Implementering af EU's direktiv om net- og informationssikkerhed (NIS)

RESUMÉ

EU-Rådet har den 21. april 2016 offentliggjort den endelige version af direktivet om net- og informationssikkerhed (NIS). Selvom direktivet stadig skal godkendes formelt af Europa-Parlamentet til sommer, er de tre EUinstitutioner nået til enighed om teksten, som ikke forventes at blive ændret yderligere. Medlemsstaterne er forpligtet til at gennemføre direktivet i deres nationale ret senest 21 måneder efter dets vedtagelse. Som en hjælp til denne proces indeholder vedlagte bilag en vejledning i bedste praksis for, hvordan de aspekter, der er relevante for teknologiindustrien, kan gennemføres, og hvordan der bedst tages højde for forfatternes hensigter.

EU’s NIS-direktiv er den første paneuropæiske lovgivning om cybersikkerhed. Den sigter på at styrke de nationale cybermyndigheder og øge koordinationen imellem dem, og den indfører sikkerhedskrav til de vigtigste industrisektorer på området.

De nationale implementeringerbør ikke tabe direktivets to hovedformål af syne: (1) at sikre landets kritiske infrastrukturer et højt cybersikkerhedsniveau; (2) at etablere en effektiv samarbejdsmekanisme mellem EUmedlemsstaterne i dette øjemed. Ressourcerne skal først og fremmest bruges på at nå disse to vigtige mål.

For teknologiindustrien er bestemmelserne vedrørende de såkaldte udbydere af digitale tjenester (UDT’er) af særlig interesse. Direktivet angiver klart, at der er fundamentale forskelle på operatører af væsentlige tjenester (OVT’er) og UDT’er. Sidstnævnte betragtes således ikke som sådan som kritisk infrastruktur. Som det afspejles i lovgivningen ville en hændelse, der rammer disse digitale tjenester, udgøre en væsentligt lavere risiko for et lands økonomiske og offentlige sikkerhed. Det er vigtigt at opretholde denne forskel for at sikre en effektiv udnyttelse af de knappe ressourcer, som de myndigheder, der skal overvåge og håndhæve reglerne, råder over.

Vi anbefaler derfor, at der tages nøje højde for det tilsigtede omfang af de nævnte tjenester, og vi appellerer til de politiske beslutningstager om ikke at gøre andre sektorer end de, der identificeres som UDT’er eller OVT’er, til genstand for sikkerhedskrav i den nationale lovgivning.

Med hensyn til jurisdiktion skal UDT’er kunne regne med den lov, der gælder i det land, hvor de har deres hovedforretningssted, selv i sager der involverer kompetente myndigheder i mere end et land. Med hensyn til tilsyn bør de kompetente myndigheder anvende en ex post-tilgang i stedet for at pålægge en generel forpligtelse til at overvåge UDT’erne. De skal endvidere fokusere på resultaterne og opretholde forskellen mellem OVT’er og UDT’er ved ikke at pålægge sidstnævnte krav, som ikke indgår i direktivet, såsom auditering eller bindende instruktioner.

UDT’ernes sikkerhedsforanstaltninger skal være forskellige fra OVT’ernes, eftersom direktivet angiver, at UDT’erne udgør en væsentligt lavere sikkerhedsrisiko. Beslutningstagerne bør realisere målet om harmonisering for disse tjenester, anerkende eksisterende internationale industristandarder, undgå at påbyde teknologier, og overholde UDT’ernes ret i henhold til direktivet til at definere hvilke sikkerhedsforanstaltninger, der er mest hensigtsmæssige for deres systemer. Hændelsesunderretning skal også være så harmoniseret som muligt på europæisk niveau. Den skal fokusere på hændelser, der påvirker tjenestens kontinuitet, tillade en fleksibel tidsplan for underretningen og skabe et tillidsmiljø, som indbyder til at dele information, uden at den underrettende part udsættes for øget risiko.

De foranstaltninger, der pålægges OVT’erne, vil også påvirke andre industrier, eftersom sikkerhedsforanstaltningerne og kravene om hændelsesunderretning vil blive udbredt gennem indgåelse af kontrakter med underleverandører. Dette gælder særligt for cloud-tjenester. Som følge heraf kan UDT’er indirekte blive underlagt deres kunders nationale love, og vi har derfor en stærk interesse i, at der gælder internationalt anerkendte sikkerhedsforanstaltninger for disse tjenester. Vi foreslår også koordination og synergi i så stort et omfang som muligt mellem kravene om underretning for både OVT’er og UDT’er, eftersom sidstnævnte sandsynligvis kan blive genstand for dobbelt underretning.

Direktivet har ambition om at nå et højt fælles sikkerhedsniveau for net- og informationssystemer med henblik på at forbedre det indre markeds funktion. For at nå dette høje mål skal de nationale implementeringer fokusere på en risikobaseret, harmoniseret og international tilgang. De skal give den private sektor tilstrækkelig fleksibilitet til at tilpasse sig til det hurtigt skiftende truselsbillede, tillade cybermyndighederne at fokusere deres begrænsede ressourcer på de vigtigste udfordringer, og huske på, at løsningen til et grænseoverskridendet problem nødvendigvis må være global. Vi håber, denne vejledning vil være et nyttigt værktøj i dette øjemed, og vi besvarer meget gerne alle yderligere spørgsmål.