Forslag til direktiv om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen

På trods af dets bemærkelsesværdige resultater har direktivet om sikkerheden i net- og informationssystemer (NIS-direktivet), som banede vejen for en betydelig ændring i tankegangen, den institutionelle og lovgivningsmæssige tilgang til cybersikkerhed i mange medlemsstater, nu også bevist sine begrænsninger. Den digitale omstilling af samfundet (styrket af covid-19-krisen) har udvidet trusselsbilledet og skabt nye udfordringer, som kræver tilpassede og innovative reaktioner.
Nu kan enhver forstyrrelse, selv om den i første omgang er begrænset til én enhed eller en sektor, have kaskadevirkninger mere bredt, hvilket potentielt kan få vidtrækkende og langvarige negative virkninger for leveringen af tjenesteydelser i hele det indre marked.

For at tackle disse udfordringer, som bebudet i meddelelsen om Europas digitale fremtid i støbeskeen, fremskyndede Kommissionen direktivets revision frem til udgangen af 2020, gennemførte en konsekvensanalyse og forelagde et nyt lovgivningsforslag.

Centrale elementer i Kommissionens forslag

Det nye forslag fra Kommissionen har til formål at afhjælpe manglerne i det tidligere NIS-direktiv, tilpasse det til de nuværende behov og gøre det fremtidssikret.

Med henblik herpå udvider Kommissionens forslag anvendelsesområdet for det nuværende NIS-direktiv ved at tilføje nye sektorer baseret på deres kritiske betydning for økonomien og samfundet og ved at indføre en klar størrelsesloft — hvilket betyder, at alle mellemstore og store virksomheder i udvalgte sektorer vil blive omfattet af anvendelsesområdet. Samtidig giver det medlemsstaterne en vis fleksibilitet til at identificere mindre enheder med en høj sikkerhedsrisikoprofil.

Forslaget fjerner også sondringen mellem operatører af væsentlige tjenester og udbydere af digitale tjenester. Enheder vil blive klassificeret på grundlag af deres betydning og opdelt i henholdsvis væsentlige og vigtige kategorier med den konsekvens, at de er underlagt forskellige tilsynsordninger.

Forslaget styrker sikkerhedskravene til virksomhederne ved at indføre en risikostyringstilgang med en minimumsliste over grundlæggende sikkerhedselementer, der skal anvendes. Forslaget indfører mere præcise bestemmelser om processen for indberetning af hændelser, indholdet af indberetningerne og tidsfristerne.

Desuden foreslår Kommissionen at tage fat på sikkerheden i forsyningskæder og leverandørrelationer ved at kræve, at de enkelte virksomheder håndterer cybersikkerhedsrisici i forsyningskæder og leverandørrelationer. På europæisk plan styrker forslaget cybersikkerheden i forsyningskæden for centrale informations- og kommunikationsteknologier. Medlemsstaterne vil i samarbejde med Kommissionen og ENISA foretage koordinerede risikovurderinger af kritiske forsyningskæder på grundlag af den vellykkede tilgang, der er valgt i forbindelse med Kommissionens henstilling om cybersikkerhed i 5G-net.

Forslaget indfører strengere tilsynsforanstaltninger for de nationale myndigheder, strengere håndhævelseskrav og har til formål at harmonisere sanktionsordninger på tværs af medlemsstaterne.

Forslaget styrker også samarbejdsgruppens rolle i udformningen af strategiske politiske beslutninger om nye teknologier og nye tendenser og øger udvekslingen af oplysninger og samarbejdet mellem medlemsstaternes myndigheder. Det styrker også det operationelle samarbejde, herunder om cyberkrisestyring.

Kommissionens forslag fastlægger en grundlæggende ramme med ansvarlige nøgleaktører for koordineret offentliggørelse af sårbarheder for nyopdagede sårbarheder i hele EU og oprettelse af et EU-register over det, der drives af Den Europæiske Unions Agentur for Cybersikkerhed (ENISA).
 

Næste skridt

De næste relevante tiltag er:

• Forslaget vil blive genstand for forhandlinger mellem medlovgiverne, navnlig Rådet for Den Europæiske Union og Europa-Parlamentet.
• Når forslaget er vedtaget og derfor vedtaget, skal medlemsstaterne gennemføre NIS2-direktivet inden for 18 måneder.
• Kommissionen skal regelmæssigt revidere NIS2-direktivet og for første gang aflægge rapport om revisionen 54 måneder efter ikrafttrædelsen.
• Europa-Kommissionen ser frem til at gennemføre den nye cyberstrategi i de kommende måneder.