Samlenotat vedr. cybersikkerhedstrusler og –hændelser

Side 1 af 17
SAMLENOTAT TIL
FOLKETINGETS EUROPAUDVALG
Kommissionens forslag til Europa-Parlamentets og Rådets forord-
ning om foranstaltninger til styrkelse af solidariteten og kapaciteten
i Unionen til at opdage, forberede sig og reagere på cybersikkerheds-
trusler og -hændelser, KOM (2023) 209
Revideret udgave af grund- og nærhedsnotat af 30. juni 2023. Nye afsnit er
markeret med en streg i margenen.
Notatet oversendes til Folketingets Forsvarsudvalg til orientering.
1. Resumé
Europa-Kommissionen (Kommissionen) har den 18. april 2023 fremsat et for-
slag til en forordning om foranstaltninger, der har til formål at styrke den un-
derliggende solidaritet og kapacitet til at opdage, forberede sig og reagere på
cyberhændelser i EU (KOM (2023) 209), herefter ’forslaget’. Forslaget er mod-
taget i dansk sprogversion den 25. maj 2023.
For at opnå dette vil EU styrke det fælles situationskendskab og kapaciteten
til at opdage cybertrusler og -hændelser, styrke kritiske enheders beredskab,
samt styrke solidariteten og modstandsdygtighed i EU.
Forslaget fastsætter i den forbindelse tre hovedforanstaltninger. Først etab-
leringen af et såkaldt ’europæisk cyberskjold’, der vil bestå af en paneuro-
pæisk infrastruktur bestående af nationale og tværnationale (cross-border)
cybersikkerhedsoperationscentre (herefter nationale og tværnationale sik-
kerhedscentre). Dernæst etableringen af en cyberberedskabsmekanisme,
som skal støtte medlemsstaternes beredskabs- og reaktionsevne med hen-
blik på at sikre omgående genopretning efter væsentlige eller omfattende
cybersikkerhedshændelser. I forlængelse heraf etableres en cyberreserve.
Denne indebærer, at Kommissionen kan rekvirere europæiske cybersikker-
hedsfirmaer til at løse incident reponse opgaver – dvs. udsendelse af cyber-
eksperter – til lande i og uden for EU, fx Ukraine eller Moldova. Til sidst
oprettelsen af en mekanisme til evaluering af cybersikkerhedshændelser,
5. oktober 2023
Offentligt
KOM (2023) 0209 - Bilag 3
Europaudvalget 2023
Side 2 af 17
som Kommissionen, EU-CyCLONe1
eller CSIRT-netværket2
vurderer som væ-
sentlige eller omfattende sikkerhedshændelser.
Forslaget har fået en blandet modtagelse i Rådet. Medlemsstaterne har stillet
spørgsmål til, hvorvidt Kommissionen bevæger sig ind på medlemsstaternes
enekompetence inden for national sikkerhed, forslagets traktatretlige grund-
lag, finansiering gennem Programmet for et digitalt Europa (DEP) samt risiko
for duplikering af allerede etablerede videndelingsnetværk.
Regeringen stiller sig overordnet positiv over for forslaget. Regeringen vil ar-
bejde for, at foranstaltninger, der skal styrke situationsbevidsthed, bered-
skab, modstandsdygtighed og kapaciteter på tværs af EU, anlægger en ba-
lanceret tilgang, der både tager højde for nationale kompetencer og behovet
for øget understøttelse af EU. Det er centralt for regeringen, at ordlyden af
forordningen udarbejdes på en sådan måde, at medlemsstaternes nationale
kompetence inden for national sikkerhed og forsvar respekteres. I forlæn-
gelse heraf skal sådanne foranstaltninger også tage højde for medlemssta-
ters forskelligartede offentlige organisering af deres sikkerhedscentres kapa-
citeter.
Det vurderes, at forslaget ikke i sig selv vil have statsfinansielle konsekvenser.
Danmark kan dog blive underlagt nye forpligtelser, såfremt Danmark indgår i
et tværnationalt samarbejde om et sikkerhedscenter, hvilket i givet fald vil
kunne have statsfinansielle konsekvenser.
2. Baggrund
Forslaget har ifølge Kommissionen hjemmel i Traktaten om den Europæiske
Unions Funktionsmåde (TEUF) artikel 173, stk. 3 (om industri) samt artikel
322, stk. 1, litra a) (om overførselsregler, der fraviger princippet om etårig-
hed fastsat i Europa-Parlamentets og Rådets forordning om de finansielle
regler vedrørende Unionens almindelige budget3
). Forslaget skal behandles
efter den almindelige lovgivningsprocedure i TEUF artikel 294, hvorefter Rå-
det træffer afgørelse med kvalificeret flertal.
Kommissionen fremsætter forslaget med henvisning til et behov for, at styrke
den underliggende solidaritet og kapacitet til at opdage, forberede sig og
reagere på cyberhændelser. Forslaget oplister dermed en række forhold og
problemstillinger, som forslaget søger at adressere. Disse er beskrevet ne-
denfor.
1
Det europæiske netværk af forbindelsesorganisationer for cyberkriser
2
Netværket af enheder, som håndterer IT-sikkerhedshændelser
3
Europa-Parlamentets og Rådets forordning (EU, Euratom) 2018/1046 af 18. juli 2018 om de
finansielle regler vedrørende Unionens almindelige budget
Side 3 af 17
Forslagets foranstaltning vedrørende et europæisk cyberskjold udspringer af
EU’s strategi for cybersikkerhed, som bl.a. fastsætter behovet for et sådant
bestående af tværnationale sikkerhedscentre. Det europæiske cyberskjold
skal bidrage til at beskytte EU’s befolkning, virksomheder og institutioner
mod cybertrusler.
I forslaget henviser Kommissionen også til et behov for at øge informations-
deling og EU’s kollektive cybersikkerhedskapaciteter på tværs af EU. Dette
behov skal ses i lyset af dels krigen i Ukraine, hvor Rusland har benyttet
fjendtlige cyberoperationer, dels at væsentlige cybersikkerhedshændelser kan
skabe så omfattende forstyrrelser, at en enkelt eller flere berørte medlemssta-
ter ikke kan håndtere dem alene. Cyberangreb kan herudover ramme forsy-
ningskæder og have økonomiske konsekvenser. I 2020 berørte angrebet på
SolarWinds’ forsyningskæde mere end 18.000 organisationer på verdensplan.
