1. Resumé

Kommissionens meddelelse ”Beskyttelse mod storstilede cyberangreb og sam-menbrud: øget beredskab, sikkerhed og robusthed” bygger videre på EU’s ambi-tion om at styrke sikkerhed i og tilliden til informationssamfundet. Kommissionenfremhæver i meddelelsen særligt strategien for et sikkert informationssamfund fra20061. Kommissionen anfører, at det ser ud til, at de berørte parter ikke i til-strækkelig grad har taget strategien til sig og gjort en indsats for at føre den ud ilivet.I meddelelsen lægger Kommissionen vægt på forebyggelse, beredskab og be-vidstgørelse og opstiller en plan over øjeblikkelige tiltag, der skal styrke sikker-heden og robustheden i kritisk informationsinfrastruktur.Det bliver anført, at samfundets afhængighed af kritisk informationsinfrastrukturog informationsinfrastrukturens sammenhæng på tværs af grænserne og med an-den infrastruktur samt dens sårbarhed og truslerne mod den gør, at det som før-ste skridt i et forsvar mod svigt og angreb er nødvendigt at drøfte spørgsmåletom sikkerhed og robusthed ud fra et systemisk perspektiv.

2. Baggrund

Nogle IKT-systemer, -net og -tjenester spiller en helt afgørende rolle i den euro-pæiske økonomi og det europæiske samfund som grundlag for levering af uund-værlige varer og tjenesteydelser. Disse systemer benævnes kritisk informations-infrastruktur, eftersom det vil have alvorlige følger for samfundets kritiske funk-tioner, hvis de bryder sammen eller bliver ødelagt.Meddelelsen bygger videre på EU's politik for at styrke sikkerheden i og tilliden tilinformationssamfundet. I 2005 fremhævede Kommissionen det akutte behov for enkoordineret indsats for at opbygge tillid til elektroniske kommunikationsnet og tje-nester. Til dette formål blev der i 2006 vedtaget en strategi for et sikkert informati-onssamfund, KOM(2006) 251: En strategi for et sikkert informationssamfund –“Dialog, partnerskab og myndiggørelse”

Meddelelsen dannede grundlag for drøftelserne på ministerkonference om beskyt-telse af kritisk informationsinfrastruktur, der blev afholdt i Estland den 27. - 28.april 2009.

3. Hjemmelsgrundlag

Da der er tale om en meddelelse fra Kommissionen, er spørgsmålet om hjem-melsgrundlag ikke relevant.

4. Nærhedsprincippet

Spørgsmålet om nærhedsprincippet er ikke relevant.

5. Formål og indhold

Kommissionens meddelelse om beskyttelse af kritisk informationsinfrastrukturlægger vægt på forebyggelse, beredskab og bevidstgørelse og opstiller en planover øjeblikkelige tiltag, der skal styrke sikkerheden og robustheden i kritisk in-formationsinfrastruktur.Kommissionen finder, at der er behov for en europæisk indsats, der kan give de na-tionale politikker og programmer merværdi ved at skabe øget bevidsthed om og enfælles forståelse af udfordringerne og sætte gang i vedtagelsen af fælles politiskemål og indsatsområder, styrke samarbejdet mellem medlemsstaterne og integrerede nationale politikker i et mere europæisk og verdensomspændende perspektiv.En stærk europæisk varslings- og reaktionsevne forudsætter velfungerende lands-dækkende/statslige it-beredskabsenheder (CERT – Computer Emergency ResponseTeam). Desuden skal de indgå i et effektivt samarbejde og i informationsudveks-ling på tværs af grænserne, eventuelt via eksisterende organisationer som EuropeanGovernmental CERT’s Group.Kommissionen konstaterer i meddelelsen, at der er begrænset europæisk varslings-og reaktionsevne til imødegåelse af truslerne mod IKT-infrastrukturen. Processerneog fremgangsmåderne for overvågning og rapportering af sikkerhedshændelser pånettene varierer betydeligt fra medlemsstat til medlemsstat. Nogle medlemsstaterhar ingen it-beredskabsenheder, som er ansvarlig for overvågningen.Meddelelsen foreslår på den baggrund en handlingsplan, der indeholder følgendemål:

Beredskab og Forebyggelse

Minimumstandarder for landsdækkende/statslige it-beredskabsenheder (CERT)skal være fastlagt ved udgangen af 2010. Der skal være oprettet velfungerendelandsdækkende/statslige CERT-enheder i alle medlemsstater ved udgangen af2011.Der skal foreligge en køreplan for et europæisk offentlig-privat partnerskab for enrobust infrastruktur ved udgangen af 2009. Partnerskabet skal være etableret midt i2010. De første resultater af partnerskabet skal foreligge i slutningen af 2010.

3

IT- og Telestyrelsen

Der skal etableres et europæisk forum, hvor medlemsstaterne kan udveksle infor-mation og god strategisk praksis vedrørende sikkerheden og robustheden i kritiskinformationsinfrastruktur ved udgangen af 2009. Forummets første resultater skalforeligge i slutningen af 2010.

Opdagelse og reaktion

Kommissionen støtter udviklingen og indførelsen af et europæisk informationsud-vekslings- og varslingssystem (EISAS), der når ud til borgerne og de små og mel-lemstore virksomheder. Køreplanen for et europæisk informationsudvekslings- ogvarslingssystem skal foreligge i slutningen af 2010.

Afhjælpning og genopretning

Kommissionen opfordrer medlemsstaterne til at udforme nationale katastrofeplanerog afholde jævnlige øvelser i håndtering af omfattende netsikkerhedshændelser.Der skal være gennemført mindst én national katastrofeøvelse i hver medlemsstatinden udgangen af 2010.IT- og Telestyrelsen

Kommissionen vil yde økonomisk støtte til tilrettelæggelse af fælleseuropæiskeøvelser i håndtering af hændelser, der truer internettets sikkerhed: Den første fæl-leseuropæiske øvelse skal være tilrettelagt og gennemført inden udgangen af 2010.Der skal være fælleseuropæisk deltagelse i internationale øvelser inden udgangenaf 2010.Kommissionen opfordrer medlemsstaternes til at styrke samarbejdet mellem delandsdækkende/statslige CERT-enheder. Derfor skal antallet af nationale instanser,der deltager i European Governmental CERT’s Group være fordoblet inden udgan-gen af 2010.

Internationalt samarbejde

Kommissionen vil sætte gang i en europadækkende debat med deltagelse af alle re-levante offentlige og private parter med det formål at fastlægge EU's vigtigste målfor langsigtet robusthed og stabilitet. EU's vigtigste mål vedrørende kritiske inter-netkomponenter og -spørgsmål skal ligge fast inden udgangen af 2010.Kommissionen vil samarbejde med medlemsstaterne om at opstille retningslinjerfor internettets robusthed og stabilitet. Der skal foreligge en europæisk køreplan foropstilling af principper og retningslinjer for et robust og stabilt internet inden ud-gangen af 2009. Der skal være enighed om et første udkast til et sådant sæt prin-cipper og retningslinjer inden udgangen af 2010.Kommissionen vil samarbejde med medlemsstaterne om at opstille en køreplan forat fremme de europæiske principper og retningslinjer på verdensplan. Der skal op-stilles en køreplan for det internationale samarbejde om principper og retningslinjerfor robusthed og stabilitet i starten af 2010. Det første udkast til internationalt aner-kendte principper og retningslinjer skal drøftes med tredjelande og i relevante fora,herunder et dialogforum for internetforvaltning (Internet Governance Forum) islutningen af 2010.Kommissionen opfordrer de berørte europæiske parter til at overveje, hvordan af-hjælpnings- og genopretningsøvelserne rent praktisk kan udvides og gennemførespå verdensplan. Der foreslås en ramme og en køreplan for europæisk engagement

4

og deltagelse i verdensomspændende øvelser i genopretning og afhjælpning vedomfattende internetsikkerhedshændelser inden udgangen af 2010.

