First EU-wide Legislation on Cybersecurity
26 July 2016Peter Olsson
First EU-wide Legislation on Cybersecurity
EU Cyber Security Strategy
The EU cyber security strategy sets out the EU's strategy for preventing and responding to disruptions and attacks affecting Europe's telecommunications systems. The threat posed by cybercrime, online industrial espionage and attacks on critical infrastructure is growing. The annual cost to the global economy from cybercrime and cyberespionage is estimated to be over €390 billion.
On 7 December 2015, the European Council reached an informal agreement with the European Parliament on common rules to strengthen both Network and Information Security (“NIS”) across the EU. The agreed final compromise text was approved by the Member States on 18 December 2015. The proposal for a “Directive of the European Parliament and of the Council concerning measures to ensure a high common level of Network and Information Security across the European Union” (the “NIS Directive”) attempts to address the issue of lack of effective sharing of data on cyber threats and incidents.
The current approach to NIS is based on voluntary action, national capability and the levels of private sector involvement and readiness varies considerably between Member States. The draft NIS Directive aims to level the playing field by introducing harmonised rules across all Member States.
Proposed Measures
The measures proposed by the NIS Directive include:
• The requirement for Member States to adopt a NIS strategy and designate a national NIS authority, a Competent National Authority (“CNA”), with adequate resources to prevent, handle and respond to NIS risks and incidents;
• The creation of a cooperation mechanism among member states and the Commission to share early warnings on risks and incidents, exchange information, and counter NIS threats and incidents;
• The requirement for certain digital companies and services to adopt risk management practices and report major IT security incidents to the CNA.
The NIS Directive will set out cybersecurity obligations for two categories of market operators. These operators will be required to take measures to manage cyber risks and report major security incidents, but the two categories will be subject to different regimes. The two categories of market operators are:
a) Digital Service Providers (“DSPs”), i.e. any legal person that provides a digital service within the meaning of point b) of Article 1 of Directive 2015/1535 (online marketplace, online search engines, cloud computing services).
b) Operators of Essential Services (“OESs”), i.e. an entity that provides a service which is essential for the maintenance of critical societal and/or economic activities in the fields of energy, transport, banking, stock exchanges and health (e.g. electricity and gas suppliers, air carriers, railways, ports, credit institutions, stock exchanges, hospitals). The requirements and supervision will be stronger for OESs than for DSPs. This reflects the degree of risk that any disruption to their services may pose to society and the economy.
DSPs are typically active in many Member States. To ensure that they are treated in a similar way across the EU, the rules will apply to all operators providing such services, with the exception of small companies. DSPs that operate across more than one Member State will only be subject to the national rules implementing the NIS Directive in the country in which it has its main establishment in the EU. The NIS Directive could impact also on DSPs based outside of the EU. DSPs not established in the EU but which offer services within the EU are considered to be within the scope of the NIS Directive and are obliged to designate a representative based within the EU to act on its behalf under written mandate.
Incident Notification
A CNA shall monitor the application of the NIS Directive at national level and contribute to its consistent application throughout the EU. All OESs providing services within the EU will be obliged to, inter alia,
• To take appropriate technical and organisational measures to manage risks posed to the security of networks and information systems which they control and use in their operations, and
• To notify to the CNA of incidents having a significant impact on the security of the core services they provide.
OESs are required to notify the CNA of incidents which have a “significant impact” on the continuity of the essential services they provide. In order to determine the significance of the impact of an incident, consideration will be given to the number of users affected by the disruption of the essential service, the duration of the incident, and the geographical spread with regard to the area affected by the incident.
All DSPs providing services within the EU will be obliged to, amongst other things,
• identify and take appropriate and proportionate technical and organisational measures to manage the risks posed to the security of networks and information systems which they use in the context of offering services within the EU, and
• notify to the CNA any incident having a substantial impact on the provision of a service that they offer within the EU
DPSs must notify the CNA of any incident having a “substantial impact” on the provision of an online marketplace, online search engine or cloud computing services. In determining the impact of an incident, the same factors applicable to OESs will be considered, and additionally the extent of the disruption and functioning of the service, as well as the extent of the impact on economic and societal activities.
