftning om skydd av personuppgifter

Att i artikel 2 i förslaget förtydliga att unionens lagstiftning om skydd av personuppgifter, i synnerhet den allmänna dataskyddsförordningen och direktivet om integritet och elektronisk kommunikation, är tillämplig på all behandling av personuppgifter som omfattas av förslagets tillämpningsområde (och inte bara i särskilda sammanhang).

Att även klargöra i ett relevant skäl att förslaget inte syftar till att påverka tillämpningen av den befintliga EU-lagstiftning som styr behandlingen av personuppgifter, däribland arbetsuppgifterna och befogenheterna för den oberoende tillsynsmyndighet som är behörig att övervaka efterlevnaden av dessa instrument.

Angående definitionen av cybersäkerhet

Att klargöra skillnaderna i användningen av begreppen cybersäkerhet och säkerhet i nätverks- och informationssystem för att säkerställa att begreppet cybersäkerhet används som allmän regel och att begreppet säkerhet i nätverks- och informationssystem endast används när sammanhanget tillåter det (t.ex. ett rent tekniskt sammanhang, utan hänsyn till hur systemens användare eller andra personer påverkas).

Angående domännamn och registreringsuppgifter (”WHOIS-data”)

Att klart och tydligt ange vad som är relevant information i samband med identifiering och uppsökande av domännamnens innehavare och de kontaktpunkter som administrerar domännamnen under toppdomänerna.

Att mer ingående klargöra vilka kategorier av registreringsuppgifter för datadomäner (som inte utgör personuppgifter) som bör offentliggöras.

Att ytterligare klargöra vilka (offentliga eller privata) enheter som kan utgöra legitima åtkomstsökande.

Att klargöra huruvida de personuppgifter som innehas av registreringsenheterna för toppdomäner och de enheter som tillhandahåller domännamnsregistreringstjänster för toppdomäner även bör vara åtkomliga för enheter utanför EES och, om så är fallet, att fastställa tydliga villkor, begränsningar och förfaranden för sådan åtkomst med beaktande av kraven i artikel 49.2 i den allmänna dataskyddsförordningen i tillämpliga fall.

Att ytterligare förtydliga vad som utgör en laglig och vederbörligen motiverad begäran på grundval av vilken åtkomst som ska beviljas och under vilka villkor.

Angående CSIRT-enheternas proaktiva skanning av nätverk och informationssystem

Att tydligt beskriva vilka typer av proaktiv skanning som CSIRT-enheterna kan uppmanas att genomföra och att identifiera de viktigaste kategorier av personuppgifter som omfattas av texten i förslaget.

Angående utkontraktering och leveranskedjor

Att ta hänsyn till de funktioner som möjliggör ett effektivt genomförande av principen om inbyggt dataskydd och dataskydd som standard vid bedömningen av leveranskedjor för tekniker och system som används för att behandla personuppgifter.

Att ta hänsyn till särskilda krav i ursprungslandet som kan utgöra ett hinder för efterlevnaden av EU:s integritets- och dataskyddslagstiftning vid bedömningen av riskerna i leveranskedjan när det gäller IKT-baserade tjänster, system eller produkter.

Att i den rättsliga texten lägga till det obligatoriska samrådet med Europeiska dataskyddsstyrelsen vid fastställandet av ovannämnda funktioner och, vid behov, i den samordnade sektorsvisa riskbedömning som avses i skäl 46.

Att rekommendera att det omnämns i ett skäl att cybersäkerhetsprodukter med öppen källkod (programvara och maskinvara), inbegripet kryptering med öppen källkod, kan erbjuda den nödvändiga öppenheten för att minska specifika risker i leveranskedjan.

Angående kryptering

Att klargöra i skäl 54 att inget i förslaget ska tolkas som ett godkännande av en försvagad totalsträckskryptering genom ”bakdörrar” eller liknande lösningar.

Angående åtgärder för riskhantering avseende cybersäkerhet

Att både i förslagets skäl och huvudtext lägga till att en integrering av integritets- och dataskyddsperspektivet i den traditionella riskhanteringen av cybersäkerheten kommer att säkerställa en helhetssyn och möjliggöra synergier så att offentliga och privata organisationer kan hantera cybersäkerheten och skydda de uppgifter de behandlar utan onödigt dubbelarbete.

Att lägga till i den rättsliga texten att Enisa är skyldig att rådgöra med Europeiska dataskyddsstyrelsen när relevanta råd utarbetas.

Angående personuppgiftsincidenter

Att ändra texten ”inom en rimlig tidsperiod” i artikel 32.1 till ”utan onödigt dröjsmål”.

Angående samarbetsgruppen

Att lägga till i den rättsliga texten att Europeiska dataskyddsstyrelsen ska delta i samarbetsgruppen, med tanke på kopplingen mellan gruppens arbetsuppgifter och ramen för dataskydd.

Angående jurisdiktion och territorialitet

Att förtydliga i den rättsliga texten att förslaget inte påverkar behörigheten för tillsynsmyndigheterna för dataskydd enligt den allmänna dataskyddsförordningen.

Att fastställa en övergripande rättslig grund för samarbetet och informationsutbytet mellan de behöriga myndigheterna och tillsynsmyndigheterna, inom ramen för deras respektive behörighetsområden.

Att klargöra att behöriga myndigheter enligt förslaget, på begäran eller på eget initiativ, ska kunna ge de behöriga tillsynsmyndigheterna enligt förordning (EU) 2016/679 all information om behandling av personuppgifter som erhållits i samband med revisioner och undersökningar, och att fastställa en uttalad rättslig grund för detta syfte.

Bryssel den 11 mars 2021.

Wojciech Rafał WIEWIÓROWSKI

(1)  Förslag till Europaparlamentets och rådets direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, och om upphävande av direktiv (EU) 2016/1148, COM (2020) 823 final.

(2)  EU:s strategi för cybersäkerhet för ett digitalt decennium, JOIN (2020) 18 final.

(3)  Se kapitel I. INLEDNING, sida 4 i strategin.

(4)  Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen (EUT L 194, 19.7.2016, s. 1).