EU:s aktörer inom cybersäkerhet - EU:s cybersäkerhetsakt – kompletterande nationella bestämmels

3 Cybersäkerhet

3.3 EU:s aktörer inom cybersäkerhet

Inledning

Både civil infrastruktur och militär kapacitet är beroende av säkra digitala system. Det finns emellertid en global kompetensbrist inom cybersäkerhet.21_{Inte minst i Europa är expertisen fragmenterad. EU} är i stor utsträckning beroende av icke-europeiska leverantörer av cybersäkerhetsprodukter och lösningar.22_{EU:s institutioner och} organ har identifierat behovet av att utveckla sin cyberkapacitet och sina metoder för riskhantering på ett konsekvent sätt.23_{Den Euro-} peiska revisionsrätten har gjort bedömningen att utmaningarna med cyberhotsbedömningar förvärras av en ovilja att utbyta information och en underrapportering av incidenter.24

Också organisationer i den privata sektorn, inbegripet industrin, internetförvaltningsorgan och den akademiska världen är partners inom och bidragsgivare till politisk utveckling och genomförande på cybersäkerhetsområdet. Bl.a. har ett avtalsbaserat offentlig-privat partnerskap om cybersäkerhet (cPPP) etablerats inom EU. Partner- skapet var ett första steg att sammanföra forskarsamhället, närings- livet och den offentliga sektorn för främjande av forskning och innovation inom cybersäkerhet. Samtidigit har det funnits behov av att göra större satsningar för att mer effektivt kunna lösa cybersäker- hetsutmaningarna inom EU. Kommissionen har föreslagit att det in- rättas ett europeiskt kompetenscentrum för cybersäkerhet med ett nätverk av nationella samordningscentrum.25

Medlemsstaterna kan ha ett stort ansvar för att hantera cyber- säkerhetsincidenter, men den gränsöverskridande karaktären med-

21_{Europeiska revisionsrätten, Utmaningar för en ändamålsenlig EU politik för cybersäkerhet,}

Briefingdokument, mars 2019, s. 52.

22_{Jfr Regeringskansliet Faktapromemoria 2018/19:FPM11, 2018-10-17, s. 2 och 6.}

23_{Kommissionen, rådet och Europeiska utrikestjänsten ska 2020 presentera en rapport för den}

övergripande arbetsgruppen för cyberfrågor om styrning och de framsteg som gjorts när det gäller att klargöra och harmonisera styrningen av cybersäkerhet vid EU:s institutioner och byråer (Europeiska unionens råd, Handlingsplan för genomförandet av rådets slutsatser om det gemensamma meddelandet till Europaparlamentet och rådet: Resiliens, avskräckning och försvar: ett starkt cyberförsvar för EU, 15748/17, 2017-12-12, s. 9).

24_{Europeiska revisionsrätten, Utmaningar för en ändamålsenlig EU politik för cybersäkerhet,}

Briefingdokument, mars 2019, s. 35.

25_{Kommissionen föreslår att kompetenscentret, som ska utgöra en grund i europeisk säker-}

hetspolitik och bidra till ökad forskning och utveckling av cybersäkerhet i unionen, inrättas för perioden från den 1 januari 2021 till och med den 31 december 2029. Se kommissionens förslag till Europaparlamentets och rådets förordning om inrättande av Europeiska kompetenscentrumet för cybersäkerhet inom näringsliv, teknik och forskning och av nätverket av natio-

SOU 2020:58 Cybersäkerhet

för inte sällan att EU också behöver vara involverad i arbetet. Som tidigare berörts delar EU:s cybersäkerhetsstrategi upp i tre delområ- den: nätverks- och informationssäkerhet, brottsbekämpning och försvar, där olika aktörer tilldelas roller och ansvar. Då cybersäker- het berör många områden ligger ansvar, roller och utgifter spridda över flertalet aktörer och kräver samarbeten inom EU, med medlemsstaterna och med privata aktörer.

Styrning av informations- och cybersäkerhet

Styrning av informationssäkerhet handlar om att upprätta strukturer och politik för att säkerställa konfidentialitet, integritet och tillgäng- lighet för data. Det är mer än en teknisk fråga. Styrning av cyber- säkerhet omfattar alla slags cyberrelaterade hot, inbegripet målinrik- tade, sofistikerade angrepp, överträdelser eller incidenter som är svåra att upptäcka eller åtgärda.

