European flag

officiella tidning
Europeiska unionens

SV

Serien C


C/2024/1049

9.2.2024

Yttrande från Europeiska regionkommittén – EU:s cybersolidaritetsakt och digitala resiliens

(C/2024/1049)

Föredragande:

Pehr GRANFALK (SE–EPP), ledamot, kommunfullmäktige, Solna

Referensdokument:

Förslag till Europaparlamentets och rådets förordning om åtgärder för att stärka solidariteten och kapaciteten i unionen att upptäcka, förbereda sig inför och hantera cyberhot och cybersäkerhetsincidenter

COM(2023) 209 final

I.   ÄNDRINGSREKOMMENDATIONER

COM(2023) 209

Ändringsrekommendation 1

Skäl 1

Kommissionens textförslag

ReK:s ändringsförslag

Användningen och beroendet av informations- och kommunikationsteknik har blivit grundläggande för alla sektorer av ekonomin i en tid när våra offentliga förvaltningar, företag och medborgare är mer sammanlänkade och ömsesidigt beroende än någonsin tidigare, över både sektors- och nationsgränser.

Användningen och beroendet av informations- och kommunikationsteknik har blivit grundläggande för – men har också blottlagt sårbarheter i – alla sektorer av ekonomin i en tid när våra offentliga förvaltningar, företag och medborgare är mer sammanlänkade och ömsesidigt beroende än någonsin tidigare, över både sektors- och nationsgränser.

Motivering

Självförklarande.

Ändringsrekommendation 2

Skäl 3

Kommissionens textförslag

ReK:s ändringsförslag

Det är nödvändigt att stärka den unionsbaserade industrins och tjänstesektorns konkurrensställning i hela den digitaliserade ekonomin och stödja deras digitala omställning genom att stärka cybersäkerhetsnivån på den digitala inre marknaden. Som rekommenderades i tre olika förslag från konferensen om Europas framtid är det nödvändigt att öka resiliensen hos enskilda, företag och entiteter som driver kritisk infrastruktur mot de ökande cyberhoten, som kan få förödande samhälleliga och ekonomiska konsekvenser. […]

Det är nödvändigt att stärka den unionsbaserade industrins och tjänstesektorns konkurrensställning i hela den digitaliserade ekonomin och stödja deras digitala omställning genom att stärka cybersäkerhetsnivån på den digitala inre marknaden. Som rekommenderades i tre olika förslag från konferensen om Europas framtid är det nödvändigt att öka resiliensen hos enskilda, företag , offentlig förvaltning på nationell, regional och lokal nivå samt entiteter som driver kritisk infrastruktur mot de ökande cyberhoten, som kan få förödande samhälleliga och ekonomiska konsekvenser. […]

Motivering

Lokal och regional förvaltning rymmer både medborgarnära och samhällskritiska tjänster och är en av de viktigaste delarna för en livskraftig europeisk marknad.

Ändringsrekommendation 3

Skäl 29

Kommissionens textförslag

ReK:s ändringsförslag

För att främja en konsekvent strategi och stärka säkerheten i hela unionen och dess inre marknad bör stöd som en del av beredskapsåtgärderna ges till samordnad testning och bedömning av cybersäkerheten hos entiteter som är verksamma i högkritiska sektorer som identifierats i enlighet med direktiv (EU) 2022/2555. I detta syfte bör kommissionen, med stöd av Enisa och i samarbete med samarbetsgruppen för nät- och informationssäkerhet som inrättats genom direktiv (EU) 2022/2555, regelbundet identifiera relevanta sektorer eller delsektorer som bör vara berättigade till ekonomiskt stöd för samordnad testning på unionsnivå. Sektorerna eller delsektorerna bör väljas från bilaga I till direktiv (EU) 2022/2555 (”Högkritiska sektorer”). De samordnade testerna […]

