ARBEJDSDOKUMENT FRA KOMMISSIONENS TJENESTEGRENE RESUMÉ AF RAPPORTEN OM KONSEKVENSANALYSEN Ledsagedokument til forslag til Europa-Parlamentets og Rådets direktiv om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen og om ophævelse af direktiv (EU) 2016/1148

EN EN
EUROPEAN
COMMISSION
Brussels, 16.12.2020
SWD(2020) 344 final
COMMISSION STAFF WORKING DOCUMENT
EXECUTIVE SUMMARY OF THE IMPACT ASSESSMENT REPORT
Accompanying the document
Proposal for a Directive of the European Parliament and of the Council
on measures for a high common level of cybersecurity across the Union, repealing
Directive (EU) 2016/1148
{COM(2020) 823 final} - {SEC(2020) 430 final} - {SWD(2020) 345 final}
Europaudvalget 2020
KOM (2020) 0823
Offentligt
1
Executive Summary Sheet
Impact assessment on the Review of Directive (EU) 2016/1148 of 6 July 2016 concerning measures for a
high common level of security of network and information systems across the Union (hereinafter ‘the NIS
Directive’)
A. Need for action
What is the problem and why is it a problem at EU level?
In spite of its notable achievements, the NIS Directive, which paved the way for a significant change in
mind-set, institutional and regulatory approach to cybersecurity in many Member States, has by now also
proven its limitations. The digital transformation of society (intensified by the COVID-19 crisis) has
expanded the threat landscape and is bringing about new challenges, which require adapted and innovative
responses. The number of cyber-attacks continues to rise, with increasingly sophisticated attacks coming
from a wide range of sources inside and outside the EU.
Based on the evaluation on the functioning of the NIS Directive, the Impact Assessment identified the
following problems: the low level of cyber resilience of businesses operating in the EU; the inconsistent
resilience across Member States and sectors and the low level of joint situational awareness and lack of
joint crisis response. For example, as a result of some of these problems and drivers, there are situations
where major hospitals in a Member State do not fall within the scope of the NIS Directive and hence are
not required to implement the resulting security measures, while in another Member State almost every
single hospital in the country is covered by the NIS security requirements.
What should be achieved?
Three general objectives are envisaged with the NIS review:
1. Increase the level of cyber resilience of a comprehensive set of businesses operating in the
European Union across all relevant sectors, by putting in place rules that ensure that all public
and private entities across the internal market, which fulfil important functions for the economy
and society as a whole, are required to take adequate cybersecurity measures.
2. Reduce inconsistencies in the resilience across the internal market in the sectors already
covered by the Directive, by further aligning (1) the de-facto scope, (2) the security and incident
reporting requirements, (3) the provisions governing national supervision and enforcement and (4)
the capabilities of competent authorities in the Member States.
3. Improve the level of joint situational awareness and the collective capability to prepare and
respond, by taking measures to increase the level of trust between competent authorities, sharing
more information and setting rules and procedures in the event of a large-scale incident or crisis.
What is the value added of action at the EU level (subsidiarity)?
Cybersecurity resilience across the Union cannot be effective if approached in a disparate manner through
national or regional silos. The NIS Directive came to address this shortcoming, by setting a framework for
network and information systems security at national and Union levels. However, its transposition and
implementation also brought to light inherent flaws of certain provisions or approaches, such as the
unclear delimitation of the scope of the NIS Directive. Furthermore, since the COVID-19 crisis, the
European economy has grown more dependent on network and information systems than ever before and
sectors and services are increasingly interconnected. The first periodical review of the NIS Directive
created therefore the opportunity for further EU action. The EU intervention going beyond the current
2
measures of the NIS Directive is justified mainly by: (i) the cross-border nature of the problem; (ii) the
potential of EU action to improve and facilitate effective national policies; (iii) the contribution of
concerted and collaborative NIS policy actions to effective protection of data protection and privacy.
B. Solutions
What are the various options to achieve the objectives? Is there a preferred option or not? If not,
why?
