kom (2017) 0477 - Bilag 4: Samlenotat vedr. forordning om cypersikkerhed forud for møde i Europaudvalget 18/5-18

Europaudvalget 2017-18
KOM (2017) 0477 Bilag 4
Offentligt

SAMLENOTAT TIL

FOLKETINGETS EUROPAUDVALG

11. maj 2018

Forslag til Europa-Parlamentets og Rådets forordning om ENISA,

”EU’s Agentur for Cybersikkerhed”, om ophævelse af forordning

(EU) nr. 526/2013 og om cybersikkerhedscertificering af informa-

tions- og kommunikationsteknologi (”forordningen om cybersik-

kerhed”) KOM(2017) 477

Notatet er en opdatering af grund- og nærhedsnotat oversendt til Folketin-

gets Europaudvalg den 8. november 2017. Ændringer er markeret i

fed/kursiv.

Resumé

Kommissionen fremsatte den 14. september 2017 forslag til forordning om

ENISA, ”EU’s Agentur for Cybersikkerhed”, og om cybersikkerhedscertifice-

ring af informations- og kommunikationsteknologi (”forordningen om cyber-

sikkerhed”)

KOM(2017)

477. Forslaget har til formål at sikre et velfungerende

indre marked og sørge for et højt niveau af cybersikkerhed,

cybermod-

standsdygtighed og tillid i EU.

Formålet søges opnået

ved at fastsætte

målene og opgaverne for EU’s

agentur

for cybersikkerhed (ENISA) samt etab-

lere en europæisk ramme for cybersikkerhedscertificering for

informations-

og kommunikationsteknologiske produkter og tjenester (IKT-pro-

dukter og tjenester).

Med forslaget får

ENISA en stærkere og mere central

rolle

bl.a.

ved at

støtte medlemsstaternes gennemførelse af NIS-di-

rektivet

og ved at støtte medlemsstaterne og EU-institutionerne i forbin-

delse med at styrke cybersikkerheden. For at sikre et stabilt grundlag for

fremtidig cybersikkerhed tildeles ENISA et permanent mandat, og ENISA’s

rolle som EU’s

agentur

for

cybersikkerhed

præciseres. Ydermere skal forsla-

get om en samlet ramme af regler for indførelsen af specifikke certificerings-

ordninger bl.a. være med til at øge tilliden til IKT-produkter og -tjenester.

Direktiv (EU) 2016/1148 om foranstaltninger, der skal sikre et højt fælles sikkerhedsni-

veau for net og informationssystemer i hele Unionen.

kom (2017) 0477 - Bilag 4: Samlenotat vedr. forordning om cypersikkerhed forud for møde i Europaudvalget 18/5-18

Forslaget forventes at have positive samfundsøkonomiske og erhvervsøkono-

miske konsekvenser i kraft af øget cybersikkerhed og et mere velfungerende

indre marked gennem styrket tillid og robusthed over for cybersikkerheds-

trusler. Forslaget skønnes at have statsfinansielle konsekvenser

i form af

øgede udgifter på EU’s budget til ENISA samt i

kraft af udpegningen af

en national tilsynsmyndighed i forbindelse med cybersikkerhedscertificerings-

ordningen. Forslaget forventes ikke at have lovgivningsmæssige konsekven-

ser.

Regeringen støtter overordnet set

forslaget

om et nyt, styrket og udvidet

mandat til

ENISA. Det er endvidere

regeringens holdning, at ENISA’s op-

gaver

skal respektere

medlemsstaternes

kompetence vedrørende

nati-

onal sikkerhed og forsvar.

Endvidere støtter regeringen overordnet forslaget om en fælleseuropæisk

ramme for certificering af IKT-produkter og -tjenester. Regeringen lægger

vægt på, at der ved udvikling af en ramme for certificeringsordninger skal

tilstræbes en balanceret løsning, der både tilgodeser sikkerhedshensyn og

virksomheders konkurrence- og vækstvilkår.

Baggrund

Kommissionen

har ved KOM 2017(477) endelig af

14. september

2017 fremsat

forslag til Europa-Parlamentets og Rådets forord-

ning

om ENISA, ”EU’s Agentur for Cybersikkerhed”, om ophævelse af for-

ordning (EU) nr. 526/2013 og om cybersikkerhedscertificering af informa-

tions- og kommunikationsteknologi (”forordningen om cybersikkerhed”).

Forslaget er oversendt til Rådet i dansk sprogversion den 11. oktober 2017.

Forslaget er fremsat med hjemmel i artikel 114 i Traktaten om

Den Europæiske Unions Funktionsmåde (TEUF) og skal behandles

efter den almindelige lovgivningsprocedure i TEUF artikel 294.

Rådet træffer afgørelse med kvalificeret flertal.

ENISA er EU’s agentur for cybersikkerhed. Agenturet fungerer

som et ekspertisecenter, der har til opgave at forbedre net- og

informationssikkerheden i EU og støtte kapacitetsopbygningen i

medlemsstaterne. ENISA blev oprettet i 2004

for at bidrage til

det overordnede mål om at sikre et højt fælles niveau for net- og

informationssikkerhed i EU. I 2013 blev agenturets nye mandat

fastsat for en periode på syv år frem til 2020

. Agenturet har sit

hjemsted i Grækenland.

Europa-Parlamentets og Rådets forordning (EF) nr. 460/2004 af 10. marts 2004 om oprettelse af et

europæisk agentur for net- og informationssikkerhed.

Europa-Parlamentets og Rådets forordning (EU) nr. 526/2013 af 21. maj 2013 om Den Europæiske

Unions Agentur for Net- og Informationssikkerhed (ENISA) og om ophævelse af forordning (EF)

nr. 460/2004 EØS-relevant tekst.

kom (2017) 0477 - Bilag 4: Samlenotat vedr. forordning om cypersikkerhed forud for møde i Europaudvalget 18/5-18

EU har truffet en række yderligere foranstaltninger for at styrke

cybersikkerhedsniveauet. EU har således bl.a. vedtaget et direktiv

om sikkerhed for net- og informationssystemer ("NIS-direktivet")

i 2016, der har til formål at sikre et højt fælles sikkerhedsniveau

for net- og informationssystemer inden for en række særligt sam-

fundsvigtige sektorer (energi, transport, bankvæsen, sundhed,

drikkevandsforsyning, digital infrastruktur mv.).

I 2016

fremlagde

Kommissionen

endvidere

en meddelelse

om styrkelse

af Europas system for modstandsdygtighed over for cyberangreb

fremme af en konkurrencedygtig og innovativ cybersikkerhedsin-

dustri

hvori der blev bebudet yderligere foranstaltninger til at øge EU-

samarbejdets modstandskraft og beredskab.

