EU:s strategier och policy på cybersäkerhetsområdet

3 Cybersäkerhet

3.2 EU:s strategier och policy på cybersäkerhetsområdet

på cybersäkerhetsområdet

Den digitala agendan för Europa (DAE)

Den digitala agendan för Europa (DAE) lades fram 2010 som en del

av Europa 2020-strategin.1_{Den digitala agendan föreslår ett bättre} utnyttjande av potentialen i informations- och kommunikations- teknologin (IKT) för att främja innovation, ekonomisk tillväxt och framåtskridande. Några av åtgärderna är att verkställa en digital inre marknad, stärka interoperabilitet och standarder, forskning och innovation och dra fördel av en smart teknikanvändning i samhället, exempelvis e-hälsa, telemedicinsystem och smarta transportsystem.2

1_{Europa 2020 är EU:s gemensamma strategi för tillväxt och sysselsättning. Strategin har tre}

övergripande prioriteringar: smart tillväxt, hållbar tillväxt och tillväxt för alla. Kvantitativa mål på EU-nivå fastställdes av Europeiska rådet 2010 och ska vara uppfyllda senast 2020 inom fem områden: sysselsättning, social delaktighet, utbildning, forskning och utveckling samt klimat och energi.

2_{Meddelande från Kommissionen till Europaparlamentet, Rådet, Europeiska ekonomiska och}

sociala kommittén och Regionkommittén: En digital agenda för Europa, KOM(2010)245 slutlig, 2010-05-19.

Cybersäkerhet SOU 2020:58

EU:s cybersäkerhetsstrategi

Kommissionen antog 2013, tillsammans med den höga represen- tanten för utrikesfrågor och säkerhetspolitik, EU:s strategi för cyber-

säkerhet: En öppen, säker och trygg cyberrymd. Strategin har en hel-

hetssyn och omfattar såväl de civila aspekterna av cybersäkerhet som cyberförsvar till stöd för den gemensamma försvars- och säkerhets- politiken. Strategin anger huvuddragen av EU:s vision inom områ- det, förtydligar olika aktörers roller och ansvarsområden, samt pre- senterar de åtgärder som bör vidtas. Strategin syftar till att göra EU:s digitala miljö säkrast i världen, samtidigt som grundläggande värden och friheter försvaras.3_{Det är huvudsakligen en uppgift för EU:s} medlemsstater att arbeta med utmaningar inom cyberrymden, men särskilda åtgärder föreslogs som kunde förbättra unionens samlade insatser. Vidare presenterades strategiska prioriteringar och olika EU-institutioner tilldelades uppgifter.

Utifrån cyberfrågornas komplexitet, de många inblandade aktö- rerna och riskernas gränslösa natur föreslogs att cybersäkerhets- frågorna fördelas över tre skilda pelare: nätverks- och informations- säkerhet, upprätthållande av lag och ordning samt försvar. Vidare framhölls att medlemsländerna och kommissionen borde underrätta varandra om större cyberincidenter och -angrepp.

Strategin för cybersäkerhet har kommit att bli en hörnsten i EU:s politik, även om strategin formulerats brett och snarare ger uttryck för en vision än ett mätbart mål.4_{Strategin är sammanlänkad med tre} strategier som antagits senare, dvs. den europeiska säkerhetsagendan, strategin för den digitala inre marknaden samt den globala strategin för EU:s utrikes- och säkerhetspolitik.

EU:s policyramverk för cyberförsvar

Rådet antog 2014 ett ramverk för policy för cyberförsvar, vilket efter- frågats i cybersäkerhetsstrategin. I ramverket ges prioriteringar och olika EU-institutioner tilldelas uppgifter att utföra.5_{I fokus är en}

3_{Gemensamt meddelande från Europeiska kommissionen och Europeiska avdelningen för yttre}

åtgärder, EU:s strategi för cybersäkerhet: En öppen, säker och trygg cyberrymd, JOIN(2013) 1 slutlig, 2023-02-07.