Implementation and Enforcement
A CNA will have the powers to
• assess compliance of OESs with their obligations under the NIS Directive and the effects thereof on the security of networks and information systems;
• require OESs and DSPs
a) to provide information needed to assess the security of their networks and information systems, including documented security policies, and
b) provide evidence of effective implementation of security policies, such as the results of a security audit carried out by the CNA or a qualified auditor
• issue binding instructions to OESs
• take action when provided with evidence that a DSPs does not meet the requirements laid down in the NIS Directive.
• require that DSPs remedy any failure to fulfil the requirements laid down in the NIS Directive
Sanctions
Breach of the obligations imposed by the NIS Directive may attract onerous administrative penalties. Member States shall lay down rules on penalties applicable to the infringements of the national provisions adopted, pursuant to the NIS Directive and shall take all measures necessary to ensure that they are implemented. The penalties provided for must be effective, proportionate and dissuasive.
The NIS Directive confirms that both OESs and DSPs will not be absolved from their obligations on security and incident reporting where the maintenance of their network and information systems is outsourced to a third party.
Cooperation Network
Member States will also step up their cooperation on cybersecurity. A cooperation network between the CNAs and the Commission will be created to support strategic cooperation and exchange of best practices among Member States. A network of national Computer Emergency Response Teams (CERT) will be set up to promote operational cooperation. Both are also expected to help develop confidence and trust between Member States.
Deadlines
Member States will have 21 months from when the Directive comes into force, to adopt the necessary national provisions. Following this period, they will have 6 further months to identify their OESs. These processes are likely to be complicated, and companies that may fall within scope, especially DSPs, will need to monitor developments across the EU over the coming months.
How will it become law?
Following this political agreement, the text will have to be formally approved by the European Parliament and the Council (expected in spring 2016). After that it will be published in the EU Official Journal and will officially enter into force 20 days from the date of its publication.
Consequences
Although the NIS Directive is unlikely to come into force in the near future, the on-going focus on cyber security should serve as a timely reminder to companies that cyber security has become a critically important and high profile issue for risk management. A consequence of this pending regulation will be the requirement for organisations to establish cyber-incident response plans that will need to be rehearsed, including the establishment of a mechanism to record any lessons learned.
For Further details contact:
Peter Olsson
peter.olsson@fhhlaw.se
Flood Herslow Holme Advokatbyrå
+46 8 5626 9000
www.fhhlaw.se
Den första lagstiftningen på EU-nivå angående IT-säkerhet
EU:s strategi för IT-säkerhet
I EUs strategi för IT-säkerhet fastställs EUs strategi för att förebygga och hantera avbrott i och angrepp mot Europas telekommunikationssystem. Hotet från IT-brottslighet, industrispionage online och attacker mot kritisk infrastruktur växer. Den årliga kostnaden för den globala ekonomin orsakad av cyberbrott och cyberspionage uppskattas till över 390 miljarder EUR.
Den 7 december 2015 nådde Europeiska rådet en informell överenskommelse med Europaparlamentet om gemensamma regler för att stärka nät- och informationssäkerheten (”NIS”) i hela EU och den överenskomna slutliga kompromisstexten godkändes av medlemsstaterna den 18 december 2015. Förslaget till "Europaparlamentets och Rådets direktiv om åtgärder för att säkerställa en hög gemensam nivå på nät- och informationssäkerhet i Europeiska unionen" (”NIS-direktivet”) syftar till att ta upp frågan om bristen på effektivt utbyte av uppgifter om cyberhot och incidenter.
