Ny Kommisjon, digitale «leftovers», indre marked for cybersikkerhet og Google
Rapport | Dato: 07.10.2019 | Utenriksdepartementet
Rapport for september 2019 fra IKT-råden ved EU-delegasjonen
- Ursula von der Leyen har presentert sitt nye mannskap og varsler en "geopolitisk Kommisjon». Hva kan dette bety for IKT-politikken?
- Det gjenstår fortsatt å ferdigbehandle sentrale lovforslag fra Juncker-kommisjonen. Hva er status for disse sakene nå på høsten?
- Cybersikkerhet vil stå høyt på agendaen for den innkommende Kommisjonen. Ambisjonen er å etablere et reelt indre marked for cybersikkerhet, men hva ligger i dette?
- I september har diskusjonene rundt retten til å bli glemt og implementeringen av opphavsrettsdirektivet blusset opp igjen. Spillereglene for den globale internettøkonomien er i konstant utvikling.
“I want Europe to strive for more by grasping the opportunities from the digital age within safe and ethical boundaries.”
Innkommende kommisjonspresident, Ursula von der Leyen
Ny Kommisjon – hva betyr det for IKT-politikken?
Påtroppende president for Kommisjonen, Ursula Von der Leyen, la 10. september frem teamet hun vil ha med seg til å lede Kommisjonen de neste fem årene. I følge henne selv har hun valgt en struktur, og utstyrt de foreslåtte kandidatene fra medlemslandene med porteføljer, som hun mener svarer på prioriteringene i de politiske retningslinjene hun la frem 16. juli. Oversikten over de ulike kandidatene med CV og oppdragsbrev («Mission Letters»), som beskriver porteføljene til den enkelte, er vel verdt å lese. I tillegg gir beskrivelsen av arbeidsmetoden til den nye Kommisjonen, og organiseringen av generaldirektorater og byråer, et mer utfyllende bilde av hva vi kan forvente oss. Kandidatene til de ulike stillingene skal nå utspørres av de relevante komiteene i Europaparlamentet fra 30. september til 8. oktober. På hjemmesiden finner man også de skriftlige svarene til spørsmålene fra komiteene. Basert på utfallet av disse høringene, som vil bli webstrømmet, vil Parlamentet stemme over hele kollegiet i plenum 23. oktober. Dersom ingenting uventet skjer med personkabalen vil det nye mannskapet tiltre og erstatte Juncker-kommisjon 1. november
Von der Leyen løftet under pressekonferansen frem den digitale politikken som en gjennomgående og høyt prioritert oppgave for hele den nye Kommisjonen. I tillegg til det grønne skiftet og en inkluderende økonomi, setter EU seg som mål at Europa skal føre an i den digitale utviklingen. For den «geopolitiske» Kommisjonen som Von der Leyen skal lede betyr dette større fokus på digital suverenitet («digital sovereignty»). Europa skal bli mindre avhengig av teknologi og digitale tjenester fra resten av verden. Bare ved å styrke sine egne næringer innen kunstig intelligens og automatisering, skytjenester, tingenes internett, 5G, blokkjede og kvantedatamaskiner, vil EU kunne bruke regulatormakten til å sette spillereglene for den globale internettøkonomien. Aldri tidligere ved overgangen til en ny Europakommisjon har økonomisk tyngde og utenrikspolitisk handlingsrom vært så nært knyttet til tilgangen på avansert teknologi. Dette vil i stor grad prege IKT-politikken de nærmeste årene. En mer ambisiøs industripolitikk, sterkere kobling mellom utvikling og utrulling av nøkkelteknologier i neste programperiode, og felles sikkerhetsstandarder for kritisk infrastruktur, vil stå høyt på agendaen. Samtidig skal EU utnytte potensialet i den digitale transformasjonen på en inkluderende måte i tråd med europeiske verdier, og for å løse viktige samfunnsutfordringer: «Making the most of digital opportunities, the European way».
Som tidligere vil den nye Kommisjonen bestå av én kommisær per medlemsland og være sammensatt slik (se vedlegg 1 for oversikt):
- Tre utøvende visepresidenter (Executive Vice-Presidents) med styringsansvar for tre av den nye Kommisjonens hovedsatsingsområder (European Green Deal, Europe fit for the digital age og An Economy that Works for People). I tillegg vil disse tre opptre i rollen som tradisjonelle kommisærer, for eksempel vil Margrethe Vestager fortsette som konkurransekommisær med ansvar for DG Competition.
- Fem visepresidenter (Vice-Presidents) også med bredere sektor-overgripende ansvar som skal lede tilsvarende prosjektteam («Commissioners’ Group») som under Juncker-kommisjonen.
- 18 kommisærer (Commissioners) med mer tradisjonelle porteføljer og sektoransvar.
