Implementering av EUs direktiv om nät- och informationssäkerhet

VD-SAMMANFATTNING

Den 21 april 2016 publicerade Europeiska Unionens Råd slutversionen av direktivet om nät- och informationssäkerhet (NIS). Även om detta måste undertecknas formellt av Europaparlamentet i sommar, har texten i sig överenskommits av de tre EU-institutionerna och förväntas inte ändras. Medlemsstaterna ska införliva det i sina nationella lagar inom 21 månader efter att det antagits. För att bistå i denna process, läs om god praxis i den medföljande bilagan om hur man implementerar de aspekter som är relevanta för teknikbranschen och vilka på ett effektivt sätt innesluter avtalsutkastförfattarnas intentioner.

EU:s direktiv om nät- och informationssäkerhet är den första paneuropeiska lagen om cybersäkerhet och den fokuserar på att stärka cybermyndigheterna på nationell nivå, vilket ökar samordningen bland dem och inför säkerhetskrav för viktiga branschsektorer.

En nationell genomförandelag ska inte förlora siktet på direktivets två huvudsakliga mål: (1) att garantera en hög nivå på cybersäkerheten i landets avgörande infrastruktur, (2) att etablera en effektiv samarbetsmekanism bland EU:s medlemsstater för att främja detta mål. Resurser ska först och främst användas för att uppnå dessa två viktiga mål.

För teknikbranschen är de bestämmelser som rör de så kallade digitala tjänsteleverantörerna av särskilt intresse. Direktivet anger tydligt att det finns grundläggande skillnader mellan operatörer av nödvändiga tjänster och digitala tjänsteleverantörer. De senare ska verkligen inte anses vara avgörande för infrastrukturen i sig. Precis som lagen anger skulle en incident som påverkar dessa digitala tjänster utgöra en markant mindre risk för ett lands ekonomiska och allmänna säkerhet. Att behålla denna distinktion är avgörande för att även effektivt och faktiskt utnyttja knappa resurser hos myndigheter som kommer att behöva övervaka och driva igenom reglerna.

Därför förespråkar vi en stor uppmärksamhet på den avsedda omfattningen av de berörda tjänsterna och manar beslutsfattare att inte inkludera andra sektorer än de som identifierats som operatörer av nödvändiga tjänster och digitala tjänsteleverantörer för säkerhetskrav i nationell lag.

Med avseende på jurisdiktionen, bör digitala tjänsteleverantörer kunna förlita sig på tillämplig lag i det land där de har sin huvudsakliga etablering, även i fall då behöriga myndigheter från mer än ett land är inblandade. Vid tillsyn, bör behöriga myndigheter följa en efterhandsmetod i stället för att ålägga en allmän skyldighet att övervaka digitala tjänsteleverantörer. Dessutom bör de fokusera på resultat och bibehålla distinktionen mellan operatörer av nödvändiga tjänster och digitala tjänsteleverantörer genom att inte ålägga de senare krav som inte föreskrivs i direktivet, som till exempel anvisningar om revision och bindande instruktioner.

Säkerhetsåtgärder för digitala tjänsteleverantörer bör vara annorlunda än de för operatörer av grundläggande tjänster, mot bakgrund av att direktivets uttalande att dessa representerar en avsevärt lägre säkerhetsrisk. Beslutsfattare bör inse målet med harmonisering för dessa tjänster, erkänna de befintliga branschledda internationella standarderna, undvika tekniska krav och följa de rättigheter som digitala tjänsteleverantörer har i direktivet att definiera de mest lämpliga säkerhetsåtgärderna för sina system. Händelserapporteringen bör även vara så harmoniserad som möjligt på europeisk nivå, bör fokuseras på händelser som påverkar tjänstens kontinuitet, respektera den tidsmässiga flexibiliteten för en anmälan och skapa en tillförlitlig miljö som uppmuntrar informationsdelning utan att utsätta den meddelande parten för ökat ansvar.

De åtgärder som åläggs operatörer av nödvändiga tjänster kommer även att påverka andra branschen då säkerhetsåtgärder och händelserapportering kommer att påverka avtalsbestämmelserna. Detta stämmer särskilt väl för molntjänster. Därför kan digitala tjänsteleverantörer indirekt bli föremål för kundernas nationella lagar och följaktligen har vi ett stort intresse av att se att internationellt erkända säkerhetsåtgärder tillämpas för dessa tjänster. Vi föreslår även samordning och synergieffekter så långt som det är möjligt mellan redovisningskraven för både operatörer av nödvändiga tjänster och för digitala tjänsteleverantörer, då de senare sannolikt blir föremål för dubbel anmälan.

Direktivet anger en ambition att uppnå en hög allmän säkerhetsnivå för nätverk och informationssystem för att förbättra funktionen hos den interna marknaden. För att uppnå detta högtsträvande mål, bör nationella införlivanden fokusera på en riskbaserad, harmoniserad och internationell metod som ger aktörer i den privata sektorn flexibiliteten att anpassa sig till en ständigt föränderlig hotbild, möjliggöra cybermyndigheter att rikta de begränsade resurserna till de viktigaste utmaningarna och erkänna att lösningen på ett gränslöst problem måste vara global. Vi hoppas att dessa riktlinjer är ett användbart verktyg i riktning mot detta syfte och svarar gärna på era ytterligare frågor.