Cybersecurity Act

Forslag til europaparlaments- og rådsforordning om ENISA, EUs Cybersikkerhetsbyrå, og oppheving av forordning (EU) 526/2013, og om cybersikkerhetssertifisering av informasjons- og kommunikasjonsteknologi (Cybersecurity Act) - KOM(2017) 477

Proposal for a regulation of the European Parliament and of the Council on ENISA, the "EU Cybersecurity Agency", and repealing regulation (EU) 526/2013, and on Information and Communication Technology cybersecurity certfication ("Cybersecurity Act")

Sakstrinn

  1. Faktanotat
  2. Foreløpig posisjonsnotat
  3. Posisjonsnotat
  4. Gjennomføringsnotat

Opprettet 21.11.2017

Spesialutvalg: Kommunikasjoner

Dato sist behandlet i spesialutvalg:

Hovedansvarlig(e) departement(er): Justis- og beredskapsdepartementet

Vedlegg/protokoll i EØS-avtalen:

Kapittel i EØS-avtalen:

Status

Rettsakten er til behandling i Rådet/Europaparlamentet, og er ikke ennå vedtatt i EU.

Rettsakten er under vurdering i EØS-/EFTA-landene.

Rådet vedtok sin posisjon på meldingen om EUs reviderte cybersikkerhetsstrategi – Resilience, Deterrence and Defence: Building strong cybersecurity in Europe – på møtet i Rådet for allmenne saker 20. november 2017. Konklusjonene fra møtet støtter opp om et permanent mandat for ENISA i form av at det opprettes et EU Cybersecurity Agency. De maner videre til at Europa utvikler en verdensledende sertifiseringsordning for å øke sikkerheten og tilliten til digitale produkter og tjenester.

Sammendrag av innhold

Forslag til ny forordning innebærer at ENISA skal få et permanent og styrket mandat. ENISAs navn foreslås også endret til EUs Cybersikkerhetsbyrå (EU Cybersecurity Agency). På anmodning fra medlemslandene skal byrået kunne bistå operativt i grenseoverskridende cyberhendelser. Byrået skal utvikle og administrere et EU-rammeverk for sikkerhetssertifisering av IT-produkter og -tjenester. Forordningen setter i denne sammenheng også et krav om at medlemslandene skal etablere tilsynsmyndigheter for sikkerhetssertifisering.

Bakgrunn og formål

EU-kommisjonen slo nylig fast at EU står overfor betydelige IKT-sikkerhetsutfordringer. Kommisjonen viste til at antallet utpressingssaker har økt med 300% siden 2015. Det ble også vist til at de økonomiske konsekvensene av IKT-kriminalitet ble femdoblet fra 2013 til 2017, og at de kan ytterligere firedobles innen 2019. Undersøkelser synes å vise at befolkningen flere steder i verden anser at IKT-angrep fra andre stater er blant de største truslene mot nasjonal sikkerhet. I forbindelse med EU-kommisjonens president Jean-Claude Junckers State of the Union-tale 13. september 2017, presenterte EU-kommisjonen, i samarbeid med EUs representant for utenrikssaker og sikkerhetspolitikk, en felles kommunikasjon om EUs arbeid med IKT-sikkerhet. Her ble kommisjonens «Cybersecurity package» lansert med konkrete tiltak for å møte trusselbildet.

Formålet med forordningen er å sikre et velfungerende indre marked med et høyt nivå av cybersikkerhet, motstandsdyktighet og tillit i EU. Dette ved å fastsette mål og oppgaver for EU’s Cybersikkerhetsbyrå (ENISA), samt etablere et felleseuropeisk rammeverk for sikkerhetssertifisering av IKT-produkter og tjenester (jf. artikkel 1). Forordningen inngår som et element i EUs digitaliseringsstrategi, som har som formål å stimulere til økonomisk vekst og øke EUs konkurransekraft. Forslaget gir ENISA en sterkere og mer sentral rolle ved at de skal understøtte medlemslandenes gjennomføring av NIS-direktivet, og ved å motvirke trusler på en mer aktiv måte. I dette EØS-posisjonsnotatet benyttes begrepene "IKT-sikkerhet" og "cybersikkerhet" synonymt.