På det digitale området vil selvsagt den nye rollen til Margrethe Vestager få stor betydning. På pressekonferansen uttalte von der Leyen: «Margrethe Vestager will lead our work for a Europe fit for the digital age. We have to make more out of the field of AI, we have to make our single market a digital single market, use way more the big data that is out there». Som utøvende visepresident skal Vestager koordinere med kommisærene med ansvar for indre marked (Sylvie Goulard), innovasjon og ungdom (Mariya Gabriel), energi (Kadri Simson), sysselsetting (Nicolas Schmit), helse (Stella Kyriakides) og justis (Didier Reynders).
Tungvekteren Vestager har gjort seg bemerket på det digitale området de siste fem årene, særlig på grunn av de tre høyt profilerte konkurransesakene mot Google. Et veldig interessant tema blir hvordan hun skal klarer å balansere de to kjerneoppgavene sine fremover: på den ene siden beskytte konkurransen i det indre markedet, og på den andre siden promotere en mer offensiv industripolitikk og ambisiøse lovforslag om kunstig intelligens og ytterligere regulering av internettplattformene. Selvsagt er det fortsatt åpent hvor detaljerte disse forslagene vil bli, og hvor mye hard versus myk regulering de vil innebære. Næringslivet, interesseorganisasjoner og nasjonale myndigheter følger uansett spent med på hvordan Vestager vil opptre i rollen som øverste sjef både for EUs konkurranselovgivning og den brede IKT-politikken. Som Linda Griffin fra European Tech Alliance uttalte i et intervju med Politico 19. september: «It’ll be a challenge for Vestager and her team to change their mindset. When you focus on competition, you focus on Big Tech and reducing consumer harm. But she’s got to be able to reach out to entrepreneurs to understand what they need».
Det er nok også en viss uro internt i generaldirektoratet med ansvar for det digitale indre markedet, DG Connect, for at DG Competition vil ha kortete vei til Vestager. Kan dette bety at det konkurranserettslige perspektivet vil veie tyngre enn den sektorspesifikke ex-ante reguleringen, som DG Connect har ansvar for? Den danske liberale politikeren, som frontet Renew Europe alliansen i Europaparlamentsvalget, har riktignok som konkurransekommisær arrangert en rekke konferanser og nedsatt ekspertutvalg for å utrede hvorvidt konkurranseretten bør revideres i lys av den digitale utviklingen. I løpet av de siste fem årene har det likevel kommet få konkrete forslag fra EU i den retningen. Det at konkurransesakene mot internettgigantene også blir gjenstand for mangeårige rettsprosesser har fått kritikerne til å hevde at Vestager, til tross for mye medieoppmerksomhet, hittil har hatt liten innflytelse på den faktiske adferden til disse selskapene. Det er for eksempel heller ikke gitt at skattesaken mot Apple for brudd på statsstøttereglene, og krav om tilbakebetaling av 13 milliarder euro, vil føre frem, slik de siste avgjørelsene fra Europadomstolen i tilsvarende saker mot Starbucks og Fiat har vist. Von der Leyen har imidlertid gjort det klart at de konkurranserettslige virkemidlene skal benyttes fullt ut innen data- og plattformøkonomien i neste mandatperiode, og også evalueres og revideres dersom det er behov for det.
Vestager har som kjent skapt gnisninger i forhold til USA for sin politikk overfor de store digitale plattformene, ikke minst som resultat av de ovennevnte skattesakene. President Trump har ved flere anledninger kalt henne EUs «tax lady». Nå får Vestager det øverste koordineringsansvaret for å utarbeide en løsning for beskatningen av den digitale økonomien («to find a consensus at international level by the end of 2020 or to propose a fair European tax»). Likevel bør man nok ha i mente at hun i EU-sammenheng tilhører et mer liberalt Nord-Europa. Hovedspørsmålet kommentatorene i Brussel stiller seg er derfor hvordan styrkeforholdet og ansvarsfordelingen vil bli fremover mellom henne og den nye franske indre markeds kommisæren, Sylvie Goulard. Det er flere som forventer at sistnevnte kanskje vil ha en mer industripolitisk tilnærming til det digitale indre markedet.
Den tidligere franske forsvarsministeren og visesentralbanksjefen, Goulard, får nemlig også en helt sentral rolle for IKT-politikken de neste fem årene. Som kommisær for det indre markedet, skal hun ifølge oppdragsbrevet ha ansvar for EUs tilnærming til kunstig intelligens, «Digital Services Act», cybersikkerhet og industripolitikken. Von der Leyen har som kjent annonsert et lovforslag innen de første hundre dagene som skal reflekterer en koordinert europeisk tilnærming til de menneskelige og etiske implikasjonene ved bruk av kunstig intelligens. I tillegg til DG Connect og DG GROW, får Goulard også ansvar for et helt nytt generaldirektorat som opprettes, DG Defence Industry and Space. DG Connect og DG GROW videreføres som egne generaldirektorater. Mens førstnevnte vil bestå i sin nåværende form uten vesentlige endringer, vil to søyler i DG GROW, som blant annet arbeider med satellitt- og romprogrammene, flyttes til det nye generaldirektoratet. Mye av drivansvaret for å styrke Europas teknologiske konkurransekraft og strategiske uavhengighet, tiltakene som går under overskriften «Digital for Leadership», vil derfor ligge hos Goulard. I de skriftlige svarene til høringsspørsmålene fra Parlamentet, legger hun blant annet vekt på mer strategisk bruk av offentlige anskaffelser. Av de som har sittet nær på forberedelsene til høringen av henne («mock hearing»), blir hun beskrevet som svært kunnskapsrik og målrettet («hands-on» og «non-sensical»). Hun skal også ha uttalt at det ikke finnes noe «silver bullet» for å styrke Europas konkurransekraft, men at tiltak på flere områder (investeringer, offentlige anskaffelser, handel, immaterielle rettigheter og innovasjon) må trekke i samme retning.
