Cybersikkerhedsregulering hvad virksomheder behøver at vide

Lær om love og reguleringer såsom NIS2, CRA, RED og CSA og få støtte med implementering.

Proces og deltagere

Lovgivning i EU udføres af tre hovedinstitutioner: Europa-Kommissionen, Europa-Parlamentet og Rådet for Den Europæiske Union. Kommissionen har eneinitiativret til lovforslag, som den fremsender til Parlamentet og Rådet til drøftelse og vedtagelse. Den lovgivende procedure omfatter flere læsninger og om nødvendigt en forligsprocedure for at nå frem til en endelig juridisk tekst.

Typer af retsakter

EU anvender i det væsentlige to typer af retsakter:

• Forordninger: De gælder direkte i alle medlemsstater og behøver ikke at blive implementeret i national lovgivning. De skaber ensartede forhold på tværs af grænserne.
• Direktiver: Direktiver fastsætter mål, som alle EU-lande skal opnå, men overlader valget af midler og metoder til nationale myndigheder. De kræver implementering i national lovgivning, hvilket giver medlemsstaterne mulighed for at tage hensyn til lokale særlige forhold.

Udover disse hovedretsakter er der to andre vigtige typer af akter, der tjener til at supplere eller implementere hovedakterne:

• Delegerede akter: Disse giver Europa-Kommissionen mulighed for at supplere eller ændre ikke-væsentlige dele af hovedakten. Processen involverer høring af ekspertgrupper, der repræsenterer alle medlemsstater og gennemgang af Rådet og Parlamentet.
• Gennemførelsesakter: Disse anvendes af Europa-Kommissionen for at sikre harmoniseret implementering i medlemsstaterne. De omfatter høring af medlemsstater i komitologiproceduren (https://commission.europa.eu/law/law-making-process/adopting-eu-law/implementing-and-delegated-acts/comitology_en).

Begge typer af akter muliggør mere fleksibel og effektiv lovgivning ved at regulere tekniske detaljer eller implementeringsaspekter uden at gå gennem den fulde lovgivende proces.

Skel mellem delegeret akt og gennemførelsesakt

For bedre at forstå anvendelsen af delegerede akter og gennemførelsesakter skal man betragte konkrete eksempler fra EU-lovgivning:

• Delegeret akt: Et nøgleeksempel er den delegerede akt til Radio Equipment Directive (RED). Denne akt supplerer RED med specifikke cybersikkerhedskrav til radioudstyr. Den specificerer, hvilke produktkategorier der skal opfylde visse sikkerhedsstandarder uden at ændre direktivets kernetekst.
• Delegerede og gennemførelsesakter: Cyber Resilience Act (CRA) forudser både delegerede og gennemførelsesakter. Delegerede akter kunne for eksempel bruges til at opdatere listen over meget kritiske produkter med digitale elementer. Gennemførelsesakter kunne bruges til at fastsætte harmoniserede betingelser for udførelse af markedsovervågningsforanstaltninger på tværs af alle EU-medlemsstater.

Disse eksempler viser, hvordan EU's retssystem kan reagere på teknologiske udviklinger og sikkerhedskrav uden at skulle køre den fulde lovgivende proces hver gang.

Forholdet mellem standarder og lovgivning

Standarder er tekniske specifikationer, der fastsætter krav til produkter, tjenester eller procedurer. Deres anvendelse er normalt frivillig, medmindre specifikke love eller kontrakter kræver dem. Standarder er vigtige for at demonstrere "state of the art" og for at fremme "bedste praksis" i industrien.

Et overblik over relevante normer og standarder for cybersikkerhed kan findes i vores artikel Standards & norms.

Den lovgivende procedure i detaljer

For at forstå kompleksiteten af den lovgivende proces i Den Europæiske Union er det vigtigt at se på de enkelte trin i detaljer. Trinene er kortfattet beskrevet nedenfor:

• Initiativ: Kommissionen fremsender et forslag til Parlamentet og Rådet. Forslaget kan også stamme fra medlemsstater, Den Europæiske Domstol, Den Europæiske Centralbank eller Den Europæiske Investeringsbank.
• Første læsning: Parlamentet og Rådet undersøger forslaget. Hvis begge er enige, vedtages akten.
• Anden læsning: Hvis der ikke opnås enighed, finder en anden læsning sted, hvor Parlamentet kan acceptere eller afvise Rådets holdning. Hvis der ikke opnås enighed, indkaldes et forligsudvalg.
• Forlig: Udvalget forsøger at finde et kompromis. Hvis der opnås enighed om en fælles tekst, er der en tredje læsning.
• Tredje læsning: Den fælles tekst skal godkendes af Parlamentet og Rådet. Hvis godkendelse mislykkes, afvises forslaget.

