Syfte och tillämpningsområde - EU:s cybersäkerhetsakt

4 EU:s cybersäkerhetsakt

4.3.1 Syfte och tillämpningsområde

Den 17 april 2019 antogs Europaparlamentets och rådets förordning (EU) 2019/881 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommuni- kationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten). EU:s cybersäkerhetsakt började tillämpas direkt med undantag för vissa artiklar som kräver kompletterande bestämmelser på nationell nivå och som därför ska börja tillämpas först den 28 juni 2021. Det huvudsakliga syftet med cybersäkerhets- akten är att säkerställa en väl fungerande inre marknad och samtidigt sträva efter att uppnå en hög nivå i fråga om cybersäkerhet, cyber- resiliens och förtroende inom unionen.

Det europeiska ramverket för cybersäkerhetscertifiering är avsett att bl.a. ge följande fördelar för företag och enskilda:12

– cybersäkerhetsakten ska stödja och underlätta utvecklingen av en europeisk cybersäkerhetspolitik genom att harmonisera villkoren och de materiella kraven för cybersäkerhetscertifiering av IKT- produkter och IKT-tjänster i EU,

– europeiska ordningar för cybersäkerhetscertifiering ska hänvisa till gemensamma standarder eller kriterier för utvärderings- och test- metoder, vilket bidrar till användningen av gemensamma säkerhets- lösningar i EU och undanröjer hinder för den inre marknaden, – cybersäkerhetsakten ska stödja och komplettera genomförandet

av NIS-direktivet genom att förse de företag som omfattas av direktivet med ett verktyg för att visa att nät- och informations- säkerhetskraven uppfylls i hela unionen,

– de europeiska ordningarna för cybersäkerhetscertifiering ska ha företräde framför de nationella systemen och ersätter befintliga parallella nationella ordningar avseende samma IKT-produkter eller IKT-tjänster på en angiven tillförlitlighetsnivå,

SOU 2020:58 EU:s cybersäkerhetsakt

– företag ska bara behöva certifiera produkten en gång, och certi- fikat som utfärdas enligt de europeiska ordningarna ska gälla i alla medlemsstater,

– företag ska få en kontaktpunkt för cybersäkerhetscertifiering inom EU, och

– en produkt eller tjänst ska – beroende på cybersäkerhetsbehov – certifieras enligt en högre eller lägre nivå av säkerhet.

EU:s cybersäkerhetsakt finns intagen som bilaga till delbetänkandet.

Enisas roll och uppgifter

Artiklarna 3–45 i EU:s cybersäkerhetsakt anger mål och uppgifter samt reglerar organisatoriska frågor som rör Enisa. Enisa ska främja spridningen av cybersäkerhetscertifiering i unionen, bl.a. genom att bidra till inrättandet och underhållandet av ett ramverk för cybersäker- hetscertifiering på unionsnivå (europeiskt ramverk för cybersäkerhets- certifiering). I en av kommissionen gjord utvärdering av Enisa note- rades att EU:s strategi för cybersäkerhet inte samordnades i tillräcklig utsträckning och att detta ledde till bristande synergieffekter mellan Enisas verksamhet och andra aktörers.13_{EU:s cybersäkerhetsakt} syftar till att stärka Enisas samordnande roll.14_{En mer översiktlig} beskrivning av Enisas roll och uppdrag har lämnats i kapitel 3.

Ett övergripande europeiskt ramverk för cybersäkerhetscertifiering

I artiklarna 46–65 i EU:s cybersäkerhetsakt finns bestämmelser om ett övergripande europeiskt ramverk för cybersäkerhetscertifiering. Genom cybersäkerhetsakten skapas en ram för inrättandet av certifieringsordningar för IKT-produkter, IKT-tjänster och IKT-proces- ser15_{(europeiska ordningar för cybersäkerhetscertifiering).}

13_{Europeiska kommissionen, Study on the Evaluation of the European Union Agency for}

Network and Information Security, Final Report, 2017.

14_{Europeiska revisionsrätten, Utmaningar för en ändamålsenlig EU politik för cybersäkerhet,}

Briefingdokument, mars 2019, s. 41, och skäl 20 i EU:s cybersäkerhetsakt.

15_{Med sådana produkter, tjänster och processer avses delar, eller en grupp av delar, i nätverks-}

och informationssystem, tjänster som helt eller huvudsakligen består i överföring, lagring, hämtning eller behandling av information via nätverks- och informationssystem och verksam-

EU:s cybersäkerhetsakt SOU 2020:58

EU:s cybersäkerhetsakt inför en möjlighet för tillverkare och leverantörer att upprätta en s.k. EU-försäkran om överensstämmelse eller ansöka om ett europeiskt cybersäkerhetscertifikat som intygar att en särskild IKT-produkt, IKT-tjänst eller IKT-process uppfyller kraven i en europeisk ordning för cybersäkerhetscertifiering.

En EU-försäkran om överenstämmelse eller ett europeiskt cyber- säkerhetscertifikat ska intyga att produkterna, tjänsterna och pro- cesserna uppfyller angivna säkerhetskrav när det gäller att skydda tillgänglighet, autenticitet, integritet och konfidentialitet hos lagrade, överförda eller behandlade data eller de funktioner eller tjänster som tillhandahålls av eller är tillgängliga via dessa produkter, tjänster och processer.

