EU fremsætter forslag om underretningspligt ved sikkerhedsbrud
EU-Kommissionen har fremsat et forslag til et nyt direktiv, der skønnes at påvirke op mod 42.000 europæiske virksomheder - NIS-direktivet.
Direktivet har til formål at højne beredskabet og samarbejdet for at undgå og modstå bl.a. cyberangreb på kritiske sektorer såsom finansielle virksomheder og børser, hospitaler, energiforsyningsselskaber, transportområdet, visse internettjenester samt offentlige myndigheder.
Teleområdet er ikke omfattet af direktivet, da der allerede findes relevant lovgivning på dette område.
Forslaget kommer samtidig med, at præsident Obama har underskrevet en executive order, der iværksætter en række initiativer inden for cyber security. Et af målene er, at det skal være nemmere for føderale myndigheder i realtid at udveksle oplysninger om cybertrusler med virksomheder, som driver "kritisk infrastruktur".
Det kan således også ventes, at der fra USA vil komme initiativer, der kan have en direkte eller indirekte betydning for danske virksomheder med tilknytning til det amerikanske marked.
Kommissionen har begrundet fremsættelsen af forslaget med et stigende antal sikkerhedsbrud mod virksomheder og myndigheder, og det forhold at den nuværende lovgivning ikke skønnes at indeholde de fornødne redskaber til at modgå denne trussel. Ifølge en undersøgelse fra Kommissionen havde 57 % af alle respondenterne i det forgangne år oplevet sikkerhedsbrud, som havde haft en alvorlig indvirkning på deres aktiviteter.
Reglerne retter sig ikke mod beskyttelse af personoplysninger, der stadig omfattes af den eksisterende persondatalovgivning, men nærmere mod beskyttelsen af infrastruktur og IT-systemer, der er af væsentlig betydning for samfundet og økonomien.
Med reglerne pålægges bl.a. de omfattede virksomheder at underrette den kompetente tilsynsmyndighed ved sikkerhedsbrud mod virksomhedernes kerneaktiviteter. Med sikkerhedsbrud menes ikke blot cyberangreb (selvom det er en væsentlig motivation ifølge forslaget), også menneskelige fejl, naturkatastrofer og tekniske fejl, der kan føre til nedbrud, omfattes.
Det er endnu uvist i hvilket omfang, virksomhederne skal underrette myndighederne, idet EU-Kommissionen ved en såkaldt delegeret retsakt - det der svarer til en bekendtgørelse i Danmark - fastsætter nærmere reglerne om dette. Det ligger dog fast, at den kompetente myndighed kan underrette offentligheden eller pålægge virksomheden at gøre dette, hvis det skønnes at være i offentlighedens interesse, som det også er kendt inden for teleområdet.
Desuden skal virksomhederne gennemføre vurderinger af risikoen for sikkerhedsbrud og på denne baggrund implementere nødvendige foranstaltninger.
Der venter nu en behandling af forslaget, der ventes at tage ca. 2 år, inden direktivet skal implementeres i medlemsstaterne. Sammenholdt med de 18 måneder, som medlemsstaterne har til at gennemføre direktivet i national ret, kan de nye regler forventes trådt i kraft i andet halvår af 2016.