Kommisjonen foreslår nytt cybersikkerhetsdirektiv

Europakommisjonen vil innføre et cybersikkerhetsdirektiv (NIS-2), med nye regler for cybersikkerhet i kritiske sektorer. Det er spesielt med tanke på datasikkerhetsbrudd og angrep at EU ønsker å erstatte nåværende direktiv (NIS). Forslag til nytt direktiv er EØS-relevant.

Foto: Cardiff University

Foreslår nytt cybersikkerhetsdirektiv
Den siste tiden har det vært flere dataangrep i EU, blant annet mot Det europeiske legemiddelbyrået, som er involvert i arbeidet med godkjenning av covid-19-vaksiner, og en rekke angrep mot strategiske industrier og offentlige institusjoner i Europa.

Forslaget til ny cybersikkerhetsdirektiv (NIS 2-direktivet) vil erstatte det gjeldende direktivet om tiltak for et høyt felles sikkerhetsnivå i nettverks- og informasjonssystemer i EU (NIS-direktivet). Dette er i tråd med EUs nye cybersikkerhetsstrategi.

Det nye NIS-2 direktivet vil utvide virkeområdet til det nåværende NIS-direktivet, ved å innlemme flere sektorer som anses som kritisk for økonomien og samfunnet. Tydelige terskler knyttet til størrelse vil introduseres. Det betyr at store og mellomstore selskaper i utvalgte sektorer vil omfattes av NIS-2 direktivet.

Direktivet skal bidra til å styrke motstandsdyktigheten innen kritiske offentlige og private sektorer. Det innebærer sykehus, strømnett og jernbane, samt datasentre, offentlig administrasjon, forskningslaboratorier og produksjon av kritisk medisinsk utstyr og medisiner. Annen kritisk infrastruktur og kritiske tjenester skal også dekkes for å styrke samfunnets motstandsdyktighet. I lys av covid-19 er det også sett nødvendig å inkludere skytjenester, vaksineprodusenter og videokonferansetjenester, som zoom, til virkeområdet for det nye direktivet.

Relevans for Norge
NIS-direktivet er enda ikke gjennomført i norsk rett, men det kommer frem av regjeringens EØS-notat at Nasjonal strategi for informasjonssikkerhet, med handlingsplan, dekker de krav som direktivet stiller til den nasjonale nettverks- og sikkerhetsstrategien.

Veien videre
Kommisjonens forslag til det nye cybersikketsdirektivet er til behandling hos Europaparlamentet og Rådet.

Den publiserte cybersikkerhetsstrategien ligger nå hos Europakommisjonen og EUs høyrepresentant for utenriks- og sikkerhetssaker, som vil jobbe med å få implementert strategien i løpet av de kommende månedene.

  • Les mer om forslaget om nytt cybersikkerhetsdirektiv på Stortinget.no her.
  • Les om EUs nye cyberstrategi her.