För att främja en konsekvent strategi och stärka säkerheten i hela unionen och dess inre marknad bör stöd som en del av beredskapsåtgärderna ges till samordnad testning och bedömning av cybersäkerheten hos entiteter som är verksamma i högkritiska sektorer som identifierats i enlighet med direktiv (EU) 2022/2555. I detta syfte bör kommissionen, med stöd av Enisa och i samarbete med samarbetsgruppen för nät- och informationssäkerhet som inrättats genom direktiv (EU) 2022/2555, regelbundet identifiera relevanta sektorer eller delsektorer som bör vara berättigade till ekonomiskt stöd för samordnad testning på unionsnivå. Sektorerna eller delsektorerna bör väljas från bilaga I till direktiv (EU) 2022/2555 (”Högkritiska sektorer”) , inklusive offentliga förvaltningsenheter på regional och lokal nivå oavsett om dessa anses som högkritiska enligt nationell rätt . De samordnade testerna […]

Motivering

Eftersom medlemsländerna ges möjlighet att exkludera lokala och regionala myndigheter vid genomförandet av NIS 2 bör det säkerställas att de i stället ska omfattas av cybersolidaritetsakten. (1)

Ändringsrekommendation 4

Skäl 30

Kommissionens textförslag

ReK:s ändringsförslag

Dessutom bör cyberkrismekanismen stödja andra beredskapsåtgärder och beredskap inom andra sektorer som inte omfattas av den samordnade testningen av entiteter som är verksamma i högkritiska sektorer. Det kan till exempel röra sig om olika typer av nationell beredskapsverksamhet.

Dessutom bör cyberkrismekanismen stödja andra beredskapsåtgärder och beredskap inom andra sektorer som inte omfattas av den samordnade testningen av entiteter som är verksamma i kritiska sektorer samt offentliga förvaltningar oavsett om dessa anses som kritiska enligt nationell rätt . Det kan till exempel röra sig om olika typer av nationell beredskapsverksamhet.

Motivering

Lokala och regionala myndigheter bör ges möjlighet att dra nytta av stöd från cyberkrismekanismen.

Ändringsrekommendation 5

Skäl 33

Kommissionens textförslag

ReK:s ändringsförslag

En cybersäkerhetsreserv på unionsnivå bör gradvis inrättas, bestående av tjänster från privata leverantörer av förvaltade säkerhetstjänster, för att stödja insatser och omedelbara återhämtningsåtgärder i händelse av betydande eller storskaliga cybersäkerhetsincidenter. EU-cybersäkerhetsreserven bör säkerställa tjänsternas tillgänglighet och beredskap. Tjänsterna från EU-cybersäkerhetsreserven bör stödja de nationella myndigheterna när det gäller att bistå berörda entiteter som är verksamma i kritiska eller högkritiska sektorer, som ett komplement till deras egna åtgärder på nationell nivå. När medlemsstaterna begär stöd från EU-cybersäkerhetsreserven bör de ange vilket stöd som ges till den berörda entiteten på nationell nivå, vilket bör beaktas vid bedömningen av medlemsstatens begäran. Tjänsterna från EU-cybersäkerhetsreserven kan också användas för att stödja unionens institutioner, organ och byråer på liknande villkor.

En cybersäkerhetsreserv på unionsnivå bör gradvis inrättas, bestående av tjänster från privata leverantörer av förvaltade säkerhetstjänster, för att stödja insatser och omedelbara återhämtningsåtgärder i händelse av betydande eller storskaliga cybersäkerhetsincidenter. EU-cybersäkerhetsreserven bör säkerställa tjänsternas tillgänglighet och beredskap. Tjänsterna från EU-cybersäkerhetsreserven bör stödja de nationella myndigheterna när det gäller att bistå berörda entiteter som ett komplement till deras egna åtgärder på nationell nivå. När medlemsstaterna begär stöd från EU-cybersäkerhetsreserven bör de ange vilket stöd som ges till den berörda entiteten på nationell nivå, vilket bör beaktas vid bedömningen av medlemsstatens begäran. Tjänsterna från EU-cybersäkerhetsreserven kan också användas för att stödja unionens institutioner, organ och byråer på liknande villkor.

Motivering

Stöd från EU:s cybersäkerhetsreserv bör inte bara ges till berörda enheter som är verksamma inom kritiska eller högkritiska sektorer.