Eftersom arbetet på nät- och informationssäkerhetsområdet för närvarande sker på frivillig basis varierar den nationella kapaciteten och den privata sektorns deltagande avsevärt medlemsstaterna emellan. Utkastet till NIS-direktivet syftar till att jämna ut skillnaderna genom att det införs harmoniserade regler som ska tillämpas i alla EU-länder.
Föreslagna åtgärder
Åtgärderna som föreslås av NIS-direktivet inkluderar:
• ett krav på att medlemsstaterna antar en strategi för NIS och utser en nationell myndighet, en Behörig Nationell Myndighet (”BNM”), på detta område med tillräckliga resurser för att förebygga, hantera och bemöta risker och incidenter inom området för NIS;
• ett inrättande av en samarbetsmekanism mellan medlemsstaterna och kommissionen för spridning av tidiga varningar för risker och incidenter, utbyte av information och bekämpning av hot och incidenter inom området för NIS;
• ett krav på att vissa digitala företag och tjänster inför en praxis för riskhantering och rapporterar allvarliga IT-säkerhetsincidenter till BNM.
NIS-direktivet fastställer skyldigheter gällande IT-säkerhet för två kategorier av marknadsoperatörer. Dessa operatörer kommer att vara skyldiga att vidta åtgärder för att hantera IT-risker och rapportera allvarliga säkerhetsincidenter, men de två kategorierna kommer att vara föremål för olika regelsystem. De två kategorierna av marknadsoperatörer är:
a) Leverantörer av digitala tjänster (”DSPs”), d.v.s. en juridisk person som tillhandahåller en digital tjänst i den mening som avses i punkt b) i artikel 1 i direktiv 2015/1535 (e-handelsplattformar, online sökmotorer, molntjänster)
b) Operatörer av grundläggande tjänster (”OESs”), d.v.s. en enhet som tillhandahåller en tjänst som är nödvändig för att upprätthålla kritiska samhälleliga och/eller ekonomiska verksamheter inom områdena energi-, transport-, bank-, börs- samt hälso- och sjukvårdsverksamhet (t.ex. el- och gasleverantörer, lufttrafik, järnväg, hamnar, kreditinstitut, börser, sjukhus). Kraven och tillsynen kommer att vara striktare för OESs än för DSPs. Detta avspeglar den risk som en störning i deras tjänster kan innebära för samhället och ekonomin.
DSPs är normalt verksamma i flera medlemsstater. För att säkerställa att de behandlas likvärdigt i hela EU ska reglerna gälla alla operatörer som tillhandahåller sådana tjänster, med undantag för små företag. DSPs som är verksamma i mer än en medlemsstat kommer endast att omfattas av de nationella tillämpningsföreskrifterna enligt NIS-direktivet i det land där leverantören har sin huvudsakliga verksamhet. NIS-direktivet kan påverka även DSPs baserade utanför EU. DSPs som inte är etablerade i EU, men som erbjuder tjänster inom EU anses ligga inom ramen för NIS-direktivet och är skyldiga att utse en representant baserad inom EU att agera på dess vägnar enligt skriftligt mandat.
Anmälan av incidenter
De olika BNM ska övervaka tillämpningen av NIS-direktivet på nationell nivå och bidra till en konsekvent tillämpning i hela unionen. Alla OESs som tillhandahåller tjänster inom EU kommer att bli skyldiga att bl.a.
• vidta ändamålsenliga tekniska och organisatoriska åtgärder för att hantera risker som hotar säkerheten för de nät och informationssystem som de kontrollerar och använder i sin verksamhet, och
• underrätta BNM om incidenter som har en betydande inverkan på säkerheten för de kärntjänster som de tillhandahåller.
OESs måste till BNM anmäla incidenter som har en "betydande inverkan" på kontinuiteten av de grundläggande tjänster de tillhandahåller. För att avgöra betydelsen av effekterna av en incident ska hänsyn tas till antalet användare som påverkas av störningen i den grundläggande tjänsten, incidentens tidsutdräkt och den geografiska spridningen när det gäller det område som påverkas av incidenten.
