Den reviderte utgaven skal etablere et nytt rammeverk for å håndtere kritisk informasjons- og kommunikasjonsteknologi (IKT). Aktører i kritiske verdikjeder må gjennomføre sikkerhetsevalueringer for å identifisere risiko og svakheter knyttet til IKT.
Rammeverket legger til grunn at EU-land kutter forbindelser med høyrisikoland. Bruk av komponenter fra høyrisikoland skal forbys, der det anses som økonomisk forsvarlig. Initiativet har vekket reaksjon blant handelspartnere og Kina har varslet mottiltak dersom Huawei blir direkte rammet.
Cybersikkerhetspakken har som mål å styrke EUs sikkerhet, men har også blitt kritisert for å være for proteksjonistisk. Kinas utenriksdepartement, advarer EU mot økt proteksjonisme.
«Kinesiske selskaper har lenge operert i Europa i samsvar med lover og forskrifter, og har aldri satt europeisk nasjonal sikkerhet i fare», sa talsmann Guo Jiakun fra det kinesiske utenriksdepartementet i en kommentar til cybersikkerhetspakken.
Europakommisjonen hevder pakken er nødvendig for europeisk suverenitet.
«Nettsikkerhetstrusler er ikke bare tekniske utfordringer. De er strategiske risikoer for demokratiet, økonomien og livsstilen vår … Dette er et viktig skritt i å sikre vår europeiske teknologiske suverenitet og sørge for større sikkerhet for alle», sa Europakommisjonens visepresident for teknologisk sikkerhet og demokrati, Henna Virkkunen.
Styrke sikkerheten
Det europeiske byrået for nettverks- og informasjonssikkerhet (ENISA) skal bistå bedrifter og medlemsland i større omfang enn tidligere. Tiltakene inkluderer forbedret rapportering, etablering av en felles hjelpeportal i samarbeid med Europol, samt opprettelsen av egne hendelseshåndteringsteam for cybersikkerhet.
Hendelseshåndteringsteamene og Europol skal også bidra til å begrense skadeomfanget og gjenopprette normal drift etter cyberangrep.
Forenkling av sertifiseringsprosedyrer
Forenklingsarbeidet er i full gang i Brussel, og Europakommisjonen anslår at opptil 28 700 selskaper vil få en enklere håndtering av regelverket. Det legges særlig vekt på reduserte kostnader og administrativ byrde for selskaper som opererer på tvers av EUs landegrenser.
Deler av nettverks- og informasjonssikkerhetsdirektiv 2 (NIS 2) skal også forenkles for bedrifter, sammen med flere andre justeringer i regelverket.
Endringene i NIS 2 inkluderer:
- Presiseringer av virkeområde og sentrale definisjoner
- Harmonisering av krav til sikkerhet i verdikjeder som omfattes av NIS 2
- Etablering av et nytt sertifiseringsrammeverk for å dokumentere etterlevelse av NIS 2
- Unntak fra regulering for mikro- og små aktører innen domenenavnsystemer
- Ytterligere harmonisering av regelverket, inkludert innføring av en ny bedriftskategori «små mellomstore-bedrifter»
- Krav om planer for overgang til postkvantekryptografi i medlemslandenes nasjonale cybersikkerhetsstrategier
- Harmonisert datasamling av ransomware-angrep