Ändringsrekommendation 6

Artikel 1.2 b

Kommissionens textförslag

ReK:s ändringsförslag

Förbättra beredskapen hos entiteter som är verksamma inom kritiska och högkritiska sektorer i hela unionen och stärka solidariteten genom att utveckla gemensam insatskapacitet mot betydande eller storskaliga cybersäkerhetsincidenter, bland annat genom att göra unionsstöd för hantering av cybersäkerhetsincidenter tillgängligt för tredjeländer som deltar i programmet för ett digitalt Europa.

Förbättra beredskapen hos entiteter som är verksamma inom kritiska och högkritiska sektorer och inom offentlig förvaltning på nationell och subnationell nivå i hela unionen och stärka solidariteten genom att utveckla gemensam insatskapacitet mot betydande eller storskaliga cybersäkerhetsincidenter, bland annat genom att göra unionsstöd för hantering av cybersäkerhetsincidenter tillgängligt för tredjeländer som deltar i programmet för ett digitalt Europa.

Motivering

Offentliga myndigheter på subnationell nivå bör också omfattas av denna förordning.

Ändringsrekommendation 7

Artikel 4.1 andra stycket

Kommissionens textförslag

ReK:s ändringsförslag

Det ska ha kapacitet att fungera som referenspunkt och gränssnitt mot andra offentliga och privata organisationer på nationell nivå för insamling och analys av information om cybersäkerhetshot och cybersäkerhetsincidenter och ska bidra till ett gränsöverskridande säkerhetscentrum. […]

Det ska ha kapacitet att fungera som referenspunkt och gränssnitt mot andra offentliga och privata organisationer på nationell och subnationell nivå för insamling och analys av information om cybersäkerhetshot och cybersäkerhetsincidenter och ska bidra till ett gränsöverskridande säkerhetscentrum. […]

Motivering

Nationella säkerhetscentrum bör också samla in och analysera information från enheter på regional och lokal nivå.

Ändringsrekommendation 8

Artikel 5.2

Kommissionens textförslag

ReK:s ändringsförslag

Efter en inbjudan att anmäla intresse ska ett värdkonsortium väljas ut av Europeiska kompetenscentrumet för cybersäkerhet för att delta i en gemensam upphandling av verktyg och infrastrukturer med kompetenscentrumet. Europeiska kompetenscentrumet för cybersäkerhet får tilldela värdkonsortiet ett bidrag för att finansiera driften av dessa verktyg och infrastrukturer. Unionens finansiella bidrag ska täcka upp till 75 % kostnaderna för förvärv av verktyg och infrastrukturer och upp till 50 % av driftskostnaderna, och de återstående kostnaderna ska täckas av värdkonsortiet. Innan förfarandet för förvärv av verktyg och infrastrukturer inleds ska Europeiska kompetenscentrumet för cybersäkerhet och värdkonsortiet ingå ett värd- och användningsavtal som reglerar användningen av verktygen och infrastrukturerna.

Efter en inbjudan att anmäla intresse ska ett värdkonsortium väljas ut av Europeiska kompetenscentrumet för cybersäkerhet för att delta i en gemensam upphandling av verktyg och infrastrukturer med kompetenscentrumet. Europeiska kompetenscentrumet för cybersäkerhet får tilldela värdkonsortiet ett bidrag för att finansiera driften av dessa verktyg och infrastrukturer. Unionens finansiella bidrag ska täcka upp till 75 % kostnaderna för förvärv av verktyg och infrastrukturer och upp till 50 % av driftskostnaderna, och de återstående kostnaderna ska täckas av värdkonsortiet från eventuella resurser utom de som omfattas av förordning (EU) 2021/1060 (förordningen om gemensamma bestämmelser) . Innan förfarandet för förvärv av verktyg och infrastrukturer inleds ska Europeiska kompetenscentrumet för cybersäkerhet och värdkonsortiet ingå ett värd- och användningsavtal som reglerar användningen av verktygen och infrastrukturerna.

Motivering

Insatser inom ramen för cybersolidaritetsakten bör inte finansieras genom sammanhållningspolitiska program.