Alla DSPs som tillhandahåller tjänster inom EU kommer att bli skyldiga att bl.a.
• identifiera och vidta lämpliga och proportionerliga tekniska och organisatoriska åtgärder för att hantera riskerna för säkerheten i nät- och informationssystem som de använder i samband med att erbjuda sina tjänster inom EU, och
• underrätta BNM om varje incident som har en väsentlig inverkan på tillhandahållandet av en tjänst som de erbjuder inom EU
DPSs måste underrätta BNM om varje incident som har en "väsentlig inverkan" på tillhandahållandet av en elektronisk marknadsplats, online sökmotor eller molntjänster. För att avgöra effekterna av en incident ska samma faktorer som för OESs beaktas och dessutom omfattningen av störningen i tjänsten och omfattningen av konsekvensen på de ekonomiska och samhälleliga aktiviteterna.
Genomförande och efterlevnad
En BNM kommer att ha befogenheter att
• bedöma huruvida OESs uppfyller sina skyldigheter enligt NIS-direktivet och de effekter som detta har på nät- och informationssystemens säkerhet;
• ålägga OESs och DSPs att
a) tillhandahålla den information som behövs för en bedömning av säkerheten i deras nät- och informationssystem, inbegripet dokumenterade säkerhetsprinciper, och
b) tillhandahålla bevis på ett effektivt genomförande av säkerhetsregler såsom resultatet av en säkerhetsrevision utförd av BNM eller en kvalificerad revisor
• utfärda bindande anvisningar för OESs;
• vidta åtgärder när BNM tillhandahålls bevis för att en DSPs inte uppfyller kraven i NIS-direktivet
• kräva att DSPs avhjälper en eventuell underlåtenhet att uppfylla kraven i NIS direktivet
Påföljder
Åsidosättandet av de skyldigheter som följer av NIS-direktivet kan betyda betungande administrativa sanktioner. Medlemsstaterna ska föreskriva påföljder för överträdelser av nationella bestämmelser som har utfärdats med tillämpning av NIS-direktivet och ska vidta de åtgärder som krävs för att se till att dessa påföljder tillämpas. Påföljderna ska vara effektiva, proportionella och avskräckande.
NIS-direktivet bekräftar att både OESs och DSPs inte kommer att befrias från sina skyldigheter avseende säkerhet och incidentrapportering där underhållet av deras nät- och informationssystem är utlagda till en tredje part.
Samarbete
Medlemsstaterna kommer även att öka sitt samarbete när det gäller IT-säkerhet. En samarbetsgrupp kommer att skapas på EU-nivå för att stödja strategiskt samarbete och utbyte av bästa praxis mellan medlemsstater. Ett nätverk av nationella incidenthanteringsgrupper för datorsäkerhet (CERT) kommer att inrättas för att främja operativt samarbete. Både gruppen och nätverket förväntas bidra till att öka tilliten och förtroendet mellan medlemsstaterna.
Tidsfrister
Efter att NIS-direktivet har trätt i kraft kommer medlemsstaterna att ha 21 månader på sig att anta nödvändiga nationella bestämmelser. Efter denna period kommer de att ha ytterligare 6 månader på sig att identifiera sina OESs.
Hur blir detta lag?
Efter den politiska överenskommelsen måste texten formellt godkännas av Europaparlamentet och Rådet (väntas ske under våren 2016). Efter det kommer den att offentliggöras i Europeiska Unionens officiella tidning och kommer officiellt att träda i kraft 20 dagar efter publiceringen.
Konsekvenser
Även om det är osannolikt att NIS-direktivet träder i kraft inom en snar framtid, bör det för närvarande starka fokus på cybersäkerhet fungera som en läglig påminnelse till företag att IT-säkerhet har blivit en mycket viktig fråga för riskhantering. Som en konsekvens av denna kommande reglering måste organisationer etablera beredskapsplaner för cyberincidenter som också måste övas på och inrätta mekanismer för att fånga upp ”lessons learned”.