Administrerte sikkerhetstjenester - endringer i cybersikkerhetsforordningen

Status

Endringsforordningen ble vedtatt 19. desember 2024 og publisert 15. januar 2025. Forordningen trådte i kraft i EU 4. februar 2025.

Sammendrag av innhold

Bakgrunn og formål

Forordningen gjør endringer i forordning (EU) 2019/881 med den hensikt å muliggjøre etablering av europeiske cybersikkerhetssertifiseringsordninger for administrerte sikkerhetstjenester. Hovedmålet med endringsforordning (EU) 2025/37 er å integrere administrerte sikkerhetstjenester i EUs rammeverk for cybersikkerhetssertifisering for å styrke Unionens motstandskraft mot cyberangrep og forhindre sårbarheter.

Administrerte sikkerhetstjenester består i å utføre, eller yte bistand til, aktiviteter knyttet til håndtering av cybersikkerhetsrisiko. Slike tjenester har fått økende betydning i forebygging og håndtering av hendelser.

I fremleggelsen av forslaget til forordning viste EU-kommisjonen til konklusjoner fra Europarådet av 23. mai 2023 hvor EU og medlemsstatene ble oppfordret til å styrke innsatsen for å øke det generelle nivået av cybersikkerhet, for eksempel ved å legge til rette for fremveksten av pålitelige cybersikkerhetstjenesteleverandører. Kommisjonen uttaler at sertifisering av administrerte sikkerhetstjenester er et effektivt virkemiddel for å sikre tillit til kvaliteten på disse tjenestene og dermed lette etableringen av en pålitelig europeisk cybersikkerhetsindustri. Leverandører av administrerte sikkerhetstjenester kommer bl.a. til å spille en viktig rolle i EUs cybersikkerhetsreserve, hvis gradvise oppbygging understøttes av cybersolidaritetsforordningen. De relevante cybersikkerhetstjenestene som leveres av såkalte «pålitelige leverandører» etter cybersolidaritetsforordningen tilsvarer de «administrerte sikkerhetstjenestene» i dette forslaget.

Endringsforordningen endrer ikke virkeområdet eller forpliktelsene i cybersikkerhetsforordningen. Forordningen er i samsvar med NIS2-direktivet og leverandører av administrerte sikkerhetstjenester skal anses for å være vesentlige eller viktige enheter som tilhører en sektor av særlig kritisk betydning i henhold til NIS2-direktivet. Som det fremgår i fortalepunkt 86 i NIS2-direktivet spiller tilbydere av administrerte sikkerhetstjenester en viktig rolle i å bistå virksomheter i deres arbeid med å forebygge, oppdage, reagere på eller gjenopprette etter hendelser. Disse leverandørene er imidlertid også et mål for cyberangrep selv. Vesentlige og viktige enheter etter NIS2 bør derfor utvise forsiktighet ved valg av leverandører av administrerte sikkerhetstjenester.

Endringsforordningen tar sikte på å forbedre kvaliteten og sammenlignbarheten av administrerte sikkerhetstjenester og åpner dermed for at vesentlige og viktige enheter underlagt NIS2 kan utøve økt aktsomhet ved valg av leverandør av administrerte sikkerhetstjenester, slik det kreves i direktivet. I tillegg er definisjonen av «administrerte sikkerhetstjenester» i forordningen avledet fra og nært knyttet til definisjonen av «leverandører av administrerte sikkerhetstjenester» i NIS2.

Endringsforordningen utfyller også cybersolidaritetsforordningen (EU) 2025/38. Etter cybersolidaritetsforordningen skal det etableres en cybersikkerhetsreserve på EU-nivå, som blant annet bør ta hensyn til om relevante leverandører i reserven har en europeisk eller nasjonal cybersikkerhetssertifisering. Fremtidige sertifiseringsordninger for administrerte sikkerhetstjenester vil derfor spille en viktig rolle i gjennomføringen av cybersolidaritetsforordningen.

Nærmere om forslaget

Forslaget er delt inn i to artikler og kan oppsummeres som følger:

Artikkel 1 endrer forordning (EU) 2019/881 ved å inkludere «administrerte sikkerhtstjenester» i EUs rammeverk for cybersikkerhetssertifisering. Disse tjenestene, slik som respons på hendelser, penetrasjonstesting, sikkerhetsrevisjon og rådgivning, anses som kritiske og sensitive, og tilbys for å hjelpe selskaper og andre organisasjoner med å forhindre, oppdage, svare eller komme seg etter cyberhendelser.

