Politiky kybernetické bezpečnosti

Evropská komise a vysoký představitel Unie pro zahraniční věci a bezpečnostní politiku předložili na konci roku 2020 novou strategii kybernetické bezpečnosti EU.

Strategie se týká bezpečnosti základních služeb, jako jsou nemocnice, energetické sítě a železnice. Zahrnuje také zabezpečení stále rostoucího počtu připojených objektů v našich domovech, kancelářích a továrnách.

Strategie se zaměřuje na budování kolektivních kapacit pro reakci na závažné kybernetické útoky a na spolupráci s partnery po celém světě s cílem zajistit mezinárodní bezpečnost a stabilitu v kyberprostoru.

Směrnice o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii (směrnice NIS2)

Kybernetické bezpečnostní hrozby jsou téměř vždy přeshraniční a kybernetický útok na kritická zařízení jedné země může mít dopad na EU jako celek. Země EU musí mít silné vládní orgány, které dohlížejí na kybernetickou bezpečnost ve své zemi a které spolupracují se svými protějšky v jiných členských státech prostřednictvím sdílení informací. To je obzvláště důležité pro odvětví, která jsou pro naši společnost kritická.

První směrnice o bezpečnosti sítí a informačních systémů (směrniceo bezpečnosti sítí a informací)zajišťuje vytvoření a spolupráci těchto vládních orgánů. Tato směrnice byla přezkoumána na konci roku 2020, což vedlo k návrhu a přijetí směrnice o bezpečnosti sítí a informací 2. Členské státy měly do 18. října 2024 plně provést a uplatňovat směrnici NIS2.

ENISA – Agentura EU pro kybernetickou bezpečnost

ENISA je Agentura Evropské unie pro kybernetickou bezpečnost, která byla zřízena v roce 2005. Mandát byl v roce 2019 revidován a od té doby má agentura trvalý mandát. 

Hlavní cíle a úkoly agentury ENISA jsou stanoveny v základním aktu, konkrétně v aktu o kybernetické bezpečnosti. Agentura ENISA poskytuje podporu členským státům, orgánům a podnikům EU v klíčových oblastech, včetně provádění směrnice o bezpečnosti sítí a informací, aktu o kybernetické odolnosti a aktu o kybernetické solidaritě. Agentura rovněž podporuje proces certifikace kybernetické bezpečnosti produktů, služeb a procesů IKT, jak je stanoveno v hlavě III aktu o kybernetické bezpečnosti. 

Akt o kybernetické bezpečnosti

Akt o kybernetické bezpečnosti byl přijat v roce 2019 a posílil úlohu Agentury Evropské unie pro kybernetickou bezpečnost (ENISA). Dala agentuře trvalý mandát a zmocnila ji k tomu, aby přispívala k posílení operativní spolupráce i řešení krizí v celé EU. Má také více finančních a lidských zdrojů než dříve.

Akt o kybernetické bezpečnosti rovněž zavedl Evropský rámec pro certifikaci kybernetické bezpečnosti (ECCF), který stanoví společné požadavky na kybernetickou bezpečnost a hodnotící kritéria pro certifikaci produktů, služeb a procesů IKT. Další informace naleznete na zvláštních internetových stránkách agentury ENISA.

Cílená změna aktu o kybernetické bezpečnosti přijatá dne 15. ledna 2025 rozšířila oblast působnosti certifikace na řízené bezpečnostní služby.

Akt o kybernetické odolnosti

Akt o kybernetické solidaritě

Akt o kybernetické solidaritě vstoupil v platnost dne 4. února 2025 s cílem zlepšit připravenost, odhalování a reakci na kybernetické bezpečnostní incidenty v celé EU.

Kybernetický plán

Dne 24. února 2025 byl zveřejněn návrh doporučení Rady k plánu EU pro řešení kybernetických bezpečnostních krizí (kybernetický plán). Cílem tohoto doporučení je jasným, jednoduchým a přístupným způsobem představit rámec EU pro řešení kybernetických krizí. Navrhovaný plán aktualizuje komplexní rámec EU pro řešení krizí v oblasti kybernetické bezpečnosti a mapuje příslušné aktéry EU a nastiňuje jejich úlohu v průběhu celého životního cyklu krize. To zahrnuje připravenost a sdílenou informovanost o situaci za účelem předvídání kybernetických incidentů a nezbytné detekční schopnosti k jejich identifikaci, včetně nástrojů reakce a obnovy potřebných ke zmírnění, potírání a omezení těchto incidentů.

