Direktiv om tiltak for et høyt felles sikkerhetsnivå i nettverks- og informasjonssystemer i EU

Bilde: Teknologirett

EU-kommisjonen fremla 7. februar 2013 et forslag til direktiv om tiltak for å sikre et høyt felles nivå for nettverk- og informasjonssikkerhet i EU. Europaparlamentet og Rådet ble 18. desember 2015 enig om en omforent tekst for direktiv.

Direktivet pålegger medlemsstatene å sørge for et visst nivå for landets IKT-sikkerhet ved å lage en strategi for sikkerhetsarbeidet, etablere en IKT-sikkerhetsberedskapsenhet (CSIRT) som blant annet skal samarbeide med andre lands CSIRTer, og pålegge operatører og leverandører av samfunnsviktige tjenester IKT-sikkerhetskrav og varslingsplikt ved alvorlige IKT-sikkerhetshendelser.

Bakgrunnen for forslaget til direktivet er at det i dag, ikke er implementert tilstrekkelige og helhetlige beskyttelsestiltak innen EU for å oppnå god nok sikkerhet i nettverk og informasjonssystemer som er særlig viktige for det indre markeds funksjon. Utfordringene er ikke bare grenseoverskridende, men globale. Medlemslandene har ulik kvalitet på de beskyttelsestiltak som er implementert, hvilket medfører en fragmentert tilnærming på EU-nivå. I dag er det på felleseuropeisk nivå kun etablert rettslige rammeverk for informasjonssikkerhet innen ekom-sektoren, jf. Europaparlaments- og rådsdirektiv 2002/21/EF av 7. mars 2002 om felles rammeregler for elektroniske kommunikasjonsnett og -tjenester (rammedirektivet). Det er behov for felleseuropeisk regler om IKT-sikkerhet også for annen type infrastruktur.

Formålet med direktivet er å forbedre det indre markeds funksjon gjennom etableringen av et høyt felles sikkerhetsnivå i viktige nettverks- og informasjonssystemer. Direktivet setter krav til medlemslandenes arbeid med IKT-sikkerhet, til virksomheter som leverer tjenester som er essensielle for det indre markeds samfunnsmessige og økonomiske aktiviteter og til tilbydere av enkelte digitale tjenester. Spesielt skal det sikres kontinuitet i leveransen av de aktuelle tjenestene.

Direktivet pålegger medlemsstatene å sørge for at operatører av essensielle tjenester og tilbydere av digitale tjenester iverksetter flere sikkerhetstiltak, herunder risikostyring og varslingsplikt om hendelser som har vesentlig virkning (significant impact). «Operatører av essensielle tjenester» er er virksomheter som anses særlig viktige for opprettholdelsen av et funksjonsdyktig indre marked og hvis bortfall kan få alvorlige negative konsekvenser for samfunnsikkerheten og økonomiske og samfunnsmessige aktiviteter.

Se mer i Europalov.

Bli den første til å kommentere på "Direktiv om tiltak for et høyt felles sikkerhetsnivå i nettverks- og informasjonssystemer i EU"

Legg inn en kommentar

Ikke gå glipp av noe!

Motta nyhetsbrev fra Teknologirett: