Strategie kybernetické bezpečnosti
Evropská komise a vysoká představitelka Unie pro zahraniční věci a bezpečnostní politiku představily koncem roku 2020 novou strategii kybernetické bezpečnosti EU.
Strategie zahrnuje bezpečnost základních služeb, jako jsou nemocnice, energetické sítě a železnice. Pokrývá také bezpečnost stále rostoucího počtu propojených objektů v našich domácnostech, kancelářích a továrnách.
Strategie se zaměřuje na budování kolektivních schopností reagovat na závažné kybernetické útoky a na spolupráci s partnery po celém světě s cílem zajistit mezinárodní bezpečnost a stabilitu v kyberprostoru. Nastiňuje, jak může společná kybernetická jednotka zajistit co nejúčinnější reakci na kybernetické hrozby s využitím společných zdrojů a odborných znalostí, které má EU a členské státy k dispozici.
Právní předpisy a certifikace
Směrnice o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii (směrnice o bezpečnosti sítí a informací 2)
Hrozby kybernetické bezpečnosti jsou téměř vždy přeshraniční a kybernetický útok na kritické zařízení jedné země může mít dopad na EU jako celek. Země EU musí mít silné vládní orgány, které dohlížejí na kybernetickou bezpečnost v jejich zemi a které spolupracují se svými protějšky v jiných členských státech prostřednictvím sdílení informací. To je obzvláště důležité pro odvětví, která mají pro naši společnost zásadní význam.
Směrnice o bezpečnosti sítí a informačních systémů (směrnice o bezpečnosti sítía informací), kterou nyní zavedly všechny země, zajišťuje vytvoření a spolupráci těchto vládních orgánů. Tato směrnice byla přezkoumána na konci roku 2020.
V důsledku přezkumu předložila Komise dne 16. prosince 2020 návrh směrnice o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnostiv Unii (směrniceo bezpečnosti sítí a informací).
Směrnice byla zveřejněna v Úředním věstníku Evropské unie v prosinci 2022 a vstoupila v platnost dne 16. ledna 2023. Členské státy budou mít 21 měsíců od vstupu této směrnice v platnost, aby tato ustanovení začlenily do svých vnitrostátních právních předpisů (skutečné datum: Října 2024).
ENISA – Agentura EU pro kybernetickou bezpečnost
ENISA (Agentura Evropské unie pro kybernetickou bezpečnost) je agentura EU zabývající se kybernetickou bezpečností. Poskytuje podporu členským státům, orgánům EU a podnikům v klíčových oblastech, včetně provádění směrnice o bezpečnosti sítí a informací.
Zákon o kybernetické odolnosti
Návrh nařízení o požadavcích na kybernetickou bezpečnost produktů s digitálními prvky, známý jako zákon o kybernetické odolnosti, posiluje pravidla kybernetické bezpečnosti s cílem zajistit bezpečnější hardwarové a softwarové produkty.
Akt o kybernetické bezpečnosti
Akt o kybernetické bezpečnosti posiluje úlohu agentury ENISA. Agentura má nyní stálý mandát a je oprávněna přispívat k posílení operativní spolupráce a řešení krizí v celé EU. Má také více finančních a lidských zdrojů než dříve. Dne 18. dubna 2023 navrhla Komise cílenou změnu aktu EU o kybernetické bezpečnosti.
Zákon o kybernetické solidaritě
Dne 18. dubna 2023 navrhla Evropská komise akt EU o kybernetické solidaritě s cílem zlepšit reakci na kybernetické hrozby v celé EU. Návrh bude zahrnovat evropský štít pro kybernetickou bezpečnost a komplexní mechanismus pro kybernetické mimořádné situace s cílem vytvořit lepší metodu kybernetické obrany.
Certifikace
Náš digitální život může dobře fungovat pouze tehdy, existuje-li široká veřejnost důvěry v kybernetickou bezpečnost IT produktů a služeb. Je důležité, abychom viděli, že produkt byl kontrolován a certifikován tak, aby splňoval vysoké standardy kybernetické bezpečnosti. V současné době existují v celé EU různé systémy certifikace bezpečnosti pro IT produkty. Mít jednotný společný systém certifikace by bylo jednodušší a jasnější pro všechny.
Komise proto pracuje na celounijním certifikačním rámci, jehož jádrem je agentura ENISA. Akt o kybernetické bezpečnosti nastiňuje proces dosažení tohoto rámce.
Investice
Plán obnovy
Kybernetická bezpečnost je jednou z priorit Komise v reakci na koronavirovou krizi, neboť během omezení volného pohybu osob došlo k nárůstu kybernetických útoků. Plán na podporu oživení Evropy zahrnuje další investice do kybernetické bezpečnosti.
Podpora výzkumu a inovací: Horizont 2020 a partnerství veřejného a soukromého sektoru; Horizont Evropa
Výzkum v oblasti digitální bezpečnosti je nezbytný pro vytváření inovativních řešení, která nás mohou chránit před nejnovějšími, nejpokročilejšími kybernetickými hrozbami. Proto je kybernetická bezpečnost důležitou součástí programu Horizont 2020 a jeho nástupnického programu Horizont Evropa.
V programu Horizont Evropa je kybernetická bezpečnost na období 2021–2027 součástí klastru „Civilní bezpečnost pro společnost“.
V rámci programu Horizont 2020 Komise spolufinancovala výzkum a inovace týkající se témat, jako je připravenost na kybernetickou bezpečnost prostřednictvím kybernetických rozsahů a simulace, kybernetická bezpečnost pro malé a střední podniky, kybernetická bezpečnost v elektrickém a energetickém systému a kybernetická bezpečnost a ochrana údajů v kritických odvětvích. Tato témata spadají do klastru „Bezpečná společnost – ochrana svobody a bezpečnosti Evropy a jejích občanů“.
V roce 2016 bylo mezi Evropskou komisí a Evropskou organizací pro kybernetickou bezpečnost ( ECSO), sdružením složeným z členů z kybernetického průmyslu, akademické obce, veřejné správy a dalších.
Podpora kybernetických kapacit a zavádění
Naše fyzické a digitální infrastruktury jsou velmi úzce propojeny. Komise proto investovala do kybernetické bezpečnosti v rámci svého programu financování investic do infrastruktury, nástroje pro propojení Evropy, na období 2014–2020.
Podpora Nástroje pro propojení Evropy byla poskytnuta týmům pro reakci na počítačové bezpečnostní incidenty, provozovatelům základních služeb, poskytovatelům digitálních služeb, jednotným kontaktním místům (SPOC) a příslušným vnitrostátním orgánům. To posiluje schopnosti kybernetické bezpečnosti a přeshraniční spolupráci v rámci EU a podporuje provádění strategie kybernetické bezpečnosti EU.
Program Digitální Evropa na období 2021–2027 je ambiciózní program, který plánuje investovat 1,9 miliardy EUR do kapacity kybernetické bezpečnosti a širokého zavádění infrastruktur a nástrojů kybernetické bezpečnosti v celé EU pro orgány veřejné správy, podniky a jednotlivce.
Součástí InvestEU je také kybernetická bezpečnost. InvestEU je obecný program, který sdružuje mnoho finančních nástrojů a využívá veřejné investice k zajištění dalších investic ze soukromého sektoru. Její strategický investiční nástroj podpoří klíčové hodnotové řetězce v oblasti kybernetické bezpečnosti. Je důležitou součástí balíčku opatření na podporu oživení v reakci na koronavirovou krizi.