Innhold - del 1

OM ENISA - MÅL FOR ARBEIDET:

ENISA (European Network and Information Security Agency) ble opprettet i 2004 og har siden opprettelsen hatt et midlertidig mandat for sitt arbeid. Utfordringen med et tidsavgrenset mandat er at det gir begrensede muligheter for langsiktig planlegging og bæredyktig støtte til EUs medlemsland. Et midlertidig mandat er ikke i tråd med NIS-direktivet som gir ENISA oppgaver av permanent karakter. Et midlertidig mandat underbygger heller ikke EUs visjon for IKT-sikkerhetsområdet.

I 2017 ble det gjennomført en evaluering av ENISA på måloppnåelse og oppgaveløsning. Resultatet var positivt og konkluderte med at byrået i all hovedsak har nådd sine mål og løst sine oppgaver tilfredsstillende. Evalueringen pekte på enkelte utfordringer, bl.a. at ENISA har et bredt mandat, men at det er begrensede finansielle og menneskelige ressurser. Kommisjonen foreslår nå å gi ENISA et permanent og styrket mandat, jf. art. 3. Målene for ENISAs arbeid følger av art. 4:

  • Byrået skal være et ekspertisesenter og bistå i EU-kommisjonens arbeid med cybersikkerhet
  • Byrået skal bistå Unionen og medlemsland med å utvikle og implementere strategier for cybersikkerhet
  • Byrået skal støtte kapasitetsbygging og beredskap ved å bistå Unionen, medlemslandene og offentlige og private interessenter, for å øke egenbeskyttelsen av nettverks- og informasjonssystemer, utvikle ferdigheter og kompetanse innenfor cybersikkerhet
  • Byrået skal fremme samarbeid og koordinering mellom medlemsland, Unionen og relevante interessenter, herunder privat sektor, om saker knyttet til cybersikkerhet
  • Byrået skal øke cybersikkerhetskapabiliteter på EU-nivå for å komplettere medlemslandenes tiltak for å forebygge og håndtere cybertrusler, særlig i grenseoverskridende cyberhendelser
  • Byrået skal fremme bruken av sertifisering, bl.a. ved å bidra til etablering og vedlikehold av et felleseuropeisk rammeverk for sikkerhetssertifisering, for å øke transparens og verifisering av IT-produkter og -tjenester med formål om å styrke tilliten til det digitale indre marked
  • Byrået skal bidra til økt kunnskap og kompetanse om cybersikkerhet for både privatpersoner og virksomheter

OM BYRÅETS SENTRALE OPPGAVER:

1) Oppgaver relatert til policyutvikling og lovregulering (jf. art. 5)

  • ENISA får i oppgave å bidra proaktivt i policyutvikling for cybersikkerhetsfeltet, samt til andre politiske initiativ med cybersikkerhetselementer innenfor ulike sektorer (f.eks. energi, transport og finans). ENISA får i denne sammenheng en styrket rådgivende rolle, da i form av uavhengige vurderinger og forarbeider til policy- og lovutvikling. ENISA skal også støtte medlemslandene med implementeringen av NIS-direktivet, hvis formål er å etablere et høyt felles sikkerhetsnivå for nett- og informasjonssikkerhet innenfor en rekke samfunnsviktige sektorer (energi, transport, finans, helse, vannforsyning, IKT-infrastruktur osv.). Dette innebærer bl.a. å bistå medlemslandene med å oppnå en ensartet gjennomføring av direktivet på tvers av grenser og sektorer. Tilsvarende skal ENISA støtte arbeidet i NIS-samarbeidsgruppen, som har som oppgave å støtte medlemslandene i implementeringen av NIS-direktivet samt understøtte strategisk samarbeid mellom medlemslandene. ENISA skal også avgi årlige rapporter på status og etterlevelse av EU-policy og -regulering, jf. art. 10(3) i NIS-direktivet. ENISA får også i oppgave å understøtte EU’s politikk og regelverk innenfor området elektronisk kommunikasjon og elektroniske identifikasjons- og tillitstjenester.

