Cybersikkerhedspolitik

Cybersikkerhedsstrategi

Europa-Kommissionen og Unionens højtstående repræsentant for udenrigsanliggender og sikkerhedspolitik fremlagde en ny EU-strategi for cybersikkerhed ved udgangen af 2020.

Strategien dækker sikkerheden i forbindelse med væsentlige tjenester såsom hospitaler, energinet og jernbaner. Det dækker også sikkerheden af det stadigt stigende antal forbundne objekter i vores hjem, kontorer og fabrikker.

Strategien fokuserer på at opbygge kollektive kapaciteter til at reagere på større cyberangreb og arbejde med partnere rundt om i verden for at sikre international sikkerhed og stabilitet i cyberspace. Den skitserer, hvordan en fælles cyberenhed kan sikre den mest effektive reaktion på cybertrusler ved hjælp af de kollektive ressourcer og ekspertise, der er til rådighed for EU og medlemsstaterne.

Lovgivning og certificering

Direktiv om foranstaltninger til et højt fælles cybersikkerhedsniveau i hele Unionen (NIS2-direktivet)

Cybersikkerhedstrusler er næsten altid grænseoverskridende, og et cyberangreb på et lands kritiske faciliteter kan påvirke EU som helhed. EU-landene skal have stærke statslige organer, der fører tilsyn med cybersikkerhed i deres land, og som samarbejder med deres modparter i andre medlemsstater ved at udveksle oplysninger. Dette er især vigtigt for sektorer, der er kritiske for vores samfund.

Direktivet om net- og informationssystemers sikkerhed (NIS-direktivet), som alle lande nu har gennemført, sikrer oprettelse og samarbejde af sådanne statslige organer. Dette direktiv blev revideret ved udgangen af 2020.

Som følge af revisionsprocessen forelagde Kommissionen den 16. december 2020 forslaget til direktiv om foranstaltninger til et højt fællescybersikkerhedsniveau i hele Unionen (NIS2-direktivet). 

Direktivet blev offentliggjort i Den Europæiske Unions Tidende i december 2022 og træder i kraft den 16. januar 2023. Medlemsstaterne har 21 måneder fra direktivets ikrafttræden til at indarbejde bestemmelserne i deres nationale lovgivning (faktisk dato: 18. oktober 2024).

ENISA — EU's Agentur for Cybersikkerhed

ENISA (Den Europæiske Unions Agentur for Cybersikkerhed) er det EU-agentur, der beskæftiger sig med cybersikkerhed. Den yder støtte til medlemsstaterne, EU-institutionerne og virksomhederne på centrale områder, herunder gennemførelsen af NIS-direktivet.

Lov om cybersikkerhed

Forordningen om cybersikkerhed styrker ENISA's rolle. Agenturet har nu et permanent mandat og har beføjelse til at bidrage til at styrke både det operationelle samarbejde og krisestyringen i hele EU. Det har også flere økonomiske og menneskelige ressourcer end før.

Certificering

Vores digitale liv kan kun fungere godt, hvis der er generel tillid til it-produkters og -tjenesters cybersikkerhed. Det er vigtigt, at vi kan se, at et produkt er blevet kontrolleret og certificeret til at overholde høje cybersikkerhedsstandarder. Der findes i øjeblikket forskellige sikkerhedscertificeringsordninger for IT-produkter i hele EU. Det ville være lettere og klarere for alle at have en fælles certificeringsordning.

Kommissionen arbejder derfor på en EU-dækkende certificeringsramme med ENISA i centrum. Forordningen om cybersikkerhed skitserer processen for at nå denne ramme.

Investeringer

Genopretningsplan

Cybersikkerhed er en af Kommissionens prioriteter i dens reaktion på coronaviruskrisen, da der var øgede cyberangreb under nedlukningen. Genopretningsplanen for Europa omfatter yderligere investeringer i cybersikkerhed.

Støtte til forskning og innovation: Horisont 2020 og cPPP Horisont Europa

Forskning i digital sikkerhed er afgørende for at opbygge innovative løsninger, der kan beskytte os mod de nyeste, mest avancerede cybertrusler. Derfor er cybersikkerhed en vigtig del af Horisont 2020 og dets efterfølger Horisont Europa. 

I Horisont Europa er cybersikkerhed for perioden 2021-2027 en del af klyngen "civil sikkerhed for samfundet". Arbejdsprogrammet for 2021-2022 er i øjeblikket under udarbejdelse.

Som led i Horisont 2020 samfinansierede Kommissionen forskning og innovation i emner som cybersikkerhedsberedskab gennem cyberområder og simulering, cybersikkerhed for små og mellemstore virksomheder, cybersikkerhed i el- og energisystemet samt cybersikkerhed og databeskyttelse i kritiske sektorer. Disse emner hører under klyngen "Sikre samfund — Beskyttelse af Europas og dets borgeres frihed og sikkerhed".

I 2016 blev det kontraktmæssige offentlig-private partnerskab (cPPP) under Horisont 2020 om cybersikkerhed oprettet mellem Europa-Kommissionen og Den Europæiske Cybersikkerhedsorganisation (ECSO), en sammenslutning bestående af medlemmer fra cyberindustrien, den akademiske verden, offentlige forvaltninger og meget mere.

Støtte til cyberkapacitet og -udrulning

Vores fysiske og digitale infrastrukturer er meget tæt forbundne. Derfor har Kommissionen også investeret i cybersikkerhed som en del af sit program for finansiering af infrastrukturinvesteringer, Connecting Europe-faciliteten (CEF), for perioden 2014-2020.

CEF-støtten er gået til beredskabshold for it-sikkerhedshændelser, operatører af væsentlige tjenester (OES), udbydere af digitale tjenester (DSP), centrale kontaktpunkter (SPOC) og nationale kompetente myndigheder. Dette styrker cybersikkerhedskapaciteten og det grænseoverskridende samarbejde i EU og støtter gennemførelsen af EU's strategi for cybersikkerhed.

Programmet for et digitalt Europa er for perioden 2021-2027 et ambitiøst program, der planlægger at investere 1,9 mia. EUR i cybersikkerhedskapacitet og en bred udbredelse af cybersikkerhedsinfrastrukturer og -værktøjer i hele EU til offentlige myndigheder, virksomheder og enkeltpersoner.

Cybersikkerhed er også en del af InvestEU. InvestEU er et generelt program, der samler mange finansielle instrumenter og anvender offentlige investeringer til at sikre yderligere investeringer fra den private sektor. Dens strategiske investeringsfacilitet vil støtte centrale værdikæder inden for cybersikkerhed. Det er en vigtig del af genopretningspakken som reaktion på coronaviruskrisen.

Kompetencecenter og netværk for cybersikkerhed Atlas

Det europæiske industri-, teknologi- og forskningskompetencecenter for cybersikkerhed vil samle ekspertise og tilpasse den europæiske udvikling og udbredelse af cybersikkerhedsteknologi. Den vil samarbejde med industrien, det akademiske samfund og andre om at opbygge en fælles dagsorden for investeringer i cybersikkerhed og træffe afgørelse om finansieringsprioriteter for forskning, udvikling og udrulning af cybersikkerhedsløsninger gennem Horisont Europa og programmet for et digitalt Europa.

I øjeblikket er der fire pilotprojekter i gang for at skabe grundlaget for kompetencecentret og netværket. Der er mere end 170 partnere.

For at få et bedre overblik over cybersikkerhedsekspertise og -kapacitet i hele EU har Kommissionen udviklet en omfattende platform kaldet atlasset for cybersikkerhed.

Politisk vejledning

Plan for koordineret reaktion på større cyberangreb

Kommissionens plan for hurtig beredskab indeholder en plan i tilfælde af en omfattende grænseoverskridende cyberhændelse eller -krise. Den fastlægger målene og metoderne for samarbejde mellem medlemsstaterne og EU-institutionerne om at reagere på sådanne hændelser og kriser. Den forklarer, hvordan eksisterende krisestyringsmekanismer kan gøre fuld brug af eksisterende cybersikkerhedsenheder på EU-plan.

Fælles cyberenhed

Som opfølgning bebudede Kommissionens formand Ursula von der Leyen et forslag om en fælles cyberenhed i hele EU. Henstillingen om oprettelse af den fælles cyberenhed, som Kommissionen bebudede den 23. juni 2021, er et vigtigt skridt i retning af at færdiggøre den europæiske ramme for krisestyring på cybersikkerhedsområdet. Det er et konkret resultat af EU's strategi for cybersikkerhed og EU's strategi for sikkerhedsunionen, der bidrager til en sikker digital økonomi og et sikkert digitalt samfund.

Den fælles cyberenhed vil fungere som en platform til at sikre en EU-koordineret reaktion på omfattende cyberhændelser og -kriser samt tilbyde bistand til genopretning efter disse angreb.

Sikker 5G-indsættelse i EU

5G-net er planlagt til at blive udrullet i hele EU. De vil tilbyde enorme fordele, men også have flere potentielle indgangspunkter for angribere på grund af den mindre centraliserede karakter af deres arkitektur, større antal antenner og øget afhængighed af software. EU's værktøjskasse for 5G indeholder foranstaltninger til at styrke sikkerhedskravene til 5G-net, anvende relevante begrænsninger for leverandører, der betragtes som højrisiko, og sikre diversificering af leverandører.

Sikring af valgprocessen

Vores europæiske demokratier er blevet stadig mere digitale: politiske kampagner finder sted online, og selv valg sker gennem elektronisk afstemning i mange lande. 

Kommissionen har fremsat henstillinger om cybersikkerhed i forbindelse med valg til Europa-Parlamentet som led i en bredere pakke af henstillinger til støtte for frie og retfærdige valg til Europa-Parlamentet. En måned før valget til Europa-Parlamentet i 2019 gennemførte Europa-Parlamentet, EU-landene, Kommissionen og ENISA en levende test af deres beredskab.

Færdigheder og bevidsthed

Færdigheder

Vi kan kun sikre digital sikkerhed, hvis vi har eksperter med den rette viden og de rette færdigheder, og der er i øjeblikket ikke nok. Derfor træffer Kommissionen foranstaltninger til at stimulere udviklingen af cybersikkerhedsfærdigheder.

Kommissionen udarbejdede en opfordring til sammenhængende rammer for undervisning i cybersikkerhedsfærdigheder i universitets- og erhvervsuddannelserne. De fire pilotprojekter, der forbereder ECSO's kompetencecenter og netværk for cybersikkerhed, arbejder i øjeblikket på dette. Der er også tilbagevendende initiativer, der tager direkte sigte på studerende, f.eks. den årlige europæiske cybersikkerhedsudfordring.

Cybersikkerhedsfærdigheder er omfattet af Kommissionens generelle dagsorden om digitale færdigheder. De er også en del af finansieringsindsatsen under Horisont 2020, Horisont Europa og programmet for et digitalt Europa. Et eksempel er finansieringen af "cyber ranges', som er levende simuleringsmiljøer af cybertrusler til træning.

Bevidsthed

Den menneskelige faktor er ofte det svage led i cybersikkerhed: en person, der klikker på et phishing-link, kan have store konsekvenser. Kommissionen øger derfor bevidstheden om cybersikkerhed og fremmer bedste praksis blandt den brede offentlighed. F.eks. tilrettelægger den en gang om året den europæiske cybersikkerhedsmåned sammen med ENISA.

Cyberfællesskab

ENISA — EU's Agentur for Cybersikkerhed

ENISA er EU's agentur, der beskæftiger sig med cybersikkerhed. Den yder støtte til medlemsstaterne, EU-institutionerne og virksomhederne på centrale områder, herunder gennemførelsen af NIS-direktivet.

ISAC'er

Informationsdelings- og analysecentre (ISAC'er) fremmer samarbejdet mellem cybersikkerhedssamfundet i forskellige sektorer af økonomien. En yderligere udvikling af ISAC'er på både EU-plan og nationalt plan er en prioritet for Kommissionen. I samarbejde med ENISA fremmer Kommissionen også oprettelsen af nye ISAC'er i sektorer, der ikke er omfattet. Det "styrkende EU ISAC-konsortium", som Kommissionen fører tilsyn med, yder juridisk, teknisk og organisatorisk støtte til ISAC'er.

FFC

Kommissionens Fælles Forskningscenter (JRC) bidrager aktivt til cybersikkerhed i EU. FFC har f.eks. udviklet en taksonomi for cybersikkerhed. Dette tilpasser den terminologi, der anvendes inden for cybersikkerhed, så vi kan få et klarere overblik over cybersikkerhedskapaciteterne i EU.

FFC offentliggjorde også for nylig en rapport, der giver indsigt i EU's nuværende cybersikkerhedslandskab og dets historie med titlen "Cybersikkerhed — vores digitale anker".

CSIRT'er/CERT'er

I henhold til NIS-direktivet skal EU's medlemsstater sikre, at de har velfungerende it-sikkerhedshændelseshold ("CSIRT'er"), også kendt som it-beredskabshold ("CERT'er"). Disse teams beskæftiger sig med cybersikkerhedshændelser og -risici i praksis. De samarbejder med hinanden på EU-plan og samarbejder også med den private sektor. Alle typer operatører af væsentlige tjenester og udbydere af digitale tjenester skal være omfattet af udpegede CSIRT'er.

CSIRT'ernes vigtigste opgaver er:

• overvågning af hændelser på nationalt plan
• tilvejebringelse af tidlig varsling, varslinger, meddelelser og andre oplysninger om risici og hændelser til relevante interessenter
• reaktion på hændelser;
• dynamisk analyse af risici og hændelser og situationsbevidsthed
• deltagelse i CSIRT-netværket.