4_{Europeiska kommissionen, Commision staff working document: Assessment of the EU 2013}

SOU 2020:58 Cybersäkerhet

förmågeutveckling för den gemensamma säkerhets- och försvars- politiken (GSFP). I takt med att cyberrymden under senare år blivit alltmer militariserad har den kommit att ses som det femte krig- föringsområdet. Cyberförsvar skyddar cyberrymdens system, nät- verk och kritiska infrastruktur mot angrepp med militära metoder eller andra slags metoder.

Strategi för en digital inre marknad (DSM)

Kommissionen antog 2015 en strategi för en digital inre marknad, vilket var en av åtgärderna i den digitala agendan (se ovan). Syftet med strategin för en digital inre marknad är att förbättra tillgången till digitala varor och tjänster genom att skapa rätt villkor för att maximera den digitala ekonomins tillväxtpotential.6_Kommissionen framhöll att den globala ekonomin snabbt blev alltmer digitaliserad och att IKT utgjorde ett fundament för moderna ekonomiska system. För att främja den europeiska digitala ekonomins tillväxt och för- bättra förutsättningarna för utvecklingen av digitala nät och tjänster bedömdes det finnas behov av samordnade åtgärder.

En säkerhetsagenda för Europa

Kommissionen antog 2015 en ny säkerhetsagenda för Europa (2015– 2020) som ersatte den tidigare interna säkerhetsstrategin. Den europeiska säkerhetsagendans mål är att förbättra brottsbekämpning och rättsliga åtgärder mot it-brottslighet, främst genom att förnya och uppdatera befintlig politik och lagstiftning.7_{Den syftar också till att} identifiera hinder för rättsliga utredningar av it-brottslighet och för- bättra cyberkapacitetsuppbyggnaden.8_{De nya och komplexa hot} som har vuxit fram de senaste åren, präglade av att vara alltmer internationella och gränsöverskridande, ansågs kräva ett effektivt och samordnat svar från europeisk nivå. Alla berörda aktörer måste därför grunda sitt arbete bl.a. på ett mer sektoröverskridande tillvägagångs-

6_{Meddelande från Kommissionen till Europaparlamentet, Rådet, Europeiska ekonomiska och}

sociala kommittén samt Regionkommittén: En strategi för en inre digital marknad i Europa (COM(2015) 192 final), 2015-05-06.

7_{Europeiska kommissionen, Europeiska säkerhetsagendan, COM(2015) 185 final, 2015-04-28.} 8_{Meddelande från kommissionen till Europaparlamentet, Rådet, Europeiska ekonomiska och}

sociala kommittén samt Regionkommittén: En säkerhetsagenda för Europa (COM(2015) 185 final), 2015-04-28.

Cybersäkerhet SOU 2020:58

sätt, dvs. att policy och praktisk handling ska samordnas mellan alla relevanta EU-institutioner. Vidare ska säkerhetens interna och externa aspekter förenas, dvs. ska säkerhetsåtgärderna såväl inom som utan- för EU samordnas, eftersom de är ömsesidigt beroende.

Rådets slutsatser om cyberdiplomati

Europeiska unionens råd presenterade under 2015 sina slutsatser om cyberdiplomati och konstaterade att frågor rörande cyberrymden stod för betydande möjligheter men också föränderliga utmaningar för EU:s utrikespolitik. Det handlade särskilt om cybersäkerhet, främ- jande och skydd av mänskliga rättigheter på internet, tillämpningen av befintlig internationell rätt, rättsstatsprincipen och uppförande- normer på internet, förvaltning av internet, den digitala ekonomin, cyberkapacitetsuppbyggnad samt strategiska relationer i cyberfrågor. Rådet ansåg att EU och dess medlemsstater borde hantera dessa över- gripande och mångfasetterade frågor genom en enhetlig internationell politik för cyberrymden som främjade EU:s politiska, ekonomiska och strategiska intressen. En sådan politik borde enligt rådet bygga på befintliga policydokument. Man skulle också fortsätta dialogen med såväl viktiga internationella partners och organisationer som det civila samhället och den privata sektorn.9