Modellerna för styrning av cybersäkerhet skiljer sig åt mellan EU:s medlemsstater. I tillgängliga studier dras slutsatsen att styrningen av cybersäkerhet kan stärkas för att främja det globala sam- fundets förmåga att hantera cyberangrepp och incidenter. Samtidigt är det omöjligt att förhindra alla angrepp. Viktiga utmaningar som måste tas itu med är därför snabb detektering och hantering, skydd av kritisk infrastruktur och kritiska samhällsfunktioner samt bättre utbyte och samordning avseende information mellan offentlig och privat sektor.26

Beslutsprocesser

Man kan dela in EU-samarbetet i överstatliga och mellanstatliga frågor, där flera frågor av straffrättslig och polisiär natur inordnas i den överstatliga strukturen. För utrikes- och (den externa) säker- hetspolitiken gäller dock som regel att beslut fattas mellanstatligt.27 Vilken befogenhet EU har att besluta inom ett visst politikområde framgår av fördraget om unionens funktionssätt, EUF-fördraget. Enligt uppräkningen i nämnda fördrag, benämnd kompetenskatalo-

26_{Europeiska revisionsrätten, Utmaningar för en ändamålsenlig EU politik för cybersäkerhet,}

Briefingdokument, mars 2019, s. 52.

Cybersäkerhet SOU 2020:58

gen, har EU tre skilda befogenheter. Inom somliga områden har EU ensamrätt att lagstifta. Inom andra har EU och medlemsländerna delad befogenhet, vilket innebär att medlemsländerna kan lagstifta i dessa frågor så länge EU inte redan gjort det. Det gäller exempelvis området frihet, säkerhet och rättvisa. Inom ytterligare andra områden, som civilskydd, har EU endast rätt att stödja, komplettera eller samordna medlemsländernas åtgärder. EU ska dock ha rätt att fastställa och genomföra en gemensam utrikes- och säkerhetspolitik (GUSP), inklusive en gradvis utformning av en gemensam säkerhets- och för- svarspolitik (GSFP).28

EU-institutioner

Europeiska unionens råd, Europeiska rådet, Europaparlamentet och Europeiska kommissionen inriktar EU:s arbete och är därigenom betydelsefulla även för cybersäkerhetsarbetet.

Europeiska unionens råd (ministerrådet eller rådet) företräder medlemsländernas nationella intressen. Ministerrådet består av minist- rar från medlemsländernas respektive regeringar, beroende på vilken sakfråga som behandlas. Tillsammans med EU-parlamentet beslutar man om de lagförslag som initieras av kommissionen.29

Medlemsstaterna ansvarar först och främst för den egna cyber- säkerheten och agerar på EU-nivå genom rådet, som har ett antal samordnande och informationsdelande organ. I rådet hanteras cyber- säkerhet av den övergripande arbetsgruppen för cyberfrågor som samordnar strategiska och horisontella cyberfrågor och bidrar till att förbereda övningar och utvärdera resultatet av dem. Den har ett nära samarbete med kommittén för utrikes- och säkerhetspolitik, som har en central beslutsfattande roll avseende alla cyberrelaterade diplomatiska åtgärder. Eftersom cybersäkerhet är ämnesövergripande är det inte enkelt att samordna alla relevanta intressen; åtminstone 24 arbetsgrupper och förberedande organ har nyligen hanterat cyberrelaterade frågor.30

Europeiska rådet är stats- och regeringschefernas särskilda forum. Rådet framlägger visioner om EU-samarbetets utveckling, exempelvis genom att förhandla om nya fördrag eller medlemmar inom unio-

28_{EU:s makt varierar således mellan olika politikområden.}

SOU 2020:58 Cybersäkerhet

nen. Europeiska rådets huvuduppgift är enligt tidigare att bestämma EU:s generella politiska riktning och prioriteringar, dvs. att fastställa EU:s politiska dagordning. Europeiska rådet antar slutsatser, där särskilda frågor av betydelse för EU och huvuddragen i särskilda åt- gärder som ska vidtas eller mål som ska uppnås anges.

EU-parlamentet företräder medlemsländernas medborgare och består av direktvalda parlamentariker. Europaparlamentet fattar beslut tillsammans med rådet och ska även kontrollera EU-kommissionen.

Europeiska kommissionen är den största institutionen och före- träder det all-europeiska intresset. Kommissionen tar initiativ till lagstiftning och verkställer den politik som beslutas om inom EU. Sakfrågorna sköts i så kallade generaldirektorat som hanterar olika politikområden.31_{Kommissionen strävar efter att stärka resurser och} samverkan kring cybersäkerheten, göra EU till en starkare spelare avseende cybersäkerhet och integrera detta i övrig EU-politik.

Kommissionens olika generaldirektorat ansvarar för olika delar avseende cybersäkerhet. Generaldirektoratet för kommunikations- nät, innehåll och teknik (DG CONNECT) har det huvudsakliga ansvaret för cybersäkerhet som sådant, medan Generaldirektoratet för migration och inrikesfrågor (DG HOME) ansvarar för cyberbrottslighet. När det gäller investeringar (nationella och regionala) för att bidra till att EU når målen om smart och hållbar tillväxt utgör EU:s struktur- och investeringsfonder ett viktigt inslag. Det kan handla om forskning och innovation, stöd till små företag samt digi- tal teknik. Likaså har DG GROW ett ansvar för att främja cyber- säkerhetsindustri och underlätta företagens tillgång till finansierings- mekanismer.32

31_{Blomgren, Magnus & Bergman, Torbjörn (2005), EU och Sverige: Ett sammanlänkat statsskick.} 32_{Arbetsgruppen för säkerhetsunionen (Security Union Task Force) inrättades för att spela en}

central roll i samordningen av kommissionens olika generaldirektorat i syfte att stödja säker- hetsunionens agenda. DG CONNECT är ordförande i arbetsgruppens underarbetsgrupp om cybersäkerhet.

Cybersäkerhet SOU 2020:58

EU-organ

Enisa

Enisa är ett av de viktigaste organen för EU:s cybersäkerhetspolitik. Byrån inrättades ursprungligen 2004 och dess mandat har förlängts vid ett antal tillfällen fram till 2019 när den genom cybersäkerhets- akten fick ett permanent mandat.33_{Enisa har i uppdrag att utföra de} uppgifter som den tilldelas genom EU:s cybersäkerhetsakt och andra unionsrättsakter på cybersäkerhetsområdet genom att bl.a. tillhanda- hålla rådgivning och expertis och fungera som unionens informations- och kunskapscentrum. Enisa bör skapa förtroende för den inre marknaden genom sin opartiskhet, högkvalitativa råd och ett kom- petent utförande av sina uppgifter i fullt samarbete med unionens institutioner, organ och byråer samt medlemsstaterna. Genom en uppsättning uppgifter fastställer cybersäkerhetsakten hur Enisa ska uppnå sina mål samtidigt som flexibilitet i verksamheten efter- strävas.34_{Uppnående av målen förutsätter att Enisa samarbetar med} berörda aktörer i EU.35

Enisa genomför bl.a. ett omfattande och kontinuerligt arbete för att kartlägga den generella hotbilden mot it-system. Arbetet har pågått under ett antal år och resulterat i flera rapporter. Enisa threat

landscape report 2018 tar upp 15 hotområden inom cybersäkerhet.

En annan rapport tar upp ett antal risker och rekommendationer kopplat till upphandling och inköp av it-produkter och it-tjänster.36

För att höja den totala nivån av online-säkerhet i Europa orga- niserar byrån varje oktober en medvetenhetskampanj, ”The Euro- pean Cybersecurity Month”, med stöd av NIS-kontaktpunkter i alla medlemsstater.37

När det gäller cyberrymden förespråkar EU:s cybersäkerhetsbyrå Enisa en strategi som sammanhängande hanterar olika behovsnivåer som rör cyberrymden (se nedan figur 3.1) Varje EU-strategi bör – enligt byrån – täcka alla aspekter av cyberrymden för att kunna möta morgondagens cyberutmaningar.

33_{Aktuell cybersäkerhetsbyrå efterträder den byrå som inrättades genom förordning (EU)}

nr 526/2013.

34_{Skäl 17 och 20.} 35_{Skäl 44 ff.}

36_{Några av de risker som lyfts fram, utöver misstag och insiderhot, är missförstånd kring faktisk}

kravbild runt säkerhetsfunktioner, oklar ansvarsfördelning vid incidenter, bristande styrning av leverantörens underleverantörer samt bristande kompetens hos leverantörens personal.