2) Oppgaver relatert til kapasitetsbygging (jf. art. 6)

  • ENISA får i oppgave å bidra til å øke EU’s og de nasjonale offentlige myndigheters kapasitet og ekspertise, bl.a. gjennom håndtering av hendelser og gjennomføring av lovgivningsmessige tiltak for cybersikkerhetsområdet, herunder bl.a. støtte CERT-EU (EU's Computer Emergency Response Team) i deres arbeid, og bidra i etableringen av ulike lands nasjonale CSIRT'er (Computer Security Incident Response Team). I denne forbindelse vil ENISA fortsette med å tilrettelegge for årlige cybersikkerhetsøvelser på EU-nivå. Byrået skal også bidra i etableringen av sentrene for informasjonsutveksling og analyse (ISAC'er) innen ulike sektorer ved å stille til rådighet beste praksis og veiledning i tilgjengelige verktøy og prosedyrer.

3) Oppgaver relatert til operasjonelt samarbeid og krisestyring (jf. art. 7)

  • Med forslaget får ENISA myndighet til å støtte det operasjonelle samarbeidet på tvers av Unionen og på tvers av medlemslandene, herunder i CSIRT-nettverket (bestående av medlemslandenes CSIRT’er (iht NIS-direktivet)). I den forbindelse inngår ENISA i et strukturert samarbeid med CERT-EU. Ved større såkalte "grenseoverskridende cybersikkerhetshendelser eller -kriser", og med formål om å fremme operasjonelt samarbeid, foreslås det at ENISA får myndighet til å: a) sammenstille rapporter fra nasjonale kilder for å skape felles situasjonsforståelse, b) sikre effektiv informasjonsflyt og sørge for at det er eskaleringsmekanismer på plass mellom CSIRT-nettverket og de tekniske og politiske beslutningstagere på EU-nivå, c) støtte teknisk håndtering av en hendelse, inkludert deling av tekniske løsninger mellom medlemslandene, d) støtte kommunikasjon til offentligheten/publikum om en hendelse, og e) teste samarbeidsplaner for håndtering av slike hendelser. På anmodning fra to eller flere berørte medlemsland, og med formål om å skulle levere rådgivning om forebygging av fremtidige hendelser, vil ENISA kunne gi støtte til eller utføre en påfølgende teknisk undersøkelse av hendelser med betydelig eller vesentlig virkning iht NIS-direktivet. Tilsvarende kan ENISA foreta slike undersøkelser på anmodning fra Kommisjonen og etter avtale med de berørte medlemsland i tilfeller hvor flere enn to medlemsland berøres av en hendelse. ENISA vil også få i oppgave å regelmessig utarbeide en teknisk EU-cybersikkerhetsrapport om hendelser og trusler, som skal være basert på offentlig tilgjengelig informasjon, ENISA’s egne analyser og rapporter, som på frivillig basis deles av bl.a. medlemslandenes CSIRT'er eller NIS-direktivets sentrale kontaktpunkter, jf. art. 14(5) i NIS-direktivet, Det Europeiske senter for bekjempelse av cyberkriminalitet (EC3) hos Europol eller CERT-EU.

4) Oppgaver relatert til markedet, cybersikkerhetssertifisering, og standardisering (jf. art. 8)

  • ENISA får i oppgave å understøtte det indre marked, ved å analysere utviklingstendenser innenfor cybersikkerhetsmarkedet, og ved å understøtte EU’s politikkutvikling for IKT-standardisering og IKT-sikkerhetssertifisering. Detaljer om forslaget til sertifiseringsordning følger lenger ned i teksten.

5) Oppgaver relatert til kunnskap og kompetansebygging (jf. art. 9)

  • ENISA skal være EU’s informasjonsknutepunkt vedr. nett- og informasjonssikkerhet. Det innebærer å fremme og utveksle beste praksis og initiativer på tvers av EU. Byrået skal stille til rådighet rådgivning, veiledning og beste praksis vedrørende sikkerheten i kritiske infrastrukturer. Etter en vesentlig grenseoverskridende hendelse skal ENISA dessuten få i oppgave å utarbeide rapporter for å gi veiledning til virksomheter og borgere i hele EU på bakgrunn av den aktuelle hendelsen.