Forslaget skal også ses i lyset af Rådets tidligere anmodning til Kommissionen
om at forberede et forslag til en ny beredskabsfond for cybersikkerhed4
. Kom-
missionen mener, at der er begrænset solidaritet imellem medlemsstaterne og
begrunder den manglende solidaritet med, at der er en begrænset støtte på
EU-niveau til beredskab og reaktion på cybersikkerhedshændelser. Forslagets
foranstaltning vedr. etableringen af en cyberberedskabsmekanisme skal under-
støtte dette behov,
Kommissionen fremsætter også forslaget for at tilvejebringe juridisk og lang-
varigt finansielt grundlag for sikkerhedscenter-kapacitetsopbygningsprojek-
ter. Kommissionen har allerede iværksat dette projekt gennem Programmet
for et digitalt Europa (DEP)5
og forventer at fortsætte til og med 2027.
Endelig understøtter forslaget ambitionerne i EU’s politik for cyberforsvar fra
den 10. november 2022 om at opbygge en cybersikkerhedsreserve på EU-
plan med tjenester fra betroede leverandører og støtte til test af kritiske en-
heder.6
Kommissionen oplyser, at der på grund af forslagets hastende karakter ikke
er foretaget en konsekvensanalyse. Dog oplyser Kommissionen, at forord-
ningens foranstaltninger støttes af DEP og er i overensstemmelse med de
foranstaltninger, som var genstand for DEP-konsekvensanalyse.
4
Rådets konklusioner om udviklingen af Den Europæiske Unions cyberposition, 23. maj 2022
(9364/22).
5
Programmet for et digitalt Europa yder strategisk finansiering med henblik på at bringe digi-
tal teknologi til virksomheder, borgere og offentlige forvaltninger (https://digital-stra-
tegy.ec.europa.eu/da/activities/digital-programme)
6
Fælles meddelelse til Europa-Parlamentet og Rådet – EU’s politik for cyberforsvar JOIN
(2022) 49 final.
Side 4 af 17
Forordningens foranstaltninger støttes med finansiering under den strategi-
ske målsætning ”cybersikkerhed” gennem både arbejdsprogrammet for cy-
bersikkerhed og det generelle arbejdsprogram i DEP. Med forslaget foreslås
et øget budget til DEP på ca. 745 millioner kroner (100 mil. EUR), som om-
fordeles fra andre strategiske målsætninger. Det øgede budget vil bl.a. un-
derstøtte, at Det Europæiske Kompetencecenter for Cybersikkerhed (ECCC)
kan implementere handleplaner tilhørende sikkerhedscenter-projekterne un-
der cyberskjoldet. Det øgede budget vil også bidrage til etableringen af cy-
bersikkerhedsreserven.
Det spanske formandskab har tilkendegivet, at der arbejdes hen imod ved-
tagelse af en generel indstilling ved det kommende rådsmøde for transport,
telekommunikation og energi den 5. december 2023. Frem mod rådsmødet
vil der fortsat kunne ske væsentlige ændringer af teksten.
Forordningen hjemler at Kommissionen kan vedtage delegerede retsakter.
Denne bemyndigelse findes i forordningens artikel 6, stk. 3, artikel 7, stk. 2,
artikel 8, stk. 3, artikel 12, stk. 8 og artikel 13, stk. 7. Kommissionen kan
dermed vedtage delegerede retsakter efter processen beskrevet i forordnin-
gens artikel 21. Herefter gælder, at de delegerede retsakter er forankret i
Koordinationsudvalget for DEP, nedsat i medfør af forordning (EU) 2021/694.
Proceduren for vedtagelse af de delegerede retsakter findes i forordning (EU)
182/2011, artikel 5, hvoraf det følger, at der afgives udtalelse ved fra kvali-
ficeret flertal efter artikel 16, stk. 4 og 5 i TEU.
3. Formål og indhold
Formålet med forslaget er at styrke solidariteten på tværs af EU for bedre at
kunne detektere, forberede sig og reagere på cybersikkerhedstrusler og –
hændelser. Dette skal opnås ved at:
• Styrke EU’s fælles situationskendskab og kapacitet til at detektere cyber-
trusler og -hændelser og samtidig bidrage til europæisk teknologisk su-
verænitet på cybersikkerhedsområdet.
• Styrke kritiske enheders beredskab i hele EU ved at udvikle fælles ind-
satskapaciteter over for væsentlige eller omfattende cybersikkerheds-
hændelser, herunder også til at støtte associerede tredjelande i DEP.
• Øge EU’s modstandsdygtighed og bidrage til en effektiv indsats ved at
gennemgå og evaluere tidligere væsentlige eller omfattende hændelser,
herunder udvikle eventuelle anbefalinger på baggrund af opbyggede er-
faringer.
Forslaget bygger videre på Europa-Parlamentet og Rådets direktiv (EU)
2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt
fælles cybersikkerhedsniveau i hele EU (NIS2-direktivet).
Side 5 af 17
NIS2-direktivet stiller bl.a. krav om national gennemførelse af cybersikker-
hedsforanstaltninger, hændelsesrapportering samt tilsyns- og håndhævel-
sesbeføjelser, herunder regler om sanktioner. NIS2-direktivet skal være im-
plementeret i dansk ret senest den 17. oktober 2024. Der vil derfor i folke-
tingsåret 2023/24 blive fremsat lovforslag, der implementerer direktivet. Ar-
bejdet i de europæiske samarbejdsgrupper, som oprettes med NIS2-direkti-
vet, vil blive udvidet med nærværende forslag.
Kapitel I – Generelle målsætninger, genstand og definitioner
Forslaget fastsætter foranstaltninger til styrkelse af EU’s kapacitet til at de-
tektere, forberede sig og reagere på cybersikkerhedstrusler- og hændelser,
navnlig gennem følgende tre tiltag:
• Etablering af en paneuropæisk infrastruktur for sikkerhedscentre -
det europæiske cyberskjold - for at styrke det fælles situationskend-
skab og kapaciteten til at detektere hændelser.
• Oprettelsen af en cyberberedskabsmekanisme som vil styrke med-
lemsstaternes beredskabs- og reaktionskapacitet samt sikre hurtig
genopretning efter væsentlige eller omfattende cybersikkerhedshæn-
delser.
