Erhvervs-, Vækst- og Eksportudvalget 2017-18
ERU Alm.del Bilag 190
Offentligt
1895119_0001.png
SAMLENOTAT TIL
FOLKETINGETS EUROPAUDVALG
11. maj 2018
Forslag til Europa-Parlamentets og Rådets forordning om ENISA,
”EU’s Agentur for Cybersikkerhed”, om ophævelse af forordning
(EU) nr. 526/2013 og om cybersikkerhedscertificering af informa-
tions-
og kommunikationsteknologi (”forordningen om cybersik-
kerhed”) KOM(2017) 477
Notatet er en opdatering af grund- og nærhedsnotat oversendt til Folketin-
gets Europaudvalg den 8. november 2017. Ændringer er markeret i
fed/kursiv.
1.
Resumé
Kommissionen fremsatte den 14. september 2017 forslag til forordning om
ENISA, ”EU’s Agentur for Cybersikkerhed”, og om cybersikkerhedscertifice-
ring af informations-
og kommunikationsteknologi (”forordningen om cyber-
sikkerhed”)
KOM(2017)
477. Forslaget har til formål at sikre et velfungerende
indre marked og sørge for et højt niveau af cybersikkerhed,
cybermod-
standsdygtighed og tillid i EU.
Formålet søges opnået
ved at fastsætte
målene og opgaverne for EU’s
agentur
for cybersikkerhed (ENISA) samt etab-
lere en europæisk ramme for cybersikkerhedscertificering for
informations-
og kommunikationsteknologiske produkter og tjenester (IKT-pro-
dukter og tjenester).
Med forslaget får
ENISA en stærkere og mere central
rolle
bl.a.
ved at
støtte medlemsstaternes gennemførelse af NIS-di-
rektivet
1
og ved at støtte medlemsstaterne og EU-institutionerne i forbin-
delse med at styrke cybersikkerheden. For at sikre et stabilt grundlag for
fremtidig cybersikkerhed tildeles ENISA et permanent mandat, og ENISA’s
rolle som EU’s
agentur
for
cybersikkerhed
præciseres. Ydermere skal forsla-
get om en samlet ramme af regler for indførelsen af specifikke certificerings-
ordninger bl.a. være med til at øge tilliden til IKT-produkter og -tjenester.
1
Direktiv (EU) 2016/1148 om foranstaltninger, der skal sikre et højt fælles sikkerhedsni-
veau for net og informationssystemer i hele Unionen.
ERU, Alm.del - 2017-18 - Bilag 190: Samlenotat om EU-Kommissionens forslag til forordningen om cybersikkerhed. fra erhvervsministeren
1895119_0002.png
Forslaget forventes at have positive samfundsøkonomiske og erhvervsøkono-
miske konsekvenser i kraft af øget cybersikkerhed og et mere velfungerende
indre marked gennem styrket tillid og robusthed over for cybersikkerheds-
trusler. Forslaget skønnes at have statsfinansielle konsekvenser
i form af
øgede udgifter på EU’s budget til ENISA samt
i
kraft af udpegningen af
en national tilsynsmyndighed i forbindelse med cybersikkerhedscertificerings-
ordningen. Forslaget forventes ikke at have lovgivningsmæssige konsekven-
ser.
Regeringen støtter overordnet set
forslaget
om et nyt, styrket og udvidet
mandat til
ENISA. Det er endvidere
regeringens holdning, at ENISA’s op-
gaver
skal respektere
medlemsstaternes
kompetence vedrørende
nati-
onal sikkerhed og forsvar.
Endvidere støtter regeringen overordnet forslaget om en fælleseuropæisk
ramme for certificering af IKT-produkter og -tjenester. Regeringen lægger
vægt på, at der ved udvikling af en ramme for certificeringsordninger skal
tilstræbes en balanceret løsning, der både tilgodeser sikkerhedshensyn og
virksomheders konkurrence- og vækstvilkår.
2.
Baggrund
Kommissionen
har ved KOM 2017(477) endelig af
14. september
2017 fremsat
forslag til Europa-Parlamentets og Rådets forord-
ning
om ENISA, ”EU’s Agentur for Cybersikkerhed”, om ophævelse af for-
ordning (EU) nr. 526/2013 og om cybersikkerhedscertificering af informa-
tions-
og kommunikationsteknologi (”forordningen om cybersikkerhed”).
Forslaget er oversendt til Rådet i dansk sprogversion den 11. oktober 2017.
Forslaget er fremsat med hjemmel i artikel 114 i Traktaten om
Den Europæiske Unions Funktionsmåde (TEUF) og skal behandles
efter den almindelige lovgivningsprocedure i TEUF artikel 294.
Rådet træffer afgørelse med kvalificeret flertal.
ENISA er EU’s agentur for cybersikkerhed. Agenturet fungerer
som et ekspertisecenter, der har til opgave at forbedre net- og
informationssikkerheden i EU og støtte kapacitetsopbygningen i
medlemsstaterne. ENISA blev oprettet i 2004
2
for at bidrage til
det overordnede mål om at sikre et højt fælles niveau for net- og
informationssikkerhed i EU. I 2013 blev agenturets nye mandat
fastsat for en periode på syv år frem til 2020
3
. Agenturet har sit
hjemsted i Grækenland.
2
Europa-Parlamentets og Rådets forordning (EF) nr. 460/2004 af 10. marts 2004 om oprettelse af et
europæisk agentur for net- og informationssikkerhed.
3
Europa-Parlamentets og Rådets forordning (EU) nr. 526/2013 af 21. maj 2013 om Den Europæiske
Unions Agentur for Net- og Informationssikkerhed (ENISA) og om ophævelse af forordning (EF)
nr. 460/2004 EØS-relevant tekst.
2
ERU, Alm.del - 2017-18 - Bilag 190: Samlenotat om EU-Kommissionens forslag til forordningen om cybersikkerhed. fra erhvervsministeren
1895119_0003.png
EU har truffet en række yderligere foranstaltninger for at styrke
cybersikkerhedsniveauet. EU har således bl.a. vedtaget et direktiv
om sikkerhed for net- og informationssystemer ("NIS-direktivet")
i 2016, der har til formål at sikre et højt fælles sikkerhedsniveau
for net- og informationssystemer inden for en række særligt sam-
fundsvigtige sektorer (energi, transport, bankvæsen, sundhed,
drikkevandsforsyning, digital infrastruktur mv.).
I 2016
fremlagde
Kommissionen
endvidere
en meddelelse
4
om styrkelse
af Europas system for modstandsdygtighed over for cyberangreb
og
fremme af en konkurrencedygtig og innovativ cybersikkerhedsin-
dustri
,
hvori der blev bebudet yderligere foranstaltninger til at øge EU-
samarbejdets modstandskraft og beredskab.