Betydelig regulering relateret til sikkerhed

Inden for området cybersikkerhed og databeskyttelse har Den Europæiske Union implementeret flere vigtige reguleringer, der sigter mod at beskytte både forbrugere og virksomheder. Her er nogle af de mest relevante EU-reguleringer:

Krav til operatører

EU har implementeret flere vigtige reguleringer, der kræver, at operatører af væsentlige tjenester og digitale tjenesteudbydere vedtager strenge sikkerhedsforanstaltninger og minimerer risici.

• General Data Protection Regulation (GDPR) - (EU) 2016/679: Denne forordning er hjørnestenen i databeskyttelsesloven i EU og sigter mod at beskytte personoplysninger for enkeltpersoner inden for EU. Den giver enkeltpersoner mere kontrol over deres personoplysninger og sikrer, at virksomheder, der behandler disse data, opfylder strenge krav.
• NIS (Network and Information Systems) Directive - (EU) 2016/1148: Dette direktiv blev udformet for at sikre et højt fælles sikkerhedsniveau for netværks- og informationssystemer i EU. Det gælder for operatører af væsentlige tjenester og digitale tjenesteudbydere og kræver passende sikkerhedsforanstaltninger og rapportering af hændelser.
• NIS 2 directive - (EU) 2022/2555: Dette direktiv opdaterer og udvider det oprindelige NIS-direktiv for at adressere nye cybersikkerhedsudfordringer. Det udvider anvendelsesområdet og skærper sikkerhedskravene for berørte virksomheder.
• eIDAS regulation (Electronic Identification and Trust Services) - (EU) 910/2014: Denne forordning skaber en europæisk ramme for elektronisk identifikation og tillidstjenester for elektroniske transaktioner inden for det indre marked. Den sikrer, at elektroniske signaturer, segl, tidsstempler og andre tillidstjenester anerkendes på tværs af grænserne.

Krav til producenter og markedsføring

For at sikre sikkerheden for produkter på det europæiske marked har EU indført en række reguleringer, der kræver, at producenter og distributører implementerer omfattende cybersikkerhedsforanstaltninger gennem hele produktets livscyklus.

• Cybersecurity Act - (EU) 2019/881: Denne akt etablerer en ramme for cybersikkerhedscertificering i EU og styrker mandatet for EU's Agentur for Cybersikkerhed (ENISA). Dens formål er at øge tilliden til det digitale indre marked og forbedre cybersikkerheden for produkter og tjenester.
• Cyber Resilience Act: Denne lov sigter mod at forbedre cybersikkerhedskravene for produkter med digitale elementer. Den fastsætter minimums cybersikkerhedsstandarder og kræver, at producenter leverer sikkerhedsopdateringer og sårbarhedshåndtering gennem hele produktets livscyklus.
• Radio Equipment Directive - (EU) 2014/53 og (EU) 2022/30: Dette direktiv sikrer, at radioudstyr fungerer sikkert og uden interferens. Den delegerede forordning til Radio Equipment Directive styrker cybersikkerhedskravene for sådanne enheder.

Derudover har EU vedtaget yderligere sektorspecifikke reguleringer:

• Machinery Regulation - (EU) 2023/1230: Denne forordning fastsætter sikkerhedskrav til maskiner, herunder cybersikkerhedskrav til maskiner, der anvendes i Industry 4.0 og andre forbundne miljøer.
• Medical Device Regulation - (EU) 2017/745: Denne forordning regulerer sikkerheds- og ydeevnekrav til medicinsk udstyr, herunder cybersikkerhedskrav til forbundet medicinsk udstyr.
• In Vitro Diagnostic Regulation - (EU) 2017/746: Denne forordning fastsætter krav til sikkerhed og ydeevne for in vitro diagnostiske anordninger, herunder cybersikkerhedskrav til disse anordninger.
• Marine Equipment Directive (MED) - 2014/90/EU: Dette direktiv fastsætter krav til skibsudstyr. Det henviser til Unified Requirements (UR) fra International Association of Classification Societies (IACS), som blandt andet definerer cyber-modstandsdygtigheden for systemer og udstyr om bord.

Disse reguleringer spiller en afgørende rolle i udformningen af sikkerhedslandskabet i EU ved at fastsætte ensartede standarder og styrke tilliden til digitale og netværksrelaterede aktiviteter.

Støtte til implementering

Cybersikkerhedskravene stiger betydeligt i mange industrier, drevet af EU's retsakter såsom Cyber Resilience Act, Radio Equipment Directive eller Machinery Regulation. For producenter betyder dette, at tekniske beskyttelsesforanstaltninger alene ikke længere er tilstrækkelige - processer, beviser og ansvar skal også gennemgås og tilpasses.

Secuvi støtter virksomheder i systematisk at forstå disse reguleringer og omsætte dem til praksis. Vi hjælper med at identificere de handlinger, der er relevante for dit firma, udlede prioriterede foranstaltninger og designe effektiv implementering - fra den indledende analyse til operationel udførelse.

Hvis du spekulerer på, hvordan du kan integrere europæiske cybersikkerhedskrav i din produktudvikling og organisation, ledsager vi dig med teknisk, regulatorisk og metodologisk ekspertise.

Mere information på: secuvi.com