Udvalget for Videnskab og Teknologi 2010-11 (1. samling)
KOM (2010) 0521 Bilag 1
Offentligt
908317_0001.png
Grund- og nærhedsnotat til Folketingets Europaudvalg og Folketingets
Udvalg for Videnskab og Teknologi
Kommissionens forslag til Europa-parlamentet og Rådets forordning om Det
Europæiske Agentur for Net- og Informationssikkerhed (ENISA)
– KOM (2010) 521 endelig
7. oktober 2010
Resumé
Europa-Parlamentet og Rådet vedtog i marts 2004 en forordning om oprettelse
af et uafhængigt agentur (ENISA), der skal arbejde for at sikre et højt it-
sikkerhedsniveau og udvikle en sikkerhedskultur i EU. Da forordningen for ENI-
SA udløber i marts 2012,har Kommissionen fremsat to forslag om ENISA. Dels
forslag til en ny forordning for ENISA, dels forslag til forlængelse af den eksiste-
rende forordning, således at opgaverne i forbindelse med net- og informations-
sikkerhed fortsat kan varetages.
I forslaget til ny forordning tydeliggøres og udvides ENISA’s mandat og rolle.
Forslaget vil blandt andet gøre det muligt for EU’s institutioner at anmode ENI-
SA om bistand samt forstærke den strategiske ledelse af ENISA.
Forslaget til forordning vil have varighed af fem år. Forslaget forventes på dags-
ordenen for det kommende rådsmøde for transport, telekommunikation og energi
den 3. december 2010 med henblik på drøftelse.
1. Baggrund
Ved Europa-Parlamentets og Rådets forordning af 10. marts 2004 oprettedes et
uafhængigt europæisk agentur for net- og informationssikkerhed, ENISA, der
skal arbejde for at sikre et højt it-sikkerhedsniveau i EU og for at udvikle en sik-
kerhedskultur i EU.
1
ENISA’s oprindelige mandat skulle efter forordningen ud-
løbe i marts 2009, men blev i 2008 forlænget til marts 2012.
Kommissionen har den 30. september 2010 fremsat to forslag vedrørende ENI-
SA:
Forslag til Europa-parlamentet og Rådets forordning om Det Europæiske
Agentur for Net- og Informationssikkerhed (ENISA)
Forslag til Europa-parlamentet og Rådets forordning om ændring af for-
ordning (EF) nr. 460/2004 om oprettelse af et europæisk agentur for net-
og informationssikkerhed for så vidt angår agenturets mandatperiode. Her
IT- og Telestyrelsen
Holsteinsgade 63
2100 København Ø
Telefon
Telefax
E-post
Netsted
CVR-nr.
3545 0000
3545 0010
[email protected]
www.itst.dk
2676 9388
1
Europa-Parlamentets og Rådets forordning (EF) nr. 460/2004 af 10. marts 2004 om opret-
telse af et europæisk agentur for net- og informationssikkerhed
PDF to HTML - Convert PDF files to HTML files
908317_0002.png
forlænges den nuværende ENISA-forordning med halvandet år, for på den
måde at give skabe tid til at forhandle den nye forordning på plads.
Forslagene er fremsat efter TEUF artikel 114 og skal behandles efter proceduren
for fælles beslutningstagen i TEUF artikel 294.
Formålet med ENISA er at bidrage til et højt niveau for net- og informationssik-
kerhed i EU og tilvejebringe en kultur for net- og informationssikkerhed samt at
fremme et bredt samarbejde mellem den offentlige og den private sektors aktører.
Udøvelsen af agenturets opgaver bør ikke gribe ind i og bør ikke træde i stedet
for, hindre eller overlappe de relevante beføjelser og opgaver, der er tildelt de na-
tionale tilsynsmyndigheder i overensstemmelse med direktiverne om elektroniske
kommunikationsnet og –tjenester, Sammenslutningen af Europæiske Tilsyns-
myndigheder inden for Elektronisk Kommunikation (BEREC), der er oprettet ved
Europa-Parlamentets og Rådets forordning (EF) nr. 1211/2009, Kommunikati-
onsudvalget, som er omhandlet i direktiv 2002/21/EF, de europæiske standardise-
ringsorganisationer, de nationale standardiseringsorganisationer og det stående
udvalg, jf. Europa-Parlamentets og Rådets direktiv 98/34/EF af 22. juni 1998 om
en informationsprocedure med hensyn til tekniske standarder og forskrifter samt
forskrifter for informationssamfundets tjenester, samt medlemsstaternes tilsyns-
myndigheder for så vidt angår beskyttelse af fysiske personer i forbindelse med
behandling af personoplysninger og fri bevægelighed for sådanne oplysninger.
Forslaget til ny forordning for ENISA er sat på dagsordenen for det kommende
rådsmøde for transport, telekommunikation og energi den 3. december 2010 med
henblik på drøftelse.
2. Formål og indhold
Formålet med forslaget til ny forordning for ENISA er at opsætte rammerne for
ENISA’s virke i fem år fra forordningens vedtagelse.
