IT-advokaterna gästades i slutet av september 2019 av Anders Jonsson, Senior Advisor Cyber Security & GDPR Expert, som gav en spännande föreläsning om arbetet kring EUs nya förordning Cybersecurity Act (2019/881), som antogs 17 april 2019 och därmed upphävde den tidigare förordningen (EU) nr 526/2013. Anders är Drafting Member i CSP Cert samt Member i SWIPO, två arbetsgrupper för Cybersecurity Act (läs mer om dessa nedan).
Framtagandet av Cybersecurity Act har enligt Anders tagit intryck av de privacy-risker som uppenbarades vid en DPIA av Microsoft utfört å Holländska regeringens vägnar, varpå det framkom att användares delning av diagnostikdata för bland annat Office-paketet innebar en extensiv överföring av data till Microsoft.
Syftet med Cybersecurity Act är att bidra till en enhetlig säkerhetsnivå och standard i EU, och innebär ett utökat mandat för ENISA (Europeiska unionens cybersäkerhetsbyrå) samt skapande av ett europeiskt certifieringsramverk för ICT-produkter, -tjänster och -processer. Certifieringen kommer att erbjudas i tre olika nivåer och kommer, åtminstone initialt, att vara frivillig både för företag inom och utanför EU.
CSP Cert har sedan den bildades 2017 haft i uppdrag att föreslå omfattning och nivå på ett certifieringsramverk för molnaktörer i enlighet med Cybersecurity Act. I likhet med övriga certifieringar under förordningen, kommer molncertifieringen, åtminstone initialt, att vara frivillig.
SWIPO arbetar med att utveckla best practice och informationskrav på EU-nivå, såsom definierat i EU Kommissionens förslag på fritt flöde av icke-personliga uppgifter (artikel 6), för att underlätta byte av molnleverantör och förhindra ”vendor lock-in”.
Cybersecurity Act är aktuellt för både leverantörer och kunder, och kan komma att bli en viktig del i kravställningar inom upphandling och inköp.
Vill du veta mer om Cyber Security Act eller hur den kommer att påverka ditt företag, tveka inte att kontakta en IT-advokat.