Udvalget for Digitalisering og It 2022-23 (2. samling)
DIU Alm.del Bilag 97
Offentligt
2710502_0001.png
18. maj 2023
SAMLENOTAT
Forslag til EUROPA-PARLAMENTETS OG RÅDETS FORORDNING
om horisontale cybersikkerhedskrav til produkter med digitale elementer
og om ændring af forordning (EU) 2019/1020, KOM (2022) 454
Revideret notat – ændringer ift. samlenotat af 13. april 2023 er markeret
med streg i venstre margin.
1.
Resumé
Formålet med dagsordenspunktet på rådsmødet er at præsentere en frem-
skridtsrapport for forordningsforslaget om horisontale cybersikkerhedskrav
til produkter med digitale elementer. Danmark kan bakke op om fremskridts-
rapporten pga. udviklingen i forhandlingerne ang. bl.a. præcisering af krite-
rierne for kategorisering af kritiske produkter og klarlægning af anvendel-
sesområdet ift. produkter og løsninger fra offentlige myndigheder samt de,
som anvendt til militære og nationale sikkerhedsformål.
Forordningsforslaget fastsætter horisontale cybersikkerhedskrav for produ-
center og udviklere af produkter med digitale elementer med henblik på at
højne cybersikkerhedsniveauet på tværs af EU. Kravene skal gøre produkter,
der er forbundet til internettet, sikrere, og gøre producenter ansvarlige for
cybersikkerhed gennem hele produktets livscyklus. Forordningen skal også
forbedre forbrugernes adgang til information om cybersikkerhed.
I forslaget lægges der op til at fastsætte en række krav, der skal sikre et mi-
nimumsniveau for cybersikkerhed i produkter. Der er lagt op til at specificere
kravene yderligere gennem harmoniserede standarder, der skal udvikles i
samarbejde med industrien. Kommissionen har udarbejdet en liste over sær-
ligt kritiske produkter, der skal overensstemmelsesvurderes af en tredjepart,
før de kan sælges på det indre marked. Der lægges op til, at Kommissionen
får bemyndigelse til at specificere og opdatere denne liste.
Både erhvervsliv og medlemsstater har overordnet taget positivt imod for-
slaget. Det gælder særligt det høje ambitionsniveau, hvor forslaget dækker
produktområdet bredt. Der ses dog et behov for yderligere klarhed over for-
ordningens anvendelsesområde, fx i forhold til om digitale tjenester og pro-
cesser er omfattet.
1
DIU, Alm.del - 2022-23 (2. samling) - Bilag 97: Orientering om samlenotat om Cyber Resilience Act og Interoperable Europe Act samt drøftelse om fremtiden for telesektoren
2710502_0002.png
Forslaget kan medføre behov for ændring af gældende regler for tilsyn med
produktsikkerhed. Det vurderes, at forslaget vil medføre omkostninger for
virksomhederne og få statsfinansielle konsekvenser som følge af nye forplig-
telser for myndighederne.
Regeringen hilser forslaget og det høje ambitionsniveau velkomment. Kra-
vene bør finde en passende balance mellem et højt cybersikkerhedsniveau,
den digitale udvikling samt omkostninger for erhvervslivet.
Sagen forelægges til orientering.
2.
Baggrund
Europa-Kommissionen (Kommissionen) har den 15. september 2022
fremsat et forslag til en forordning om horisontale cybersikkerhedskrav til
produkter med digitale elementer
1
(herefter ’forslaget’). Forslaget har til
formål at fastsætte fælles krav til cybersikkerhed i alle produkter med di-
gitale elementer
2
(herefter ’produkter’) for at øge cybersikkerheden på
tværs af EU og styrke det indre markeds funktion.
Forslaget blev oversendt til Rådet i dansk sprogversion den 24. oktober
2022. Forslaget har retsgrundlag i artikel 114 TFEU, som indeholder be-
stemmelser om vedtagelse af foranstaltninger med henblik på at sikre det
indre markeds oprettelse og funktion. Forslaget behandles efter den almin-
delige beslutningsprocedure og vedtages med kvalificeret flertal i Rådet.
Kommissionen er i stigende grad blevet opmærksom på, at cybersikkerhe-
den i EU bør styrkes, og har i 2020 udarbejdet en strategi på området
3
.
Strategiens fokus er at sikre et globalt og åbent internet og samtidig be-
skytte borgernes sikkerhed, grundlæggende rettigheder og friheder. Der er
i de senere år igangsat en række tiltag herom, fx regulering af kritisk infra-
struktur, radioudstyr, certificering af cybersikkerhedsprodukter samt styr-
kelse af cybersikkerhed på tværs af Unionen.
Forslaget bunder i, at selvom brugen af produkter med digitale elementer
(inkl. software) er stærkt stigende, er cybersikkerheden i disse produkter
ofte lav eller ikke eksisterende. Det udgør en betydelig risiko, der overord-
net kan sammenfattes således:
1. Produkterne kan anvendes som springbræt til at få adgang til netværk,
som de er koblet på, og derved også til andre systemer, som er forbun-
det til disse netværk. Det kan fx være, at man får adgang til servere via
1
KOM (2022) 454 – EUROPA-PARLAMENTETS OG RÅDETS FORORDNING
om horisontale cybersikkerhedskrav til produkter med digitale elementer og om ændring
af forordning (EU) 2019/1020)
2
Defineret som: ethvert software- eller hardwareprodukt og dets fjerndatabehandlings-
løsninger, herunder software- eller hardwarekomponenter, der skal bringes i omsætning
separat
3
JOIN (2020) 18 – Final - EU's strategi for cybersikkerhed for det digitale årti
2
DIU, Alm.del - 2022-23 (2. samling) - Bilag 97: Orientering om samlenotat om Cyber Resilience Act og Interoperable Europe Act samt drøftelse om fremtiden for telesektoren
2710502_0003.png
et web-kamera, en mobiltelefon eller en robotstøvsuger, som er for-
bundet til det samme netværk.
2. Produkter, der er kompromitterede, kan i nogle tilfælde bruges til ko-
ordinerede storskalaangreb. Fx kan mange produkter sættes til samti-
digt at rette en datastrøm mod en bestemt modtager for at overbelaste
modtagerens system, der derved ikke kan fungere som tiltænkt. Det
kan fx være handelsplatforme, myndighedsportaler eller andre digitale
tjenester, der bliver gjort ubrugelige eller utilgængelige. Dette kaldes
”Distributed Denial of Service” -angreb (DDoS).
Disse risici øger omkostningerne for brugerne og samfundet og skyldes
ifølge Kommissionens undersøgelser primært:
1. Et lavt niveau af cybersikkerhedsforanstaltninger og utilstrækkelige
sikkerhedsopdateringer.
2. En utilstrækkelig forståelse for cybersikkerhed hos brugerne og hertil
utilstrækkelig adgang til information om cybersikkerhed i produkter,
som forhindrer brugerne i at vælge sikre produkter og bruge dem på
en sikker måde.
Kommissionens konsekvensanalyse viser, at 60 procent af alle sikkerheds-
brud i de kritiske sektorer såsom sundhed og telekommunikation skyldes
sårbarheder i hardware og software. En lignende andel af forbrugerpro-
dukter har kritiske sårbarheder. Vellykkede cyberangreb blev estimeret til
at koste ca. 41 milliarder danske kroner globalt i 2021
4
.
Der opdages ca. 20.000 nye digitale sårbarheder hvert eneste år. De kan
true sikkerheden i eksisterende produkter, da sårbarhederne ikke var kendt,
da produkterne blev lavet. Derfor ser Kommissionen et behov for, at regu-
leringen tager hånd om denne udfordring gennem produktets livscyklus.
Det betyder fx, at produktet løbende opdateres, når der findes nye sårbar-
heder.
Ifølge Kommissionen er der en række strukturelle forhold som gør, at ny
EU-regulering er særlig relevant på området:
Markedet efterspørger ikke aktivt cybersikkerhed, og leverandørerne
prioriterer det derfor ikke nødvendigvis. Dertil er der et vist pres mod
bunden, hvor det handler om at producere billigt og udvikle hurtigt
og ikke nødvendigvis gennemlyse alle de komponenter, et produkt
består af, med hensyn til cybersikkerhed.
Cybersikkerheden i produkter går på tværs af landegrænser, da pro-
dukter fremstillet i ét land ofte bruges i andre lande. Hændelser kan,
inden for få minutter, spredes over hele det indre marked.
Cybersikkerheden i de fleste hardware- og softwareprodukter er i
øjeblikket ikke omfattet af EU-lovgivning. Især behandler den nu-
værende EU-ret ikke cybersikkerheden af software, der ikke indgår
i et fysisk produkt, som fx computerspil og andre programmer. Det
4
Kilde: Europa-Kommissionens Fælles Forskningscenter (JRC), 2020: “Cybersecurity
Our Digital Anchor, a European perspective”,
s. 7.
3
DIU, Alm.del - 2022-23 (2. samling) - Bilag 97: Orientering om samlenotat om Cyber Resilience Act og Interoperable Europe Act samt drøftelse om fremtiden for telesektoren
2710502_0004.png
er selvom cybersikkerhedsangreb i stigende grad retter sig mod sår-
barheder i disse produkter, hvilket forårsager betydelige samfunds-
mæssige og økonomiske omkostninger.
Forordningen skal harmonisere EU's regler og undgå overlappende krav
på området for cybersikkerhed. Forordningen skal især supplere NIS2-di-
rektivet
5
, som for nylig blev vedtaget af Europa-Parlamentet og Rådet.
Radioudstyr vil også være dækket af forslaget. Indtil forordningen er for-
handlet færdig og træder i kraft, er radioudstyr reguleret af en delegerede
retsakt
6
under radioudstyrsdirektivet
7
om cybersikkerhed, der finder an-
vendelse fra 1. august 2024, og som vil blive ophævet efterfølgende. Det
er ligeledes blevet afklaret, at 5G-netværkskomponenter vil være dækket
af forslaget.
3.
Formål og indhold
Hovedformålene med forslaget er at øge cybersikkerheden i EU og for-
bedre det indre markeds funktion. Dette skal ske ved at:
strømline og supplere de eksisterende regler; og
forhindre yderligere fragmentering af cybersikkerhedskravene til pro-
dukter med digitale elementer gennem en horisontal forordning.
Dette skal overordnet opnås gennem horisontale krav til cybersikkerheden
i produkter og krav til, at producenter tager sikkerhed seriøst gennem hele
produktets livscyklus. Derudover skal der være de rette betingelser for, at
brugerne kan tage hensyn til cybersikkerhed, når de udvælger og bruger
produkter med digitale elementer.
I forslaget lægger Kommissionen op til at tage udgangspunkt i den såkaldte
’Ny Metode’
8
. Det betyder, at forordningen fastlægger nogle overordnede
krav, som efterfølgende skal detaljeres i en række harmoniserede standar-
der. Derved kan reguleringen holdes på et overordnet niveau og samtidig
bliver industrien involveret i udarbejdelsen af de detaljerede tekniske krav
igennem standardiseringsorganisationerne.
Produkter er som udgangspunkt alene underlagt producenternes egen eva-
luering af, hvorvidt de lever op til kravene. Kommissionen har dog udar-
5
2020/0359 (COD): Forslag om foranstaltninger til sikring af et højt fælles cybersikker-
hedsniveau i hele Unionen og om ophævelse af direktiv (EU) 2016/1148
6
2022/30/EU
7
2014/53/EU
8
New Legislative Framework: vedtaget i 2008, har til formål at forbedre det indre marked
for varer og styrke betingelserne for at bringe en bred vifte af produkter på EU-markedet.
Det er en pakke af foranstaltninger, der har til formål at forbedre markedsovervågningen
og øge kvaliteten af overensstemmelsesvurderinger. Det tydeliggør også brugen af CE-
mærkning og skaber en værktøjskasse med foranstaltninger til brug i produktlovgivnin-
gen. Den Ny Metode er også anvendt i andre igangværende forslag, fx i AI-forordningen
(2021/0106(COD)) og Maskinforordningen (2021/0105(COD)).
4
DIU, Alm.del - 2022-23 (2. samling) - Bilag 97: Orientering om samlenotat om Cyber Resilience Act og Interoperable Europe Act samt drøftelse om fremtiden for telesektoren
2710502_0005.png
bejdet en liste over produkter, der har en særlig kritisk karakter eller an-
vendelse, som vil være underlagt krav om at få foretaget en overensstem-
melsesvurdering udført af en autoriseret tredjepart. Det kan fx være rou-
tere. Forslaget dækker ikke produkter, som allerede er underlagt cybersik-
kerhedskrav i eksisterende sektorspecifikke EU-regler, fx medicinsk ud-
styr, luftfart og køretøjer. Forslaget dækker heller ikke produkter, der ude-
lukkende udvikles til nationale sikkerhedsformål eller militære formål, el-
ler produkter, der er specifikt designet til at behandle klassificerede oplys-
ninger.
Kapitel I: Almindelige bestemmelser
Forslaget fastsætter nogle væsentlige krav
9
til produkter med digitale ele-
menter, for at de må gøres tilgængelige på markedet i EU:
a) krav til design, udvikling og produktion og forpligtelser for producen-
ter, udviklere, importører og distributører med hensyn til cybersikker-
hed;
b) krav til de processer for håndtering af sårbarheder, som producenter
skal indføre for at sikre cybersikkerheden i produktets livscyklus; og
c) regler om markedsovervågning og håndhævelse.
Forslaget finder anvendelse på produkter med digitale elementer hvis an-
vendelse omfatter en dataforbindelse til en anden enhed eller et netværk.
Software er omfattet, også når det ikke indgår i et fysisk produkt. Tjenester
er som udgangspunkt ikke omfattet, men fjerndatabehandling
10
(fx cloud-
løsninger) er inkluderet, hvis de udgør en del af et omfattet produkt.
Forslaget etablerer specifikke procedurer for at foretage vurderinger af, om
’kritiske produkter’ lever op til reglerne. Kritiske produkter er fx antivi-
rusprogrammer. Kritiske produkter inddeles i klasse I og II, alt efter hvor
kritiske de er for cybersikkerheden. Klasse II anses som de mest kritiske
og omfatter bl.a. operativsystemer og firewalls til industriel brug. Produk-
terne klassificeres efter produktets betydning for cybersikkerheden gene-
relt, samt hvorvidt produktet indgår i kritiske sammenhænge, som fx de
samfundskritiske sektorer efter NIS-direktivet.