Centrum kompetencí pro kybernetickou bezpečnost a síť; Atlas
Evropské průmyslové, technologické a výzkumné centrum kompetencí pro kybernetickou bezpečnost bude sdílet odborné znalosti a sladit evropský vývoj a zavádění technologií kybernetické bezpečnosti. Bude spolupracovat s průmyslem, akademickou obcí a dalšími subjekty na vytvoření společného programu pro investice do kybernetické bezpečnosti a rozhodování o prioritách financování výzkumu, vývoje a zavádění řešení v oblasti kybernetické bezpečnosti prostřednictvím programů Horizont Evropa a Digitální Evropa.
V současné době probíhají čtyři pilotní projekty, které pokládají základy kompetenčního centra a sítě. Jedná se o více než 170 partnerů.
Pro lepší přehled odborných znalostí a kapacit v oblasti kybernetické bezpečnosti v celé EU vytvořila Komise komplexní platformu s názvem Atlas kybernetické bezpečnosti.
Politické pokyny
Plán koordinované reakce na závažné kybernetické útoky
Plán Komise pro rychlou reakci na mimořádné události poskytuje plán v případě rozsáhlého přeshraničního kybernetického incidentu nebo krize. Stanoví cíle a způsoby spolupráce mezi členskými státy a orgány EU při řešení těchto incidentů a krizí. Vysvětluje, jak mohou stávající mechanismy krizového řízení plně využívat stávající subjekty kybernetické bezpečnosti na úrovni EU.
Společná kybernetická jednotka
V návaznosti na to předsedkyně Komise Ursula von der Leyenová oznámila návrh na celounijní společnou kybernetickou jednotku. Doporučení o vytvoření společné kybernetické jednotky, které Komise oznámila dne 23. června 2021, je důležitým krokem k dokončení evropského rámce pro řešení krizí v oblasti kybernetické bezpečnosti. Jedná se o konkrétní výstup strategie kybernetické bezpečnosti EU a strategie bezpečnostní unie EU, který přispívá k bezpečné digitální ekonomice a společnosti.
Společná kybernetická jednotka bude působit jako platforma, která zajistí koordinovanou reakci EU na rozsáhlé kybernetické incidenty a krize a nabídne pomoc při zotavení z těchto útoků.
Bezpečné zavádění sítí 5G v EU
V celé EU se plánuje zavedení sítí 5G. Nabízejí obrovské výhody, ale mají také více potenciálních vstupních bodů pro útočníky kvůli méně centralizované povaze jejich architektury, většímu počtu antén a zvýšené závislosti na softwaru. Soubor nástrojů EU pro sítě 5G stanoví opatření k posílení bezpečnostních požadavků na sítě 5G, uplatňování příslušných omezení pro dodavatele považované za vysoce rizikové a zajištění diverzifikace prodejců.
Zajištění volebního procesu
Naše evropské demokracie se staly stále digitálnějšími: politické kampaně se konají on-line a volby se konají prostřednictvím elektronického hlasování v mnoha zemích.
Komise vydala doporučení týkající se kybernetické bezpečnosti voleb do Evropského parlamentu jako součást širšího balíčku doporučení na podporu svobodných a spravedlivých voleb do Evropského parlamentu. Měsíc před volbami do Evropského parlamentu v roce 2019 provedly Evropský parlament, země EU, Komise a ENISA živý test jejich připravenosti.
Dovednosti a povědomí
Dovednosti
Digitální bezpečnost můžeme zajistit pouze tehdy, máme-li odborníky se správnými znalostmi a dovednostmi a v současné době jich není dost. Proto Komise podniká kroky na podporu rozvoje dovedností v oblasti kybernetické bezpečnosti.
Komise připravila výzvu k vytvoření soudržného rámce pro výuku dovedností v oblasti kybernetické bezpečnosti ve vysokoškolském a odborném vzdělávání. V současné době na tom pracují čtyři pilotní projekty, které připravují centrum kompetencí pro kybernetickou bezpečnost a síť ECSO. Existují také opakující se iniciativy určené přímo studentům, jako je každoroční evropská výzva v oblasti kybernetické bezpečnosti.