6) Oppgaver relatert til forskning og innovasjon (jf. art. 10)

  • ENISA skal med sin ekspertise rådgi EU og nasjonale myndigheter i forskningsbehov og prioriteringer for cybersikkerhetsområdet, herunder også i sammenheng med cPPP (contractual public private partnership). ENISA’s råd på forskningsfeltet skal være et viktig bidrag inn i det nye europeiske forsknings- og kompetansesenteret for cybersikkerhet under den neste flerårige budsjettrammen. ENISA vil også – på anmodning fra Kommisjonen, kunne bli involvert i gjennomførelsen av EU’s finansieringsprogram for forskning og innovasjon på cybersikkerhetsområdet.

7) Oppgaver relatert til internasjonalt samarbeid (jf. art. 11)

  • ENISA skal bidra til EU’s innsats for å fremme internasjonalt samarbeid på cybersikkerhetsfeltet ved å delta som observatør og i tilretteleggelsen av internasjonale øvelser. ENISA skal, på anmodning fra Kommisjonen, fremme utveksling av beste praksis mellom relevante internasjonale organisasjoner - samt stille ekspertise til rådighet for Kommisjonen.

OM ORGANISERING:

Artikkel 12 til 25 tar for seg organiseringen av byrået og beskriver ansvar, myndighet og organiseringen av arbeidet som tilligger "Management Board", "Executive Board", "Executive Director" og "Permanent Stakeholder's Group". Det fremkommer ikke noe nytt i denne beskrivelsen sammenlignet med hvordan ENISA er organisert i dag og hvilken myndighet og ansvar som tilligger de ulike gruppene. Artikkel 26 til 30 tar for seg budsjett, regler for finansiering og hvordan man skal motarbeide bedrageri. Artikkel 31 til 34 omhandler ENISA's ansatte. Artikkel 35 til 42 tar for seg generelle bestemmelser relatert til ENISA's juridiske status og ansvar, språkordninger, beskyttelse av personopplysninger, samarbeid med tredjeland og internasjonale organisasjoner, sikkerhetsregler for behandling av gradert og sensitiv ugradert informasjon osv.

Innhold - del 2

OM SERTIFISERINGSORDNINGEN - MÅL FOR ARBEIDET:

Forordningen foreslår også et nytt regelverk for sikkerhetssertifisering av IT-produkter og -tjenester, jf. art 43 og 44. Noe av bakgrunnen for dette er at trusselbildet og økningen av IKT-kriminalitet har fremtvunget ulike nasjonale sertifiseringsregelverk. Konsekvensen er bl.a. fragmenterte og lite hensiktsmessige ordninger som ikke samspiller effektivt inn mot EUs indre marked (interoperabilitetsutfordringer).

Målet med et felleseuropeisk regelverk er å fremme IKT-sikkerhet som et konkurransefortrinn og bidra til forbrukernes tillit til IKT-produktene, samtidig som IKT-sikkerhetsnivået blir hevet. Et felles regelverk vil også kunne redusere sertifiseringskostnader. Initiativet supplerer og støtter også gjennomførelsen av NIS-direktivet ved å gi de virksomheter som er omfattet av direktivet et verktøy for å påvise etterlevelse av direktivet for hele EU. Forslaget innfører ikke direkte operasjonelle sertifiseringsordninger, men etablerer et rammeverk av regler for innførelse av spesifikke europeiske sertifiseringsordninger for IKT-produkter og -tjenester, som blir utarbeidet av ENISA og vedtatt ved "gjennomførelsesrettsakter" (beskrevet lenger ned).

En cybersikkerhetssertifiseringsordning vil i henhold til forslaget attestere at IT-produktene og -tjenestene som er sertifisert i overensstemmelse med ordningen, oppfyller fastsatte sikkerhetskrav. F.eks. i forhold til beskyttelsesevne mot kompromittering, tilgjengelighet, autentisering, integritet og konfidensialitet av de data som oppbevares eller behandles i produktet eller tjenesten. De europeiske sertifiseringsordningene vil ikke selv utvikle tekniske standarder, men benytte eksisterende standarder om tekniske krav og evalueringsprosedyrer som produktene skal overholde. Sertifiseringsordningene skal utformes slik at de, basert på relevans for den aktuelle produkt- eller tjenestegruppen, tar hensyn til flere sikkerhetsmål, jf. art. 45), herunder: 