Ändringsrekommendation 9

Artikel 9.1

Kommissionens textförslag

ReK:s ändringsförslag

En cyberkrismekanism inrättas för att förbättra unionens resiliens mot större cyberhot och i en anda av solidaritet förbereda sig inför och begränsa de kortsiktiga effekterna av betydande och storskaliga cybersäkerhetsincidenter (cyberkrismekanismen).

En cyberkrismekanism inrättas för att förbättra unionens resiliens mot cyberhot och i en anda av solidaritet förbereda sig inför och begränsa de kortsiktiga effekterna av betydande och storskaliga cybersäkerhetsincidenter (cyberkrismekanismen).

Motivering

Cyberkrismekanismen bör förbereda sig för och mildra de kortsiktiga effekterna av alla typer av cybersäkerhetsincidenter.

Ändringsrekommendation 10

Artikel 10.2 (ny)

Kommissionens textförslag

ReK:s ändringsförslag

 

2.     Kommissionen ska utarbeta en årlig rapport där mekanismens funktionssätt och det eventuella behovet av ytterligare samarbets- eller utbildningskrav bedöms.

Motivering

Kommissionen bör lägga fram regelbundna rapporter eftersom cybersäkerhetsområdet ständigt förändras och kraven snabbt måste anpassas till verkligheten.

Ändringsrekommendation 11

Artikel 11.1

Kommissionens textförslag

ReK:s ändringsförslag

För att stödja den samordnade beredskapstestningen av entiteter enligt artikel 10.1 a i unionen ska kommissionen, efter samråd med samarbetsgruppen för nät- och informationssäkerhet och Enisa, i förteckningen över högkritiska sektorer i bilaga I till direktiv (EU) 2022/2555 identifiera de berörda sektorer eller delsektorer från vilka entiteter kan bli föremål för samordnad beredskapstestning, med beaktande av befintliga och planerade samordnade riskbedömningar och resilienstester på unionsnivå.

För att stödja den samordnade beredskapstestningen av entiteter enligt artikel 10.1 a i unionen ska kommissionen, efter samråd med samarbetsgruppen för nät- och informationssäkerhet och Enisa, i förteckningen över högkritiska sektorer i bilaga I till direktiv (EU) 2022/2555 identifiera de berörda sektorer eller delsektorer , inbegripet offentliga förvaltningar på lokal nivå, från vilka entiteter kan bli föremål för samordnad beredskapstestning, med beaktande av befintliga och planerade samordnade riskbedömningar och resilienstester på unionsnivå.

Motivering

De lokala och regionala myndigheterna bör ges möjlighet att dra nytta av cyberkrismekanismen. Genom ändringsförslaget omsätts föredragandens efterlysning i ändringsrekommendation 3 (till skäl 30) i artikeldelen.

Ändringsrekommendation 12

Artikel 14.2 b

Kommissionens textförslag

ReK:s ändringsförslag

Typ av påverkad entitet, där högre prioritet ges åt incidenter som påverkar väsentliga entiteter enligt definitionen i artikel 3.1 i direktiv (EU) 2022/2555.

Typ av påverkad entitet, där högre prioritet ges åt incidenter som påverkar väsentliga entiteter enligt definitionen i artikel 3.1 i direktiv (EU) 2022/2555 , inbegripet offentliga förvaltningsenheter på regional och lokal nivå .

Motivering

Specificering av omfattning där subnationella enheter inkluderas.

Ändringsrekommendation 13

Artikel 18.1

Kommissionens textförslag

ReK:s ändringsförslag

På begäran av kommissionen, EU-CyCLONe eller CSIRT-nätverket ska Enisa granska och analysera hot, sårbarheter och begränsningsåtgärder med avseende på en viss betydande eller storskalig cybersäkerhetsincident. När granskningen och analysen av en incident har slutförts ska Enisa lämna en incidentgranskningsrapport till CSIRT-nätverket, EU-CyCLONe och kommissionen så att de kan utföra sina uppgifter, i synnerhet de uppgifter som anges i artiklarna 15 och 16 i direktiv (EU) 2022/2555. När så är relevant ska kommissionen dela rapporten med den höga representanten.