ECSO

Den Europæiske Organisation for Cybersikkerhed (ECSO) blev oprettet i 2016 for at fungere som Kommissionens modpart i et kontraktligt offentlig-privat partnerskab, der dækker Horisont 2020 i årene 2016-2020. Størstedelen af ECSO'ens 250 medlemmer tilhører enten cybersikkerhedsindustrien eller forsknings- og akademiske institutioner på området. I mindre grad omfatter ECSO's medlemmer også aktører fra den offentlige sektor og industrier på efterspørgselssiden.

Ud over at fremsætte anbefalinger vedrørende Horisont 2020 gennemfører ECSO forskellige aktiviteter med henblik på opbygning af lokalsamfund og industriel udvikling på europæisk plan.

Kvinder4Cyber

Det er vigtigt at fremhæve den rolle, som kvinder spiller i cybersikkerhedssamfundet, som er underrepræsenteret. Derfor har Kommissionen oprettet Women4Cyber- registret i samarbejde med ECSO's Women4Cyber-initiativ. Det gør det lettere for medierne, eventarrangørerne og andre at finde de mange talentfulde kvinder, der arbejder inden for cybersikkerhed, så disse kvinder bliver mere synlige og fremtrædende i cybermiljøet og den offentlige debat.

Andre cyberpolitikområder

Cyberkriminalitet

Almindelige kriminelle gør brug af cyberangreb, der truer europæerne. Kommissionens afdeling for migration og indre anliggender overvåger og ajourfører EU-lovgivningen om it-kriminalitet og støtter retshåndhævelseskapaciteten. Kommissionen samarbejder også med Det Europæiske Center til Bekæmpelse af IT-Kriminalitet i Europol.

Cyberdiplomati

EU gør en indsats for at beskytte sig mod cybertrusler uden for sine grænser. Som en del af dette samarbejder Kommissionen med Tjenesten for EU's Optræden Udadtil og medlemsstaterne om gennemførelsen af en fælles diplomatisk reaktion på ondsindede cyberaktiviteter ("cyberdiplomativærktøjskassen"). Denne reaktion omfatter diplomatisk samarbejde og dialog, forebyggende foranstaltninger mod cyberangreb og sanktioner mod dem, der er involveret i cyberangreb, der truer EU.

Kommissionen bistår med beslutningstagningen om reaktion på eksterne cybertrusler, hvor det er nødvendigt. Den finansierer også direkte det igangværende EU-initiativ til støtte for cyberdiplomati.

Cyberforsvar

Den 10. november 2022 fremlagde Kommissionen og den højtstående repræsentant en fælles meddelelse om en EU-cyberforsvarspolitik for at tackle det forværrede sikkerhedsmiljø efter Ruslands aggression mod Ukraine og styrke EU's evne til at beskytte sine borgere og infrastruktur.  

EU's politik for cyberforsvar bygger på fire søjler, der dækker en lang række initiativer, der vil hjælpe EU og medlemsstaterne med bedre at kunne opdage, afskrække fra og forsvare sig mod cyberangreb:

1. HANDLE SAMMEN OM ET STÆRKERE CYBERFORSVAR I EU

2. SIKRING AF FORSVARSØKOSYSTEMET

3. INVESTERE I CYBERFORSVARSKAPACITETER

4. PARTNER TIL AT TACKLE FÆLLES UDFORDRINGER

Den nye politik opfordrer til investeringer i fuldt spektrum cyberforsvarskapaciteter og vil styrke koordineringen og samarbejdet mellem EU's militære og civile cybersamfund. Det vil styrke samarbejdet med den private sektor og effektiv cyberkrisestyring i Unionen. Den nye politik vil også bidrage til at mindske vores strategiske afhængighed af kritiske cyberteknologier og styrke den europæiske forsvarsteknologiske industribase (EDTIB). Det vil stimulere uddannelse, tiltrække og fastholde cybertalenter.

EU samarbejder om forsvar i cyberspace gennem aktiviteterne i Europa-Kommissionen, Tjenesten for EU's Optræden Udadtil (EU-Udenrigstjenesten), Det Europæiske Forsvarsagentur samt ENISA og Den Europæiske Unions Agentur for Retshåndhævelsessamarbejde (Europol).

Opbygning af cyberkapacitet i tredjelande

EU samarbejder med andre lande om at hjælpe med at opbygge deres kapacitet til at forsvare sig mod cybersikkerhedstrusler. Kommissionen støtter forskellige cybersikkerhedsprogrammer i det vestlige Balkan og de seks østlige partnerskabslande i EU's umiddelbare naboskabsområde samt i andre lande verden over gennem sin afdeling for internationalt samarbejde og udvikling.