Ligeledes i 2016 vedtog

Rådet konklusioner, som

bl.a.

bekræftede, at

"ENISA-forordningen er et af de centrale elementer i EU's ramme for mod-

standsdygtighed over for cyberangreb"

. I

maj 2017 fremlagde Kom-

missionen en

meddelelse om midtvejsevalueringen af strategien for det

digitale indre marked

hvori man bl.a

. angav at ville revidere ENISA’s

mandat senest i september 2017.

Det fremgår af Kommissionens forslag, at det baserer sig på en

evaluering af ENISA; omfattende en uafhængig undersøgelse og

en offentlig høring. Evalueringen vurderede bl.a. agenturets rele-

vans, effektivitet og EU-merværdi med hensyn til dets præstatio-

ner, styring, intern organisatorisk struktur og arbejdsmetoder i

perioden 2013-2016.

Det fremgår videre af Kommissionens forslag, at høringerne af in-

teressenter og evalueringen tydede på, at ENISA's ressourcer og

mandat må tilpasses, så det i tilstrækkelig grad kan reagere på

nuværende og fremtidige udfordringer. På denne baggrund læg-

ges op til en revision af ENISA's mandat, og fastsættelse af et nyt

sæt opgaver og funktioner med sigte på effektiv støtte til med-

lemsstaternes, EU-institutionernes og andre interessenters ind-

sats for et sikkert cyberspace i EU.

Formål og indhold

Forslaget

har til formål at sikre et velfungerende indre marked med et højt

niveau af cybersikkerhed,

cyber

modstandsdygtighed og tillid i EU ved at fast-

sætte målene og opgaverne for ENISA samt etablere en fælleseuropæisk

ramme for cybersikkerhedscertificering for produkter og tjenester inden for

informations- og kommunikationsteknologi (IKT)

COM(2016) 410 final.

Rådets konklusioner om styrkelse af Europas modstandsdygtighed over for cyberangreb og fremme

af en konkurrencedygtig og innovativ cybersikkerhedsindustri – 15. november 2016. (Dok. 14540/16).

COM(2017) 228 final.

Den nuværende kompromistekst medtager også IKT-processer.

kom (2017) 0477 - Bilag 4: Samlenotat vedr. forordning om cypersikkerhed forud for møde i Europaudvalget 18/5-18

ENISA – EU’s

gentur for

ybersikkerhed

Med

det foreslåede mandat får

ENISA en stærkere og mere central rolle

bl.a. ved at støtte medlemsstaternes gennemførelse af NIS-direktivet

og ved

at støtte medlemsstaterne og EU-institutionerne i forbindelse med

at styrke cybersikkerheden

. I henhold til forslaget tildeles ENISA et per-

opgaverne vil dog fortsat være genstand for regelmæssig revision.

manent mandat for at sikre et stabilt grundlag for fremtiden, og ENISA’s rolle

som EU’s

gentur for

ybersikkerhed præciseres.

Mandatet, målene og

Det fremgår af forslaget, at det ikke berører medlemsstaternes be-

føjelser med hensyn til cybersikkerhed og under ingen omstændig-

heder berører aktiviteter vedrørende offentlig sikkerhed, forsvar,

national sikkerhed og statens aktiviteter på det strafferetlige om-

råde.

Forslaget lægger op til, at ENISA skal varetage nedenstående centrale opga-

ver

Udvikling og implementering af EU-politikker og regulering

ENISA får til opgave at bidrage proaktivt til udviklingen

politik

ken

i forhold

til net- og informationssikkerhed samt andre politiske initiativer med cyber-

sikkerhedselementer inden for forskellige sektorer (f.eks. energi, transport og

finans)

Agenturet

vil i denne forbindelse

bl.a.

få en styrket rådgivende

rolle,

som det kan udfylde ved at levere

uafhængige

udtalelser

forberedende arbejde til udvikling og ajourføring af

Unionens

politikker og

lovgivning.

Det er desuden hensigten, at ENISA skal støtte medlemsstaterne i forbindelse

med implementeringen af NIS-direktivet. Effektiv implementering vil således

sikre et bredt samfundsmæssigt løft af cyber- og informationssikkerheden.

I forbindelse med implementering af NIS-direktivet vil ENISA skulle bistå

medlemsstaterne med at opnå en ensartet tilgang for så vidt angår gennem-

førelsen af direktivet på tværs af grænser og sektorer. Ligeledes vil ENISA

skulle støtte arbejdet i

NIS-s

amarbejdsgruppen, som har til opgave at støtte

medlemsstaterne i implementeringen af NIS-direktivet samt at understøtte

strategisk samarbejde mellem medlemsstaterne.

Kapacitetsopbygning

ENISA får til opgave at bidrage til at forbedre EU’s og de nationale myndig-

heders kapacitet og ekspertise, herunder i forbindelse med håndtering af

cy-

ber

hændelser

og overvågning af cybersikkerhedsrelaterede lovgiv-

ningsmæssige foranstaltninger

. I den forbindelse vil ENISA fortsat skulle

tilrettelægge cybersikkerhedsøvelser på EU-plan. Agenturet vil ligeledes

støtte informationsudveksling i og mellem sektorer – særligt dem

Det fremgår af formandsskabets seneste kompromisforslag af 20. april 2018, at agenturet,

når det udfører sine opgaver, handler uafhængigt, under største hensyntagen til medlems-

staternes relevante myndigheders nationale ekspertise og undgår duplikation af handlin-

ger.

kom (2017) 0477 - Bilag 4: Samlenotat vedr. forordning om cypersikkerhed forud for møde i Europaudvalget 18/5-18

som er nævnt i NIS-direktivet –

ved at stille bedste praksis og vejledning

om tilgængelige værktøjer og procedurer til rådighed.

Operationelt samarbejde og krisestyring

Med forslaget bemyndiges ENISA til at understøtte det operationelle samar-

bejde på tværs af EU’s institutioner og på tværs af medlemsstaterne

Agen-

turet skal bl.a. støtte det operationelle samarbejde

i CSIRT-netvær-

ket

som udgøres af medlemsstaternes CSIRT’er (Computer Security Incident

Response Team) i medfør af NIS-direktivet

Ved udøvelsen af opgaverne

i CSIRT-netværket

vil ENISA indgå i et struktureret samarbejde med CERT-

EU (EU’s Computer Emergency Response Team)

for at udnytte synergier

og undgå duplikering af handlinger.

I tilfælde af større grænseoverskridende cybersikkerhedshændelser eller -kri-

ser og med det formål at fremme operationelt samarbejde foreslås ENISA

bemyndiget til at:

a) sammenstille rapporter fra nationale kilder med henblik på at bidrage

til at skabe en fælles situationsforståelse;

b) sikre en effektiv informationsstrøm og sørge for, at der er eskalations-

mekanismer på plads til brug mellem CSIRT-netværket og de tekniske

og politiske beslutningstagere på EU-niveau;

c) understøtte den tekniske håndtering af en hændelse

eller en krise

herunder ved at fremme delingen af tekniske løsninger mellem med-

lemsstaterne;

d) understøtte kommunikation til offentligheden om en hændelse

eller

krise

; og

e) afprøve samarbejdsplaner for reaktionen på væsentlige hændelser

el-

ler kriser

Endelig vil ENISA få til opgave regelmæssigt at udarbejde en teknisk EU-

cybersikkerhedsrapport om hændelser og trusler, der skal være baseret på

offentligt tilgængelige oplysninger, ENISA’s egen analyse samt rapporter,

som på frivillig basis deles af bl.a. medlemsstaternes CSIRT'er

Markedsrelaterede opgaver

Af seneste kompromistekst fremgår, at agenturets støtte i denne forbindelse alene sker på

medlemsstaternes anmodning.

Af seneste kompromistekst fremgår vedrørende: punkt a), at rapporten skal være delt på

frivillig basis; punkt c), at agenturet på medlemsstatens anmodning bemyndiges til at facili-

tere den tekniske håndtering af en hændelse eller krise, herunder ved at støtte frivillig ud-

veksling af tekniske løsninger mellem medlemsstaterne; punkt d) og e), at agenturets støtte

sker på medlemsstaternes anmodning.

Det fremgår nu af kompromisteksten, at agenturet skal udarbejde EU-cybersikkerheds-

rapporten i tæt samarbejde med medlemsstaterne.

kom (2017) 0477 - Bilag 4: Samlenotat vedr. forordning om cypersikkerhed forud for møde i Europaudvalget 18/5-18

ENISA vil få til opgave at understøtte det indre marked, herunder ved at ana-

lysere udviklingstendenser på cybersikkerhedsmarkedet og ved at under-

støtte EU’s politikudvikling inden for IKT-standardisering og IKT-cybersikker-

hedscertificering.

Viden, information og oplysning

ENISA skal være EU’s informationsknudepunkt vedrørende net- og informa-

tionssikkerhed. Det indebærer fremme og udveksling af bedste praksis og

initiativer på tværs af EU. Agenturet vil ligeledes skulle stille rådgivning,

vej-

ledning

og bedste praksis vedrørende sikkerheden af

netværk og informati-

onssystemer

til rådighed.

Agenturet skal endvidere gøre offentlighe-

den bevidst om risiciene i forbindelse med cybersikkerhed og give

vejledning om god praksis for individuelle brugere.

Forskning og innovation

ENISA får til opgave at rådgive EU og nationale myndigheder om fastsættelse

af prioriteter inden for forskning og udvikling på cyberområdet. ENISA’s råd-

givning om forskning skal ligeledes bidrage til det nye europæiske forsknings-

og kompetencecenter for cybersikkerhed under den næste flerårige finan-

sielle ramme. Endelig vil ENISA

–

i tilfælde, hvor Kommissionen har ud-

delegeret relevante beføjelser til agenturet

–

blive involveret i gen-

nemførelsen af EU’s finansieringsprogrammer inden for forskning og innova-

tion på cyberområdet.

Internationalt samarbejde

ENISA

vil

få til opgave at bidrage til EU’s indsats for at fremme internationalt

samarbejde om cybersikkerhed ved at deltage som observatør og i tilrette-

læggelsen af internationale øvelser, fremme udveksling af bedste praksis

in-

den for relevante internationale rammer

samt efter anmodning at stille

ekspertise til rådighed for Kommissionen.

Fælles europæisk ramme for cybersikkerhedscertificering for IKT- produkter

og -tjenester

Forslaget

etablerer en ramme

for

udarbejdelsen og

indførelsen af spe-

cifikke europæiske certificeringsordninger for IKT-produkter og tjenester,

der udarbejdes af ENISA og vedtages ved gennemførelsesretsakter jf. pro-

ceduren beskrevet neden for.

Certificeringsordninger

En cybersikkerhedscertificeringsordning vil i henhold til forslaget attestere, at

de pågældende IKT- produkter og -tjenester, der er certificeret i overens-

stemmelse med ordningen, opfylder de nærmere fastsatte cybersikkerheds-

krav. Det gælder f.eks. i forhold til deres evne til at beskytte mod kompro-

mittering af tilgængeligheden, autenticiteten, integriteten og fortroligheden

af de data, der opbevares eller behandles i produktet eller tjenesten.

I for-

bindelse med udarbejdelsen af d

e europæiske certificeringsordninger

skal ENISA ikke

udvikle tekniske standarder.

stedet

skal der

gøre

brug

kom (2017) 0477 - Bilag 4: Samlenotat vedr. forordning om cypersikkerhed forud for møde i Europaudvalget 18/5-18

af eksisterende standarder i relation til de tekniske krav og evalueringsproce-

durer, som produkterne konkret skal overholde.

De konkrete cybersikkerhedscertificeringsordninger skal udformes, så de alt

efter relevans for produkt- eller tjenestegruppen tager hensyn til en række

sikkerhedsmål, herunder at:



beskytte data mod utilsigtet eller uautoriseret behandling eller øde-

læggelse;



sikre, at kun autoriserede personer, programmer eller maskiner har

adgang til data;



genetablere tilgængelighed af og adgang til data i tilfælde af fysiske

eller tekniske hændelser;



sikre, at IKT-produkter og -tjenester er forsynet med ajourført soft-

ware.

Forslaget indebærer endvidere, at ordningerne skal fastsætte en række spe-

cifikke elementer, der angiver omfanget og indholdet af cybersikkerhedscer-

tificeringen. Det omfatter blandt andet udpegning af de omfattede produkter

og tjenester, nærmere specifikation af cybersikkerhedskravene (f.eks. med

henvisning til relevante standarder eller tekniske specifikationer),

de spe-

cifikke evalueringskriterier og

metoder.

Endelig introducerer forslaget også tre prædefinerede tillidsni-

veauer for europæiske cybersikkerhedscertificeringsordninger;

grundlæggende, betydelig og høj. De tre niveauer er et udtryk for,

at behovet for niveauet af tillid til cybersikkerhedskvalitet af IKT-

produkter, og -tjenester vil variere – særligt ift. den specifikke

brugssituation.

