Cybersäkerhet i nätverks- och informationssystem

VIKTIGA PUNKTER

Cybersäkerhet avser de aktiviteter som är nödvändiga för att skydda nätverks- och informationssystem, användare av dessa system och andra personer som berörs av cyberhot.

Kritiska sektorer

Direktivet gäller främst medelstora och stora entiteter som är verksamma inom följande högkritiska sektorer enligt definitionen i bilaga I:

• Energi:
  • elektricitet, inbegripet system och laddningspunkter för produktion, distribution och lagring,
  • fjärrvärme och fjärrkyla,
  • olja, inbegripet produktions- och lagringsanläggningar samt oljeledningar,
  • gas, inbegripet system för tillhandahållande, distribution, överföring och lagring, samt
  • väte.
• Transporter: lufttransport, järnvägstransport, sjöfart och vägtransport.
• Bankverksamhet och finansmarknadsinfrastruktur, såsom kreditinstitut, operatörer av handelsplatser och centrala motparter.
• Hälso- och sjukvårdssektorn, inbegripet vårdgivare, tillverkare av farmaceutiska basprodukter och kritiska medicintekniska produkter samt EU-referenslaboratorier.
• Dricksvatten.
• Avloppsvatten.
• Digital infrastruktur, inbegripet leverantörer av datacentraltjänster eller molntjänster samt tillhandahållare av allmänna elektroniska kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster.
• Förvaltning av IKT-tjänster (mellan företag).
• Rymdteknik.
• Offentlig förvaltning på central och regional nivå, med undantag för rättsväsendet, parlamenten och centralbankerna. Direktivet gäller inte offentliga förvaltningar som bedriver verksamhet på områdena nationell säkerhet, allmän säkerhet, försvar eller brottsbekämpning.

Direktivet gäller även andra kritiska sektorer enligt definitionen i bilaga II:

• post- och budtjänster,
• avfallshantering,
• tillverkning, produktion och distribution av kemikalier,
• produktion, bearbetning och distribution av livsmedel,
• tillverkning, särskilt av medicintekniska produkter, datorer, elektronikvaror och optik, vissa typer av elektrisk utrustning samt maskiner, motorfordon och andra transportmedel,
• digitala leverantörer av marknadsplatser online, sökmotorer och sociala nätverk, samt
• forskningsorganisationer.

Nationell strategi för cybersäkerhet

Varje medlemsstat måste anta en nationell strategi för att uppnå och behålla en hög cybersäkerhetsnivå inom de kritiska sektorerna, inbegripet

• en styrningsram som klargör roller och ansvarsområden för relevanta intressenter på nationell nivå,
• riktlinjer för att hantera säkerheten i leveranskedjorna,
• riktlinjer för att hantera sårbarheter,
• riktlinjer för att främja och utveckla cybersäkerhetsutbildning, samt
• åtgärder för att höja medborgarnas medvetenhet om cybersäkerhet.

Senast den 17 april 2025 ska medlemsstaterna upprätta en förteckning över väsentliga och viktiga entiteter, tillsammans med entiteter som tillhandahåller domännamnsregistreringstjänster. De ska regelbundet se över och vid behov uppdatera förteckningen, och därefter minst vartannat år. Europeiska kommissionen har antagit riktlinjer för de uppgifter som måste samlas in när dessa förteckningar upprättas, tillsammans med en mall för detta.

Kommissionen har också utfärdat riktlinjer som förtydligar bestämmelserna om förhållandet mellan direktiv (EU) 2022/2555 och nuvarande och framtida sektorsspecifika EU-rättsakter som behandlar riskhanteringsåtgärder för cybersäkerhet eller incidentrapporteringskrav. Bilagan till riktlinjerna innehåller en icke uttömmande förteckning över de sektorsspecifika rättsakter som kommissionen anser omfattas av artikel 4 i direktiv (EU) 2022/2555.

Enheter för hantering av it-säkerhetsincidenter

Enheter för hantering av it-säkerhetsincidenter (CSIRT-enheter) tillhandahåller tekniskt stöd till entiteter, bland annat genom att

• övervaka och analysera cyberhot, sårbarheter och incidenter på nationell nivå,
• tillhandahålla tidiga varningar, larm, meddelanden och information till entiteter samt till andra intressenter om cyberhot, sårbarheter och incidenter, om möjligt i nära realtid,
• vidta åtgärder till följd av incidenter och, i tillämpliga fall, tillhandahålla stöd,
• samla in och analysera forensiska uppgifter och tillhandahålla dynamisk risk- och incidentanalys och situationsmedvetenhet när det gäller cybersäkerhet, samt
• på begäran tillhandahålla proaktiv skanning av nätverks- och informationssystem i syfte att upptäcka sårbarheter med en potentiellt betydande påverkan.

CSIRT-nätverk

Genom direktivet inrättas ett nätverk av nationella CSIRT-enheter för att främja ett snabbt och ändamålsenligt operativt samarbete.

Samordnad delgivning av information om sårbarheter

Medlemsstaterna måste

• utse en av sina CSIRT-enheter för att samordna information om sårbarheter som upptäckts i IKT-produkter eller IKT-tjänster, samt
• säkerställa att personer i medlemsstaterna kan rapportera sårbarheter, anonymt om de begär det.

