Udvalget for Videnskab og Teknologi 2010-11 (1. samling)
UVT Alm.del Bilag 30
Offentligt
908376_0001.png
908376_0002.png
908376_0003.png
908376_0004.png
908376_0005.png
908376_0006.png
Ministeren for videnskab, teknologi og udvikling
Udvalget for Videnskab og TeknologiFolketingetChristiansborg1240 København K
Til udvalget fremsendes hermed til orientering:29. oktober 2010
./.
Grundnotat vedrørende Kommissionens forslag til Europa-parlamentet og Rådetsforordning om Det Europæiske Agentur for Net- og Informationssikkerhed (ENI-SA)– KOM (2010) 521 endeligMaterialet er ligeledes sendt til Europaudvalget via Udenrigsministeriet.

Ministeriet for Videnskab

Teknologi og Udvikling

Bredgade 431260 København KTelefonTelefaxE-postNetstedCVR-nr.3392 97003332 3501[email protected]www.vtu.dk1680 5408
Dok nr.
15604631/1
Med venlig hilsen
Side
Charlotte Sahl-Madsen
Grund- og nærhedsnotat til Folketingets Europaudvalg og FolketingetsUdvalg for Videnskab og Teknologi
Kommissionens forslag til Europa-parlamentet og Rådets forordning om DetEuropæiske Agentur for Net- og Informationssikkerhed (ENISA)– KOM (2010) 521 endelig
7. oktober 2010
ResuméEuropa-Parlamentet og Rådet vedtog i marts 2004 en forordning om oprettelseaf et uafhængigt agentur (ENISA), der skal arbejde for at sikre et højt it-sikkerhedsniveau og udvikle en sikkerhedskultur i EU. Da forordningen for ENI-SA udløber i marts 2012,har Kommissionen fremsat to forslag om ENISA. Delsforslag til en ny forordning for ENISA, dels forslag til forlængelse af den eksiste-rende forordning, således at opgaverne i forbindelse med net- og informations-sikkerhed fortsat kan varetages.I forslaget til ny forordning tydeliggøres og udvides ENISA’s mandat og rolle.Forslaget vil blandt andet gøre det muligt for EU’s institutioner at anmode ENI-SA om bistand samt forstærke den strategiske ledelse af ENISA.Forslaget til forordning vil have varighed af fem år. Forslaget forventes på dags-ordenen for det kommende rådsmøde for transport, telekommunikation og energiden 3. december 2010 med henblik på drøftelse.1. BaggrundVed Europa-Parlamentets og Rådets forordning af 10. marts 2004 oprettedes etuafhængigt europæisk agentur for net- og informationssikkerhed, ENISA, derskal arbejde for at sikre et højt it-sikkerhedsniveau i EU og for at udvikle en sik-kerhedskultur i EU.1ENISA’s oprindelige mandat skulle efter forordningen ud-løbe i marts 2009, men blev i 2008 forlænget til marts 2012.Kommissionen har den 30. september 2010 fremsat to forslag vedrørende ENI-SA:Forslag til Europa-parlamentet og Rådets forordning om Det EuropæiskeAgentur for Net- og Informationssikkerhed (ENISA)Forslag til Europa-parlamentet og Rådets forordning om ændring af for-ordning (EF) nr. 460/2004 om oprettelse af et europæisk agentur for net-og informationssikkerhed for så vidt angår agenturets mandatperiode. Her