Med tospannet Vestager og Goulard går EU i retning av å styrke koordineringen av viktige politikkområder for den digitale økonomien. Konkurransepolitikk, plattformregulering, (audiovisuell) innholdsregulering, opphavsrett og den sektorspesifikke ekomreguleringen legges til den samme søylen. Spørsmålet er dermed om den nye Kommisjonen vil stå bedre rustet til håndtere de globale internettplattformene, når disse tilbyr et stadig bredere spekter av tjenester som i dag ligger under ulike tilsynsmyndigheters ansvarsområde. Som professor José van Dijck ved Utrecht universitetet nylig uttalte i en svært interessant podcast: «We have compartmentalized our society within different legal frameworks. But that’s not how these companies operate», og videre «they [big platforms] can pursue vertical integration of data streams which are the oxygen of the [digital] ecosystem».
Bredere tilgang til algoritmer og løsninger for portabilitet av data, for å spre gevinstene av digitaliseringen til borgere, bedrifter og myndigheter, vil være et sentralt tema for den neste Kommisjonen. Dette er også et overlappende område hvor konkurransepolitikk, AI og plattformregulering møtes og hvor viktige personvern- og forbrukerhensyn skal ivaretas. Det at ansvaret for det digitale indre markedet og det fysiske indre markedet nå også legges under samme kommisær, selv om generaldirektoratene ikke fusjonerer, kan også styrke det horisontale perspektivet i IKT-politikken. Den digitaliserte økonomien sprenger sektorgrensene når digitale plattformer erstatter tradisjonelle markedsplasser, og data blir den viktigste innsatsfaktoren. Under von der Leyen blir det overordnede ansvaret plassert hos Vestager, øverst i det nye kommisjonshierarkiet, for å ruste europeisk industri, myndigheter og samfunnet som helhet for den digitale tidsalderen.
Så er det selvsagt slik at viktige digitale interesser fortsatt skal ivaretas av andre i det nye kommisjonskollegiet. Her er det verdt å merke tidligere digitalkommisær, Mariya Gabriel, som får et betydelig ansvar for EUs innovasjonspolitikk. Som digitalkommisær i Juncker-kommisjonen har hun nok i første rekke gjort seg bemerket for bransjesamarbeidet for å bekjempe desinformasjon, og kampanjen for å øke kvinneandelen i IKT-yrker. Noen vil hevde hun var mindre direkte involvert i behandlingen av tunge lovforslag under DSM-strategien, slik som opphavsrettsdirektivet eller forordningsforsalget om urimelig forretningspraksis på plattformer (P2B). I følge de nye instruksene fra von der Leyen skal de nye kommisærene arbeide mye mer aktivt overfor Parlamentet og delta i trilogforhandlinger. Forsknings- og utdanningsporteføljene slås sammen under Gabriels ansvarsområde, og hun skal blant annet sørge for implementeringen av Horisont Europa og ferdigbehandlingen av forordningsforslaget om Erasmus+. Enkelte kritiske røster i Brussel har reagert på at forskning («research») eller utdanning («skills») ikke dukker opp i tittelen på den nye porteføljen til Mariya Gabriel. Det samme gjelder for kulturområdet som hun også får ansvar for. «Culture» har fallt ut av stillingstitlene sammenlignet med Juncker-kommisjonen.
Visepresident Věra Jourová, justiskommisær i nåværende Kommisjon, gis ansvar for porteføljen «Values and Transparency» og skal, ifølge oppdragsbrevet, fortsette EUs tiltak mot desinformasjon, påvirkning av valg og demokratiske prosesser. Gabriel skal riktignok bidra på utdanningssiden her, men Jourova skal blant annet koordinere en ny «European Democracy Action Plan». Også ny justiskommisær, belgieren Didier Reynders, og utøvende visepresident Valdis Dombrovskis, med ansvar for «An Economy that Works for People», vil ha ansvar for viktige initiativ på det digitale området. Reynders skal følge opp implementeringen og håndhevingen av personvernforordningen (GDPR), og ivareta forbrukernes rettigheter, spesielt i forhold til online transaksjoner og brukervalg i den digitale økonomien. Han skal også spille en rolle i utformingen av EUs tilnærming til kunstig intelligens basert på etiske prinsipper. Dombrovskis, nåværende visepresident med ansvar for euroen, gis blant annet i oppdrag å legge frem en ny strategi for fintech.