På politisk nivå utvecklades därefter en ram för en gemensam diplomatisk respons (”Joint EU Diplomatic Response”) från EU mot offensiva cyberaktiviteter, den s.k. verktygslådan för cyberdiplomati.10_{EU ska även stödja framtagningen av frivilliga, icke-} bindande normer för ansvarsfullt agerande för stater i cyberrymden samt de regionala förtroendeskapande åtgärder (CBM) som OSSE arbetat fram. Dessa är avsedda att förstärka mellanstatligt samarbete, transparens, förutsägbarhet och stabilitet och minska risken att kon- flikter uppkommer p.g.a. användningen av IKT.

9_{Europeiska unionens råd, Rådets slutsatser som cyberdiplomati, 6122/15, 2015-02-10.} 10_{Europeiska unionens råd, Slutsatser om en ram för en gemensam diplomatisk respons från}

EU mot skadlig it-verksamhet, 9916/17, 2017-06-07. För övrigt har verktygslådan för cyberdiplomati bl.a. använts för att inleda en dialog med USA efter ”Wannacry-angreppet”. Detta ledde inte till en gemensam åtgärd, utan enskilda medlemsstater antog i stället USA:s stånd-

SOU 2020:58 Cybersäkerhet

En global strategi för Europeiska unionens utrikes- och säkerhetspolitik

Den höga representanten för utrikesfrågor och säkerhetspolitik före- slog 2016 en global strategi för EU:s utrikes- och säkerhetspolitik (GUSP) Delade visioner, gemensamma åtgärder: Ett starkare Europa. Den globala strategin syftade till att främja EU:s roll i världen genom bl.a. ett förnyat åtagande avseende cybersäkerhetfrågor. Större stra- tegisk autonomi var ett mål. EU ska navigera vad som beskrivs som en svår och omstridd, sammankopplad och komplex värld.11_{En av} prioriteringarna är unionens säkerhet, vilket avseende cybersäkerhet bl.a. innebär att utveckla de teknologiska förmågorna för att öka resiliensen i kritisk infrastruktur, nätverk och tjänster, att utveckla innovativa IKT-system som garanterar datas tillgänglighet och in- tegritet, att integrera cyberfrågorna inom alla politikområden och att utveckla plattformarna för samarbete.

EU:s cybersäkerhetsinitiativ

EU har stärkt sina strategier på cyberområdet under de senaste åren genom att inkludera cybersäkerhet i politiska prioriteringar. Förtro- ende och säkerhet var kärnan i strategin för en digital inre marknad, medan kampen mot cyberbrott var en av de tre pelarna i den europeiska säkerhetsagendan. Efter att ha genomfört nämnda strategier presenterade kommissionen 2016 ytterligare åtgärder för att utöka cybersäkerhetsindustrin och hantera cyberhot. Vid sammanställningar avseende cybersäkerhetsarbete, där EU och den privata marknaden behövt arbeta tillsammans, har bl.a. certifiering identifieras som ett område. Man har i detta sammanhang sett behov av att motverka fragmenteringen p.g.a. skiftande nationella system samt förbättra effektiviteten i de som används.12

11_{Europeiska unionens råd 2016. Shared vision, Common action: A stronger Europe: A global}

strategy for the European Union’s Foreign and Security Policy.

12_{Europeiska kommissionen, Commission Staff Working Document, Contractual Public Partner-}

Cybersäkerhet SOU 2020:58

Stärka Europas system för cyberresiliens och främja en konkurrenskraftig och innovativ cybersäkerhetsbransch

För att förverkliga cybersäkerhetsstrategin och strategin för en inre digital marknad antog kommissionen den 5 juli 2016 ett meddelande om stärkt motståndskraft i nätverk och informationssystem (cyberresiliens). Kommissionen ansåg att skyddet mot cyberincidenter, trots många initiativ, fortfarande var otillräckligt, vilket kunde undergräva den digitala inre marknaden, det ekonomiska livet och samhällslivet i stort. Mot denna bakgrund åtog sig kommissionen att undersöka hur den föränderliga cybersäkerhetssituationen kunde mötas och analyserade vilka ytterligare åtgärder som behövdes för att öka EU:s cyberresiliens, förmåga att hantera incidenter och främja en konkurrenskraftig och innovativ cybersäkerhetsbransch i Europa. Åt- gärderna delades in i tre huvudområden:

