Nova strategija kibernetske varnosti EU in nova pravila za izboljšanje fizičnih in digitalnih kritičnih entitet

Danes (16. decembra) Komisija in visoka predstavnica Unije za zunanje zadeve in varnostno politiko predstavljata novo strategijo EU za kibernetsko varnost. Kot ključna sestavina oblikovanja evropske digitalne prihodnosti, načrta za oživitev Evrope in strategije EU za varnostno unijo bo strategija okrepila kolektivno odpornost Evrope proti kibernetskim grožnjam in pomagala, da bodo vsi državljani in podjetja lahko v celoti izkoristili zaupanja vredne in zanesljive storitve in digitalna orodja. Ne glede na to, ali gre za povezane naprave, električno omrežje ali banke, letala, javne uprave in bolnišnice, ki jih Evropejci uporabljajo ali jih pogosto uporabljajo, si to zaslužijo z zagotovilom, da bodo zaščiteni pred kibernetskimi grožnjami.

Nova strategija kibernetske varnosti EU tudi omogoča, da okrepi vodilno vlogo na področju mednarodnih norm in standardov v kibernetskem prostoru ter okrepi sodelovanje s partnerji po vsem svetu za spodbujanje globalnega, odprtega, stabilnega in varnega kibernetskega prostora, utemeljenega na pravni državi, človekovih pravicah , temeljne svoboščine in demokratične vrednote. Poleg tega Komisija daje predloge za reševanje kibernetske in fizične odpornosti kritičnih subjektov in omrežij: direktivo o ukrepih za visoko skupno raven kibernetske varnosti po vsej Uniji (revidirana direktiva NIS ali „NIS 2“) in nova direktiva o odpornost kritičnih entitet.

Zajemajo širok spekter sektorjev in si prizadevajo za skladno in komplementarno obravnavanje sedanjih in prihodnjih tveganj na spletu in zunaj njega, od kibernetskih napadov do kriminala ali naravnih nesreč. Zaupanje in varnost v središču digitalnega desetletja EU Cilj nove strategije kibernetske varnosti je zaščititi globalni in odprti internet, hkrati pa zagotoviti zaščitne ukrepe, ne samo za zagotavljanje varnosti, temveč tudi za zaščito evropskih vrednot in temeljnih pravic vseh.