Dovednosti v oblasti kybernetické bezpečnosti spadají do obecné agendy Komise v oblasti digitálních dovedností. Jsou rovněž součástí úsilí o financování v rámci programu Horizont 2020, Horizont Evropa a programu Digitální Evropa. Jedním z příkladů je financování „kybernetických rozsahů“, což jsou živé simulační prostředí kybernetických hrozeb pro výcvik.
Uvědomění
Lidský faktor je často slabým článkem v oblasti kybernetické bezpečnosti: někdo, kdo klikne na phishingový odkaz, může mít obrovské důsledky. Komise proto zvyšuje povědomí o kybernetické bezpečnosti a podporuje osvědčené postupy mezi širokou veřejností. Jednou ročně pořádá Evropský měsíc kybernetické bezpečnosti společně s agenturou ENISA.
Akademie dovedností EU v oblasti kybernetické bezpečnosti
Akademie dovedností v oblasti kybernetické bezpečnosti, která byla zahájena v rámci Evropského roku dovedností, bude sdružovat soukromé a veřejné iniciativy na evropské a vnitrostátní úrovni s cílem řešit mezeru v pracovní síle v oblasti kybernetické bezpečnosti. Iniciativa bude probíhat on-line na platformě Komise pro pracovní místa a dovednosti a bude obsahovat možnosti financování, školení a certifikace z celé EU pro ty, kteří mají zájem o kariéru v oblasti kybernetické bezpečnosti.
Sdělení o Akademii kybernetických dovedností EU
Informativní přehled Akademie kybernetických dovedností EU
Kybernetická komunita
ENISA – Agentura EU pro kybernetickou bezpečnost
Agentura ENISA je agenturou EU zabývající se kybernetickou bezpečností. Poskytuje podporu členským státům, orgánům EU a podnikům v klíčových oblastech, včetně provádění směrnice o bezpečnosti sítí a informací.
ISAC
Centra pro sdílení a analýzu informací (ISAC) podporují spolupráci mezi kybernetickou bezpečností v různých odvětvích hospodářství. Další rozvoj ISAC na úrovni EU i na vnitrostátní úrovni je prioritou Komise. Ve spolupráci s agenturou ENISA Komise rovněž podporuje zřizování nových středisek ISAC v odvětvích, která nejsou zahrnuta. „Posílení EU ISACs konsorcium“, pod dohledem Komise, poskytuje právní, technickou a organizační podporu ISAC.
SPOLEČNÉ VÝZKUMNÉ STŘEDISKO
Společné výzkumné středisko Komise aktivně přispívá k kybernetické bezpečnosti v EU. Například Společné výzkumné středisko vypracovalo taxonomii kybernetické bezpečnosti. To sjednocuje terminologii používanou v oblasti kybernetické bezpečnosti, abychom mohli mít jasnější přehled o schopnostech v oblasti kybernetické bezpečnosti v EU.
Společné výzkumné středisko rovněž nedávno zveřejnilo zprávu, která poskytuje přehled o současném prostředí kybernetické bezpečnosti EU a její historii s názvem „Kybernetická bezpečnost – naše digitální kotva“.
Týmy CSIRT/CERT
Podle směrnice o bezpečnosti sítí a informací jsou členské státy EU povinny zajistit, aby měly řádně fungující skupiny pro reakci na počítačové bezpečnostní incidenty (CSIRT), známé také jako skupiny pro reakci na počítačové hrozby (CERT). Tyto týmy poskytují řešení kybernetických bezpečnostních incidentů a rizik v praxi. Spolupracují mezi sebou na úrovni EU a spolupracují také se soukromým sektorem.
Na všechny typy provozovatelů základních služeb a poskytovatelů digitálních služeb se musí vztahovat určené týmy CSIRT.