Ligeledes i 2016 vedtog
Rådet konklusioner, som
bl.a.
bekræftede, at
"ENISA-forordningen er et af de centrale elementer i EU's ramme for mod-
standsdygtighed over for cyberangreb"
5
. I
maj 2017 fremlagde Kom-
missionen en
meddelelse om midtvejsevalueringen af strategien for det
digitale indre marked
6
,
hvori man bl.a
.
angav at ville revidere ENISA’s
mandat senest i september 2017.
Det fremgår af Kommissionens forslag, at det baserer sig på en
evaluering af ENISA; omfattende en uafhængig undersøgelse og
en offentlig høring. Evalueringen vurderede bl.a. agenturets rele-
vans, effektivitet og EU-merværdi med hensyn til dets præstatio-
ner, styring, intern organisatorisk struktur og arbejdsmetoder i
perioden 2013-2016.
Det fremgår videre af Kommissionens forslag, at høringerne af in-
teressenter og evalueringen tydede på, at ENISA's ressourcer og
mandat må tilpasses, så det i tilstrækkelig grad kan reagere på
nuværende og fremtidige udfordringer. På denne baggrund læg-
ges op til en revision af ENISA's mandat, og fastsættelse af et nyt
sæt opgaver og funktioner med sigte på effektiv støtte til med-
lemsstaternes, EU-institutionernes og andre interessenters ind-
sats for et sikkert cyberspace i EU.
3.
Formål og indhold
Forslaget
har til formål at sikre et velfungerende indre marked med et højt
niveau af cybersikkerhed,
cyber
modstandsdygtighed og tillid i EU ved at fast-
sætte målene og opgaverne for ENISA samt etablere en fælleseuropæisk
ramme for cybersikkerhedscertificering for produkter og tjenester inden for
informations- og kommunikationsteknologi (IKT)
7
.
4
5
COM(2016) 410 final.
Rådets konklusioner om styrkelse af Europas modstandsdygtighed over for cyberangreb og fremme
af en konkurrencedygtig og innovativ cybersikkerhedsindustri
15. november 2016. (Dok. 14540/16).
6
COM(2017) 228 final.
7
Den nuværende kompromistekst medtager også IKT-processer.
3
ERU, Alm.del - 2017-18 - Bilag 190: Samlenotat om EU-Kommissionens forslag til forordningen om cybersikkerhed. fra erhvervsministeren
1895119_0004.png
ENISA
– EU’s
a
gentur for
c
ybersikkerhed
Med
det foreslåede mandat får
ENISA en stærkere og mere central rolle
bl.a. ved at støtte medlemsstaternes gennemførelse af NIS-direktivet
og ved
at støtte medlemsstaterne og EU-institutionerne i forbindelse med
at styrke cybersikkerheden
. I henhold til forslaget tildeles ENISA et per-
manent mandat for at sikre et stabilt grundlag for fremtiden, og ENISA’s rolle
som EU’s
a
gentur for
c
ybersikkerhed præciseres.
Mandatet, målene og
opgaverne vil dog fortsat være genstand for regelmæssig revision.
Det fremgår af forslaget, at det ikke berører medlemsstaternes be-
føjelser med hensyn til cybersikkerhed og under ingen omstændig-
heder berører aktiviteter vedrørende offentlig sikkerhed, forsvar,
national sikkerhed og statens aktiviteter på det strafferetlige om-
råde.
Forslaget lægger op til, at ENISA skal varetage nedenstående centrale opga-
ver
8
.
Udvikling og implementering af EU-politikker og regulering
ENISA får til opgave at bidrage proaktivt til udviklingen
af
politik
ken
i forhold
til net- og informationssikkerhed samt andre politiske initiativer med cyber-
sikkerhedselementer inden for forskellige sektorer (f.eks. energi, transport og
finans)
.
Agenturet
vil i denne forbindelse
bl.a.
få en styrket rådgivende
rolle,
som det kan udfylde ved at levere
uafhængige
udtalelser
og
forberedende arbejde til udvikling og ajourføring af
Unionens
politikker og
lovgivning.
Det er desuden hensigten, at ENISA skal støtte medlemsstaterne i forbindelse
med implementeringen af NIS-direktivet. Effektiv implementering vil således
sikre et bredt samfundsmæssigt løft af cyber- og informationssikkerheden.
I forbindelse med implementering af NIS-direktivet vil ENISA skulle bistå
medlemsstaterne med at opnå en ensartet tilgang for så vidt angår gennem-
førelsen af direktivet på tværs af grænser og sektorer. Ligeledes vil ENISA
skulle støtte arbejdet i
NIS-s
amarbejdsgruppen, som har til opgave at støtte
medlemsstaterne i implementeringen af NIS-direktivet samt at understøtte
strategisk samarbejde mellem medlemsstaterne.
ENISA får til opgave at bidrage
til at forbedre EU’s og de nationale myndig-
heders kapacitet og ekspertise, herunder i forbindelse med håndtering af
cy-
ber
hændelser
og overvågning af cybersikkerhedsrelaterede lovgiv-
ningsmæssige foranstaltninger
. I den forbindelse vil ENISA fortsat skulle
tilrettelægge cybersikkerhedsøvelser på EU-plan. Agenturet vil ligeledes
Kapacitetsopbygning
støtte informationsudveksling i og mellem sektorer
særligt dem
8
Det fremgår af formandsskabets seneste kompromisforslag af 20. april 2018, at agenturet,
når det udfører sine opgaver, handler uafhængigt, under største hensyntagen til medlems-
staternes relevante myndigheders nationale ekspertise og undgår duplikation af handlin-
ger.
4
ERU, Alm.del - 2017-18 - Bilag 190: Samlenotat om EU-Kommissionens forslag til forordningen om cybersikkerhed. fra erhvervsministeren
1895119_0005.png
som er nævnt i NIS-direktivet
ved at stille bedste praksis og vejledning
om tilgængelige værktøjer og procedurer til rådighed.
Operationelt samarbejde og krisestyring
Med forslaget bemyndiges ENISA til at understøtte det operationelle samar-
bejde på tværs af EU’s institutioner og på tværs af medlemsstaterne
.
Agen-
turet skal bl.a. støtte det operationelle samarbejde
i CSIRT-netvær-
ket
,
som udgøres af medlemsstaternes CSIRT’er (Computer Security Incident
Response Team) i medfør af NIS-direktivet
9
.
Ved udøvelsen af opgaverne
i CSIRT-netværket
vil ENISA indgå i et struktureret samarbejde med CERT-
EU (EU’s Computer Emergency Response Team)
for at udnytte synergier
og undgå duplikering af handlinger.