  • Beskytte data mot utilsiktet eller uautorisert behandling eller ødeleggelse
  • Sikre at kun autoriserte personer, programmer eller maskiner har adgang til dataene, herunder bl.a. gjennom tilstrekkelig logging av type data og hvilke handlinger om er utført
  • Sikre tilgjengelighet og tilgang til data (restore) ved tilfeller av fysiske eller tekniske hendelser
  • Sikre at IT-produkter og -tjenester innehar ajourført software fri for kjente sårbarheter, samt er gitt mekanismer for sikker oppdatering

Videre innebærer forslaget at ordningene skal fastsette flere spesifikke elementer knyttet til omfang og innhold i cybersikkerhetssertifiseringen. Det omfatter bl.a. valg av aktuelle IT-produkter og -tjenester, spesifisering av cybersikkerhetskrav (f.eks. med henvisning til relevante standarder eller tekniske spesifikasjoner), evalueringskriterier og -metoder og det tillitsnivået de er ment å garantere, herunder grunnleggendebetydelig eller høyt, jf. art. 46 og 47. Det foreslås ulike sertifiseringsordninger for ulike kategorier av produkter og tjenester: kritiske- og høyrisikoapplikasjoner (fra biler til kraftstasjoner), mye brukte digitale tjenester, nettverk og systemer (fra rutere til e-post, brannmur og antivirus), og masseproduserte tilkoblede produkter som utgjør Internet of things (f.eks. lyspærer og webkameraer) e-post, brannmurer. Det skal være frivillig å benytte seg av sertifiseringsregelverket.

OM FORBEREDELSE OG VEDTAKELSE AV SERTIFISERINGSORDNINGER:

Forslaget legger opp til at de europeiske sertifiseringsordningene skal utarbeides av ENISA, med bistand fra og i tett samarbeid med en europeisk cybersikkerhetssertifiseringsgruppe som skal nedsettes med forordningen. Kommisjonen vedtar sertifiseringsordningene ved hjelp av gjennomføringsrettsakter, jf. art. 44. Det følger av forslaget at det er Kommisjonen som igangsetter arbeidet med en gitt sertifisering ved å anmode ENISA om å utarbeide en ordning for spesifikke IT-produkter eller -tjenester. De ulike ordningene skal publiseres på en webside drevet av ENISA, jf. art. 44.

OM CYBERSIKKERHETSSERTIFISERING:

Når en europeisk cybersikkerhetssertifiseringsordning har blitt vedtatt kan produsenter og tilbydere av IT-tjenester søke sertifisering for deres produkter eller tjenester. Sertifiseringen er i henhold til forslaget frivillig, med mindre annet blir fastsatt i EU-retten. Sertifisering og utstedelse av cybersikkerhetsattest skal utføres av etterlevelsesorganer (conformity assessment bodies) som er akkreditert til å utføre sertifiseringer. Akkrediteringen utføres av nasjonale akkrediteringsorganer som er utpekt i henhold til forordning (EF) nr. 765/2008 om krav til akkreditering og markedsovervåkning ifm markedsføring av produkter. I medhold av lov 12. april 2013 nr. 13 om det frie varebytte i EØS (EØS-vareloven) § 3 første ledd er Norsk Akkreditering pekt ut som nasjonalt akkrediteringsorgan i Norge. Forslaget åpner for at man i unntakstilfeller kan fastsette i en sertifiseringsordning at sertifiseringen i godt begrunnede tilfeller skal foretas av et offentlig organ. Nasjonale tilsynsmyndigheter skal for hver europeisk sertifiseringsordning orientere Kommisjonen om akkrediterte etterlevelsesorganer. Kommisjonen vil på bakgrunn av dette, og innen et år etter ikrafttredelse av forslaget, offentliggjøre en liste over innmeldte etterlevelsesorganer. Cybersikkerhetsattestene utstedes for en periode på inntil tre år og vil kunne forlenges på samme vilkår, hvis kravene fortsatt er oppfylt. En europeisk cybersikkerhetsattest skal anerkjennes i alle medlemsland, jf. art. 48(7).

