Ett viktigt steg mot stärkt cybersäkerhet i Europa

eu-flag

Igår kom Parlamentet och Ministerrådet överens om innehållet i EUs första gemensamma cybersäkerhetsdirektiv.

Det nya direktivet känt som Nätverks och Informationssäkerhetsdirektivet inrättar säkerhetskrav och anmälningsplikt för företag i kritiska sektorer som Bank och finans-,transport-, hälso- och sjukvårdsektorn samt energisektorn, för att spegla graden av risk som störningen av dessa tjänster innebär för samhället och EUs inre marknad. Digitala tjänster som omfattas är e-handelsplattformar, sökmotorer och molntjänster.

Medlemsstaterna ska enligt direktivet “se till att marknadsoperatörer vidtar ändamålsenliga och proportionerliga tekniska och organisatoriska åtgärder för att upptäcka och effektivt hantera risker som hotar säkerheten för de nät och informationssystem som de kontrollerar och använder i sin verksamhet”. I klarspråk – man vill säkerställa att kritisk infrastruktur som t.ex. trafikkontroll och elnät klarar av cyberattacker.

Huvuddragen i direktivet är:

  • Varje enskild medlemsstat kommer själv få avgöra vilka marknadsoperatörer som omfattas utifrån kriterier i direktivet.
  • Varje medlemsstat ska utse en eller flera civila behöriga nationella myndigheter för säkerheten i nät och informationssystem.
  • Marknadsoperatörer skall underrätta behörig myndighet om incidenter som har en betydande inverkan på kontinuiteten för de kärntjänster som de tillhandahåller. Myndigheten kan i vissa fall välja att informera allmänheten om en incident.
  • Behörig myndighet har befogenhet att kräva dokumentation från marknadsoperatörer som visar att säkerhetsåtgärderna genomförts effektivt.
  • Behörig myndighet har befogenhet att utfärda bindande anvisningar för marknadsoperatörer.
  • Varje medlemsstat ska inrätta minst en incidenthanteringsorganisation (Computer Emergency Response Team, Cert) för var och en av de sektorer som omfattas för att hantera incidenter.

Tidslinje
Målsättningen är att lägga fram den överenskomna texten för godkännande av medlemsländerna i Ständiga representanternas kommitté (Coreper) den 18 december, för att bli färdig lag strax därefter. Eftersom det är ett direktiv kommer varje land inom EU kunna göra sin egen tolkning.

En del i en större strategi
Direktivet är en del i EUs Cybersäkerhetsstrategi att förhindra och svara på störningar och attacker som påverkar Europas telekommunikationssystem. Ambitionen är att säkerställa att lägsta acceptabla säkerhetsnivån möts för digitala teknologier, nätverk och tjänster i EU. Genom att likrikta riskhanteringsåtgärder och introducera incidentrapportering hoppas man skapa mer stabila och pålitliga IT-system.

Strategin har fem prioritetsområden:

  • Uppnå motståndskraftiga IT-system (Cyber Resilience)
  • Drastiskt minska cyberbrottslighet
  • Ta fram en policy och förmågor för cyberförsvar enligt EUs gemensamma säkerhets- och försvarspolicy (CSDP)
  • Ta fram industriella och teknologiska resurser för cybersäkerhet
  • Etablera en sammanhängande internationell cyberrymdspolicy (cyberspace policy) för EU

Direktivet visar hur allvarligt EU ser på konsekvenserna av cybersäkerhet och den stora variation av mognadsgrad i organisationer som råder inom unionen. Nästa stora lag som kommer inom kort blir Dataskyddsförordningen. Uppenbart är att 2016-2017 kommer vara hektiska år för drabbade företag och organisationer. Nu återstår att se hur Sverige kommer välja att agera när det gäller vilka krav man ställer på offentlig verksamhet. MSB kom nyligen ut med en svidande rapport om Svenska kommuners säkerhetsnivå, samtidigt lämnar både dataskyddsförordningen och NIS-direktivet mycket av beslutanderätten av hur man vill kravställa mot offentlig verksamhet upp till enskilda stater.

Länkar
http://www.euractiv.com/sections/digital/eu-lawmakers-countries-agree-cybersecurity-law-320212
http://www.europarl.europa.eu/news/en/news-room/content/20151207IPR06449/html/MEPs-close-deal-with-Council-on-first-ever-EU-rules-on-cybersecurity
http://eur-lex.europa.eu/legal-content/SV/TXT/PDF/?uri=CONSIL:ST_14673_2015_INIT&from=EN
http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-2014-0244+0+DOC+XML+V0//SV
http://www.consilium.europa.eu/en/press/press-releases/2015/12/08-improve-cybersecurity/
http://www.consilium.europa.eu/en/policies/cyber-security/

Post Comment