Kapitel II: Forpligtigelser for økonomiske aktører
Forslaget indeholder krav og forpligtelser for producenter, importører og
distributører, som er tilpasset i forhold til deres rolle og ansvar i forsy-
ningskæden. Produkter må kun gøres tilgængelige på markedet, hvis de
opfylder de væsentlige cybersikkerhedskrav, der er fastsat i forordningen,
forudsat at de er korrekt leveret, installeret og vedligeholdt og anvendes til
det tilsigtede formål eller på måder, som med rimelighed kan forudses.
Ifølge de ‘væsentlige krav’ skal producenterne tage højde for og udvise
den fornødne omhu i forhold til cybersikkerhed i forbindelse med design,
9
”essential requirements”, jf. bilag 1 til forordningen.
10
Defineret som: enhver databehandling på afstand, som softwaren er designet og udvik-
let til af fabrikanten eller under fabrikantens ansvar, hvis fravær ville forhindre produktet
med digitale elementer i at udføre en af sine funktioner
5
DIU, Alm.del - 2022-23 (2. samling) - Bilag 97: Orientering om samlenotat om Cyber Resilience Act og Interoperable Europe Act samt drøftelse om fremtiden for telesektoren
2710502_0006.png
udvikling og produktion af produkter med digitale elementer. Producen-
terne skal også sørge for sikkerhedsinformation til kunder og for sikker-
hedssupport (fx software-opdateringer) på en hensigtsmæssig måde samt
opfylde krav til håndtering af sårbarheder.
Forslaget stiller også forpligtelser til producenter om rapportering til EU’s
cybersikkerhedsagentur (ENISA) vedr. kendskab til aktivt udnyttede sår-
barheder eller hændelser, der indvirker sikkerheden i produkter med digi-
tale elementer. Rapportering skal ske senest 24 timer efter kendskab, hvor-
efter ENISA videresender rapporteringen til relevante CSIRT'er
11
. Forbru-
gere af produktet med digitale elementer skal ligeledes underrettes om
hændelsen, herunder også modtage information om mitigerende handlin-
ger de kan foretage
Kapitel III: Overensstemmelse af produkter med digitale elementer
Produkter, som er i overensstemmelse med harmoniserede standarder eller
fælles specifikationer for cybersikkerhed – der skal udvikles efterfølgende
på baggrund af forslaget – formodes at være i overensstemmelse med de
væsentlige krav i forordningen, uden at det kræver en overensstemmelses-
vurdering af en tredjepart.
Kommissionen kan vedtage fælles specifikationer ved hjælp af gennemfø-
relsesretsakter i tilfælde, hvor:
1. Der ikke findes harmoniserede standarder
2. Disse standarder er utilstrækkelige
3. Standarderne er unødigt forsinkede i standardiseringsproceduren,
eller
4. Kommissionens anmodning om udarbejdelse af standarder ikke er
blevet imødekommet af de europæiske standardiseringsorganisati-
oner.
Desuden formodes produkter at leve op til reglerne, hvis de er blevet cer-
tificeret, eller der er udstedt en EU-overensstemmelseserklæring eller at-
test i henhold til en europæisk cybersikkerhedscertificeringsordning
12
.
Certificeringsordningerne opfylder kun forslagets krav, hvis Kommissio-
nen har taget stilling til det i en gennemførelsesretsakt.
Producenten skal foretage en vurdering af, om produktet og producentens
proces for håndtering af sårbarheder er i overensstemmelse med reglerne.
Producenten skal følge en af de procedurer, der er fastsat i bilag VI. Pro-
ducenter af kritiske produkter i klasse II skal inddrage en tredjepart i deres
overensstemmelsesvurdering, mens produkter i klasse I kan undtages fra
dette krav, hvis de anvender harmoniserede standarder.
Kapitel IV: Notifikation af overensstemmelsesvurderingsorganer
11
Computer Security Incident Response Team
12
Jf. Cyber Security Act (CSA), forordning 2019/881/EU om ENISA (EUs Agentur for
Cybersikkerhed) og om cybersikkerhedscertificering af informations- og kommunikati-
onsteknologi.
6
DIU, Alm.del - 2022-23 (2. samling) - Bilag 97: Orientering om samlenotat om Cyber Resilience Act og Interoperable Europe Act samt drøftelse om fremtiden for telesektoren
2710502_0007.png
Forslaget indeholder en række krav til de nationale myndigheder med an-
svar for organer, som kan foretage overensstemmelsesvurderinger; de så-
kaldte bemyndigede organer
13
. Medlemsstaterne skal udpege en bemyndi-
gende myndighed, som er ansvarlig for at indføre og gennemføre de nød-
vendige procedurer for vurdering og notifikation af bemyndigede organer
samt overvågning af disse.
Kapitel V: Markedsovervågning og håndhævelse
I overensstemmelse med den gældende forordning for markedsovervåg-
ning og produktoverensstemmelse
14
skal de nationale markedsovervåg-
ningsmyndigheder udføre markedsovervågning i den pågældende med-
lemsstat. Medlemsstaterne kan vælge at udpege enhver eksisterende eller
ny myndighed som markedsovervågningsmyndighed, herunder eksiste-
rende nationale kompetente myndigheder under NIS2 eller udpegede nati-
onale cybersikkerhedscertificeringsmyndigheder efter artikel 58 i Cyber-
sikkerhedsforordningen
15
. Virksomhederne anmodes om at samarbejde
fuldt ud med markedsovervågningsmyndighederne og andre kompetente
myndigheder.
I tilfælde af manglende efterlevelse kan myndighederne:
1. Kræve, at producenten bringer overtrædelserne til ophør og elimine-
rer risikoen.
2. Forbyde eller begrænse adgangen til markedet for produkt
3. Beordre, at produktet trækkes tilbage fra markedet eller tilbagekaldes
fra kunderne.
Myndighederne skal samtidig kunne pålægge virksomheder, der ikke over-
holder reglerne, sanktioner.
Kapitel VI: Delegerede beføjelser og udvalgsprocedure
For at sikre, at lovgivningen kan tilpasses om nødvendigt, bemyndiges
Kommissionen til at vedtage
delegerede retsakter
16
til:
opdatering af listen over kritiske produkter i klasse I og II i bilag III
og præcisering af definitionerne af disse produkter;
præcisering af, om en begrænsning eller udelukkelse er nødvendig for
produkter, der er omfattet af anden EU-lovgivning, som stiller krav
om samme beskyttelsesniveau som dette forslag;
tildeling af mandat til certificering af visse meget kritiske produkter
med digitale elementer baseret på de kriterier, der er fastsat i forord-
ningen; og
præcisering af, hvad EU-overensstemmelseserklæringen som mini-
mum skal indeholde, og supplering af de elementer, der skal indgå i
den tekniske dokumentation.
13
I overensstemmelse afgørelse 768/2008/EF om fælles rammer for markedsføring af
produkter.
14
2019/1020/EU
15
Cyber Security Act, forordning 2019/881/EU
16
Jf. artikel 290 i Traktaten om Den Europæiske Unions Funktionsmåde (TEUF)
7
DIU, Alm.del - 2022-23 (2. samling) - Bilag 97: Orientering om samlenotat om Cyber Resilience Act og Interoperable Europe Act samt drøftelse om fremtiden for telesektoren
2710502_0008.png
Kommissionen tillægges desuden beføjelser til at vedtage
gennemførelses-
retsakter
med henblik på at:
præcisere formatet for eller typen af oplysninger i producenternes for-
pligtelse om rapportering af sårbarheder og udarbejdelse af en liste
over softwarekomponenter, der skal gives informationer om;
præcisere de europæiske cybersikkerhedscertificeringsordninger, der
kan anvendes til at påvise overensstemmelse med forordningens væ-
sentlige krav eller dele heraf;
vedtage ’fælles specifikationer’ i tilfælde af manglende standarder;
fastsætte tekniske specifikationer for CE-mærkningen; og
vedtage korrigerende eller restriktive foranstaltninger på EU-plan un-
der ekstraordinære omstændigheder, der berettiger et hurtigt indgreb
for at bevare et velfungerende indre marked.
Kapitel VII: Fortrolighed og sanktioner
Forslaget pålægger alle parter tavshedspligt omkring oplysninger og data,
der indhentes under udførelsen af deres opgaver og arbejde omfattet af for-
ordningen.
For at sikre en effektiv håndhævelse fastsætter forslaget, at markedsover-
vågningsmyndigheder skal have beføjelse til at pålægge eller anmode om,
at de nationale domstole pålægger bøder for overtrædelse af reglerne i for-
ordningen. På samme måde fastsætter forordningen maksimumsniveauer
for bøder.
Producenter kan således straffes med bøde, hvis de ikke opfylder forord-
ningens væsentlige cybersikkerhedskrav og forpligtelserne i artikel 10
(producentens forpligtelser) og 11 (rapporteringsforpligtelser). Bøderne
kan være på op til ca. 112 millioner danske kroner eller 2,5 procent af en
virksomheds samlede globale årsomsætning i det foregående regnskabsår,
alt efter hvilket beløb der er størst. Tilsvarende kan manglende overhol-
delse af andre forpligtelser straffes med bøde på op til ca. 75 millioner
danske kroner eller op til 2 procent af den samlede globale årsomsætning.
Ukorrekte, ufuldstændige eller vildledende oplysninger til bemyndigede
organer og markedsovervågningsmyndigheder som svar på en anmodning
kan straffes med bøder på op til ca. 37 millioner danske kroner eller op til
1 procent af den samlede globale årsomsætning.
I forslaget er der indsat mulighed for, at medlemsstaterne kan beslutte, om
og i hvilket omfang offentlige myndigheder skal kunne pålægges bøder.
Kapitel VIII: Transition og afsluttende bestemmelser
Forordningen vil finde anvendelse 24 måneder efter dens ikrafttrædelse,
med undtagelse af rapporteringspligten for producenter (artikel 11), som
ville gælde fra 12 måneder efter datoen for ikrafttrædelse.
4.
Europa-Parlamentets udtalelser
I Europa-Parlamentet har udvalget for industri, transport, forskning og energi
(ITRE) hovedansvaret for forslagets behandling. Udvalget for det indre
8
DIU, Alm.del - 2022-23 (2. samling) - Bilag 97: Orientering om samlenotat om Cyber Resilience Act og Interoperable Europe Act samt drøftelse om fremtiden for telesektoren
2710502_0009.png
marked og forbrugerbeskyttelse (IMCO) vil også behandle forslaget og ud-
arbejde en holdning, og er tildelt særkompetence på artikler for generel pro-
duktsikkerhed og maskinprodukter og delt kompetence inden for fri bevæge-
lighed, CE-mærkningsordningen samt notifikation af overensstemmelses-
vurderingsorganer.
Parlamentet har på nuværende tidspunkt ikke udarbejdet en holdning til for-
slaget. Det forventes, at ITRE-udvalget vil stemme om deres holdning den
19. juli, hvorefter en plenarafstemning i Parlamentet kan tænkes at ske efter
sommerferien – tidligst september 2023.
5.
Nærhedsprincippet
Kommissionen vurderer, at forslaget er i overensstemmelse med nærheds-
princippet.
Det er Kommissionens opfattelse, at den generelle grænseoverskridende
karakter af cybersikkerhed, de stigende risici og antallet af sikkerhedshæn-
delser, som har afsmittende virkninger på tværs af grænser, sektorer og
produkter, betyder, at målene for dette forslag ikke effektivt kan nås af
medlemsstaterne alene. Kommissionen vurderer desuden, at nationale til-
gange til at løse problemerne, og især tilgange, der indfører obligatoriske
krav, vil skabe yderligere juridisk usikkerhed og barrierer på det indre mar-
ked. Således mener Kommissionen, at handling på EU-plan er nødvendig
for at sikre en høj grad af tillid blandt brugerne. Endelig påpeger Kommis-
sionen, at forslaget også vil gavne det digitale indre marked og det indre
marked generelt ved at give retssikkerhed og lige vilkår for producenter af
produkter med digitale elementer.
Regeringen er samlet set enig i Kommissionens vurdering af, at forslaget
er i overensstemmelse med nærhedsprincippet.
6.
Gældende dansk ret
Gældende dansk produktlovgivning indeholder ikke regler, der direkte re-
gulerer cybersikkerhed. Det er på nuværende tidspunkt ikke klart, hvorle-
des forslaget er relateret til lovgivning såsom Lov om net- og informati-
onssikkerhed for domænenavnssystemer og visse digitale tjenester
17
, samt
GDPR
18
. Produktloven
19
indeholder generelle regler om, hvilke krav
mange produkter skal leve op til, før de gøres tilgængeligt på markedet.
Hertil kommer regler i mere sektorspecifik produktlovgivning. Reglerne
fra dette forslag vil supplere disse.
7.
17
18
Konsekvenser
Lov nr. 436 af 08/05/2018, der implementerer EU direktiv (EU) 2016/1148 (NIS)
EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2016/679 af 27.
april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personop-
lysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv
95/46/EF (generel forordning om databeskyttelse)
19
Lov nr. 799 af 9. juni 2020
9
DIU, Alm.del - 2022-23 (2. samling) - Bilag 97: Orientering om samlenotat om Cyber Resilience Act og Interoperable Europe Act samt drøftelse om fremtiden for telesektoren
2710502_0010.png
Lovgivningsmæssige konsekvenser
En ny forordning om horisontale krav til cybersikkerheden i produkter
med digitale elementer vil være direkte gældende i dansk ret. En vedta-
gelse af forslaget kan, afhængigt af hvilke(n) myndighed(er) der får ansva-
ret for reglerne, medføre behov for tilpasning af bestemmelser om kontrol-
beføjelser og sanktioner i eksisterende dansk lovgivning, som fx Produkt-
loven
19
. Det er endnu ikke besluttet, hvordan forslaget skal implementeres,
og hvordan myndighedsopgaverne skal fordeles.
Økonomiske konsekvenser
Statsfinansielle konsekvenser
Det forventes, at forslaget vil medføre statsfinansielle udgifter på mellem
60-100 mio. kr. i perioden 2024-2028 og herefter mellem 14-24 mio. kr. i
årlige udgifter. Det økonomiske skøn er med forbehold for væsentlige
usikkerheder, herunder reglernes endelige udformning samt evt. besparel-
ser ved synergier mellem myndighedsopgaver.
Omkostningerne kan omfatte:
1. oprettelse af nye myndigheder eller nye opgaver til eksisterende myn-
digheder, herunder kendskab til og oplæring i de nye krav;
2. Vejledning, kommunikation og analysekapacitet hos relevante myn-
digheder;
3. Markedsovervågning og tilsyn;
4. Udvikling af standarder og specificering af krav;
5. Efterlevelse af kravene for produkter udbudt af offentlige myndighe-
der.