Plán obnovy

Kybernetická bezpečnost je jednou z priorit Komise v její reakci na koronavirovou krizi, neboť během omezení volného pohybu osob došlo k nárůstu kybernetických útoků. Plán na podporu oživení Evropy zahrnuje další investice do kybernetické bezpečnosti.

Podpora výzkumu a inovací: Horizont 2020 a smluvní partnerství veřejného a soukromého sektoru; Horizont Evropa

Výzkum v oblasti digitální bezpečnosti je nezbytný pro vytváření inovativních řešení, která nás mohou chránit před nejnovějšími a nejpokročilejšími kybernetickými hrozbami. Proto je kybernetická bezpečnost důležitou součástí programu Horizont 2020 a jeho nástupce Horizont Evropa. 

V programu Horizont Evropa je kybernetická bezpečnost na období 2021–2027 součástí klastru „Civilní bezpečnost pro společnost“. 

V rámci programu Horizont 2020 Komise spolufinancovala výzkum a inovace v oblastech, jako je připravenost na kybernetickou bezpečnost prostřednictvím kybernetických rozsahů a simulací, kybernetická bezpečnost pro malé a střední podniky, kybernetická bezpečnost v elektrickém a energetickém systému a kybernetická bezpečnost a ochrana údajů v kritických odvětvích. Tato témata spadají do klastru „Bezpečné společnosti – ochrana svobody a bezpečnosti Evropy a jejích občanů“.

V roce 2016 bylo mezi Evropskou komisí a Evropskou organizací pro kybernetickou bezpečnost (ECSO) založeno smluvní partnerství veřejného a soukromého sektoru (cPPP) v oblasti kybernetické bezpečnosti v rámci programu Horizont 2020, což je sdružení složené z členů z kybernetického průmyslu, akademické obce, veřejné správy a dalších subjektů.

Podpora kybernetických kapacit a jejich zavádění

Naše fyzická a digitální infrastruktura jsou velmi úzce propojeny. Komise proto rovněž investovala do kybernetické bezpečnosti v rámci svého programu financování investic do infrastruktury, Nástroje pro propojení Evropy (CEF), na období 2014–2020.

Podpora z Nástroje pro propojení Evropy byla poskytnuta týmům pro reakci na počítačové bezpečnostní incidenty, provozovatelům základních služeb, poskytovatelům digitálních služeb, jednotným kontaktním místům a příslušným vnitrostátním orgánům. To posiluje schopnosti kybernetické bezpečnosti a přeshraniční spolupráci v rámci EU a podporuje provádění strategie kybernetické bezpečnosti EU.

Program Digitální Evropa na období 2021–2027 je ambiciózním programem, který plánuje investovat 1,9 miliardy eur do kapacity kybernetické bezpečnosti a rozsáhlého zavádění infrastruktur a nástrojů kybernetické bezpečnosti v celé EU pro orgány veřejné správy, podniky a jednotlivce.

Kybernetická bezpečnost je rovněž součástí Programu InvestEU, což je obecný program, který sdružuje mnoho finančních nástrojů a využívá veřejné investice k zajištění dalších investic ze soukromého sektoru. Nástroj pro strategické investice bude podporovat klíčové hodnotové řetězce v oblasti kybernetické bezpečnosti. Je důležitou součástí balíčku opatření na podporu oživení v reakci na koronavirovou krizi.

Atlas kybernetické bezpečnosti

Evropské průmyslové, technologické a výzkumné centrum kompetencí pro kybernetickou bezpečnost bude sdílet odborné znalosti a sladit evropský vývoj a zavádění technologií kybernetické bezpečnosti. Bude spolupracovat s průmyslem, akademickou obcí a dalšími subjekty na vytvoření společného programu pro investice do kybernetické bezpečnosti a rozhodne o prioritách financování výzkumu, vývoje a zavádění řešení v oblasti kybernetické bezpečnosti prostřednictvím programů Horizont Evropa a Digitální Evropa.

V současné době probíhají čtyři pilotní projekty, jejichž cílem je položit základy pro kompetenční centrum a síť. Zahrnují více než 170 partnerů.

Pro lepší přehled o odborných znalostech a kapacitách v oblasti kybernetické bezpečnosti v celé EU vytvořila Komise komplexní platformu nazvanou Atlas kybernetické bezpečnosti.

Bezpečné zavádění sítí 5G v EU

Sítě 5G představují klíčovou digitální infrastrukturu, neboť jsou páteří mnoha kritických služeb. Zásadní význam má zajištění kybernetické bezpečnosti a odolnosti této kritické infrastruktury. Na základě koordinovaného posouzení rizik vypracovaly členské státy ve skupině pro spolupráci v oblasti bezpečnosti sítí a informací společně s Komisí a agenturou ENISA soubor nástrojů EU pro kybernetickou bezpečnost sítí 5G, který stanoví opatření k posílení bezpečnostních požadavků na sítě 5G, uplatňování příslušných omezení pro vysoce rizikové dodavatele a zajištění diverzifikace dodavatelů.

