Gå direkt till innehållet
Europeiska kommissionens logotyp
svsv

Säkerhet vid kommissionen

Kommissionen måste kunna bedriva sin verksamhet i en säker och trygg miljö och garantera säkerheten för personer, tillgångar och information.

Nya regler om informationssäkerhet

Förslag till förordning om informationssäkerhet i EU:s institutioner, organ och byråer

Bakgrund

EU:s institutioner, organ och byråer skickar en ständigt ökande mängd känsliga och sekretessbelagda uppgifter mellan sig. Hotbilden har utvecklats dramatiskt och EU-förvaltningen utsätts också för angrepp inom alla sina verksamhetsområden. De uppgifter som institutionerna, organen, byråerna och myndigheterna hanterar är mycket värdefulla för hotfulla aktörer och måste skyddas på lämpligt sätt.

EU-länderna har redan uppmanat EU-förvaltningen att agera i den riktningen. Ett centralt inslag i den strategiska agenda för 2019–2024 som antogs av Europeiska rådet i juni 2019 är att skydda våra samhällen från hot som riktas mot uppgifter som hanteras av EU-förvaltningen. I sina slutsatser uppmanade Europeiska rådet ”EU:s institutioner att, tillsammans med medlemsstaterna, arbeta med åtgärder för att stärka EU:s resiliens och säkerhetskultur med avseende på cyberhot och hybridhot från länder utanför EU och bättre skydda EU:s informations- och kommunikationsnätverk och dess beslutsprocesser mot alla former av skadlig verksamhet”.

I juli 2020 antog kommissionen strategin för EU:s säkerhetsunion, som innehåller ett åtagande från kommissionens sida om att komplettera EU-ländernas insatser på säkerhetsområdet. En del av detta löfte är initiativet för att harmonisera det interna regelverket för informationssäkerhet i EU:s alla institutioner, organ och byråer.

Mål

Förslaget ska först och främst skapa en standarduppsättning informationssäkerhetsregler för alla institutioner, organ och byråer för att säkerställa ett starkare och enhetligt skydd mot de framväxande hoten mot EU:s information.

Det allmänna målet är uppdelat på följande fyra specifika mål:

  • Fastställa harmoniserade och heltäckande uppgiftskategorier som bygger på sekretessnivån.
  • Kartlägga säkerhetsbrister och genomföra de åtgärder som krävs.
  • Upprätta ett effektivt forum för samarbete om informationssäkerhet i EU:s institutioner, organ och byråer.
  • Modernisera politiken för informationssäkerhet och då ta hänsyn till aktuella trender som den digitala omställningen och distansarbete.

 

Frågor och svar

Varför har kommissionen lagt fram ett förslag till förordning om informationssäkerhet i EU:s institutioner, organ och byråer?

EU:s institutioner, organ och byråer har just nu sina egna regler för informationssäkerhet eller inga regler alls. Det fragmenterade regelverket har lett till stora skillnader i hur organisationerna skyddar den information de hanterar. Den här situationen ökar risken för att hackare ska ta sig in via den svagaste länken och använda den som en utgångspunkt för ytterligare attacker på andra institutioner eller organ.

Genom att skapa ett enda regelverk för informationssäkerhet i alla institutioner, organ och byråer föreslår kommissionen en gemensam hög baslinje för skyddet av den informationen som hanteras. Dessutom kommer de harmoniserade reglerna att underlätta informationsutbytet mellan institutionerna, organen och byråerna och också med EU-länderna.

Vem omfattas av den föreslagna förordningen?

Förslaget innehåller regler som ska gälla för EU-förvaltningen, dvs. EU:s institutioner, organ och byråer. Det kan också indirekt medföra skyldigheter för de personer som utför arbetsuppgifter för EU-förvaltningens räkning eller på kontraktsbasis (men inte för kommissionsledamöterna, EU-ländernas företrädare i rådet, ledamöterna i Europaparlamentet, domarna vid EU:s domstolar eller Europeiska revisionsrättens ledamöter).

EU-länderna omfattas inte heller av den föreslagna förordningen.

Vilka informationskategorier omfattas av den föreslagna förordningen?

Förslaget omfattar både information som är och som inte är sekretessbelagd av EU och gäller följande sekretessnivåer:

  • Tre nivåer av icke-säkerhetsskyddsklassificerade uppgifter: uppgifter för allmänt bruk, normala uppgifter och känsliga icke-säkerhetsskyddsklassificerade uppgifter.
  • Fyra nivåer av EU-sekretessbelagd information: restreint UE/EU restricted, confidentiel UE/EU confidential, secret UE/EU secret, très secret ue/EU top secret.

Kommer reglerna ses över när de väl har trätt i kraft?

Efter att reglerna börjar tillämpas kommer kommissionen att vart femte år utvärdera förordningen för att se om den verkligen är effektiv eller om det krävs ytterligare insatser.

Dessutom kommer kommissionen att regelbundet rapportera om genomförandet av förordningen till Europaparlamentet och rådet.

Vad blir nästa steg?

Kommissionens förslag kommer att följa det ordinarie lagstiftningsförfarandet i Europaparlamentet och rådet.

Vid telekomministrarnas informella möte i Nevers den 9 mars 2022 uppmanade de EU:s institutioner, organ och byråer att ytterligare stärka it- och informationssäkerheten eftersom EU har blivit en viktig strategisk aktör vars roll i världen kräver att dess information och nätverk är säkra mot it-hot.

Dokument

Impact analysis accompanying the proposal

JRC study on information security in the age of EU institutions digitalisation

Länkar

Pressmeddelande

Text of the proposal

The EU Security Union Strategy: European Security Union

Kommissionens beslut

Strategin för EU:s säkerhetsunion: EU:s säkerhetsunion | Europeiska kommissionen (europa.eu)

Kommissionens mål för säkerheten är att verksamheten ska bedrivas i en säker och trygg miljö. Därför måste kommissionen säkerställa säkerheten för personer, tillgångar och information på grundval av kommissionens beslut (EU, Euratom) 2015/443 om säkerhet inom kommissionen och kommissionens beslut (EU, Euratom) 2015/444 om säkerhetsbestämmelser för skydd av säkerhetsskyddsklassificerade EU-uppgifter. Det omfattar framför allt den fysiska integriteten för personer och tillgångar, integritet, sekretess och tillgång till både information och kommunikations- och informationssystem samt förutsättningar för att kommissionens arbete ska kunna fungera obehindrat.

Kommissionen måste ibland i det här sammanhanget behandla personuppgifter och följer då Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG-

Meddelande om skydd av personuppgifter vid säkerhetsförfaranden finns nedan:

Documents

  • 19 APRIL 2022
Privacy statement on security - European Commission Physical Access Control System (PACS)
English
(728.83 KB - PDF)
Ladda ner

  • 6 MAJ 2020
Privacy statements on security - European Commission Video Surveillance Policy (CCTV)
English
(489.35 KB - PDF)
Ladda ner

  • 19 APRIL 2022
Privacy statement - Security Investigations
English
(256.98 KB - PDF)
Ladda ner

  • 2 MAJ 2020
Privacy statement on security - Counter-Intelligence - Counter-Terrorism/Extremism - Threats against the Commission
English
(326.51 KB - PDF)
Ladda ner

  • 7 APRIL 2022
Privacy statements on security - Background Checks for Contractor staff
English
(209.27 KB - PDF)
Ladda ner