På sigt kan der opstå omkostningsbesparelser takket være en horisontal
tilgang til cybersikkerhedskrav, så der fx ikke skal håndhæves efter flere
regelsæt parallelt for forskellige produkttyper eller sektorer. Det er under
forudsætning af, at der opereres med et begrænset antal standarder, der
udmønter de konkrete cybersikkerhedskrav.
Der kan ligeledes være løbende omkostninger i form af yderligere tilsyn
og håndhævelse af de nye krav, såfremt offentlige produkter eller tjenester,
der indgår i, anvendes af eller eksisterer i konkurrence med produkter fra
kommercielle aktører, er omfattet.
Kommissionen estimerer i sin konsekvensanalyse, at de sammenlagte år-
lige meromkostninger for tilsynsmyndighederne, vil beløbe sig til ca. 57
milliarder danske kroner i hele EU.
Det bemærkes, at afledte nationale udgifter som følge af EU-retsakter af-
holdes inden for de berørte ministeriers eksisterende bevillingsramme, jf.
budgetvejledningens bestemmelser herom.
Samfundsøkonomiske konsekvenser
Forslaget vurderes at kunne få både positive og negative samfundsøkono-
miske konsekvenser.
10
DIU, Alm.del - 2022-23 (2. samling) - Bilag 97: Orientering om samlenotat om Cyber Resilience Act og Interoperable Europe Act samt drøftelse om fremtiden for telesektoren
Det vurderes, at kravene vil være med til at løfte cybersikkerhedsniveauet
for produkter på det indre marked. Dette vil kunne medføre en reduktion
af cybersikkerhedshændelser og cyberkriminalitet, og dermed løfte cyber-
sikkerhedsniveauet på tværs af EU, herunder i Danmark. Det vil have po-
sitive økonomiske konsekvenser og tillige øge beskyttelsen af fundamen-
tale rettigheder, særligt for privatlivs- og databeskyttelsen. Forslaget vil
bidrage til at myndigheder, virksomheder og borgere er bedre beskyttet i
cyberspace.
Omvendt kan forslaget få negative samfundsøkonomiske konsekvenser,
såfremt de nye krav og forpligtelser for producenterne skaber uhensigts-
mæssige omkostninger, fx i form af høje overensstemmelsesvurderings-
omkostninger, overlap af forskellige standarder eller lange produktgod-
kendelsesprocesser. Det vil især have betydning for SMV’er og iværksæt-
tervirksomheder og kan i sidste ende påvirke udbuddet og prisen på de
omfattede produkter.
Erhvervsøkonomiske konsekvenser
Det forventes, at forslaget vil medføre økonomiske og administrative kon-
sekvenser for dansk erhvervsliv. Særligt må det forventes, at de nye pro-
duktkrav vil medføre øgede udgifter til design og produktion, samt løbende
vedligeholdelse og opdateringer som følge af livscyklustilgangen. Ligele-
des forventes krav til rapportering, uddybende brugerinformation og sær-
ligt overensstemmelsesvurderinger at bidrage til omkostninger.
Kommissionen estimerer i konsekvensanalysen, at de samlede omkostnin-
ger for overholdelse forventes at blive op til ca. 216 mia. danske kroner for
alle softwareudviklere og hardwareproducenter i EU. Kommissionen
skønner, at forslaget hovedsageligt vil betyde øgede omkostninger for
virksomheder, herunder producenter, distributører og importører, til pro-
duktudvikling gennem hele livscyklussen, informationsmateriale til slut-
brugere, overensstemmelsesvurderinger og rapporteringsforpligtelser.
Således estimerer Kommissionen, at udgifter til produktudvikling vil stige
med godt 30,5 procent. Det anslås dog, at ca. 50 procent af producenterne
allerede lever op til minimumskravene og derfor vil opleve mindre eller
ingen merudgifter. Udgifter til dokumentation og rapportering forventes at
stige med ca. 9 procent. De overensstemmelsesvurderinger, som produ-
centerne selv skal foretage, forventes at koste ca. 137.000 danske kroner
for det gennemsnitlige produkt med et digitalt element, og tredjepartsvur-
deringer for kritiske produkter ca. 186.000 danske kroner. Sidstnævnte vil
ifølge Kommissionens vurdering alene udgøre ca. 10 procent af alle om-
fattede produkter.
Omvendt skønnes det også, at erhvervslivet vil nyde godt af et højere cy-
bersikkerhedsniveau med færre sikkerhedshændelser og dertil hørende tab
af omsætning og omdømme. I Kommissionens konsekvensanalyse anslås
det, at forordningen kan reducere cybersikkerhedshændelser med 20-30
procent, hvilket svarer til ca. 1.300-2.000 milliarder danske kroner i årlige
tab. Ligeledes forventes horisontale regler på tværs af EU at lette visse
11
DIU, Alm.del - 2022-23 (2. samling) - Bilag 97: Orientering om samlenotat om Cyber Resilience Act og Interoperable Europe Act samt drøftelse om fremtiden for telesektoren
2710502_0012.png
byrder, som følge af anden lovgivning, herunder fx NIS2. Desuden kan det
være med til at lette adgangen til det indre marked og udjævne konkurren-
cefordele mellem store og små virksomheder. Det skyldes bl.a., at det på
nuværende tidspunkt i højere grad er store virksomheder, som har råd og
mulighed for at sikre sig mod og modvirke skader fra cybersikkerheds-
hændelser.
Med afsæt i Kommissionens estimater har Erhvervsstyrelsen udført en ind-
ledende estimering af de forventede administrative omkostninger for dan-
ske producenter af produkter med digitale elementer. Erhvervsstyrelsens
foreløbige skøn er, at forslaget vil medføre administrative omstillingsom-
kostninger på ca. 1 milliarder danske kroner og løbende administrative om-
kostninger på ca. 175 millioner danske kroner om året. Beregningen skal
dog tages med flere betydelige forbehold. For det første er de estimerede
omkostninger baseret på en antagelse om, at danske virksomheder vil af-
holde samme omkostninger til at efterleve reglerne som andre europæiske
virksomheder. Dernæst antages det i Kommissionens beregninger, som Er-
hvervsstyrelsens skøn bygger på, at enhver omfattet producent vil lancere
ét produkt med digitale elementer årligt, hvilket formentlig resulterer i en
underestimering af de forventede administrative omkostninger. Afslut-
ningsvis omfatter beregningerne ikke distributører og importører, som
også kan forventes at opleve øgede administrative omkostninger.
Andre konsekvenser og beskyttelsesniveauet
Det forventes, at forslaget vil øge cybersikkerheden i Danmark, til gavn
for både virksomheder og forbrugere, men også for den nationale sikker-
hed De horisontale cybersikkerhedskrav forventes at mindske antallet af
sårbarheder og angrebsflader, og dermed også mindske antallet af hændel-
ser i produkter med digitale elementer, der placeres på det indre marked,
igennem hele deres livscyklus. Cybersikkerhedslovgivning der sætter krav
til alle produkter med digitale elementer vil derfor bidrage til at myndig-
heder, virksomheder og borgere er bedre beskyttet i cyberspace.
Forslaget forventes derudover at forbedre beskyttelsen af grundlæggende
rettigheder og friheder såsom privatlivets fred, beskyttelse af personoplys-
ninger eller personlig værdighed og integritet. Således forventes det, at ho-
risontale cybersikkerhedskrav vil bidrage til sikkerheden af personoplys-
ninger ved at beskytte fortroligheden, integriteten og tilgængeligheden af
oplysninger i produkter med digitale elementer.
8.
Høring
Forslaget har været sendt i høring i EU-specialudvalget for konkurrence-
evne, vækst og forbrugerspørgsmål med frist for bemærkninger den 14.
oktober 2022. Der er indkommet høringssvar fra Dansk Erhverv, Dansk
Industri, Landbrug & Fødevarer, Forsikring & Pension, Finans Danmark
og Forbrugerrådet Tænk.
Generelle bemærkninger
12
DIU, Alm.del - 2022-23 (2. samling) - Bilag 97: Orientering om samlenotat om Cyber Resilience Act og Interoperable Europe Act samt drøftelse om fremtiden for telesektoren
2710502_0013.png
Dansk Erhverv (DE)
støtter som udgangspunkt fælleseuropæiske tiltag,
der sikrer høje standarder for kvalitet i europæiske produkter, hvilket er
med til at øge efterspørgslen på europæiske produkter og skabe en konkur-
rencefordel. Dog ser DE også, at de ekstra omkostninger forbundet med
sikkerhedskravene kan få priserne på europæiske digitale produkter til at
stige i et omfang, der skader mulighederne for at eksportere udenfor EU.
Dansk Industri (DI)
ser behovet for at styrke cybersikkerheden af pro-
dukter, og bakker op om horisontal lovgivning baseret på Ny Metode prin-
cipperne, som er kendt for virksomhederne. DI sætter pris på, at Kommis-
sionen med sit forslag i høj grad har lyttet til industriens ønsker, og er der-
for overordnet positivt stemt overfor forslaget. Samtidig ses behov for at
tilpasse forslaget, så det bliver mere klart, hvad, hvilke virksomheder skal,
hvornår og hvordan. DI pointerer, at forslaget vil kræve meget af virksom-
hederne, der f.eks. som noget nyt, skal forholde sig til livcyklusperspekti-
vet, og software som et selvstændigt produkt.
DI sætter endvidere pris på, at forslaget forholder sig til det kludetæppe af
lovforslag, der regulerer produkters cybersikkerhed, og tillægger det stor
betydning, at det samme produkt kun omfattes af et regelsæt ift. cybersik-
kerhed. Samtidig ses det, at den løsning, som forslaget opstiller, er kom-
pliceret og sårbar i forhold til ændringer, der kan ske under forhandling af
denne og anden lovgivning. DI opfordrer derfor regeringen til at have fo-
kus på, at intentionen om én lovgivning opretholdes under forhandlin-
gerne. DI er særligt glade for, at forslaget lægger op til, at den delegerede
retsakt under radioudstyrsdirektivet kan trækkes tilbage, når forordningen
finder anvendelse.
Landbrug & Fødevarer (L&F)
bemærker, at forslaget har stor opmærk-
somhed i fødevareklyngen og agroindustrien. Man anser det overordnet
for positivt at rydde op i kludetæppet af regler på cyberområdet og forhå-
bentligt dække nogle lovgivningshuller til anden lovgivning såsom ma-
skindirektivet
20
og radioudstyrsdirektivet
21
. Yderligere fleksibilitet ift.
imødekommelse af en mulig implementeringsfrist i 2026 efterlyses for at
reducere industriens udgifter ikke mindst i brancher med mindre produkt-
volumen som fx agroindustrien.
Forsikring & Pension (F&P)
glæder sig over ambitionen om at hæve ni-
veauet af cybersikkerhed i EU via nye fælles cybersikkerhedsstandarder,
der ses som et vigtigt skridt i den rigtige retning. F&P påpeger dog, at
forsikringsbranchens brug af digitale produkter vil blive styret af DORA
22
,
og at sektoren derfor ikke bør være omfattet af forordningens krav. Af hen-
syn til de mange EU-lovgivningsinitiativer på området, mener F&P, at det
er vigtigt, at der sikres en ensartethed i retsakterne, særligt ift. begrebsde-
finitioner og anvendelsen af disse. F&P påpeger, at forsikringsbranchen
helt konkret bidrager til sikkerheden i digitale produkter ved at tilbyde for-
sikringsdækning. Det er dog en forudsætning, at brugeren/virksomheden
20
Forslag til forordning om maskinprodukter, 2021/0105(COD)
21
Direktiv 2014/53/EU
22
Digital Operational Resilience Act, 2020/0266(COD)
13
DIU, Alm.del - 2022-23 (2. samling) - Bilag 97: Orientering om samlenotat om Cyber Resilience Act og Interoperable Europe Act samt drøftelse om fremtiden for telesektoren
2710502_0014.png
kan påvise, at vedkommende har sikret de digitale produkter. Det er desu-
den vigtigt, at brugeren har iværksat en række tiltag, så risiko for cyberan-
greb reduceres.
Finans Danmark (FIDA)
ser positivt på ambitionerne i forslaget. FIDA
ser et stigende behov for at udbrede kravene til beskyttelse af stadigt mere
netværksforbundne miljøer mod cybersikkerhedshændelser, og særligt på
de områder, der involverer hele forsyningskæder. Det anses som nødven-
digt, at der etableres konkrete implementeringsforventninger for it-sikker-
heden for de produkter – og indlejrede systemer – der introduceres på mar-
kedet af hardwarefabrikanter, softwareudviklere, distributører og importø-
rer (fra tredjelande). Ambitionen med forordningen, både politisk og øko-
nomisk, bør ifølge FIDA være at realisere et "globalt benchmark" på dette
område.
Forbrugerrådet Tænk (TÆNK)
ser overordnet meget positivt på forsla-
get, der kan være med til at sikre, at produkter med digitale elementer, som
forbrugere køber, har et højt niveau af sikkerhed. Dog ses der også proble-
matiske aspekter af forslaget, herunder produkters levetid og risikoklassi-
ficeringen samt forbrugeres klageadgang. TÆNK mener, at disse aspekter
bør søges ændret, så forbrugernes retsstilling sikres og forbrugertilliden til
produkter med digitale elementer ikke risikerer at blive forringet.
Specifikke bemærkninger
Anvendelsesområde
DE
er betænkelige ved at omfatte så mange meget forskellige produktty-
per, bl.a. af hensyn til de begrænsede erfaringer med CE-mærkning af soft-
ware, og finder det ikke helt klart, hvad der er inkluderet – særligt ift. Soft-
ware-as-a-Service (SaaS). Derfor mener DE, at det bør overvejes at be-
grænse forslagets anvendelsesområde til IoT-enheder i første omgang, el-
ler som minimum gøre lovteksten mere klar ift. de forskellige typer af di-
gitale produkter, der findes på markedet.
DI
påpeger, at forslaget etablerer en ny kategori af produkter med digitale
elementer, der ikke tidligere har været defineret, hvorfor det er vigtigt at
forholde sig til, hvad definitionerne dækker over, og hvordan de spiller
sammen. DI ser også, at anvendelsesområdet er meget bredt, men anerken-
der vigtigheden af at regulere software og produkter gennem hele deres
livscyklus. Dette skal dog ifølge DI tilpasses Ny Metode bedst muligt. DI
sætter pris på, at forslaget undtager software som tjenesteydelse, hvilket
man mener ville have gjort det umuligt at udvikle de nødvendige under-
læggende harmoniserede standarder, indenfor rimelig tid. Samtidig er DI
enige i Kommissionen vurdering af, at kravene i NIS2 tager højde for de
største udfordringer, når det gælder tjenesteydelser.