Na podlagi dosežkov v zadnjih mesecih in letih vsebuje konkretne predloge za regulativne, naložbene in politične pobude na treh področjih delovanja EU: 1. Odpornost, tehnološka suverenost in vodstvo
V okviru tega sklopa ukrepov Komisija predlaga reformo pravil o varnosti omrežij in informacijskih sistemov v skladu z Direktivo o ukrepih za visoko skupno raven kibernetske varnosti v Uniji (revidirana direktiva NIS ali „NIS 2“), da se poveča stopnja kibernetske odpornosti kritičnega javnega in zasebnega sektorja: bolnišnice, energetska omrežja, železnice, pa tudi podatkovni centri, javne uprave, raziskovalni laboratoriji in proizvodnja kritičnih medicinskih pripomočkov in zdravil ter druge ključne infrastrukture in storitev, mora ostati neprepustna , v vedno hitrejšem in zapletenem okolju nevarnosti. Komisija tudi predlaga, da bi po vsej EU ustanovili mrežo varnostnih operativnih centrov, ki bi jih poganjala umetna inteligenca (AI), kar bo EU predstavljalo pravi "ščit kibernetske varnosti", ki bo dovolj zgodaj zaznal znake kibernetskega napada in omogočil proaktivno ukrepanje, preden pride do škode. Dodatni ukrepi bodo vključevali namensko podporo malim in srednje velikim podjetjem (MSP) v okviru vozlišč za digitalne inovacije, pa tudi večja prizadevanja za izboljšanje usposobljenosti delovne sile, privabljanje in ohranjanje najboljših talentov za kibernetsko varnost ter vlaganje v odprte raziskave in inovacije, konkurenčno in temelji na odličnosti.
2. Krepitev operativne zmogljivosti za preprečevanje, odvračanje in odzivanje
Komisija s postopnim in vključujočim postopkom z državami članicami pripravlja novo skupno kibernetsko enoto za krepitev sodelovanja med organi EU in organi držav članic, ki so odgovorni za preprečevanje, odvračanje in odziv na kibernetske napade, vključno s civilnimi organi pregona, diplomatske in kibernetske obrambne skupnosti. Visoka predstavnica predlaga predloge za okrepitev orodja EU za kibernetsko diplomacijo, da se prepreči, odvrača, odvrača in učinkovito odziva proti zlonamernim kibernetskim dejavnostim, zlasti tistim, ki vplivajo na našo kritično infrastrukturo, oskrbovalne verige, demokratične institucije in procese. EU si bo tudi prizadevala za nadaljnje krepitev sodelovanja na področju kibernetske obrambe in razvoj najsodobnejših zmogljivosti kibernetske obrambe, pri čemer bo nadaljevala delo Evropske obrambne agencije in države članice spodbujala, da v celoti izkoristijo stalno strukturirano sodelovanje in evropsko obrambo. Sklad.
3. Spodbujanje globalnega in odprtega kibernetskega prostora s povečanim sodelovanjem
EU bo okrepila sodelovanje z mednarodnimi partnerji za krepitev globalnega reda, ki temelji na pravilih, spodbujanje mednarodne varnosti in stabilnosti v kibernetskem prostoru ter zaščito človekovih pravic in temeljnih svoboščin na spletu. S sodelovanjem z mednarodnimi partnerji v Združenih narodih in drugih ustreznih forumih bo spodbujala mednarodne norme in standarde, ki odražajo te temeljne vrednote EU. EU bo še naprej krepila svoj nabor orodij za kibernetsko diplomacijo EU in povečala prizadevanja za izgradnjo kibernetske zmogljivosti tretjim državam z razvojem agende EU za zunanjo kibernetsko zmogljivost. Okrepili se bodo kibernetski dialogi s tretjimi državami, regionalnimi in mednarodnimi organizacijami ter skupnostjo več zainteresiranih strani.

EU bo po vsem svetu ustanovila tudi mrežo kibernetske diplomacije EU, ki bo promovirala svojo vizijo kibernetskega prostora. EU se je zavezala, da bo v naslednjih sedmih letih podprla novo strategijo kibernetske varnosti z ravnjo naložb brez primere v digitalni prehod EU, in sicer z naslednjim dolgoročnim proračunom EU, zlasti s programom Digital Europe in Horizon Europe, ter z obnovitvijo Načrt za Evropo. Države članice se zato spodbuja, da v celoti izkoristijo instrument EU za oživitev in odpornost za povečanje kibernetske varnosti in usklajevanje naložb na ravni EU.

Cilj je doseči do 4.5 milijarde EUR skupnih naložb EU, držav članic in industrije, zlasti v okviru Kompetenčnega centra za kibernetsko varnost in Mreže koordinacijskih centrov, ter zagotoviti, da večji del prispeva MSP. Komisija si tudi prizadeva okrepiti industrijske in tehnološke zmogljivosti EU na področju kibernetske varnosti, vključno s projekti, ki jih skupaj podpirajo proračuni EU in nacionalni proračuni. EU ima edinstveno priložnost, da združi svoja sredstva za povečanje svoje strateške avtonomije in spodbudi svoje vodstvo na področju kibernetske varnosti v celotni digitalni dobavni verigi (vključno s podatki in oblakom, procesorsko tehnologijo naslednje generacije, izjemno varno povezljivostjo in omrežji 6G), v skladu s svojimi vrednote in prednostne naloge.

