Politika kybernetické bezpečnosti

Nová strategie

Evropská komise a vysoká představitelka Unie pro zahraniční věci a bezpečnostní politiku představily na konci roku 2020 novou strategii kybernetické bezpečnosti EU.

Strategie se týká bezpečnosti základních služeb, jako jsou nemocnice, energetické sítě a železnice. Pokrývá také bezpečnost stále rostoucího počtu propojených objektů v našich domovech, kancelářích a továrnách.

Strategie se zaměřuje na budování kolektivních schopností reagovat na závažné kybernetické útoky a na spolupráci s partnery po celém světě s cílem zajistit mezinárodní bezpečnost a stabilitu v kyberprostoru. Nastiňuje, jak může společná kybernetická jednotka zajistit nejúčinnější reakci na kybernetické hrozby s využitím kolektivních zdrojů a odborných znalostí, které má EU a členské státy k dispozici.

Právní předpisy a certifikace

Směrnice o bezpečnosti sítí a informačních systémů (směrnice o bezpečnosti sítí a informací)

Kybernetické hrozby jsou téměř vždy přeshraniční a kybernetický útok na kritické zařízení jedné země může mít dopad na EU jako celek. Země EU musí mít silné vládní orgány, které ve své zemi dohlížejí na kybernetickou bezpečnost a které spolupracují se svými protějšky v jiných členských státech prostřednictvím sdílení informací. To je obzvláště důležité pro odvětví, která jsou pro naši společnost zásadní.

Směrnice o bezpečnosti sítí a informací, kterou nyní všechny země provedly, zajišťuje vytvoření a spolupráci těchto vládních orgánů. Tato směrnice byla přezkoumána na konci roku 2020.

V důsledku přezkumu předložila Komise dne 16. prosince 2020 návrh směrnice o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v celé Unii (směrniceo bezpečnosti sítí a informací).

ENISA – Agentura EU pro kybernetickou bezpečnost

Agentura ENISA (dále jen „Agentura Evropské unie pro bezpečnost sítí a informací“) je agenturou EU, která se zabývá kybernetickou bezpečností. Poskytuje podporu členským státům, orgánům a podnikům EU v klíčových oblastech, včetně provádění směrnice o bezpečnosti sítí a informací.

Zákon o kybernetické bezpečnosti

Akt o kybernetické bezpečnosti posiluje úlohu agentury ENISA. Agentura má nyní stálý mandát a je zmocněna přispívat k posílení operativní spolupráce a řešení krizí v celé EU. Má také více finančních a lidských zdrojů než dříve.

Certifikace

Náš digitální život může fungovat dobře, pouze pokud existuje důvěra veřejnosti v kybernetickou bezpečnost IT produktů a služeb. Je důležité, abychom viděli, že produkt byl zkontrolován a certifikován tak, aby splňoval vysoké standardy kybernetické bezpečnosti. V současné době existují v EU různé systémy certifikace bezpečnosti pro IT produkty. Mít jednotný společný systém certifikace by bylo jednodušší a jasnější pro všechny.

Komise proto pracuje na celounijním certifikačním rámci, jehož jádrem je agentura ENISA. Akt o kybernetické bezpečnosti nastiňuje proces dosažení tohoto rámce.

Investice

Plán obnovy

Kybernetická bezpečnost je jednou z priorit Komise v reakci na koronavirovou krizi, neboť během omezení volného pohybu osob došlo k nárůstu kybernetických útoků. Plán na podporu oživení Evropy zahrnuje další investice do kybernetické bezpečnosti.

Podpora výzkumu a inovací: Horizont 2020 a cPPP; Horizont Evropa

Výzkum digitální bezpečnosti je nezbytný pro budování inovativních řešení, která nás ochrání před nejnovějšími, nejpokročilejšími kybernetickými hrozbami. Proto je kybernetická bezpečnost důležitou součástí programu Horizont 2020 a jeho nástupce programu Horizont Evropa. 

V programu Horizont Evropa je kybernetická bezpečnost pro období 2021–2027 součástí klastru „Civilní bezpečnost pro společnost“. V současné době se připravuje pracovní program na období 2021–2022.