IT- og Telestyrelsen

Holsteinsgade 632100 København ØTelefonTelefaxE-postNetstedCVR-nr.3545 00003545 0010[email protected]www.itst.dk2676 9388
Europa-Parlamentets og Rådets forordning (EF) nr. 460/2004 af 10. marts 2004 om opret-telse af et europæisk agentur for net- og informationssikkerhed
1
forlænges den nuværende ENISA-forordning med halvandet år, for på denmåde at give skabe tid til at forhandle den nye forordning på plads.Forslagene er fremsat efter TEUF artikel 114 og skal behandles efter procedurenfor fælles beslutningstagen i TEUF artikel 294.Formålet med ENISA er at bidrage til et højt niveau for net- og informationssik-kerhed i EU og tilvejebringe en kultur for net- og informationssikkerhed samt atfremme et bredt samarbejde mellem den offentlige og den private sektors aktører.Udøvelsen af agenturets opgaver bør ikke gribe ind i og bør ikke træde i stedetfor, hindre eller overlappe de relevante beføjelser og opgaver, der er tildelt de na-tionale tilsynsmyndigheder i overensstemmelse med direktiverne om elektroniskekommunikationsnet og –tjenester, Sammenslutningen af Europæiske Tilsyns-myndigheder inden for Elektronisk Kommunikation (BEREC), der er oprettet vedEuropa-Parlamentets og Rådets forordning (EF) nr. 1211/2009, Kommunikati-onsudvalget, som er omhandlet i direktiv 2002/21/EF, de europæiske standardise-ringsorganisationer, de nationale standardiseringsorganisationer og det ståendeudvalg, jf. Europa-Parlamentets og Rådets direktiv 98/34/EF af 22. juni 1998 omen informationsprocedure med hensyn til tekniske standarder og forskrifter samtforskrifter for informationssamfundets tjenester, samt medlemsstaternes tilsyns-myndigheder for så vidt angår beskyttelse af fysiske personer i forbindelse medbehandling af personoplysninger og fri bevægelighed for sådanne oplysninger.Forslaget til ny forordning for ENISA er sat på dagsordenen for det kommenderådsmøde for transport, telekommunikation og energi den 3. december 2010 medhenblik på drøftelse.2. Formål og indholdFormålet med forslaget til ny forordning for ENISA er at opsætte rammerne forENISA’s virke i fem år fra forordningens vedtagelse.Kommissionen fremhæver i forslaget, at informations- og kommunikationstekno-logi (IKT) i stigende grad indgår i alle aspekter af vores hverdag. Nogle af disseIKT-systemer, net og tjenester spiller en helt afgørende rolle i den europæiskeøkonomi og det europæiske samfund. Disse IKT-systemer anses typisk for kritiskinformationsinfrastruktur, eftersom det vil have alvorlige følger for samfundetsvæsentlige funktioner, hvis de bryder sammen eller bliver ødelagt. Eksempler afnyere dato på trusler mod kritisk informationsinfrastruktur er de storstilede cybe-rangreb rettet mod Estland i 2007 og bruddet på transkontinentale kabler i 2008.Kommissionen vurderer derfor, at behovet for et fælles europæisk agentur kun ervokset siden oprettelse af ENISA i 2004.Det generelle formål med dette initiativ er at give EU bedre mulighed for at fore-bygge, opdage og styrke reaktionen på informationssikkerhedsproblemer i EU,medlemsstaterne og interessenterne. Det vurderes, at dette vil bidrage til at op-bygge den nødvendige tillid til at understøtte udviklingen af informationssam-fundet, forbedre konkurrenceevnen for europæiske virksomheder og sikre et ef-fektivt fungerende indre marked.2

