Kommissionen starter med nyt udspil en institutionel kamp om fremtidens cyberforsvar i EU

Kommissionen kom i sidste uge med et udspil, der skal få EU et skridt nærmere et europæisk cyberforsvar.

I udspillet lægger Kommissionen op til, at det i tilfælde af større cyberangreb mod kritisk infrastruktur på europæisk jord bør være EU, der håndterer og koordinerer det.

“Kommissionen lægger her sine tanker frem, og i virkeligheden er det en optakt til en institutionel kamp og en opfordring til Rådet om at lægge sine kort på bordet for at vise, hvor langt de i realiteten er villige til at gå ad denne vej,” siger Jan Lemnitzer, der forsker og underviser i cybersikkerhed ved Institut for Digitalisering på CBS.

For det er langtfra et ukontroversielt skridt, som EU-Kommissionen har taget.

En national arena

EU har i dag begrænset jurisdiktion på det forsvars- og sikkerhedspolitiske område, og derfor farer EU-Kommissionen frem med lempe, vurderer adjunkt Jeppe Teglskov Jacobsen fra Institut for Militær Teknologi ved Forsvarsakademiet. 

“Det her er et område, som medlemsstaterne værner meget om, men det er også et område, som EU rigtig gerne vil ind på, så de prøver at skubbe på skridt for skridt for at få lov til at tage mere ansvar,” siger han.

På grund af den nationale suverænitet er der grænser for, hvor langt Kommissionen kan gå med sine forslag.

“Når jeg ser på deres forslag, så synes jeg, at de bruger de værktøjer, de har. De vil gerne lave nogle standarder, de vil facilitere nogle samarbejder, og de har nogle store pengekasser, som de kan få medlemsstaterne til at søge,” siger Jeppe Teglskov Jacobsen.

Også Jan Lemnitzer pointerer, at det er medlemsstaterne, der har mandatet på dette felt. 

"Men Kommissionen prøver at komme omkring det ved at sige, at vi altså taler om tilfælde, der er for store til, at ét medlemsland kan håndtere det alene. Derfor træder vi generøst til,” fortæller han.

Bedre krisestyring

Jan Lemnitzer forklarer, at argumentationen fra Kommissionen derfra er, at når det alligevel er EU, der kommer til at træde til ved større cyberangreb, så giver det også mest mening, hvis EU kan forberede sig på, hvordan man skal håndtere det.

Derfor foreslår Kommissionen, at der oprettes et team til at forbedre cyberkrisestyringen i EU ud fra en tanke om, at det er smartere end at have 27 forskellige procedurer for, hvordan man skal samarbejde på tværs af landegrænser i tilfælde af større cyberangreb.

EU putter samtidig sig selv i spil som den, der bedst kan koordinere om cyberforsvar med NATO. 

“Meget af det, de skriver er sådan set fornuftigt, men det er samtidig et magtspil, der er sat i gang. Hvis først Kommissionen får det her ansvar, så får du det aldrig tilbage igen. Derfor er mange EU-medlemsstater også lidt tøvende med bare at sige ja til det,” forklarer Jan Lemnitzer.

Afhængig af private virksomheder

Begge forskere hæfter sig ved, at det i Kommissionens udspil er tydeligt, at EU har set en meget vigtig pointe ved krigen i Ukraine, nemlig hvor afhængige vi er af private virksomheder, når det kommer til at sikre et robust cyberforsvar.

Cyberangrebene i Ukraine har ikke været nær så voldsomme og omsiggribende, som eksperter forinden havde ventet. Og det skyldes blandt andet, at virksomheder som Microsoft og Starlink har hjulpet Ukraine, blandt andet ved at flytte hele deres it-infrastruktur over på Cloud.

“Så vi har faktisk en nationalstat, som er blevet fuldstændig afhængig af store multinationale virksomheder i forhold til at beskytte deres egen digitale infrastruktur,” siger Jeppe Teglskov Jacobsen.

Jan Lemnitzer påpeger, at det er noget, som de enkelte virksomheder har gjort frivilligt, og derfor forsøger Kommissionen nu at åbne for at få et mere organiseret samarbejde med de private virksomheder.

“Det er en ret åben måde at sige på, ‘vi har brug for jer, så lad os se på, hvordan vi kan være på forkant med, hvordan det kan foregå,’” siger han.

Skurke og frelsere på samme tid

Men ifølge Jan Lemnitzer rejser det to problemer. For det første er der et paradoks i, at EU lige nu kæmper indædt for at ramme de store techgiganter med regulering og på den anden side åbent siger, at vi er afhængige af dem.

“Så de er på samme tid både vores skurke og frelsere, og vi forventer så, at de private virksomheder skal spille deres rolle og med kort varsel kunne skifte fra det ene til det andet,” siger Jan Lemnitzer.

For det andet gør Kommissionen også i sit udspil klart, at i det lange løb bør vi have vores egen cyberforsvarsindustri, fordi vi er for afhængige af udenlandsk teknologi, når det kommer til cybersikkerhed og cyberforsvar. 

“Men omvendt står det også klart, at de store private virksomheder, der har evnerne, værktøjerne og arbejdskraften til at gøre de her ting, alle er amerikanske. Og hvis russerne angreb os i dag, så ville vi desperat få brug for dem,” siger han.

Jan Lemnitzer hæfter sig blandt andet ved, at udspillet fra Kommissionen ikke nævner et ord om cloud, fordi det er “super kontroversielt” lige nu. Franskmændene arbejder på at begrænse adgangen for en amerikansk cloud-udbyder på europæisk kritisk infrastruktur, og det møder modstand fra andre EU-lande.

“Så meget af det her er super politisk,” siger han. {{toplink}}

Hvem tør gå imod?

Men Kommissionen har givet bolden op. Nu bliver det op til Rådet og Parlamentet, hvordan de vil gribe den.

“Kommissionen lægger en linje, hvor de siger, at hvis I trækker en grænse, hvor I ikke er villige til at give magten og ansvaret til os, så er I nødt til at svare på spørgsmålet, hvem der ellers vil være i stand til at håndtere cyberangreb i stor skala på kritisk infrastruktur,” siger Jan Lemnitzer.

På det overordnede niveau kan Jan Lemnitzer godt se fornuften i det, som Kommissionen foretager sig.

“Jeg mener sådan set, at de tager nogle rigtige skridt, men de griber også øjeblikket til at få maksimal politik igennem.”

Timingen virker ikke tilfældig. Krigen mellem Ukraine og Rusland har givet et helt særligt momentum for, at Kommissionen kan lykkes med at få sine tanker igennem og gjort til egentlig EU-politik.

“Hvem ønsker at stille sig op og sige, at ja, der er en russisk trussel mod os og vores kritiske infrastruktur, men lad os nu lige først tænke på de institutionelle linjer. Hvem ønsker at være den stat? Den person?” spørger Jan Lemnitzer og tilføjer: 

“Så det her er en udfordring fra Kommissionen til Rådet og medlemsstaterne ved at sige, at hvis du virkelig mener, at det her skal foregå på landeniveau eller i et eller andet løst forbundet samarbejde, så stil dig op og sig det.” 

sine@altinget.dk