På begäran av kommissionen, EU-CyCLONe eller CSIRT-nätverket ska Enisa granska och analysera hot, sårbarheter och begränsningsåtgärder med avseende på en viss betydande eller storskalig cybersäkerhetsincident. När granskningen och analysen av en incident har slutförts ska Enisa lämna en incidentgranskningsrapport till CSIRT-nätverket, EU-CyCLONe och kommissionen så att de kan utföra sina uppgifter, i synnerhet de uppgifter som anges i artiklarna 15 och 16 i direktiv (EU) 2022/2555. När så är möjligt ska CSIRT-nätverket dela rapporten med offentliga förvaltningar på subnationell nivå. När så är relevant ska kommissionen dela rapporten med den höga representanten.

Motivering

Specificering av omfattning där subnationella enheter inkluderas.

II.   POLITISKA REKOMMENDATIONER

EUROPEISKA REGIONKOMMITTÉNS STÅNDPUNKT

Europeiska regionkommittén (ReK) välkomnar kommissionens förslag till förordning för att stärka det europeiska samarbetet kring cybersäkerhet. EU:s medlemsstater är i dag mycket uppkopplade och digitalt sammankopplade, något som endast kommer att öka de kommande åren. Kommittén ser därför positivt på kommissionens initiativ till gemensamma åtgärder mot de cyberhot som uppstår till följd av vår ökade digitalisering. Förslaget tar upp det faktum att antalet cyberincidenter ökar – inte minst inom de områden som kommuner och regioner ansvarar för – och vikten av att kritiska samhällsfunktioner förbereder sig för, hanterar och lär sig av incidenter. ReK ser att kommissionens förslag kan bidra till en högre digital resiliens inom unionen.

1.

För att nå målet om ett digitalt motståndskraftigt Europa är det angeläget att såväl politiker som medborgare inser vikten av en kraftsamling kring cybersäkerhet. ReK ser därför gärna att medlemsstaterna, kommissionen och alla lokala myndigheter tillsammans bidrar till att medvetandegöra behoven av insatser, inbegripet behovet av att öka investeringarna i digital resiliens, särskilt på lokal och regional nivå, och av att överväga att utveckla politiska instrument som skyddar mot angrepp från utpressningsprogram. Till detta krävs adekvata finansiella, tekniska och kompetenshöjande insatser.

2.

Kommittén noterar att förslaget i många avseenden refererar till och stöder sig mot NIS 2-direktivet. Vid det nationella genomförandet av NIS 2 är det upp till varje medlemsstat att avgöra om lokala myndigheter ska falla inom NIS 2:s tillämpningsområde. (2) Eftersom respektive medlemsstat kan välja om kommuner ska definieras som väsentliga eller viktiga entiteter vid genomförandet av NIS 2, så följer ländernas eventuella skillnader med i hur länderna förhåller sig till cybersolidaritetsakten, enligt nuvarande förslag. För att undvika att lokala myndigheter med ansvar för samhällsviktiga tjänster i vissa medlemsstater faller utanför cybersolidaritetsaktens tillämpningsområde bör det framgå av lagtexten att dessa ska anses inkluderade oavsett om de omfattas av NIS 2 eller ej.

3.

Med tanke på att cybersäkerhet är en hörnsten i den digitala interoperabiliteten är det absolut nödvändigt att insatserna för att förbättra interoperabiliteten mellan regioner stöds av kraftfulla cybersäkerhetsåtgärder, så att cyberhot inte är till hinders för interoperabiliteten mellan regioner i Europa.

4.

Kommuner och regioner behöver få konkret stöd från de strukturer som ska byggas, inte enbart skyldigheter att rapportera in till dem. Kommittén efterlyser därför en ökad tydlighet kring hur detta stöd kommer att ges till regionerna, inte minst för att lyfta cybersäkerhetsnivån i de små kommunerna.

Ståndpunkter utifrån förslagets insatsområden

Den europeiska cyberskölden

Utbyggnad av en europeisk infrastruktur av säkerhetscentrum för att bygga upp och förbättra gemensam kapacitet till syfte att upptäcka, analysera och behandla data om cyberhot och cyberincidenter.