Definitioner
F&P
finder det væsentligt, at definitionerne af nøglebegreber er de samme
på tværs af den europæiske lovgivning. F.eks. introduceres med AI forord-
ningen begreber såsom “developer”, “deployer”, “user”, “operator” og
“provider”, som også har betydning i relation til forslaget, hvorfor brugen
14
DIU, Alm.del - 2022-23 (2. samling) - Bilag 97: Orientering om samlenotat om Cyber Resilience Act og Interoperable Europe Act samt drøftelse om fremtiden for telesektoren
2710502_0015.png
af begreberne må strømlines på tværs af retsakterne for at undgå unødig
kompleksitet og modsætninger i den samlede lovgivning.
DE
mener, at det skal sikres, at der ikke er forskelle i definitionerne mel-
lem de forskellige reguleringer, herunder de definitioner af “produkter”,
“software”, “IoT” mv., der blandt andet findes i produktsikkerhedslovgiv-
ningen (NLF samt GPSR), produktansvarslovgivningen (den kommende
revision af produktansvarsdirektivet) samt IPR-lovgivningen.
Økonomiske aktørers forpligtelser
TÆNK
henviser til, at forslaget tidsbegrænser en fabrikants forpligtel-
serne til et produkts levetid eller i op til 5 år, afhængigt af hvad der er
kortest. Det påpeges, at en lang række produkter med digitale elementer,
som fx nyere vaskemaskiner, har en levetid på mere end 5 år. Man ser det
som uhensigtsmæssigt og ude af trit med den grønne omstilling, at brugere
risikere efter 5 år ikke længere at have et sikkert produkt. TÆNK foreslår,
at ordlyden ændres, så fabrikanter forpligtes til at sikre produkter (inkl.
sikkerhedsopdateringer) i hele deres levetid og mindst 5 år – afhængigt af,
hvad det længst. Endvidere mener man, at det skal sikres, at sikkerhedsop-
dateringerne er forståelige og brugervenlige, da målet med forslaget ellers
ikke vil blive opnået i praksis.
Produktkrav
DE
mener, at listen med krav til digitale produkter er for generisk formu-
leret (fx ”secure
by default configuration”)
og i høj grad åben for fortolk-
ning. Man ser det for mere hensigtsmæssigt at formulere mere konkrete
krav til forskellige produkttyper. Ligeledes bør kravet om sikringen i hele
produktets
livscyklus
konkretiseres, da forskellige typer af digitale produk-
ter har forskellig levetid, og krav til fx tilgængelighed af sikkerhedsopda-
teringer og support således afhænger af produkttypen. DE er også bekym-
rede for konsekvenserne af forslagets krav, særligt for SMV’er og startups,
hvor det er vigtigt, at kunne udvikle og afprøve et produkt i tidligt stadie
for se, om det er kommercielt bæredygtigt. Ekstra omkostninger i den ind-
ledende udvikling og eventuelle ventetider for at få produkter godkendt
kan være en barriere for innovation og iværksætteri, og bør derfor adres-
seres i lovbehandlingen.
DI
finder det positivt, at forslaget definerer et fælles minimumsniveau for
produkters cybersikkerhed, der kan bygges oven på med speciallovgiv-
ning. Desuden er det positivt, at kravene bygger på og supplerer krav, der
bliver gældende under den delegerede retsakt under radioudstyrsdirektivet,
som vil gøre det lettere at implementere reglerne i virksomhederne. Lige-
ledes ses produktkravene som udgangspunkt relevante, dog med behov for
præciseringer. Størst udfordringer ser DI’s medlemmer umiddelbart ift.
kravene i bilag I, del 1, pkt. 2 og 3e. De er positive over for ”dataminime-
ring”
(pkt. 3e), men i tvivl om, hvad kravet betyder i praksis i forhold til,
hvem der skal gøre hvad. Samtidig bør kravet sammentænkes med kravene
til datadeling i dataforordningen. Når det gælder kravet om kun at levere
produkter uden ”udnyttelige
sårbarheder”
(pkt. 2) hæfter de sig ved, at det
ikke er muligt i praksis, hvis man løbende skal beholde sine produkter på
markedet. Det tager tid at udvikle de opdateringer, der skal til, når der
15
DIU, Alm.del - 2022-23 (2. samling) - Bilag 97: Orientering om samlenotat om Cyber Resilience Act og Interoperable Europe Act samt drøftelse om fremtiden for telesektoren
f.eks. identificeres sårbarheder i software. For at vide om kravene fungerer
i praksis er der behov for udvikling af ”use cases” både generelt, og for
software i særdeleshed.
DI bakker op om proceskrav ved håndtering af sårbarheder (bilag I, del 2),
hvor der dog bør tages højde for de risici, der er forbundet med at infor-
mere om sårbarheder (hackerangreb), så f.eks. bør krav om information
”uden
ophold”
modificeres. Offentliggørelse af hvordan sårbarheder er
blevet håndteret anses desuden som en konkurrenceparameter, der kan
blive kompromitteret. I relation til Ny Metode ser DI også behov for præ-
cisering af, hvordan livscykluskravene håndhæves, da det er nyt i en pro-
duktsammenhæng. Desuden kræver efterlevelse af kravene, at man holder
sig orienteret om sårbarheder, hvorfor DI mener, at dette måske også burde
være et krav. Også når det gælder krav om information og brugsvejledning
(bilag II) er der brug for præciseringer og ”use cases”, ligesom der er behov
for et eftersyn i forhold til Ny Metode-principperne. Samtidig bør det sik-
res, at ”software bill of materials” beskyttes mod misbrug, og den bør som
udgangspunkt sidestilles med teknisk dokumentation i anden produktlov-
givning, og kun udleveres på foranledning af markedsovervågningsmyn-
digheden.
Endelig er DI enig i, at notifikationer kan være relevante, men er samtidig
optaget af, at de bliver rimelige og udviklet på en sådan måde, at de også
tager højde for de notifikationer, der skal foretages i henhold til NIS2. Det
hænger sammen med, at mange af de samme produkter også reguleres på
”enheds” niveau under NIS2. Som det ser ud i forslaget skal notifikatio-
nerne foretages til forskellige aktører med forskellige tidsfrister. DI stiller
desuden spørgsmålstegn ved, om ENISA vil være den rette til at varetage
opgaven vedrørende produkterne, når det ikke er tilfældet for ”enhederne”
under NIS2.
FIDA
anfører, at der skal skabes gennemsigtighed for, at et digitalt pro-
dukt overholder et fastlagt cybersikkerhedsniveau. Dette vil stille krav til
udformning af formelle/standardiserede produktblade for hvert digitalt
produkt eller tjeneste. FIDA mener, at det som minimum bør beskrive de
foranstaltninger, der skal være implementeret for at bidrage til et tilfreds-
stillende og sammenligneligt niveau af cyberrobusthed.
Standarder, certificering og produktkategorisering
DE
mener, at Kommissionens mulighed for at anvende delegerede retsak-
ter til at udvide listen i bilag III, skaber unødvendig usikkerhed for fabri-
kanter af digitale produkter, og at de omfattede produktkategorier derfor
bør bestemmes endeligt i selve lovbehandlingen.
DI
finder det positivt, at Kommissionen bakker op om brug af modul A
(selvevaluering) ved overensstemmelsesvurdering, der vil sikre mere ka-
pacitet hos 3. partscertificeringsudbydere til de virksomheder, der ikke har
den fornødne modenhed til at foretage vurderingerne selv. Man har dog
svært ved at gennemskue, hvorfor specifikke produkter er kategoriseret
som kritiske, og de kriterier, der ligger bag. DI bemærker, at betingelserne
16
DIU, Alm.del - 2022-23 (2. samling) - Bilag 97: Orientering om samlenotat om Cyber Resilience Act og Interoperable Europe Act samt drøftelse om fremtiden for telesektoren
i artikel 6 er meget forskelligartede og giver anledning til et stort manøv-
rerum for Kommissionen. DI så gerne, at betingelserne blev skærpet, og
det blev tydeligere hvordan den risikobaserede tilgang er tænkt.
DI ser med bekymring på, at produktkategorierne først skal defineres et år
efter, forordningen træder i kraft, og et år før den finder anvendelse. DI
opfordrer til en proces, der minder om den, man har haft ved forhandling
af maskinforordningen, hvor listerne med kritiske produkter som udgangs-
punkt er så korte som muligt, og løbende kan udvikles hvis det er nødven-
digt ud fra mere restriktive krav. DI er fx uforstående overfor, hvorfor IoT-
industriapplikationer altid er kritiske. Ofte har fabrikanten ikke et overblik
over, hvor deres produkter ender, og det samme produkt kan have både
privat og industriel anvendelse. DI stiller også spørgsmålstegn ved, at ro-
botter betegnes som kritiske i kategori II. Endelig ses der behov for præci-
seringer, fx af at kategoriseringen kun relaterer sig til cybersikkerhedsrisici
i forbindelse med overvågningsudstyr. Det samme gør sig gældende for
produkter, der består af komponenter, der tilhører en højere kategori end
slutproduktet.
DI er tillige bekymrede over de mulige konsekvenser af, at hhv. harmoni-
serede standarder, tekniske specifikationer og certificeringsordninger un-
der ENISA, sidestilles. Dette kan underminere tilliden til det etablerede
standardiseringssystem og medføre udvikling af tekniske specifikationer i
ikke transparente, ikke inklusive, og ikke demokratiske processer, og risi-
kerer at resultere i standarder, der ikke tager højde for international state-
of-the art. DI finder derfor, at Kommissionens mulighed fro at udvikle tek-
niske specifikationer bør begrænses mest muligt, og der bør stilles proces-
krav hertil, ligesom der bør tages stilling til, hvilke typer af forsinkelser i
standardiseringssystemet, der kan begrunde udvikling af tekniske specifi-
kationer. DI opfordrer regeringen til at lægge pres på Kommissionen i for-
hold til at udvikle principper for tekniske specifikationer, der ensrettes på
tværs af lovområder, der tager ovenstående i betragtning. Parallelt hermed
ser DI, at der bør arbejdes på at forbedre transparens og inklusion ved ud-
vikling af certificeringsordninger under ENISA.
DI har også bekymringer i forhold til, om det er muligt, at nå at udvikle de
nødvendige standarder i forhold til, hvornår loven finder anvendelse, og
opfordrer til, at man allerede nu igangsætter arbejde, der forholder sig til
hvordan et mandat, der sikrer hurtigst mulig udvikling af standarder, kunne
skrues sammen.
FIDA
fremfører, at der skal skabes de nødvendige standardiserede vurde-
ringskriterier og effektiviteten af de implementerede sikkerhedsforanstalt-
ninger. FIDA ser, at sådanne vurderinger skal fastlægges i forhold til den
enkelte produktkategori.
TÆNK
finder det uhensigtsmæssigt, at nogle af de produkter, der fremgår
af bilag III, klasse II, som særligt kritiske, er gjort industrispecifikke – fx
firewalls, routers, modems m.fl. Man henviser til, at mange cybersikker-
hedsproblemer ved sådanne produkter også gør sig gældende ved privat
brug, hvorfor de også bør underkastes 3. partsevaluering af cybersikker-
hedselementerne, når det bruges privat. Specifikt foreslår TÆNK, at ordet
17
DIU, Alm.del - 2022-23 (2. samling) - Bilag 97: Orientering om samlenotat om Cyber Resilience Act og Interoperable Europe Act samt drøftelse om fremtiden for telesektoren
”industrial” slettes fra klasse I og II, og der i klasse II (15) tilføjes ”and
smart home devices”.
FIDA
påpeger, at en overvejende del af digitale forbrugerprodukter i dag
fremstilles uden for EU. Således ser FIDA mulighed for at øge ambitions-
niveauet og gøre forordningen mere virkningsfuld, ved at stille krav om,
at alle leverandører, også leverandører fra tredjelande, som ikke kan doku-
mentere, at de opfylder EU’s minimumskrav for den pågældende produkt-
kategori, ikke kan få tilladelse til at sælge deres produkter i denne kategori
i EU.
Tilsyn, håndhævelse, og sanktioner
DI
finder det positivt, at forslaget lægger op til, at cybersikkerhed skal
falde ind under markedsovervågningsforordningen. Samtidig hæfter DI sig
ved de potentielt væsentligt højere bødestørrelser, og sætter spørgsmåls-
tegn ved rimeligheden, særligt når det gælder krav, der ikke direkte relate-
rer sig til cybersikkerhed. Ydermere påpeger DI, at mange af produkterne
er integreret i vigtige og væsentlige enheder under NIS2, så de også kan
sanktioneres i den sammenhæng. Det bør sikres, at man ikke kan pålægges
flere sanktioner for samme forseelse.
DI ser, at der, hvis intentionerne i forslaget skal kunne gennemføres i prak-
sis, er behov for kapacitets-opbygning hos markedsovervågningsmyndig-
hederne og de bemyndigede organer. DI opfordrer derfor de relevante
myndigheder til at bidrage til arbejdet med udvikling af standarder under
radioudstyrsdirektivet og stillingtagen til kommende mandat for standar-
der under dette lovforslag. Samtidig er det vigtigt at udvikle en model,
hvor håndhævelse af NIS2 og produktlovgivningen spiller sammen, så de
eksisterende ressourcer udnyttes bedst muligt, og der sikres størst mulig
kvalitet i arbejdet.
TÆNK
savner et krav om, at virksomheder, der bringer produkter med
digitale elementer på markedet, skal forpligtes til at have effektive og fyl-
destgørende interne klagehåndteringsmekanismer. Forbrugere skal således
sikres mulighed for at klage over et produkt, sideløbende med at markeds-
overvågningsmyndigheden fører tilsyn med produkterne, ligesom forbru-
gerne skal have adgang til at klage over den beslutning, som myndigheden
har truffet. Sådanne klagesager skal tillige kunne efterprøves ved admini-
strative organer og domstole.
9.
Generelle forventninger til andre landes holdninger
Forslaget er generelt blevet velmodtaget i Rådet, men der er også blevet
stillet en række spørgsmål til bl.a. anvendelsesområdet, samspillet med an-
den lovgivning samt det mandat EU’s cybersikkerhedsagentur ENISA til-
deles med forordningen.