Oppsummert inneholder artikkel 1 følgende endringer i cybersikkerhetsforordningen:

• utvider det europeiske rammeverket for cybersikkerhetssertifisering i Cybersecurity Act til å inkludere «administrerte sikkerhetstjenester»
• introduserer en definisjon av disse tjenestene, som er tilpasset definisjonen av «leverandører av administrerte sikkerhetstjenester» etter NIS2-direktivet
• fastsetter en ny artikkel 49a om informasjon og konsultasjon om de europeiske sertifiseringsordningene for cybersikkerhet
• fastsetter en ny artikkel 51a om sikkerhetsmål for europeiske cybersikkerhetssertifiseringsordninger for administrerte sikkerhetstjenester og
• legger til en rekke tekniske endringer for å sikre at de relevante artiklene også gjelder for «administrerte sikkerhetstjenester»

Artikkel 2 fastsetter at tiltaket trer i kraft den tjuende dagen etter at det ble offentliggjort i EUs offisielle tidsskrift.

Merknader
Rettslige konsekvenser

Cybersikkerhetsforordningen er innlemmet i EØS-avtalen og gjeldende i EØS. Digitalsikkerhetsloven legger til rette for at cybersikkerhetsforordningen inkorporeres som forskrift. Slik forskrift er under utarbeidelse. Endringsforordningen vil innlemmes som forskrift til digitalsikkerhetsloven på samme måte som cybersikkerhetsforordningen. 

Den aktuelle bestemmelsen i digitalsikkerhetsloven som gir hjemmel til å gjennomføre cybersikkerhetsforordningen som forskrift til loven omhandler sikkerhetssertifisering av "IKT-produkter, IKT-tjenester og IKT-prosesser". Justis- og beredskapsdepartementet vurderer at det kan være behov for endringer i denne ordlyden for å reflektere at loven også hjemler gjennomføring av endringsforordningen om cybersikkerhetssertifisering av "administrerte sikkerhetstjenester".

Nasjonal sikkerhetsmyndighet har sendt på høring forskrift til digitalsikkerhetsloven som skal gjennomføre cybersikkerhetsforordningen i norsk rett. Endringsforordningen om administrerte sikkerhetstjenester er også omtalt og det foreslås endringer i digitalsikkerhetsloven som nevnt i avsnittet over.

Økonomiske og administrative konsekvenser

EU-kommisjonen har angitt at forslaget har ingen budsjettmessige konsekvenser for EU, hvilket indikerer at forslaget heller ikke har nevneverdige økonomiske eller administrative konsekvenser ved eventuell innlemmelse i EØS-avtalen og norsk rett.

Forslaget endrer ikke prinsippet om frivillighet, slik at det vil fortsatt være opp til medlemsstatene selv å gjøre bruk av de europeiske sertifiseringsordningene som eventuelt vil bli etablert ved gjennomføringsforordninger.

Skulle det bli aktuelt for Norge å implementere en europeisk sertifiseringsordning for administrerte sikkerhetstjenester, vil denne kunne få konsekvenser for NSMs etablerte kvalitetsordning for hendelseshåndtering, og kunne medføre at det vil bli behov for en fornyet vurdering av denne.

Sakkyndige instansers merknader

EØS-notatet har vært forelagt Spesialutvalget for kommunikasjoner.

Vurdering

Rettsakten vurderes EØS-relevant og akseptabel. Forordningen utfyller annet sentralt EØS-regelverk som det legges opp til at Norge vil bli en del av, herunder NIS2-direktivet og cybersolidaritetsforordningen.

Andre opplysninger

Nøkkelinformasjon

Institusjon:	Parlament og Råd
Type rettsakt:	Forordning
KOM-nr.:
Rettsaktnr.:	(EU) 2025/37
Basis rettsaktnr.:
Celexnr.:	32025R0037

EFTA-prosessen

Dato mottatt standardskjema:	12.02.2025
Frist returnering standardskjema:	04.06.2025
Dato returnert standardskjema:
EØS-relevant:	Ja
Akseptabelt:	Ja
Tekniske tilpasningstekster:	Nei
Materielle tilpasningstekster:	Nei
Art. 103-forbehold:	Ja

Norsk regelverk

Endring av norsk regelverk:	Ja
Høringsstart:
Høringsfrist:
Frist for gjennomføring:

Lenker

• Kommisjonens forslag
• EU-tidende