Aktuální stav provádění souboru nástrojů 5G členskými státy je popsán ve druhé zprávě o pokroku z června 2023 vypracované skupinou pro spolupráci v oblasti bezpečnosti sítí a informací. Komise rovněž provedla vlastní posouzení dodavatelů 5G, které je k dispozici ve sdělení z června 2023. 

Zajištění volebního procesu

Naše evropské demokracie jsou stále digitálnější: politické kampaně probíhají on-line a volby se v mnoha zemích konají prostřednictvím elektronického hlasování. 

Komise vydala doporučení pro kybernetickou bezpečnost voleb do Evropského parlamentu jako součást širšího balíčku doporučení na podporu svobodných a spravedlivých voleb do Evropského parlamentu. Měsíc před volbami do Evropského parlamentu v roce 2019 provedly Evropský parlament, země EU, Komise a agentura ENISA živý test své připravenosti.

Kybernetická bezpečnost nemocnic a poskytovatelů zdravotní péče

Digitalizace přináší revoluci ve zdravotní péči a umožňuje lepší služby pacientům. Kybernetické útoky však mohou tyto životně důležité služby narušit. Dne 15. ledna 2025 předložila Komise evropský akční plán pro kybernetickou bezpečnost nemocnic a poskytovatelů zdravotní péče jako jednu z prioritních iniciativ stanovených v politických směrech pro Komisi na období 2024–2029.

Akční plán mimo jiné navrhuje, aby agentura EU pro kybernetickou bezpečnost ENISA zřídila celoevropské centrum podpory kybernetické bezpečnosti pro nemocnice a poskytovatele zdravotní péče, které by jim poskytovalo přizpůsobené pokyny, nástroje, služby a odbornou přípravu. Iniciativa vychází z širšího rámce EU pro posílení kybernetické bezpečnosti napříč kritickou infrastrukturou.

Dovednosti pro pracovní sílu

Digitální bezpečnost můžeme zajistit pouze tehdy, budeme-li mít odborníky se správnými znalostmi a dovednostmi, což v současné době nestačí. Proto Komise přijímá opatření na podporu rozvoje dovedností v oblasti kybernetické bezpečnosti a na růst pracovní síly v Evropské unii.

Dovednosti v oblasti kybernetické bezpečnosti, které spadají do obecného programu Komise pro digitální dovednosti, zůstanou jednou z priorit politické agendy Komise, přičemž Unie dovedností je stanovena v politických směrech Komise na období 2024–2029. Projekty budou i nadále financovány v rámci různých programů, zejména programu Digitální Evropa a programu Erasmus+, s cílem odstranit nedostatek pracovních sil v Evropské unii. Komise bude nadále využívat stávající politické nástroje, jako je politický program Digitální dekáda 2030, a možnost, kterou nabízí, zřídit projekty pro více zemí zaměřené na dovednosti v oblasti kybernetické bezpečnosti, jak je stanoveno ve sdělení Komise o odstranění nedostatku talentů v oblasti kybernetické bezpečnosti s cílem posílit konkurenceschopnost, růst a odolnost EU („Akademie dovedností v oblasti kybernetické bezpečnosti“).

Akademie dovedností v oblasti kybernetické bezpečnosti

Akademie dovedností v oblasti kybernetické bezpečnosti, která byla zahájena v rámci Evropského roku dovedností 2023, sdružuje soukromé a veřejné iniciativy na evropské a vnitrostátní úrovni s cílem řešit rostoucí rozdíly v pracovní síle v oblasti kybernetické bezpečnosti. Akademie, která je hostována on-line na platformě Komise pro digitální pracovní místa a dovednosti, se těší podpoře všech zúčastněných stran, zejména průmyslu, prostřednictvím mechanismu závazků, a akademické obce, přičemž její vlajková loď navazuje na úspěch akademie: sítě průmyslu a akademické obce.

Sdělení o Akademii kybernetických dovedností EU

Informativní přehled Akademie kybernetických dovedností EU

Informovanost

Lidský faktor je často slabým článkem kybernetické bezpečnosti: Pokud někdo klikne na phishingový odkaz, může to mít obrovské následky. Komise proto zvyšuje povědomí o kybernetické bezpečnosti a propaguje osvědčené postupy mezi širokou veřejností. Jednou ročně například spolu s agenturou ENISA pořádá Evropský měsíc kybernetické bezpečnosti.