– ett intensifierat samarbete för att stärka beredskapen och hantera cyberincidenter,

– utmaningar på Europas inre marknad för cybersäkerhet, och – främjande av industriell kapacitet på cybersäkerhetsområdet. Åtgärder för främjandet av den framväxande inre marknaden för cybersäkerhetsprodukter och -tjänster i EU handlar om skapandet av en ram för säkerhetscertifiering av IKT-produkter och IKT-tjäns- ter och att öka kunskaperna om befintliga finansieringsmekanismer bland cybersäkerhetsaktörer för att öka investeringarna i cybersäker- het i små och medelstora företag. Området industriell kapacitet på cybersäkerhetsområdet avser att främja konkurrenskraft och innovation för den europeiska cybersäkerhetsbranschen.

SOU 2020:58 Cybersäkerhet

Gemensamt ramverk för att motverka hybridhot

2016 antog kommissionen ett gemensamt ramverk för att motverka hybridhot,13_{baserat på bl.a. säkerhetsagendan, den globala strategin} för utrikes- och säkerhetspolitik och cybersäkerhetsstrategin. Ramen inriktades på cyberhot mot både kritisk infrastruktur och privata användare och betonade att cyberangrepp kunde genomföras genom desinformationskampanjer på sociala medier.14_{Inom ramen note-} rades också behovet av att förbättra medvetenheten och samarbetet mellan EU och Nato, vilket specificerades i de gemensamma förklar- ingarna från EU och Nato 2016 och 2018.15

Resilience, Deterrence and Defence: Building strong cybersecurity in Europe

Kommissionen lämnade i september 2017 en beskrivning över till- ståndet i unionen, ett s.k. state of the union, som specifikt behandlade cybersäkerhet.16_{I ett gemensamt meddelande till Europaparlamen-} tet och rådet beskrev kommissionen och unionens höga representant för utrikes frågor och säkerhetspolitik att EU:s medborgare och privata sektor blivit alltmer beroende av digitala tjänster och teknologier, samtidigt som antalet cyberattacker ökat. För att möta denna situation föreslogs åtgärder på tre områden:17

– bygga upp EU:s resiliens mot cyberangrepp,

– skapa effektiva avskräckningsmedel mot cyberbrott, och – stärka det internationella samarbetet om cybersäkerhet.

13_{Medlemsstaterna har huvudansvaret för att motverka hybridhot riktade mot den nationella}

nivån. Flera av EU:s medlemsstater står dock inför liknande hot, vilka dessutom kan vara riktade mot gränsöverskridande nätverk och infrastrukturer. Dessa hot bemöts mer effektivt genom ett samordnat svar från EU-nivån. Detta genom att skapa synergier mellan alla relevanta verk- tyg och instrument och genom att främja samarbete mellan samtliga relevanta aktörer.

14_{Europeiska kommissionen/Europeiska utrikestjänsten, Gemensam ram för att motverka}

hybridhot – Europeiska unionens insatser, JOIN(2016) 18 final, 2016-04-06.

15_{Gemensam förklaring från Europeiska rådets ordförande, Europeiska kommissionens ordförande}

och Nordatlantiska fördragsorganisationens generalsekreterare, 2016-07-08 och 2018-07-10.

16_{Europeiska kommissionen 2017, State of the Union 2017, Cybersecurity.}

17_{Europeiska kommissionen och unionens höga representant for utrikes frågor och säkerhets-}

politik, Gemensamt meddelande till Europaparlamentet och rådet, Resiliens, avskräckning och försvar: ett starkt cyberförsvar för EU (JOIN/2017/450 final), 2017-09-13.