Denne uken og neste vil selvsagt fokuset i Brussel være på komitehøringene av de foreslåtte kandidatene i Parlamentet. Det er ikke utenkelig at disse kan føre til omrokkeringer eller visse justeringer i porteføljene. I tillegg til muntlige og skriftlige spørsmål om politiske prioriteringer de neste fem årene, blir det som vanlig også stilt spørsmål ved integriteten til enkelte kommisjonskandidater i oppkjøringen til høringene, inkludert Goulard for hennes bruk av assistenter i Parlamentet tilbake i tid. Av generell kritikk mot den foreslåtte organiseringen hører man blant annet at det ikke er umiddelbart lett å få oversikt over hvem som har ansvar for hva. Overskriften på de ulike porteføljene kan også skape en viss forvirring. Her vil kanskje kritikere si at EU trår feil allerede på startstreken når det gjelder å bringe unionen nærmere innbyggerne. I Parlamentet og fra andre hold har det blitt rettet spesielt sterk kritikk mot tittelen på porteføljen til visepresident Margaritis Schinas, «Protecting our European Way of Life», når denne i hovedsak består av ansvaret for EUs migrasjons- og asylpolitikk.
Så gjenstår det selvsagt å se hva som skjer, også på det digitale området, når hverdagen starter opp igjen etter 1. november. Da begynner den virkelige tautrekking med Parlamentet, og ikke minst med medlemsstatene i Rådet, om den nye Kommisjonens prioriteringer fremover. At von der Leyen introduserer et nytt lag med «Executive Vice-Presidents» betyr at nye rutiner må gås opp i forhold til rapportering og styringsinstrukser internt i de ulike DGene. Det er også usikkert hvordan prinsippet om «one in, one out» skal praktiseres innenfor det digitale indre markedet, det vil si for hvert nytt lovforslag den nye Kommisjonen legger frem, må den finne en måte å lette den administrative byrden tilsvarende. I tillegg til endringer i arbeidsmåte, er det også mulig det blir skifte av generaldirektør i DG Connect i nær fremtid, samtidig som ny generaldirektør må utpekes for DG Forsvarsindustri og ytre rom.
Selv om det naturlig nok vil skje en viss realitetsorientering når Ursula von der Leyen skal begynne å levere på de ambisiøse politiske målene hun har satt seg, skal man ikke undervurdere prioriteringene og retningen hun nå har staket ut. Enkelte kritiske røster vil for eksempel hevde at det er stor forskjell på å spre GDPR som en global standard etter 20 år med personvernregulering i Europa, og det å skulle regulere en ny teknologi, og oppnå det tilsvarende med AI. Et regulatorisk rammeverk for AI vil nødvendigvis måtte være enklere («light touch»), og kanskje i større grad basere seg på samarbeid med industrien, merking eller (frivillige) sertifiseringsordninger, for å spre en etisk tilnærming til AI globalt. Noen har også bitt seg merke i at oppdragsbrevene ikke lenger snakker om «legislation for a coordinated Europan approach til AI» innen hundre dager slik von der Leyen nevnte i de politiske retningslinjene. Nå er ordlyden å fortsette arbeidet med «a European approach on AI». Er det allerede tid for å senke ambisjonsnivået noe, også med tanke på at hundre dager gir svært liten tid for konsekvensutredninger, høringer osv.?
Samtidig har EU demonstrert både vilje og evne til å bruke sin markedsstyrke og regulatormakt til å sette globale standarder for det digitale rom. Det som (etterhvert) ble et hovedrasjonale bak Junker-kommisjonens digitale indre markedsstrategi, nemlig at Europa å komme sterkere på banen, og ta igjen investerings- og kompetansegapet med USA og Kina, videreføres og forsterkes under von der Leyen.
Det videre arbeidet i Brussel med utvikle regulatoriske standarder for AI, 5G-sikkerhet, datadeling og plattformansvar, vil derfor blir fulgt tett i Washington, Beijing og andre hovedsteder i verden. Parallelt med arbeidet for å styrke europeisk IT-industri og strategiske verdikjeder, vil dette også få stor betydning for Norge de neste fem årene. Med sin vektlegging av en ny «Green Deal», AI-rammeverk basert på etiske prinsipper og særskilte porteføljer med ansvar for verdier, demokrati og europeisk levemåte, tyder alt på at den nye Kommisjonen vil være vel så politisk ambisiøs som Juncker-kommisjonen. For IKT-poltikken blir dette spesielt relevant i konteksten av å styrke EU som global aktør, og som tidligere nevnt at von der Leyen beskriver det nye temaet sitt som «a Geopolitical Commission».
Videre fremdrift for «leftovers» fra Juncker-kommisjonen
Forslaget til kommunikasjonsvernforordning (ePrivacy) er fortsatt ikke ferdigbehandlet i Rådet. Det finske formannskapet har avholdt to rådsarbeidsgruppemøter (WP TELE) i september og berammet to møter i oktober (3., 11. og muligens 15 oktober). Målet for formannskapet er fortsatt å komme frem til et forhandlingsmandat i løpet av høsten, men dersom det ikke lykkes å ta saken til COREPER under Finland, øker sjansene for at forslaget kan bli trukket tilbake. Blant medlemslandene er det tydelig en del frustrasjon over manglende fremdrift på de vanskeligste bestemmelsene.
Formannskapet publiserte 18. september en ny tekst i forkant av WP TELE 24. september, og etter dette møtet ble det kommunisert at ytterligere kompromisstekst ville bli lagt frem tidlig i oktober. Det er spørsmålene rundt tilgang til kommunikasjonsdata for kriminalitetsbekjempelse, og særlig barnepornografi, som har fått størst oppmerksomhet på møtene så langt i høst. Nederland er et av landene som kjemper hardt for et eget unntak for å bekjempe barnepornografi i Artikkel 6, mens Finland så langt har forsøkt å introdusere regler om dette i Artikkel 29. Artikkel 6 dreier seg om gyldig grunn til å prosessere kommunikasjonsdata hos ekomtilbyderne generelt, og her står landene fortsatt et stykke fra hverandre også av andre grunner. Enkelte land mener at den nåværende teksten gir tilbyderne for vidtgående muligheter for databehandling og for lite forbrukerbeskyttelse. Andre land, herunder de nordisk-baltiske, har vært opptatt av innovasjonspotensialet og mulighetene for ekomtilbyderne til å utvikle nye forretningsmodeller basert på sine metadata.
Man har heller ikke klart å bli enige om fremtiden til Artikkel 10 i Kommisjonens opprinnelige forslag. Denne bestemmelsen pålegger ekomtilbyderne å legge til rette for at sluttbrukerne kan velge sine personverninnstillinger i nettleseren, men den har blitt slettet underveis i behandlingen. Noen land, anført av Tyskland, ønsker å gjeninnføre en slik bestemmelse for å styrke personvernet, mens andre land er bekymret for at bestemmelsen kan bli for inngripende, hemme innovasjon eller ytterligere styrke markedsmakten til de få ledende nettleserne (Firefox, Chrome etc.).
Selv om Finland skulle klare å manøvrere seg frem til en rådstilnærming på ePrivacy-forslaget slik at trilogforhandlinger kan starte opp mot slutten av året, vil disse forhandlingene uansett bli kompliserte. Parlamentet, som vedtok sin posisjon i oktober 2017, ønsker blant annet å innføre et forbud mot såkalte «coockie walls» (at tilbyderne kan begrense tilgang til innhold dersom brukerne ikke godtar bruk av informasjonskapsler eller «cookies»). Dette er noe flere medlemsland allerede har signalisert sterkt motstand mot. Birgit Sippel (S&D, DE), som er gjenvalgt til Europaparlamentet, vil fortsette som saksordfører for ePrivacy og e-bevis forslagene i Parlamentet når LIBE-komiteen stemmer over såkalte «unfinished business» i slutten av måneden.
ITRE-komiteen i det nye Europaparlamentet vedtok 25. september å fortsette trilogforhandlingene med Rådet om forordning som etablerer det europeiske industri- teknologi og forskningskompetansesenteret for cybersikkerhet. Rasmus Andresen (Green, DE) er ny saksordfører for forslaget. Selv om det har vært avholdt to trilogmøter allerede, gjenstår det viktige spørsmål, blant annet knyttet til medfinansiering. Spørsmålet er om landene bør matche Kommisjonens budsjett på 2,5 mrd euro eller om landene først bør få definere sin del av spleiselaget. Det er også uenighet om hvilke institusjoner (cybersikkerhetsenteret, Kommisjonen eller landene) som bør ha størst innflytelse på arbeidsprogrammene, og hvordan midlene fra Horisont Europa og Digital Europe skal benyttes. Til sist blir selvsagt lokaliseringen av det nye senteret gjenstand for tautrekking.
Når det gjelder forordningen om fjerning av terrorrelatert materiale på nett, som ble lagt frem som del av Sikkerhetsunionen i september 2018, vedtok LIBE-komiteen 24. september å starte trepartsforhandlinger med Rådet. Dette er fortsatt et svært omdiskutert forslag som krever at plattformer som Google, Facebook og Twitter fjerner ulovlig innhold som har blitt flagget innen én time. Patryk Jaki (ECR, PL) har overtatt som saksordfører for forslaget etter Daniel Dalton, mens Marina Kaljurand (S&D, EE) er utnevnt som skyggesaksordfører. Mange forventer at Kaljurand, tidligere estisk diplomat og utenriksminister, kommer til å bli en viktig stemme på cybersikkerhetsområdet i det nye Parlamentet.
