EU-kommissionen vill stärka cybersäkerheten i unionen
EU-kommissionen har lagt fram ett nytt cybersäkerhetspaket med syfte att stärka EU:s motståndskraft och kapacitet mot ökande cyber- och hybridattacker, enligt ett pressmeddelande från kommissionen.
Förslaget omfattar bland annat en reviderad cybersäkerhetsförordning, ändringar i NIS2-direktivet samt ett förstärkt mandat för EU:s cybersäkerhetsbyrå ENISA.
Bakgrunden är en växande hotbild mot samhällsviktiga tjänster och institutioner i Europa, där både statliga och kriminella aktörer pekas ut som ansvariga. Kommissionen framhåller att sårbarheter i globala ICT-leveranskedjor i dag utgör en central säkerhetsrisk.
En nyckeldel av det paket som nu läggs fram syftar till att minska riskerna i EU:s ICT-leveranskedjor, särskilt kopplade till leverantörer från tredjeländer som bedöms innebära förhöjda risker. Förordningen introducerar ett gemensamt, riskbaserat ramverk som ska göra det möjligt för EU och medlemsstaterna att identifiera och hantera risker inom unionens 18 kritiska sektorer, enligt EU-kommissionen.
Förslaget öppnar även för obligatorisk ”derisking” av europeiska mobilnät gentemot högriskleverantörer från tredjeländer. Detta bygger vidare på det arbete som redan bedrivs inom ramen för EU:s så kallade 5G-security toolbox.
Cybersäkerhetsförordningen innehåller också en reform av det europeiska ramverket för cybersäkerhetscertifiering. Målet är att förenkla och påskynda certifieringsprocesser för ICT-produkter och tjänster, där nya certifieringssystem som huvudregel ska kunna tas fram inom tolv månader. Paketet innehåller även riktade ändringar i NIS2-direktivet för att förenkla efterlevnaden av EU:s cybersäkerhetskrav för företag som omfattas av direktivet.
Samtidigt föreslås ett utökat mandat för ENISA. Byrån ska bland annat kunna utfärda tidiga varningar om cyberhot, stödja företag vid ransomware-attacker i samarbete med Europol och nationella incidenthanteringsteam samt ansvara för en gemensam europeisk ingångspunkt för incidentrapportering, enligt EU-kommissionen.
Förslagen ska nu behandlas av Europaparlamentet och EU:s ministerråd. Om den reviderade cybersäkerhetsförordningen antas blir den direkt tillämplig i hela EU. Medlemsstaterna får däremot ett år på sig att införliva de föreslagna ändringarna i NIS2-direktivet i nationell lagstiftning, enligt kommissionen.