Digital säkerhet och cybersäkerhet inom Europeiska unionen

Europeiska unionen har aktivt utvecklat sin cybersäkerhetspolitik de senaste åren. EU:s regelverk för cybersäkerhet innefattar fyra viktiga rättsakter: Cybersäkerhetsakten, NIS 2-direktivet, Cyberresiliensförordningen och Cybersolidaritetsförordningen. De tre förstnämnda rättsakterna är väsentliga ur kommunsektorns perspektiv.

Cybersäkerhetsakten

Cybersäkerhetsakten (Cyber Security Act, CSA) anger grunden för EU:s cybersäkerhetsbyrå Enisas verksamhet och för EU:s certifieringssystem för cybersäkerhet. Enisas verksamhet är etablerad och utvidgas kontinuerligt, medan utvecklingen av certifieringssystemen har varit långsammare än väntat. Det är önskvärt att certifikat på EU-nivå tas i bruk för att harmonisera cybersäkerhetsnivån inom EU och för att på ett enklare sätt än för närvarande visa att de digitala tjänster som används inom kommunsektorn har en tillräcklig cybersäkerhetsnivå – delvis med stöd av tjänsteproducenternas certifikat. 

NIS 2-direktivet

NIS 2-direktivet skapar en grund för cybersäkerhetskraven för stora organisationer inom sektorer som identifierats som kritiska. Det förutsätter dessutom att nationella strategier för cybersäkerhet utarbetas. Viktiga kritiska sektorer med tanke på kommunsektorn är offentlig förvaltning, vattenförsörjning, energiförsörjning (jfr värmeverk) och avfallshantering. I Finlands nationella genomförandebestämmelser har den lokala nivån, dvs. kommunerna, lämnats utanför den offentliga förvaltningens ansvarsområde och NIS 2-regleringen gäller således inte verksamheten i primärkommunen. Kommunerna kan ansvara för vatten-, värme- eller avfallsaktörer i form av affärsverk eller bolag. 

Organisationer som är verksamma inom kritiska sektorer enligt NIS 2-direktivet ska utöver att höra till sektorn även ha en tillräckligt stor verksamhet för att omfattas av direktivets tillämpningsområde: omsättningen och balansräkningen ska båda överstiga 10 000 000 euro eller antalet anställda 50 personer. Därför omfattas endast de största aktörerna inom den kritiska infrastrukturen i kommunsektorn i Finland av NIS 2-direktivet. 

Nationellt har NIS 2-direktivet genomförts genom cybersäkerhetslagen och i fråga om den offentliga förvaltningssektorn genom ett nytt 4 a kap. i lagen om informationshantering inom den offentliga förvaltningen (Obs! Det nya 4 a kap. gäller inte kommunerna). Cybersäkerhetscentret vid Transport- och kommunikationsverket Traficom har utarbetat en rekommendation för de myndigheter som utövar tillsyn över NIS 2-direktivet. Kommunerna kan också använda sig av rekommendationen som god praxis när de utvecklar sin egen informationssäkerhet. Det är bra om de kommunala aktörerna går igenom åtminstone kraven på basnivå och säkerställer att kommunens verksamhet motsvarar dessa. Det rekommenderas att det långsiktiga frivilliga målet är fullständig kompabilitet med NIS 2-kraven.

Cyberresiliensförordningen

Cyberresiliensförordningen (Cyber Resilience Act, CRA) reglerar cybersäkerheten och hanteringen av sårbarheter i fråga om produkter med digitala element. Förordningen gäller framför allt tillverkare av produkter, myndigheter som övervakar dem och aktörer som utför produktcertifieringar och produktrevisioner. Tanken är att tillverkarna i huvudsak själva genomför de cybersäkerhetskrav samt krav på hantering och anmälan av sårbarheter som anges i artikel 6 i cyberresiliensförordningen. 

Sårbarhetshanteringen gäller alla produkter som kan anslutas till datanätet (tillämpning från och med 11.9.2026), medan cybersäkerhetskraven gäller nya produkter som släpps ut på marknaden (tillämpning från och med 11.12.2027). Cyberresiliensförordningen genomförs genom nationella genomförandebestämmelser under 2025. De krav som ställs på produkter som omfattas av cyberreliliensförordningen ska även beaktas vid offentlig upphandling (jfr artikel 5). Kommunförbundet önskar att myndigheterna ger tydliga anvisningar till kommunsektorn för genomförandet av artikel 5.

Andra rättsakter som bör beaktas

Även i andra centrala EU-rättsakter om data och digitalisering, såsom rättsakterna som gäller artificiell intelligens och molntjänster och deras nationella genomförandebestämmelser, innehåller eIDAS-förordningen om en europeisk plånbok för digital identitet egna informationssäkerhetskrav som kommunerna ska beakta. 