I forhandlingerne i Rådet er der sket en række ændringer i forslaget. Fx har
man arbejdet med definitionerne og anvendelsesområdet, så det står mere
klart, hvilke produkter og tjenester, der er omfattet. Herunder er der forsøgt
at klargøre hvornår produkter og tjenester, der ikke er udbudt på et kon-
kurrencepræget marked, som fx fra offentlige myndigheder eller open-
18
DIU, Alm.del - 2022-23 (2. samling) - Bilag 97: Orientering om samlenotat om Cyber Resilience Act og Interoperable Europe Act samt drøftelse om fremtiden for telesektoren
2710502_0019.png
source, er omfattet. Der er også arbejdet på at præcisere listen i bilag 3 med
særligt kritiske produkter, samt kriterierne for klassificering af disse og
procedurer for overensstemmelsesvurderinger.
Man har også søgt at tilpasse forslaget anden til lovgivning for at skabe
klarhed over, hvilke regler der gælder, og hvordan man håndterer eventu-
elle overlap. Således er det bl.a. nu præciseret, om overholdelse af cyber-
sikkerhedskrav i anden lovgivning – som fx forordningerne om hhv. elek-
tronisk eID og tillidstjenester (eIDAS), generel produktsikkerhed samt
kunstig intelligens – giver formodning for overensstemmelse med forsla-
gets regler. På samme måde er reglerne om rapportering af sikkerhedsbrud
strømlinet med NIS2-direktivet. Dette kan give besparelser og udnytte sy-
nergier og eksisterende viden, og bevarer kendte processer for myndighe-
der og erhvervsliv. Der er ligeledes arbejdet på at præcisere, hvornår det
nationalt er muligt at stille flere krav til brugen af produkter med digitale
elementer, end de krav der fremgår af forslaget, herunder ift. brug for mi-
litære, forsvars eller nationale sikkerhedsformål.
Fra dansk perspektiv har Rådets tekst bevæget sig i den rigtige retning.
Blandt andet er den øgede klarhed og præcision i teksten med til at sikre,
at det er mere forudsigeligt hvilke produkter og tjenester, der er omfattet,
og hvordan reglerne spiller sammen med anden lovgivning.
Det svenske EU-formandskab vil fremsætte en fremskridtsrapport forud
for Rådsmødet for telekommunikation den 2. juni 2023.
10.
Regeringens generelle holdning
Regeringen ser overordnet, at Danmark kan bakke op om fremskridtsrap-
porten pga. udviklingen i forhandlingerne angående bl.a. præcisering af
kriterierne for kategorisering af kritiske produkter og klarlægning af an-
vendelsesområdet ift. produkter og løsninger fra offentlige myndigheder
samt de som anvendt til militære og nationale sikkerhedsformål.
Regeringen ser overordnet positivt på forslaget om at skabe et minimums-
niveau for cybersikkerhed i produkter med digitale elementer og software
via horisontal EU-lovgivning. Regeringen er enig med Kommissionen i, at
der i høj grad er brug for sådanne regler for at imødegå cybertruslen.
Regeringen hilser ligeledes det høje ambitionsniveau velkommen, om end
man dog gerne så, at anvendelsesområdet blev klarere og endnu bredere.
Således så regeringen gerne, at digitale processer og kommercielle tjene-
ster var omfattet i forslaget, da sårbarheder i forhold til cybersikkerhed i
højere og højere grad udnyttes gennem disse, men også for at forslaget kan
omfavne udviklingen på området, og dermed bliver fremstidssikkert.
Regeringen synes, at reglerne bør finde en passende balance mellem et højt
beskyttelsesniveau, den digitale udvikling samt omkostninger for erhvervs-
livet.
19
DIU, Alm.del - 2022-23 (2. samling) - Bilag 97: Orientering om samlenotat om Cyber Resilience Act og Interoperable Europe Act samt drøftelse om fremtiden for telesektoren
Regeringen vil arbejde for, at der stilles balancerede krav ud fra en risiko-
baseret tilgang, så kravene står mål med de ønskede effekter.
Regeringen finder det vigtigt, at centrale begreber i forslaget afklares. Der
er behov for yderligere at præcisere afgrænsningen af produkter, der und-
tages for forordningens anvendelsesområde, herunder for så vidt angår
motorkøretøjer samt offentlige produkter/tjenester, som indgår i, anvendes
af eller eksisterer i konkurrence med produkter fra kommercielle aktører.
Ligeledes mener regeringen, at Kommissionens beføjelser til at udstede
delegerede retsakter skal afgrænses.
Regeringen er tilfreds med, at forordningen er bygget op efter Ny Metode,
idet der fastsættes væsentlige krav i forordningen, som skal udmøntes tek-
nisk via harmoniserede standarder i samarbejde med industrien. Det er vig-
tigt, at Kommissionens bemyndigelse til at udstede tekniske specifikatio-
ner afgrænses til tilfælde, hvor der ikke er en standard. Det skal samtidigt
være tydeligt, at det er en sidste udvej.
Generelt er det vigtigt for regeringen, at lovgivningen fastholder sin hori-
sontale karakter, og at standarderne holdes generelle. De detaljerede sik-
kerhedskrav bør integreres i et mindre antal standarder på tværs af produk-
ter, eller de samme krav bør som minimum gå igen på tværs af de produkt-
specifikke standarder. Desuden er det vigtigt, at evt. nye tekniske standar-
der udvikles i god tid, inden forordningen finder anvendelse.
Regeringen ønsker, at det gøres tydeligere i forordningen, hvad der ligger
til grund for udvælgelsen af kritiske produkter. Regeringen ønsker samti-
digt at få klargjort omfanget af Kommissionens bemyndigelser til at udar-
bejde, udbygge og opdatere denne liste og kriterierne herfor. Regeringen
er skeptisk over for at den nærmere specificering af listen skal ske igennem
fremtidige delegerede retsakter.
Regeringen mener, at der bør sikres sammenhæng og undgås unødvendige
overlap mellem gældende og fremtidig regulering, herunder NIS2-direkti-
vet, eIDAS-forordningen, forordningen om kunstig intelligens, maskinfor-
ordningen og forordning for det europæiske sundhedsdataområde (EHDS).
Det skal samtidig være så klart som muligt, hvilken lovgivning sikkerhe-
den i et givent produkt eller tjeneste er reguleret under. Der skal samtidig
ikke opstå huller eller overlap i beskyttelsen.
Regeringen finder det vigtigt, at forslaget ikke bliver en hindring for en
sikker udbredelse af etisk og ansvarlig anvendelse af kunstig intelligens.
Det er også helt centralt for regeringen at bevare forslagets fleksibilitet i
forhold til valg af sanktioner, således at medlemsstaterne ikke forpligtes til
at indføre administrative bøder.
Regeringen finder det vigtigt, at håndhævelsen af forordningen bygger vi-
dere på nationale eksisterende strukturer, som både virksomheder og myn-
digheder allerede kender til, fx rapporteringen under NIS-direktivet, som
går til de nationale myndigheder og ikke ENISA. Samtidigt er det vigtigt,
20
DIU, Alm.del - 2022-23 (2. samling) - Bilag 97: Orientering om samlenotat om Cyber Resilience Act og Interoperable Europe Act samt drøftelse om fremtiden for telesektoren
2710502_0021.png
at der sikres koordination og erfaringsudveksling imellem de nationalt
håndhævende myndigheder, og at disse understøttes igennem vejledning
og adgang til kompetencer, så håndhævelsen bliver effektiv og ensartet i
hele Unionen.
Endelig er regeringen forbeholden overfor at udvide ENISAs beføjelser,
herunder særligt ENISA’s kompetencer til tilstrækkeligt at håndtere og vi-
dereformidler indrapporteringer fra producenter sikkerhedsmæssigt for-
svarligt og effektivt. Regeringen tager derudover også forbehold for Kom-
missionens kommende forslag til en cyberforsvarsmeddelelse for EU og
dennes eventuelle sammenspil med nærværende forslag.
11.
Tidligere forelæggelse for Folketingets Europaudvalg
Forslaget blev forelagt Folketingets Europaudvalg til forhandlingsoplæg
d. 21. april 2023. Forslaget har desuden været forlagt Folketingets Euro-
paudvalg til orientering den 25. november 2022 orienteret om sagen forud
for Telerådsmødet den 6. december 2022.
Der blev oversendt grund- og nærhedsnotat d. 18. november 2022.
21
DIU, Alm.del - 2022-23 (2. samling) - Bilag 97: Orientering om samlenotat om Cyber Resilience Act og Interoperable Europe Act samt drøftelse om fremtiden for telesektoren
2710502_0022.png
Interoperable Europe Act: Forslag til Europa-Parlamentets og Rådets
forordning om foranstaltninger til sikring af et højt niveau af interope-
rabilitet i den offentlige sektor i hele Unionen (KOM (2022) 720 final)
Revideret notat – ændringer ift. samlenotat af 13. april 2023 er markeret
med streg i venstre margin.
1.
Resumé
Formålet med dagsordenspunktet på rådsmødet er at præsentere en frem-
skridtsrapport for forordningsforslaget. Regeringen kan bakke op om frem-
skridtsrapporten pga. udviklingen i forhandlingerne ang. bl.a. forslagets
centrale forpligtelser (anvendelsesområde, definitionerne og samspil med
anden lovgivning).
Europa-Kommissionen (Kommissionen) præsenterede den 18. november
2022 forslag til forordningen om et Interoperabelt Europa. Forslaget vide-
refører og styrker den interoperabilitetsindsats, der igennem forskellige tids-
begrænsede EU-programmer er blevet udført i snart to årtier.
Forslaget har til formål at fastsætte foranstaltninger til fremme af den offent-
lige sektors grænseoverskridende digitale sammenhæng i EU (interoperabi-
litet), for at understøtte at it-systemer sikkert og effektivt kan udveksle data
og indgå i sammenhængende processer på tværs af myndigheder og domæ-
ner samt mellem den offentlige og private sektor på tværs af landegrænser.
Forslaget lægger op til to generelle forpligtelser for offentlige myndigheder:
forpligtelsen til at foretage interoperabilitetsvurderinger og forpligtelsen til
at støtte delingen af interoperabilitetsløsninger inden for den offentlige sek-
tor. Forslagets øvrige hovedelementer består i (1) at sikre en sammenhæn-
gende EU-tilgang til interoperabilitet fra politikudformning til politikimple-
mentering; (2) at etablere en særlig styringskomité på EU-plan, der er ejet
af medlemslandene og Kommissionen; (3) at samskabe et økosystem af in-
teroperabilitetsløsninger (værktøjer, specifikationer og løsninger) for den of-
fentlige sektor i medlemslandene.
Regeringen er positiv over for forslagets formål og ambitioner om at fremme
udviklingen af en integreret tilgang til den offentlige sektors grænseoverskri-
dende digitale sammenhæng i EU. Derfor støtter regeringen, at forslaget
fastlægger en forpligtende ramme for en fælles styring af indsatsen i EU,
herunder etableringen af Rådet for et Interoperabelt Europa, hvor mange-
årige danske erfaringer kan deles.
22
DIU, Alm.del - 2022-23 (2. samling) - Bilag 97: Orientering om samlenotat om Cyber Resilience Act og Interoperable Europe Act samt drøftelse om fremtiden for telesektoren
2710502_0023.png
Regeringen finder det vigtigt, at initiativer i regi af forslaget er berettigede,
proportionelle, rettidige og ikke medfører unødige administrative byrder el-
ler nationale merudgifter for den offentlige sektor i medlemslandene, herun-
der at disse tilpasses og tænkes sammen med eksisterende løsninger og nati-
onale administrative praksisser. I denne forbindelse finder regeringen det
væsentligt, at vilkår og forpligtelser også gælder EU’s institutioner. Rege-
ringen finder det derudover vigtigt at sikre, at eventuelle efterlevelsesomkost-
ninger står mål med gevinsterne.
Forslaget kan medføre statsfinansielle og afledte administrative konsekven-
ser. Forslaget forventes dog ifølge Kommissionen samlet set at medføre po-
sitive samfunds- og erhvervsøkonomiske konsekvenser.
Sagen forelægges til orientering.
2.
Baggrund
Kommissionen har den 18. november 2022 fremsat forslag til forordning
om foranstaltninger til sikring af et højt niveau af interoperabilitet i den
offentlige sektor i hele Unionen (KOM (2022) 720 final). Forslaget er
oversendt til Rådet den 21. november 2022 i dansk sprogversion. Forslaget
er fremsat med hjemmel i Traktaten om den Europæiske Unions Funkti-
onsmåde (TEUF), artikel 172, som indeholder bestemmelser om vedta-
gelse af foranstaltninger med henblik på at fremme de nationale nets ind-
byrdes sammen-kobling og interoperabilitet samt adgangen til disse net.
Forslaget skal vedtages af Rådet og Europa-Parlamentet efter den almin-
delige lovgivningsprocedure jævnfør TEUF artikel 294, hvor Rådet træffer
afgørelse med kvalificeret flertal.
Den europæiske interoperabilitetsramme (EIF) har fungeret som en fælles
ikke-bindende tilgang til interoperabel ydelse af europæiske offentlige tje-
nester siden 2004. I EIF-sammenhæng forstås ved interoperabilitet, at or-
ganisationer er i stand til at interagere med henblik på at nå gensidigt for-
delagtige fælles mål. Det indebærer udveksling af oplysninger og viden
mellem disse organisationer gennem de forretningsprocesser, de under-
støtter, ved hjælp af udveksling af data mellem deres net- og informations-
systemer. Interoperabilitet handler derfor om at sikre, at data kan udveks-
les problemfrit og elektronisk på en måde, der forstås af alle parter og på
tværs af grænser.
Interoperabilitet spiller en rolle inden for og på tværs af organisationer og
politikområder, især dem med en stærk tilknytning til den offentlige sek-
tor, såsom miljø, retlige og indre anliggender, beskatning og told, transport
og sundhed, men også inden for erhvervs- og industriområdet. I dag er in-
teroperabilitet et etableret tema på tværs af EU's digitale politikker og da-
tapolitik-ker.
Offentlige tjenester leveres og anvendes på forskellige niveauer, først og
fremmest lokalt, men også regionalt, nationalt og europæisk. De fungerer
23
DIU, Alm.del - 2022-23 (2. samling) - Bilag 97: Orientering om samlenotat om Cyber Resilience Act og Interoperable Europe Act samt drøftelse om fremtiden for telesektoren
sjældent isoleret, da det er nødvendigt at have adgang til registre, der er
oprettet på forskellige niveauer eller sektorer, for at kunne udveksle og
genbruge data for at levere sammenhængende digitale brugeroplevelser og
effektive tjenester til borgere og virksomheder.
Interoperabilitet opfattes indimellem som et rent teknisk spørgsmål. Det er
imidlertid ikke tilstrækkeligt at tage hensyn til de tekniske aspekter alene
for at skabe en effektiv sammenkobling af myndigheder, datastrømme og
tjenester. Det er nødvendigt at sikre teknisk tilslutningskapacitet og se-
mantisk forståelse for en sikker og effektiv udveksling og behandling af
data, men det forudsætter også den nødvendige organisatoriske og juridi-
ske kontekst, f.eks. vedrørende rettigheder til adgang og hjemmel til ud-
veksling og videreanvendelse af data. Disse grundlæggende betingelser –
eller "lag" – for interoperabilitet er fastlagt i EIF, som senest er blevet op-
dateret i 2017.
Det fremgår af den seneste evaluering af EIF, at der er begrænsninger ved
den helt frivillige samarbejdsmetode. I medlemslandene ses det fx at såvel
digitale som interoperable aspekter stadig alt for ofte behandles for sent i
den politiske beslutningsproces. Dette bibringer store implementeringsri-
sici og -omkostninger, og i værste fald underminering af omfattende digi-
taliseringsafhængige politikker. Evalueringen understreger, at offentlige
myndigheder kun kan være interoperable, hvis de rigtige vurderinger og
valg foretages tidligt i udformningsfasen af politikkerne.
I takt med at den digitale transformation har taget fart, har medlemslandene
i stigende grad foreslået at styrke det europæiske interoperabilitetssamar-
bejde. I Berlinerklæringen om det digitale samfund og en værdibaseret di-
gital forvaltning, anerkendes interoperabilitet og den digitale omstillings
afgørende rolle for Unionens mål og for EU’s genopretning efter covid-
19-pandemien.
Behovet for en styrket indsats på interoperabilitetsområdet er endvidere
erkendt og bebudet i en række meddelelser fra Kommissionen: ”Europas
digitale fremtid i støbeskeen” (KOM (2020) 67 final) – ”En europæisk
strategi for data” (KOM (2020) 66 final) – ”Påpegning og håndtering af
hindringer for det indre marked” (KOM (2020) 93 final) – ”Digitalisering
af retsvæsenet i Den Europæiske Union – en værktøjskasse fuld af mulig-
heder” (KOM (2020) 710 final) – ”Det digitale kompas 2030: Europas kurs
i det digitale årti” (KOM (2021) 118). Herudover har Det Europæiske Råd
i sin konklusion af den 7. juni 2019, identificeret et behov for handling på
interoperabilitetsområdet.
På den baggrund nedsatte Kommissionen i februar 2020 en ekspertgruppe
om interoperabilitet mellem europæiske offentlige tjenester, med medlem-
mer, der repræsenterer de nationale offentlige myndigheder i de europæi-
ske medlemslande og med observatører fra EFTA og kandidatlande. Det
frem-satte forslag er udarbejdet i tæt samarbejde med ekspertgruppen, som
udsendte politiske henstillinger til nærværende forslag i oktober 2021.
24
DIU, Alm.del - 2022-23 (2. samling) - Bilag 97: Orientering om samlenotat om Cyber Resilience Act og Interoperable Europe Act samt drøftelse om fremtiden for telesektoren
2710502_0025.png
Forslagets initiativer understøttes af Digital Europe-programmet, der løber
fra 2021-2027.
3.
Formål og indhold
Forordningens overordnede formål er at fastsætte foranstaltninger til
fremme af grænseoverskridende interoperabilitet mellem net- og informa-
tionssystemer, som offentlige myndigheder og EU’s institutioner, organer
og agenturer, anvender til at levere eller forvalte offentlige tjenester elek-
tronisk. Forordningen fastsætter et harmoniseret sæt af centrale regler, der
bidrager til det indre markeds funktion – og som blandt andet omfatter at:
oprette en særlig styringskomité (”Rådet for et Interoperabelt
Europa”), der er ejet af medlemslandene og Kommissionen,
og som er støttet af offentlige og private aktører (”et fælles-
skab for et interoperabelt Europa”), til udvikling af en fælles
strategisk dagsorden for grænseoverskridende interoperabili-
tet, støtte til operationel gennemførelse af interoperabilitets-
løsninger og overvågning af fremskridt;
indføre en obligatorisk interoperabilitetsvurdering i de i kapi-
tel 1 nærmere bestemte tilfælde, hvor der er mulighed for at
en planlagt foranstaltning kan påvirke den grænseoverskri-
dende interoperabilitet;
sikre, at EU's politiske forslag er interoperable, klar til at blive
digitaliseret, udformet til at være interoperable fra starten og
fremmer synergier ved deres generelle digitale gennemfø-
relse;
oprette (”portalen for et interoperabelt Europa”), der vil ud-
gøre et centralt kontaktpunkt for oplysninger vedrørende in-
teroperabilitet mellem relevante net- og informationssystemer
og som en platform for fælles og genanvendelige interopera-
bilitetsløsninger;
styrke innovations- og støtteforanstaltninger, herunder mulig-
gøre reguleringsmæssige sandkasser og govtech-samarbejde
til fremme af eksperimenter, udvikling af færdigheder og op-
skalering af interoperabilitetsløsninger med henblik på gen-
brug.
Forordningen har som væsentligt formål at skabe værdi ved at etablere
rammer for – så hurtigt og effektivt som muligt – at sikre interoperabilitet
på tværs af forskellige fælleseuropæiske politikker og programmer, og der-
med lette medlemslandenes implementering af gennemførelsesforanstalt-
ninger og sektorpolitikker.
Kapitel 1: Almindelige bestemmelser (Art. 1-4)
Kapitel 1 fastlægger forordningens genstandsfelt og anvendelsesområde.
Den angiver også de definitioner, der anvendes i instrumenterne. For at
fremme en sammenhængende EU-tilgang til interoperabilitet og for at
støtte forslagets tre hovedsøjler (interoperabilitetsløsninger, støtteforan-
staltninger og styring) opstiller kapitlet to generelle forpligtelser for of-
25
DIU, Alm.del - 2022-23 (2. samling) - Bilag 97: Orientering om samlenotat om Cyber Resilience Act og Interoperable Europe Act samt drøftelse om fremtiden for telesektoren
fentlige myndigheder: forpligtelsen til at foretage interoperabilitetsvurde-
ringer og forpligtelsen til at støtte delingen af interoperabilitetsløsninger
inden for den offentlige sektor.
I artikel 3 indføres bestemmelser om, at såfremt en offentlig myndighed
eller EU-institution har til hensigt at indføre et nyt eller foretage en væ-
sentlig ændring af et eksisterende net- og informationssystem, forpligtes
man i tre tilfælde til at udarbejde og publicere en forudgående interopera-
bilitetsvurdering på eget websted, navnlig hvis den påtænkte indførelse el-
ler ændring:
a) påvirker et eller flere net- og informationssystemer, der anvendes
til levering af grænseoverskridende tjenester på tværs af flere sek-
torer eller forvaltninger;
b) resulterer i indkøb, der overstiger tærskelværdien fastsat i artikel
4 i direktiv 2014/24/EU;
c) vedrører et informationssystem, der finansieres gennem EU-pro-
grammer.
Interoperabilitetsvurderingen skal mindst indeholde en beskrivelse af:
i.
ii.
de planlagte operationer og deres indvirkning på den grænseover-
skridende interoperabilitet, herunder et skøn over omkostnin-
gerne;
behovet for at tilpasse det påtænkte net- og informationssystemet
i henhold til den europæiske interoperabilitetsramme og løsnin-
gerne for et interoperabelt Europa, og om den er blevet forbedret i
forhold til graden af tilpasning før operationen;
de applikationsprogrammeringsgrænseflader, som muliggør inter-
aktion mellem maskiner og de data, der anses for relevante for
grænseoverskridende udveksling med andre net- og informations-
systemer.
iii.
En offentlig myndighed eller EU-institution kan også frivilligt foretage in-
teroperabilitetsvurderingen i andre tilfælde.
De nationale kompetente myndigheder og interoperabilitetskoordinato-
rerne (se kapitel 4) yder den nødvendige støtte til gennemførelsen af inter-
operabilitetsvurderingen. Kommissionen kan stille teknisk værktøj til rå-
dighed til støtte for vurderingen.
Artikel 4 opstiller en ramme for deling af interoperabilitetsløsninger inden
for den offentlige sektor. Bestemmelsen indfører, at en offentlig myndig-
hed og/eller EU-institution skal stille interoperabilitetsløsninger til rådig-
hed for enhver anden myndighed/EU-institution, der anmoder om det. Det
delte indhold omfatter den tekniske dokumentation og kildekode, hvis re-
levant og muligt – og undtages hvis det er af hensyn til følsomme oplys-
ninger af kritisk infrastruktur jævnfør direktiv 2008/114/EF eller for at be-
skytte forsvarsinteresser eller den offentlige sikkerhed.
26
DIU, Alm.del - 2022-23 (2. samling) - Bilag 97: Orientering om samlenotat om Cyber Resilience Act og Interoperable Europe Act samt drøftelse om fremtiden for telesektoren
2710502_0027.png
Forpligtelsen om deling kan opfyldes ved at offentliggøre det relevante
indhold på portalen for et interoperabelt Europa eller på en portal, i et ka-
talog eller i et datalager, der er forbundet med portalen for et interoperabelt
Europa.
Kapitel 2: Interoperabilitetsløsninger (Art. 5-8)
Kapitel 2 regulerer etableringen og vedligeholdelsen af de centrale inter-
operabilitetsløsninger, som forordningen vil fremme: (1) Den europæiske
interoperabilitetsramme og dens specialiseringer, (2) Interoperabelt Eu-
ropa-specifikationer og applikationer, som anbefales af Rådet for et Inter-
operabelt Europa. Deres brug på tværs af sektorer og administrative ni-
veauer er ikke obligatoriske, men fremmes gennem de mekanismer, der er
beskrevet i kapitel 1 og kapitel 3.
I henhold til artikel 8 stiller Kommissionen en gratis og elektronisk portal
til rådighed, som et centralt kontaktpunkt for interoperabilitetsløsninger, -
viden og -fællesskab. Hvis en offentlig myndighed eller EU-institution
stiller en portal, katalog eller datalager med lignende funktioner til rådig-
hed, skal den pågældende enhed træffe de nødvendige foranstaltninger for
at sikre interoperabilitet med Interoperabelt Europa-portalen. Hvis så-
danne portaler samler open source-løsninger, skal de give mulighed for at
anvende Den Europæiske Unions offentlige licens.
Kommissionen kan vedtage retningslinjer for interoperabilitet med andre
portaler med lignede funktioner.
Kapitel 3: Foranstaltninger til støtte for et Interoperabelt Europa (Art. 9-
14)
Kapitel 3 opstiller regler for de forskellige foranstaltninger, der skal un-
derstøtte gennemførelsen af forordningen. Artikel 9 fastlægger en proces
for, hvordan nye EU-politikker i form af fx retsakter, der falder inden for
rammerne af forordningen kan få tilknyttet foranstaltninger med henblik
på at fremme en tidlig identifikation af behov for interoperabilitetsløsnin-
ger, der kan understøtte implementeringen af samme.
I henhold til artikel 9 kan Rådet for et Interoperabelt Europa foreslå Kom-
missionen at iværksætte projekter, der skal tilknyttes støtteforanstaltninger
til den digitale policy-implementering af EU-politikker. Rådet for et Inter-
operabelt Europa kan ligeledes foreslå Kommissionen at iværksætte inno-
vationsforanstaltninger, der i offentligt-privat ”govtech” samarbejde skal
fremme udviklingen og udbredelsen af innovative interoperabilitetsløsnin-
ger i grænseoverskridende sammenhænge.
Med henblik på at støtte et miljø for afprøvning af innovative interopera-
bilitetsløsninger kan Kommissionen give tilladelse til opsætningen af re-
guleringsmæssige sandkasser. I artikel 12(9) tillægges Kommissionen be-
føjelser til at vedtage gennemførelsesretsakter med henblik på at fastsætte
27
DIU, Alm.del - 2022-23 (2. samling) - Bilag 97: Orientering om samlenotat om Cyber Resilience Act og Interoperable Europe Act samt drøftelse om fremtiden for telesektoren
2710502_0028.png
de nærmere regler og betingelser for oprettelse og drift af de regulerings-
mæssige sandkasser, herunder kriterierne for støtteberettigelse og proce-
duren for ansøgning om, udvælgelse af, deltagelse i og udtræden af sand-
kassen samt deltagernes rettigheder og forpligtelser. Såfremt en sandkasse
indebærer anvendelse af kunstig intelligens har reglerne i artikel 53 og 54
i kunstig intelligens-forordningen forrang.
Artikel 13 indeholder bestemmelser om, at offentlige myndigheder samt
EU’s institutioner sørger for passende uddannelsesprogrammer vedrø-
rende interoperabilitetsspørgsmål til deres personale med strategiske eller
operationelle opgaver, der har indvirkning på net- og informationssyste-
mer i Unionen. Herunder, at Kommissionen tilrettelægger uddannelseskur-
ser om interoperabilitetsspørgsmål på EU-plan, som bekendtgøres på por-
talen for et interoperabelt Europa. Artikel 14 opretter en mekanisme for
peerevalueringer, der skal hjælpe med at udføre de interoperabilitetsvur-
deringer, der er omhandlet i artikel 3. I henhold til artikel 14(2) kan Kom-
missionen efter høring af Rådet for et Interoperabelt Europa vedtage ret-
ningslinjer for peerevalueringens metode og indhold.
Kapitel 4: Styring af grænseoverskridende interoperabilitet (Art. 15-18)
Kapitel 4, artikel 15 opretter Rådet for et Interoperabelt Europa, der skal
styre den fælles interoperabilitetsindsats og samle medlemslandenes cen-
trale myndigheder for digital omstilling, Kommissionen, Det Europæiske
Regionsudvalg samt Det Europæiske Økonomiske og Sociale Udvalg. For-
mandskabet og sekretariatsopgaverne varetages af Kommissionen.
Medlemslandene er sammen med de øvrige medlemmer af Rådet for et
Interoperabelt Europa i centrum for udviklingen og gennemførelsen af
EIF, endvidere en række øvrige opgaver. Medlemmerne af Rådet for et
Interoperabelt Europa bestræber sig så vidt muligt på at vedtage afgørelser
ved konsensus. I tilfælde af afstemning vedtages afgørelsen med simpelt
flertal blandt medlemmerne.
Rådet for et Interoperabelt Europa kan nedsætte arbejdsgrupper til at un-
dersøge specifikke punkter vedrørende rådets opgaver. Arbejdsgrupperne
inddrager medlemmer af fællesskabet for et interoperabelt Europa.
Artikel 16 indeholder bestemmelser om oprettelsen af et fællesskab for et
interoperabelt Europa bestående af stakeholders, som skal sikre gennem-
sigtighed og knytte forbindelse til græsrodspraksis.
Artikel 17 angiver, at hvert medlemsland skal udpege en eller flere natio-
nal(e) kompetent(e) myndighed(er) med ansvar for at forordningen anven-
des og efterleves. Hvert medlemsland skal sikre at den kompetente myn-
dighed har tilstrækkelige kompetencer og ressourcer til på en effektiv
28
DIU, Alm.del - 2022-23 (2. samling) - Bilag 97: Orientering om samlenotat om Cyber Resilience Act og Interoperable Europe Act samt drøftelse om fremtiden for telesektoren
2710502_0029.png
måde at udføre dets opgaver, og etablerer de nødvendige koordinations-
strukturer mellem de nationale myndigheder, som er involverede i imple-
menteringen af forordningen. Hvert medlemsland underretter uden unødig
forsinkelse Kommissionen om udpegelsen af den kompetente myndighed,
dens opgaver og eventuelle efterfølgende ændringer heraf og underretter
Kommissionen om andre nationale myndigheder, der er involveret i tilsy-
net med interoperabilitetspolitikken.
Artikel 18 indfører, at alle EU-institutioner skal udpege en interoperabili-
tetskoordinator med ansvar for at sikre bidraget til gennemførelsen af
denne forordning.
Kapitel 5: Planlægning og overvågning af et Interoperabelt Europa (Art.
19-20)
Kapitel 5 angiver reglerne for en integreret planlægningsmekanisme. I
henhold til artikel 19 skal Rådet for et Interoperabelt Europa, hvert år ved-
tage en strategisk dagsorden for planlægning og koordinering af priorite-
terne for udvikling af grænseoverskridende interoperabilitet. Kapitlet fast-
lægger yderligere reglerne for Kommissionens monitorering og evaluering
af forordningen.
Artikel 20 angiver, at Kommissionen senest tre år efter forordningens
ikrafttræden og derefter hvert fjerde år, skal forelægge Europa-Parlamentet
og Rådet en evaluering om anvendelsen af forordningen. Rapporten skal
specifikt vurdere behovet for at indføre obligatoriske interoperabilitetsløs-
ninger.
Kapitel 6: Afsluttende bestemmelser (Art. 21-22)
Kapitel 6, artikel 21 fastsætter de omkostninger, der er forbundet med dette
forslag, imens artikel 22 angiver, at forordningen vil finde anvendelse 3
måneder efter dens ikrafttræden.
Under forudsætning af, at der er midler til rådighed, dækker Unionens al-
mindelige budget udgifterne til: (a) udvikling og vedligeholdelse af porta-
len Interoperabelt Europa; (b) udvikling, vedligeholdelse og fremme af in-
teroperabelt Europa-løsninger; (c) støtteforanstaltningerne for Interopera-
belt Europa.
Omkostningerne dækkes i overensstemmelse med de gældende bestem-
melser i den relevante basisretsakt.
29
DIU, Alm.del - 2022-23 (2. samling) - Bilag 97: Orientering om samlenotat om Cyber Resilience Act og Interoperable Europe Act samt drøftelse om fremtiden for telesektoren
2710502_0030.png
4.
Europa-Parlamentets udtalelser
Forslaget behandles i Europa-Parlamentets udvalg for Industri, Forskning og
Energi (ITRE), med bidrag fra udvalgene for Indre Marked og Forbrugerbe-
skyttelse (IMCO) og Borgernes Rettigheder og Retlige og Indre Anliggender
(LIBE).
I ITRE er lettiske Renew-medlem, Ivars Ijabs, udpeget som ordfører. Den
28. marts blev Ijabs rapportudkast til forslaget offentliggjort. Udkastet inde-
holder 30 konkrete ændringsforslag, som overordnet set ræsonnere med dan-
ske prioriteter. Der er dog tilfælde, hvor der foreslås væsentlige udvidelser af
anvendelsesområdet, hvilket man fra dansk side ikke kan støtte.
Fristen for ændringsforslag er fastsat til den 3. maj 2023. Gheorghe Falcă
(EPP) og Josianne Cutajar (S&D) er udpeget som skyggeordfører.
5.
Nærhedsprincippet
I henhold til subsidiaritetsprincippet i artikel 5, stk. 3, i Traktaten om Den
Europæiske Union bør der kun træffes foranstaltninger på EU-plan, når de
påtænkte mål ikke i tilstrækkelig grad kan opfyldes af medlemslandene
alene, og hvis omfanget eller virkningerne af den foreslåede handling,
bedre opnås på EU-plan.
Oprettelsen af et fælles EU-struktureret samarbejde omkring den offent-
lige sektors interoperabilitet kan hverken opnås unilateralt på medlems-
statsni-veau eller bilateralt mellem medlemslandene. Det er i sagens natur
en opga-ve, der skal udføres på EU-plan. Derfor er regeringen enig i, at det
er op til Unionen at etablere et juridisk bindende instrument til at skabe et
sådant sy-stem og at fastlægge betingelserne for, hvordan samarbejdet skal
fungere.
Da interoperabilitet handler om, at forskellige enheder samarbejder om at
forfølge et samlet mål, kan dette kun gennemføres inden for en dynamisk,
men homogen ramme – såsom EU's offentlige sektor – og i absolut respekt
for subsidiaritet gennem en konsolideret styringsmekanisme på tværs af
myndighedsniveauer. Forslaget indeholder en styringsmodel, der støttes af
medlemslandene og EU-institutionerne, og som giver interessenter mulig-
hed for at udtrykke deres synspunkter og bekymringer gennem processer,
der i sidste ende bidrager til fælles interoperabilitetsløsninger.
Regeringen vurderer på det foreliggende grundlag, at nærhedsprincippet er
overholdt.
6.
Gældende dansk ret
Der er ingen gældende lovgivning på området i Danmark.
30
DIU, Alm.del - 2022-23 (2. samling) - Bilag 97: Orientering om samlenotat om Cyber Resilience Act og Interoperable Europe Act samt drøftelse om fremtiden for telesektoren
2710502_0031.png
7.
Konsekvenser
Lovgivningsmæssige konsekvenser
Forslaget ventes ikke at få lovgivningsmæssige konsekvenser.
Økonomiske konsekvenser
Statsfinansielle konsekvenser
Forslaget kan medføre statsfinansielle og administrative konsekvenser, der
primært knytter sig til forpligtelsen om at foretage interoperabilitetsvurde-
ringer for enhver væsentlig ændring eller indførelse af et informationssy-
stem eller en komponent af grænseoverskridende relevans, som gør det
muligt at levere eller forvalte offentlige tjenester elektronisk, samt ved
dansk deltagelse i Rådet for et Interoperabelt Europa. Derudover kan der
være ressourcemæssige konsekvenser hos den eller de myndigheder, der
udpeges til kompetente myndigheder i henhold til forslaget. Endeligt vil
danske forvaltningsenheder også kunne få øgede omkostninger ved udvik-
ling og gennemførelse af fælles interoperabilitetsløsninger baseret på de
retningslinjer og værktøjer, der udvikles gennem samarbejdsmekanismen.
Ved Kommissionens konsekvensvurdering som led i forslaget skønnes, at
fordelene ved de foreslåede tiltag kan opveje omkostningerne generelt.
Såfremt forslaget vedtages i sin nuværende form skønnes behov for i om-
egnen af to årsværk i Digitaliseringsstyrelsen i perioden fra 2024-2027 til
vejledning og vurdering af de medfølgende krav.
Det bemærkes, at afledte nationale udgifter som følge af EU-retsakter af-
holdes inden for de berørte myndigheders eksisterende bevillingsramme,
jf. budgetvejledningens bestemmelser herom.
Samfundsøkonomiske konsekvenser
Forslaget forventes at kunne skabe større interoperabilitet i det indre mar-
ked, hvilket forventes at øge væksten på baggrund af mulighederne for ad-
ministrative lettelser for virksomheder, øget mulighed for samhandel og
højere grad af konkurrence.
Forslaget muliggør effektiviseringer i den offentlige sektor og forbedre de
internationale konkurrencemuligheder for danske virksomheder og der-
med påvirke samfundsøkonomien positivt.
Kommissionens Fælles Forskningscenter (JRC) anslår forsigtigt, at de år-
lige omkostningsbesparelser opnået på grundlag af grænseoverskridende
interoperabilitet på EU-plan, beløber sig til cirka 41-47 mio. kr. for euro-
pæiske borgere og cirka 42,4-142,8 mia. kr. for europæiske virksomheder.
Det skønnes videre, at en fuld gennemførelse af interoperabilitet på alle
forvaltningsniveauer kan føre til en anslået stigning på 0,4 pct. i EU’s
BNP.
31
DIU, Alm.del - 2022-23 (2. samling) - Bilag 97: Orientering om samlenotat om Cyber Resilience Act og Interoperable Europe Act samt drøftelse om fremtiden for telesektoren
2710502_0032.png
Erhvervsøkonomiske konsekvenser
Kommissionens forslag regulerer ikke direkte virksomheder, men kan po-
tentielt medføre væsentlige indirekte administrative lettelser for erhvervs-
liv, civilsamfund og borgere. Med forpligtelsen om at foretage interopera-
bilitetsvurderinger, vil der opstå muligheder for forenkling af grænseover-
skridende aktiviteter samt enklere interaktion mellem nationale myndig-
heder og henholdsvis virksomheder, organisationer og borgere. De poten-
tielle administrative lettelser afhænger af, hvilke interoperabilitetsinitiati-
ver der bliver igangsat på EU-, nationalt- og lokalt niveau som følge af
forordningen.
Andre konsekvenser og beskyttelsesniveauet
En vedtagelse af forslaget kan medføre behov for implementering af Hvid-
bogen om Fællesoffentlig digital arkitektur, der fastlægger otte principper
med henblik på at understøtte tværgående processer og effektiv deling af
data på tværs af myndigheder samt mellem den offentlige og den private
sektor, og som konsekvens heraf justering af de konkrete rammer og ind-
hold.
Dette forventes at påvirke rammerne for offentlige digitaliseringsprojekter
med fokus på genbrug og deling af ressourcer i en fælleseuropæisk kon-
tekst.
8.
Høring
Forslaget har været sendt i EU-specialudvalget for energi-, forsynings- og
klimapolitik med frist for bemærkninger den 5. december 2022. Der er
indkommet høringssvar fra Dansk Industri, Energinet, Green Power Den-
mark, ITD og Kommunernes Landsforening.
Generelle bemærkninger
Dansk Industri
ser forslaget som positivt for samfundet og industrien, at
den digitale omstilling af Europas offentlige sektor er inklusiv, åben og
bæredygtig – og ser interoperabilitet som et centralt værktøj til at opnå
dette. Man støtter derfor generelt forslaget og de overordnede ambitioner
for støtteforanstaltninger, styring, planlægning, overvågning og evalue-
ring. Man ser endvidere et stort potentiale ved øget interoperabilitet i for-
hold til samarbejde og skalering på tværs af offentlige myndigheder, hvor
interoperabilitet eksempelvis kan være med til at sætte skub på de potenti-
aler der ligger i datadeling og åbne data. Dog kan en sådan bevægelse ikke
udelukkende ske frivilligt, men samtidigt understreges det, at det er helt
centralt, at de regler, overvågning og evaluering ikke bliver en stor admi-
nistrativ byrde for den enkelte virksomhed eller offentlige myndighed. En-
deligt findes det vigtigt, at de beskrevne initiativer – og særligt de be-
skrevne testmiljøer og reguleringsmæssige sandkasser – tænkes sammen
med øvrige EU-indsatser herunder de test-miljøer, der er tænkt under Di-
gital Europe.
Energinet
finder det generelt positivt, at Kommissionen har fokus på at
etablere en klar retlig ramme for det eksisterende uformelle samarbejde,
32
DIU, Alm.del - 2022-23 (2. samling) - Bilag 97: Orientering om samlenotat om Cyber Resilience Act og Interoperable Europe Act samt drøftelse om fremtiden for telesektoren
herunder at der er fokus på at lave sektorspecifikke interoperabilitetsram-
mer, der tager højde for sektorspecifikke behov – og finder det ligeledes
positivt, at Kommissionen tænker interoperabilitet på alle fire parametre,
og aktivt italesætter samspillet mellem teknologi og mennesker som et suc-
ceskriterie for et interoperabelt Europa. Endvidere ser man generelt posi-
tivt på, at Kommissionen arbejder for en fælles europæiske interoperabili-
tetsramme (EIF), og at det bør sikres, at denne bl.a. er baseret på udvidel-
sesparate standarder, som sikrer at organisationer kan implementere
unikke behov oven på standarder. Herudover gøres der opmærksom på, at
energi- og forsyningssektoren ikke eksplicit er nævnt som en central sektor
for forordningen, og ser gerne, at der fokuseres på at lave ét retsligt grund-
lag for interoperabilitet på tværs af offentlige og private aktører. Alterna-
tivt, at denne sektor underlægges en eventuel fremtidig forordning målret-
tet private aktører, eller specifikt for aktører i den europæiske energisektor.
Endeligt ses der et behov for en trinvis og sektorspecifik (og evt. landespe-
cifik) udrulning af forordningens initiativer, og det anbefales, at der frem-
lægges en konkret udrulningsplan, og finder det videre positivt, at Kom-
missionen har til hensigt at oprette et fællesskab for et interoperabelt Eu-
ropa, hvori aktører fra den danske energi- og forsyningssektor kan deltage
aktivt i arbejdet for europæiske interoperabilitetsløsninger.
Green Power Denmark
ser interoperabilitet som særlig vigtigt for tvær-
gående partnerskaber og deling af viden, og som er med til at sikre den
fremtidige udvikling. Forslaget kan være med til at sørge for, at myndig-
hederne, nationalt og på EU-niveau følger den samme udvikling som pri-
vate aktører oplever i Europa. Endvidere er dette med til at sikre en fælles
digital forståelse og kompetenceniveau mellem private virksomheder og
organisationer og de myndigheder der er ansvarlige for deres områder.
Man ser forslaget som væsentlig for den digitale udvikling i EU, at offent-
lige myndigheder også er med i den digitale udvikling, og hvor interope-
rabilitet på tværs af sektorer har stor betydning for udviklingen af andre
programmer som udviklingen af EU’s fælles dataområder.
ITD (brancheorganisationen for de professionelle transport- og logi-
stikvirksomheder)
ser fælles krav til datainteroperabilitet som et vigtigt
værktøj i det europæiske samarbejde om digitalisering af vejgodstranspor-
ten – og afgørende for succesen af det nuværende europæiske samarbejde
om eFTI – EU-regulering, der muliggør fremvisning af elektroniske fragt-
dokumenter i hele EU. Det er vigtigt, at Danmark deler erfaringer om di-
gitalisering, så alle medlemslande forstår nødvendigheden af en fælles ind-
sats. Herudover skal den retlige ramme for datainteroperabilitet såvel som
cybersikkerheden for offentlige tjenester være på plads. Det er vigtigt, at
både relevante myndigheder og organisationer får hjemmel til at samar-
bejde inden for rette dataformater, men også, at GDPR og øvrige privat-
retlige hensyn sikres. Myndigheder på tværs af EU og i Danmark skal etab-
lere en effektiv organisering og koordinering i forbindelse med levering af
offentlige tjenester. Den enkelte virksomhed skal kunne få skræddersyet
hjælp til at forstå regler og muligheder – også ved personlig kontakt.
33
DIU, Alm.del - 2022-23 (2. samling) - Bilag 97: Orientering om samlenotat om Cyber Resilience Act og Interoperable Europe Act samt drøftelse om fremtiden for telesektoren
2710502_0034.png
KL
ser interoperabilitet for væsentligt for den digitale udvikling og sam-
menhæng og kan derfor støtte forslaget i det omfang, det bliver løftestang
for dette arbejde – og finder det vigtigt, at det foreslåede ikke bliver bu-
reaukratisk, ugennemsigtigt og ikke påfører kommunerne væsentlige ud-
gifter. Man finder det vigtigt, at der i det videre arbejde er opmærksomhed
på, at der udestår en nærmere dansk vurdering af eventuelt behov for på-
virkning og tilretning af EU's anbefalinger og standarder, så det sikres at
de tilfører den danske forvaltning værdi og ikke medfører uhensigtsmæs-
sige omkostninger. Det er nødvendigt med overensstemmelse med den
fællesoffentlige enighed om arkitektur i Danmark.
9.
Generelle forventninger til andre landes holdninger
Der er afholdt seks møder om forordningsforslaget i Rådsarbejdsgruppen
for Telekommunikation og Informationssamfund til og med marts 2023.
Der synes at være en bred opbakning til forslaget fra medlemsstaterne.
Det svenske formandskab har udarbejdet et udkast til en første kompromis-
tekst til forslaget, som blev drøftet på rådsarbejdsgruppen den 31. marts
2023, og arbejder i øjeblikket på en anden kompromistekst, som forventes
drøftet på rådsarbejdsgruppen inden udgangen af maj.
Med henblik på at præcisere og indsnævre anvendelsesområdet arbejder flere
medlemsstater på at indføre en generel undtagelse for national sikkerhed og
klarer definitioner for nogle af forslagets nøglebegreber som fx ”grænseover-
skridende tjenester”. Man arbejder endvidere på at tilpasse ordlyden ift. re-
guleringsmæssige sandkasser bl.a. for at afklare eventuel tvivl om behand-
lingen af personoplysninger og beskyttelsen af grundlæggende rettigheder,
men også for at harmonisere bestemmelserne med forslag til forordning for
kunstig intelligens. Endeligt arbejder man på at klarlægge og tydeliggøre så-
vel betingelser som ansvarskæden for udarbejdelsen af interoperabilitetsvur-
deringer. Flere medlemsstater finder det vigtigt at tydeliggøre omfanget for
vurderingen, herunder at undgå overlap mellem EU og det nationale niveau,
fx tydeliggøre at hvis en vurdering foretages for et sæt af krav i forbindelse
med vedtagelsen af en retsakt i Unionen eller medlemsstaten, bør den ikke
gentages på underliggende og decentrale administrative niveauer. Der er stor
enighed om, at interoperabilitetsvurderinger bør gennemføres så tidligt som
muligt, og hvor de første beslutninger træffes.
Såfremt forslaget vedtages i sin nuværende form vil Kommissionen fremover
skulle tænke digital implementering i medlemsstaterne ind i det lovforbere-
dende arbejde, når der fremsættes forslag til EU-retsakter. I Danmark har det
siden 1. juli 2018 været almindelig praksis for statslige myndigheder at sikre,
at ny lovgivning er digitaliseringsklar. Forslaget vil bidrage til at tankegan-
gen fra den danske praksis udbredes til øvrige medlemsstater.
Forslaget sættes på dagsorden for telerådsmødet den 2. juni 2023 til frem-
skridtsrapport.
34
DIU, Alm.del - 2022-23 (2. samling) - Bilag 97: Orientering om samlenotat om Cyber Resilience Act og Interoperable Europe Act samt drøftelse om fremtiden for telesektoren
2710502_0035.png
10.
Regeringens generelle holdning
Regeringen kan bakke op om fremskridtsrapporten pga. udviklingen i for-
handlingerne ang. bl.a. forslagets centrale forpligtelser (anvendelsesområde,
definitionerne og samspil med anden lovgivning). Dertil er det positivt, at
forslaget udbreder tankegangen fra den danske praksis angående digitalise-
ringsklar lovgivning til EU’s institutioner og øvrige medlemsstater.
Regeringen er positiv over for forslagets formål og ambitioner om at
fremme udviklingen af en integreret tilgang til den offentlige sektors græn-
seoverskridende digitale sammenhæng (interoperabilitet) i EU. Regerin-
gen støtter, at forslaget fastlægger en forpligtende ramme for en fælles sty-
ring af den grænseoverskridende interoperabilitetsindsats i EU med hen-
blik på at sammenkoble offentlige digitale tjenester nationalt såvel som på
EU-plan med formålet om at reducere de administrative byrder og forbedre
gennemførelsen af digitale politikker målrettet den offentlige sektor. Re-
geringen støtter endvidere etableringen af Rådet for et Interoperabelt Eu-
ropa, hvor mangeårige danske erfaringer kan deles.
Regeringen finder det vigtigt, at initiativer i regi af forslaget er berettigede,
proportionelle, rettidige og ikke medfører unødige administrative byrder
eller nationale merudgifter for den offentlige sektor i medlemslandene,
herunder at disse tilpasses og tænkes sammen med eksisterende løsninger
og nationale administrative praksisser. I denne forbindelse finder regerin-
gen det væsentligt, at vilkår og forpligtelser også gælder EU’s institutio-
ner, at tiltag i Rådet for et Interoperabelt Europa vedtages med bredest mu-
ligt flertal og at eventuelle efterlevelsesomkostninger står mål med gevin-
sterne.
Regeringen ser generelt interoperabilitet som en grundlæggende forudsæt-
ning for at skabe sammenhæng i de digitale tjenester, som er vendt mod
borgere og erhvervsliv, herunder også i forhold til sammenhængen til den
underliggende tekniske infrastruktur. I denne sammenhæng finder regerin-
gen det vigtigt, at forslaget gør det muligt at identificere de mest relevante
hindringer for europæisk interoperabilitet og finde løsninger, der kan
fjerne eller i tilstrækkelig grad afbøde dem under hensyntagen til princip-
perne om subsidiaritet, proportionalitet og effektivitet. Endvidere er det
vigtigt, at Rådet for et Interoperabelt Europa i relevant omfang gives man-
dat til at anbefale, at initiativer til fremme af interoperabilitet i og mellem
offentlige digitale tjenester kan få tilknyttet foranstaltninger til støtte for
offentlige myndigheders digitale implementering heraf.
Regeringen støtter derudover forpligtelsen til at udarbejde forudgående
konsekvensvurderinger af interoperabilitetseffekten, så det kan sikres og
dokumenteres, at digitale systemer og processer passer bedst muligt sam-
men. Regeringen finder det væsentligt, at Kommissionen påtager sig en
ledende rolle i forhold til udarbejdelsen af konsekvensvurderinger, og me-
ner samtidig at dette arbejde i videst mulige omfang skal belyse medlems-
landenes statsfinansielle merudgifter ved indførelse af interoperabilitets-
35
DIU, Alm.del - 2022-23 (2. samling) - Bilag 97: Orientering om samlenotat om Cyber Resilience Act og Interoperable Europe Act samt drøftelse om fremtiden for telesektoren
2710502_0036.png
krav som følge af EU-lovgivning, endvidere afløfte behovet for medlems-
landenes selvstændige og individuelle interoperabilitetsvurdering af
samme.
Regeringen finder det helt centralt, at forslaget understøtter konkrete be-
hov og herved ikke pålægger medlemslandene unødige statsfinansielle og
administrative byrder samt at den konkrete udformning støtter op om en
enkel, effektiv og velafgrænset ramme for bl.a. udarbejdelse af interopera-
bilitetsvurderinger og en pålidelig og sikker deling af interoperabilitetsløs-
ninger, der sikrer åbenhed og interessentinddragelse såvel som sammen-
hæng til eksisterende løsninger, administrative praksisser og planlagte ini-
tiativer på tværs af sektorområder i medlemslandene.
Endeligt arbejder regeringen for, at der sikres komplementaritet mellem
Rådet for et Interoperabelt Europa samt andre råd og udvalg etableret i regi
af anden EU-regulering samt internationalt. Regeringen vil i øvrigt arbejde
for, at der sikres sammenhæng mellem gældende og fremtidig regulering.
11.
Tidligere forelæggelse for Folketingets Europaudvalg
Forslaget blev forelagt Folketingets Europaudvalg til forhandlingsoplæg
d. 21. april 2023. Forslaget har desuden været forlagt Folketingets Euro-
paudvalg til orientering d. 14. april 2023.
Der blev oversendt grund- og nærhedsnotat den 20. december 2022.
36
DIU, Alm.del - 2022-23 (2. samling) - Bilag 97: Orientering om samlenotat om Cyber Resilience Act og Interoperable Europe Act samt drøftelse om fremtiden for telesektoren
2710502_0037.png
Fremtiden for telesektoren
Nyt notat.
1. Resumé
Det svenske EU-formandskab ønsker en drøftelse om fremtiden for telesek-
toren på lang sigt med fokus på, hvordan sektoren kan medvirke til at styrke
den europæiske konkurrenceevne og produktivitet.
I oplægget til drøftelsen sætter formandskabet fokus på spørgsmålet om,
hvorvidt store udbydere af indholdstjenester skal bidrage til at finansiere ud-
rulningen af infrastruktur.
Emnet er sat emnet på dagsorden for teleministrenes rådsmøde den 2. juni
2023 til politisk drøftelse.
Sagen forelægges til orientering.
2. Baggrund
Kommissionen igangsatte i februar 2023 en offentlig høring om fremtiden
for tele-sektoren og dens infrastruktur, der løber indtil den 9. maj 2023.
Formålet med Kommissionens høring er at indsamle synspunkter om den
teknologiske og markedsmæssige udvikling, herunder hvordan udviklin-
gen kan påvirke sektoren for elektronisk kommunikation. Høringen berø-
rer også, hvilke typer af infrastruktur der er nødvendige for Europas digi-
tale omstilling i de kommende år, og hvilke investeringsbehov dette giver
anledning til.
Regeringen svarede på høringen den 28. april og orienterede samme dag
Folketin-get ved kopi af høringssvaret.
Det svenske EU-formandskab har sat emnet på dagsorden for teleministre-
nes rådsmøde den 2. juni 2023 til politisk drøftelse.
3. Formål og indhold
37
DIU, Alm.del - 2022-23 (2. samling) - Bilag 97: Orientering om samlenotat om Cyber Resilience Act og Interoperable Europe Act samt drøftelse om fremtiden for telesektoren
2710502_0038.png
Politikprogrammet for det digitale årti 2030, som blev vedtaget af Rådet
og Europa-Parlamentet i 2022, angiver retningen for den digitale omstil-
ling i de kommende år. Formandskabet anfører i oplægget til den politiske
drøftelse om fremtiden for tele-sektoren, at der er behov for at se længere
frem og drøfte, hvordan den europæiske konkurrenceevne og produktivitet
kan styrkes på lang sigt.
I denne forbindelse fremhæver formandskabet, at digitalisering er en af de
vigtigste drivkræfter for langsigtet europæisk konkurrenceevne. Derfor er
adgang til en sik-ker og pålidelig teleinfrastruktur stadig mere afgørende
for at sikre et effektivt indre marked.
Formandskabet bemærker, at spørgsmålet om yderligere udrulning af tele-
infrastruktur har sat gang i en debat om behovet for investeringer og de
nuværende lovgivningsmæssige rammer for telesektoren. I den forbindelse
er spørgsmålet om, hvorvidt store udbydere af indholdstjenester skal bi-
drage til at finansiere udrulningen af infrastruktur blevet rejst.
Det svenske formandskab lægger op til en politisk drøftelse af, hvorvidt
der på baggrund af den seneste teknologiske og markedsmæssige udvik-
ling er et behov for tiltag til at stimulere investeringer i teleinfrastruktur,
samt hvilke fordele og ulemper der er forbundet med sådanne tiltag.
4. Europa-Parlamentets udtalelser
Europa-Parlamentet skal ikke udtale sig om den politiske drøftelse.
5. Nærhedsprincippet
Ikke relevant.
6. Gældende dansk ret
Ikke relevant.
7. Konsekvenser
Den politiske drøftelse forventes ikke i sig selv at få lovgivningsmæssige,
økonomiske eller andre konsekvenser eller konsekvenser for beskyttelses-
niveauet.
8. Høring
Sagen har ikke været sendt i høring.
9. Generelle forventninger til andre landes holdninger
Der er ikke på nuværende tidspunkt kendskab til andre landes holdninger.
38
DIU, Alm.del - 2022-23 (2. samling) - Bilag 97: Orientering om samlenotat om Cyber Resilience Act og Interoperable Europe Act samt drøftelse om fremtiden for telesektoren
2710502_0039.png
10. Regeringens generelle holdning
Regeringen finder overordnet, at de fremtidige lovgivningsmæssige ram-
mer for telesektoren bør sikre en fortsat markedsbaseret udrulning af in-
frastruktur, og at reguleringen bør hvile på et princip om teknologineutra-
litet. Det bør sikres, at fremtidige initiativer, herunder forslag til ny lov-
givning, ikke forstyrrer markedet og dets betydning i forhold til teleudby-
dernes investering i infrastruktur.
Regeringen er meget kritisk over for foranstaltninger, der indebærer et ob-
ligatorisk finansielt bidrag fra indholdsudbydere eller andre digitale aktø-
rer til netoperatører, herunder en foranstaltning, der er baseret på den tra-
fik, der genereres. Et sådant tiltag kan have negativ betydning for markeds-
dynamikken, og det kan have negative konsekvenser for forbrugerne i
form af prisstigninger og forringede indeholdtjenester.
11. Tidligere forelæggelse for Folketingets Europaudvalg
Sagen har ikke tidligere været forelagt for Folketingets Europaudvalg.
39