I et intervju med Politico utdypet hun hva som kan bli et av de vanskeligste punktene i de forestående forhandlingene med Rådet: «The difficult question is about the procedure and obligations of authorities with hosting service providers, whether the competent authorities of country X can reach out directly to a service provider or has to go through competent authority of another member state». Her kommer også hensynet til ytringsfrihet og rettsstatsprinsipper inn i bildet. For Kaljurand må ikke behovet for å ta ned ulovlig innhold hurtig, føre til overfjerning eller sensur ved at myndigheter legger utilbørlig press på private selskaper: «The Parliament has made it very clear that a competent authority will have to go through another competent authority. I understand the hesitation, because it will slow down the process. But on the other side, I can’t imagine how it’s going to work if the competent authority of Poland, Hungary or France reach out to an Estonian company without going through a competent authority».
Et ekte indre marked for cybersikkerhet
I sine politiske retningslinjer påpeker von der Leyen at «digitalisation and cyber are two sides of the same coin», og tar til orde for at EU må endre tankesettet: «We need to move from “need to know” to “need to share”», og videre «We should do this through a joint Cyber Unit to speed up information sharing and better protect ourselves». I oppdragsbrevet til Sylvie Goulard står det at hun skal bygge «a real single market for cybersecurity, notably looking at certification, implementing rules on security of network and information systems, rapid emergency response strategies and other relevant areas». Hun skal dessuten «lead the work to build a joint Cyber Unit to better protect ourselves».
Tiltakene for å styrke EUs motstandskraft («cyber resilience») og bygge kapasiteter på nasjonalt og overnasjonalt nivå, har utgjort kjernen i EUs cybersikkerhetsstrategi siden 2013. Det å utbedre motstandskraften i kritisk infrastruktur vil derfor forbli en prioritert oppgave også de neste fem årene. Mens fristen for den formelle revisjonen av NIS-direktivet ikke er før i 2021, jobbes det allerede internt i Kommisjonen med behovene for nye tiltak basert på endringer i trusselbildet og erfaringer fra implementeringen så langt. Av det vi hører kan dette innebære ytterligere harmonisering av sikkerhets- og varslingskrav, og identifisering av operatører av essensielle tjenester. Kommisjonen vil med andre ord gjennomgå prosessen for å identifisere disse, som i dag gjøres på medlemslandsnivå, og også vurdere hvorvidt det er behov for å spesifisere felles sikkerhetskrav for alle selskaper som faller inn under direktivets anvendelsesområde. Videre kan det bli aktuelt å utvide sektorene som omfattes av felles EU-regler. Definisjonene av «kritisk infrastruktur» og «essensielle tjenester» som reglene gjelder for, er et bevegelig mål. Et utgangspunkt her kan være analysen av hva medlemsstatene har regulert utover sektorene som er listet i vedlegg II til NIS-direktivet.
Når det gjelder ny teknologi som vil utgjøre kritisk infrastruktur, vil det pågående arbeidet med en felles tilnærming til 5G-sikkerhet på mange måter teste hvorvidt EUs instrumenter (NIS-direktivet, cybersikkerhetsforordningen, ekomkodeksen og anbefalingen om 5G cybersikkerhet) er tilstrekkelig for å adressere de relevante utfordringene. Erfaringene fra dette arbeidet vil kunne anvendes på andre områder, og få betydning for gjennomgangen av strategiske verdikjeder. I sin tale på Digital Resilience Summit 24. september uttalte sikkerhetskommisær Julian King: «To maintain our independence in a world of geopolitical competition, we need to address the interlinked security and economic challenges that other actors present to us – without withdrawing our support for a rules-based order […] Most fundamentally, the EU needs to learn to think like a geopolitical power – and understand what that means in the digital era». Under den påfølgende debatten understreket King at han var imponert over samarbeidet blant medlemslandene så langt, og viljen til å dele detaljert informasjon om identifiserte sårbarheter i 5G-infrastruktur. Han anerkjente at temaet ligger svært nært landenes strategiske sikkerhetsinteresser, men at det var bred konsensus om behovet for en felles verktøykasse med tiltak på EU-nivå. Samtidig gjorde han det klart at EUs tilnærming skiller seg fra fremgangsmåtene andre steder. EU utfører sin risiko-baserte evaluering på en inkluderende og transparent måte ved at ENISA først publiserer en synopisis rapport av de nasjonale sårbarhetsanalysene primo oktober. Det skal med andre ord være mulig for offentligheten å etterprøve konklusjonene og anbefalingene EU kommer frem til.
Når det gjelder det videre arbeidet med å styrke det operasjonelle samarbeidet og krisehåndteringen i EU kan man forvente at dette vil innebære en gjennomgang av eksisterende CSIRT-nettverk (Computer Security Incident Response Team). En slik gjennomgang vil mest sannsynlig omfatte både regler og verktøy for informasjonsdeling, samt styrking av bistandsmekanismene. Det kan også innebære at de etablerte strukturene tillegges nye oppgaver, for eksempel i forhold til spredning av desinformasjon og manipulasjon i valgprosesser. Man hører nevnt behovet for å styrke koordineringen mellom nasjonale valgmyndigheter og CSIRTene, og fordype samarbeidet på EU-nivå gjennom eksisterende fora (election cooperation network, NIS Cooperation Group og CSIRTs network).
Den nye institusjonen som von der Leyen beskriver som Joint Cybersecurity Unit er ment å skule tilby ytterligere ressurser på EU-nivå, gjøre landene i stand til å dele situasjonsforståelse og respondere på alvorlige sikkerhetshendelser enda mer effektivt. Selv om det gjenstår mye arbeid for å avklare form og mandat for denne enheten, hører man snakk om den vil ta som utgangspunkt implementeringen av anbefalingen om storskalaangrep (Recommendation on Coordinated Response to Large Scale Cybersecurity Incidents and Crises) fra 2017. Som tidligere vil det vise seg hvor ambisiøse oppgaver en slik enhet vil bli tillagt i møte med medlemslandenes forventninger, men Kommisjonen ser for seg at den vil kunne føre sammen ulike miljø og arbeidsstrømmer på EU-nivå: tiltakene for å styrke motstandsdyktigheten, rettshåndheving og forsvarsdimensjonene av cybersikkerhet.
Det nye kompetansesenteret og nettverket av nasjonale koordineringssentre er tiltenkt en viktig rolle for å styrke EUs industrikapasitet og teknologikompetanse på cybersikkerhetsområdet. Senteret skal koordinere forsknings- og kompetansebyggingen i Europa, og administrere betydelige midler fra Horisont Europa og Digital Europe programmet. Ytterligere kapasitetsbygging skal også skje ved hjelp av midler fra CEF2 i neste programperiode. DG Connect får dessuten en viktig rolle med å sørge for at EUs oppgraderte cybersikkerhetsbyrå, ENISA, komplementerer kapasitetsbygningen på nasjonalt nivå.
Det er også interessant å se hvordan EU utvikler sammenhengen mellom cybersikkerhet og personvern fremover. Det er økende bevissthet rundt at tekniske aspekter og trusselbildet ofte er det samme for de to områdene. Dette ligger også bak von der Leyens budskap om at digitalisering og cyber er to sider av same sak, i tillegg til at digital vekst ikke lar seg realisere uten tillit hos forbrukerne. Diskusjonene rundt behovet for minimumskrav til sikkerhet og personvern i IKT-produkter og tjenester vil fortsette i neste mandatperiode. Før man eventuelt legger frem nye lovforslag om obligatoriske krav til produkter som introduseres i EU, må man imidlertid utrede om slike regler skal gjelde horisontalt (for alle produkter) eller vertikalt (for et bestemt produkt eller innenfor en bestemt sektor). Den nye Kommisjonen må også se hen til pågående arbeid for å vurdere revisjon av produktansvarsreglene.
Mer lavthengende frukter kan for eksempel være å utvikle en aktsomhetsplikt («duty of care») i samarbeid med bransjen, hvor produsenter og tilbydere forplikter seg til å ivareta visse minimumskrav. Det kan også bli aktuelt å komme med ytterligere retningslinjer for hvordan kravene til innebygd personvern («privacy by design and by default») i GDRP skal implementeres, og Kommisjonen vil her være opptatt av gjensidig overføringsverdi mellom personvern- og cybersikkerhetsområdet. Et hovedmotiv bak det nye rammeverket for sertifisering av sikkerhetsstandarder i Cybersecurity Act, er nettopp å fremme «security by design» tankegangen. I løpet av de siste årene har Brussel for alvor fått øynene opp for at datahamstring og persontilpasset reklame hos de store internettplattformene ikke bare truer personvernet, men kan også ha alvorlige sikkerhetsimplikasjoner. Destabiliserende aktiviteter som del av hybride trusler, datainnbrudd og økende bruk av nettreklame for å spre ondsinnet programvare («malvertising») er kanskje de mest åpenbare eksemplene.
For den neste Kommisjonen kan det i den forbindelse bli aktuelt å bedre koordinere ulike mekanismer for å rapportere sikkerhets- og datainnbrudd. I dag er selskaper i EØS-området underlagt en lang rekke regelverk som forplikter dem til å varsle om aktuelle hendelser til kompetente myndigheter (GDPR, ePrivacy-direktivet, NIS-direktivet, rammedirektivet, eIDAS forordningen og PSD2). Det kan nok være et behov for å effektiviserer og forenkle rapporteringsmekanismene for å gjøre det enklere for bedrifter og myndigheter å innrette seg. En intern arbeidsgruppe i Kommisjonen skal ha begynt arbeidet med å utrede dette, og her er det også mulig NIS-samarbeidsgruppen involveres. Av andre tiltak som kan bidra til å skape et ekte indre marked for cybersikkerhet, blir også nevnt et nytt regelverk for å sikre at private aktører bruker trygg elektronisk identifikasjon basert på eIDAS-forordningen.
På markedssiden er det likevel det videre arbeidet med standardisering, innen rammene av arbeidsprogrammet for cybersikkerhetssertifisering (Union rolling work programme for European Cybersecurity Certification), som vil stå i sentrum de nærmeste årene. Under oppløpet til arbeidsprogrammet som mest sannsynlig vil bli lagt frem i første kvartal 2020 mobiliserer nå aktørene for hvilke (frivillige) sertifiseringsordninger som bør inkluderes. Tingenes internett (IoT), kritiske- og høyrisikoapplikasjoner (slik som styringssystemer for kraftverk og vannforsyning) står aller øverst på listen. I tillegg nevner anbefalingen om 5G-sikkerhet fra mars i år at sertifiseringsordninger som er relevant for denne kritiske infrastrukturen («ICT products, services or processes used for 5G networks»), inkludert skytjenester, bør prioriteres. I praktisk vil arbeidet på dette område mest sannsynlig innebære at den nye Kommisjonen skal vedta fire eller fem gjennomføringsbeslutninger som etablerer de felleseuropeiske sertifiseringsordningene. Ordningene skal i forkant forberedes av ENISA med støtte fra sine ekspertgrupper, og basere seg på eksisterende tekniske krav og evalueringsprosedyrer.
Google og EUs regelverk
Helt til slutt kort om to saker som har skapt mye diskusjon på det digitale området de siste ukene. Den første er avgjørelsen fra EU-domstolen 24. september om at Google ikke har plikt til å gjennomføre «retten til å bli glemt» («right to be forgotten») på internett utenfor Europa. Retten for brukerne til å kunne kreve at søketjenester fjerner treff ved søk på navn (avindeksering), ble fastslått i en prinsipielle avgjørelse fra EU-domstolen i 2014, og er en del av GDPR. Retten har siden blitt fulgt opp ved at søkemotorene behandler forespørsler om avindeksering, med mulighet for brukerne til å påklage avgjørelsene til de nasjonale datatilsynene. I følge Googles siste transparensrapport har selskapet fjernet om lag 1,3 millioner weblenker siden 2014.
Den nye avgjørelsen fra EU-domstolen, som tok stilling til en rettstvist mellom det franske datatilsynet (CNIL) og Google, slår altså fast at søketjenester som Google ikke trenger å utvide retten til å bli glemt utenfor EU28. Domstolen skriver at retten til beskyttelse av personopplysninger ikke er absolutt, og må balanseres mot samfunnets øvrige behov for tilgang til informasjon. Den legger til: «the balance between the right to privacy and the protection of personal data, on the one hand, and the freedom of information of internet users, on the other, is likely to vary significantly around the world».
Den andre omdiskuterte saken i september gjelder Googles respons på gjennomføringen av opphavsrettdirektivet, og særlig implementeringen av artikkel 15 («press publishers’ right»), i Frankrike. Her kom internettselskapet med en omlegging som mange kritikere av reformen mente var som forventet; Google vil nå stoppe å vise tekstsnutter («snippets») fra nyhetsartikler, med mindre presseutgiverne eksplisitt ber om dette. Reaksjonene fra den franske utgiverbransjen, og blant annet kulturminister Franck Riester, lot ikke vente på seg. Mens Riester kalte avjørelsen uakseptabel og sa han nå ville søke støtte hos andre EU-land, tordnet Pierre Louette, CEO for Les Echos Le Parisien: «This is just the beginning of phase two. Classic reaction from those who want more, while abusing their dominant position, to suggest a fool’s bargain… We can’t have a choice between being displayed or disappearing: The fight continues!»
I Brussel var tidligere MEPer som kjempet hardt mot de kontroversielle bestemmelsene, også raskt på banen med et snev av skadefro. Den nederlandske liberale politikeren, Marietje Schaake, twitret: «They can’t say we didn’t warn them that #Copyright would not save journalism from tech company power». Tiemo Wölken (S&D, DE) som er gjenvalgt til Parlamentet tok Googles reaksjon som tegn på at den nye rettigheten for presseutgivere aldri vil oppnå den tiltenkte virkningen. Til syvende og sist handler jo dette om å finne effektive løsninger for å refordele inntekter fra de globale teknologiselskapene til aviser og blader som produserer medieinnholdet.
Kontroversene rundt retten til å bli glemt og implementeringen av DSM-direktivet, er også interessante sett i lys av diskusjonene om EUs regulatormakt. Selv om den innkommende Kommisjonen har mye fokus på å styrke EU som global aktør, inkludert på det digitale området, er disse to sakene en påminnelse om at det finnes noen klare grenser for Brussels evne til å regulere det globale internett.