V rámci programu Horizont 2020 Komise spolufinancovala výzkum a inovace v oblastech, jako je připravenost na kybernetickou bezpečnost prostřednictvím kybernetického rozsahu a simulace, kybernetická bezpečnost pro malé a střední podniky, kybernetická bezpečnost v elektroenergetickém a energetickém systému a kybernetická bezpečnost a ochrana údajů v kritických odvětvích. Tato témata spadají do klastru „Bezpečné společnosti – ochrana svobody a bezpečnosti Evropy a jejích občanů“.

V roce 2016 bylo mezi Evropskou komisí a Evropskou organizací pro kybernetickou bezpečnost (ECSO), sdružením sestávajícím z členů z kybernetického průmyslu, akademické obce, orgánů veřejné správy a dalších, založeno smluvní partnerství veřejného a soukromého sektoru (cPPP) v oblasti kybernetické bezpečnosti.

Podpora kybernetických kapacit a zavádění

Naše fyzická a digitální infrastruktura je velmi úzce propojena. Komise proto rovněž investovala do kybernetické bezpečnosti v rámci svého programu financování investic do infrastruktury, Nástroje pro propojení Evropy, na období 2014–2020.

Podpora z Nástroje pro propojení Evropy byla poskytnuta týmům pro reakci na incidenty v oblasti počítačové bezpečnosti, provozovatelům základních služeb, poskytovatelům digitálních služeb, jednotným kontaktním místům (SPOC) a příslušným vnitrostátním orgánům. To posiluje kapacity v oblasti kybernetické bezpečnosti a přeshraniční spolupráci v rámci EU a podporuje provádění strategie EU pro kybernetickou bezpečnost.

Program Digitální Evropa je na období 2021–2027 ambiciózním programem, který plánuje investovat 1,9 miliardy EUR do kapacity kybernetické bezpečnosti a širokého zavádění infrastruktur a nástrojů kybernetické bezpečnosti v celé EU pro orgány veřejné správy, podniky a jednotlivce.

Kybernetická bezpečnost je rovněž součástí Programu InvestEU. InvestEU je obecný program, který sdružuje mnoho finančních nástrojů a využívá veřejné investice k zajištění dalších investic ze soukromého sektoru. Jeho strategický investiční nástroj podpoří klíčové hodnotové řetězce v oblasti kybernetické bezpečnosti. Je důležitou součástí balíčku opatření na podporu oživení v reakci na koronavirovou krizi.

Centrum kompetencí pro kybernetickou bezpečnost a síť; Atlas

Evropské průmyslové, technologické a výzkumné centrum pro kybernetickou bezpečnost bude sdružovat odborné znalosti a sladit evropský rozvoj a zavádění technologií kybernetické bezpečnosti. Bude spolupracovat s průmyslem, akademickou obcí a dalšími subjekty na vytvoření společného programu investic do kybernetické bezpečnosti a rozhodování o prioritách financování výzkumu, vývoje a zavádění řešení kybernetické bezpečnosti prostřednictvím programů Horizont Evropa a Digitální Evropa.

V současné době probíhají čtyři pilotní projekty, které mají položit základy kompetenčního centra a sítě. Jedná se o více než 170 partnerů.

Pro lepší přehled odborných znalostí a kapacit v oblasti kybernetické bezpečnosti v celé EU vyvinula Komise komplexní platformu nazvanou Atlas kybernetické bezpečnosti.

Politické pokyny

Plán koordinované reakce na závažné kybernetické útoky

Plán Komise pro rychlou reakci na mimořádné události poskytuje plán v případě rozsáhlého přeshraničního kybernetického incidentu nebo krize. Stanoví cíle a způsoby spolupráce mezi členskými státy a orgány EU při reakci na tyto incidenty a krize. Objasňuje, jak mohou stávající mechanismy krizového řízení plně využívat stávající subjekty v oblasti kybernetické bezpečnosti na úrovni EU.

Společná kybernetická jednotka

V návaznosti na to předsedkyně Komise Ursula von der Leyenová oznámila návrh na vytvoření společné kybernetické jednotky pro celou EU. Doporučení o vytvoření společné kybernetické jednotky, které Komise oznámila dne 23. června 2021, je důležitým krokem k dokončení evropského rámce pro řešení kybernetických bezpečnostních krizí. Jedná se o konkrétní výstup strategie kybernetické bezpečnosti EU a strategiebezpečnostní unie EU, který přispívá k bezpečné digitální ekonomice a společnosti.

Společná kybernetická jednotka bude působit jako platforma, která zajistí koordinovanou reakci EU na rozsáhlé kybernetické incidenty a krize a nabídne pomoc při zotavování se z těchto útoků.

Bezpečné nasazení 5G v EU

Sítě 5G by měly být zavedeny v celé EU. Budou nabízet obrovské výhody, ale také budou mít více potenciálních vstupních bodů pro útočníky kvůli méně centralizované povaze jejich architektury, většímu počtu antén a zvýšené závislosti na softwaru. Soubor nástrojů EU pro 5G stanoví opatření k posílení bezpečnostních požadavků na sítě 5G, uplatňování příslušných omezení pro dodavatele, kteří jsou považováni za vysoce rizikové, a zajištění diverzifikace prodejců.

Zajištění volebního procesu

Naše evropské demokracie jsou stále více digitalizovány: politické kampaně probíhají on-line a samotné volby probíhají prostřednictvím elektronického hlasování v mnoha zemích. 

Komise vydala doporučení týkající se kybernetické bezpečnosti voleb do Evropského parlamentu jako součást širšího balíčku doporučení na podporu svobodných a spravedlivých voleb do Evropského parlamentu. Měsíc před volbami do Evropského parlamentu v roce 2019 provedly Evropský parlament, země EU, Komise a agentura ENISA živou zkoušku připravenosti.

Dovednosti a povědomí

Dovednosti

Digitální bezpečnost můžeme zajistit pouze tehdy, máme-li odborníky se správnými znalostmi a dovednostmi a v současné době jich není dost. Proto Komise přijímá opatření na podporu rozvoje dovedností v oblasti kybernetické bezpečnosti.

Komise připravila výzvu k vytvoření soudržného rámce pro výuku dovedností v oblasti kybernetické bezpečnosti v oblasti vysokoškolského a odborného vzdělávání. V současné době na tom pracují čtyři pilotní projekty, které připravují kompetentní centrum pro kybernetickou bezpečnost a síť ECSO. Existují také opakující se iniciativy určené přímo studentům, jako je každoroční evropská výzva v oblasti kybernetické bezpečnosti.

Dovednosti v oblasti kybernetické bezpečnosti spadají do obecné agendy Komise v oblasti digitálních dovedností. Jsou rovněž součástí úsilí o financování v rámci programu Horizont 2020, Horizont Evropa a programu Digitální Evropa. Jedním z příkladů je financování „kybernetických rozsahů“, které jsou živým simulačním prostředím kybernetických hrozeb pro výcvik.

Uvědomění

Lidský faktor je často slabým článkem v oblasti kybernetické bezpečnosti: někdo, kdo klikne na phishingový odkaz, může mít obrovské důsledky. Komise proto zvyšuje povědomí o kybernetické bezpečnosti a podporuje osvědčené postupy mezi širokou veřejností. Jednou ročně například pořádá Evropský měsíc kybernetické bezpečnosti společně s agenturou ENISA.

Kybernetická komunita

ENISA – Agentura EU pro kybernetickou bezpečnost

Agentura ENISA je agenturou EU, která se zabývá kybernetickou bezpečností. Poskytuje podporu členským státům, orgánům a podnikům EU v klíčových oblastech, včetně provádění směrnice o bezpečnosti sítí a informací.

ISAC

Střediska pro sdílení a analýzu informací (ISAC) podporují spolupráci mezi komunitou kybernetické bezpečnosti v různých odvětvích hospodářství. Další rozvoj ISAC na úrovni EU i na vnitrostátní úrovni je pro Komisi prioritou. Komise ve spolupráci s agenturou ENISA rovněž podporuje zřizování nových ISAC v odvětvích, na něž se nevztahuje. „Zmocňující konsorcium ISAC EU“, pod dohledem Komise, poskytuje ISAC právní, technickou a organizační podporu.

JRC

Společné výzkumné středisko Komise aktivně přispívá k kybernetické bezpečnosti v EU. JRC například vyvinulo taxonomii kybernetické bezpečnosti. To je v souladu s terminologií používanou v oblasti kybernetické bezpečnosti, abychom mohli mít jasnější přehled o schopnostech kybernetické bezpečnosti v EU.