Cybersäkerhet SOU 2020:58

Meddelandet inbegrep en uppdatering av strategin för cybersäkerhet från 2013. Under den första punkten föreslogs bl.a. en ny cybersäker- hetsmyndighet som skulle bygga på Enisa, men med ett starkare mandat, liksom en certifieringsram för cybersäkerhet på EU-nivå som ett steg mot en inre cybersäkerhetsmarknad. Det nya cyber- säkerhetspaketet presenterade ett antal lagstiftningsförslag, bl.a. avseende cybersäkerhetsakten. En plan för genomförandet av NIS- direktivet och snabb incidenthantering upptogs som andra områden för åtgärder.

Cybersecurity in the European Digital Single Market

Utifrån den kommande revisionen av EU:s cybersäkerhetsstrategi lämnade kommissionens mekanism för vetenskaplig rådgivning – dvs. högnivågruppen av vetenskapliga rådgivare – ett antal rekom- mendationer i mars 2017. De tio rekommendationerna riktade sig mot policynivån i EU med utgångspunkt i cybersäkerhet för den digitala inre marknaden.18_{Gruppen gjorde också några observationer} som inte direkt riktade sig till något politikområde. En avsåg förhål- landet att cyberhoten var komplexa, multidisciplinära och snabb- rörliga och att cybersäkerhet inte kunde ses som en väldefinierad vetenskaplig disciplin. En annan observation var att det fanns en obalans mellan ledtiderna för EU-lagstiftning och den höga omsätt- ningshastigheten på digitala teknologier. Exempelvis riskerade delar av det emotsedda NIS-direktivet att vara utdaterat vid tidpunkten för dess implementering. De som utformade EU-politiken behövde innovativa processer för att hantera detta. I en tredje observation lyftes några spänningar i debatten, där det inte fanns vare sig bevis eller konsensus mellan experter. En sådan avsåg valet mellan centra- liserad och decentraliserad it-styrning för online-transaktioner. Valet hade politiska implikationer och det fanns teknisk argumentation för båda sidor.

18_{Europeiska kommissionen 2017, Cybersecurity in the European Digital Single Market,}

SOU 2020:58 Cybersäkerhet

Cybersäkerhetsstudie av Enisa

Enisa redogjorde i maj 2017 för en studie på uppdrag av Europa- parlamentet avseende cybersäkerhet i GSFP. Även här konstaterades att cybersäkerhet gick utöver GSFP och krävde samarbete för att hanteras. Vidare krävdes samordning mellan de många olika aktivi- teterna, tillika med internationella partners. Avseende internationella insatser behövde man även kunna skydda tillgångar utanför EU:s gränser. Fem framtida alternativ identifierades, som inte ute- slöt varandra: fortsatt sammanhållna strategier och policys på EU- nivå, främjande av en ansvarsfull cyberkultur, utvecklat kunnande på området, förstärkning av regelverk och utvecklade standarder, organisationer och förmågor. Dessa bröts ner i de tre lagren politiskt/ strategiskt, operativt och taktiskt/tekniskt.19

EU:s policy för cyberförsvar

Ramen för EU:s policy för cyberförsvar uppdaterades i novem- ber 2018. Uppdateringen behövdes för att EU skulle kunna hantera de föränderliga säkerhetsutmaningarna. I uppdateringen identifieras sex prioriteringar, inbegripet utveckling av cyberförsvarskapacitet samt skydd av kommunikations- och informationsnätverken för GSFP. Målet med den uppdaterade ramen var att ytterligare utveckla EU:s politik på området och tydligare definiera den miniminivå av cybersäkerhet och förtroende som ska uppnås utifrån tidigare EU- omfattande erfarenheter.20_{It-försvar utgör också en del av det per-} manenta strukturerade samarbetet (Pesco) och EU-Natosamarbetet.

19_{Europaparlamentet, 2017, Cybersecurity in the EU Common Security and Defence Policy}

(CSDP): Challenges and risks for the EU.

Cybersäkerhet SOU 2020:58

In document EU:s cybersäkerhetsakt – kompletterande nationella bestämmelser om cybersäkerhetscertifiering (Page 53-62)