The Impact Assessment analysed four policy options: (0) maintaining the status quo; (1) non-legislative
measures to align the transposition; (2) limited changes to the NIS Directive for further harmonisation; (3)
systemic and structural changes to the NIS Directive. Option 1 was discarded at an early stage as it does
not depart considerably from the status quo. The Impact Assessment concludes that the preferred option
is option 3 (i.e. systemic and structural changes to the NIS framework), as it would envisage a more
fundamental shift of approach towards covering a wider segment of the economies across the Union, yet
with a more focused supervision targeting proportionally big and key companies, while clearly
determining the scope of application. It would also streamline and further harmonise the security-related
obligations for companies, create a more effective setting for operational aspects, as well as establish a
clear basis for shared responsibilities and accountability of relevant actors and incentivise information
sharing.
What are different stakeholders' views? Who supports which option?
The majority of competent authorities and businesses showed support for a revision of the NIS Directive.
Throughout several consultations, they signalled that a reviewed NIS Directive should cover additional
(sub)sectors, align or streamline further security measures and reporting obligations. Stakeholders also
showed support for new concepts or policy-related measures that are only part of the preferred option (e.g.
supply chain security policies, institutionalisation of an operational EU crisis management framework).
C. Impacts of the preferred option
What are the benefits of the preferred option (if any, otherwise of main ones)?
The preferred option would bring significant benefits: estimates made based on an economic modelling
developed by a support study for the NIS review indicates that the preferred option may lead to a
reduction in cost of cybersecurity incidents by EUR 11.3 billion.
The sectoral scope would be considerably enlarged under the NIS framework, but next to the above
benefits, the burden that may be created by the NIS requirements, notably from the supervision
perspective, would also be balanced for both the new entities to be covered and the competent authorities.
This is because the new NIS framework would establish a two layer approach, with a focus on big and key
entities and a differentiation of supervisory regime that allows only ex post supervision (i.e. reactive and
without a general obligation to systematically document compliance) for a large number thereof, notably
those considered ‘important’ yet not ‘essential’.
Overall, the preferred policy option would lead to efficient trade-offs and synergies, with the best potential
out of all policy options analysed to ensure an increased and consistent level of cyber resilience of key
entities across the Union that would eventually lead to cost savings for both businesses and society.
What are the costs of the preferred option (if any, otherwise of main ones)?
The preferred policy option would lead to certain compliance and enforcement costs for the relevant
3
Member States authorities (an overall increase of about 20-30% of resources was estimated). However, the
new framework would also bring substantial benefits through a better overview of and interaction with key
businesses, enhanced cross-border operational cooperation, as well as mutual assistance and peer-review
mechanisms. This would lead to an overall increase in cybersecurity capabilities across Member States.
For the companies that would fall under the scope of the NIS framework, it is estimated that they would
need an increase of maximum 22% of their current ICT security spending for the first years following the
introduction of the new NIS framework (this would be 12% for companies already under the scope of the
current NIS Directive). However, this average increase of ICT security spending would lead to a
proportionate benefit of such investments, notably due to a considerable reduction in cost of cybersecurity
incidents (estimated to EUR 11.3 billion over ten years).
What are the impacts on SMEs and competitiveness?
Small- and micro-businesses would be exempted from the scope of the NIS framework under the preferred
option. For medium-sized enterprises, it can be expected that there would be an increase in the level of
ICT security spending in the first years following the introduction of the new NIS framework. At the same
time, raising the level of security requirements for these entities would also incentivise their cybersecurity
capabilities and help improve their ICT risk management.
Will there be significant impacts on national budgets and administrations?
There would be an impact on national budgets and administrations: an estimated increase of
approximately 20-30% of resources would be expected in the short and medium term.
Will there be other significant impacts?
No other significant negative impacts are expected. The preferred policy option is expected to lead to more
robust cybersecurity capabilities and consequently would have a more substantial mitigating impact on the
number and severity of incidents, including data breaches. It is also likely to have a positive impact on
ensuring a level playing field across Member States of all entities covered under the NIS scope and reduce
cybersecurity information asymmetries.
Proportionality?
The preferred option does not go beyond what is necessary to meet the specific objectives satisfactorily.
The envisaged alignment and streamlining of security measures and reporting obligations relate to the
Member States and businesses’ requests to improve the current framework.
D. Follow up
When will the policy be reviewed?
The first review would take place 54 months after the entry into force of the legal instrument. The
Commission would provide a report to the European Parliament and the Council on its review. The review
would be prepared with support of ENISA and the Cooperation Group.