Kommissionen fremhæver i forslaget, at informations- og kommunikationstekno-
logi (IKT) i stigende grad indgår i alle aspekter af vores hverdag. Nogle af disse
IKT-systemer, net og tjenester spiller en helt afgørende rolle i den europæiske
økonomi og det europæiske samfund. Disse IKT-systemer anses typisk for kritisk
informationsinfrastruktur, eftersom det vil have alvorlige følger for samfundets
væsentlige funktioner, hvis de bryder sammen eller bliver ødelagt. Eksempler af
nyere dato på trusler mod kritisk informationsinfrastruktur er de storstilede cybe-
rangreb rettet mod Estland i 2007 og bruddet på transkontinentale kabler i 2008.
Kommissionen vurderer derfor, at behovet for et fælles europæisk agentur kun er
vokset siden oprettelse af ENISA i 2004.
Det generelle formål med dette initiativ er at give EU bedre mulighed for at fore-
bygge, opdage og styrke reaktionen på informationssikkerhedsproblemer i EU,
medlemsstaterne og interessenterne. Det vurderes, at dette vil bidrage til at op-
bygge den nødvendige tillid til at understøtte udviklingen af informationssam-
fundet, forbedre konkurrenceevnen for europæiske virksomheder og sikre et ef-
fektivt fungerende indre marked.
2
IT- og Telestyrelsen
PDF to HTML - Convert PDF files to HTML files
Agenturets opgaver
Det er Kommissionens forslag, at
ENISA skal bidrage til initiativer indenfor beskyttelse af kritisk informa-
tionsinfrastruktur, som allerede er igangsat af Kommissionen, herunder
European Forum for Member States
(EFMS) og
European Public Private
Partnership for Resilience
(EP3R).
ENISA's ekspertise og bistand skal anvendes til at støtte medlemsstaterne
og Kommissionen i forbindelse med fastlæggelsen af regler og procedu-
rer, som skal anvendes ved underretning om sikkerhedsbrud (defineret i
artikel 13 (a) i det reviderede teledirektiv).
ENISA skal etablere forum for kompetente nationale organer / nationale
tilsynsmyndigheder og den private sektor for at drøfte indhøstede erfa-
ringer og udveksle god praksis om anvendelse af regulerende foranstalt-
ninger for informationssikkerhed.
ENISA skal facilitere IKT-beredskabsøvelser i EU med støtte fra Kom-
missionen med henblik på at udvide disse øvelser på et senere tidspunkt
internationalt.
ENISA skal yde teknisk støtte og ekspertise til etablering af en CERT
(Computer Emergency Response Team) for EU-institutionerne.
ENISA skal støtte medlemsstaterne i oprettelse af nationale / statslige
CERT'er, således at Europa får et velfungerende net af CERT'er.
ENISA skal bidrage til opmærksomhedsskabende aktiviteter omkring ud-
bredelse af standarder for informationssikkerhed, god praksis og en risi-
kostyringskultur.
ENISA skal, i samarbejde med medlemsstaterne, tilrettelægge europæi-
ske kampagner om informationssikkerhed for alle. Et vigtigt element vil
være afholdelse af nationale / europæiske konkurrencer inden for inter-
netsikkerhed.
ENISA skal analysere aktuelle og nye risici. Til dette formål bør agentu-
ret i samarbejde med medlemsstaterne og statistiske organisationer ind-
samle relevante oplysninger. Endvidere bør agenturet bistå medlemssta-
terne og de europæiske institutioner og organer i deres bestræbelser på at
indsamle og formidle data om informationssikkerhed.
Agenturet blev oprindelig oprettet med det mål at sikre et højt og effektivt net- og
informationssikkerhedsniveau i EU. Erfaringerne fra driften af agenturet og de
hidtidige udfordringer og trusler har gjort det tydeligt, at det er nødvendigt at
ajourføre agenturets mandat, så det svarer bedre til Den Europæiske Unions be-
hov. Kommissionen har derfor med forslaget til den nye forordning ønsket at
styrke ENISA.
Med den nye forordning vil ENISA få mandat til at udveksle erfaringer og gene-
relle oplysninger med organer og agenturer, der er oprettet i henhold til EU-
lovgivningen, og som beskæftiger sig med net- og informationssikkerhed.
ENISA får således mulighed for at udføre ikke-operationelle opgaver i forbindel-
se med net- og informationssikkerhedsaspekterne af retshåndhævelse og retligt
samarbejde i kampen mod internetkriminalitet. Desuden forventer Kommissio-
nen, at ENISA vil fungere som et center for støtte til udvikling og gennemførelse
af net- og informationssikkerhedspolitikken særlig mht. privatlivsbeskyttelse i
IT- og Telestyrelsen
3
PDF to HTML - Convert PDF files to HTML files
908317_0004.png
forbindelse med elektronisk kommunikation, e-signatur, e-id og standarder for
offentlige indkøb.
For at agenturet kan opfylde de styrkede europæiske mål og takle de voksende
udfordringer, forventes der en gradvis forøgelse af agenturets økonomiske res-
sourcer og personale i tidsrummet 2012 – 2016, uden at dette dog foregriber for-
handlingerne om den kommende flerårige finansielle ramme for 2014 - 2020. På
grundlag af Kommissionens forordningsforslag om en flerårig finansiel ramme
for perioden efter 2013 og under hensyn til konklusionerne af konsekvensanaly-
sen vil Kommissionen forelægge en ændret finansieringsoversigt på et senere
tidspunkt.