Forberedelse og vedtagelse af certificeringsordninger

Det følger af forslaget, at de europæiske certificeringsordninger udarbejdes

af ENISA med bistand fra og i tæt samarbejde med

interessenter og d

europæisk

cybersikkerhedscertificeringsgruppe. Endvidere er det i henhold

til forslaget Kommissionen, der igangsætter arbejdet med en given certifice-

ring ved at anmode ENISA om at udarbejde en ordning for specifikke IKT-

produkter eller -tjenester

Cybersikkerhedscertificering

Når en europæisk cybersikkerhedscertificeringsordning er vedtaget, kan pro-

ducenter og udbydere af IKT-tjenester indgive en ansøgning om certificering

af deres produkter eller tjenester. Certificeringen er i henhold til forslaget

frivillig, medmindre andet er fastsat i EU-retten.

I den nuværende kompromistekst kan den europæiske cybersikkerhedscertificerings-

gruppe også anmode ENISA om at udarbejde en ordning for specifikke IKT-produkter, -

processer eller -tjenester. Medlemsstater og interesseorganisationer kan ligeledes stille forslag

om europæiske certificeringsordninger til Gruppen, der vurderer forslagene ud fra en række

kriterier, som Gruppen selv udarbejder. Er vurderingen positiv, vil Gruppen anmode ENISA

om at udarbejde den pågældende certificeringsordning.

kom (2017) 0477 - Bilag 4: Samlenotat vedr. forordning om cypersikkerhed forud for møde i Europaudvalget 18/5-18

Certificering og udstedelse af cybersikkerhedsattesten skal foretages af over-

ensstemmelsesvurderingsorganer, der er akkrediteret til at foretage certifice-

ringer.

Akkrediteringen foretages således af de nationale akkrediteringsor-

ganer, der er udpeget i henhold til forordning (EF) nr. 765/2008 om kravene

til akkreditering og markedsovervågning i forbindelse med markedsføring af

produkter. I Danmark er dette Den Danske Akkrediteringsfond (DANAK). I

undtagelsestilfælde kan det efter forslaget fastsættes i en certificeringsord-

ning, at certificeringen i behørigt begrundede tilfælde skal foretages af et

offentligt organ. De nationale tilsynsmyndigheder skal for hver europæisk

certificeringsordning underrette Kommissionen om de akkrediterede overens-

stemmelsesvurderingsorganer. Kommissionen vil på baggrund heraf et år ef-

ter ikrafttrædelsen af forslaget skulle offentliggøre en liste over de anmeldte

overensstemmelsesvurderingsorganer.

Europæiske c

ybersikkerhedsattester udstedes for en period

e, som speci-

ficeres i de enkelte certificeringsordninger

, og vil kunne forlænges på

samme vilkår, hvis de relevante krav fortsat er opfyldt. En europæisk cyber-

sikkerhedsattest skal anerkendes i alle medlemsstater.

Nationale cybersikkerhedscertificeringsordninger

Nationale cybersikkerhedscertificeringsordninger for IKT-produkter og -tjene-

ster, der bliver omfattet af en europæisk certificeringsordning, vil i henhold

til forslaget ophøre med at have virkning. Det vil ske fra det tidspunkt, der

fastsættes i den gennemførelsesretsakt, hvorved ordningen vedtages. For-

målet er at sikre harmonisering og undgå fragmentering af det indre marked.

Medlemsstaterne må i forlængelse heraf heller ikke vedtage nye nationale

certificeringsordninger for IKT-produkter og -tjenester, der i forvejen er om-

fattet af en europæisk ordning. Allerede udstedte attester i henhold til en

national certificeringsordning forbliver dog gyldige indtil deres udløbsdato.

Myndighedstilsyn

I henhold til forslaget skal medlemsstaterne sørge for, at der er en myndig-

hed, som fører tilsyn med certificeringen

. Denne myndighed skal bl.a.

tilse

, at overensstemmelsesvurderingsorganerne overholder reglerne

. Der-

udover skal myndigheden også tilse

, at de attester, som

overensstem-

melsesvurderings

organerne udsteder, er i overensstemmelse med de krav,

der følger

direkte

af forordningen,

eller en af forordningen følgende

cybersikkerhedscertificeringsordning. Endelig skal tilsynsmyndigheden sam-

arbejde med andre eksisterende nationale certificeringstilsynsmyndigheder

eller andre offentlige myndigheder, f.eks. i forhold til informationsudveksling

om mulige tilfælde, hvor IKT-produkter og -tjenester ikke overholder regule-

ringen.

Den europæiske cybersikkerhedscertificeringsgruppe

I den nuværende kompromistekst kan europæiske cybersikkerhedscertificeringsordnin-

ger tillade, at producenter eller leverandører på eget ansvar selv kan foretage overensstem-

melsesvurderinger, men kun for IKT-produkter, -processer og -tjenester med lav risiko og

kompleksitet svarende til tillidsniveau ”grundlæggende”.

kom (2017) 0477 - Bilag 4: Samlenotat vedr. forordning om cypersikkerhed forud for møde i Europaudvalget 18/5-18

I henhold til forslaget skal der etableres en europæisk cybersikkerhedscerti-

ficeringsgruppe, der består af alle medlemsstaters nationale certificeringstil-

synsmyndigheder. Gruppen får som sin vigtigste opgave dels at rådgive Kom-

missionen om problemstillinger vedrørende cybersikkerhedscertificeringspoli-

tik, og dels at samarbejde med ENISA om udarbejdelsen af udkast til euro-

pæiske cybersikkerhedscertificeringsordninger. Det vil være Kommissionen,

der varetager formandskabet og sekretariatsfunktionen for

ruppen med bi-

stand fra ENISA.

Sanktioner

Medlemsstaterne skal i henhold til forslaget fastsætte regler for sanktioner

for overtrædelse af forordningens bestemmelser og de europæiske certifice-

ringsordninger. Sanktionerne skal være effektive, stå i rimeligt forhold til

overtrædelsen og have afskrækkende virkning.

Øvrige bestemmelser

Udvalgsprocedure

Forordningen indeholder gennemførelsesretsakter, der gør, at der

skal

nedsættes et udvalg i overensstemmelse med komitologiforordningen

((EU) 182/2011). Udvalget skal bistå Kommissionen i udarbejdelsen af de

gennemførelsesretsakter, der henvises til under afsnittet om den europæiske

ramme for cybersikkerhedscertificeringsordninger.

Ikrafttræden

Efter forslagets vedtagelse træder forordningen i kraft 20 dage efter offent-

liggørelse i Den Europæiske Unions Tidende.