Kibernetska in fizična odpornost omrežja, informacijskih sistemov in kritičnih subjektov Obstoječe ukrepe na ravni EU, namenjene zaščiti ključnih storitev in infrastruktur pred kibernetskimi in fizičnimi tveganji, je treba posodobiti. Tveganja kibernetske varnosti se še naprej razvijajo z naraščajočo digitalizacijo in medsebojno povezanostjo. Fizična tveganja so postala tudi bolj zapletena od sprejetja pravil EU o kritični infrastrukturi iz leta 2008, ki trenutno zajemajo le energetski in prometni sektor. Namen revizij je posodobiti pravila, ki sledijo logiki strategije Varnostne unije EU, preseči napačno dihotomijo med spletnim in brez povezave ter razbiti pristop silosa.

oglas

V odgovor na naraščajoče grožnje zaradi digitalizacije in medsebojne povezanosti bo predlagana direktiva o ukrepih za visoko skupno raven kibernetske varnosti v Uniji (revidirana direktiva NIS ali „NIS 2“) zajemala srednje in velike subjekte iz več sektorjev glede na njihovo kritičnost do gospodarstvo in družbo. NIS 2 krepi varnostne zahteve, naložene podjetjem, obravnava varnost oskrbovalnih verig in odnosov z dobavitelji, racionalizira obveznosti poročanja, uvaja strožje nadzorne ukrepe za nacionalne organe, strožje zahteve glede izvrševanja in si prizadeva za uskladitev sankcijskih režimov v državah članicah. Predlog NIS 2 bo pomagal povečati izmenjavo informacij in sodelovanje na področju upravljanja kibernetskih kriz na nacionalni ravni in na ravni EU. Predlagana direktiva o odpornosti kritičnih entitet (CER) razširja obseg in globino evropske direktive o kritični infrastrukturi iz leta 2008. Zdaj je zajetih deset sektorjev: energetika, promet, bančništvo, infrastruktura finančnega trga, zdravje, pitna voda, odpadna voda, digitalna infrastruktura, javna uprava in vesolje. V skladu s predlagano direktivo bi države članice sprejele nacionalno strategijo za zagotavljanje odpornosti kritičnih subjektov in izvajale redne ocene tveganja. Te ocene bi prav tako pomagale prepoznati manjšo podskupino kritičnih subjektov, za katere bi veljale obveznosti, namenjene povečanju njihove odpornosti ob nekibernetskih tveganjih, vključno z ocenami tveganj na ravni subjektov, izvajanjem tehničnih in organizacijskih ukrepov ter obveščanjem o incidentih.

Komisija bi nato državam članicam in kritičnim subjektom zagotovila dopolnilno podporo, na primer z razvojem pregleda čezmejnih in medsektorskih tveganj, najboljše prakse, metodologij, čezmejnih dejavnosti usposabljanja in vaj za preizkušanje na ravni Unije. odpornost kritičnih entitet. Zavarovanje naslednje generacije omrežij: 5G in kasneje V skladu z novo strategijo kibernetske varnosti se države članice s podporo Komisije in Evropske agencije za kibernetsko varnost ENISA spodbuja, da dokončajo izvajanje EU 5G Toolbox, celovitega in objektivnega tveganja. pristop k varnosti 5G in prihodnjih generacij omrežij.

Glede na danes objavljeno poročilo o vplivu Priporočila Komisije o kibernetski varnosti omrežij 5G in napredku pri izvajanju orodij olajševalnih ukrepov EU je večina držav članic od poročila o napredku julija 2020 že na dobri poti pri izvajanju priporočene ukrepe. Zdaj bi si morali prizadevati za dokončanje njihovega izvajanja do drugega četrtletja 2021 in zagotoviti, da se ugotovljena tveganja ustrezno ublažijo na usklajen način, zlasti z namenom, da se čim manj zmanjša izpostavljenost dobaviteljem z visokim tveganjem in prepreči odvisnost od teh dobaviteljev. Komisija danes določa tudi ključne cilje in ukrepe za nadaljevanje usklajenega dela na ravni EU.

Izvršna podpredsednica Evrope, primerna za digitalno dobo, Margrethe Vestager je dejala: "Evropa se zavzema za digitalno preobrazbo naše družbe in gospodarstva. Zato jo moramo podpreti z ravnmi naložb brez primere. Digitalna preobrazba se pospešuje, vendar lahko le uspe če lahko ljudje in podjetja zaupajo, da so povezani izdelki in storitve - na katere se zanašajo - varni. "

Visoki predstavnik Josep Borrell je dejal: "Mednarodna varnost in stabilnost sta bolj kot kdaj koli prej odvisni od globalnega, odprtega, stabilnega in varnega kibernetskega prostora, kjer se spoštujejo pravna država, človekove pravice, svoboščine in demokracija. EU z današnjo strategijo krepi v zaščito svoje vlade, državljane in podjetja pred globalnimi kibernetskimi grožnjami ter zagotoviti vodstvo v kibernetskem prostoru, tako da bodo vsi lahko izkoristili prednosti interneta in uporabe tehnologij. "

Podpredsednica evropskega načina življenja Margaritis Schinas je dejala: "Kibernetska varnost je osrednji del Varnostne unije. Med spletnimi in nespletnimi grožnjami ni več razlike. Digitalna in fizična sta zdaj neločljivo povezani. Današnji sklop ukrepov kaže, da EU je pripravljena uporabiti vse svoje vire in strokovno znanje za pripravo in odziv na fizične in kibernetske grožnje z enako odločnostjo. "

Pooblaščenec za notranji trg Thierry Breton je dejal: "Kibernetske grožnje se hitro razvijajo, postajajo vse bolj zapletene in prilagodljive. Da bi zagotovili zaščito naših državljanov in infrastrukture, moramo razmisliti o nekaj korakih naprej, saj bo evropski odporni in avtonomni ščit kibernetske varnosti pomenil, da lahko uporabimo svoje strokovno znanje in znanje za hitrejše odkrivanje in odzivanje, omejevanje morebitne škode in povečanje naše odpornosti. Naložbe v kibernetsko varnost pomenijo vlaganje v zdravo prihodnost našega spletnega okolja in v našo strateško avtonomijo. "

Komisarka za notranje zadeve Ylva Johansson je dejala: "Naše bolnišnice, sistemi za odpadne vode ali prometna infrastruktura so tako močni kot njihovi najšibkejši členi; motnje v enem delu Unije lahko vplivajo na zagotavljanje bistvenih storitev drugje. Da bi zagotovili nemoteno delovanje notranjega sistema Na trgu in preživljanju tistih, ki živijo v Evropi, mora biti naša ključna infrastruktura odporna na tveganja, kot so naravne nesreče, teroristični napadi, nesreče in pandemije, kakršno doživljamo danes. Moj predlog o kritični infrastrukturi počne ravno to. "

Naslednji koraki

Evropska komisija in visoka predstavnica sta zavezani izvajanju nove strategije kibernetske varnosti v prihodnjih mesecih. Redno bodo poročali o doseženem napredku, Evropski parlament, Svet Evropske unije in zainteresirane strani pa bodo v celoti obveščeni in vključeni v vse ustrezne ukrepe. Zdaj morata Evropski parlament in Svet preučiti in sprejeti predlagano direktivo NIS 2 in direktivo o odpornosti kritičnih subjektov. Ko bodo predlogi dogovorjeni in posledično sprejeti, bi jih morale države članice nato prenesti v 18 mesecih po začetku veljavnosti.

Komisija bo redno pregledovala direktivo NIS 2 in direktivo o odpornosti kritičnih subjektov ter poročala o njihovem delovanju. Ozadje Kibernetska varnost je ena glavnih prednostnih nalog Komisije in temelj digitalne in povezane Evrope. Povečanje števila kibernetskih napadov med koronavirusno krizo je pokazalo, kako pomembno je zaščititi bolnišnice, raziskovalne centre in drugo infrastrukturo. Na tem področju so potrebni odločni ukrepi, da bi lahko gospodarstvo in družba EU zagotovili prihodnost. Nova strategija kibernetske varnosti predlaga vključitev kibernetske varnosti v vsak element dobavne verige ter nadaljnje povezovanje dejavnosti in virov EU v štirih skupnostih kibernetske varnosti - notranji trg, kazenski pregon, diplomacija in obramba.

Nadgrajuje EU na temo „Oblikovanje evropske digitalne prihodnosti“ in strategijo Varnostne unije EU ter se naslanja na številne zakonodajne akte, ukrepe in pobude, ki jih je EU izvajala za krepitev zmogljivosti kibernetske varnosti in zagotavljanje odpornejše Evrope. To vključuje strategijo kibernetske varnosti iz leta 2013, ki je bila pregledana leta 2017, in evropsko agendo Komisije o varnosti 2015–2020. Priznava tudi vse večje medsebojne povezave med notranjo in zunanjo varnostjo, zlasti s skupno zunanjo in varnostno politiko. Prvi zakon o kibernetski varnosti po vsej EU, direktiva NIS, ki je začel veljati leta 2016, je pomagal doseči skupno visoko raven varnosti omrežij in informacijskih sistemov po vsej EU. Kot del svojega ključnega političnega cilja, da bi Evropo prilagodila digitalni dobi, je Komisija februarja letos napovedala revizijo direktive o omrežjih neodvisnih držav.

Zakon o kibernetski varnosti EU, ki velja od leta 2019, je Evropo opremil z okvirom za kibernetsko certificiranje izdelkov, storitev in procesov ter okrepil mandat Agencije EU za kibernetsko varnost (ENISA). Kar zadeva kibernetsko varnost omrežij 5G, so države članice s podporo Komisije in agencije ENISA s paketom orodij EU 5G, sprejetim januarja 2020, vzpostavile celovit in objektiven pristop, ki temelji na tveganjih. Komisija je v svojem priporočilu iz marca 2019 o kibernetski varnosti omrežij 5G pokazala, da je večina držav članic napredovala pri izvajanju orodjarne. Od strategije EU za kibernetsko varnost iz leta 2013 je EU razvila skladno in celostno mednarodno kibernetsko politiko.

EU je s svojimi partnerji na dvostranski, regionalni in mednarodni ravni spodbujala svetovni, odprti, stabilni in varni kibernetski prostor, ki ga vodijo temeljne vrednote EU in temelji na pravni državi. EU je podprla tretje države pri povečanju njihove kibernetske odpornosti in sposobnosti za boj proti kibernetski kriminaliteti in je uporabila svojo zbirko orodij za kibernetsko diplomacijo EU iz leta 2017, da bi še naprej prispevala k mednarodni varnosti in stabilnosti v kibernetskem prostoru, vključno s prvo uporabo režima kibernetskih sankcij za s seznamom 2019 posameznikov in 8 entitet in organov. EU je dosegla pomemben napredek tudi pri sodelovanju na področju kibernetske obrambe, tudi glede zmogljivosti kibernetske obrambe, zlasti v okviru svojega okvira politike kibernetske obrambe (CDPF), pa tudi v okviru stalnega strukturiranega sodelovanja (PESCO) in dela Evropske obrambne agencije. Kibernetska varnost je prednostna naloga, ki se odraža tudi v naslednjem dolgoročnem proračunu EU (4–2021).

V okviru programa Digitalna Evropa bo EU podpirala raziskave na področju kibernetske varnosti, inovacij in infrastrukture, kibernetske obrambe in industrije kibernetske varnosti EU. Poleg tega so v odzivu na krizo koronavirusa, ki se je med zaklepanjem povečala, kibernetski napadi, v okviru načrta za oživitev Evrope zagotovljene dodatne naložbe v kibernetsko varnost. EU je že dolgo prepoznala potrebo po zagotavljanju odpornosti kritične infrastrukture, ki zagotavlja storitve, ki so bistvenega pomena za nemoteno delovanje notranjega trga ter življenja in preživetja evropskih državljanov. Iz tega razloga je EU leta 2006 ustanovila Evropski program za zaščito kritične infrastrukture (EPCIP) in leta 2008 sprejela direktivo o evropski kritični infrastrukturi (EKI), ki velja za energetski in prometni sektor. Te ukrepe so v poznejših letih dopolnjevali različni sektorski in medsektorski ukrepi o posebnih vidikih, kot so zaščita pred podnebnimi spremembami, civilna zaščita ali neposredne tuje naložbe.

Delite ta članek: