Forslag til europaparlaments- og rådsforordning angående Det europeiske byrå for nett- og informasjonssikkerhet (ENISA)
Ansvarlig departement: Samferdselsdepartementet
Sakstype: Forordning
Behandlende organ: Europaparlamentet og Rådet: behandler nye forslag
Saksområde: IT, telekom og medier: telekommunikasjonstjenester (del av EØS-avtalens vedlegg 11)
BAKGRUNN (fra departementets EØS-notat, sist oppdatert 31.1.2011)
Sammendrag av innhold
European Network and Information Security Agency (ENISA) ble etablert i 2004 for en periode på fem år. Formålet med byrået var å sikre et høyt og effektivt nivå på nett- og informasjonssikkerheten (NIS) i fellesskapet, å fremme en kultur for nett- og informasjonssikkerhet til beste for borgere, forbrukere, private virksomheter og offentlig sektor i EU. Byrået skulle bidra til et velfungerende indre marked.
I juni 2008 kom henholdsvis Rådet og EP til enighet om at ENISAs mandat skulle forlenges til mars 2012. I forbindelse med evalueringen forut for beslutningen i 2008 var det en debatt om retningen for EU og ENISA når det gjelder nett- og informasjonssikkerhet. EU fremmet i mars 2009 en kommunikasjon om Critical Information Infrastructure Protection, hvor blant annet ENISA inngår. I juni 2009 (telecom council) besluttet også medlemsstatene at ENISAs mandat burde utvides og byråets ressurser økes i tråd med den økte betydningen NIS har fått i samfunnet. NIS har en sentral rolle i Digital Agenda for Europa.
Nytt forslag til forordning om styrking og modernisering av ENISA og om å etablere et nytt mandat for byrået for en femårs periode ble fremmet 30. september 2010. Det overordnede målet med det nye forslaget til forordning er å gjøre EU, medlemsstatene og berørte aktører i stand til å utvikle god evne til å forhindre, avdekke og respondere på NIS-problemer. Dette vil bidra til bedre tillit og utvikling av informasjonssamfunnet, det vil bedre den europeiske konkurranseevnen og sikre at det indre markedet fungerer effektivt.
Oppgaver
Forslaget komplementerer både regulatoriske og ikke-regulatoriske politiske initiativer om NIS. CIIP- initiativer som etableringen av ”A European Forum for Member States (EFMS) og ”A European Public-Private Partnership for Resilience (EP3R)”, Stocholmprogrammet og Digital Agenda kan nevnes i denne sammenhengen. Flere av disse initiativene får drahjelp fra ENISA og i fremtiden skal ENISA legge til rette for disse initiativene i økende grad.
Videre skal ENISA bidra på det regulatoriske området. Byrået skal støtte Kommisjonen og medlemsstatene med å lage rammeverk for å implementere sikkerhetsbestemmelsene fremmet i artikkel 13 (a) i rammedirektivet. ENISA skal videre sette opp årlige diskusjonsforum for nasjonale kompetente myndigheter, regulatører og private aktører.
ENISA skal også bidra til cyber sikkerhets øvelser og etablering av CERT for EU-institusjonene og støtte etableringen av nasjonale CERTer i medlemslandene. ENISA skal også drive med bevisstgjøring om NIS.
ENISA skal videre:
• bygge og opprettholde liaison nettverk mellom aksjeholdere og samle kunnskap for å sikre at byrået er vel informert om NIS-landskapet.
• være et NIS-støttesenter for politikkutviklng og implementering (e-privacy, e-sign, e-ID og innkjøpsstandarder for NIS)
• støtte unionens CIIP og sikkerhetspolitikk (øvelser, EP3R, European Information Sharing and Alert System osv)
• sette opp et rammeverk for innsamling av NIS-data, inkludert utviklingsmetoder og praksis for rapportering og deling
• studere økonomien i NIS
• stimulere til samarbeid med tredjeland og internasjonale organisasjoner
• fremme ikke-operative mål knyttet til NIS-aspektene av ”cybercrime”
Vurdering
Norge deltar i ENISA og har observatørstatus i byråets styre. Norge bidrar årlig økonomisk til byrået for å kunne delta. Det er Norges oppfatning at byrået har bidratt til å øke bevisstheten om nett- og informasjonssikkerhets i Europa. Forslaget om å modernisere ENISAs mandat innebærer at byrået blir mer fleksibel samtidig som det mer formelt dras inn i prosesser satt i gang av Kommisjonen. At byrået også gjennom regelverket gis konkrete oppgaver er nytt. ENISA skal i henhold til forslaget også ha en side til kampen mot ”cyber crime”. Justismyndigheter og personvernmyndigheter er invitert med i byråets gruppe for aksjeholdere (Permanent Stakeholders Group). Norge mener den foreslåtte utvidelsen av ENISAs mandat er hensiktsmessig og vil kunne bidra til en mer koordinert og helhetlig tilnærming til NIS i Europa.
Norsk deltakelse i ENISA vurderes som viktig og nødvendig og ikke kontroversielt. Byrået gir Norge innpass på en arena hvor vi har mye kompetanse og kan bidra, men også dra nytte av andre lands og byråets kompetanse. Norske myndigheter vil gjøre de nødvendige tilpasninger slik at reguleringen kan tas inn i norsk rett. Dersom reguleringen vedtas vil det måtte gjøres mindre endringer i ekomregelverket.
Forslaget antas å ikke ha økonomiske eller administrative konsekvenser utover den kontigenten Norge årlig betaler for deltakelse i ENISA. Denne kontigenten dekkes gjennom ordinære budsjettdisposisjoner.
Konklusjon
Forslaget vurderes som EØS-relevant og akseptabelt.
Andre opplysninger
Eksisterende mandat for ENISA foreslås forlenget med 18 måneder (til 13. september 2013) for å sikre tilstrekkelig tid til debatt og prosess, jf. forslag til forordning Kom(2010) 520 om å endre Regulation (EC) No 460/2004 establishing the European Network and Information Security Agency as regards it duration.
Status
Forslaget ble fremmet 30. september 2010, og er nå oversendt til Europaparlamentet og Rådet for videre behandling.
Forslaget er til vurdering i EØS/EFTA-landene.