I tilfælde af større grænseoverskridende cybersikkerhedshændelser eller -kri-
ser og med det formål at fremme operationelt samarbejde foreslås ENISA
bemyndiget til at:
a) sammenstille rapporter fra nationale kilder med henblik på at bidrage
til at skabe en fælles situationsforståelse;
b) sikre en effektiv informationsstrøm og sørge for, at der er eskalations-
mekanismer på plads til brug mellem CSIRT-netværket og de tekniske
og politiske beslutningstagere på EU-niveau;
c) understøtte den tekniske håndtering af en hændelse
eller en krise
,
herunder ved at fremme delingen af tekniske løsninger mellem med-
lemsstaterne;
d) understøtte kommunikation til offentligheden om en hændelse
eller
krise
; og
e) afprøve samarbejdsplaner for reaktionen på væsentlige hændelser
el-
ler kriser
.
10
Endelig vil ENISA få til opgave regelmæssigt at udarbejde en teknisk EU-
cybersikkerhedsrapport om hændelser og trusler, der skal være baseret på
offentligt tilgængelige oplysninger, ENISA’s egen analyse samt rapporter,
som på frivillig basis deles af bl.a. medlemsstaternes CSIRT'er
11
.
Markedsrelaterede opgaver
Af seneste kompromistekst fremgår, at agenturets støtte i denne forbindelse alene sker på
medlemsstaternes anmodning.
10
Af seneste kompromistekst fremgår vedrørende: punkt a), at rapporten skal være delt på
frivillig basis; punkt c), at agenturet på medlemsstatens anmodning bemyndiges til at facili-
tere den tekniske håndtering af en hændelse eller krise, herunder ved at støtte frivillig ud-
veksling af tekniske løsninger mellem medlemsstaterne; punkt d) og e), at agenturets støtte
sker på medlemsstaternes anmodning.
11
Det fremgår nu af kompromisteksten, at agenturet skal udarbejde EU-cybersikkerheds-
rapporten i tæt samarbejde med medlemsstaterne.
9
5
ERU, Alm.del - 2017-18 - Bilag 190: Samlenotat om EU-Kommissionens forslag til forordningen om cybersikkerhed. fra erhvervsministeren
1895119_0006.png
ENISA vil få til opgave at understøtte det indre marked, herunder ved at ana-
lysere udviklingstendenser på cybersikkerhedsmarkedet og ved at under-
støtte EU’s politikudvikling inden for IKT-standardisering
og IKT-cybersikker-
hedscertificering.
Viden, information og oplysning
ENISA skal være EU’s informationsknudepunkt
vedrørende net- og informa-
tionssikkerhed. Det indebærer fremme og udveksling af bedste praksis og
initiativer på tværs af EU. Agenturet vil ligeledes skulle stille rådgivning,
vej-
ledning
og bedste praksis vedrørende sikkerheden af
netværk og informati-
onssystemer
til rådighed.
Agenturet skal endvidere gøre offentlighe-
den bevidst om risiciene i forbindelse med cybersikkerhed og give
vejledning om god praksis for individuelle brugere.
Forskning og innovation
ENISA får til opgave at rådgive EU og nationale myndigheder om fastsættelse
af prioriteter inden for forskning og udvikling på cyberområdet. ENISA’s råd-
givning om forskning skal ligeledes bidrage til det nye europæiske forsknings-
og kompetencecenter for cybersikkerhed under den næste flerårige finan-
sielle ramme. Endelig vil ENISA
i tilfælde, hvor Kommissionen har ud-
delegeret relevante beføjelser til agenturet
blive involveret i gen-
nemførelsen af EU’s finansieringsprogrammer inden for forskning og innova-
tion på cyberområdet.
Internationalt samarbejde
ENISA
vil
få til opgave at bidrage til EU’s indsats for at fremme internationalt
samarbejde om cybersikkerhed ved at deltage som observatør og i tilrette-
læggelsen af internationale øvelser, fremme udveksling af bedste praksis
in-
den for relevante internationale rammer
samt efter anmodning at stille
ekspertise til rådighed for Kommissionen.
Fælles europæisk ramme for cybersikkerhedscertificering for IKT- produkter
og -tjenester
Forslaget
etablerer en ramme
for
udarbejdelsen og
indførelsen af spe-
cifikke europæiske certificeringsordninger for IKT-produkter og tjenester,
der udarbejdes af ENISA og vedtages ved gennemførelsesretsakter jf. pro-
ceduren beskrevet neden for.
Certificeringsordninger
En cybersikkerhedscertificeringsordning vil i henhold til forslaget attestere, at
de pågældende IKT- produkter og -tjenester, der er certificeret i overens-
stemmelse med ordningen, opfylder de nærmere fastsatte cybersikkerheds-
krav. Det gælder f.eks. i forhold til deres evne til at beskytte mod kompro-
mittering af tilgængeligheden, autenticiteten, integriteten og fortroligheden
af de data, der opbevares eller behandles i produktet eller tjenesten.
I for-
bindelse med udarbejdelsen af d
e europæiske certificeringsordninger
skal ENISA ikke
udvikle tekniske standarder.
I
stedet
skal der
gøre
s
brug
6
ERU, Alm.del - 2017-18 - Bilag 190: Samlenotat om EU-Kommissionens forslag til forordningen om cybersikkerhed. fra erhvervsministeren
1895119_0007.png
af eksisterende standarder i relation til de tekniske krav og evalueringsproce-
durer, som produkterne konkret skal overholde.
De konkrete cybersikkerhedscertificeringsordninger skal udformes, så de alt
efter relevans for produkt- eller tjenestegruppen tager hensyn til en række
sikkerhedsmål, herunder at:
beskytte data mod utilsigtet eller uautoriseret behandling eller øde-
læggelse;
sikre, at kun autoriserede personer, programmer eller maskiner har
adgang til data;
genetablere tilgængelighed af og adgang til data i tilfælde af fysiske
eller tekniske hændelser;
sikre, at IKT-produkter og -tjenester er forsynet med ajourført soft-
ware.
Forslaget indebærer endvidere, at ordningerne skal fastsætte en række spe-
cifikke elementer, der angiver omfanget og indholdet af cybersikkerhedscer-
tificeringen. Det omfatter blandt andet udpegning af de omfattede produkter
og tjenester, nærmere specifikation af cybersikkerhedskravene (f.eks. med
henvisning til relevante standarder eller tekniske specifikationer),
og
de spe-
cifikke evalueringskriterier og
-
metoder.
Endelig introducerer forslaget også tre prædefinerede tillidsni-
veauer for europæiske cybersikkerhedscertificeringsordninger;
grundlæggende, betydelig og høj. De tre niveauer er et udtryk for,
at behovet for niveauet af tillid til cybersikkerhedskvalitet af IKT-
produkter, og -tjenester vil variere
særligt ift. den specifikke
brugssituation.