OM NASJONALE ORDNINGER OG MYNDIGHETER:

Nasjonale sikkerhetssertifiseringsordninger for IT-produkter og -tjenester som omfattes av en europeisk sertifiseringsordning, vil i henhold til forordningens art. 49(1) opphøre fra det tidspunkt som følger av gjennomføringsrettsakten hvor ordningen vedtas, jf. art. 44(4). Formålet er å sikre harmonisering og unngå fragmentering av det indre marked. Medlemslandene må heller ikke vedta nye nasjonale sertifiseringsordninger for IT-produkter og -tjenester som allerede er omfattet av en europeisk ordning. Allerede utstedte attester i henhold til en nasjonal sertifiseringsordning vil være gyldig frem til utløpsdato, jf. art. 49(3).

Forslaget innebærer at det må utpekes en myndighet i hvert land som kan føre tilsyn med sertifiseringen, herunder at etterlevelsesorganene overholder regelverket, at de attester som organene har utstedt er i overenstemmelse med kravene som følger av forordningen og at de er i henhold til den europeiske cybersikkerhetssertifiseringsordningen. Den nasjonale myndigheten skal kunne behandle klager ifm attester utstedt av etterlevelsesorganene.

Forslaget legger opp til at det etableres en europeisk cybersikkerhetssertifiseringsgruppe, jf. art. 53, bestående av alle medlemslands nasjonale sertifiseringstilsynsmyndigheter. Gruppen skal både gi råd til Kommisjonen i cybersikkerhetssertifiseringspolitikk, samt samarbeide med ENISA om å utarbeide forslag til europeiske cybersikkerhetssertifiseringsordninger. Gruppen kan også foreslå for Kommisjonen konkrete ordninger som ENISA bør få i oppdrag å utarbeide. Kommisjonen innehar formannskapet og sekretariatsfunksjonen for gruppen med bistand fra ENISA, jf. art. 50. Medlemslandene skal iht forslaget fastsette regler for sanksjoner for brudd på forordningens bestemmelser og de europeiske sertifiseringsordninger. Sanksjonene skal være effektive, stå i rimelig forhold til bruddet og ha avskrekkende effekt, jf. art. 54. Effekten av ENISAs nye rolle og virkningen av sertifiseringsordningen skal evalueres hvert 5. år.

Merknader
Foreløpig vurdering av rettslige konsekvenser:

  • Medlemsstatene skal sørge for en nasjonal tilsynsmyndighet for sertifisering, hvis oppgaver bl.a. vil være kontroll med etterlevelsen av ordningen, sanksjoner ved brudd og klagebehandling. Myndighetene skal også få hjemmel til å få adgang til kontorlokaler for undersøkelser.
  • Myndighetene skal også samarbeide med andre sertifiseringsmyndigheter eller øvrige myndigheter, samt utveksle informasjon om manglende overholdelse av regelverket.
  • Etterlevelsesorganer skal akkrediteres av tilsynsmyndigheten.
  • Det blir behov for endring av ekomforskriften § 8-7 (Gjennomføring av forordning om ENISA).
  • Mer konkrete og eventuelt ytterligere rettslige konsekvenser må vurderes nærmere.

Foreløpig vurdering av økonomiske- og administrative konsekvenser dersom lovforslaget blir vedtatt implementert i sin nåværende form:

  • Nasjonale sertifiseringsordninger for produkter- og tjenester skal opphøre, og det tillates ikke overlappende sertifiseringsordninger dersom området er dekket under det nye lovforslaget.
  • Sertifisering og utstedelse av cybersikkerhetsattester (sertifikater med tre års gyldighet) foretas av akkrediterte etterlevelsesorganer.
  • Det skal etableres en europeisk cybersikkerhetssertifiseringsgruppe bestående av nasjonale tilsynsmyndigheter for sertifisering som dels skal rådgi kommisjonen og dels foreslå sertifiseringsordninger.
  • Kravet om etablering av et nasjonalt tilsynsorgan for sertifisering kan innebære økonomiske konsekvenser. Det er uklart hva det mer konkret vil innebære, f.eks om man bygger videre på eksisterende sertifiseringsordning nasjonalt eller om man skal bygge noe helt nytt.
  • Sertifiseringen skal bidra til økt robusthet i produkter og tjenester, noe som vil være fordelaktig for både privat og offentlig sektor. Større innsatsfaktorer på forebyggende tiltak gjennom mer robust tilvirkning av produkter og tjenester, vil i neste omgang kunne redusere behovet for hendelseshåndtering på kritiske områder gitt god utbredelse av sikrere produkter og tjenester. Det vurderes som viktig at industrien kan ha god forutsigbarhet med hensyn til innføringen av nye sikkerhetskrav, slik at industrien dermed kan gjøre nødvendige tilpasninger i utviklingsfasen. Mer robuste produkter og tjenester forventes derfor å kunne gi samfunnsøkonomiske gevinster. Det er imidlertid avgjørende at rammeverket legger opp til utstrakt bruk av internasjonalt anerkjente standarder, og at sertifiseringsordningen er åpen og tilgjengelig for alle interessenter innenfor og utenfor Europa. Dersom sertifiseringsordningen kun blir et europeisk anliggende, innebærer det nye barrierer for interessentene som dermed kan føre til bedrifts- og samfunnsøkonomiske tap.
  • Forordningen indikerer en dobling av ENISAs finansielle og menneskelige ressurser i løpet av de neste fem årene. Hvilke konsekvenser dette vil få for den årlige EØS-kontingenten må ettergås nærmere.