• Oprettelse af en europæisk mekanisme med henblik på at evaluere
og lære af væsentlige eller omfattende hændelser.
Det fremgår af forslagets artikel 1, stk. 3, at forordningen ikke berører med-
lemsstaternes "primære ansvar for national sikkerhed, offentlig sikkerhed
samt forebyggelse, efterforskning, afsløring og retsforfølgelse af strafbare
handlinger."
Kapitel II – Det europæiske cyberskjold
Kommissionen foreslår, at der etableres et europæisk cyberskjold med
henblik på at udvikle avancerede kapaciteter til at indsamle, analysere og
behandle data om cybertrusler og -hændelser i EU. Skjoldet skal bestå af
nationale og tværnationale sikkerhedscentre.
Det europæiske cyberskjold skal:
• samle og dele data om cybertrusler og -hændelser fra forskellige kilder
gennem tværnationale sikkerhedscentre
• udvikle og tilvejebringe anvendelige oplysninger om cybertrusler ved
hjælp af bl.a. kunstig intelligens og dataanalyseteknologier
• bidrage til bedre beskyttelse mod og reaktion på cybertrusler
• bidrage til hurtigere detektion af cybertrusler og stærkere
situationskendskab i hele EU
• levere tjenester og aktiviteter til cybersikkerhedssektoren i EU, herunder
bidrage til udviklingen af den europæiske forsyningskæde for udviklingen
af værktøjer inden for avanceret kunstig intelligens og dataanalyse.
Det fremgår af forslaget, at for at deltage i det europæiske cyberskjold skal
hver medlemsstat udpege mindst ét nationalt sikkerhedscenter, som skal
Side 6 af 17
være et offentligt organ. De nationale sikkerhedscentre skal fungere som
referencepunkt til andre offentlige og private organisationer på nationalt plan
med henblik på at indsamle og analysere oplysninger om
cybersikkerhedstrusler og -hændelser og bidrage til ent tværnationale
sikkerhedscentre.
De tværnationale sikkerhedscentre organiseres og styres af et konsortium,
som skal bestå af mindst tre medlemsstater. Forslaget fastslår, at konsortie-
medlemmerne skal udveksle indbyrdes relevante oplysninger om fx cyber-
trusler, hændelser, sårbarheder, teknikker og procedurer, indikatorer for
kompromittering, og fjendtlige taktikker.
I forslaget tilskyndes til udveksling af oplysninger mellem tværnationale cen-
tre. For at garantere en effektiv udveksling af oplysninger vil kommissionen
fastsætte betingelser for interoperabilitet mellem de tværnationale centre.
Betingelserne for interoperabilitet fastsættes efter høring af ECCC. Endelig
fastsætter forslaget, at såfremt de tværnationale centre indhenter oplysnin-
ger om en potentiel eller igangværende væsentlig cybersikkerhedshændelse,
skal relevante oplysninger forelægges EU-CyCLONe, CSIRT-netværket og
Kommissionen i betragtning af deres respektive krisestyringsroller.
Kapitel III – Beredskabsmekanisme for cybersikkerhed
Kommissionen foreslår at etablere en cyberberedskabsmekanisme, der skal
forbedre EU’s modstandsdygtighed over for større cybersikkerhedstrusler.
Cyberberedskabsmekanismen er også et krisestøtteinstrument, der skal
hjælpe medlemsstaterne med at indkapsle, afbøde og genoprette de kortsig-
tede virkninger af væsentlige og omfattende cybersikkerhedshændelser.
Medlemsstaterne kan frivilligt anmode om hjælp under cyberberedskabsme-
kanismen.
Cyberberedskabsmekanismen har til hensigt at sikre, at der er specialiserede
ressourcer til rådighed til at støtte forskellige typer af beredskabsforanstalt-
ninger:
• Koordinerede beredskabstest af enheder, der opererer i meget kritiske
sektorer i EU. Dette vil overordnet indebære test af sårbarheder hos es-
sentielle enheder, der driver kritisk infrastruktur, støtte til trussels- og
risikovurderinger og risikomonitorering af aktiver og sårbarheder. Bered-
skabstestene vil også kunne sikre en konsekvent tilgang til at teste sik-
kerheden på tværs af EU. Denne del af mekanismen vil finansieres gen-
nem arbejdsprogrammet for cybersikkerhed i DEP 2023-2024. Disse tests
forventes at være frivillige.
• Foranstaltninger der omfatter reaktion på og hurtig genopretning af funk-
tioner og tjenester efter væsentlige eller omfattende hændelser. Forord-
ningen vil også etablere en cybersikkerhedsreserve, der skal bestå af be-
troede udbydere, som skal kunne levere beredskabstjenester til at un-
Side 7 af 17
derstøtte foranstaltningen. De betroede udbydere er udvalgt i overens-
stemmelse med en række kriterier, som forordningen fastsætter. Udby-
derne skal fx have en passende sikkerhedsgodkendelse, have et pas-
sende sikkerhedsniveau og kunne dokumentere erfaring med at levere
lignende tjenester til nationale myndigheder eller enheder, der opererer
i kritiske eller meget kritiske sektorer.
Det fremgår af forslaget, at brugerne af tjenesterne fra EU’s cybersikker-
hedsreserve omfatter medlemsstaternes cyberkrisemyndigheder og
CSIRT’er7
samt EU’s institutioner, organer og agenturer. Det foreslås, at
Kommissionen har det overordnede ansvar for gennemførelsen af EU's
cybersikkerhedsreserve og kan helt eller delvist overdrage driften og ad-
ministrationen af reserven til ENISA. Kommissionen kan i gennemførel-
sesretsakter præcisere de typer og det antal af beredskabstjenester, der
kræves i EU's cybersikkerhedsreserve. For at modtage støtte foreslår
Kommissionen, at brugerne af cyberreserven træffer deres egne foran-
staltninger for at afbøde virkningerne af den hændelse, som der anmodes
om støtte til. Anmodningerne vil blive oversendt til Kommissionen og
ENISA. Gennem gennemførelsesretsakter skal de detaljerede ordninger
for tildeling af støtte fra EU’s cybersikkerhedsreserve fastlægges. Endelig
foreslås det, at tredjelande kan anmode om støtte fra EU’s cybersikker-
hedsreserve, hvis de associeringsaftaler, der er indgået vedrørende deres
deltagelse i DEP, indeholder bestemmelser herom.
