Cybersäkerhet är ett högaktuellt ämne inom EU, inte minst för EU:s regioner och kommuner, och kommer fortsätta vara ett prioriterat område under våren på EU:s agenda. Till exempel kom EU:s lagstiftande institutioner nyligen fram till en överenskommelse gällande Cyberresiliensakten som syftar till att bättre säkra internetanslutna enheter inom EU och är en central del i en bredare EU-strategi som ska bemöta cyberhot. Likaså har Regionkommittén nyligen antagit ett yttrande gällande Cybersolidaritetsakten och cybersäkerhet och offentliggjorde tidigare i år en studie över digital resiliens bland lokala och regionala myndigheter inom EU.
Aktuell EU-lagstiftning inom cybersäkerhet
Direktivet om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen (NIS2) är en annan viktig del av lagstiftningen på området och trädde i kraft i januari 2023. Medlemsstaterna har tills den 18 oktober 2024 på sig att införliva bestämmelserna i den nationella lagstiftningen. Direktivets syfte är att uppnå en hög gemensam säkerhet i nätverk och informationssystem i EU och harmonisera införlivandet av dessa regler.
EU:s cybersolidaritetsakt är det senaste lagförslaget inom cybersäkerhet som lades fram av EU-kommissionen i april 2023 och bygger vidare på NIS-direktiven med flera hänvisningar till NIS2-direktivet i texten. Cybersolidaritetsakten syftar till att stärka EU:s kapacitet att upptäcka, förbereda sig för och hantera betydande cybersäkerhetshot och attacker. Bakgrunden är en ökad användning av digital teknik och ökade cybersäkerhetsincidenter, samt konsekvenserna av dessa. Åtgärder i lagtexten delas in tre pelare: en europeisk cybersköld, en cyberkrismekanism och en mekanism för granskning av cybersäkerhetsincidenter. Cyberskölden ska bestå av nationella och gränsöverskridande säkerhetscentrum (SOC). Nationella SOC ska vara en referenspunkt och gränssnitt mot andra organisationer för insamling och analys av cybersäkerhetshot och incidenter. Cyberkrismekanismen syftar till att stärka beredskapen och testa beredskapen i sektorer som anses vara kritiska, samt stärka förmågorna för återhämtning efter incidenter och inrättande av en cybersäkerhetsreserv. Mekanismen för granskning av cybersäkerhetsincidenter är en funktion för granskning av cybersäkerhetsincidenter, speciellt för de incidenterna med stor påverkan, som kommer utföras av EU:s cybersäkerhetsbyrå ENISA.
Regionkommitténs möte om cybersäkerhet
Europeiska regionkommittén träffades i Tyskland den 18-19 oktober för att diskutera cybersäkerhet, vilket bland annat inkluderade det nya lagförslaget Cybersolidaritetsakten. Under mötet berättade Pehr Granfalk, ledamot i regionkommittén och ansvarig rapportör för regionkommitténs yttrande gällande cybersolidaritet och cybersäkerhet, att antalet cyberattacker har ökat och blivit mer sofistikerade. Lokala myndigheter och den offentliga sektorn är även mest sårbara för cyberattacker och är det mest föredragna målet för cyberattacker. Det framgår i en studie som Regionkommittén beställde under 2023.
”Cyberattacker blir allt vanligare, och de blir mer och mer sofistikerade. Lokala myndigheter hör till de mest sårbara och föredragna målen för hackare. I takt med att det digitala slagfältet växer måste Europa stärka sitt digitala försvar.” – Pehr Granfalk, ledamot i regionkommittén och ansvarig rapportör för regionkommitténs yttrande gällande cybersolidaritet och cybersäkerhet.