Evaluering

Efter forslagets vedtagelse skal Kommissionen hvert femte år vurdere virk-

ningen af ENISA’s arbejde, herunder eventuelle behov for at ændre agentu-

rets mandat. Evalueringen skal også omfatte virkningen af certificeringsord-

ningen i forhold til målene om at sikre tilstrækkelig cybersikkerhed i IKT-pro-

dukter og forbedre det indre markeds funktion.

Europa-

arlamentets udtalelser

Europa-

arlamentet

er i henhold til den almindelige lovgivningsproce-

dure (TEUF artikel 294) medlovgiver, og forslaget bliver behandlet

i parlamentets udvalg for Industri, Forskning og Energi (ITRE) og

høres derudover i IMCO, BUDG og LIBE. Europa-Parlamentets ud-

talelse foreligger endnu ikke, men der er udarbejdet et udkast til

betænkning den 27. marts 2018

Nærhedsprincippet

Det er Kommissionens opfattelse, at forslaget er i overensstemmelse med

nærhedsprincippet. Under henvisning til net- og informationssikkerheds

grænseoverskridende karakter fremhæver Kommissionen

bl.a.

, at individu-

elle tiltag fra enkelte medlemsstater og en fragmenteret tilgang til cybersik-

kerhed ikke er tilstrækkeligt for at øge den kollektive robusthed. Målet med

kom (2017) 0477 - Bilag 4: Samlenotat vedr. forordning om cypersikkerhed forud for møde i Europaudvalget 18/5-18

forslaget kan således ikke i tilstrækkelig grad opfyldes af medlemsstaterne

alene og nås derfor bedre på EU-plan.

Regeringen

vurderer ligeledes,

at nærhedsprincippet er overholdt, da cy-

bersikkerhed i sagens natur er grænseoverskridende.

Gældende dansk ret

ENISA og cybersikkerhedscertificeringsordninger er ikke i dag reguleret af

dansk lovgivning.

Konsekvenser

Lovgivningsmæssige konsekvenser

Kommissionen har fremsat forslag til en forordning, der ikke skal imple-

menteres, men vil gælde umiddelbart i medlemslandene. Vedtagelse af for-

slaget vurderes

på den baggrund

ikke at have lovgivningsmæssige kon-

sekvenser.

Økonomiske konsekvenser

Statsfinansielle konsekvenser

Vedtagelse af den del af forslaget, der vedrører ENISA’s opgaver og orga-

nisatoriske forhold, vurderes at kunne få statsfinansielle konsekvenser i

form af konsekvenser for EU’s budget.

I forbindelse med fremsættelsen af forslaget lagde Kommissionen

op til at ENISA’s budget øges gradvist fra EUR 11,2 mio. i 2017 til

EUR 23,0 mio. i 2022. De økonomiske konsekvenser for EU’s bud-

get har dog hidtil ikke været en del af forhandlingerne. Forudsat

en finansieringsandel på 2 pct. til Danmark, vil en sådan budget-

forøgelse medføre, at Danmark finansierer 460.000 euro i 2022.

For så vidt angår forslagets bestemmelser om en europæisk ramme for

cybersikkerhedscertificeringsordninger vil udpegningen af en national til-

synsmyndighed kunne have statsfinansielle konsekvenser. Omfanget af

dette afhænger imidlertid af flere elementer, herunder hvad der i

sidste ende vil høre under den givne tilsynsmyndighed, og hvor-

vidt eksisterende tilsynsmyndigheder allerede vil kunne varetage

disse. Derudover vil det også afhænge af det endelige omfang af

certificeringsordninger. Jf. budgetvejledningen inden for eksiste-

rende rammer

Samfundsøkonomiske konsekvenser

Det er forventningen, at vedtagelsen af forslaget vil føre til et højere niveau

af cybersikkerhed, modstandsdygtighed og tillid i EU gennem øget kapaci-

tet, samarbejde, risikostyring og bevidsthed om cybersikkerhed. Dette kan

være med til at forbedre det indre markeds funktion samt bidrage til ud-

viklingen af et digitalt indre marked gennem styrket tillid og robusthed over

kom (2017) 0477 - Bilag 4: Samlenotat vedr. forordning om cypersikkerhed forud for møde i Europaudvalget 18/5-18

for cybersikkerhedstrusler. Forslaget vurderes på denne baggrund at kunne

have positive samfundsøkonomiske konsekvenser.

Erhvervsøkonomiske konsekvenser

ENISA’s opgaver og organisatoriske forhold forventes ikke i sig selv at med-

føre administrative konsekvenser for erhvervslivet i Danmark. Dog vil ENISA’s

udvidede beføjelser på baggrund af forslaget på længere sigt kunne medføre

administrative konsekvenser for erhvervslivet. Omfanget af disse kan imidler-

tid ikke vurderes på nuværende tidspunkt.

Etableringen af en europæisk ramme for cybersikkerhedscertificeringsordnin-

ger forventes umiddelbart at medføre positive erhvervsøkonomiske konse-

kvenser for danske virksomheder. Forslaget vurderes således at forbedre mu-

lighederne for at drive virksomhed på tværs af grænserne og indrette forret-

ningen mere effektivt.

Andre konsekvenser og beskyttelsesniveauet

En vedtagelse af forslaget skønnes ikke at berøre beskyttelsesniveauet i

Danmark.

Høring

Forslaget har været i høring i Specialudvalget for Energi-, Forsynings- og Kli-

mapolitik og EU-specialudvalget for Konkurrenceevne, vækst og forbruger-

spørgsmål med frist for bemærkninger den 3. oktober 2017. Der er modtaget

høringssvar fra Dansk Industri, TDC Group, Finans Danmark, Dansk Erhverv,

Ingeniørforeningen, IDA, KL, Teleindustrien (TI), Dansk Standard (DS) samt

Dansk Byggeri.

Generelle bemærkninger

Finans Danmark bemærker overordnet, at den øgede digitalisering betyder,

at cybersikkerhed er særdeles vigtig for bankerne. Dertil er omfanget, kom-

pleksiteten og hastigheden i de internationale såvel som de nationale cyber-

trusler for massive og vedholdende til, at én part kan løfte udfordringerne

alene. Derfor er et samarbejde mellem det offentlige og det private og en

inddragelse af borgerne afgørende. Nationale grænser skal ikke være en hin-

dring for effektiv bekæmpelse af grænseoverskridende cyberkriminalitet. På

den baggrund ser Finans Danmark Kommissionens forslag om ENISA og cy-

bersikkerhedscertificering som et positivt initiativ til at styrke den europæiske

cybersikkerhed. Cybersikkerhedscertificering kan blandt andet bidrage til at

håndtere udfordringen med IoT (Internet of Things). Finans Danmark anbe-

faler, at en europæisk certificeringsmodel funderes på globalt anerkendte

standarder.

