EU fremsætter forslag om underretningspligt ved sikkerhedsbrud

EU-Kommissionen har fremsat et forslag til et nyt direktiv, der skønnes at påvirke op mod 42.000 europæiske virksomheder - NIS-direkti­vet.

Direktivet har til formål at højne beredska­bet og samarbejdet for at undgå og modstå bl.a. cyberangreb på kritiske sektorer såsom finan­sielle virksomheder og børser, hospitaler, ener­giforsyningsselskaber, transportområdet, visse internettjenester samt offentlige myndigheder.

Teleområdet er ikke omfattet af direktivet, da der allerede findes relevant lovgivning på dette område.

Forslaget kommer samtidig med, at præsident Obama har underskrevet en executive order, der iværksætter en række initiativer inden for cyber security. Et af målene er, at det skal være nem­mere for føderale myndigheder i realtid at ud­veksle oplysninger om cybertrusler med virk­somheder, som driver "kritisk infrastruktur".

Det kan således også ventes, at der fra USA vil komme initiativer, der kan have en direkte eller indirekte betydning for danske virksomheder med tilknytning til det amerikanske marked.

Kommissionen har begrundet fremsættelsen af forslaget med et stigende antal sikkerhedsbrud mod virksomheder og myndigheder, og det for­hold at den nuværende lovgivning ikke skønnes at indeholde de fornødne redskaber til at modgå denne trussel. Ifølge en undersøgelse fra Kom­missionen havde 57 % af alle respondenterne i det forgangne år oplevet sikkerhedsbrud, som havde haft en alvorlig indvirkning på deres akti­viteter.

Reglerne retter sig ikke mod beskyttelse af per­sonoplysninger, der stadig omfattes af den eksi­sterende persondatalovgivning, men nærmere mod beskyttelsen af infrastruktur og IT-syste­mer, der er af væsentlig betydning for samfundet og økonomien.

Med reglerne pålægges bl.a. de omfattede virk­somheder at underrette den kompetente tilsyns­myndighed ved sikkerhedsbrud mod virksomhe­dernes kerneaktiviteter. Med sikkerhedsbrud menes ikke blot cyberangreb (selvom det er en væsentlig motivation ifølge forslaget), også menneskelige fejl, naturkatastrofer og tekniske fejl, der kan føre til nedbrud, omfattes.

Det er endnu uvist i hvilket omfang, virksomhe­derne skal underrette myndighederne, idet EU-Kommissionen ved en såkaldt delegeret retsakt - det der svarer til en bekendtgørelse i Danmark - fastsætter nærmere reglerne om dette. Det lig­ger dog fast, at den kompetente myndighed kan underrette offentligheden eller pålægge virksom­heden at gøre dette, hvis det skønnes at være i offentlighedens interesse, som det også er kendt inden for teleområdet.

Desuden skal virksomhederne gennemføre vur­deringer af risikoen for sikkerhedsbrud og på denne baggrund implementere nødvendige for­anstaltninger.

Der venter nu en behandling af forslaget, der ventes at tage ca. 2 år, inden direktivet skal im­plementeres i medlemsstaterne. Sammenholdt med de 18 måneder, som medlemsstaterne har til at gennemføre direktivet i national ret, kan de nye regler forventes trådt i kraft i andet halvår af 2016.