Karnov Open

Karnov Open är en kostnadsfri tjänst ifrån Karnov Group där vi samlat alla Sveriges författningar och EU-rättsliga dokument. Karnov Open fungerar som en unik sökmotor, vilken ger direkt tillgång till offentlig rättsinformation. För att använda hela Karnovs tjänst, logga in här.

ARBETSDOKUMENT FRÅN KOMMISSIONENS AVDELNINGAR SAMMANFATTNING AV KONSEKVENSBEDÖMNINGEN Följedokument till Förslag till Europaparlamentets och rådets direktiv om åtgärder för att säkerställa en hög gemensam nivå av nät- och informationssäkerhet i hela unionen /* SWD/2013/031 final */



ARBETSDOKUMENT FRÅN KOMMISSIONENS AVDELNINGAR

SAMMANFATTNING AV KONSEKVENSBEDÖMNINGEN

Följedokument till

Förslag till Europaparlamentets och rådets direktiv

om åtgärder för att säkerställa en hög gemensam nivå av nät- och informationssäkerhet i hela unionen

1.           Tillämpningsområde

Denna konsekvensanalys omfattar olika tänkbara åtgärder för att förbättra säkerheten hos internet och de övriga nätverken och informationssystem som ligger till grund för tjänster som garanterar välfärden i våra samhällen (såsom offentliga förvaltningar, finans- och bankverksamhet, energi, transport, hälso- och sjukvård och vissa internettjänster som möjliggör viktiga ekonomiska och sociala processer, t.ex. plattformar för e-handel och sociala nätverk). Detta kallas nät- och informationssäkerhet.

2.           Politiskt sammanhang

Den ökande betydelsen av nät- och informationssäkerheten för våra ekonomier och samhällen erkändes för första gången av kommissionen 2001. För att garantera en hög och effektiv nät- och informationssäkerhet i EU beslutade Europeiska gemenskapen 2004 att inrätta Europeiska byrån för nät- och informationssäkerhet (Enisa). Europeiska unionens tillvägagångssätt hittills på området nät- och informationssäkerhet har främst bestått i en serie handlingsplaner och strategier i vilka medlemsstaterna uppmanas att öka sin nät- och informationssäkerhetskapacitet och samarbeta för att motverka gränsöverskridande problem med nät- och informationssäkerhet.

Samråd har förts med berörda parter om de olika aspekterna av initiativet (problemdefinition och alternativ för att angripa befintliga brister) via följande kanaler:

· Ett offentligt samråd online om att "förbättra nät- och informationssäkerheten i EU" mellan den 23 juli och den 15 oktober 2012. Sammanlagt 169 svar inkom via ett webb-baserat verktyg och ytterligare 10 svar inkom skriftligen till kommissionen.

· Diskussioner med medlemsstaterna i samband med det europeiska forumet för medlemsstater, i bilaterala möten och vid EU:s konferens om it-säkerhet som organiserades av kommissionen och Europeiska utrikestjänsten den 6 juli 2012.

· Diskussioner med privata företag och sammanslutningar inom ramen för det offentlig-privata EU-partnerskapet för motståndskraft (EP3R) och i bilaterala möten.

· Diskussioner med Enisa och EU:s incidenthanteringsorganisation.

· Diskussioner inom ramen för forumet för den digitala agendan 2012.

3.           Problemformulering

3.1.        Definition av problemet

Problemet kan beskrivas som en allmänt otillräcklig skyddsnivå mot incidenter, risker och hot avseende nät- och informationssäkerheten inom EU som hindrar att den inre marknaden fungerar väl.

I och med att nät och informationssystemen är sammankopplade och internet är globalt överskrider många nät- och informationssäkerhetsincidenter de nationella gränserna och hindrar att den inre marknaden fungerar väl.

Gränsöverskridande tjänster kan bli oåtkomliga, upphävas eller avbrytas på grund av säkerhetsöverträdelser såsom skedde i angreppen mot eBay och PayPal. Behovet av att agera snabbt för att lösa problem och utbyta information i samband med en betydande incident har framhållits i samband med angreppet mot det nederländska certifikatföretaget Diginotar. Till följd av de inträffade incidenterna håller medlemsstaterna på att införa egna föreskrifter. Icke-samordnade regleringar kan leda till fragmentering och ge upphov till hinder för den inre marknaden som medför kostnader för att följa reglerna för de företag som verkar i fler än en medlemsstat.