EU:s reglering om beredskap och resiliens som utvecklas och Natos resiliensagenda återspeglas också i kommunsektorns krav och verksamhetsförutsättningar. EU:s nya centrala rättsakt som styr beredskapen är CER-direktivet, vars nationella genomförande genomförs av lagen om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft. Dess nationella tillämpningsområde kommer sannolikt att till många delar följa tillämpningsområdet för NIS 2-direktivet, men CER-direktivet kan eventuellt även medföra att också mindre aktörer med kritiska roller enklare kan komma att omfattas av CER-regleringen och därmed även NIS 2-regleringen. 

Genomförande och finansiering

EU:s digitaliseringsmål har skrivits in i programmet EU:s digitala decennium 2030, på basis av vilket man även utarbetat en nationell digital kompass för Finland (2023), samt i EU:s cybersäkerhetsstrategi (2020) och i den nationella cybersäkerhetsstrategin och dess genomförandeprogram. 

EU:s cybersäkerhetsbyrå Enisa stöder Europeiska kommissionen i genomförandet av EU:s cybersäkerhetsrättsakter. Enisa samlar bland annat in och delar lägesbilden av cybersäkerheten inom EU och analyserar olika delområden inom cybersäkerheten. Dessutom utarbetar Enisa dokumentation som stöder genomförandet av rättsakterna och erbjuder andra stödtjänster i synnerhet till medlemsländernas cybersäkerhetsmyndigheter. Å andra sidan utarbetar Enisa också cybersäkerhetsinnehåll till medlemsländernas offentliga förvaltning, företag och medborgare. En central uppgift för Enisa är att utveckla och upprätthålla EU:s säkerhetscertifieringssystem och säkerhetscertifieringskriterier. 

Nationella myndigheter som stöder cybersäkerheten, såsom Cybersäkerhetscentret vid Traficom och Myndigheten för digitalisering och befolkningsdata, erbjuder aktörer inom kommunsektorn mer användbart cybersäkerhetsinnehåll, som är anpassat till den nationella verksamhetsmiljön, än Enisa. Det är dock bra för kommunala aktörer och sakkunniga inom kommunsektorn, som har mer tid för att utveckla cybersäkerheten, att bekanta sig med Enisas tjänster och utnyttja dem vid behov.

EU:s finansieringsprogram, såsom Horizon, Living in EU och Digital Europe erbjuder finansiering för utveckling av cybersäkerheten. Dessa finansieringsprogram är också tillgängliga för kommunerna. Organisationer som är intresserade av ämnet kan bekanta sig med tjänsterna vid det Nationella samordningscentrumet för forskning, utveckling och innovation inom cybersäkerhet, som upprätthålls av Transport- och kommunikationsverket Traficom, och ansluta sig till dess nationella kompetensgemenskap. 

Regionkontor som företräder kommuner och regioner kan stödja sina kunder i identifieringen av finansieringsmöjligheter. Det finns också skäl för kommunala aktörer som är intresserade av EU:s finansieringsmöjligheter att kontakta yrkeshögskolor och universitet som bedriver cybersäkerhetsutbildning och cybersäkerhetsforskning på regional eller nationell nivå för att identifiera projektpartnerskap (dessa aktörer kan identifieras till exempel bland deltagarna i följande nätverksprojekt: yrkeshögskolor och universitet). Kommunförbundet kan vid behov stödja kommunerna i finansieringsfrågor när det gäller att bilda nätverk och identifiera nationella och internationella projektpartnerskap (kontaktuppgifter nedan). 

EU:s finansieringsprogram håller på att ses över grundligt. Det hindrar dock inte att man sätter sig in i finansieringsmöjligheterna redan nu och utnyttjar de finansieringsprogram som fortfarande pågår. Det kommer sannolikt också i fortsättningen att finnas betydande EU-finansiering för utvecklingen av cybersäkerheten.

Annat som berör frågan

• Innehållet i EU:s rättsakter och program om digital säkerhet och cybersäkerhet samt deras konsekvenser för aktörerna inom kommunsektorn har behandlats närmare i vår nätverksverksamhet, såsom i nätverket för kommunernas informationssäkerhetsansvariga.
• Vår nationella dataskyddslagstiftning och genomförandet av den grundar sig på EU:s dataskyddsförordning (GDPR) som har kompletterats med den nationella dataskyddslagen. Mer information om dataskyddslagstiftningen finns på Kommunförbundets juridiska enhets webbplats.
• Mer information om EU:s allmänna digitaliserings- och datalagstiftning.
• Mer information om Kommunförbundets allmänna EU-intressebevakning och EU:s finansieringsprogram (innefattar en handbok om EU-finansiering).