Ingeniørforeningen, IDA er overordnet set meget positiv over for at styrke

indsatsen for cybersikkerhed i Europa. De påpeger, at en koordineret indsats,

der involverer alle EU lande, er en fordel og en nødvendighed. Det er dog

nødvendigt, at en sådan indsats får den nødvendige slagkraft i form af res-

sourcer og kompetencer.

kom (2017) 0477 - Bilag 4: Samlenotat vedr. forordning om cypersikkerhed forud for møde i Europaudvalget 18/5-18

Ingeniørforeningen bemærker desuden, at der i annekset til forslaget næv-

nes, at overensstemmelsesorganer skal have en juridisk profil og muligheden

for at trække på tekniske kompetencer. Ingeniørforeningen vil her anbefale,

at der i annekset henvises til ”legal and technical personality”. Hvis en sådan

enhed skal have den nødvendige slagkraft, kræver det dedikerede tekniske

ressourcer som en fast del af organisationen. Vidensopbygning og erfaring er

centralt, hvis initiativet i sig selv skal få effekt og hvis en sådan enhed skal

have opnå legitimitet og den styrkede branding, man ønsker.

TDC Group forventer, at Kommissionens forslag vil styrke EU’s kapacitet til at

respondere, dele bedste praksis og udvikle videndeling-platforme til at hånd-

tere cybersikkerhed.

ENISA – EU’s Agentur for Cybersikkerhed

Overordnet set støtter Dansk Erhverv, Dansk Industri, Finans Danmark, Te-

leindustrien og TDC Group forslagets formål om et styrket cybersikkerhedsa-

gentur med et permanent mandat, som et vigtigt initiativ til at højne den

europæiske cybersikkerhed, dog med visse bemærkninger.

Med reference til den stigende og grænseoverskridende cybertrussel, påpe-

ger Dansk Erhverv nødvendigheden af, at myndigheder på tværs af EU ar-

bejder sammen, også i forhold til opbygning af mere kompetence, opmærk-

somhed og forskning på området. Her ønsker Dansk Erhverv særligt at kom-

plimentere, at ENISA skal udbyde vejledning på bedste praksis for individuelle

brugere, hvilket Dansk Erhverv ser som en styrkelse af opmærksomheden

om cyber-hygiejne, som anses for at være centralt for at øge cybersikkerhe-

den i EU. I denne sammenhæng understreger Dansk Erhverv imidlertid, at

sådanne bedste praksis bør være baseret på metoder, der har været anvendt

med succes i nogle lande, og ikke blot er baseret på teori. Dansk Erhverv

hilser det ligeledes velkomment, at der sættes fokus på internationalt samar-

bejde med andre internationale organisationer om cybersikkerhed, idet cy-

berkriminalitet anses for værende et globalt fænomen. Endelig understreger

Dansk Erhverv vigtigheden af, at ENISA får ressourcer nok til at tiltrække de

mest velkvalificerede medarbejdere, hvis agenturet skal kunne løfte disse nye

opgaver på tilstrækkelig vis.

Dansk Industri understreger væsentligheden af at sikre, at der, i etableringen

af et permanent mandat til ENISA, sker en organisatorisk klarhed i EU’s hånd-

tering af spørgsmål relateret til cybersikkerhed, således at myndigheder og

virksomheder alene skal orientere sig mod ét sted i EU. Samtidig lægger

Dansk Industri vægt på, at imødegåelse af cybertrusler ikke alene er et eu-

ropæisk anliggende, og understreger, at det, i processen mod konsolidering

af EU’s indsats til imødegåelse af cybertrusler, er afgørende, at der fortsat er

fokus på samarbejde med øvrige internationale samarbejdspartnere.

Teleindustrien støtter forslaget om oprettelse af et cybersikkerhedsagentur

og lægger i den forbindelse vægt på, at det sikres, at arbejdet i agenturet i

kom (2017) 0477 - Bilag 4: Samlenotat vedr. forordning om cypersikkerhed forud for møde i Europaudvalget 18/5-18

høj grad koncentreres omkring dialog og samarbejde mellem offentlige og

private aktører for at sikre et højt sikkerhedsniveau.

TDC Group understreger nødvendigheden af et styrket cybersikkerhedsagen-

tur for at udfylde målsætningerne i NIS-direktivet og sikre bedre samarbejde

mellem nationale cybersikkerhedsmyndigheder. TDC Group fremhæver, at

forslaget særligt kan gavne mindre lande, idet myndighederne i disse lande

må forventes at have særlig stor gavn af sparring og indhentning af viden fra

et styrket agentur. TDC Group ser gerne, at ENISA fortsætter traditionen

med at føre dialog med både myndigheder og privatsektoren, idet både of-

fentlige og private aktører er nødvendige i forhold til at sikre optimal cyber-

sikkerhed.

KL anbefaler, at der sker en tæt koordinering af de nationale aktiviteter mod

cyberkriminalitet med aktiviteterne i ENISA, bl.a. med henblik på at sikre ko-

ordinerede processer for indsamling af information om sikkerhedsbrud, og

gør i denne sammenhæng opmærksomme på et særligt initiativ i den fælles-

offentlige digitaliseringsstrategi for 2016-2020, som skal sikre, at offentlige

myndigheder arbejder efter konkrete sikkerhedstiltag for at imødegå trusler

om hacking. KL har desuden noteret sig, at ENISA vil tilbyde offentlige myn-

digheder træning i cybersikkerhed, jf. artikel 6, stk. 1, litra h, samt organisere

større, årlige cybersikkerhedsøvelser, jf. artikel 6, stk. 1, litra g. KL vil ligeledes

anbefale, at der sker en national koordinering af disse aktiviteter.

Fælles europæisk ramme for cybersikkerhedscertificering for IKT-produkter

og tjenester

Dansk Erhverv, Dansk Industri, Finans Danmark, Ingeniørforeningen IDA,

Dansk Standard, Teleindustrien, TDC Group, støtter endvidere overordnet

forslaget om indførelse af en fælleseuropæisk ramme for cybersikkerheds-

certificering.