Kriterier for europæisk kritisk infrastruktur i ikt-sektoren

Kommissionen vil i samarbejde med medlemsstaterne og alle relevante parter vide-reføre arbejdet med at opstille kriterier for indkredsning af europæisk kritisk infra-struktur i IKT-sektoren i første halvdel af 2010.

Meddelelsens konklusion

Kommissionen konkluderer i meddelelsen, at en sikker og robust kritisk informati-onsinfrastruktur er det bedste forsvar mod svigt og angreb. Handlingsplanens suc-ces afhænger af, hvor godt den kan bygge videre på og bidrage til aktiviteter i denoffentlige og den private sektor, og af medlemsstaternes, EU-institutionernes og deøvrige parters engagement og fulde samarbejde.Forbedring af sikkerheden og robustheden i IKT-infrastrukturen er et langsigtetmål, og strategien og foranstaltningerne for at nå dette mål må jævnligt tages op tilfornyet overvejelse. Som led i den overordnede debat om net- og informationssik-kerhedspolitikkens fremtid i EU efter 2012 vil Kommissionen derfor hen imodslutningen af 2010 iværksætte en evaluering af den første fase af foranstaltningerog om nødvendigt foreslå yderligere tiltag.

6. Europa-Parlamentets udtalelser

Europa-Parlamentet har endnu ikke udtalt sig.

7. Gældende dansk ret og forslagets konsekvenser herfor

Området er i dag ikke reguleret af dansk lov.Meddelelsen får ikke i sig selv konsekvenser for gældende dansk ret. Det kan ik-ke udelukkes, at området vil blive reguleret, hvis Kommissionen følger meddelel-sen op med initiativer, der kræver regulering i Danmark.

8. Konsekvenser for statsfinanserne, samfundsøkonomien, miljøet eller be-

skyttelsesniveauet

Meddelelsen har ikke i sig selv konsekvenser for statsfinanserne, samfundsøko-nomien, miljøet eller beskyttelsesniveauet.Afhængigt af, hvorledes man fra dansk side vælger at gennemføre Kommissio-nens opfordringer, vil det kunne medføre udgifter for staten. Eventuelle økono-miske konsekvenser vil afhænge af, hvordan man vælger at implementere initia-tiverne. Derudover vil der kunne være tale om udgifter på EU-budgettet afhæn-gigt af de konkrete forslag, som Kommissionen vil fremføre.

9. Høring

Meddelelsen vil blive sendt i høring i EU-specialudvalget for it og telekommuni-kation.

10. Regeringens foreløbige generelle holdning

5

Kommissionens meddelelse vurderes at være i tråd med regeringens prioriterin-ger på området og i overensstemmelse med planlagte eller allerede iværksatte til-tag.Regeringen har i sin politik for beredskabet fra 2005 anført, at forebyggelse prio-riteres højt for at mindske samfundets sårbarhed og dermed øge robustheden, især in-den for energi-, tele-, it- og transportområdet. Regeringen stiller sig positivt over forbeskyttelse af kritisk informationsinfrastruktur, og regeringen støtter derfor medde-lelsen.Regeringen imødeser udmøntningen af Kommissionens forslag.

11. Generelle forventninger til andre landes holdninger

Kommissionens meddelelse er blevet drøftet indledningsvist på ministerkonfe-rence i Tallinn mellem den 27. og 28. april 2009. Her gav medlemsstaterne ud-tryk for generel støtte til meddelelsen og dens initiativer.

12. Tidligere forelæggelser for Folketingets Europaudvalg

Meddelelsen har ikke tidligere været forelagt Folketingets Europaudvalg.IT- og Telestyrelsen

"Beskyttelse mod storstilede cyberangreb og sammenbrud: øget bered-

skab, sikkerhed og robusthed"