Společné výzkumné středisko rovněž nedávno zveřejnilo zprávu, která poskytuje přehled o současném prostředí kybernetické bezpečnosti EU a její historii s názvem „Cybersecurity – naše digitální kotva“.

CSIRT/CERT

Podle směrnice o bezpečnosti sítí a informací jsou členské státy EU povinny zajistit, aby měly dobře fungující skupiny pro reakci na počítačové bezpečnostní incidenty (CSIRT), známé také jako skupiny pro reakci na počítačové hrozby (CERT). Tyto týmy se zabývají kybernetickými bezpečnostními incidenty a riziky v praxi. Spolupracují mezi sebou na úrovni EU a spolupracují se soukromým sektorem. Všechny typy provozovatelů základních služeb a poskytovatelů digitálních služeb musí být kryty určenými týmy CSIRT.

Hlavními úkoly týmů CSIRT jsou:

• monitorování incidentů na vnitrostátní úrovni;
• poskytování včasného varování, varování, oznámení a dalších informací o rizicích a incidentech příslušným zúčastněným stranám;
• reakce na incidenty;
• poskytování dynamické analýzy rizik a incidentů a informovanosti o situaci;
• účast v síti CSIRT.

ECSO

Evropská organizace pro kybernetickou bezpečnost (ECSO) byla zřízena v roce 2016 s cílem působit jako protějšek Komise ve smluvním partnerství veřejného a soukromého sektoru zahrnujícím program Horizont 2020 v letech 2016 až 2020. Většina z 250 členů ECSO patří buď do odvětví kybernetické bezpečnosti, nebo do výzkumných a akademických institucí v této oblasti. V menší míře tvoří členové ECSO také subjekty veřejného sektoru a odvětví na straně poptávky.

Kromě doporučení týkajících se programu Horizont 2020 provádí ECSO různé činnosti zaměřené na budování komunit a průmyslový rozvoj na evropské úrovni.

Dámské4Cyber

Je důležité zdůraznit úlohu žen v komunitě kybernetické bezpečnosti, které jsou nedostatečně zastoupeny. Proto Komise ve spolupráci s iniciativou ECSO Women4Cyber vytvořila registr žen4Cyber. To usnadňuje médiím, organizátorům akcí a dalším lidem najít mnoho talentovaných žen pracujících v oblasti kybernetické bezpečnosti, aby se tyto ženy staly v kybernetické komunitě a veřejné debatě viditelnější a významnější.

Další oblasti kybernetické politiky

Kyberkriminalita

Běžní zločinci využívají kybernetické útoky, které ohrožují Evropany. Oddělení Komise pro migraci a vnitřní věci monitoruje a aktualizuje právní předpisy EU v oblasti kyberkriminality a podporuje kapacity v oblasti vymáhání práva. Komise rovněž spolupracuje s Evropským centrem pro boj proti kyberkriminalitě v Europolu.

Kybernetická diplomacie

EU se snaží chránit před kybernetickými hrozbami ze zahraničí. V rámci toho Komise spolupracuje s Evropskou službou pro vnější činnost a členskými státy na provádění společné diplomatické reakce na nepřátelské kybernetické činnosti (dále jen „soubor nástrojů pro diplomacii v oblasti kybernetiky“). Tato reakce zahrnuje diplomatickou spolupráci a dialog, preventivní opatření proti kybernetickým útokům a sankce proti osobám zapojeným do kybernetických útoků ohrožujících EU.

Komise je v případě potřeby nápomocna při rozhodování o reakci na vnější kybernetické hrozby. Rovněž přímo financuje probíhající iniciativu EU na podporu diplomacie v oblasti kybernetiky.

Obrana

EU spolupracuje v oblasti obrany v kyberprostoru prostřednictvím činností Evropské obranné agentury, agentury ENISA, Europolu a generálního ředitelství Komise odpovědného za obranný průmysl.

Budování kybernetických kapacit ve třetích zemích

EU spolupracuje s dalšími zeměmi, aby pomohla vybudovat jejich schopnost bránit se před hrozbami v oblasti kybernetické bezpečnosti. Komise prostřednictvím svého oddělení pro mezinárodní spolupráci a rozvoj podporuje různé programy kybernetické bezpečnosti na západním Balkáně a v šesti zemích východního partnerství v bezprostředním sousedství EU, jakož i v dalších zemích po celém světě.