Sakkyndige instansers merknader:

  • Faglige innspill er mottatt fra NSM, SD, Nkom, FD, KMD og NFD.
  • Forslaget ble behandlet av SU Kommunikasjoner januar 2018 og muntlig fremlagt for utvalget 2/2-18.

Vurdering

Forordningen vurderes foreløpig som positiv sett opp mot de utfordringene man ser innenfor IKT-sikkerhetsfeltet. En styrking av ENISA vil tilrettelegge for langsiktig planlegging samt understøtte NIS-direktivet som gir ENISA oppgaver av permanent karakter. Alle medlemslandene i EU har likevel et selvstendig ansvar for å sørge for egen IKT-sikkerhet. En eventuell utvidelse av ENISAs mandat bør ikke være til erstatning for dette ansvaret. Det er uklart hvor inngripende ENISAs myndighet overfor nasjonale myndigheter kan bli, og dermed også i hvor stor grad dette vil kunne komme til å påvirke Norge, samt eventuelt forholdet mellom relevante nasjonale aktører og ENISA. Flere medlemsland og fagmiljø har uttrykt uenighet mot å legge et operativt element inn i ENISA. Det er behov for å se nærmere på hva slags operasjonell kapasitet ENISA skal utgjøre, samt hva slags operasjonell bistand som skal tilbys for håndtering av grenseoverskridende IKT-sikkerhetshendelser. Ved grenseoverskridende hendelser kan det by på utfordringer når det gjelder forholdet mellom nasjonal sikkerhet og hva som skal håndteres under det nye rammeverket. Her er det nødvendig med avklaringer, da det foreliggende lovutkastet ikke klargjør dette.

Omforent sertifisering for både EU og EØS anses i utgangspunktet for å være et positivt tiltak. Ettersom leverandører av slike tjenester ofte er globale og/eller europeiske, er felles-europeiske løsninger riktig. Sertifisering av produkter og tjenester vil ikke motvirke norske interesser. Et sertifiseringsrammeverk bør i størst mulig grad være beskrivende med tanke på kvalitets- og sikkerhetsnivået som oppnås, og det bør legges til rette for at det vil være attraktivt å benytte i markedsføringssammenheng. Da vil det være mindre behov for regulering, og effekten vil komme på grunn av etterspørsel. Det er imidlertid flere uavklarte spørsmål. Et spørsmål er hvordan og hvem som skal føre tilsyn med sertifiseringsordningen. Både NSM og Nkom har relevant kompetanse, så dette spørsmålet må vurderes nærmere. Per i dag har Nkom en rolle når det gjelder funksjonalitet i ekomnett og ikke minst for utstyr som bruker radio. NSM har på sin side allerede gjennomført sertifisering av operative sikkerhetstjenester og tjenestemiljøer. NSM mener at forslaget legger opp til ulike former for sertifisering – fra konsumentprodukter og bedriftsløsninger til løsninger som krever høyere sikkerhet som eksempelvis i kritiske infrastrukturer – og at det kan innebære at det må kunne etableres flere typer sertifiseringsorganer. Det er også uklart hvordan EUs rammeverk vil forholde seg til eksisterende sertifiseringsordninger innenfor IKT-sikkerhetsområdet, slik som CCRA[1] og SOGIS[2]. Det er dermed uklart hvordan fremtiden for CCRA og SOGIS vil se ut. Dersom SOGIS fortsatt skal ha en rolle under EUs rammeverk, vil Norge kunne fortsette sertifisering og anerkjennelse av sertifikater som tidligere under SOGIS avtaleverk. Slik dokumentet fremstår nå, tyder det imidlertid på at det vil bli et fragmentert marked mellom Europa, Amerika og Asia.

