Chemin de navigation

Left navigation

Additional tools

Europeiska kommissionen - Pressmeddelande

Den digitala agendan: kommissionen samråder om konkreta regler för anmälan av brott mot nätsäkerheten

Bryssel den 14 juli 2011 – Europeiska kommissionen rådfrågar telekomoperatörerna, leverantörerna av internettjänster, medlemsstaterna, de nationella dataskyddsmyndigheterna, konsumentorganisationerna och andra berörda parter om huruvida det behövs kompletterande regler för att garantera att brott mot nätsäkerheten anmäls på ett samstämmigt sätt i hela EU. Enligt det reviderade direktivet om integritet och elektronisk kommunikation (2009/136/EG), som trädde i kraft den 25 maj 2011 som del av EU:s paket med nya telekombestämmelser, ska operatörer och leverantörer av internettjänster utan dröjsmål informera de nationella myndigheterna och sina kunder om brott mot nätsäkerheten som berör de uppgifter som operatörerna och leverantörerna innehar (se IP/11/622 och MEMO/11/320). Kommissionen vill ha återkoppling om den befintliga situationen och om de första erfarenheterna med de nya telekombestämmelserna, och kan sedan komma att föreslå kompletterande konkreta regler som klargör när brott ska anmälas, hur det ska göras och i vilka format. Bidrag till samrådet kan lämnas fram till och med den 9 september 2011.

Kommissionens vice ordförande med ansvar för den digitala agendan, Neelie Kroes, kommenterade detta: ”Skyldigheten att anmäla nätsäkerhetsbrott är en viktig del av EU:s nya telekombestämmelser. Men vi måste se till att det hanteras på samma sätt i hela EU så att företagen inte måste hålla reda på en massa olika nationella system. Jag vill skapa lika konkurrensförhållanden överallt, med säkerhet för konsumenterna och praktiska lösningar för företagen.”

Samrådet ska svara på följande konkreta frågor:

  • Omständigheterna: Hur efterlever organisationer den nya skyldigheten, eller hur tänker de göra det? Vilka typer av brott skulle medföra kravet att meddela abonnenten eller den enskilde konsumenten? Vilka exempel kan ges på skyddsåtgärder som kan göra uppgifter oläsbara?

  • Förfaranden: tidsfrist för anmälan, anmälningsförfarande och regler för enskilda fall.

  • Format: Anmälans innehåll när de ställs till den nationella myndigheten och till den enskilde konsumenten, befintliga mallformulär och möjligheten att införa ett standardformulär för hela EU.

Dessutom vill kommissionen veta mer om gränsöverskridande brott och efterlevnad av andra EU-krav avseende säkerhetsbrott.

Bakgrund

Telekomoperatörer och leverantörer av internettjänster har en stor mängd uppgifter om sina kunder, som namn, adress och bankuppgifter, utöver uppgifter om telefonsamtal och besökta webbplatser. Enligt direktivet om integritet och elektronisk kommunikation ska telekomoperatörer och leverantörer av internettjänster bevara sådana uppgifter på ett konfidentiellt och säkert sätt. Ibland händer det emellertid att uppgifter stjäls eller tappas bort eller koms åt av obehöriga. Sådana fall kallas för säkerhetsbrott. Enligt det reviderade direktivet om integritet och elektronisk kommunikation (2009/136/EG) ska tjänsteleverantören om ett brott förekommer rapportera detta till en särskild nationell myndighet, normalt sett dataskyddsmyndigheten eller tillsynsmyndigheten för kommunikation. Tjänsteleverantören ska också informera de berörda enskilda personerna direkt.

För att se till att reglerna om säkerhetsbrott efterlevs på samma sätt i alla medlemsstater ger direktivet om integritet och elektronisk kommunikation kommissionen rätt att föreslå tekniska genomförandeåtgärder, dvs. konkreta regler som kompletterar den gällande lagstiftningen, avseende villkor, format och förfaranden för anmälningskraven.

Nästa steg

Om kommissionen på grundval av den återkoppling som inkommer beslutar att föreslå tekniska genomförandeåtgärder ska den rådgöra med Europeiska byrån för nät- och informationssäkerhet (ENISA), den arbetsgrupp för skydd av personuppgifter som avses i artikel 29 och Europeiska datatillsynsmannen. Tillsynsmyndigheten för kommunikation skulle också behöva tillfrågas, eftersom den är behörig myndighet för säkerhetsbrott i vissa medlemsstater.

De tekniska genomförandeåtgärderna skulle vara kommissionsbeslut som antas genom det föreskrivande kommittéförfarandet. Det förfarandet innebär att medlemsstaterna först måste godkänna kommissionens förslag inom ramen för kommunikationskommittén. Sedan har Europaparlamentet tre månader på sig att granska åtgärden innan den träder i kraft.

Detta samråd är fristående från och oberoende av den pågående översynen av direktivet om uppgiftsskydd (95/46/EC) (se IP/10/1462 och MEMO/10/542).

Ytterligare upplysningar

Samrådstexten finns på:

http://ec.europa.eu/information_society/policy/ecomm/library/public_consult/data_breach/index_en.htm

Webbplatsen för den digitala agendan: http://ec.europa.eu/digital-agenda

Neelie Kroes' webbplats: http://ec.europa.eu/commission_2010-2014/kroes/

Följ Neelie Kroes på Twitter: http://twitter.com/neeliekroeseu

Kontaktpersoner :

Jonathan Todd (+32 2 299 41 07)

Linda Cain (+32 2 299 90 19)


Side Bar