Forslag til nytt cybersikkerhetsdirektiv
Europakommisjonen har foreslått en oppdatering av EUs cybersikkerhetsregler for kritiske sektorer, samt en ny cybersikkerhetsstrategi. Forslaget er en del av en styrket innsats for å motvirke større datasikkerhetsbrudd og angrep fra aktører med støtte fra fremmede stater. Forslaget fremmes blant annet på bakgrunn av et nylig dataangrep mot Det europeiske legemiddelbyrået, som er involvert i arbeidet med godkjenning av koronavirusvaksiner. Det har også vært en rekke andre angrep mot strategiske industrier og offentlige institusjoner i Europa de siste årene. Forslaget til nytt cybersikkerhetsdirektiv er markert som EØS-relevant.
«Med dagens strategi optrapper EU sin indsats for at beskytte sine regeringer, borgere og virksomheder mod globale cybertrusler og for at vise vejen frem i cyberspace ved at sikre, at alle kan høste fordelene ved internettet og anvendelsen af teknologi», sier EUs høyrepresentant for utenriks- og sikkerhetssaker, Josep Borell, i en pressemelding.
Den nye cybersikkerhetsstrategien har som formål å beskytte et globalt og åpent internett, og gjennom dette ikke bare beskytte sikkerheten, men også europeiske verdier og fundamentale rettigheter for alle. Den nye strategien inkluderer blant annet:
- et EU-omspennende Cyber Shield, bestående av operasjonssikkerhetssentre som bruker kunstig intelligens og maskinlæring for å oppdage tidlige tegn på nært forestående dataangrep, noe som muliggjør gjennomføring av sikkerhetstiltak før skaden skjer.
- en felles cyberenhet som vil koble sammen europeiske cybersikkerhetsmiljøer for å dele bevissthet om trusselbilde, og gi felles svar på hendelser og trusler.
- en sterkere verktøykasse for europeisk cyberdiplomati for å forhindre, avskrekke og svare på cybersikkerhetsangrep.
Forslaget til nytt cybersikkerhetsdirektiv (NIS 2-direktivet) vil erstatte det gjeldende direktivet om tiltak for et høyt felles sikkerhetsnivå i nettverks- og informasjonssystemer i EU (NIS-direktivet). NIS-direktivet er for tiden ikke gjennomført i norsk rett, men det fremgår av regjeringens EØS-notat at Nasjonal strategi for informasjonssikkerhet, med handlingsplan, langt på vei dekker de krav som direktivet stiller til den nasjonale nettverks- og sikkerhetsstrategien.
NIS 2-direktivet vil utvide virkeområdet til det nåværende NIS-direktivet, ved innlemme flere nye sektorer som anses som kritisk for både økonomien og samfunnet, og ved å introdusere tydelige terskler knyttet til størrelse – noe som betyr at alle store og mellomstore selskaper i utvalgte sektorer vil omfattes av direktivet. Direktivet skal bidra til å styrke motstandsdyktigheten innen kritiske offentlige og private sektorer, som sykehus, strømnett, jernbane, men også datasentre, offentlige administrasjon, forskningslaboratorier og produksjon av kritisk medisinsk utstyr og medisiner, samt annen kritisk infrastruktur og kritiske tjenester. Skytjenestetilbydere, vaksineprodusenter og videokonferansetjenester, som Zoom, har blitt lagt til virkeområdet for det nye direktivet, ifølge Politico.
Arbeidet med oppdateringen av NIS-direktivet ble fremskyndet til slutten av 2020. Noe av bakgrunnen for fremskyndingen, er dataangrepet rettet mot Det europeiske legemiddelbyrået (EMA). EMA ble utsatt for et dataangrep 9. desember i fjor, hvor angriperne sikret seg tilgang til en begrenset mengde dokumenter. Blant disse var dokumenter relatert til Pfizer/BioNTech-vaksinen, og enkelte dokumenter har senere blitt lekket på internett. EMA har avdekket at noe av informasjonen i dokumentene har blitt endret på en måte som er egnet til å underbygge tilliten til vaksiner. Dataangrepet kan dermed potensielt ha en negativ effekt på massevaksinasjonsinnsatsen.
Europakommisjonen og EUs høyrepresentant for utenriks- og sikkerhetssaker vil søke å få implementert den nye cybersikkerhetsstrategien i de kommende månedene. Forslaget til NIS 2-direktiv er til behandling hos Europaparlamentet og Rådet.
Kontaktinfo
Stortingsbiblioteket: bibl@stortinget.no
Ansvarlig: Vilde Høvik Røberg