EU-försäkringar om överenstämmelse och europeiska cybersäker- hetscertifikat syftar även till att hjälpa slutanvändarna att göra infor- merade val och bidra till att harmonisera cybersäkerhetsrutinerna inom unionen.16

I skäl 71 anges att de europeiska ordningarna för cybersäkerhets- certifiering bör bygga på vad som redan existerar på internationell och nationell nivå och, om så krävs, på tekniska specifikationer från forum och konsortier. I ordningarna ska befintliga standarder användas i för- hållande till de tekniska kraven och utvärderingsförfaranden som produkterna måste uppfylla. Inga egna tekniska standarder bör utvecklas.17 I EU:s cybersäkerhetsakt anges att certifieringsordningar som drivs av industrin eller andra privata organisationer inte bör ingå i cyber- säkerhetsaktens tillämpningsområde.18

Cybersäkerhetsakten ska inte påverka tillämpningen av unions- rätt som innehåller särskilda bestämmelser om certifiering av IKT- produkter, IKT-tjänster och IKT-processer, t.ex. Europaparlamen- tets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (den allmänna dataskyddsförord- ningen, GDPR).19

heter som utförs för att utforma, utveckla, tillhandahålla eller underhålla en IKT-produkt eller IKT-tjänst (artikel 2.12–2.14).

16_{Skäl 93 och 95.}

17_{När det gäller europeiska standarder ombesörjs detta av de europeiska standardiseringsorga-}

nisationerna, och det godkänns av Europeiska kommissionen genom offentliggörande i Euro- peiska unionens officiella tidning (se förordning (EU) nr 1025/2012).

SOU 2020:58 EU:s cybersäkerhetsakt

Cybersäkerhetsakten ska inte heller påverka medlemsstaternas befogenheter i fråga om verksamhet som berör allmän säkerhet, för- svar, nationell säkerhet och statens verksamhet på straffrättens om- råde (artikel 2).

Cybersäkerhetscertifiering kan vara en kostsam process, vilket i sin tur kan leda till högre priser för kunder och konsumenter. Be- hovet av certifiering kan också variera beroende på i vilket samman- hanget produkterna och tjänsterna ska användas och den snabba tekniska utvecklingen. Därför bör det – enligt cybersäkerhetsakten – även fortsättningsvis vara frivilligt att använda en europeisk cyber- säkerhetscertifiering, om inte annat föreskrivs i unionsrätten eller medlemsstaternas nationella rätt som antagits i enlighet med unions- rätten. På vissa områden kan det bli nödvändigt att i framtiden införa särskilda krav på cybersäkerhet och göra cybersäkerhetscertifiering obligatorisk för vissa IKT-produkter, IKT-tjänster och IKT-processer för att förbättra cybersäkerheten i unionen.20

Kommissionen ska med jämna mellanrum följa upp vilka effekter antagna europeiska ordningar för cybersäkerhetscertifiering har på tillgången till säkra IKT-produkter, IKT-tjänster och IKT-processer på den inre marknaden och bör regelbundet bedöma i hur hög ut- sträckning tillverkare och leverantörer av IKT-produkter, -tjänster och -processer i unionen använder certifieringsordningarna, effekti- viteten hos de europeiska ordningarna för cybersäkerhetscertifiering och huruvida bestämda ordningar borde göras obligatoriska. Bedöm- ningen bör göras mot bakgrund av unionens lagstiftning med kopp- ling till cybersäkerhet, särskilt direktiv (EU) 2016/1148, med beaktande av säkerheten i nätverks- och informationssystem som används av leverantörer av samhällsviktiga tjänster.21

I avsaknad av harmoniserad unionsrätt får medlemsstaterna införa nationella tekniska föreskrifter som föreskriver obligatorisk certifiering inom ramen för en europeisk ordning för cybersäkerhets- certifiering i enlighet med Europaparlamentets och rådets direktiv (EU) 2015/1535 om ett informationsförfarande beträffande tekniska föreskrifter och beträffande föreskrifter för informationssam- hällets tjänster.

20_{Skäl 92.} 21_{Skäl 92.}

EU:s cybersäkerhetsakt SOU 2020:58

Medlemsstaterna får även använda europeisk cybersäkerhetscerti- fiering i samband med offentlig upphandling och inom ramen för Europaparlamentets och rådets direktiv 2014/24/EU om offentlig upphandling.22

I syfte att säkerställa en harmonisering och undvika fragmenter- ing kommer nationella ordningar eller förfaranden för certifiering av IKT-produkter, -tjänster eller -processer som omfattas av en europeisk ordning för cybersäkerhetscertifiering upphöra att gälla från och med den dag som fastställs av kommissionen genom en sådan ordning (genomförandeakt).23

Medlemsstaterna får inte heller införa nya nationella ordningar för cybersäkerhetscertifiering av IKT-produkter, -tjänster eller -processer som redan omfattas av en befintlig europeisk ordning för cyber- säkerhetscertifiering. Medlemsstaterna är dock inte förhindrade att anta eller behålla nationella ordningar för cybersäkerhetscertifiering för att skydda den nationella säkerheten.24

In document EU:s cybersäkerhetsakt – kompletterande nationella bestämmelser om cybersäkerhetscertifiering (Page 90-94)