Enighet om nytt cybersikkerhetsdirektiv (NIS-2)
Europaparlamentet og Rådet har oppnådd en foreløpig enighet om forslaget som oppdaterer EUs cybersikkerhetsregler for kritiske sektorer, det såkalte NIS 2-direktivet. Det nye regelverket erstatter dagens NIS-direktiv og utvider virkeområdet til flere sektorer, blant annet offentlig forvaltning. Virksomheter som leverer «vesentlige» tjenester skal flagge cybersikkerhetshendelser til myndighetene innen 24 timer. Brudd på dette kan gi bøter på opptil 2 prosent av omsetningen. Dagens NIS-direktiv er foreløpig ikke tatt inn i EØS-avtalen, men Justis- og beredskapsdepartementet (JD) har hatt planer om å innføre tilsvarende regler som NIS-1 uavhengig av EØS-prosessen. EU-institusjonene har også forhandlet frem en foreløpig enighet om rammeverket for digitale finansielle tjenesters operasjonelle motstandsdyktighet (DORA).
Parlamentet og Rådet oppnådde 13. mai en foreløpig enighet om forslaget til nytt cybersikkerhetsdirektiv for kritiske sektorer (NIS 2). NIS 2 erstatter dagens NIS-direktiv og utvider direktivets virkeområde til å omfatte flere sektorer og tjenester som er av kritisk betydning for økonomien og samfunnet. Direktivet fjerner ulikheter mellom medlemslandene når det kommer til cybersikkerhetskrav og -tiltak, og fastsetter minimumsregler for en reguleringsramme. NIS 2 innfører også mekanismer for et effektivt samarbeid mellom relevante myndigheter i hvert medlemsland, og fastsetter rettsmidler og sanksjoner for å sikre overholdelse av regelverket. Det skal videre etableres et European Cyber Crises Liaison Organisation Network (EU-CyCLONe), som skal koordinere håndteringen av vesentlige cybersikkerhetshendelser.
«Cybertrusler bliver stadig mere dristige og mere komplekse. Det var derfor bydende nødvendigt at tilpasse vores sikkerhedsrammer til de nye realiteter og sikre, at vores borgere og infrastrukturer beskyttes», uttaler kommissær for det indre marked Thierry Breton i Kommisjonens pressemelding.
Enigheten mellom EU-institusjonene innebærer at virksomheter og organisasjoner som leverer «vesentlige» (essential) tjenester i betydelig grad må oppgradere sine retningslinjer og verktøy for cybersikkerhet, skriver Politico. De må også flagge cybersikkerhetshendelser til myndighetene innen 24 timer, og legge frem en mer detaljert rapport etter 72 timer. Enheter som ikke overholder regelverket risikerer bøter opp til 2 prosent av omsetning («vesentlige» tjenesteleverandører) og opp til 1.4 prosent («viktige» tjenesteleverandører).
Mens det tidligere har vært medlemslandenes ansvar å avgjøre hvilke enheter som kvalifiserer til å være en operatør som leverer «vesentlige» tjenester, innføres det nå et tak som inkluderer alle store- og mellomstore virksomheter som opererer i sektorer eller leverer tjenester som omfattes av regelverket. Enigheten mellom EU-institusjonene inneholder ytterligere bestemmelser om proporsjonalitet, et høyere nivå av risikostyring og klare kriterier for å avgjøre hvilke enheter som faller inn under direktivet. Det klargjøres også at direktivet ikke vil gjelde for enheter som utfører tjenester på områder som forsvar og nasjonal sikkerhet, offentlig sikkerhet, rettshåndhevelse og rettsvesen. Parlamenter og nasjonalbanker er også unntatt fra regelverket. Siden offentlige forvaltninger ofte er mål for cyberangrep, inkluderes forvaltningsenheter på sentralt og regionalt nivå i direktivet, mens det er valgfritt for medlemslandene å inkludere lokalt nivå.
Parlamentet og Rådet har gjennom behandlingen av forslaget strømlinjeformet rapporteringskravene i NIS 2, for å unngå overrapportering og unødvendige byrder for enhetene som omfattes av regelverket. De har også tilpasset Kommisjonens forslag til sektorspesifikk lovgivning, som direktivet om kritiske enheters motstandsdyktighet (CER), og EU-rammeverket for digitale finansielle tjenesters operasjonelle motstandsdyktighet (DORA). EU-institusjonene oppnådde 10. mai en foreløpig enighet om DORA. Forordningsforslaget fastsetter enhetlige sikkerhetskrav til nettverk og informasjonssystemer som er aktive i finanssektoren, samt til kritiske tredjeparter som leverer IKT-relaterte tjenester.
Kommisjonen la frem forslaget til NIS 2-direktiv i desember 2020, sammen med EUs cybersikkerhetsstrategi. Dagens NIS-direktiv (NIS-1) er foreløpig ikke tatt inn i EØS-avtalen, men EØS/EFTA-landenes utkast til EØS-komitebeslutning ble oversendt til Kommisjonen 13. april 2022. Regjeringen skriver i EØS-notatet om NIS-2 (oppdatert 19.04.2021) at Justis- og beredskapsdepartementet har forberedt en lov som gjennomfører NIS-1-direktivet i norsk rett. Et utkast til lovforslag ble sendt på høring i desember 2018. Ifølge EØS-notatet vil en eventuell ny lov «bli gjenstand for revisjon når NIS2 direktivet eventuelt blir en del av EØS-avtalen».
Forhandlingsresultatet skal nå formelt godkjennes av Rådet og Parlamentet. Medlemslandene vil få 21 måneder på å gjennomføre regelverket i nasjonal rett.
Kontaktinfo
Stortingsbiblioteket: bibl@stortinget.no
Ansvarlig: Vilde Høvik Røberg