Forberedelse og vedtagelse af certificeringsordninger
Det følger af forslaget, at de europæiske certificeringsordninger udarbejdes
af ENISA med bistand fra og i tæt samarbejde med
interessenter og d
en
europæisk
e
cybersikkerhedscertificeringsgruppe. Endvidere er det i henhold
til forslaget Kommissionen, der igangsætter arbejdet med en given certifice-
ring ved at anmode ENISA om at udarbejde en ordning for specifikke IKT-
produkter eller -tjenester
12
.
Cybersikkerhedscertificering
Når en europæisk cybersikkerhedscertificeringsordning er vedtaget, kan pro-
ducenter og udbydere af IKT-tjenester indgive en ansøgning om certificering
af deres produkter eller tjenester. Certificeringen er i henhold til forslaget
frivillig, medmindre andet er fastsat i EU-retten.
12
I den nuværende kompromistekst kan den europæiske cybersikkerhedscertificerings-
gruppe også anmode ENISA om at udarbejde en ordning for specifikke IKT-produkter, -
processer eller -tjenester. Medlemsstater og interesseorganisationer kan ligeledes stille forslag
om europæiske certificeringsordninger til Gruppen, der vurderer forslagene ud fra en række
kriterier, som Gruppen selv udarbejder. Er vurderingen positiv, vil Gruppen anmode ENISA
om at udarbejde den pågældende certificeringsordning.
7
ERU, Alm.del - 2017-18 - Bilag 190: Samlenotat om EU-Kommissionens forslag til forordningen om cybersikkerhed. fra erhvervsministeren
1895119_0008.png
Certificering og udstedelse af cybersikkerhedsattesten skal foretages af over-
ensstemmelsesvurderingsorganer, der er akkrediteret til at foretage certifice-
ringer.
13
Akkrediteringen foretages således af de nationale akkrediteringsor-
ganer, der er udpeget i henhold til forordning (EF) nr. 765/2008 om kravene
til akkreditering og markedsovervågning i forbindelse med markedsføring af
produkter. I Danmark er dette Den Danske Akkrediteringsfond (DANAK). I
undtagelsestilfælde kan det efter forslaget fastsættes i en certificeringsord-
ning, at certificeringen i behørigt begrundede tilfælde skal foretages af et
offentligt organ. De nationale tilsynsmyndigheder skal for hver europæisk
certificeringsordning underrette Kommissionen om de akkrediterede overens-
stemmelsesvurderingsorganer. Kommissionen vil på baggrund heraf et år ef-
ter ikrafttrædelsen af forslaget skulle offentliggøre en liste over de anmeldte
overensstemmelsesvurderingsorganer.
Europæiske c
ybersikkerhedsattester udstedes for en period
e, som speci-
ficeres i de enkelte certificeringsordninger
, og vil kunne forlænges på
samme vilkår, hvis de relevante krav fortsat er opfyldt. En europæisk cyber-
sikkerhedsattest skal anerkendes i alle medlemsstater.
Nationale cybersikkerhedscertificeringsordninger
Nationale cybersikkerhedscertificeringsordninger for IKT-produkter og -tjene-
ster, der bliver omfattet af en europæisk certificeringsordning, vil i henhold
til forslaget ophøre med at have virkning. Det vil ske fra det tidspunkt, der
fastsættes i den gennemførelsesretsakt, hvorved ordningen vedtages. For-
målet er at sikre harmonisering og undgå fragmentering af det indre marked.
Medlemsstaterne må i forlængelse heraf heller ikke vedtage nye nationale
certificeringsordninger for IKT-produkter og -tjenester, der i forvejen er om-
fattet af en europæisk ordning. Allerede udstedte attester i henhold til en
national certificeringsordning forbliver dog gyldige indtil deres udløbsdato.
Myndighedstilsyn
I henhold til forslaget skal medlemsstaterne sørge for, at der er en myndig-
hed, som fører tilsyn med certificeringen
. Denne myndighed skal bl.a.
tilse
, at overensstemmelsesvurderingsorganerne overholder reglerne
. Der-
udover skal myndigheden også tilse
, at de attester, som
overensstem-
melsesvurderings
organerne udsteder, er i overensstemmelse med de krav,
der følger
direkte
af forordningen,
eller en af forordningen følgende
cybersikkerhedscertificeringsordning. Endelig skal tilsynsmyndigheden sam-
arbejde med andre eksisterende nationale certificeringstilsynsmyndigheder
eller andre offentlige myndigheder, f.eks. i forhold til informationsudveksling
om mulige tilfælde, hvor IKT-produkter og -tjenester ikke overholder regule-
ringen.
Den europæiske cybersikkerhedscertificeringsgruppe
13
I den nuværende kompromistekst kan europæiske cybersikkerhedscertificeringsordnin-
ger tillade, at producenter eller leverandører på eget ansvar selv kan foretage overensstem-
melsesvurderinger, men kun for IKT-produkter, -processer og -tjenester med lav risiko og
kompleksitet
svarende til tillidsniveau ”grundlæggende”.
8
ERU, Alm.del - 2017-18 - Bilag 190: Samlenotat om EU-Kommissionens forslag til forordningen om cybersikkerhed. fra erhvervsministeren
1895119_0009.png
I henhold til forslaget skal der etableres en europæisk cybersikkerhedscerti-
ficeringsgruppe, der består af alle medlemsstaters nationale certificeringstil-
synsmyndigheder. Gruppen får som sin vigtigste opgave dels at rådgive Kom-
missionen om problemstillinger vedrørende cybersikkerhedscertificeringspoli-
tik, og dels at samarbejde med ENISA om udarbejdelsen af udkast til euro-
pæiske cybersikkerhedscertificeringsordninger. Det vil være Kommissionen,
der varetager formandskabet og sekretariatsfunktionen for
G
ruppen med bi-
stand fra ENISA.
Sanktioner
Medlemsstaterne skal i henhold til forslaget fastsætte regler for sanktioner
for overtrædelse af forordningens bestemmelser og de europæiske certifice-
ringsordninger. Sanktionerne skal være effektive, stå i rimeligt forhold til
overtrædelsen og have afskrækkende virkning.
Øvrige bestemmelser
Udvalgsprocedure
Forordningen indeholder gennemførelsesretsakter, der gør, at der
skal
nedsættes et udvalg i overensstemmelse med komitologiforordningen
((EU) 182/2011). Udvalget skal bistå Kommissionen i udarbejdelsen af de
gennemførelsesretsakter, der henvises til under afsnittet om den europæiske
ramme for cybersikkerhedscertificeringsordninger.