IT- og Telestyrelsen

Agenturets opgaverDet er Kommissionens forslag, atENISA skal bidrage til initiativer indenfor beskyttelse af kritisk informa-tionsinfrastruktur, som allerede er igangsat af Kommissionen, herunderEuropean Forum for Member States(EFMS) ogEuropean Public PrivatePartnership for Resilience(EP3R).ENISA's ekspertise og bistand skal anvendes til at støtte medlemsstaterneog Kommissionen i forbindelse med fastlæggelsen af regler og procedu-rer, som skal anvendes ved underretning om sikkerhedsbrud (defineret iartikel 13 (a) i det reviderede teledirektiv).ENISA skal etablere forum for kompetente nationale organer / nationaletilsynsmyndigheder og den private sektor for at drøfte indhøstede erfa-ringer og udveksle god praksis om anvendelse af regulerende foranstalt-ninger for informationssikkerhed.ENISA skal facilitere IKT-beredskabsøvelser i EU med støtte fra Kom-missionen med henblik på at udvide disse øvelser på et senere tidspunktinternationalt.ENISA skal yde teknisk støtte og ekspertise til etablering af en CERT(Computer Emergency Response Team) for EU-institutionerne.ENISA skal støtte medlemsstaterne i oprettelse af nationale / statsligeCERT'er, således at Europa får et velfungerende net af CERT'er.ENISA skal bidrage til opmærksomhedsskabende aktiviteter omkring ud-bredelse af standarder for informationssikkerhed, god praksis og en risi-kostyringskultur.ENISA skal, i samarbejde med medlemsstaterne, tilrettelægge europæi-ske kampagner om informationssikkerhed for alle. Et vigtigt element vilvære afholdelse af nationale / europæiske konkurrencer inden for inter-netsikkerhed.ENISA skal analysere aktuelle og nye risici. Til dette formål bør agentu-ret i samarbejde med medlemsstaterne og statistiske organisationer ind-samle relevante oplysninger. Endvidere bør agenturet bistå medlemssta-terne og de europæiske institutioner og organer i deres bestræbelser på atindsamle og formidle data om informationssikkerhed.Agenturet blev oprindelig oprettet med det mål at sikre et højt og effektivt net- oginformationssikkerhedsniveau i EU. Erfaringerne fra driften af agenturet og dehidtidige udfordringer og trusler har gjort det tydeligt, at det er nødvendigt atajourføre agenturets mandat, så det svarer bedre til Den Europæiske Unions be-hov. Kommissionen har derfor med forslaget til den nye forordning ønsket atstyrke ENISA.Med den nye forordning vil ENISA få mandat til at udveksle erfaringer og gene-relle oplysninger med organer og agenturer, der er oprettet i henhold til EU-lovgivningen, og som beskæftiger sig med net- og informationssikkerhed.ENISA får således mulighed for at udføre ikke-operationelle opgaver i forbindel-se med net- og informationssikkerhedsaspekterne af retshåndhævelse og retligtsamarbejde i kampen mod internetkriminalitet. Desuden forventer Kommissio-nen, at ENISA vil fungere som et center for støtte til udvikling og gennemførelseaf net- og informationssikkerhedspolitikken særlig mht. privatlivsbeskyttelse i

IT- og Telestyrelsen

3
forbindelse med elektronisk kommunikation, e-signatur, e-id og standarder foroffentlige indkøb.For at agenturet kan opfylde de styrkede europæiske mål og takle de voksendeudfordringer, forventes der en gradvis forøgelse af agenturets økonomiske res-sourcer og personale i tidsrummet 2012 – 2016, uden at dette dog foregriber for-handlingerne om den kommende flerårige finansielle ramme for 2014 - 2020. Pågrundlag af Kommissionens forordningsforslag om en flerårig finansiel rammefor perioden efter 2013 og under hensyn til konklusionerne af konsekvensanaly-sen vil Kommissionen forelægge en ændret finansieringsoversigt på et seneretidspunkt.Agenturets opbygningOpbygningen af agenturet vil med forslaget til forordning være grundlæggendeidentisk med ENISA's nuværende opbygning. Der er dog et nyt element i den så-kaldte stående gruppe af interessenter, hvor repræsentanter for retshåndhævelse,privatlivets fred samt databeskyttelsesmyndigheder nu også skal indgå.Bestyrelsen fastlægger de overordnede retningslinjer for agenturets drift. Besty-relsen skal sikre, at agenturet arbejder i overensstemmelse med de regler og prin-cipper, der er fastsat i forordningen. Bestyrelsen består af en repræsentant forhver medlemsstat, tre repræsentanter udpeget af Kommissionen, samt tre repræ-sentanter uden stemmeret, som udnævnes af Kommissionen, som hver især re-præsenterer informations- og kommunikationsteknologiindustrien, forbrugerneog akademiske eksperter i informationssikkerhed.Agenturet skal ledes af den administrerende direktør, der er ansvarlig for dendaglige ledelse af agenturet.Bestyrelsen nedsætter den stående gruppe af interessenter på forslag fra den ad-ministrerende direktør, som består af eksperter, der repræsenterer relevante inte-ressenter såsom informations- og kommunikationsteknologi, forbrugergrupper,akademiske eksperter i informationssikkerhed, retshåndhævelse, privatlivets fredsamt databeskyttelsesmyndigheder. Gruppen ledes af den administrerende direk-tør. Gruppen skal rådgive agenturet i udførelsen af sine aktiviteter.3. Europa-Parlamentets udtalelserEuropa-Parlamentet har ikke udtalt sig om forslaget.4. NærhedsprincippetKommissionen vurderer, at forslaget er i overensstemmelse med nærhedsprincip-pet, da opretholdelse af europæisk informations- og netsikkerhed fordrer en fæl-les tilgang og ikke kan opnås af medlemsstaterne individuelt.Regeringen er på det foreliggende grundlag enig i Kommissionens vurdering ogfinder således, at nærhedsprincippet er overholdt.5. Gældende dansk retOmrådet er i dag ikke reguleret af dansk lov.4