DA DA
EUROPA-
KOMMISSIONEN
Bruxelles, den 16.12.2020
SWD(2020) 344 final
ARBEJDSDOKUMENT FRA KOMMISSIONENS TJENESTEGRENE
RESUMÉ AF RAPPORTEN OM KONSEKVENSANALYSEN
Ledsagedokument til
forslag til Europa-Parlamentets og Rådets direktiv
om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen og
om ophævelse af direktiv (EU) 2016/1148
{COM(2020) 823 final} - {SEC(2020) 430 final} - {SWD(2020) 345 final}
Europaudvalget 2020
KOM (2020) 0823
Offentligt
1
Resumé
Konsekvensanalyse af evalueringen af Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli
2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i
hele Unionen (NIS-direktivet).
A. Behov for handling
Hvad er problemet, og hvorfor er det et problem på EU-niveau?
På trods af dets bemærkelsesværdige resultater har NIS-direktivet, som banede vejen for en betydelig
ændring i tankegangen vedrørende samt den institutionelle og lovgivningsmæssige tilgang til
cybersikkerhed i mange medlemsstater, nu også vist sine begrænsninger. Den digitale omstilling af
samfundet (intensiveret af covid-19-krisen) har udvidet trusselsbilledet og skaber nye udfordringer, som
kræver tilpassede og innovative løsninger. Antallet af cyberangreb er fortsat stigende, idet der kommer
stadig mere sofistikerede angreb fra en bred vifte af kilder i og uden for EU.
På grundlag af evalueringen af, hvordan NIS-direktivet fungerer, blev der i konsekvensanalysen
identificeret følgende problemer: Den lave grad af cyberrobusthed hos virksomheder, der opererer i EU;
den inkonsekvente modstandsdygtighed på tværs af medlemsstater og sektorer og det lave niveau af fælles
situationsbevidsthed og manglen på fælles kriserespons. Som følge af nogle af disse problemer og
drivkræfter opstår der f.eks. situationer, hvor større hospitaler i en medlemsstat ikke er omfattet af NIS-
direktivets anvendelsesområde og derfor ikke er forpligtet til at gennemføre de deraf følgende
sikkerhedsforanstaltninger, mens næsten alle landets hospitaler i en anden medlemsstat er omfattet af NIS-
sikkerhedskravene.
Hvad bør opnås?
Der er planlagt tre generelle mål for evalueringen af NIS:
1. Øge cyberrobustheden i et omfattende sæt af virksomheder, der opererer i Den Europæiske
Union, på tværs af alle relevante sektorer ved at indføre regler, der sikrer, at alle offentlige og
private enheder i hele det indre marked, som varetager vigtige funktioner for økonomien og
samfundet som helhed, er forpligtet til at træffe passende cybersikkerhedsforanstaltninger.
2. Mindske inkonsekvens i modstandsdygtigheden på tværs af det indre marked i de sektorer,
der allerede er omfattet af direktivet, ved yderligere at tilpasse 1) det faktiske
anvendelsesområde, 2) kravene til sikkerheds- og hændelsesrapportering, 3) bestemmelserne om
nationalt tilsyn og håndhævelse og 4) de kompetente myndigheders kapacitet i medlemsstaterne.
3. Forbedre niveauet af fælles situationsbevidsthed og den kollektive evne til at forberede sig og
reagere ved at træffe foranstaltninger, der skal øge tilliden mellem de kompetente myndigheder,
udveksle flere oplysninger og fastsætte regler og procedurer i tilfælde af en omfattende hændelse
eller krise.
Hvad er merværdien ved at handle på EU-plan (nærhedsprincippet)?