SOU 2020:58 Cybersäkerhet

Figur 3.1 Enisas perspektiv på skyddsbehov i cyberrymden

Källa: Enisa. Se ENISA overview of cybersecurity and related terminology, version 1, september 2017, s. 4. Figurens engelska text är översatt till svenska av utredningen.

Enisa framhåller att välgrundade och kontinuerliga hot- och risk- bedömningar är viktiga verktyg för både offentliga och privata organisationer. Avsaknaden av standardiserade tillvägagångssätt för att klassificera och kartlägga cyberhot eller utföra riskbedömningar har inneburit en avsevärd variation av innehållet i bedömningarna, något som utgjort en utmaning för en konsekvent EU-omfattande strategi för cybersäkerhet.38

Förslag till Europeiskt kompetenscentrum för cybersäkerhet39

2018 föreslog kommissionen att det skulle inrättas ett europeiskt kompetenscentrum för cybersäkerhet inom näringsliv, teknik och forskning samt ett nätverk av nationella samordningscentrum, vilket

38_{Europeiska ekonomiska och sociala kommittén, Cybersecurity: Ensuring awareness and}

resilience of the private sector across Europe in face of mounting cyber risks, mars 2018.

39_{En granskning som Europeiska revisionsrätten gjort visar att det på cybersäkerhetsområdet}

krävs en övergång till en resultatkultur med inbyggda utvärderingsmetoder för att säkerställa meningsfullt ansvarstagande och meningsfull utvärdering. Revisionsrätten konstaterade vidare att det fanns vissa luckor i lagstiftningen och att den befintliga lagstiftningen inte införlivats konsekvent av medlemsstaterna. Det kan göra det svårt att utnyttja lagstiftningen fullt ut. (Europeiska revisionsrätten, Utmaningar för en ändamålsenlig EU politik för cybersäkerhet Briefingdokument, mars 2019, s. 52).

DEMOKRATI OCH SKYDD FÖR MÄNSKLIGA

RÄTTIGHETER

Cyberetik, cyberdemokrati, EU:s kärnvärden

SKYDD FÖR GLOBAL STABILITET

Cybernormer, cyberdiplomati, cyberförsvar, cyberkrigföring

SKYDD FÖR DEN DIGITALA INRE MARKNADEN

Cyberattacker, cyberbrottslighet, cyberspionage, cybersabotage

SKYDD FÖR KRITISKA TILLGÅNGAR

NIS-direktivet om leverantörer av samhällsviktiga tjänster och vissa digitala tjänster

GRUNDLÄGGANDE SÄKERHETSESKYDD

Cybersäkerhet SOU 2020:58

utgjorde en del av cybersäkerhetspaketet från 2017.40_{Lagstiftnings-} förslaget är särskilt utformat för att ta itu med fragmentering och dubbelarbete. En drivande faktor bakom nätverket av kompetenscentrum för cybersäkerhet och ett kompetenscentrum för forskning har varit att åtgärda de brister som NIS-direktivets kooperativa strukturer inte löser eftersom de inte utformades för att stödja ut- vecklingen av spetslösningar.

Europeiska utrikestjänsten

Europeiska utrikestjänsten (EEAS) har en ledande roll inom it-för- svar, cyberdiplomati och strategisk kommunikation samt driver ett underrättelse- och analyscentrum. EEAS har till uppgift att göra EU:s utrikespolitik mer samstämmig och effektiv. EEAS stödjer genomdrivandet av EU:s utrikes- och säkerhetspolitik, sköter diplomatiska förbindelser och strategiska partnerskap med länder utanför EU och samarbetar med EU-ländernas utrikesministerier, Förenta nationerna (FN) och andra ledande aktörer. Man strävar efter att upp- rätthålla EU:s kärnvärden och främja en fredlig, öppen och transpa- rent användning av cyberteknik. EEAS och kommissionen upprättar också i nära samarbete med medlemsstaterna strategiska länkar och dialoger om internationell cyberpolitik och säkerhet för informations- och kommunikationsteknik. EEAS ska även garantera säkerheten genom den gemensamma säkerhets- och försvarspolitiken (GSFP). För att stärka sin agenda när det gäller styrning av cyberrymden har EU formaliserat sex cyberpartnerskap41_{i syfte att upprätta regel-} bundna politiska dialoger som strävar efter att bygga tillit och gemensamma samarbetsområden.

