Inga produkter i varukorgen.
Genomgång: EU:s cyberpaket väcker oro för it-leverantörer
REGLERING Bryssel vill stärka Europas skydd mot cyberhot. Men förslagen om hårdare styrning av it-leverantörer väcker kritik i Sverige, där remissinstanser varnar för ökad administration, osäkerhet kring molntjänster och minskad nationell kontroll.
Foto: Adobe stock.
EU-kommissionens cybersäkerhetspaket handlar om ändringar i cybersäkerhetsakten och riktade ändringar i NIS2-direktivet. Syftet är att stärka cybersäkerheten i EU, samordna regelverken bättre och ge EU:s cybersäkerhetsbyrå Enisa en större roll.
Någonting är fel
Du är inloggad som prenumerant hos förlaget Pauser Media, men nånting är fel. På din profilsida ser du vilka av våra produkter som du har tillgång till. Skulle uppgifterna inte stämma på din profilsida – vänligen kontakta vår kundtjänst.
Techtidningen premium
Läs vidare – starta din prenumeration
Redan prenumerant? Logga in och läs vidare.
Förslaget innehåller bland annat ett nytt ramverk för säkerhet i leveranskedjor för informations- och kommunikationsteknik, IKT. Det ska göra det möjligt att hantera risker kopplade till leverantörer, produkter och tjänster som bedöms vara känsliga ur cybersäkerhetsperspektiv.
Remissvaren visar stöd för grundidén: Europas cybersäkerhet behöver stärkas. Men de visar också en tydlig konflikt om hur långt EU ska få gå i styrningen av kritiska it-leverantörer, incidentrapportering och informationsdelning.
Svenska Bankföreningen stöder målet att förenkla och harmonisera regelverken. Samtidigt varnar organisationen för att förslaget kan innebära en förskjutning från den riskbaserade modell som redan gäller för finanssektorn genom Dora, till ett ramverk där EU kan begränsa eller förbjuda specifika IKT-leverantörer.
Oro för moln och outsourcing
En av de mest omstridda frågorna gäller möjligheten att peka ut högriskleverantörer.
Bankföreningen efterlyser tydligare metodik för hur sådana leverantörer ska identifieras. Organisationen varnar också för att förbud eller restriktioner kan leda till ökad koncentration till ett mindre antal leverantörer inom EU.
Det kan i sin tur skapa högre kostnader, nya koncentrationsrisker och beroenden av enskilda leverantörer.
Förslaget kan även få direkta konsekvenser för företagens it-miljöer. Enligt Bankföreningen kan åtgärder mot högriskleverantörer påverka outsourcing, molnstrategier, it-arkitektur, avtalsrelationer och fjärråtkomst.
Säpo varnar för minskad nationell kontroll
Säkerhetspolisen lyfter en annan konflikt: gränsen mellan EU-samordning och nationell säkerhet.
Myndigheten pekar på att vissa verksamheter som omfattas av NIS2 också kan bedriva säkerhetskänslig verksamhet. Då blir det oklart hur ett framtida krav på att inte använda viss utrustning ska tillämpas.
Säkerhetspolisen varnar för att det kan vara olämpligt att överlåta rätten att besluta om förbud mot vissa leverantörer eller produkter från Sverige till EU.
Myndigheten invänder också mot att medlemsstater enligt förslaget kan behöva samråda med kommissionen innan de vägrar lämna ut uppgifter till ett annat EU-land med hänvisning till nationell säkerhet eller rikets försvar.
Register kan skapa nya risker
Förslaget om ett utökat register hos EU:s cybersäkerhetsbyrå Enisa möter också kritik.
Säkerhetspolisen pekar på att registret kan omfatta samtliga verksamhetsutövare som träffas av regleringen, inklusive IP-adresser till NIS2-aktörer i hela EU.
Myndigheten anser att det inte är tillräckligt tydligt varför Enisa behöver samla in så stora mängder uppgifter. Ett sådant register kan enligt Säkerhetspolisen skapa nya sårbarheter och bör undvikas om det inte är absolut nödvändigt.
Näringslivet varnar för regelbörda
Svenskt Näringsliv välkomnar målet att stärka EU:s cybersäkerhet. Men organisationen anser att kommissionen missar chansen att förenkla ett redan komplext regelverk med bland annat NIS2, CER, Cyber Resilience Act, Cyber Solidarity Act, 5G Toolbox och Dora.
Organisationen efterlyser riskbaserade och proportionerliga regler och varnar för överlappande krav.
Tillväxtverket pekar samtidigt på att förslagen kan få särskilt stor betydelse för små och medelstora företag. Certifiering kan i praktiken bli ett affärsvillkor, särskilt i leverantörskedjor till NIS2-reglerade företag och vid offentlig upphandling.
Enisa får större roll
Flera remissinstanser är positiva till att Enisa får en tydligare roll.
Tullverket ser positivt på att myndigheten får resurser som motsvarar det växande uppdraget. Samtidigt betonar Tullverket att Enisas roll inte bör bli för operativ, eftersom det kan skapa oklarheter gentemot nationella myndigheter.
Svenskt Näringsliv gör en liknande bedömning och varnar för att Enisa utvecklas till en operativ EU-myndighet.
Bankföreningen vill däremot se en tydligare EU-övergripande krissamordnande roll för Enisa vid stora gränsöverskridande cyberangrepp.
Vad händer nu?
Efter remissrundan ska Sverige ta ställning i de fortsatta EU-förhandlingarna.
De centrala frågorna är hur högriskleverantörer ska identifieras, vem som ska kunna besluta om förbud, hur nationell säkerhet ska skyddas och hur stora register inom EU ska hanteras.
För svenska it-chefer och systemägare kan leverantörsstyrning, molnstrategier och dokumentation av IKT-beroenden bli ännu viktigare.