• Gensidige bistandsaktioner i form af bistand fra en medlemsstats natio-
nale myndigheder til en anden medlemsstat.
Kapitel IV – Mekanisme til gennemgang af cybersikkerhedshændel-
ser
Kommissionen foreslår, at der skal etableres en mekanisme til evaluering og
analyse af cybersikkerhedshændelser. Nærmere foreslås det, at Kommissio-
nen, EU-CyCLONe eller CSIRT-netværket kan anmode ENISA om at vurdere
trusler, sårbarheder og afbødende foranstaltninger ved specifikke, væsent-
lige eller omfattende cybersikkerhedshændelser. Efter afsluttet evaluering,
analyse og vurdering af en hændelse, skal ENISA fremsende en rapport om
hændelsen til CSIRT-netværket, EU-CyCLONe og Kommissionen. Hvis rele-
vant, kan Kommissionen videresende rapporten til EU’s højtstående repræ-
sentant for udenrigsanliggender og sikkerhedspolitik.
Det fremgår af forslaget, at ENISA i forbindelse med udarbejdelsen af rap-
porterne skal samarbejde med alle relevante interessenter, herunder repræ-
sentanter fra medlemsstater, Kommissionen, andre relevante EU-institutio-
ner, -organer og -myndigheder, udbydere samt brugere af administrerede
sikkerhedstjenester.
7
Computer Security Incident Response Team (CSIRT) i andre sammenhænge betegnet CIRT.
Side 8 af 17
I forslaget specificeres det, at rapporterne bør omfatte en gennemgang og
analyse af den specifikke cybersikkerhedshændelse, herunder de vigtigste
årsager, sårbarheder og opbyggede erfaringer. Fortrolige oplysninger be-
skyttes i overensstemmelse med EU-retten eller national ret vedrørende be-
skyttelse af følsomme eller klassificerede informationer. Desuden skal rap-
porten, hvor det er relevant, indeholde anbefalinger til forbedring af EU’s
cyberposition. Hvis det er muligt, offentliggøres en udgave af rapporten, som
kun vil indeholde oplysninger, der kan offentliggøres.
Kapitel V – Afsluttende bestemmelser
Som følge af forslaget foretages ændringer i forordningen om programmet
for DEP mhp. at omprioritere midler fra indsatsområde 2 (Cloud, Data og
AI) og indsatsområde 4 (Avancerede digitale kompetencer) til indsatsom-
råde 3 (cybersikkerhed). Der er tale om en reallokering på ca. 745 mio. kr.
(100 mio. EUR) fra indsatsområde 2 og 4 til indsatsområde 3. Midlerne vil
være øremærket til indsatserne beskrevet i forslaget, hvor der allerede var
afsat 857 mio. kr. (115 mio. EUR) til pilotprojekter.
Kommissionen, Europa-Parlamentet og Rådet vil blive forelagt en rapport om
evaluering og revision af forordningen senest fire år efter dens vedtagelse.
Gennemførelsesretsakter
Kommissionen har beføjelse til at vedtage gennemførelsesretsakter med det
formål at: i) præcisere betingelserne for interoperabilitet mellem tværnatio-
nale sikkerhedscentre (kapitel II), ii) fastlægge de proceduremæssige ord-
ninger for udveksling af oplysninger mellem tværnationale centre og rele-
vante EU-enheder vedrørende en mulig eller igangværende væsentlig cyber-
sikkerhedshændelse (kapitel II), iii) fastsætte tekniske krav for at sikre et
højt niveau af data og fysisk sikkerhed i infrastrukturen, og beskytte EU’s
sikkerhedsinteresser, når der udveksles oplysninger med enheder, der ikke
er offentlige organer i medlemsstaterne (kapitel II), iv) præcisere, hvilke ty-
per og hvor mange beredskabstjenester der er nødvendige i EU’s cybersik-
kerhedsreserve (kapitel III), og v) yderligere præcisere de detaljerede ord-
ninger for tildeling af støttetjenester under EU’s cybersikkerhedsreserve (ka-
pitel III).
Det forventes, at der på rådsmødet vil være en drøftelse af implikationer af
cyberreserven, herunder i hvilket omfang forslaget påvirker medlemsstaternes
ansvar for national sikkerhed. Det bemærkes, at der endnu ikke har været en
fuld gennemlæsning af forordningsudkastet, hvorfor der fortsat kan ske større
ændringer. Derudover forventes en række stater at fremhæve rækkevidden af
medlemsstaternes kompetence inden for national sikkerhed.
Side 9 af 17
4. Europa-Parlamentets udtalelser
Europa-Parlamentet er i henhold til den almindelige lovgivningsprocedure
(TEUF art. 294) medlovgiver. Der foreligger endnu ikke en udtalelse.
Det er Europa-Parlamentets udvalg for industri, forskning og energi (ITRE),
der behandler forslaget.
5. Nærhedsprincippet
Kommissionen henviser til, at forordningen er fremsat med hjemmel i artikel
173, stk. 3 og artikel 322, stk. 1, litra a), i traktaten om Den Europæiske Unions
Funktionsmåde (TEUF).
TEUF artikel 173, stk. 3 giver EU og medlemsstaterne mulighed for at ved-
tage foranstaltninger til støtte for medlemsstaternes aktioner til virkeliggø-
relse af målene i artiklens stk. 1. Bestemmelsen tillader dog ikke harmoni-
sering af medlemsstaternes love og administrative bestemmelser. TEUF ar-
tikel 173, stk. 1 fastsætter, at EU og medlemsstaterne sørger for, at de nød-
vendige betingelser for EU-industriens konkurrenceevne er til stede, bl.a.
med sigte på at fremme udnyttelsen af det industrielle potentiale i politik-
kerne for innovation, forskning og teknologisk udvikling.
Det bemærkes, at deltagelsen i forslagets tre foranstaltninger som udgangs-
punkt er baseret på frivillighed for medlemsstaterne. Beslutter medlemssta-
terne sig dog for at bidrage til eller deltage i de tre foranstaltninger, kan der
være forpligtelser forbundet med denne beslutning. Forslaget lægger derfor
som udgangspunkt ikke op til en harmonisering af medlemsstaternes love og
administrative bestemmelser i forordningen, da det er frivilligt om man be-
nytter sig af foranstaltningerne i forordningen. Hensigten er, at forslaget skal
supplere og ikke overlappe de nationale situationskendskab og beredskab,
samt kapaciteten til at opdage og reagere på cybertrusler og -hændelser.
