Cyber Solidarity Act

Publisert

Bakgrunn 

Kommisjonen foreslo den 18. april 2023 en forordning om cybersolidaritet for å styrke kapasiteten i EU til å oppdage, forberede seg på og svare på de økende cybersikkerhetstruslene og angrepene over hele EU. 

Forslaget inneholder: 

  • Et europeisk cyberskjold - en plattform av nasjonale og grenseoverskridende sikkerhetsoperasjonssentre (SOCs), med mål om å forbedre oppdagelsen, analysen og responsen på cybertrusler. 
  • En cybernødsmekanisme for å forbedre forberedelsene og responsen på cybersikkerhetshendelser ved å: 
    • teste forberedelsene i kritiske sektorer for potensielle sårbarheter; 
    • opprette en EU-cybersikkerhetsreserve, med tjenester for hendelsesrespons fra pålitelige tilbydere, som kan utplasseres av medlemsstatene i tilfelle av betydelige eller storstilte cybersikkerhetshendelser; 
    • tilby finansiell støtte for gjensidig støtte mellom medlemsstatene. 
  • En mekanisme for gjennomgang av cybersikkerhetshendelser for å vurdere og gjennomgå betydelige eller storstilte hendelser. EUs cybersikkerhetsbyrå (ENISA) skal gjennomgå slike hendelser på forespørsel fra kommisjonen eller nasjonale myndigheter og rapportere om lærdommer og anbefalinger24. 

Det europeiske cyberskjoldet og cybernødsmekanismen vil bli finansiert av programmet for et digitalt Europa (DIGITAL). For å muliggjøre dette, vil cybersolidaritetsakten endre forordningen for programmet Digitalt Europa. Det totale budsjettet for cybersolidaritetsakten, inkludert bidrag fra medlemsstatene, kan beløpe seg til 1,1 milliarder euro. 

Politisk prosess 

Europaparlamentets rapport om saken sier blant annet at forslaget støtter industriell kapasitet i cybersikkerhetssektoren, særlig for mikroforetak og SMB-er, for å fremme strategisk autonomi, teknologisk suverenitet, konkurranseevne og motstandskraft, og sikre sterke kapabiliteter gjennom internasjonalt samarbeid. Forordningen fremmer utvikling av ferdigheter hos arbeidsstyrken, utvider definisjoner som nasjonalt SOC, og foreslår integrering av nasjonale SOCs i eksisterende cybersikkerhetsinfrastrukturer. Enheter fra land utenfor avtalen om offentlige anskaffelser ekskluderes fra felles anskaffelser. Etterretning om cybertrusler skal utveksles mellom SOCs og ISACs for å håndtere trusler. Fleksibilitet i EU-cybersikkerhetsreserven tillates, og Kommisjonen får makt til å vedta delegerte akter. Budsjettet for EU-cybersikkerhetsreserven settes til 27 millioner euro, og flere ressurser til ENISA forespørres. Forordningen skal evalueres hvert andre år. 

Rådet vedtok forhandlingsmandatet 20. desember 2023. Rådet klargjorde samspillet mellom de definerte enhetene i forslaget og de eksisterende strukturene, og understreket at tiltak under forordningen vil være et supplement til aktivitetene utført av CSIRTs-nettverket, NIS-samarbeidsgruppen og EU-CyCLONe.  

Rådet trakk særlig fram medlemsstatenes frivillige involvering gjennom teksten, og understreket at nasjonal sikkerhet forblir medlemsstatenes ansvar. Rådet framhevet også viktigheten av konfidensialitet i informasjonsutvekslingen for alle tre pilarer. Dette bør begrenses til hva som er relevant og være proporsjonalt med formålet med utvekslingen, for å bevare konfidensialiteten og beskytte sikkerheten og de kommersielle interessene til de involverte. Det ville utelukke utvekslinger av informasjon som kunne være i strid med medlemsstatenes vesentlige interesser når det gjelder nasjonal sikkerhet, offentlig sikkerhet eller forsvar hvis det ble avslørt. 

Nå må teksten godkjennes av Rådet og Parlamentet gjennom å bli formelt vedtatt. Parlamentet vedtok forordningen i plenum i april 2024, og man venter nå på en siste godkjenning fra Rådet. 

 EØS-relevans 

Forordningen er ikke markert som EØS-relevant fra EUs side. Relevans vil bli vurdert av EØS-komiteen når forordningen trer i kraft. . Norges stilling til forordningen er ukjent.