Nummer: 97

HORISONTALE EU-REGLER VEDR. CYBERSIKKERHED FOR PRODUKTER

I bestræbelserne på at sikre produkter mod cyberangreb udvikler der sig et kludetæppe af løsninger, under mange forskellige ressortområder, der risikerer at resultere i modsatrettede krav til produkterne, og gør det unødigt svært og dyrt for virksomhederne at efterleve dem. På sigt risikerer det at bidrage til mindre tillid til anvendelse af nye teknologier.

Derfor anbefaler Regelforum, at Danmark går forrest i arbejdet for at sikre horisontale regler vedr. cybersikkerhed for produkter baseret på etablerede principper for EU’s produktlovgivning. Det handler dels om at påtale problemet og den bedre horisontale løsning gennem tidlig interessevaretagelse ifm. kommende initiativer, dels om at skabe opbakning blandt medlemsstaterne gennem udvikling af et non-paper, som alle relevante   myndigheder i Danmark har været involveret i udviklingen af.

Dato:
24. juni 2021
Type af anbefaling:
Tidlig interessevaretagelse i EU
Tema:
Tidlig interessevaretagelse
Ansvarlig ministerium:
Erhvervsministeriet
Status på anbefaling:
Følges

Kommissionen er ved at færdiggøre delegerede retsakter under radioudstyrsdirektivet (RED), der stiller krav til produkters beskyttelse imod cyberangreb med det formål at beskytte borgere imod svig, sikre privatlivets fred og sikre bedst mulig anvendelse af radioprodukters funktion. 

Parallelt hermed har Kommissionen fremsat forslag om krav vedr. cybersikkerhed i den nye maskinforordning, med det formål at beskytte personers sikkerhed. Det forventes at noget tilsvarende vil ske i forbindelse med en kommende revision af det generelle produktsikkerhedsdirektiv og evt. lavspændingsdirektivet. 

Endelig er der i forbindelse med forslag til revision af direktivet om sikkerhed af net-og informationssystemer stillet krav om procedurer for producenter af maskiner, elektriske produkter og udstyr, der indgår i værdikæden til kritisk infrastruktur. Med denne tilgang til krav vedr. cybersikkerhed risikeres en fragmenteret tilgang, med evt. modstridende krav for samme produkt til følge, der gør det unødigt svært og omkostningsfuldt for virksomhederne at efterleve de opstillede krav.

Derfor har Kommissionen også iværksat en konsulentundersøgelse, der skal afdække behovet for en horisontal regulering af ICT produkters cybersikkerhed. Resultaterne forventes fremlagt senere i år. Det er dog ikke givet, at undersøgelsen vil følges op med initiativer fra Kommissionen”
 

Anbefaling

Det anbefales, at Danmark arbejder for en horisontal tilgang til bindende regulering af produkters cybersikkerhed, der bygger på veletablerede principper for EU-harmoniseringslovgivning (New Legislative Framework), hvor harmoniserede standarder anvendes til at vise overensstemmelse med lovgivningens krav, som erstatning for det fragmenterede kludetæppe af løsninger der i dag er under udvikling.

  • Danmark bør gå forrest i udviklingen af fx et non-paper, der adresserer udfordringen med henblik på at lægge pres på Kommissionen for en bedre langsigtet løsning. For at sikre genklang på tværs af ressortområder, bør alle relevante ministerier og styrelser involveres.
  • I den tidlige interessevaretagelse ifm. kommende initiativer, der vedrører produkters cybersikkerhed, skal udfordringen adresseres og behovet for den horisontale løsning italesættes
  • I den tidlige interessevaretagelse vedr. krav til produkters cybersikkerhed bør Danmark inddrage og tage højde for muligheden for en horisontal løsning.
     

Begrundelse  

Danmark er fortaler for bedre regulering-dagsordenen, ligesom vi understøtter den digitale omstilling. Forslaget fra Regelforum vil understøtte den fremtidige regelefterlevelse, når det gælder risici forbundet med cyberangreb uanset hvilke risici det vedrører (privatliv, svig, sikker og sundhed) og dermed bidrage til at skabe tillid til anvendelse af ny teknologi

Konsekvenser    

Virksomheder risikerer at blive berørt af dobbelt regulering og modstridende krav, der påfører dem ekstra økonomiske og administrative byrder. De ekstra byrder vil begrænse virksomhedernes innovations- og konkurrencekraft og ultimativt den digitale omstilling og dennes bidrag til den grønne omstilling.

Berørt EU-regulering    

Maskindirektivet – Ny forordning om maskiner KOM(2021)202
Revision af direktiv om sikkerhed af net-og informationssystemer
Det generelle produktsikkerhedsdirektiv
Radioudstyrsdirektivet
Evt. revision af lavspændingsdirektivet
Afgørelse 768/2008 om EU harmoniseringslovgivning


Berørt dansk lovgivning    

Implementering (eller evt. fremtidig implementering) af alle ovenstående retsakter i dansk ret.

Igangværende dansk indsats  

Energistyrelsen har i forbindelse med høring om de delegerede retsakter under radioudstyrsdirektivet givet udtryk for, at de mener, at retsakterne bør have midlertidig karakter og erstattes af horisontale regler. 

Yderligere oplysninger    

Kommissionen har netop fremsat forslag om bl.a. regulering af produkters anvendelse af kunstig intelligens, der bygger på principperne bag NLF.
En tilsvarende løsning ønskes vedr. krav i forhold til beskyttelse mod cyberangreb.

Relevante ministerier

Erhvervsministeriet, Forsvarsministeriet, Klima, Energi, og Forsyningsministeriet samt Justitsministeriet.

Svar til Regelforum

Regeringen tiltræder Regelforums anbefaling. Regeringen vil udarbejde et non-paper og vil gennem tidlig interessevaretagelse arbejde for, at kommende EU-regulering af cybersikkerhed er horisontalt sammenhængende, er teknologineutral, omfatter både produkter, tjenester og processer og følger Den Ny Lovgivningsme-tode baseret på tværgående standarder idet det dog bemærkes, at NIS-direktivet og forslaget til ny NIS-direktiv (NIS2) ikke vedrører direkte krav til sikkerheden i pro-dukter og dertil knyttede tjenester og processer.