Dansk Erhverv hilser det ligeledes velkomment, at Kommissionen har valgt at

fremsætte et forslag til et frivilligt certificeringssystem i EU. Dansk Erhverv

vurderer, at det er en afbalanceret tilgang til problemstillingen, og understre-

ger vigtigheden af, at certificeringerne er virksomhedsdrevne og udarbejdes

i tæt samarbejde med erhvervslivet. Dansk Erhverv udtrykker tilfredshed med

fleksibiliteten i forslaget, herunder at mærkning af produkter kan være en del

af certificeringen, hvor industrien mener det giver mening, men ikke er et fast

kriterie. Dansk Erhverv hilser det ligeledes velkomment, at forslaget skitserer

tre forskellige niveauer af beskyttelse med forskellige kriterier, hvilket gør det

muligt for virksomheder at tilpasse certificeringen den risiko, som produktet

udgør. Dette kan bidrage til sikkerhed i balance. Dansk Erhverv betragter det

desuden som positivt og meget vigtigt, at der lægges op til, at EU-certifice-

ringer udarbejdes i overensstemmelse med internationale standarder og cer-

tificeringer, således at dobbeltregulering undgås, og EU certificeringerne ikke

fører til handelsbarrierer. Dansk Erhverv vurderer endvidere, at forslagets

krav om, at EU-certificeringer skal anerkendes i alle medlemslande er helt

essentielt og kan bidrage til at nedbringe omkostningerne for certificering for

SMVer og Start-ups – og gøre det lettere for dem at benytte sig af det indre

kom (2017) 0477 - Bilag 4: Samlenotat vedr. forordning om cypersikkerhed forud for møde i Europaudvalget 18/5-18

marked, da de kun vil have behov for én certificering i stedet for forskellige i

forskellige medlemslande. Dette er positivt, men for at denne gevinst skal

kunne realiseres vurderer Dansk Erhverv det for nødvendigt, at EU-certifice-

ringsmekanismen ikke bliver for tung, og at det hele tiden holdes for øje, at

den skal være anvendelig også for små virksomheder.

Dansk Industri har samme grundlæggende holdning i forhold til Kommissio-

nens forslag til cybersecurity-certificering af Informations- og Kommunikati-

onsteknologi som til etableringen af et permanent mandat til ENISA. En eu-

ropæisk certificeringsmodel skal således være globalt orienteret og funderet,

så der ikke skabes hindringer for handel med resten af verden. Det vil sige,

at arbejdet så vidt muligt baseres på globalt anerkendte metoder og standar-

der. Endelig lægger Dansk Industri vægt på, at certificeringsgrundlaget etab-

leres i et samarbejde med erhvervslivet, så kriterierne i standardiseringsar-

bejdet så vidt muligt tager højde for den markedsdrevne udvikling.

For så vidt angår standarder og cybersikkerhedscertificering bemærker Inge-

niørforeningen, at det er vigtigt, at en yderligere indsats på standarder for

cybersikkerhed og privacy er yderst vigtigt, men at EU’s rolle i denne sam-

menhæng bør være at bakke op om de initiativer, der allerede foregår i de

traditionelle standardiseringsnetværk. Ingeniørforeningen påpeger, at både

CEN/CENELEC og ETSI har som europæiske standardiseringsorganisationer

en proces, der sikrer deltagelse og høringsmulighed for både myndigheder,

virksomheder, forskere og civilsamfund, herunder også en indsats for at ind-

drage små og mellemstore virksomheder bedst muligt. Ingeniørforeningen er

endvidere meget positiv over for en cybersikkerhedscertificering af IKT pro-

dukter og tjenester, Idet det kan være uoverskueligt for især mindre virk-

somheder at overskue, hvad der er sikker teknologiimplementering og det

må derfor anses for en væsentlig hjælp, at der findes myndighedsgodkendte

certificeringer at rette sig efter. For virksomheder, der producerer f.eks. ro-

botter og it-systemer, vil EU-harmoniserede certificeringer hjælpe til at kunne

nå flere markeder uden at skulle tilrette vidt forskellige krav.

Dansk Standard finder det relevant, at der etableres en fælleseuropæisk

ramme for cybersikkerhedscertificering, som kan give virksomheder mulighed

for at certificere produkter og dermed bidrage til tryghed og sikkerhed hos

kunderne. Dansk Standard finder det også vigtigt at etablere en fælles euro-

pæisk certificeringsmodel, så man undgår, at det samme produkt skal certi-

ficeres på forskellige måder i forskellige EU medlemslande, som det er tilfæl-

det i dag i Tyskland, Frankrig og UK. For Dansk Standard er det afgørende,

at den foreslåede europæiske certificeringsmodel bygger på relevante stan-

darder, der sikrer et effektivt beskyttelsesniveau og så vidt muligt bruger glo-

balt anerkendte standarder. Det er også vigtigt certificeringsmodellen ikke

skaber hindringer for samhandel mellem EU og resten af verden. Dansk Stan-

dard bemærker endvidere, at udvikling af standarder, som skal understøtte

europæisk politik og regulering foregår gennem de europæiske standardise-

ringsorganisationer CEN/CENELEC og ETSI. Disse organisationer sikrer euro-

pæiske aktører adgang til at deltage og påvirke udviklingen af standarder.

Dansk Standard foreslår, at arbejdet med at udvikle og udvælge standarder

kom (2017) 0477 - Bilag 4: Samlenotat vedr. forordning om cypersikkerhed forud for møde i Europaudvalget 18/5-18

til brug for en europæisk certificeringsmodel forankres i CEN/CENELECs tek-

niske komité, der skal arbejde med cybersikkerhed og databeskyttelse (CEN

TC 13), og at der etableres et tæt samarbejde med Kommissionen og ENISA

herom. Det vil betyde at grundlaget for certificeringen kan udvikles gennem

en transparent proces, hvor virksomheder og andre europæiske interessenter

har mulighed for at deltage og bidrage til kriterierne for certificeringsordnin-

gen med den nyeste viden på markedet. Vælger man en model, hvor kriteri-

erne fastlægges udelukkende af myndigheder, kan man ikke drage fordel af

den viden der er i markedet og man risikerer at pålægge virksomhederne

unødige byrder.

Teleindustrien støtter endvidere forslaget om fælles standarder for EU certi-

ficering af informations- og kommunikationsteknologi. Fælles standarder for

eksempelvis teleudstyr på tværs af EU vil bidrage til at sikre et fælles niveau

for sikkerhed og lige konkurrencevilkår på tværs af lande i EU.