TEUF artikel 322, stk. 1, litra a) giver hjemmel til, at Europa-Parlamentet og
Rådet kan træffe afgørelse efter almindelig lovgivningsprocedure, efter hø-
ring af Revisionsretten, om finansielle regler, der fastsætter retningslinjer for
budgettet mv. Det er Kommissionens vurdering, at der i forslaget laves en
finansieringsramme for de tre foranstaltninger, hvortil der er behov for en
vis finansiel fleksibilitet. TEUF artikel 322, stk. 1, litra a) giver mulighed for
at fravige princippet om etårighed fastsat i Europa-Parlamentets og Rådets
forordning (Euratom) 2018/1046. Denne bør benyttes henset til det uforud-
sigelige cybersikkerheds- og trusselsbillede. Beredskabsmekanismen bør
derfor have en vis grad af fleksibilitet med hensyn til budgetforvaltning.
Overordnet set peger Kommissionen på, at cybertruslers udprægede tværnati-
onale karakter gør, at målsætningerne for den nuværende indsats ikke effektivt
vil kunne opfyldes af medlemsstaterne alene. Med udgangspunkt i artikel 5 i
Traktaten om den Europæiske Union, fastlægger forordningen rammerne for
en fælles regulering på tværs af EU for at styrke cybersolidariteten og bedre
Side 10 af 17
kunne opdage, forberede sig og reagere på cybersikkerhedstrusler og –hæn-
delser. Der bør til støtte herfor udvikles gensidige støttemekanismer, navnlig
samarbejde med den private sektor, for at skabe solidaritet på EU-niveau.
Kommissionen oplyser endvidere, at forordningens formål er at styrke indu-
striens og servicesektorens konkurrenceevne i Europa og støtte den digitale
omstilling ved at styrke cybersikkerhedsniveauet på det indre marked. For-
ordningen har navnlig til formål, at øge modstandsdygtigheden hos borgere,
virksomheder og enheder, som opererer i kritiske sektorer over for de tilta-
gende cybersikkerhedstrusler og dermed kan have ødelæggende samfunds-
mæssige og økonomiske virkninger. Disse tiltag vurderes at have hjemmel i
TEUF artikel 173, stk. 3.
På den baggrund vurderer Kommissionen, at der er behov for tværgående
handling på EU-plan, hvorfor forslaget fremsættes med hjemmel TEUF artikel
173, stk. 3 og artikel 322, stk. 1, litra a). Kommissionen oplyser endvidere,
at foranstaltningerne ikke går videre, end hvad der er nødvendigt for at op-
fylde forordningens mål.
Regeringen kan umiddelbart tilslutte sig Kommissionens vurdering og finder
på det foreliggende grundlag, at forslaget som udgangspunkt er i overens-
stemmelse med nærhedsprincippet. Der tages dog forbehold for eventuelle
forhold fra analysen af hjemmelsgrundlaget fra Rådets Juridiske Tjeneste,
der fortsat udestår, samt afklaring af Kommissionens beføjelser under for-
slaget til at lave gennemførelsesretsakter med hjemmel i forordningen.
6. Gældende dansk ret
Den danske lovgivning indeholder ikke nærmere regler om etablering af et
nationalt sikkerhedscenter eller deltagelse i tværnationale sikkerhedscentre
som led i et europæisk cyberskjold svarende til det foreslåede.
Center for Cybersikkerhed (CFCS) under Forsvarets Efterretningstjeneste
(FE) har til opgave at understøtte et højt informationssikkerhedsniveau i den
informations- og kommunikationsteknologiske infrastruktur, som samfunds-
vigtige funktioner er afhængige af. I den forbindelse rådgiver CFCS om cy-
bertrusler og beskyttelsesforanstaltninger og bistår efter omstændighederne
med håndtering af cyberangreb. CFCS løser således i dag en række opgaver
af sammenlignelig karakter, som det, der følger af dele af forslaget. CFCS’
virksomhed, herunder rammerne for CFCS’ analyse og videregivelse af data,
er reguleret i CFCS-loven.
7. Konsekvenser
Lovgivningsmæssige konsekvenser
Forordningen vil være direkte gældende i Danmark.
Side 11 af 17
Det bemærkes indledningsvist, at forslagets nærmere rammer for nationale
og tværnationale sikkerhedscentre, herunder navnlig deres eventuelle tilve-
jebringelse, behandling og udveksling af personoplysninger eller fortrolige
oplysninger, ikke på nuværende tidspunkt er så konkretiseret, at der kan
foretages en tilbundsgående vurdering af alle forslagets lovgivningsmæssige
konsekvenser.
Der er eksempelvis flere elementer i forslaget, hvor Kommissionen vil kunne
fastsætte nærmere regler ved udstedelsen af gennemførelsesretsakter. Det
foreslås således, at Kommissionen kan udstede gennemførelsesretsakter,
der 1) fastsætter betingelserne for interoperabilitet mellem de tværnationale
sikkerhedscentre med henblik på udveksling af oplysninger, 2) fastlægger de
proceduremæssige ordninger for udveksling af oplysninger mellem de tvær-
nationale sikkerhedscentre og nærmere angivne EU-organer, og 3) fastsæt-
ter tekniske krav til medlemsstaternes forpligtigelse til at sikre et højt niveau
af datasikkerhed og fysisk sikkerhed i den infrastruktur, der udgør det euro-
pæiske cyberskjold.
Da de nærmere regler vedrørende overstående skal fastsættes ved gennem-
førelsesretsakter, er det på nuværende tidspunkt ikke muligt at vurdere de
eventuelle lovgivningsmæssige konsekvenser heraf.
Den nærmere ordning for deltagelsen i et tværnationale sikkerhedscenter vil
blive fastlagt i en såkaldt konsortieaftale, der indgås mellem medlemmerne
af det tværnationale sikkerhedscenter.
Det er endnu ikke konkretiseret, hvilket indhold en eventuel konsortieaftale
vil have, og hvordan arbejdet i det tværnationale sikkerhedscenter vil blive
udmøntet i praksis. Derfor er det ikke muligt på nuværende tidspunkt at
vurdere de lovgivningsmæssige konsekvenser af denne del af forslaget.
Såfremt Danmark indgår i samarbejde om et tværnationale sikkerhedscen-
ter, vil der være behov for nærmere at regulere eksempelvis den behandling
af personoplysninger, der i givet fald vil finde sted.
En vedtagelse af forslaget og en efterfølgende etablering af et nationalt sik-
kerhedscenter eller deltagelse i et tværnationale sikkerhedscenter med pla-
cering under FE/CFCS kan således efter omstændighederne medføre et be-
hov for tilpasning af dansk lovgivning.
Det bemærkes afslutningsvist, at det skal vurderes nærmere, om der er et
behov for tilpasning af gældende lovgivning for at kunne udføre eventuelle
koordinerede beredskabstests af enheder, der opererer i meget kritiske sek-
torer i EU.
Økonomiske konsekvenser
Side 12 af 17
Statsfinansielle konsekvenser
Det forventes, at forslaget vil få statsfinansielle konsekvenser, såfremt Dan-
mark indgår i et samarbejde om et tværnationale sikkerhedscenter. De stats-
finansielle konsekvenser er således ikke en direkte effekt af forordningens
vedtagelse og direkte virkning i Danmark. Omkostningerne kan omfatte nye
opgaver til eksisterende myndigheder i form af etablering og drift af et tvær-
nationalt sikkerhedscenter, som vil indgå i det europæiske cyberskjold. Etab-
leringen vil omfatte deltagelse i det fælles indkøb, som bliver organiseret af
ECCC, og skal indkøbe software og hardware, som skal udgøre sikkerheds-
centret. Driften indebærer løbende udgifter til personel, aktiviteter, rejser,
eventuelle udbud og vedligeholdelse af udstyr. Der er gennemført et udgifts-
skøn på baggrund af overvejelser om dansk deltagelse i cyberskjoldet med
seks øvrige medlemsstater, hvilket skønnede etableringsomkostninger til ca.
4,5 mio. kr. og driftsomkostninger over 3 år til ca. 4,5 mio. kr.
Det bemærkes, at afledte nationale udgifter som følge af EU-retsakter afhol-
des inden for de berørte ministeriers eksisterende bevillingsramme, jf. bud-
getvejledningens bestemmelser herom.
Samfundsøkonomiske og erhvervsøkonomiske konsekvenser
Forslaget vurderes ikke at have samfundsøkonomiske eller erhvervsøkono-
miske konsekvenser.
Andre konsekvenser og beskyttelsesniveauet
Det forventes, at forslaget på sigt vil øge cybersikkerheden i Danmark til
gavn for både virksomheder og forbrugere og for den nationale sikkerhed.
Cybersikkerhedslovgivning, der stiller krav til deling af informationer om cy-
bertrusler, støtte til medlemsstaterne ved omfattende cybersikkerhedshæn-
delser samt efterfølgende evaluering af disse hændelser, vil bidrage til at
myndigheder og virksomheder i Danmark er bedre beskyttet i cyberspace.
Forslaget skønnes derudover ikke i sig selv at medføre administrative eller
miljømæssige konsekvenser.
8. Høring
Forslaget har været i høring i specialudvalget for Civilbeskyttelse fra 9. juni
til 13. juni.
Forslaget er hertil sendt i ekstern høring hos Dansk Industri, Dansk Erhverv,
CENSEC, Danske Maritime, Navalteam, Dansk Metal, DigitalLead, IDA og It-
Branchen. Høringsfristen var fastsat til den 23. juni 2023. Der indkom hø-
ringssvar fra Dansk Industri og IT-Branchen.
Dansk Industri (DI) bemærker, at cybertruslen er alvorlig og forventes i lyset
af den sikkerhedspolitiske situation kun at blive mere alvorlig. Derfor er det
afgørende, at man både nationalt og internationalt styrker cybersikkerhed
og samarbejde herom. Dog finder DI ikke at forslaget er svaret.
Side 13 af 17
DI bemærker, at der er meget regulering på det digitale område og inden for
cybersikkerhed, og at forslaget bygger oven på NIS2-direktivet, der først får
virkning til oktober 2024. DI pointerer, at der derudover allerede eksisterer
forskellige former for videndeling mellem cybersikkerhedsenheder på tværs
af EU, og ikke mindst på tværs af vores allierede, der også omfatter lande
uden for EU. DI finder derfor, at der ikke er brug for nye lignende tiltag, før
man har fået erfaringer fra NIS2-implementeringen og analyseret, hvad der
konkret er brug for i forhold til fx videndeling. DI bemærker, at kræfterne
bør fokuseres på de rigtige initiativer.
DI påpeger, at forslaget lægger op til at etablere en europæisk cybersikker-
hedsreserve bestående af udvalgte betroede udbydere af cybersikkerheds-
tjenester, der skal reagere på væsentlige eller omfattende cybersikkerheds-
hændelser og omgående genopretning efter sådanne hændelser. Tjenesterne
kan indsættes i alle medlemsstater. DI bemærker, at der lægges op til, at
udvalgte it-sikkerhedsfirmaer vil kunne udføre hændelsesberedskabstjene-
ster på EU’s vegne i alle medlemsstater.
DI vurderer umiddelbart, at det kun vil være de største europæiske it-sik-
kerhedsleverandører, der vil være i spil til at vinde et sådant udbud. DI fo-
reslår derfor, at det i stedet skal være op til medlemsstaterne selv at udvælge
it-sikkerhedsleverandører med eksisterende kendskab til det enkelte med-
lemsstats digitalisering og it-sikkerhed, som betroede udbydere finansieret
af cybersikkerhedsreserven.
DI mener, at det giver bedre muligheder for en hurtig afhjælpning med na-
tionalt kendskab og et allerede eksisterende tillidsforhold, og derudover vil
det skabe bedre muligheder for, at flere it-sikkerhedsleverandører vil kunne
være betroede udbydere, herunder at udvikle markedet for cybersikkerheds-
tjenester i det enkelte medlemsstat, i stedet for at styrke enkelte allerede
store cybersikkerhedsleverandører med det fremsatte forslag.
IT-Branchen (ITB) bakker overordnet op om forslaget, der har som grund-
formål at styrke EU landenes indbyrdes solidaritet med hinanden ved at op-
bygge et antal sikkerhedcentre som er tværnationale, det såkaldte Cyber-
skjold. ITB mener at der i det tværnationale samarbejde om sikkerhedscen-
tre bør tages højde for at ikke alle EU lande er lige digitaliserede.
I forhold til den pulje af midler, der afsættes til at hjælpe virksomheder der
bliver ramt af cyberangreb, og som virksomhederne kan bede om midler fra
til at afbøde konsekvenser af cyberangreb, mener ITB, at det fjerner noget
af incitamentet til at sikre sine systemer, da der ikke stilles krav til hvordan
man kan gøre sig fortjent til midlerne. ITB påpeger derudover, at hvis mid-
lerne skal gøre nytte, skal de være tilgængelige meget hurtigt efter at der er
Side 14 af 17
konstateret et succesfuldt angreb. Her er der behov for meget hurtige admi-
nistrative processer, og lovforslaget redegør ikke umiddelbart for processen
for at få midlerne.
ITB mener, at for at de tværnationale sikkerhedsoperationscentre skal fun-
gere effektivt i forhold til threat intelligence, er det ikke hensigtsmæssigt,
hvis sikkerhedscentrene bliver begrænset fra at afsøge ”leaks” på darknet.
Her vil de finde lækkede databaser med passwords og personoplysninger.
ITB finder derudover, at der som et minimum bør være en forpligtelse til at
offentliggøre daglige trusselsvurderinger, som har en karakter af rådata, som
andre virksomheder kan anvende i deres arbejde med sikkerhedskunder.
ITB mener, at hvis sikkerhedscentrene opdager noget, der ikke er samfunds-
kritisk, bør de stadig kunne dele deres viden med deres nationale efterforsk-
ningsenheder, således at den generelle sikkerhed og kriminalitetsbekæm-
pelse bliver forbedret. Det bør derudover være muligt at dele data anonymt
i realtid blandt sikkerhedscentrene.
ITB påpeger, at det i dag er muligt at lave en national null routning. ITB
bemærker, at det i Danmark tager et sted imellem et par timer og flere dage.
I Norge er det muligt at lave det på fem minutter. ITB mener derfor at det
bør indføres i alle lande og testes, således at man i en krise kan lukke ned
for visse IP´er/ URL´er eller landes trafik. ITB mener at det generelt set bør
være ISP’ernes ansvar.
ITB bemærker, at det i forslaget anbefales, at der konstrueres et antal mini-
mumskrav til virksomheder, der byder ind til cybersikkerhedsberedskabet.
Der anvises dog ikke hvad kravene bør være, eller hvordan de etableres. Det
anføres i forslaget at der bør lægges særlig vægt på erfaringer, ekspertise,
faglig integritet og upartiskhed. For at det skal være effektivt, mener ITB, at
kravene til dette bør være kendte, så virksomheder kan lægge en plan for at
imødekomme dem. ITB mener, at kravene i artikel 16 i forslaget ikke er
entydige, men i stedet inviterer til en subjektiv vurderingsproces.
ITB finder, at for at opnå succes med cybersikkerhedsreserve initiativet er
det essentielt, at de private udbydere, der indgår i reserven, holdes oriente-
ret af sikkerhedscentrene løbende, og ikke først tilkaldes når en krise ind-
træffer, og herefter skal sætte sig ind i tingene.
ITB mener, at der bør være mulighed for at ting kan blive driftet af ens kon-
kurrenter eller samarbejdspartnere. ITB påpeger, at bankerne i Danmark fx
har en aftale om, at datacentrene kan overtage trafik for hinanden, hvis der
sker en hændelse.
Side 15 af 17
9. Generelle forventninger til andre landes holdninger
Der har i Rådets horisontale arbejdsgruppe for cyber (HWPCI) indtil videre
været en tematisk drøftelse af sikkerhedscentrene i forslaget, samt en ses-
sion, hvor medlemsstaterne har kunnet stille spørgsmål til forslaget til Kom-
missionen. Samtlige lande har taget undersøgelsesforbehold, og ikke givet
officielle holdninger til kende. Der er således indtil nu fortrinsvist stillet tek-
niske spørgsmål til forslaget.
Forslaget har generelt fået en blandet modtagelse. En række medlemsstater
har haft spørgsmål til forslaget, blandt andet vedrørende forslagets traktat-
retlige hjemmel, finansiering gennem DEP, national kompetence samt dupli-
kering i forhold til allerede etablerede videndelingsnetværk.
Danmark har sammen med 23 andre medlemsstater fremsendt et non-papir
den 31. marts 2023 (inden forslagets fremsættelse), med fokus på at med-
lemsstaterne skal indgå i tæt dialog med Kommissionen om udarbejdelsen
og vedtagelsen af forslaget, at den kommende EU-cybersikkerhedsreserve
skal tilpasses medlemsstaternes behov, samt at medlemsstaterne skal være
med til at bestemme krav til reserven og være inde over beslutning om ak-
tivering af reserven.
Det bemærkes, at der endnu ikke har været en fuld gennemlæsning af for-
ordningsudkastet, hvorfor der heller ikke er blevet justeret i forordningsud-
kastet.
10. Regeringens generelle holdning
Regeringen stiller sig overordnet positiv over for forslaget.
I EU-kredsen er der overordnet anerkendelse af formålet med forordningen,
om end flere medlemsstater har forholdt sig kritisk til enkelte elementer i
udkastet til forordningen. Medlemsstaterne er overordnet enige i ambitionen
om at skabe større solidaritet og understøtte et højt cybersikkerhedsniveau
på tværs af EU.
Regeringen er enig med Kommissionen i, at der er behov for at styrke med-
lemsstaternes og EU’s kapaciteter til at reagere effektivt og behændigt på
cybersikkerhedstrusler og ondsindet aktivitet i cyberdomænet rettet mod EU
og medlemsstaterne. Regeringen er ligeledes positiv over for foranstaltnin-
ger, der vil styrke solidariteten medlemslandene imellem i tilfælde af væ-
sentlige cybersikkerhedshændelser.
Det er centralt for regeringen, at ordlyden af forordningen respekterer med-
lemsstaternes nationale kompetence inden for national sikkerhed og forsvar
efter TEU, artikel 4, stk. 2.
Side 16 af 17
I forlængelse heraf er det centralt for regeringen, at Kommissionens beføjel-
ser til at udstede gennemførelsesretsakter skal afgrænses. Regeringen er
skeptisk over for, at den nærmere definition af interoperabilitetskrav, infor-
mationsdeling samt tildeling af støttetjenester skal ske igennem gennemfø-
relsesretsakter, der udarbejdes af Kommissionen. Regeringen mener også,
at der bør udarbejdes en konsekvensanalyse af forslaget, for at der bedst
muligt kan tages stilling til forslaget. Et udestående i forhandlingerne er så-
ledes Kommissionens beføjelser til ved hjælp af gennemførelsesretsakter at
fastlægge rammerne for hvilke tjenester, der kan indgå i EU's cybersikker-
hedsreserve, samt præcisere de organisatoriske rammer for tildeling af støtte
fra reserven. Flere medlemsstater har derfor advokeret for, at medlemssta-
terne bliver inddraget i beslutningen om, hvorvidt cybersikkerhedsreserven
skal yde støtte til de tredjelande, der kan modtage støtten.
Regeringen støtter den foreslåede finansiering af forslaget igennem DEP ar-
bejdsprogrammet. Prioriteringer af midler indenfor DEP bør generelt foreta-
ges på en sammenhængende, inkluderende og transparent måde frem for i
områdespecifikke retsakter.
Regeringen mener, at der er behov for mere forudsigelighed for aktørerne
ift. finansieringen af cyberinitiativerne under DEP, og at disse i højere grad
bør formuleres som frivillige rammer igennem det eksisterende samarbejde
imellem medlemsstaterne og det Europæiske Kompetencecenter for Cyber-
sikkerhed (ECCC).
Regeringen vil arbejde for, at foranstaltninger, der skal styrke situationsbe-
vidsthed, beredskab, modstandsdygtighed og kapaciteter på tværs af EU
overfor cybersikkerhedstrusler og -hændelser, anlægger en balanceret til-
gang, der både tager højde for nationale kompetencer og behovet for øget
understøttelse af EU. Et udestående relateret til sikkerhedscentrene er for-
ståelsen af, hvorvidt forordningen også vil regulere nationale strukturer eller
blot det mellemstatslige samarbejde, der vil finde sted i de tværnationale
sikkerhedscentre.
Regeringen støtter foranstaltninger, der sikrer effektiv informationsudveks-
ling og situationsbevidsthed, fx etableringen af tværnationale sikkerhedscen-
tre. Det er centralt for regeringen, at arbejdet med at højne informationsde-
ling på fælleseuropæisk niveau ikke samtidig forpligter medlemsstaterne til
at dele klassificerede eller følsomme oplysninger. Et væsentligt opmærksom-
hedspunkt i forhandlingerne har været, hvordan der bedst opnås tillid med-
lemsstaterne imellem i de tværnationale sikkerhedscentre. Gensidig tillid
medlemsstaterne imellem er en forudsætning for at data og information vil
blive delt mellem medlemsstaterne i det ønskede omfang. I forlængelse heraf
finder regeringen det ikke formålstjenesteligt, at Kommissionen via regule-
ring tvinger medlemsstaterne til at dele data. Dette ses at have konsekven-
ser for bl.a. erhvervslivets villighed til at dele data.
Side 17 af 17
Regeringen finder det vigtigt, at centrale begreber i forslaget afklares. Der
er behov for yderligere at præcisere afgrænsningen af bl.a. et nationalt sik-
kerhedscenter og et tværnationalt sikkerhedscenter for at skabe transparens
og en fælles forståelse for centrenes samt forordningens anvendelse. Rege-
ringen er åben over for introduktionen af ny terminologi, hvis denne skaber
mere klarhed. Der bør arbejdes på en præcisering af forslaget i relation til
udførslen af bereskabstests, således at der ikke er tvivl om, hvorvidt delta-
gelse i disse er frivillige for medlemsstaterne. En række lande har desuden
efterspurgt, at forordningen indeholder tydeligere definitioner, herunder af,
hvad et nationalt sikkerhedscenter omfatter.
Regeringen finder, at beredskabsforanstaltninger, der skal forbedre EU’s
modstandsdygtighed over for større cybersikkerhedstrusler og –hændelser,
skal tage højde for nationale forhold. Først bør det afklares, om det rette
nationale juridiske grundlag for beredskabstest er på plads.
Regeringen er positivt indstillet over for foranstaltninger, der bidrager til
styrkelsen af EU’s kollektive cyberforsvar- og sikkerhed. I forbindelse med
oprettelsen af en EU cybersikkerhedsreserve, samt dennes eventuelle de-
ployering, finder regeringen det vigtigt, at der tages højde for nationale in-
dividuelle forhold med henblik på at sikre kompabilitet. Regeringen er desu-
den åben for at drøfte alternative organiseringer af cybersikkerhedsreserven,
herunder andre medlemsstaters forslag til en cybersikkerhedsnødfond. Un-
der forhandlingerne har flere medlemsstater stillet spørgsmålstegn ved,
hvordan cyberreserven vil fungere i praksis, da der fortsat er uklarheder ift.
indkøbsprocessen, aktiveringen, udsendelsen og udvælgelsen af cyberreser-
ven. Flere medlemsstater har fremhævet, at cyberreserven skal give mer-
værdi, og en række medlemsstater undersøger, om det vil være mere effek-
tivt med en cybernødfond, som der blev efterspurgt på telekomministermø-
det i Nevers i 2022.
Regeringen byder ligeledes foranstaltninger og samarbejde med ligesindede
partnere og tredjelande, der bidrager til EU’s evne til at afskrække og reagere
på ondsindet adfærd i cyberspace, velkommen. Regeringen finder, at med-
lemsstaterne bør være inddraget i beslutningen om at støtte tredjelande gen-
nem EU’s cybersikkerhedsreserve.
Regeringen mener, at der bør sikres sammenhæng og undgås unødvendige
overlap mellem eksisterende indsatser. Regeringen finder det her vigtigt, at
der ikke skabes unødige administrative og økonomiske byrder for virksom-
heder og offentlige myndigheder. Derudover vil regeringen arbejde for, at
forslaget tilrettelægges, så det i videst muligt omfang kommer dansk cyber-
industri til gode.
11. Tidligere forelæggelse for Folketingets Europaudvalg
Sagen har ikke tidligere været forelagt for Folketingets Europaudvalg.