Modstandsdygtigheden over for cybertrusler i hele Unionen kan ikke være effektiv, hvis der gribes ind på
en uensartet måde gennem nationale eller regionale siloer. NIS-direktivet har til formål at afhjælpe denne
mangel ved at fastlægge en ramme for net- og informationssystemernes sikkerhed på nationalt plan og
EU-plan. Omsætningen og gennemførelsen af direktivet afslørede imidlertid også iboende mangler ved
visse bestemmelser eller fremgangsmåder, såsom den uklare afgrænsning af NIS-direktivets
anvendelsesområde. Siden covid-19-krisen er den europæiske økonomi desuden blevet mere afhængig af
2
net- og informationssystemer end nogensinde før, og sektorer og tjenester er i stigende grad indbyrdes
forbundne. Den første periodiske evaluering af NIS-direktivet skabte derfor mulighed for yderligere EU-
tiltag. En EU-indsats, der går videre end de nuværende foranstaltninger i NIS-direktivet, er primært
begrundet i: i) problemets grænseoverskridende karakter, ii) EU-indsatsens potentiale til at forbedre og
fremme effektive nationale politikker og iii) bidraget fra samordnede og samarbejdsbaserede politiske
foranstaltninger vedrørende net og informationssikkerhed til effektiv beskyttelse af databeskyttelse og
privatlivets fred.
B. Løsninger
Hvilke forskellige løsninger er der for at nå målene? Foretrækkes en bestemt løsning frem for
andre? Hvis ikke, hvorfor?
Konsekvensanalysen behandlede fire politiske løsningsmodeller: 0) bevarelse af status quo, 1)
ikkelovgivningsmæssige foranstaltninger til tilpasning af gennemførelsen, 2) begrænsede ændringer af
NIS-direktivet med henblik på yderligere harmonisering og 3) systemiske og strukturelle ændringer af
NIS-direktivet. Løsningsmodel 1 blev forkastet på et tidligt tidspunkt, da den ikke afviger væsentligt fra
status quo. I konsekvensanalysen konkluderes det, at den foretrukne løsningsmodel er løsningsmodel 3
(dvs. systemiske og strukturelle ændringer af NIS-rammen), da den vil indebære en mere
grundlæggende ændring af tilgangen med henblik på at omfatte et større segment af økonomierne i hele
Unionen, men dog med et mere fokuseret tilsyn, der er proportionalt målrettet store og centrale
virksomheder, samtidig med at anvendelsesområdet fastlægges klart. Den vil også strømline og yderligere
harmonisere virksomhedernes sikkerhedsrelaterede forpligtelser, skabe en mere effektiv ramme for
operationelle aspekter samt fastlægge et klart grundlag for de relevante aktørers fælles ansvar og
ansvarlighed samt tilskynde til udveksling af oplysninger.
Hvad er de forskellige interessenters holdning? Hvem støtter hvilken løsning?
De fleste kompetente myndigheder og virksomheder udtrykte støtte til en revision af NIS-direktivet.
Gennem flere høringer gav de udtryk for, at et revideret NIS-direktiv bør omfatte yderligere
(under)sektorer samt tilpasse eller strømline yderligere sikkerhedsforanstaltninger og
rapporteringsforpligtelser. Interessenterne udtrykte ligeledes støtte til nye koncepter eller politikrelaterede
foranstaltninger, som kun er en del af den foretrukne løsningsmodel (f.eks. politikker for
forsyningskædesikkerhed, institutionalisering af en operationel EU-krisestyringsramme).
C. Den foretrukne løsnings virkninger
Hvilke fordele er der ved den foretrukne løsning (hvis en bestemt løsning foretrækkes — ellers
fordelene ved de vigtigste af de mulige løsninger)?
Den foretrukne løsningsmodel vil medføre betydelige fordele: Skøn foretaget på grundlag af en
økonomisk model, der er udviklet inden for en støtteundersøgelse til evalueringen af NIS-direktivet, viser,
at den foretrukne løsning kan føre til en reduktion af omkostningerne ved cybersikkerhedshændelser på
11,3 mia. EUR.
Det sektorspecifikke anvendelsesområde vil blive udvidet betydeligt inden for rammerne af NIS-rammen,
men ud over ovennævnte fordele vil den byrde, der kan opstå som følge af NIS-kravene, navnlig ud fra et
tilsynsperspektiv, også være afbalanceret for såvel de nye enheder, der skal dækkes, som de kompetente
myndigheder. Dette skyldes, at den nye NIS-ramme vil indføre en tostrenget tilgang med fokus på store og
centrale enheder og en differentiering af tilsynsordninger, der kun tillader efterfølgende tilsyn (dvs.
reaktivt og uden en generel forpligtelse til systematisk at dokumentere overholdelse) for et stort antal
3
enheder, navnlig dem, der betragtes som "vigtige", men som endnu ikke er "væsentlige".
