EU-kommissionen har presenterat ett omfattande nytt cybersäkerhetspaket som syftar till att stärka unionens digitala motståndskraft i ett allt mer ansträngt säkerhetspolitiskt läge. Förslagen innebär både förändringar i EU:s cybersäkerhetslagstiftning och en tydlig förstärkning av EU:s cybersäkerhetsmyndighet ENISA:s roll.
Paketet bygger vidare på EU:s befintliga cybersäkerhetsramverk, men markerar en förskjutning från ett primärt fokus på certifiering av produkter och tjänster till ett bredare angreppssätt som omfattar hela ICT-leverantörskedjor och organisatorisk cybersäkerhetsförmåga.
En central del i förslaget är ett riskbaserat ramverk för att hantera cybersäkerhet i ICT-leverantörskedjor. Här betonas beroenden av enskilda leverantörer, risken för utländsk påverkan samt användning av leverantörer från tredjeländer som bedöms som högriskaktörer.
EU-kommissionen föreslår att medlemsstaterna ska få möjlighet att införa obligatoriska åtgärder för så kallad ”derisking”, särskilt inom mobil kommunikation. Förslaget knyter an till tidigare arbete inom ramen för EU:s 5G-verktygslåda, men ger ett tydligare rättsligt stöd för att begränsa riskfyllda leverantörer i kritisk infrastruktur.
Det europeiska cybersäkerhetscertifieringssystemet föreslås reformeras för att bli snabbare, mer förutsägbart och enklare att använda. Den reviderade modellen ska ge tydligare styrning och kortare ledtider för nya certifieringsordningar.
Certifiering ska fortsatt vara frivillig, men kan enligt förslaget även omfatta organisationers övergripande cybersäkerhetsarbete – inte enbart tekniska produkter och tjänster. Syftet är att göra certifiering till ett mer praktiskt verktyg för att visa cybersäkerhetsmognad i exempelvis upphandlingar och leverantörsrelationer.
Som en del av paketet föreslår kommissionen riktade ändringar i NIS2-direktivet. Målet är att minska den administrativa bördan för de tiotusentals företag som omfattas av regelverket.
Bland annat föreslås tydligare regler för vilket lands tillsyn som gäller vid gränsöverskridande verksamhet, införandet av en ny kategori för så kallade ”små medelstora bolag” samt en förenklad rapportering av incidenter genom en gemensam EU-ingång.
Förslagen syftar till att öka regelefterlevnaden samtidigt som tillsynen blir mer enhetlig inom unionen.
EU:s cybersäkerhetsmyndighet ENISA föreslås få ett utökat mandat som går bortom samordning och vägledning. Myndigheten ska bland annat kunna utfärda tidiga varningar om cyberhot, stödja medlemsstater vid ransomware-incidenter i samarbete med nationella myndigheter och Europol, samt bidra till återställningsarbete efter större attacker.
ENISA ska även få ansvar för att utveckla gemensamma europeiska system för sårbarhetshantering och certifiering av cybersäkerhetskompetens, som ett led i att stärka EU:s långsiktiga försörjning av cybersäkerhetsexpertis.
Sammantaget signalerar cybersäkerhetspaketet en tydlig ambition att minska fragmenteringen inom EU:s digitala skydd och stärka unionens strategiska självständighet på cybersäkerhetsområdet.
För säkerhetsbranschen innebär förslagen både nya krav och nya möjligheter, samtidigt som de berör en bredare krets av organisationer som är beroende av stabil, säker och tillförlitlig digital infrastruktur.
Förslagen ska nu behandlas av Europaparlamentet och medlemsstaterna innan de kan träda i kraft.
Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik
Anmäl dig till vårt nyhetsbrev!
Genom att klicka på "Prenumerera" ger du samtycke till att vi sparar och använder dina personuppgifter i enlighet med vår integritetspolicy.