ENISA – Agentura EU pro kybernetickou bezpečnost

Agentura ENISA je agenturou EU, která se zabývá kybernetickou bezpečností. Poskytuje podporu členským státům, orgánům EU a podnikům v klíčových oblastech, včetně provádění směrnice o bezpečnosti sítí a informací.

ISAC

Centra pro sdílení a analýzu informací (ISAC) podporují spolupráci mezi komunitou kybernetické bezpečnosti v různých hospodářských odvětvích. Další rozvoj středisek ISAC na úrovni EU i na vnitrostátní úrovni je pro Komisi prioritou. Komise ve spolupráci s agenturou ENISA rovněž podporuje zřizování nových středisek ISAC v odvětvích, která nejsou zahrnuta. „Zmocňující konsorcium EU ISAC“, na které dohlíží Komise, poskytuje ISAC právní, technickou a organizační podporu.

JRC

Společné výzkumné středisko Komise aktivně přispívá ke kybernetické bezpečnosti v EU. Společné výzkumné středisko například vypracovalo taxonomii kybernetické bezpečnosti. To sjednocuje terminologii používanou v oblasti kybernetické bezpečnosti, abychom měli jasnější přehled o schopnostech v oblasti kybernetické bezpečnosti v EU.

Společné výzkumné středisko rovněž nedávno zveřejnilo zprávu s názvem „Kybernetickábezpečnost – naše digitální kotva“, která poskytuje přehled o současném prostředí kybernetické bezpečnostiEU a jeho historii.

Týmy CSIRT/CERT

Podle směrnice NIS2 jsou členské státy EU povinny zajistit, aby měly dobře fungující skupiny pro reakci na počítačové bezpečnostní incidenty (dále jen „skupiny CSIRT“), známé také jako skupiny pro reakci na počítačové hrozby (dále jen „skupiny CERT“). Tyto týmy se zabývají kybernetickými bezpečnostními incidenty a riziky v praxi. Spolupracují navzájem na úrovni EU a rovněž spolupracují se soukromým sektorem.

Určené týmy CSIRT se musí vztahovat na všechny typy provozovatelů základních služeb a poskytovatelů digitálních služeb.

Hlavními úkoly týmů CSIRT jsou:

• monitorování incidentů na vnitrostátní úrovni;
• poskytování včasného varování, varování, oznámení a dalších informací o rizicích a incidentech příslušným zúčastněným stranám;
• reakce na incidenty;
• poskytování dynamické analýzy rizik a incidentů a situačního povědomí;
• zapojení do sítě CSIRT.

ECSO

Evropská organizace pro kybernetickou bezpečnost (ECSO) byla zřízena v roce 2016 s cílem působit jako protějšek Komise ve smluvním partnerství veřejného a soukromého sektoru v rámci programu Horizont 2020 v letech 2016 až 2020. Většina z 250 členů ECSO patří buď do odvětví kybernetické bezpečnosti, nebo do výzkumných a akademických institucí v této oblasti. V menší míře jsou členy ECSO také subjekty veřejného sektoru a odvětví na straně poptávky.

Kromě doporučení k programu Horizont 2020 provádí ECSO různé činnosti zaměřené na budování komunit a průmyslový rozvoj na evropské úrovni.

Women4Cyber

Je důležité zdůraznit úlohu žen v komunitě zabývající se kybernetickou bezpečností, které jsou nedostatečně zastoupeny. Proto Komise ve spolupráci s iniciativou ECSO Women4Cyber zřídila rejstřík Women4Cyber. Médiím, organizátorům akcí a dalším subjektům usnadňuje nalezení mnoha talentovaných žen pracujících v oblasti kybernetické bezpečnosti, aby se tyto ženy staly viditelnějšími a prominentnějšími v kybernetické komunitě a veřejné diskusi.

EU spolupracuje s partnery na prosazování společných zájmů v politice kybernetické bezpečnosti. V prosinci 2023 se v Bruselu konal 9. kybernetický dialog mezi EU a USA. EU a USA pokročily ve spolupráci v oblastech, jako je kybernetická diplomacie, řešení krizí, budování kapacit, kybernetická bezpečnost kritické infrastruktury (včetněhlášení incidentů),kybernetická bezpečnost hardwarových a softwarových produktů (včetně společného akčního plánu pro produkty kybernetické  bezpečnosti) a aspekty kybernetické bezpečnosti vznikajících technologií, jako je umělá inteligence.