Det er viktig at ny sertifiseringsløsning ikke kommer i konflikt med etablerte internasjonale sertifiseringsløsninger, men komplementerer eller understøtter disse. Dette forutsettes det at vil bli håndtert i den videre prosessen med forordningen. Det bør ikke være særnorske behov i denne sammenheng. Norge vil mest trolig måtte etterleve de bestemmelsene som til slutt blir vedtatt i EU. Norske myndigheter vil følge prosessen tett, slik at ev. tilpasningsavtaler kan fremforhandles, dersom det viser seg nødvendig.

Dersom gjensidig anerkjennelse av sertifikater i land utenfor EU ikke blir en del av EUs lovforslag, eller dette ikke omfattes av handelsavtaler, vil norske IT-produkter, prosesser og tjenester for både europeiske og internasjonale markeder måtte sertifiseres mer enn én gang, litt avhengig av hvor mange ulike avtaleverk som til slutt blir den endelige løsningen. Tilsvarende vil IT-produkter produsert i EU, eller prosesser og tjenester som ytes fra EU måtte sertifiseres på nytt for markeder utenfor EU, dersom gjensidig anerkjennelse ikke er avtalt eller handelsavtaler er på plass. I forordningen henvises det til eksisterende ordning for akkreditering av sertifiseringsorgan og derigjennom til gjensidig aksept av sertifikater iht. avtalen om europeisk akkreditering (EA). Norge er del av EA gjennom Norsk akkreditering, men det er uklart om denne deltagelsen (alene) vil sikre aksept i EU av sertifikater utgitt av norsk sertifiseringsorgan.

Foreslått organisering og styring av ENISA forandres i liten grad sammenlignet med i dag. I forslagets art. 39 videreføres eksisterende ordning når det gjelder tredje lands deltakelse i ENISA. Vi kan derfor ikke se at forordningen - med et utvidet og permanent mandat for ENISA - vil medføre endringer for Norges rolle i ENISA. I samarbeid med EFTA-sekretariatet har vi derimot bedt om en klargjøring av art. 54 - altså den europeiske ekspertgruppen - at denne gruppen også består av EFTA-land.

Foreløpig konklusjon

En første gjennomgang av forordningen indikerer at forslaget er EØS-relevant og akseptabelt. Den foreslåtte organiseringen og styringen av ENISA forandres i liten grad sammenlignet med i dag, men det bør avklares nærmere hva slags operasjonell kapasitet ENISA skal få i gitte situasjoner. Forordningen indikerer en dobling av ENISAs finansielle og menneskelige ressurser i løpet av de neste fem årene. Hvilke konsekvenser dette vil få for den årlige EØS-kontingenten må ettergås nærmere. Hvis det blir besluttet å inngå i EUs sertifiseringssamarbeid vil dette kunne ha økonomiske og administrative konsekvenser. Det er flere positive og interessante sider ved å etablere en slik sikkerhetssertifiseringsordning, men det er viktige spørsmål som fortsatt er uavklart.

 

[1]  Internasjonalt forum som Norge er medlem av: “Arrangement on the Recognition of the Common Criteria Certificates in the field of Information Technology Security (CCRA)”.

[2] Internasjonal avtale som Norge er del av: “Mutual Recognition Agreement of Information Technology Security Evaluation Certificates (SOGIS)”.

Andre opplysninger

Nøkkelinformasjon

Institusjon: Kommisjonen
Type rettsakt: Forordning
KOM-nr.: KOM(2017)477
Basis rettsaktnr.:

Norsk regelverk

Høringsstart:
Høringsfrist:
Frist for gjennomføring:

Lenker

Til toppen