Ikrafttræden
Efter forslagets vedtagelse træder forordningen i kraft 20 dage efter offent-
liggørelse i Den Europæiske Unions Tidende.
Evaluering
Efter forslagets vedtagelse skal Kommissionen hvert femte år vurdere virk-
ningen af ENISA’s
arbejde, herunder eventuelle behov for at ændre agentu-
rets mandat. Evalueringen skal også omfatte virkningen af certificeringsord-
ningen i forhold til målene om at sikre tilstrækkelig cybersikkerhed i IKT-pro-
dukter og forbedre det indre markeds funktion.
4.
Europa-
P
arlamentets udtalelser
Europa-
P
arlamentet
er i henhold til den almindelige lovgivningsproce-
dure (TEUF artikel 294) medlovgiver, og forslaget bliver behandlet
i parlamentets udvalg for Industri, Forskning og Energi (ITRE) og
høres derudover i IMCO, BUDG og LIBE. Europa-Parlamentets ud-
talelse foreligger endnu ikke, men der er udarbejdet et udkast til
betænkning den 27. marts 2018
.
5.
Nærhedsprincippet
Det er Kommissionens opfattelse, at forslaget er i overensstemmelse med
nærhedsprincippet. Under henvisning til net- og informationssikkerheds
grænseoverskridende karakter fremhæver Kommissionen
bl.a.
, at individu-
elle tiltag fra enkelte medlemsstater og en fragmenteret tilgang til cybersik-
kerhed ikke er tilstrækkeligt for at øge den kollektive robusthed. Målet med
9
ERU, Alm.del - 2017-18 - Bilag 190: Samlenotat om EU-Kommissionens forslag til forordningen om cybersikkerhed. fra erhvervsministeren
1895119_0010.png
forslaget kan således ikke i tilstrækkelig grad opfyldes af medlemsstaterne
alene og nås derfor bedre på EU-plan.
Regeringen
vurderer ligeledes,
at nærhedsprincippet er overholdt, da cy-
bersikkerhed i sagens natur er grænseoverskridende.
6.
Gældende dansk ret
ENISA og cybersikkerhedscertificeringsordninger er ikke i dag reguleret af
dansk lovgivning.
7.
Konsekvenser
Lovgivningsmæssige konsekvenser
Kommissionen har fremsat forslag til en forordning, der ikke skal imple-
menteres, men vil gælde umiddelbart i medlemslandene. Vedtagelse af for-
slaget vurderes
på den baggrund
ikke at have lovgivningsmæssige kon-
sekvenser.
Økonomiske konsekvenser
Statsfinansielle konsekvenser
Vedtagelse af den del af forslaget, der vedrører ENISA’s opgaver og orga-
nisatoriske forhold, vurderes at kunne få statsfinansielle konsekvenser i
form af konsekvenser for EU’s budget.
I forbindelse med fremsættelsen af forslaget lagde Kommissionen
op til at ENISA’s budget øges gradvist fra EUR 11,2 mio. i 2017 til
EUR 23,0 mio. i 2022.
De økonomiske konsekvenser for EU’s bud-
get har dog hidtil ikke været en del af forhandlingerne. Forudsat
en finansieringsandel på 2 pct. til Danmark, vil en sådan budget-
forøgelse medføre, at Danmark finansierer 460.000 euro i 2022.
For så vidt angår forslagets bestemmelser om en europæisk ramme for
cybersikkerhedscertificeringsordninger vil udpegningen af en national til-
synsmyndighed kunne have statsfinansielle konsekvenser. Omfanget af
dette afhænger imidlertid af flere elementer, herunder hvad der i
sidste ende vil høre under den givne tilsynsmyndighed, og hvor-
vidt eksisterende tilsynsmyndigheder allerede vil kunne varetage
disse. Derudover vil det også afhænge af det endelige omfang af
certificeringsordninger. Jf. budgetvejledningen inden for eksiste-
rende rammer
.
Samfundsøkonomiske konsekvenser
Det er forventningen, at vedtagelsen af forslaget vil føre til et højere niveau
af cybersikkerhed, modstandsdygtighed og tillid i EU gennem øget kapaci-
tet, samarbejde, risikostyring og bevidsthed om cybersikkerhed. Dette kan
være med til at forbedre det indre markeds funktion samt bidrage til ud-
viklingen af et digitalt indre marked gennem styrket tillid og robusthed over
10
ERU, Alm.del - 2017-18 - Bilag 190: Samlenotat om EU-Kommissionens forslag til forordningen om cybersikkerhed. fra erhvervsministeren
1895119_0011.png
for cybersikkerhedstrusler. Forslaget vurderes på denne baggrund at kunne
have positive samfundsøkonomiske konsekvenser.
Erhvervsøkonomiske konsekvenser
ENISA’s opgaver og organisatoriske forhold forventes ikke i sig selv at med-
føre administrative konsekvenser for erhvervslivet i Danmark. Dog vil ENISA’s
udvidede beføjelser på baggrund af forslaget på længere sigt kunne medføre
administrative konsekvenser for erhvervslivet. Omfanget af disse kan imidler-
tid ikke vurderes på nuværende tidspunkt.
Etableringen af en europæisk ramme for cybersikkerhedscertificeringsordnin-
ger forventes umiddelbart at medføre positive erhvervsøkonomiske konse-
kvenser for danske virksomheder. Forslaget vurderes således at forbedre mu-
lighederne for at drive virksomhed på tværs af grænserne og indrette forret-
ningen mere effektivt.
Andre konsekvenser og beskyttelsesniveauet
En vedtagelse af forslaget skønnes ikke at berøre beskyttelsesniveauet i
Danmark.
8.
Høring
Forslaget har været i høring i Specialudvalget for Energi-, Forsynings- og Kli-
mapolitik og EU-specialudvalget for Konkurrenceevne, vækst og forbruger-
spørgsmål med frist for bemærkninger den 3. oktober 2017. Der er modtaget
høringssvar fra Dansk Industri, TDC Group, Finans Danmark, Dansk Erhverv,
Ingeniørforeningen, IDA, KL, Teleindustrien (TI), Dansk Standard (DS) samt
Dansk Byggeri.
Generelle bemærkninger
Finans Danmark bemærker overordnet, at den øgede digitalisering betyder,
at cybersikkerhed er særdeles vigtig for bankerne. Dertil er omfanget, kom-
pleksiteten og hastigheden i de internationale såvel som de nationale cyber-
trusler for massive og vedholdende til, at én part kan løfte udfordringerne
alene. Derfor er et samarbejde mellem det offentlige og det private og en
inddragelse af borgerne afgørende. Nationale grænser skal ikke være en hin-
dring for effektiv bekæmpelse af grænseoverskridende cyberkriminalitet. På
den baggrund ser Finans Danmark Kommissionens forslag om ENISA og cy-
bersikkerhedscertificering som et positivt initiativ til at styrke den europæiske
cybersikkerhed. Cybersikkerhedscertificering kan blandt andet bidrage til at
håndtere udfordringen med IoT (Internet of Things). Finans Danmark anbe-
faler, at en europæisk certificeringsmodel funderes på globalt anerkendte
standarder.
