Cybersäkerhet i nätverks- och informationssystem

 

SAMMANFATTNING AV FÖLJANDE DOKUMENT:

Direktiv (EU) 2016/1148 – cybersäkerhet i nätverks- och informationssystem

VILKET SYFTE HAR DIREKTIVET?

I direktivet föreslås en omfattande uppsättning åtgärder för att höja nivån på säkerheten i nätverks- och informationssystem (cybersäkerhet*) för att säkra de tjänster som är grundläggande för EU:s ekonomi och samhälle. Det syftar till att säkerställa att EU-länderna är väl förberedda och redo att hantera och vidta åtgärder mot cyberangrepp genom att

I direktivet fastställs också samarbete på EU-nivå både strategiskt och tekniskt.

Slutligen införs skyldighet för leverantörer av samhällsviktiga tjänster och digitala tjänster att vidta lämpliga säkerhetsåtgärder och meddela relevanta nationella myndigheter om allvarliga incidenter.

VIKTIGA PUNKTER

Förbättra den nationella kapaciteten för cybersäkerhet

EU-länderna måste

EU-länderna måste också inrätta en nationell cybersäkerhetsstrategi för nätverks- och informationssystem*, där följande punkter omfattas:

De nationella behöriga myndigheterna övervakar tillämpningen av direktivet genom att

CSIRT-enheterna är ansvariga för att

Säkerhets- och rapporteringskrav

Direktivet syftar till att främja en kultur av riskhantering. Företag som arbetar i nyckelsektorer måste bedöma vilka risker de tar och anta åtgärder för att trygga cybersäkerheten. Dessa företag måste till de behöriga myndigheterna eller CSIRT-enheterna rapportera varje relevant incident, såsom hackning eller stöld av uppgifter, som allvarligt äventyrar cybersäkerheten och har avsevärd störande inverkan på kontinuiteten i kritiska tjänster och tillhandahållandet av varor.

För att avgöra vilka incidenter som ska rapporteras av leverantörer av samhällsviktiga tjänster*, ska EU-länderna ta hänsyn till hur länge en incident varade och dess geografiska utbredning, och även andra faktorer, som antalet användare som är beroende av tjänsten i fråga.

Viktiga leverantörer av digitala tjänster (sökmotorer, molntjänster och internetbaserade marknadsplatser) måste också följa säkerhets- och rapporteringskraven.

Förbättra samarbetet på EU-nivå

Genom direktivet upprättas samarbetsgruppen vars uppgifter innefattar att

I direktivet upprättas också CSIRT-nätverket som utgörs av representanter från EU-ländernas CSIRT-enheter och incidenthanteringsorganisation (Computer Emergency Response Team (CERT-EU)). Det har följande uppgifter:

Sanktioner

EU-länderna måste tillämpa ändamålsenliga, proportionerliga och avskräckande sanktioner för att säkerställa att bestämmelserna i detta direktiv tillämpas.

VILKEN PERIOD GÄLLER DIREKTIVET FÖR?

Det gäller från och med den 8 augusti 2016. EU-länderna måste införliva det i sin nationella lagstiftning senast den 9 maj 2018, och identifiera leverantörer av samhällsviktiga tjänster senast den 9 november 2018.

BAKGRUND

VIKTIGA BEGREPP

Cybersäkerhet: nätverks- och informationssystems förmåga att motstå åtgärder som äventyrar tillgängligheten, riktigheten, integriteten eller konfidentialiteten för digitala uppgifter eller de tjänster som dessa system tillhandahåller.
Nätverks- och informationssystem: ett elektroniskt kommunikationsnätverk eller varje enhet eller grupp av sammankopplade enheter som behandlar digitala uppgifter, samt de digitala uppgifter som lagras, behandlas, hämtas eller överförs.
Samhällsviktiga tjänster: privata företag eller offentliga organ som har en viktig roll i samhället och ekonomin, t.ex. vattenförsörjning, elektricitetstjänster osv.

HUVUDDOKUMENT

Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen (EUT L 194, 19.7.2016, s. 1).

ANKNYTANDE DOKUMENT

Kommissionens genomförandeförordning (EU) 2018/151 av den 30 januari 2018 om tillämpningsföreskrifter för Europaparlamentets och rådets direktiv (EU) 2016/1148 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen vad gäller närmare specificering av de aspekter som ska beaktas av leverantörer av digitala tjänster när de hanterar risker som hotar säkerheten i deras nät- och informationssystem samt parametrarna för fastställande av om en incident har avsevärd inverkan (EUT L 26, 31.1.2018, s. 48).

Kommissionens genomförandebeslut (EU) 2017/179 av den 1 februari 2017 om fastställande av de förfaranden som krävs för samarbetsgruppens verksamhet enligt artikel 11.5 i Europaparlamentets och rådets direktiv (EU) 2016/1148 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen (EUT L 28, 2.2.2017, s. 73).

Meddelande från kommissionen till Europaparlamentet och rådet Maximalt utnyttjande av it-säkerhetsdirektivet – mot ett effektivt genomförande av direktiv (EU) 2016/1148 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen (COM(2017) 476 final 2, 4.10.2017).

Kommissionens rekommendation (EU) 2017/1584 av den 13 september 2017 om samordnade insatser vid storskaliga cyberincidenter och cyberkriser (EUT L 239, 19.9.2017, s. 36).

Gemensamt meddelande till Europaparlamentet och rådet Resiliens, avskräckning och försvar: ett starkt cyberförsvar för EU (JOIN(2017) 450 final, 13.9.2017).

Arbetsdokument från kommissionens avdelningar – Assessment of the EU 2013 cybersecurity strategy (SWD(2017) 295 final, 13.9.2017) (ej översatt till svenska).

Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (EUT L 257, 28.8.2014, s. 73).

Rådets beslut 2013/488/EU av den 23 september 2013 om säkerhetsbestämmelser för skydd av säkerhetsskyddsklassificerade EU-uppgifter (EUT L 274, 15.10.2013, s. 1).

Fortlöpande ändringar av beslut 2013/488/EU har införlivats i originaltexten. Denna konsoliderade version har enbart dokumentationsvärde.

Europaparlamentets och rådets direktiv 2013/40/EU av den 12 augusti 2013 om angrepp mot informationssystem och om ersättande av rådets rambeslut 2005/222/RIF (EUT L 218, 14.8.2013, s. 8).

Europaparlamentets och rådets förordning (EU) nr 526/2013 av den 21 maj 2013 om Europeiska unionens byrå för nät- och informationssäkerhet (Enisa) och om upphävande av förordning (EG) nr 460/2004 (EUT L 165, 18.6.2013, s. 41).

Gemensamt meddelande till Europaparlamentet, rådet, Europeiska ekonomiska och sociala kommittén samt Regionkommittén EU:s strategi för cybersäkerhet: En öppen, säker och trygg cyberrymd (JOIN(2013) 1 final, 7.2.2013).

Senast ändrat 01.03.2018