Betænkning om cybersikkerhed og robusthed i EU's kommunikationsinfrastrukturer og -net

Som opfølgning på Nevers Call af 9. marts 2022 og med udgangspunkt i det koordinerede arbejde, der allerede er gjort på EU-plan for at styrke sikkerheden i 5G-net, gennemførte medlemsstaterne en risikovurdering af Europas kommunikationsinfrastrukturer og -net. 

Denne risikovurdering identificerede en række trusler mod kommunikationsnetværk og -infrastruktur, såsom viskere, ransomware-angreb, angreb i forsyningskæden, fysiske angreb, sabotage osv. Disse trusler, der udnytter sårbarheder, kan udgøre en betydelig risiko for konnektivitetsinfrastrukturens sikkerhed og modstandsdygtighed. På grundlag af disse resultater og ud over de ni risikoscenarier, der allerede er identificeret i EU's Koordinatd-risikovurdering af 5G-net, udvikler rapporten ti risikoscenarier af strategisk betydning for Unionen, f.eks. et angreb i forsyningskæden for at få adgang til operatørernes infrastruktur eller et koordineret fysisk sabotageangreb på digital infrastruktur.

For at afbøde disse risici fremsætter rapporten en række strategiske og tekniske henstillinger til medlemsstaterne, Kommissionen og ENISA, der skal gennemføres med støtte fra Sammenslutningen af Europæiske Tilsynsmyndigheder inden for Elektronisk Kommunikation. Med hensyn til strategiske aspekter anbefales det i rapporten at:

• Vurdere de internationale sammenkoblingers modstandsdygtighed
• Vurdere den centrale internetinfrastrukturs kritikalitet, modstandsdygtighed og redundans, f.eks. undersøiske kabler
• Gennemføre anbefalingerne vedrørende leverandører i den anden statusrapport om gennemførelsen af EU-værktøjskassen
• Skabe gennemsigtighed i landskabet for leverandører og administrerede udbydere af sikkerhedstjenester eller udbydere af forvaltede sikkerhedstjenester, der anvendes til faste net, fiberteknologi, undersøiske kabler, satellitnet og andre vigtige IKT-leverandører
• Inddrage den elektroniske kommunikationssektor i cyberøvelser og operationelt samarbejde
• Fremme informationsudveksling og forbedre situationsbevidstheden om trusler for operatører
• Yde finansiel støtte til operatører til tekniske foranstaltninger mod cyberangreb i deres netværk
• Udveksle god praksis mellem nationale myndigheder om fysiske angreb på digital infrastruktur
• Udvide den fysiske stresstest af kritisk infrastruktur til også at omfatte digital infrastruktur.

I betragtning af den kritiske karakter af de infrastrukturer og netværk, der er omfattet af denne rapport, og i betragtning af det hastigt voksende trusselsbillede og med forbehold af medlemsstaternes beføjelser med hensyn til national sikkerhed opfordres medlemsstaterne, Kommissionen og ENISA til at gennemføre disse resiliensfremmende foranstaltninger så hurtigt som muligt på grundlag af det arbejde, der allerede er påbegyndt med gennemførelsen af nogle af henstillingerne.

Baggrund

9. marts 2022 resulterede det uformelle rådsmøde mellem telekommunikationsministrene i Nevers (Frankrig) i en fælles opfordring til at styrke EU's cybersikkerhedskapacitet. I punkt 4 i indkaldelsen anmodes de relevante nationale myndigheder såsom Sammenslutningen af Europæiske Tilsynsmyndigheder inden for Elektronisk Kommunikation (BEREC), ENISA og NIS-samarbejdsgruppen om at fremsætte henstillinger til EU's medlemsstater og Kommissionen på grundlag af en risikovurdering med henblik på at styrke modstandsdygtigheden i EU's kommunikationsinfrastrukturer og -net.