Mot den bakgrunden uppmanar Granfalk EU att stärka sitt digitala försvar och lyfter fram att regioner och kommuner behöver konkret stöd från nationell och europeisk nivå för att genomföra det, inte enbart skyldigheter. På cybersäkerhetsområdet inom EU genomfördes exempelvis en cybersäkerhetsövning kopplat till digital valsäkerhet i slutet av november för att främja samarbete samt säkra EU-val inför EU-valet 2024. Samarbetsövningen omfattade nationella aktörer och EU-institutioner där krisplaner delades och svar på cybersäkerhetsincidenter som kan påverka europeiska val testades. EU:s nuvarande strategi för cybersäkerhet lades fram av Europeiska kommissionen och unionens höga representant för utrikesfrågor och säkerhetspolitik 2020.
Regionkommitténs studie och yttrande
I Regionkommitténs studie från tidigare i år gällande Cybersolidaritetsakten och cybersäkerhet framgår att det finns en låg medvetenhet bland lokala politiska ledare om vikten av digital resiliens och att politisk vilja är en förutsättning för investeringar inom digital resiliens. Det största hindret för att öka digitala resiliensen på lokal nivå är bristen på medel, följt av brist på teknisk kunskap och erfarenhet. Regionkommittén har i tidigare yttringar rekommenderat att mer medel till digital resiliens ska avsättas av medlemsländerna. Motsvarande rekommenderas samarbete mellan olika administrativa nivåer, tekniskt stöd och utbyte av “bästa lösningar” mellan lokala och regionala myndigheter för att underlätta bristen på kunskap och erfarenhet. Ett annat dilemma för myndigheter är dock att investering i säkerhet inte ger omedelbara synliga resultat vilket kan försvåra att motivera dessa för allmänheten och öppna för ifrågasättande av investeringar, även fast medborgare är indirekta offer av cyberattacker i offentlig sektor.
Den 28:e november antog Regionkommittén ett yttrande angående cybersolidaritetsakten och digital resiliens. Regionkommittén skriver att de ställer sig positivt till EU-kommissionens initiativ för gemensamma åtgärderna för cyberhot, eftersom medlemsstaterna är mycket uppkopplade och sammankopplade och förväntas bli ännu mer framöver. För att förverkliga ett motståndskraftigt Europa behöver medborgare och politiker inse vikten av cybersäkerhetsåtgärder och därför bör medlemsstater, EU-kommissionen och lokala myndigheter bidra till att öka den medvetenheten. Regionkommittén anser även att kommuner ska innefattas i definitionen av “kritiska enheter” i cybersolidaritetsakten oavsett om de innefattas i den definitionen i NIS2. Det för att undvika att vissa lokala myndigheter inte innefattas av cybersolidaritetsakten. Vidare bör kommuner och regioner inte endast få skyldigheter att rapportera till framtida ansvariga aktörer på EU-nivå och nationella nivå, utan även få konkreta förslag på förebyggande stödåtgärder. Det krävs då en ökad tydlighet gällande hur stödet kommer ges. Fler konkreta kommentarer och ändringsförslag går att läsa om i yttrandet.
Framåtblick
Efter årsskiftet tar Belgien över ordförandeskapet i Europeiska unionens råd (ministerrådet) och deras fokus framåt kommer bland annat att inkludera cybersäkerhetsfrågor, något som det belgiska ordförandeskapet har gått ut med i europeisk media. Det belgiska ordförandeskapet vill fortsätta stärka EU:s resiliens och arbeta vidare med lagstiftning relaterad till cyber och digitala frågor. Ett fokusområde inom dessa frågor kommer att vara cyberresiliensen för rymdinfrastruktur och rymdcybersäkerhet. Ordförandeskapet vill även se mer aktivt cyberskydd vilket innebär ett mer proaktivt tillvägagångssätt för att förhindra, upptäcka, övervaka och minska intrång i nätverkssäkerheten. Det belgiska ordförandeskapet ska även genomföra en översyn av EU:s cyberpolitik för att bedöma och identifiera eventuella återstående luckor som behöver åtgärdas på området.
/Gabriel Carlin, EU Policyhandläggare och Amanda Lindell, trainee på Stockholmseregionens Europakontor i Bryssel.