5.

För att nå en täckande bild av EU:s aktuella cybersäkerhetsstatus behöver information, riskbilder, hot och incidenter även aggregeras från lokala och nationella systemleverantörer. ReK ser en risk i att det saknas tydliga incitament och processer för hur kommuner och regioner kan vara en aktiv part i arbetet med att stärka den digitala motståndskraften. Inkluderingen av lokal och regional nivå är central då ägarskapet av digitala lösningar som utsätts för angrepp ofta finns just här. Därför är det av betydelse att skapa en miljö där kommuner och regioner kan, och bör, vara en integrerad samt deltagande partner i att öka unionens cybersäkerhet.

6.

Kommittén har i analyser sett stor variation mellan ländernas mognadsgrad när det kommer till skydd och vidtagna säkerhetsåtgärder. Även inom länder finns stora skillnader mellan t.ex. statliga myndigheter och de mindre lokala myndigheterna, i såväl förmåga som ambition i arbetet med cybersäkerhet. Vi ser därför att det är av vikt att förordningen har som mål att verka för att dessa skillnader minskar och säkerställa att alla inblandade aktörer har relativt likvärdiga förmågor och ambitioner.

7.

Kommittén noterar att det nya nätverket av nationella och gränsöverskridande säkerhetscentrum riskerar att få överlapp med de uppgifter som ålagts CSIRT-nätverket (3). I de fall då nationella säkerhetscentrum etableras vid sidan av CSIRT-enheter är det viktigt att det framgår tydligt hur samarbetet ska fungera samt vilket ansvar som det nationella säkerhetscentrumet och CSIRT-enheten har i händelse av en incident.

8.

Kommittén välkomnar de specifika målen i förslaget till förordning och de föreslagna åtgärderna. Samtidigt beklagar vi att de lokala och regionala myndigheterna, trots ökande cyberangrepp, inte i tillräcklig utsträckning omfattas av det aktuella förslaget, och föreslår därför ett antal lagstiftningsändringar för att avhjälpa dessa brister.

9.

I dag saknas data och tydliga mätpunkter för incidenter, hot och risker för kommuner och regioner. Inom ramen för den europeiska cyberskölden bör indikatorer tas fram för att se hur utveckling och mognadsgrad ökar i samband med införandet av förordningen. Indikatorerna kan på lång sikt fungera som underlag för en databaserad riskkarta som visar var de största behoven av insatser finns.

Cyberkrismekanismen

Syftar till att stärka beredskapen, att testa beredskapen i sektorer som anses vara kritiska, att stärka förmågorna till återhämtning efter incidenter, samt inrättande av en cybersäkerhetsreserv.

10.

Storskaliga incidenter kan uppstå ur lokala händelser och förslaget behöver visa hur både säkerhetscentrum och cybersäkerhetsreserven kan fånga upp allvarliga lokala störningar, inte enbart betydande och storskaliga incidenter som redan inträffat. Informationsdelningen bör inte begränsas till storskaliga incidenter, utan även omfatta potentiella risker.

11.

Information avseende cybersäkerhetsincidenter är oftast av mycket känslig karaktär och kan behöva innehålla tekniska detaljer, eller rent av personuppgifter, som i dag inte kan delas utan att parterna har ingångna avtal och överenskommelser. I dag finns svårigheter med att dela information på nationell nivå, så frågan om hur överföringen ska ske över nationsgränserna är mycket komplex. För att cyberkrismekanismen ska fungera behöver kommissionen säkerställa att alla ingående parter, offentliga och privata aktörer inom EU-cybersäkerhetsreserven, har de rättsliga och tekniska förutsättningarna att dela och ta emot information. Kommittén ser att det främsta behovet av informationsspridning är incidentlösning, dvs. hur angripna entiteter de facto bäst hanterar en stor incident.

12.

ReK ser positivt på att höga krav kommer att ställas på de tjänsteleverantörer från den privata sektorn som ska ingå i den föreslagna cybersäkerhetsreserven. Utformandet av dessa krav får dock inte resultera i att specifik kompetens eller systemkännedom exkluderas som ett resultat av att endast ett fåtal mycket stora aktörer kan klara av att leva upp till de krav som ställs på leverantörerna av säkerhetstjänsterna. EU behöver en bredd i sitt säkerhetsarbete för att vara så motståndskraftigt som möjligt.

13.

Enligt förslaget ska cybersäkerhetsreserven bestå av en förteckning över pålitliga leverantörer. Dessa ska certifieras i enlighet med cybersäkerhetsakten (4). Europeiska unionens cybersäkerhetsbyrå (Enisa) ansvarar för att produkter och tjänster motsvarar stipulerade cybersäkerhetskrav. ReK vill lyfta vikten av att Enisa utvecklar certifieringsordningarna snabbt så att leverantörer kan certifiera sig mot teknik som är aktuell (5).

14.

När en cybersäkerhetsreserv etableras är det även viktigt att det inte sker på ett sådant sätt att det hämmar konkurrens eller utestänger aktörer som enbart är verksamma i delar av unionen. Inrättandet av cybersäkerhetsreserven och certifieringen behöver bygga på en snabb och tydliggjord process för att hitta de mest kompetenta och relevanta aktörerna i sammanhanget.

15.

ReK ser att de nationella teknik- och tjänsteleverantörerna av kritiska system behöver kartläggas och att denna inventering behöver samlas i en kunskapsdatabas. Denna kunskap kan bli mycket värdefull i samband med insatser som kräver att lokala aktörer mobiliseras. Denna kunskap kan också användas inom ramen för cybersäkerhetsakademins arbete.

16.

När en incident inträffar är effekten av motåtgärderna beroende av hur snabbt insatserna sätts in. Delningen av komplex information rörande incidenter och risker behöver nå rätt målgrupper på kort tid. Som förslaget är utformat ska en ny organisering och struktur för informationsdelning byggas upp. ReK vill dock framhålla vikten av att använda och förädla befintliga informationsvägar hos t.ex. CyCLONe (6) och CSIRT i samband med att de nationella och gränsöverskridande säkerhetscentrumen etableras.

Mekanismen för granskning av cybersäkerhetsincidenter

En funktion för granskning av cybersäkerhetsincidenter, specifikt de incidenter som har haft stor påverkan.

17.

Behovet av kompetens inom cybersäkerhetsområdet, och finansiering av densamma, följer digitaliseringens kraftiga utvecklingskurva. ReK välkomnar kommissionens inrättande av en cybersäkerhetsakademi och efterlyser en tydlig strategi för att specifikt stärka mindre och resurssvaga kommuner och regioner utifrån perspektivet att det råder kompetensbrist i EU.

18.

En stark digital resiliens förutsätter samarbete mellan olika aktörer, där offentliga och privata entiteter bidrar med sakkunskap, erfarenhet och personal. ReK framhåller de lokala och regionala myndigheternas roll när det gäller att bygga upp digital resiliens, eftersom de kan stödja varandra genom upplysningskampanjer samt utbyte av bästa praxis och sakkunskap. Ju mer företag investerar i sin digitala resiliens, desto högre blir motståndarnas kostnader för angreppen, vilket också skulle kunna fungera avskräckande.

19.

Europas kommuner och regioner bär i dag sina egna kostnader för att upprätthålla en hög cybersäkerhetsnivå, samt de kostnader som uppstår i samband med incidenter. ReK ser en risk i att förordningen kommer att tillföra arbete som gör anspråk på redan ansträngda resurser. Det är därför av vikt att säkerställa att förordningen inte blir en belastning, utan att den ökar varje organisations kapacitet med hjälp av konkreta verktyg, metoder och stöd.

20.

ReK ställer sig frågande till varför granskningsrapporter inte kan delas inom nätverket för både nationella och gränsöverskridande säkerhetscentrum; enligt förslaget får de nationella säkerhetscentrumen endast ta del av den offentliga informationen. Att dra lärdomar från incidenter är ett av de viktigaste verktygen för aktörernas förmåga att förbättra och utveckla sin cybersäkerhet. Informationen bör därmed göras tillgänglig, med alla detaljer, för samtliga medverkande i nätverket.