Ingeniørforeningen, IDA er overordnet set meget positiv over for at styrke
indsatsen for cybersikkerhed i Europa. De påpeger, at en koordineret indsats,
der involverer alle EU lande, er en fordel og en nødvendighed. Det er dog
nødvendigt, at en sådan indsats får den nødvendige slagkraft i form af res-
sourcer og kompetencer.
11
ERU, Alm.del - 2017-18 - Bilag 190: Samlenotat om EU-Kommissionens forslag til forordningen om cybersikkerhed. fra erhvervsministeren
1895119_0012.png
Ingeniørforeningen bemærker desuden, at der i annekset til forslaget næv-
nes, at overensstemmelsesorganer skal have en juridisk profil og muligheden
for at trække på tekniske kompetencer. Ingeniørforeningen vil her anbefale,
at der i annekset henvises til ”legal and technical personality”. Hvis en sådan
enhed skal have den nødvendige slagkraft, kræver det dedikerede tekniske
ressourcer som en fast del af organisationen. Vidensopbygning og erfaring er
centralt, hvis initiativet i sig selv skal få effekt og hvis en sådan enhed skal
have opnå legitimitet og den styrkede branding, man ønsker.
TDC Group
forventer, at Kommissionens forslag vil styrke EU’s kapacitet til at
respondere, dele bedste praksis og udvikle videndeling-platforme til at hånd-
tere cybersikkerhed.
ENISA
– EU’s Agentur for Cybersikkerhed
Overordnet set støtter Dansk Erhverv, Dansk Industri, Finans Danmark, Te-
leindustrien og TDC Group forslagets formål om et styrket cybersikkerhedsa-
gentur med et permanent mandat, som et vigtigt initiativ til at højne den
europæiske cybersikkerhed, dog med visse bemærkninger.
Med reference til den stigende og grænseoverskridende cybertrussel, påpe-
ger Dansk Erhverv nødvendigheden af, at myndigheder på tværs af EU ar-
bejder sammen, også i forhold til opbygning af mere kompetence, opmærk-
somhed og forskning på området. Her ønsker Dansk Erhverv særligt at kom-
plimentere, at ENISA skal udbyde vejledning på bedste praksis for individuelle
brugere, hvilket Dansk Erhverv ser som en styrkelse af opmærksomheden
om cyber-hygiejne, som anses for at være centralt for at øge cybersikkerhe-
den i EU. I denne sammenhæng understreger Dansk Erhverv imidlertid, at
sådanne bedste praksis bør være baseret på metoder, der har været anvendt
med succes i nogle lande, og ikke blot er baseret på teori. Dansk Erhverv
hilser det ligeledes velkomment, at der sættes fokus på internationalt samar-
bejde med andre internationale organisationer om cybersikkerhed, idet cy-
berkriminalitet anses for værende et globalt fænomen. Endelig understreger
Dansk Erhverv vigtigheden af, at ENISA får ressourcer nok til at tiltrække de
mest velkvalificerede medarbejdere, hvis agenturet skal kunne løfte disse nye
opgaver på tilstrækkelig vis.
Dansk Industri understreger væsentligheden af at sikre, at der, i etableringen
af et permanent mandat til ENISA, sker en organisatorisk
klarhed i EU’s hånd-
tering af spørgsmål relateret til cybersikkerhed, således at myndigheder og
virksomheder alene skal orientere sig mod ét sted i EU. Samtidig lægger
Dansk Industri vægt på, at imødegåelse af cybertrusler ikke alene er et eu-
ropæisk anliggende, og understreger, at det, i processen mod konsolidering
af EU’s indsats til imødegåelse af cybertrusler, er afgørende, at der fortsat er
fokus på samarbejde med øvrige internationale samarbejdspartnere.
Teleindustrien støtter forslaget om oprettelse af et cybersikkerhedsagentur
og lægger i den forbindelse vægt på, at det sikres, at arbejdet i agenturet i
12
ERU, Alm.del - 2017-18 - Bilag 190: Samlenotat om EU-Kommissionens forslag til forordningen om cybersikkerhed. fra erhvervsministeren
1895119_0013.png
høj grad koncentreres omkring dialog og samarbejde mellem offentlige og
private aktører for at sikre et højt sikkerhedsniveau.
TDC Group understreger nødvendigheden af et styrket cybersikkerhedsagen-
tur for at udfylde målsætningerne i NIS-direktivet og sikre bedre samarbejde
mellem nationale cybersikkerhedsmyndigheder. TDC Group fremhæver, at
forslaget særligt kan gavne mindre lande, idet myndighederne i disse lande
må forventes at have særlig stor gavn af sparring og indhentning af viden fra
et styrket agentur. TDC Group ser gerne, at ENISA fortsætter traditionen
med at føre dialog med både myndigheder og privatsektoren, idet både of-
fentlige og private aktører er nødvendige i forhold til at sikre optimal cyber-
sikkerhed.
KL anbefaler, at der sker en tæt koordinering af de nationale aktiviteter mod
cyberkriminalitet med aktiviteterne i ENISA, bl.a. med henblik på at sikre ko-
ordinerede processer for indsamling af information om sikkerhedsbrud, og
gør i denne sammenhæng opmærksomme på et særligt initiativ i den fælles-
offentlige digitaliseringsstrategi for 2016-2020, som skal sikre, at offentlige
myndigheder arbejder efter konkrete sikkerhedstiltag for at imødegå trusler
om hacking. KL har desuden noteret sig, at ENISA vil tilbyde offentlige myn-
digheder træning i cybersikkerhed, jf. artikel 6, stk. 1, litra h, samt organisere
større, årlige cybersikkerhedsøvelser, jf. artikel 6, stk. 1, litra g. KL vil ligeledes
anbefale, at der sker en national koordinering af disse aktiviteter.
Fælles europæisk ramme for cybersikkerhedscertificering for IKT-produkter
og tjenester
Dansk Erhverv, Dansk Industri, Finans Danmark, Ingeniørforeningen IDA,
Dansk Standard, Teleindustrien, TDC Group, støtter endvidere overordnet
forslaget om indførelse af en fælleseuropæisk ramme for cybersikkerheds-
certificering.