EU:s gemensamma enhet för hybridhot,42_{som är en del av Euro-} peiska utrikestjänsten, inrättades för att förbättra situationsmed- vetenheten och stödja EU:s strategiska beslutsfattande genom utbyte av analyser. Enheten har fokus på indikationer och varningar avse-

40_{Europeiska kommissionen, Förslag till Europaparlamentets och rådets förordning om inrättande}

av Europeiska kompetenscentrumet för cybersäkerhet inom näringsliv, teknik och forskning och av nätverket av nationella samordningscentrum, COM(2018) 630 final, 2018-09-12.

41_{USA, Kina, Japan, Sydkorea, Indien och Brasilien.}

42_{EU:s gemensamma enhet för hybridhot inrättades 2016 inom Europeiska utrikestjänstens}

underrättelse- och lägescentral. Den tar emot och analyserar sekretessbelagd information och information från öppna källor från olika aktörer angående hybridhot.

SOU 2020:58 Cybersäkerhet

ende hybridhot mellan EEAS, kommissionen (inklusive EU:s myn- digheter) och medlemsstaterna. I arbetet med analys av globala frågor beaktas cyberdomänen.43_{Enheten måste dock, enligt Europeiska} revisionsrätten, bredda sin expertis inom cybersäkerhet.44

Europeiska försvarsbyrån

Europeiska försvarsbyrån (EDA) strävar efter att utveckla it-försvars- kapaciteten. EDA arbetar i enlighet med cybersäkerhetsstrategin med att involvera cyberförsvarsdimensionen i EU:s cybersäkerhetsarbete. Det handlar bl.a. om förmågeutveckling och att främja civil-militär samverkan och synergier med andra policys avseende cyber inom EU. EDA driver också en serie cyberövningar för att koordinera han- teringen av cybersäkerhetsincidenter på politisk nivå och möjliga konsekvenser av en offensiv cyberattack.

Computer Emergency Response Team (CERT-EU)45

EU:s Computer Emergency Response Team (CERT-EU) inrättades 2012 med målet att effektivt och ändamålsenligt besvara informa- tionssäkerhetsincidenter och cyberhot för EU:s institutioner, organ och byråer. Kommissionen har några av sina it-säkerhetsexperter i CERT-EU:s kärnteam tillsammans med experter från generalsekre- tariatet från rådet, Europaparlamentet, Regionkommittén och Eko- nomiska och sociala kommittén. Också Enisa bistår CERT-EU. Teamet arbetar under strategisk övervakning av en interinstitutionell styrelse.

CERT-EU förser EU:s institutioner, organ och byråer med rapporter om och genomgångar av cyberhot mot dem. CERT-EU samarbetar också med andra CERT-funktioner i medlemsstaterna samt med specialiserade it-säkerhetsföretag; de utbyter information om hur man hanterar hot.

43_{FOI Memo 6150, Initiativ avseende cybersäkerhet i EU, 2017-10-20.}

44_{Europeiska revisionsrätten, Utmaningar för en ändamålsenlig EU politik för cybersäkerhet,}

Briefingdokument, mars 2019, s. 35.

Cybersäkerhet SOU 2020:58

Europols europeiska it-brottscentrum (EC3)

European Cybercrime Center (EC3) inrättades 2013 inom Europol som ett resultat av EU:s interna säkerhetsstrategi. EC3 arbetar, tillsammans med cyberbrottlighetsenheten på DG HOME, med att stärka rättsväsendets svar på gränsöverskridande cyberbrottslig- heten inom EU. EC3 ska särskilt fokusera på tre typer av cyberbrottslighet: den utförd av organiserade kriminella grupper, den som medför allvarlig skada för offren (såsom barnpornografi) och den som påverkar kritisk infrastruktur och kritiska informationssystem inom EU.

EC3 har inrättat ett antal rådgivande grupper med aktörer från den privata sektorn, EU:s institutioner och byråer samt andra inter- nationella organisationer för att förbättra samarbetet genom nätver- kande och strategiskt underrättelseutbyte. De arbetar enligt planer i linje med målen för EU:s policycykel.46

In document EU:s cybersäkerhetsakt – kompletterande nationella bestämmelser om cybersäkerhetscertifiering (Page 62-70)