Overordnet set vil den foretrukne løsningsmodel føre til effektive afvejninger og synergier med det bedste
potentiale blandt alle de analyserede politiske løsningsmodeller og sikre en øget og konsekvent grad af
cyberrobusthed hos centrale enheder i hele Unionen, hvilket i sidste ende vil føre til
omkostningsbesparelser for både virksomheder og samfundet.
Hvilke omkostninger er der ved den foretrukne løsningsmodel (hvis en bestemt løsningsmodel
foretrækkes — ellers omkostningerne ved de vigtigste af de mulige løsninger)?
Den foretrukne løsningsmodel vil medføre visse overholdelses- og håndhævelsesomkostninger for de
relevante myndigheder i medlemsstaterne (der blev anslået en samlet stigning på ca. 20-30 % af
ressourcerne). Den nye ramme vil imidlertid også medføre betydelige fordele takket være et bedre
overblik over og interaktion med centrale virksomheder, øget grænseoverskridende operationelt
samarbejde samt gensidig bistand og peerevalueringsmekanismer. Dette vil føre til en generel forøgelse af
cybersikkerhedskapaciteterne på tværs af medlemsstaterne.
For de virksomheder, der vil være omfattet af NIS-rammen, anslås det, at deres nuværende udgifter til
IKT-sikkerhed vil skulle øges med 22 % i de første år efter indførelsen af den nye NIS-ramme (dette vil
være 12 % for virksomheder, der allerede er omfattet af det nuværende NIS-direktiv). Denne
gennemsnitlige stigning i udgifterne til IKT-sikkerhed vil imidlertid medføre en forholdsmæssig fordel
ved sådanne investeringer, navnlig på grund af en betydelig reduktion af omkostningerne ved
cybersikkerhedshændelser (som anslås til 11,3 mia. EUR over 10 år).
Hvad er indvirkningerne på SMV'er og konkurrencedygtighed?
Små virksomheder og mikrovirksomheder vil blive undtaget fra NIS-rammens anvendelsesområde under
den foretrukne løsningsmodel. For mellemstore virksomheder kan det forventes, at der vil ske en stigning i
udgifterne til IKT-sikkerhed i de første år efter indførelsen af den nye NIS-ramme. Samtidig vil en
styrkelse af sikkerhedsniveauet for disse enheder også kunne tilskynde dem til at styrke deres
cybersikkerhedskapaciteter og bidrage til en forbedring af deres IKT-risikostyring.
Vil den foretrukne løsning få væsentlige virkninger for de nationale budgetter og myndigheder?
Den foretrukne løsning vil have virkninger for de nationale budgetter og myndigheder: Der forventes en
stigning på omkring 20-30 % af ressourcerne på kort og mellemlang sigt.
Vil den foretrukne løsning få andre væsentlige virkninger?
Der forventes ingen andre væsentlige eller negative virkninger. Den foretrukne løsningsmodel forventes at
føre til mere robuste cybersikkerhedskapaciteter og vil derfor have en større afbødende virkning på
antallet og alvoren af hændelser, herunder brud på datasikkerheden. Den vil sandsynligvis også have en
positiv indvirkning med hensyn til at sikre lige vilkår på tværs af medlemsstaterne for alle enheder, der er
omfattet af anvendelsesområdet for net- og informationssikkerhed, og mindske asymmetrier i
cybersikkerhedsoplysninger.
Proportionalitet?
Den foretrukne løsning går ikke ud over, hvad der er nødvendigt for at opfylde de specifikke mål på
tilfredsstillende vis. Den planlagte tilpasning og strømlining af sikkerhedsforanstaltninger og
rapporteringsforpligtelser vedrører medlemsstaternes og virksomhedernes anmodninger om at forbedre
den nuværende ramme.
4
D. Opfølgning
Hvornår vil foranstaltningen blive taget op til fornyet overvejelse?
Den første evaluering gennemføres 54 måneder efter retsaktens ikrafttræden. Kommissionen aflægger
rapport til Europa-Parlamentet og Rådet om sin evaluering. Evalueringen vil blive udarbejdet med støtte
fra ENISA og samarbejdsgruppen.