TDC Group støtter op om forslaget vedr. fælles standarder for EU certificering

af informations- og kommunikationsteknologi. Paneuropæiske standarder

ville gavne markedet for ydelser fra underleverandører, som i dag er udsat

for fragmenterede krav på tværs af EU lande. Dette præsenterer væsentlige

byrder og omkostninger for leverandørerne, som ville drage store fordele af

at leve op til konsoliderede europæiske standarder. TDC Group ser især et

stort potentiale på leverancer af kritisk infrastruktur, og ønsker at understrege

at både europæiske og ikke-europæiske leverandører skal have mulighed for

at opnå certificering, for at sikre et mangfoldigt og konkurrencedygtigt mar-

ked for disse tjenester. TDC Group finde det i forlængelse heraf nødvendigt

at få afklaret de konkrete omstændigheder omkring afprøvelse og certifice-

ring, herunder hvilken overgangsordning myndigheder vil indføre i relation til

fortsat drift af eksisterende udstyr, som endnu ikke er certificeret, når EU

bestemmelserne træder i kraft.

KL vil af resursehensyn anbefale, at det i forhold til forslaget om en cybersik-

kerhedscertificeringsordning overvejes, hvorvidt ordningen, – i det omfang

den vil være relevant for offentlige myndigheder – kan samtænkes med mu-

lighederne for databeskyttelsescertificering efter databeskyttelsesforordnin-

gen (2016/679).

Generelle forventninger til andre landes holdninger

Medlemsstaterne udtrykker overordnet støtte til forslaget om et

nyt, styrket og udvidet mandat til ENISA

Der er ligeledes blandt medlemsstaterne

generel støtte til forslaget om

en fælleseuropæisk certificeringsramme for IKT-produkter og -tjenester

. Der

bliver

bl.a. lagt vægt på, at det kan bidrage til at styrke tilliden til digitale

produkter og tjenesteydelser – og dermed øge muligheden for at drage fordel

af det digitale indre marked. Samtidig har flere medlemsstater understreget

vigtigheden af, at en certificeringsramme ikke bliver unødigt byrdefuld for

kom (2017) 0477 - Bilag 4: Samlenotat vedr. forordning om cypersikkerhed forud for møde i Europaudvalget 18/5-18

virksomhederne, særligt SMV’er, og at der bliver forskellige grader af sikker-

hedscertificering afhængigt af, hvilken type IKT-produkt eller -tjenesteydelse,

det drejer sig om.

Rammerne, som forordningen opstiller til udarbejdelsen af europæ-

iske cybersikkerhedscertificeringsordninger, har dog dannet grund-

lag for diskussioner i Rådet, herunder særligt hensynet til fleksibi-

litet i forhold til den enkelte europæiske certificeringsordning med

konsistens på tværs af sektorer. Her har en række medlemsstater

udtrykt ønske om mere fleksible fremtidssikre rammer, som kan til-

passes den enkelte cybersikkerhedscertificeringsordning, mens an-

dre har udtrykt ønske om faste og klart definerede rammer for at

sikre konsistens og en fælles forståelse af indholdet af europæiske

cybersikkerhedscertificeringsordninger på tværs af sektorer.

På samme måde udestår der også usikkerhed i forhold til, hvad det

vil sige, at IKT-produkter og -tjenester er sikre. Dette med en tanke

om ikke at skabe falsk sikkerhed.

Medlemsstaternes styring med udarbejdelsen af europæiske cyber-

sikkerhedscertificeringsordninger har desuden været centralt i

drøftelserne. I regi af ”Gruppen” forventes medlemsstaterne derfor

at få en rådgivende funktion, når ENISA udarbejder udkast til euro-

pæiske cybersikkerhedscertificeringsordninger.

Flere medlemsstater har desuden efterspurgt, at der gives ekstra

implementeringsfrist til særligt krævende artikler. Det forventes, at

Rådets Juridiske Tjeneste (RJT) i samarbejde med medlemssta-

terne udarbejder en liste over artikler, der bør træde i kraft på et

senere tidspunkt samt specificere hvornår.

10.

Regeringens generelle holdning

Regeringen støtter overordnet Kommissionens forslag om et nyt, styrket og

udvidet mandat til EU’s Agentur for Cybersikkerhed (ENISA) samt et fælles-

europæisk IKT-certificeringssystem.

Regeringen kan tilslutte sig

, at der er behov for et styrket europæisk

cybersikkerhedsagentur med et permanent mandat, som skal sikre kapaci-

tetsopbygning, videndeling, forskning og innovation, opmærksomhed og

samarbejde på tværs af EU. Dette skal ikke mindst ses i lyset af cybersikker-

heds grænseoverskridende karakter. Således er det væsentligt at sikre sam-

ordning i tilgangen til cybersikkerhed på tværs af EU for at styrke den kollek-

tive robusthed mod cyberangreb.

et er endvidere regeringens holdning, at ENISA’s opgaver

skal respektere

medlemsstaternes kompetence

vedrørende national sikkerhed og for-

kom (2017) 0477 - Bilag 4: Samlenotat vedr. forordning om cypersikkerhed forud for møde i Europaudvalget 18/5-18

svar. Regeringen lægger

derfor

vægt på, at medlemsstaternes rolle og an-

svar for egen cybersikkerhed og modsvar til cybertrusler

og konkrete cy-

berhændelser

fastholdes.

Regeringen støtter overordnet forslaget om en fælleseuropæisk ramme for

certificering af IKT-produkter og -tjenester. Regeringen

finder det

dog

vig-

tigt

, at udviklingen af en ramme for certificeringsordninger både skal tilgo-

dese sikkerhedshensyn og virksomheders konkurrence- og vækstvilkår. Det

er i denne sammenhæng vigtigt, at en ramme for certificeringsordninger ind-

føres på lige, objektive og ikke-diskriminerende vilkår. Det digitale område er

et område, hvor udviklingen går stærkt og eventuelle krav om certificering

skal derfor være fleksible og fremtidssikrede, så konkurrencen ikke forvrides

unødigt eller hæmmer innovationen på området.

Regeringen arbejder for, at certificeringssystemet bliver lettilgængeligt og an-

vendeligt for alle virksomheder, herunder små og mellemstore virksomheder

samt iværksættere. Endvidere

mener

regeringen, at medlemsstaterne og

alle relevante interessenter

bør

inddrages i arbejdet med fælleseuropæiske

certificeringsordninger, herunder ift. delegerede retsakter og gennemførel-

sesretsakter

. Desuden bør

der i vidt omfang tages udgangspunkt i eksiste-

rende europæiske og internationale standarder samt tages højde for behovet

for udviklingen af nye standarder.

11.

Tidligere forelæggelse for Folketingets Europaudvalg

Sagen har ikke tidligere været forelagt for Folketingets Europaudvalg.

Der

blev oversendt grund- og nærhedsnotat den 8. november 2017.