Dansk Erhverv hilser det ligeledes velkomment, at Kommissionen har valgt at
fremsætte et forslag til et frivilligt certificeringssystem i EU. Dansk Erhverv
vurderer, at det er en afbalanceret tilgang til problemstillingen, og understre-
ger vigtigheden af, at certificeringerne er virksomhedsdrevne og udarbejdes
i tæt samarbejde med erhvervslivet. Dansk Erhverv udtrykker tilfredshed med
fleksibiliteten i forslaget, herunder at mærkning af produkter kan være en del
af certificeringen, hvor industrien mener det giver mening, men ikke er et fast
kriterie. Dansk Erhverv hilser det ligeledes velkomment, at forslaget skitserer
tre forskellige niveauer af beskyttelse med forskellige kriterier, hvilket gør det
muligt for virksomheder at tilpasse certificeringen den risiko, som produktet
udgør. Dette kan bidrage til sikkerhed i balance. Dansk Erhverv betragter det
desuden som positivt og meget vigtigt, at der lægges op til, at EU-certifice-
ringer udarbejdes i overensstemmelse med internationale standarder og cer-
tificeringer, således at dobbeltregulering undgås, og EU certificeringerne ikke
fører til handelsbarrierer. Dansk Erhverv vurderer endvidere, at forslagets
krav om, at EU-certificeringer skal anerkendes i alle medlemslande er helt
essentielt og kan bidrage til at nedbringe omkostningerne for certificering for
SMVer og Start-ups
og gøre det lettere for dem at benytte sig af det indre
13
ERU, Alm.del - 2017-18 - Bilag 190: Samlenotat om EU-Kommissionens forslag til forordningen om cybersikkerhed. fra erhvervsministeren
1895119_0014.png
marked, da de kun vil have behov for én certificering i stedet for forskellige i
forskellige medlemslande. Dette er positivt, men for at denne gevinst skal
kunne realiseres vurderer Dansk Erhverv det for nødvendigt, at EU-certifice-
ringsmekanismen ikke bliver for tung, og at det hele tiden holdes for øje, at
den skal være anvendelig også for små virksomheder.
Dansk Industri har samme grundlæggende holdning i forhold til Kommissio-
nens forslag til cybersecurity-certificering af Informations- og Kommunikati-
onsteknologi som til etableringen af et permanent mandat til ENISA. En eu-
ropæisk certificeringsmodel skal således være globalt orienteret og funderet,
så der ikke skabes hindringer for handel med resten af verden. Det vil sige,
at arbejdet så vidt muligt baseres på globalt anerkendte metoder og standar-
der. Endelig lægger Dansk Industri vægt på, at certificeringsgrundlaget etab-
leres i et samarbejde med erhvervslivet, så kriterierne i standardiseringsar-
bejdet så vidt muligt tager højde for den markedsdrevne udvikling.
For så vidt angår standarder og cybersikkerhedscertificering bemærker Inge-
niørforeningen, at det er vigtigt, at en yderligere indsats på standarder for
cybersikkerhed og privacy er yderst vigtigt, men at EU’s rolle i denne sam-
menhæng bør være at bakke op om de initiativer, der allerede foregår i de
traditionelle standardiseringsnetværk. Ingeniørforeningen påpeger, at både
CEN/CENELEC og ETSI har som europæiske standardiseringsorganisationer
en proces, der sikrer deltagelse og høringsmulighed for både myndigheder,
virksomheder, forskere og civilsamfund, herunder også en indsats for at ind-
drage små og mellemstore virksomheder bedst muligt. Ingeniørforeningen er
endvidere meget positiv over for en cybersikkerhedscertificering af IKT pro-
dukter og tjenester, Idet det kan være uoverskueligt for især mindre virk-
somheder at overskue, hvad der er sikker teknologiimplementering og det
må derfor anses for en væsentlig hjælp, at der findes myndighedsgodkendte
certificeringer at rette sig efter. For virksomheder, der producerer f.eks. ro-
botter og it-systemer, vil EU-harmoniserede certificeringer hjælpe til at kunne
nå flere markeder uden at skulle tilrette vidt forskellige krav.
Dansk Standard finder det relevant, at der etableres en fælleseuropæisk
ramme for cybersikkerhedscertificering, som kan give virksomheder mulighed
for at certificere produkter og dermed bidrage til tryghed og sikkerhed hos
kunderne. Dansk Standard finder det også vigtigt at etablere en fælles euro-
pæisk certificeringsmodel, så man undgår, at det samme produkt skal certi-
ficeres på forskellige måder i forskellige EU medlemslande, som det er tilfæl-
det i dag i Tyskland, Frankrig og UK. For Dansk Standard er det afgørende,
at den foreslåede europæiske certificeringsmodel bygger på relevante stan-
darder, der sikrer et effektivt beskyttelsesniveau og så vidt muligt bruger glo-
balt anerkendte standarder. Det er også vigtigt certificeringsmodellen ikke
skaber hindringer for samhandel mellem EU og resten af verden. Dansk Stan-
dard bemærker endvidere, at udvikling af standarder, som skal understøtte
europæisk politik og regulering foregår gennem de europæiske standardise-
ringsorganisationer CEN/CENELEC og ETSI. Disse organisationer sikrer euro-
pæiske aktører adgang til at deltage og påvirke udviklingen af standarder.
Dansk Standard foreslår, at arbejdet med at udvikle og udvælge standarder
14
ERU, Alm.del - 2017-18 - Bilag 190: Samlenotat om EU-Kommissionens forslag til forordningen om cybersikkerhed. fra erhvervsministeren
1895119_0015.png
til brug for en europæisk certificeringsmodel forankres i CEN/CENELECs tek-
niske komité, der skal arbejde med cybersikkerhed og databeskyttelse (CEN
TC 13), og at der etableres et tæt samarbejde med Kommissionen og ENISA
herom. Det vil betyde at grundlaget for certificeringen kan udvikles gennem
en transparent proces, hvor virksomheder og andre europæiske interessenter
har mulighed for at deltage og bidrage til kriterierne for certificeringsordnin-
gen med den nyeste viden på markedet. Vælger man en model, hvor kriteri-
erne fastlægges udelukkende af myndigheder, kan man ikke drage fordel af
den viden der er i markedet og man risikerer at pålægge virksomhederne
unødige byrder.
Teleindustrien støtter endvidere forslaget om fælles standarder for EU certi-
ficering af informations- og kommunikationsteknologi. Fælles standarder for
eksempelvis teleudstyr på tværs af EU vil bidrage til at sikre et fælles niveau
for sikkerhed og lige konkurrencevilkår på tværs af lande i EU.
