Sedan pandemins början har den digitala omställningen genomgått en betydande intensifiering. I takt med den senaste tidens ökade hotbild mot väst, har ett flertal fall av systematiska och utomstatliga cyberattacker konstaterats i och runt EU:s närområde. EU står inför en stor utmaning att säkerställa att den snabba digitala omställningen sker på ett cybersäkert sätt.
En europeisk strategi för cybersäkerhet
Digitaliseringen har medfört stora möjligheter för europeiska medborgare, företag, och andra organisationer, men har också inneburit nya utmaningar och risker. Förvaltningar och företag drabbas i dag i större utsträckning av cyberattacker och dataintrång, vilket medför stora samhälleliga kostnader och i vissa fall även riskerat människors liv.
För att hantera de nya utmaningarna som EU står inför lade kommissionen i december 2020 fram en strategi för cybersäkerhet. Syftet med strategin är att stärka unionens motståndskraft mot cyberhot och ge medborgare och företag tillgång till digitala tjänster och verktyg.
Som ett första steg i det här arbetet lade EU-kommissionen, i samband med cybersäkerhetsstrategin, fram ett förslag om revidering av direktivet om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen (NIS2). NIS2 är en utveckling av ett befintligt direktiv för nätverks- och informationssäkerhet och ska, genom att införa miniminivåer för cybersäkerhet och att uppdatera den förteckning över sektorer som omfattas av cybersäkerhetsskyldigheter, harmonisera medlemsstaternas cybersäkerhetskrav och genomförande av cybersäkerhetsåtgärder.
Rättsakten om cyberrresiliens
EU-kommissionen har också i september 2022 lagt fram ett nytt förslag om en rättsakt om cyberresiliens, som syftar till att stärka smarta enheters cybersäkerhetskrav och minska risken för hackerattacker. Det gäller exempelvis enheter som tvättmaskiner eller elmätare, som kan anslutas till internet eller till varandra i hemmet. I förslaget delar EU-kommissionen in produkter i två kategorier. Den första kategorin omfattar kritiska produkter, vilket inkluderar allt från operativsystem till smarta mätare. Den andra kategorin omfattar digitalt uppkopplade produkter på marknaden med lägre risk, som till exempel smarta leksaker och kylskåp.
Enligt förslaget ska nationella tillsynsmyndigheter övervaka efterlevnaden och tillverkare som bryter mot reglerna kan få sina produkter återkallade och få böter på upp till 15 miljoner euro eller 2,5 procent av den globala omsättningen. EU-kommissionen föreslår också att företag ska vara tvungna att rapportera en hackningsincident inom 24 timmar till den europeiska cybersäkerhetsbyrån, ENISA. Det är något som redan är omtvistat, eftersom liknande krav finns i både GDPR och NIS2. Det finns därför en oro över att det kommer att bli svårt för företag att veta vilket regelverk som gäller i en specifik situation.
Framåtblick
Arbetet pågår för fullt inom unionen för att hitta en balans mellan ny innovativ teknik och samordning av medlemsstaternas cybersäkerhetsstandarder och krav. Med den snabba utvecklingen finns det risk för eventuella överlapp av befintlig och kommande lagstiftning inom cybersäkerhetsområdet. Det är av vikt att EU:s digitala klimat är och förblir säkert mot såväl utomstående som interna hot och samtidigt inte ökar den administrativ bördan för aktörer som verkar inom EU.
/Tobias Eriksson, EU Policyhandläggare och Gustaf Borelius, trainee på Stockholmsregionens Europakontor i Bryssel