Detta problem rör alla delar av samhället och ekonomin (staten, företagen och konsumenterna). Ett antal sektorer har en central roll för tillhandahållandet av viktiga stödtjänster för vår ekonomi och vårt samhälle, och säkerheten hos deras system är av särskilt stor vikt för att den inre marknaden ska fungera väl. Några exempel är banksektorn, börsen, produktion, överföring och distribution av energi, transporter (luftfart, järnväg, sjöfart), hälso- och sjukvård, leverantörer av viktiga internettjänster och offentliga förvaltningar. Det offentliga samrådet visade att det fanns ett starkt stöd från berörda parter när det gäller nät- och informationssäkerhet i dessa sektorer och för att vidta åtgärder på EU-nivå i enlighet med detta.

Om inga ytterligare åtgärder vidtas för att motverka det ökande antalet incidenter kan konsumenternas förtroende för e-tjänster sjunka, vilket kan undergräva förverkligandet av den digitala agendan.

3.2.        Orsaker till problemet

Det definierade problemet beror på en rad faktorer.

För det första råder det en ojämn kapacitet på nationell nivå i hela EU, vilket hindrar uppbyggandet av förtroende mellan parterna, som är en förutsättning för samarbete och informationsutbyte.

För det andra är utbytet av information om incidenter, risker och hot otillräckligt. De flesta nät- och informationssäkerhetsincidenter rapporteras inte, främst på grund av företagens motvilja mot att sprida denna information på grund av rädslan för dåligt rykte eller skadestånd. Informationsutbytet inom de befintliga offentlig-privata partnerskapen/plattformarna, t.ex. det europeiska forumet för medlemsstater och offentlig-privata EU-partnerskapet för motståndskraft, är begränsat till bästa praxis.

4.           De befintliga åtgärdernas effektivitet

4.1.        Luckor i det nuvarande regelverket

Enligt det nuvarande regelverket är det endast telekommunikationsföretagen som måste anta riskhanteringsåtgärder avseende nät- och informationssäkerhet och rapportera nät- och informationssäkerhetsincidenter. Alla aktörer som är beroende av nät och informationssystem är emellertid utsatta för säkerhetsrisker. Detta skapar ojämlika villkor t.ex. om en teleoperatör och ett företag som tillhandahåller tjänster för röstsamtal över internet drabbas av samma incident, eftersom endast det förstnämnda företaget måste anmäla incidenten till den nationella behöriga myndigheten.

Alla aktörer som är registeransvariga (t.ex. banker och sjukhus) är enligt regelverket för dataskydd skyldiga att införa säkerhetsåtgärder som är proportionerliga mot de risker som de är utsatta för. Men de personuppgiftsansvariga är endast skyldiga att anmäla de säkerhetsöverträdelser som hotar säkerheten för personuppgifter.

Rådets direktiv 2008/114/EG om identifiering av och klassificering som europeisk kritisk infrastruktur omfattar endast energi- och transportsektorerna, och hittills har bara ett fåtal europeiska kritiska infrastrukturer definierats som sådana av medlemsstaterna. Direktivet ålägger inte operatörerna att rapportera betydande säkerhetsöverträdelser och inrättar inte några mekanismer för samarbete mellan medlemsstaterna och för deras hantering av incidenter.

Medlagstiftarna håller för närvarande på att diskutera kommissionens förslag till direktiv om angrepp mot informationssystem[1]. Det omfattar endast kriminalisering av specifika typer av beteenden men behandlar inte förebyggande av nät- och informationssäkerhetsrelaterade risker och incidenter, svarsåtgärder på nät- och informationssäkerhetsincidenter eller åtgärder för att begränsa konsekvenserna.

4.2.        Gränserna för ett tillvägagångssätt baserat på frivillighet

Tillvägagångssättet baserat på frivillighet har hittills lett till en ojämn nivå på beredskap och begränsat samarbetet.

Det europeiska forumet för medlemsstater har en begränsad behörighet eftersom medlemsstaterna inte utbyter information om incidenter, risker och hot och inte heller samarbetar för att motverka gränsöverskridande hot. Det europeiska forumet för medlemsstater har ingen behörighet att kräva att dess medlemmar har tillräckliga resurser.