Od roku 2021 uspořádaly EU a Ukrajina tři kybernetické dialogy. Agentura EU pro kybernetickou bezpečnost ENISA v roce 2023 formalizovala pracovní ujednání s ukrajinskými protějšky s cílem podpořit budování kapacit, výměnu osvědčených postupů a informovanost o situaci. EU rovněž zahájila kybernetické dialogy s Indií, Japonskem, Korejskou republikou a Brazílií. Prvníkybernetický dialog mezi EU a Spojeným královstvím se konal v Bruselu v prosinci 2023, druhý o rok později, dne 6. prosince 2024.

Kybernetická bezpečnost je rovněž projednávána v rámci dvoustranných digitálních partnerství a digitálních dialogů, jakož i digitální aliance mezi EU a Latinskou Amerikou a Karibikem, regulačního dialogu mezi EU a západním Balkánem, strukturovaného dialogu mezi EU a NATO o odolnosti a strukturovaného dialogu mezi EU a NATO o kybernetické bezpečnosti a obraně. V roce 2023 zveřejnila pracovní skupina EU-NATO pro odolnost kritické infrastruktury zprávu, která mapovala důležitá průřezová odvětví. 

Dne 11. listopadu 2024 uspořádaly EU a Japonsko v Tokiu šestý kybernetický dialog, v jehož rámci si vyměnily informace o prostředí hrozeb a reakci na nepřátelské činnosti v kyberprostoru a poskytly aktuální informace o svém nejnovějším politickém a legislativním vývoji v oblasti kybernetické bezpečnosti, jakož i v oblasti vznikajících technologií, řešení kybernetických krizí a kybernetické obrany.

Kyberkriminalita

Obyčejní pachatelé trestné činnosti využívají kybernetické útoky, které ohrožují Evropany. Útvar Komise pro migraci a vnitřní věci sleduje a aktualizuje právní předpisy EU týkající se kyberkriminality a podporuje kapacity v oblasti prosazování práva. Komise rovněž spolupracuje s Evropským centrem pro boj proti kyberkriminalitě při Europolu.

Kybernetická diplomacie

EU se snaží chránit před kybernetickými hrozbami ze zahraničí. V rámci toho Komise spolupracuje s Evropskou službou pro vnější činnost a členskými státy na provádění společné diplomatické reakce na nepřátelské činnosti v kyberprostoru (dále jen „soubor nástrojů pro diplomacii v oblasti kybernetiky“). Tato reakce zahrnuje diplomatickou spolupráci a dialog, preventivní opatření proti kybernetickým útokům a sankce proti osobám zapojeným do kybernetických útoků ohrožujících EU.

Komise je v případě potřeby nápomocna při rozhodování o reakci na vnější kybernetické hrozby. Rovněž přímo financuje probíhající iniciativu EU na podporu diplomacie v oblasti kybernetiky.

Kybernetická obrana

Dne 10. listopadu 2022 předložili Komise a vysoký představitel společné sdělení o politice EU v oblasti kybernetické obrany s cílem řešit zhoršující se bezpečnostní prostředí v důsledku ruské agrese vůči Ukrajině a posílit schopnost EU chránit své občany a infrastrukturu.  

Politika EU v oblasti kybernetické obrany je postavena na čtyřech pilířích, které pokrývají širokou škálu iniciativ, jež pomohou EU a členským státům lépe odhalovat kybernetické útoky, odrazovat od nich a bránit se proti nim:

1. Společně pro silnější kybernetickou obranu EU

2. Zabezpečení obranného ekosystému

3. Investice do schopností kybernetické obrany

4. Partner pro řešení společných výzev

Nová politika vyzývá k investicím do schopností kybernetické obrany v plném spektru a posílí koordinaci a spolupráci mezi vojenskými a civilními kybernetickými komunitami EU. Posílí spolupráci se soukromým sektorem a účinné řešení kybernetických krizí v rámci Unie. Nová politika rovněž pomůže snížit naši strategickou závislost na kritických kybernetických technologiích a posílit evropskou technologickou průmyslovou základnu obrany (EDTIB). Bude stimulovat odbornou přípravu, přilákat a udržet kybernetické talenty.

EU spolupracuje v oblasti obrany v kyberprostoru prostřednictvím činností Evropské komise, Evropské služby pro vnější činnost (ESVČ), Evropské obranné agentury, jakož i agentury ENISA a Agentury Evropské unie pro spolupráci v oblasti prosazování práva (Europol).

Budování kybernetických kapacit ve třetích zemích

EU spolupracuje s dalšími zeměmi s cílem pomoci jim vybudovat schopnost bránit se kybernetickým hrozbám. Prostřednictvím svého oddělení pro mezinárodní spolupráci a rozvoj podporuje Komise různé programy kybernetické bezpečnosti v zemích procesu rozšíření i v dalších zemích po celém světě.