Hybridkrig får EU att stärka digital säkerhet

EU:s säkerhetskommissionär Henna Virkkunen lade på tisdagen fram ett nytt lagförslag som ska stärka unionens cybersäkerhet. Paketet innehåller både obligatoriska åtgärder för att skydda kritisk infrastruktur och förenklingar för företag som ska följa EU:s cybersäkerhetsregler.

– Vi befinner oss mitt i ett hybridkrig. Varje dag drabbas kritisk infrastruktur i Europa av cyberattacker, sade Henna Virkkunen vid presskonferensen.

Förslaget kommer efter att allt fler incidenter har visat på sårbarheter i EU:s digitala system. Cyberattacker används för spionage, utpressningstrojaner och störningar, ofta i kombination med desinformationskampanjer eller fysiska sabotage.

Treårig utfasning av högriskutrustning
Den kanske mest långtgående åtgärden i paketet är kravet på att medlemsländerna inom tre år måste fasa ut utrustning från så kallade högriskländer i sina 5G-nät. Även om förslaget inte namnger några länder eller företag direkt, har termen "hög risk" tidigare använts för att beskriva Kina och företag som Huawei och ZTE.

Tidigare har kommissionen rekommenderat medlemsländerna att begränsa eller utesluta sådan utrustning, men implementeringen har varit ojämn. Vissa länder har köpt kinesisk utrustning medan andra har undvikit den. Om förslaget antas blir dessa åtgärder obligatoriska för hela unionen.

Förslaget bygger på den så kallade 5G-verktygslådan som antogs 2020, men som inte har genomförts fullt ut av medlemsländerna. Den nya lagstiftningen gör rekommendationerna bindande.

Fyra huvudsakliga förbättringar
Kommissionen föreslår förbättringar inom fyra områden. För det första ska EU:s cybersäkerhetsbyrå Enisa få utökade resurser och nya uppgifter för att bättre stödja medlemsländerna. Byrån ska bland annat bli en central kontaktpunkt för incidentrapportering och ge tidig varning om cyberhot.

För det andra ska EU få ett ramverk för att hantera säkerhetsrisker i leveranskedjorna för informations- och kommunikationsteknik. Det innebär att unionen och medlemsländerna gemensamt ska identifiera och minska risker inom 18 kritiska sektorer, däribland energi, vatten, transport och hälso- och sjukvård.

För det tredje ska certifieringssystemet för cybersäkerhet förenklas. Enisa ska förvalta certifieringssystemen och se till att standarderna är så globala som möjligt. Målet är att produkter och tjänster ska vara säkra genom design.

För det fjärde föreslår kommissionen riktade ändringar av det så kallade NIS2-direktivet för att förenkla regelefterlevnaden. Förslagen ska öka den rättsliga tydligheten och minska regelbördan för nästan 28 700 företag, varav över 6 200 är mikroföretag och små företag.

Oro för konkurrenskraft
Telekomleverantörerna varnar för att åtgärderna kan bli kostsamma. Branschorganisationen Connect Europe har uttryckt oro för att förslagen kommer att öka bördan för branschen, med extra reglerande kostnader som uppgår till miljarder euro, skriver Reuters.

Den årliga kostnaden för att fasa ut specifik högriskutrustning beräknas av kommissionen till mellan 3,4 och 4,3 miljarder euro för mobilnätsoperatörerna. Samtidigt kan investeringar i betrodda leverantörer växa till 2 miljarder per år.

Kommissionen menar dock att de långsiktiga besparingarna kommer att vara betydande. Åtgärderna förväntas generera kostnadsbesparingar på upp till 15,3 miljarder euro för företag under en femårsperiod.

Reaktioner från Huawei
Det kinesiska företaget Huawei har kritiserat förslaget. I ett uttalande säger företaget att ett lagförslag som begränsar eller utesluter icke-EU-leverantörer baserat på ursprungsland snarare än faktiska bevis och tekniska standarder bryter mot EU:s grundläggande rättsprinciper om rättvisa, icke-diskriminering och proportionalitet, samt dess WTO-åtaganden.

– Som ett lagligt verkande företag i Europa förbehåller vi oss rätten att skydda våra legitima intressen, sade en talesperson för Huawei, enligt Reuters.

Nästa steg
Förslaget ska nu behandlas av Europaparlamentet och medlemsländerna i ministerrådet. När det antas kommer det att gälla omedelbart. De ändringar som görs i NIS2-direktivet måste genomföras i nationell lagstiftning inom ett år efter antagandet.

Kommissionen planerar också att regelbundet se över de genomförda åtgärderna. Enisas mandat och verksamhet ska utvärderas vart femte år.