Hlavními úkoly týmů CSIRT jsou:
- sledování incidentů na vnitrostátní úrovni;
- poskytování včasného varování, varování, oznámení a dalších informací o rizicích a incidentech příslušným zúčastněným stranám;
- reakce na incidenty;
- poskytování dynamické analýzy rizik a incidentů a informovanosti o situaci;
- účast v síti CSIRT.
ECSO
Evropská organizace pro kybernetickou bezpečnost (ECSO) byla založena v roce 2016 s cílem působit jako protějšek Komise ve smluvním partnerství veřejného a soukromého sektoru zahrnujícím program Horizont 2020 v letech 2016 až 2020. Většina z 250 členů ECSO patří buď do odvětví kybernetické bezpečnosti, nebo do výzkumných a akademických institucí v této oblasti. V menší míře jsou členy ECSO rovněž subjekty veřejného sektoru a odvětví na straně poptávky.
Kromě doporučení k programu Horizont 2020 provádí ECSO různé činnosti zaměřené na budování komunit a průmyslový rozvoj na evropské úrovni.
Women4Cyber
Je důležité zdůraznit úlohu žen v komunitě kybernetické bezpečnosti, které jsou nedostatečně zastoupeny. Proto Komise zřídila registr Women4Cyber ve spolupráci s iniciativou ECSO Women4Cyber. Sdělovacím prostředkům, organizátorům akcí a dalším usnadňuje najít mnoho talentovaných žen pracujících v oblasti kybernetické bezpečnosti, aby se tyto ženy staly viditelnějšími a významnějšími v kybernetické komunitě a ve veřejné debatě.
Další oblasti kybernetické politiky
Kyberkriminalita
Běžní zločinci využívají kybernetických útoků, které ohrožují Evropany. Oddělení Komise pro migraci a vnitřní věci sleduje a aktualizuje právní předpisy EU v oblasti kyberkriminality a podporuje kapacity donucovacích orgánů. Komise rovněž spolupracuje s Evropským střediskem pro boj proti kyberkriminalitě v Europolu.
Kybernetická diplomacie
EU se snaží chránit před kybernetickými hrozbami mimo své hranice. V rámci toho Komise spolupracuje s Evropskou službou pro vnější činnost a členskými státy na provádění společné diplomatické reakce na nepřátelské činnosti v kyberprostoru (dále jen „soubor nástrojů pro kybernetickou diplomacii“). Tato reakce zahrnuje diplomatickou spolupráci a dialog, preventivní opatření proti kybernetickým útokům a sankce vůči osobám zapojeným do kybernetických útoků ohrožujících EU.
Komise je nápomocna při rozhodování o reakci na vnější kybernetické hrozby v případě potřeby. Rovněž přímo financuje probíhající iniciativu EU na podporu diplomacie v oblasti kybernetiky.
Kybernetická obrana
Dne 10. listopadu 2022 předložily Komise a vysoká představitelka společné sdělení o politice EU v oblasti kybernetické obrany s cílem řešit zhoršující se bezpečnostní prostředí v důsledku ruské agrese vůči Ukrajině a posílit schopnost EU chránit své občany a infrastrukturu.
Politika EU v oblasti kybernetické obrany je založena na čtyřech pilířích, které zahrnují širokou škálu iniciativ, které pomohou EU a členským státům lépe odhalovat kybernetické útoky, odrazovat od nich a bránit se proti nim:
1. Společně zasazujte se o silnější kybernetickou obranu EU
2. Zabezpečení obranného ekosystému
3. Investice do schopností kybernetické obrany
4. Partner pro řešení společných výzev
Nová politika vyžaduje investice doschopností kybernetické obrany s plným spektrem a posílí koordinaci a spolupráci mezi vojenskými a civilními kybernetickými komunitami EU. Posílí spolupráci se soukromým sektorem a účinné řízení kybernetických krizí v rámci Unie. Nová politika rovněž pomůže snížit naši strategickou závislost na kritických kybernetických technologiích a posílit evropskou technologickou základnu obrany (EDTIB). Bude stimulovat školení, přilákání a udržení kybernetických talentů.