TDC Group støtter op om forslaget vedr. fælles standarder for EU certificering
af informations- og kommunikationsteknologi. Paneuropæiske standarder
ville gavne markedet for ydelser fra underleverandører, som i dag er udsat
for fragmenterede krav på tværs af EU lande. Dette præsenterer væsentlige
byrder og omkostninger for leverandørerne, som ville drage store fordele af
at leve op til konsoliderede europæiske standarder. TDC Group ser især et
stort potentiale på leverancer af kritisk infrastruktur, og ønsker at understrege
at både europæiske og ikke-europæiske leverandører skal have mulighed for
at opnå certificering, for at sikre et mangfoldigt og konkurrencedygtigt mar-
ked for disse tjenester. TDC Group finde det i forlængelse heraf nødvendigt
at få afklaret de konkrete omstændigheder omkring afprøvelse og certifice-
ring, herunder hvilken overgangsordning myndigheder vil indføre i relation til
fortsat drift af eksisterende udstyr, som endnu ikke er certificeret, når EU
bestemmelserne træder i kraft.
KL vil af resursehensyn anbefale, at det i forhold til forslaget om en cybersik-
kerhedscertificeringsordning overvejes, hvorvidt ordningen,
i det omfang
den vil være relevant for offentlige myndigheder
kan samtænkes med mu-
lighederne for databeskyttelsescertificering efter databeskyttelsesforordnin-
gen (2016/679).
9.
Generelle forventninger til andre landes holdninger
Medlemsstaterne udtrykker overordnet støtte til forslaget om et
nyt, styrket og udvidet mandat til ENISA
.
Der er ligeledes blandt medlemsstaterne
generel støtte til forslaget om
en fælleseuropæisk certificeringsramme for IKT-produkter og -tjenester
. Der
bliver
bl.a. lagt vægt på, at det kan bidrage til at styrke tilliden til digitale
produkter og tjenesteydelser
og dermed øge muligheden for at drage fordel
af det digitale indre marked. Samtidig har flere medlemsstater understreget
vigtigheden af, at en certificeringsramme ikke bliver unødigt byrdefuld for
15
ERU, Alm.del - 2017-18 - Bilag 190: Samlenotat om EU-Kommissionens forslag til forordningen om cybersikkerhed. fra erhvervsministeren
1895119_0016.png
virksomhederne, særligt SMV’er, og at der bliver forskellige grader af sikker-
hedscertificering afhængigt af, hvilken type IKT-produkt eller -tjenesteydelse,
det drejer sig om.
Rammerne, som forordningen opstiller til udarbejdelsen af europæ-
iske cybersikkerhedscertificeringsordninger, har dog dannet grund-
lag for diskussioner i Rådet, herunder særligt hensynet til fleksibi-
litet i forhold til den enkelte europæiske certificeringsordning med
konsistens på tværs af sektorer. Her har en række medlemsstater
udtrykt ønske om mere fleksible fremtidssikre rammer, som kan til-
passes den enkelte cybersikkerhedscertificeringsordning, mens an-
dre har udtrykt ønske om faste og klart definerede rammer for at
sikre konsistens og en fælles forståelse af indholdet af europæiske
cybersikkerhedscertificeringsordninger på tværs af sektorer.
På samme måde udestår der også usikkerhed i forhold til, hvad det
vil sige, at IKT-produkter og -tjenester er sikre. Dette med en tanke
om ikke at skabe falsk sikkerhed.
Medlemsstaternes styring med udarbejdelsen af europæiske cyber-
sikkerhedscertificeringsordninger har desuden været centralt i
drøftelserne. I regi af ”Gruppen” forventes medlemsstaterne derfor
at få en rådgivende funktion, når ENISA udarbejder udkast til euro-
pæiske cybersikkerhedscertificeringsordninger.
Flere medlemsstater har desuden efterspurgt, at der gives ekstra
implementeringsfrist til særligt krævende artikler. Det forventes, at
Rådets Juridiske Tjeneste (RJT) i samarbejde med medlemssta-
terne udarbejder en liste over artikler, der bør træde i kraft på et
senere tidspunkt samt specificere hvornår.
10.
Regeringens generelle holdning
Regeringen støtter overordnet Kommissionens forslag om et nyt, styrket og
udvidet mandat til EU’s Agentur for Cybersikkerhed (ENISA) samt et fælles-
europæisk IKT-certificeringssystem.
Regeringen kan tilslutte sig
, at der er behov for et styrket europæisk
cybersikkerhedsagentur med et permanent mandat, som skal sikre kapaci-
tetsopbygning, videndeling, forskning og innovation, opmærksomhed og
samarbejde på tværs af EU. Dette skal ikke mindst ses i lyset af cybersikker-
heds grænseoverskridende karakter. Således er det væsentligt at sikre sam-
ordning i tilgangen til cybersikkerhed på tværs af EU for at styrke den kollek-
tive robusthed mod cyberangreb.
D
et er endvidere regeringens holdning, at ENISA’s opgaver
skal respektere
medlemsstaternes kompetence
vedrørende national sikkerhed og for-
16
ERU, Alm.del - 2017-18 - Bilag 190: Samlenotat om EU-Kommissionens forslag til forordningen om cybersikkerhed. fra erhvervsministeren
1895119_0017.png
svar. Regeringen lægger
derfor
vægt på, at medlemsstaternes rolle og an-
svar for egen cybersikkerhed og modsvar til cybertrusler
og konkrete cy-
berhændelser
fastholdes.
Regeringen støtter overordnet forslaget om en fælleseuropæisk ramme for
certificering af IKT-produkter og -tjenester. Regeringen
finder det
dog
vig-
tigt
, at udviklingen af en ramme for certificeringsordninger både skal tilgo-
dese sikkerhedshensyn og virksomheders konkurrence- og vækstvilkår. Det
er i denne sammenhæng vigtigt, at en ramme for certificeringsordninger ind-
føres på lige, objektive og ikke-diskriminerende vilkår. Det digitale område er
et område, hvor udviklingen går stærkt og eventuelle krav om certificering
skal derfor være fleksible og fremtidssikrede, så konkurrencen ikke forvrides
unødigt eller hæmmer innovationen på området.
Regeringen arbejder for, at certificeringssystemet bliver lettilgængeligt og an-
vendeligt for alle virksomheder, herunder små og mellemstore virksomheder
samt iværksættere. Endvidere
mener
regeringen, at medlemsstaterne og
alle relevante interessenter
bør
inddrages i arbejdet med fælleseuropæiske
certificeringsordninger, herunder ift. delegerede retsakter og gennemførel-
sesretsakter
. Desuden bør
der i vidt omfang tages udgangspunkt i eksiste-
rende europæiske og internationale standarder samt tages højde for behovet
for udviklingen af nye standarder.
11.
Tidligere forelæggelse for Folketingets Europaudvalg
Sagen har ikke tidligere været forelagt for Folketingets Europaudvalg.
Der
blev oversendt grund- og nærhedsnotat den 8. november 2017.
17