Enisa har inga operativa befogenheter och kan exempelvis inte ingripa för att lösa problem med nät- och informationssäkerhet.

Det offentlig-privata EU-partnerskapet för motståndskraft (EP3R) har ingen formell ställning och får inte kräva att den privata sektorn rapporterar incidenter till de nationella myndigheterna. En ram för tillförlitligt informationsutbyte och för information om nät- och informationssäkerhetsrelaterade hot, risker och incidenter saknas inom partnerskapet.

5.           Behov av EU-åtgärder, subsidiaritet och proportionalitet

Att garantera nät- och informationssäkerheten är av avgörande betydelse för en väl fungerande inre marknad och välfärden i vårt samhälle. Artikel 114 i EUF-fördraget är en lämplig rättslig grund för att harmonisera nät- och informationssäkerhetsbehoven och införa en gemensam lägsta säkerhetsnivå i hela EU.

Unionens insatser på området nät- och informationssäkerhet är motiverade enligt subsidiaritetsprincipen på grund av problemets gränsöverskridande art och den ökade effektiviteten (och därmed mervärdet) hos åtgärder på EU-nivå jämfört med nuvarande åtgärder på nationell nivå.

För att garantera ett samarbete mellan alla medlemsstater är det nödvändigt att se till att alla har den föreskrivna minimikapaciteten. Det är dessutom uppenbart att en samordnad och samverkande nät- och informationssäkerhetspolitik kan få en mycket positiv effekt på skyddet av de grundläggande rättigheterna, i synnerhet rätten till skydd av personuppgifter och privatlivet.

Åtgärderna i det alternativ som föredras är berättigade med hänsyn till proportionalitetsprincipen, eftersom kraven för medlemsstaterna har fastställts till den lägsta nivå som krävs för att uppnå rätt beredskap och för att möjliggöra ett förtroendefullt samarbete, och eftersom kraven för företagen och de offentliga myndigheterna att utföra riskhantering och rapportera incidenter endast inriktas på kritisk enheter och omfattar åtgärder som står i proportion till riskerna och avser incidenter med betydande verkan. Dessutom kommer åtgärderna enligt det rekommenderade alternativet inte att medföra några oproportionerliga kostnader.

6.           Mål

Den allmänna målsättningen är att öka skyddet mot nät- och informationssäkerhetsrelaterade incidenter, risker och hot i hela EU. De särskilda målen är följande:

· Mål 1 - Införa en gemensam lägsta nivå av nät- och informationssäkerhet i medlemsstaterna och därmed öka den totala nivån på beredskapen och svarsåtgärderna.

· Mål 2 - Förbättra samarbetet om nät- och informationssäkerhet på EU-nivå för att motverka gränsöverskridande incidenter och hot på ett effektivt sätt.

· Mål 3 - Skapa en kultur av riskhantering och förbättra informationsutbytet mellan privat och offentlig sektor.

7.           Strategiska alternativ

De alternativ som har övervägts i denna konsekvensanalys är ingen förändring, lagstiftning samt en kombination av frivilliga initiativ och lagstiftning. Alternativet att upphöra med alla EU-insatser för nät- och informationssäkerhet har förkastats.

7.1.        Alternativ 1 – Inga åtgärder (nollalternativ)

Kommissionen fortsätter med hjälp av Enisa med det nuvarande tillvägagångssättet baserat på frivillighet, enligt vilket man uppmanar medlemsstaterna att bygga upp nät- och informationssäkerhetskapacitet på nationell nivå (t.ex. organisationer för incidenthantering, nationella beredskapsplaner för it-incidenter och nationella strategier för it-säkerhet ) och samarbeta på EU-nivå (t.ex. via ett nätverk av organisationer för incidenthantering i Europa och en europeisk beredskaps- och samarbetsplan för it-incidenter).

7.2.        Alternativ 2 – Lagstiftning

Kommissionen kräver att alla medlemsstater inrättar åtminstone en miniminivå av nationell kapacitet (organisationer för incidenthantering, behöriga myndigheter, nationella beredskapsplaner för it-incidenter och nationella strategier för it-säkerhet).

Enligt detta lagstiftningsalternativ ska de behöriga nationella myndigheterna och organisationerna för incidenthantering ingå i ett nätverk för samarbete på EU-nivå. Inom nätverket utbyter myndigheterna och incidenthanteringsorganisationerna information och samarbetar för att motverka hot mot nät- och informationssäkerheten och incidenter i enlighet med den europeiska beredskaps- och samarbetsplan för it-incidenter som medlemsstaterna ska enas om.

Företag (med undantag för mikroföretag) inom vissa viktiga sektorer, dvs. bankverksamhet, energi (elektricitet och naturgas), transport, hälsa, leverantörer av viktiga internettjänster och offentliga förvaltningar, skulle vara skyldiga att bedöma vilka risker som finns och vidta lämpliga och proportionella åtgärder för att bedöma de faktiska riskerna. Dessa enheter skulle dessutom till de behöriga myndigheterna rapportera de incidenter som allvarligt äventyrar driften av deras nät och informationssystem och sålunda har en väsentlig inverkan på kontinuiteten hos tjänsterna och leveransen av varor som är beroende av nät och informationssystem. Denna ordning följer artikel 13 a och 13 b i ramdirektivet för elektronisk kommunikation.

7.3.        Alternativ 3 – Kombination av frivilliga initiativ och lagstiftning

Kommissionen kombinerar frivilliga initiativ, som bygger på medlemsstaternas goda vilja och syftar till att inrätta eller stärka medlemsstaternas nät- och informationssäkerhetskapacitet och fastställa mekanismer för samarbete på EU-nivå, med lagstadgade krav för viktiga privata aktörer och offentliga förvaltningar.

De frivilliga initiativen liknar i huvudsak de initiativ som vidtas under alternativ 1, medan de lagstadgade kraven är identiska med de i alternativ 2, både när det gäller de avsedda enheterna och innehållet i skyldigheterna.

Enisa skulle tillhandahålla stöd och teknisk sakkunskap till kommissionen, medlemsstaterna och den privata sektorn, till exempel genom att utfärda tekniska riktlinjer och rekommendationer.

8.           Konsekvensbedömning

Konsekvensbedömningen omfattar, förutom nivån av säkerhet, de ekonomiska och sociala konsekvenserna av de tre alternativen. Den omfattar också de kostnader som skulle ha uppkommit vid alternativen 2 och 3.

Ingen av de angivna alternativen kommer att ha någon påverkan på miljön som kan förutsägas med säkerhet.

8.1.        Alternativ 1 – Inga åtgärder (nollalternativ)

Säkerhetsnivå: Det är osannolikt att alla medlemsstater uppnår en jämförbar nationell kapacitet och beredskap på en sådan nivå som krävs för att förbättra säkerheten och möjliggöra samarbete och utbyte av tillförlitlig information på EU-nivå. Lika villkor skulle inte uppnås när det gäller riskhantering och ökad öppenhet i fråga om incidenter, och kryphål i lagstiftningen skulle därför kvarstå.

Ekonomisk inverkan: Den ekonomiska inverkan beror på i vilken utsträckning medlemsstaterna följer kommissionens rekommendationer. Den otillräckliga säkerhetsnivån i de mindre utvecklade medlemsstaterna kan äventyra deras konkurrenskraft och tillväxt och exponera dem för risker och incidenter. Att döma av de rådande trenderna kommer nät- och informationssäkerhetsincidenter att bli mer och mer synlig för företag och konsumenter och hindra fullbordandet av den inre marknaden.

Social inverkan: Kommande incidenter, risker och hot, som dessutom förväntas bli allt allvarligare, skulle påverka medborgarnas förtroende för online-tjänster negativt.

8.2.        Alternativ 2 – lagstiftning

Säkerhetsnivå: De skyldigheter som åläggs medlemsstaterna garanterar att de har den kapacitet som krävs och bidrar till att skapa ett klimat av ömsesidigt förtroende, vilket är en förutsättning för ett effektivt samarbete på EU-nivå.

Det krav som införs på att offentliga förvaltningar och centrala privata aktörer antar riskhanteringsåtgärder avseende nät- och informationssäkerhet ger starka incitament för effektiv hantering och bedömning av säkerhetsrisker. De sammanlagda ytterligare kostnader som de olika sektorerna i EU måste bära för att uppfylla dessa krav ligger i intervallet 1 till 2 miljarder euro. Fullgörandekostnaderna för de små och medelstora företagen skulle uppgå till mellan 2 500 och 5 000 euro per företag.

Ekonomisk inverkan: Till följd av den ökade säkerhetsnivån kommer de ekonomiska förlusterna i samband med nät- och informationssäkerhetsrelaterade risker och incidenter att minska. Företagens och konsumenternas förtroende för den digitala världen främjas, vilket gynnar den inre marknaden. Främjande av en förstärkt riskhanteringskultur skulle också stimulera efterfrågan på säkra IKT-produkter och IKT-lösningar.

Social inverkan: En högre säkerhetsnivå kommer att förbättra medborgarnas förtroende för e-tjänster, och de kommer att kunna dra full nytta av den digitala världen (t.ex. sociala medier, e-lärande och e-hälsa).

8.3.        Alternativ 3 – Kombination av frivilliga initiativ och lagstiftning

Säkerhetsnivå: Liksom i alternativ 1 finns det ingen garanti för att den på den nationella nät- och informationssäkerhetskapaciteten grundade säkerhetsnivån och samarbetet på EU-nivå skulle förbättras till följd av frivilliga initiativ. Å andra sidan skulle införandet av säkerhetskrav för offentliga förvaltningar och viktiga privata aktörer skapa ett starkt incitament att hantera och bedöma säkerhetsrisker. Dessa mekanismer är dock vara ineffektiva i de medlemsstater som inte följer kommissionens rekommendationer om införandet av nät- och informationssäkerhetskapacitet.

Ekonomisk inverkan: Utvecklingstakten skulle variera betydligt mellan medlemsstaterna. Den otillräckliga säkerhetsnivån i de mindre utvecklade medlemsstaterna kan äventyra deras konkurrenskraft och tillväxt och exponera dem för den negativa inverkan av risker och incidenter.

Social inverkan: Kommande incidenter, risker och hot, som dessutom förväntas bli allt allvarligare, skulle påverka medborgarnas förtroende för online-tjänster negativt, särskilt i de medlemsstater som inte betraktar nät- och informationssäkerhet som en prioriterad fråga.

9.           Jämförelse av alternativen

Alternativen 1 och 3 anses inte gångbara för att uppnå de politiska målen och rekommenderas därför inte, eftersom deras effektivitet beror på om tillvägagångssättet baserat på frivillighet ger en tillräcklig grad av nät- och informationssäkerhet och när det gäller alternativ 2, på den goda viljan hos medlemsstaterna att inrätta kapacitet och samarbeta över gränserna.

Alternativ 2 är att föredra eftersom detta alternativ innebär att skyddet av EU:s konsumenter, företag och regeringar mot nät- och informationssäkerhetsrelaterade incidenter, hot och risker kommer att förbättras avsevärt. Genom att sopa rent framför egen dörr skulle Europeiska Unionen kunna öka sin internationella räckvidd och bli ännu mer trovärdig som partner för bilateralt och multilateralt samarbete. EU skulle därmed också ha större möjligheter att främja grundläggande rättigheter och EU:s kärnvärderingar i andra länder.

10.         Övervakning och utvärdering

I kapitel 10 i konsekvensanalysen ges ett antal centrala indikatorer för att kunna uppnå målen. Exempel på dessa indikatorer är

· för mål 1, antalet medlemsstater som har utsett en myndighet som ska ansvara för nät- och informationssäkerhet och en incidenthanteringsorganisation eller har antagit en nationell strategi för nätsäkerhet och en nationell beredskaps-/samarbetsplan för it-incidenter, och

· för mål 2, antalet behöriga myndigheter och incidenthanteringsorganisationer i medlemsstaterna som deltar i nätverket och mängden uppgifter som utbyts inom nätverket för nät- och informationssäkerhetsrelaterade risker och incidenter när det gäller mål 3, storleken på investeringarna i nät- och informationssäkerhet av viktiga privata aktörer och offentliga förvaltningar samt antalet anmälningar av nät- och informationssäkerhetsincidenter med betydande verkan.

[1]               KOM(2010) 517, http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2010:0517:FIN:SV:PDF.