EU spolupracuje v oblasti obrany v kyberprostoru prostřednictvím činností Evropské komise, Evropské služby pro vnějšíčinnost (ESVČ), Evropské obranné agentury, jakož i agentury ENISA a Agentury Evropské unie pro spolupráci v oblasti prosazování práva (Europol).
Budování kybernetických kapacit ve třetích zemích
EU spolupracuje s dalšími zeměmi, aby pomohla budovat jejich schopnost bránit se proti kybernetickým hrozbám. Komise podporuje různé programy kybernetické bezpečnosti na západním Balkáně a v šesti zemích východního partnerství v bezprostředním sousedství EU, jakož i v dalších zemích po celém světě prostřednictvím svého oddělení pro mezinárodní spolupráci a rozvoj.
Nejnovější zprávy
Knihovna
- 26-03-2024Společné prohlášení z druhého zasedání Rady pro digitální partnerství Evropské unie – Korejské republiky
- 20-03-2024Srovnávací posouzení harmonizace hlášení kybernetických incidentů podle zprávy spolkové vlády a pravidel pro hlášení incidentů ve směrnici o bezpečnosti sítí a informací 2
- 21-02-2024Bílá kniha – Jak zvládnout potřeby evropské digitální infrastruktury?
Konzultace
- 21-02-2024 - 30-06-2024Konzultace k bílé knize: „Jak zvládnout potřeby evropské digitální infrastruktury?“
- 13-02-2024 - 05-03-2024Hodnocení aktu o kybernetické bezpečnosti
- 16-03-2022 - 25-05-2022Akt o kybernetické odolnosti
Související obsah
Souvislosti
EU nastínila strategii kybernetické bezpečnosti s cílem posílit schopnost Evropy bojovat proti kybernetickým útokům a zotavit se z nich.
Hlubší pohled
Akt EU o kybernetické solidaritě zlepší připravenost, odhalování a reakci na kybernetické incidenty v celé EU.
Nová pravidla EU v oblasti kybernetické bezpečnosti zajišťují bezpečnější hardware a software.
Provozovatelé základních služeb (OES), vnitrostátních certifikačních orgánů pro kybernetickou bezpečnost (NCCA) a příslušných vnitrostátních orgánů pro kybernetickou bezpečnost jsou mezi vybranými žadateli, kteří obdrží finanční prostředky ve výši 11 milionů EUR z výzvy Nástroje...
Evropská síť pro kybernetickou bezpečnost a centrum kompetencí pro kybernetickou bezpečnost pomáhají EU zachovat a rozvíjet technologické a průmyslové kapacity v oblasti kybernetické bezpečnosti.
Skupina zúčastněných stran pro certifikaci kybernetické bezpečnosti byla zřízena za účelem poskytování poradenství ve strategických otázkách týkajících se certifikace kybernetické bezpečnosti.
Akt o kybernetické bezpečnosti posiluje Agenturu EU pro kybernetickou bezpečnost (ENISA) a zavádí rámec pro certifikaci kybernetické bezpečnosti pro produkty a služby.
Rámec EU pro certifikaci kybernetické bezpečnosti pro produkty IKT umožňuje vytvořit na míru uzpůsobené systémy certifikace EU založené na rizicích.
Směrnice o bezpečnosti sítí a informací je celounijní legislativou v oblasti kybernetické bezpečnosti. Poskytuje právní opatření ke zvýšení celkové úrovně kybernetické bezpečnosti v EU.
Viz také
Cílem strategie kybernetické bezpečnosti EU je vybudovat odolnost vůči kybernetickým hrozbám a zajistit, aby občané a podniky těžili z důvěryhodných digitálních technologií.
Související obsah
Kybernetická bezpečnost v programu DIGITAL Europe
Program Digitální Evropa pomůže EU dosáhnout vysoké společné úrovně kybernetické bezpečnosti.