21.

Förslaget presenterar finansiering på en alltför övergripande nivå. ReK önskar en mycket tydligare beskrivning av hur medlen är avsedda att användas och hur stor del som är riktad direkt mot regioner och kommuner.

22.

Slutligen betonar kommittén att förslaget är förenligt med subsidiaritets- och proportionalitetsprinciperna.

Bryssel den 30 november 2023.

Vasco ALVES CORDEIRO

Europeiska regionkommitténs ordförande


(1)  Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet) (EUT L 333, 27.12.2022, s. 80).

(2)  Artikel 2.5 i NIS 2-direktivet: ”Medlemsstaterna får föreskriva att detta direktiv ska tillämpas på a) offentliga förvaltningsentiteter på lokal nivå”.

(3)  Enligt NIS 2-direktivet, artikel 11.3, ska CSIRT-enheterna ha följande uppgifter:

a)

Övervakning och analys av cyberhot, sårbarheter och incidenter på nationell nivå och, på begäran, tillhandahållande av stöd till berörda väsentliga och viktiga entiteter avseende realtidsövervakning eller nära realtidsövervakning av deras nätverks- och informationssystem.

b)

Tillhandahållande av tidiga varningar, larm, meddelanden och spridning av information till väsentliga och viktiga entiteter samt till behöriga myndigheter och andra relevanta intressenter om cyberhot, sårbarheter och incidenter, om möjligt i nära realtid.

c)

Vidtagande av åtgärder till följd av incidenter och, i tillämpliga fall, tillhandahållande av stöd till de berörda väsentliga och viktiga entiteterna.

d)

Insamling och analys av forensiska uppgifter och tillhandahållande av dynamisk risk- och incidentanalys och situationsmedvetenhet när det gäller cybersäkerhet.

e)

Tillhandahållande, på begäran av den väsentliga eller viktiga entiteten, av en proaktiv skanning av den berörda entitetens nätverks- och informationssystem i syfte att upptäcka sårbarheter med en potentiellt betydande påverkan.

f)

Deltagande i CSIRT-nätverket och ömsesidigt bistånd i enlighet med deras kapacitet och befogenheter till andra medlemmar i CSIRT-nätverket på deras begäran.

g)

I tillämpliga fall, fungera som processamordnare för den samordnade delgivningen av information om sårbarheter enligt artikel 12.1.

h)

Bidrag till införandet av säkra verktyg för informationsutbyte enligt artikel 10.3.

(4)  Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten) (EUT L 151, 7.6.2019, s. 15).

(5)  Enisa har tre pågående certifieringar som ännu inte slutförts: för IKT, 5G och molntjänster.

https://www.enisa.europa.eu/about-enisa/about/sv.

(6)  NIS 2-direktivet, artikel 16.1 och 16.3.

Det europeiska kontaktnätverket för cyberkriser (EU-CyCLONe)

1.

EU-CyCLONe inrättas för att stödja en samordnad hantering av storskaliga cybersäkerhetsincidenter och kriser på operativ nivå och säkerställa ett regelbundet utbyte av relevant information mellan medlemsstaterna och unionens institutioner, organ och byråer.

3.

EU-CyCLONe ska ha följande uppgifter:

a)

Öka beredskapen för hantering av storskaliga cybersäkerhetsincidenter och kriser.

b)

Utveckla en gemensam situationsmedvetenhet om storskaliga cybersäkerhetsincidenter och kriser.

c)

Bedöma konsekvenserna och effekterna av relevanta storskaliga cybersäkerhetsincidenter och kriser och föreslå möjliga begränsningsåtgärder.

d)

Samordna hanteringen av storskaliga cybersäkerhetsincidenter och kriser och ge stöd till beslutsfattande på politisk nivå i samband med sådana incidenter och kriser.

e)

På begäran av en berörd medlemsstat, diskutera de nationella planer för hantering av storskaliga nationella cybersäkerhetsincidenter och kriser som avses i artikel 9.4.


ELI: http://data.europa.eu/eli/C/2024/1049/oj

ISSN 1977-1061 (electronic edition)