IT- og Telestyrelsen

6. KonsekvenserEn vedtagelse af forslaget har ingen lovgivningsmæssige konsekvenser.Forslaget har ingen statsfinansielle konsekvenser eller administrative konsekven-ser udover indvirkningen på EU’s budget. Forlængelsen af ENISA til 2013 vil istore træk videreføre ENISA på det eksisterende niveau. Omkostninger eftermarts 2013 vil blive analyseret af Kommissionen i sammenhæng med andre om-kostninger til aktiviteter i 2013 og frem.Forslaget skønnes ikke at have væsentlige samfundsøkonomiske konsekvenser.Forslaget medfører ingen nævneværdige administrative konsekvenser for er-hvervslivet. En vedtagelse af forslaget skønnes ikke at berøre beskyttelsesniveau-et i Danmark.7. HøringNotatet vil blive sendt i høring i EU-specialudvalget for it og telekommunikation.8. Generelle forventninger til andre landes holdningerKommissionens forslag er indledningsvist blevet drøftet i Rådets arbejdsgruppefor informationssamfundet og telekommunikation. Kommissionens forslag erblevet budt velkommen, men drøftelserne har også vist nogen uenighed i forholdtil behovet for at forøge ENISA’s rolle.9. Regeringens foreløbige generelle holdningKommissionens forordning vurderes overordnet at være i overensstemmelse medregeringens prioriteringer på området og i overensstemmelse med planlagte ellerallerede iværksatte tiltag.Regeringen stiller sig positivt over for internationalt samarbejde med henblik påbeskyttelse af kritisk informationsinfrastruktur, og støtter derfor forordningen.Regeringen lægger endvidere vægt på, at ENISA's arbejde bliverså omkostningseffektivt som muligt. Regeringen vil prioritere, at ENISA's frem-tidige tiltag i videst muligt omfang bygger på eksisterende nationale og europæi-ske tiltag, herunder særligt det arbejde, der allerede pågår i forbindelse med EP-CIP-programmet. Ligeledes ønsker regeringen et tæt samarbejde med andre in-ternationale aktører, der også har igangsat en række initiativer for at dæmme opfor IKT-sårbarheder.Regeringen finder afslutningsvist, at spørgsmål om ENISA’s budget efter 2013vil skulle behandles i forbindelse med drøftelserne om de næste finansielle per-spektiver for 2014 - 2020.10. Tidligere forelæggelse for Folketingets EuropaudvalgForslaget har ikke tidligere været forelagt Folketingets Europaudvalg.

IT- og Telestyrelsen

5