Europeiska unionens cybersäkerhetsbyrå (Enisa) kommer att utveckla och underhålla en sårbarhetsdatabas.

Samarbetsgruppen

Genom direktivet inrättas en samarbetsgrupp för att stödja och underlätta strategiskt samarbete och informationsutbyte. Samarbetsgruppen består av företrädare för medlemsstaterna, kommissionen och Enisa. När så är lämpligt får samarbetsgruppen bjuda in Europaparlamentet och företrädare för relevanta intressenter att delta i arbetet.

Det europeiska kontaktnätverket för cyberkriser

Det europeiska kontaktnätverket för cyberkriser (EU-CyCLONe) består av företrädare för medlemsstaternas myndigheter för hantering av cyberkriser tillsammans med, i fall där en potentiell eller pågående storskalig cybersäkerhetsincident har eller sannolikt kommer att ha en betydande påverkan på de sektorer som omfattas av detta direktiv, kommissionen. I övriga fall deltar kommissionen som observatör i nätverkets arbete.

Nätverket stöder samordningen av hanteringen av storskaliga cybersäkerhetsincidenter och kriser på operativ nivå och säkerställer ett regelbundet informationsutbyte mellan medlemsstaterna och EU:s institutioner, organ och byråer.

Nätverket har bland annat följande uppgifter:

• Samordna hanteringen av storskaliga cybersäkerhetsincidenter och kriser och ge stöd till beslutsfattande på politisk nivå.
• Öka beredskapen.
• Utveckla en gemensam situationsmedvetenhet.
• Bedöma konsekvenserna och effekterna av storskaliga cybersäkerhetsincidenter och kriser och föreslå möjliga begränsningsåtgärder.

Riskhanteringsåtgärder på cybersäkerhetsområdet

Entiteterna måste vidta lämpliga och proportionella tekniska, operativa och organisatoriska åtgärder för hantering av cybersäkerhetsrisker. Katalogen med åtgärder omfattar bland annat strategier för riskanalys och informationssystemens säkerhet, incidenthantering, driftskontinuitet, katastrofhantering och krishantering, säkerhet i leveranskedjan, hantering av sårbarheter och sårbarhetsinformation, grundläggande praxis för cyberhygien, strategier och förfaranden för användning av kryptografi (och kryptering, när så är lämpligt), personalsäkerhet och användning av multifaktorautentisering eller lösningar för kontinuerlig autentisering. Dessa åtgärder ska baseras på en allriskansats.

Ledningsorganen måste godkänna dessa åtgärder och övervaka deras genomförande, och kan ställas till svars för överträdelser.

Rapportering

Entiteter måste underrätta sin CSIRT-enhet eller sin behöriga myndighet om alla incidenter som

• har orsakat eller kan orsaka allvarliga driftsstörningar eller ekonomiska förluster för entiteten, eller
• har påverkat eller kan påverka andra genom att vålla betydande materiell eller immateriell skada.

Enisa ska, tillsammans med kommissionen och samarbetsgruppen, vartannat år utarbeta en rapport om cybersäkerhetssituationen i EU och lägga fram den för Europaparlamentet.

Tillsyn och efterlevnadskontroll

I direktivet föreskrivs rättsmedel och sanktioner för att säkerställa efterlevnaden.

Sakkunnigbedömningar

Sakkunnigbedömningar genomförs i syfte att dra lärdom av delade erfarenheter, stärka det ömsesidiga förtroendet, uppnå en hög gemensam cybersäkerhetsnivå samt stärka medlemsstaternas nödvändiga cybersäkerhetskapacitet och cybersäkerhetsriktlinjer för att genomföra detta direktiv. Sakkunnigbedömningar innefattar besök på plats eller virtuellt och distansbaserade informationsutbyten. Deltagande i sakkunnigbedömningar är frivilligt.

Genomförandeakt

Genomförandeförordning (EU) 2024/2690 fastställer regler för tillämpningen av direktiv (EU) 2022/2555 vad gäller tekniska och metodologiska specifikationer för riskhanteringsåtgärder för cybersäkerhet och närmare angivelse av i vilka fall en incident ska anses vara betydande med avseende på

• leverantörer av DNS-tjänster,
• registreringsenheter för toppdomäner,
• leverantörer av molntjänster,
• leverantörer av datacentraltjänster,
• leverantörer av nätverk för leverans av innehåll,
• leverantörer av utlokaliserade driftstjänster,
• leverantörer av utlokaliserade säkerhetstjänster,
• leverantörer av marknadsplatser online, leverantörer av sökmotorer, leverantörer av plattformar för sociala nätverkstjänster, och
• tillhandahållare av betrodda tjänster.

Upphävande

Genom direktiv (EU) 2022/2555 upphävdes direktiv (EU) 2016/1148 (se sammanfattning) från och med den 18 oktober 2024, och genom genomförandeförordning (EU) 2024/2690 upphävdes genomförandeförordning (EU) 2018/151, som fastställde tillämpningsföreskrifter för direktiv (EU) 2016/1148.