Agenturets opbygning
Opbygningen af agenturet vil med forslaget til forordning være grundlæggende
identisk med ENISA's nuværende opbygning. Der er dog et nyt element i den så-
kaldte stående gruppe af interessenter, hvor repræsentanter for retshåndhævelse,
privatlivets fred samt databeskyttelsesmyndigheder nu også skal indgå.
Bestyrelsen fastlægger de overordnede retningslinjer for agenturets drift. Besty-
relsen skal sikre, at agenturet arbejder i overensstemmelse med de regler og prin-
cipper, der er fastsat i forordningen. Bestyrelsen består af en repræsentant for
hver medlemsstat, tre repræsentanter udpeget af Kommissionen, samt tre repræ-
sentanter uden stemmeret, som udnævnes af Kommissionen, som hver især re-
præsenterer informations- og kommunikationsteknologiindustrien, forbrugerne
og akademiske eksperter i informationssikkerhed.
Agenturet skal ledes af den administrerende direktør, der er ansvarlig for den
daglige ledelse af agenturet.
Bestyrelsen nedsætter den stående gruppe af interessenter på forslag fra den ad-
ministrerende direktør, som består af eksperter, der repræsenterer relevante inte-
ressenter såsom informations- og kommunikationsteknologi, forbrugergrupper,
akademiske eksperter i informationssikkerhed, retshåndhævelse, privatlivets fred
samt databeskyttelsesmyndigheder. Gruppen ledes af den administrerende direk-
tør. Gruppen skal rådgive agenturet i udførelsen af sine aktiviteter.
3. Europa-Parlamentets udtalelser
Europa-Parlamentet har ikke udtalt sig om forslaget.
4. Nærhedsprincippet
Kommissionen vurderer, at forslaget er i overensstemmelse med nærhedsprincip-
pet, da opretholdelse af europæisk informations- og netsikkerhed fordrer en fæl-
les tilgang og ikke kan opnås af medlemsstaterne individuelt.
Regeringen er på det foreliggende grundlag enig i Kommissionens vurdering og
finder således, at nærhedsprincippet er overholdt.
5. Gældende dansk ret
Området er i dag ikke reguleret af dansk lov.
4
IT- og Telestyrelsen
PDF to HTML - Convert PDF files to HTML files
908317_0005.png
6. Konsekvenser
En vedtagelse af forslaget har ingen lovgivningsmæssige konsekvenser.
Forslaget har ingen statsfinansielle konsekvenser eller administrative konsekven-
ser udover indvirkningen på EU’s budget. Forlængelsen af ENISA til 2013 vil i
store træk videreføre ENISA på det eksisterende niveau. Omkostninger efter
marts 2013 vil blive analyseret af Kommissionen i sammenhæng med andre om-
kostninger til aktiviteter i 2013 og frem.
Forslaget skønnes ikke at have væsentlige samfundsøkonomiske konsekvenser.
Forslaget medfører ingen nævneværdige administrative konsekvenser for er-
hvervslivet. En vedtagelse af forslaget skønnes ikke at berøre beskyttelsesniveau-
et i Danmark.
7. Høring
Notatet vil blive sendt i høring i EU-specialudvalget for it og telekommunikation.
8. Generelle forventninger til andre landes holdninger
Kommissionens forslag er indledningsvist blevet drøftet i Rådets arbejdsgruppe
for informationssamfundet og telekommunikation. Kommissionens forslag er
blevet budt velkommen, men drøftelserne har også vist nogen uenighed i forhold
til behovet for at forøge ENISA’s rolle.
9. Regeringens foreløbige generelle holdning
Kommissionens forordning vurderes overordnet at være i overensstemmelse med
regeringens prioriteringer på området og i overensstemmelse med planlagte eller
allerede iværksatte tiltag.
Regeringen stiller sig positivt over for internationalt samarbejde med henblik på
beskyttelse af kritisk informationsinfrastruktur, og støtter derfor forordningen.
Regeringen lægger endvidere vægt på, at ENISA's arbejde bliver
så omkostningseffektivt som muligt. Regeringen vil prioritere, at ENISA's frem-
tidige tiltag i videst muligt omfang bygger på eksisterende nationale og europæi-
ske tiltag, herunder særligt det arbejde, der allerede pågår i forbindelse med
EPCIP-programmet. Ligeledes ønsker regeringen et tæt samarbejde med andre
internationale aktører, der også har igangsat en række initiativer for at dæmme op
for IKT-sårbarheder.
Regeringen finder afslutningsvist, at spørgsmål om ENISA’s budget efter 2013
vil skulle behandles i forbindelse med drøftelserne om de næste finansielle per-
spektiver for 2014 - 2020.
10. Tidligere forelæggelse for Folketingets Europaudvalg
Forslaget har ikke tidligere været forelagt Folketingets Europaudvalg.
IT- og Telestyrelsen
5