Cybersikkerhedspolitik

Cybersikkerhedsstrategi

Europa-Kommissionen og Unionens højtstående repræsentant for udenrigsanliggender og sikkerhedspolitik fremlagde en ny EU-strategi for cybersikkerhed ved udgangen af 2020.

Strategien dækker sikkerheden i forbindelse med væsentlige tjenester såsom hospitaler, energinet og jernbaner. Det dækker også sikkerheden for det stadigt stigende antal tilsluttede objekter i vores hjem, kontorer og fabrikker.

Strategien fokuserer på at opbygge kollektive kapaciteter til at reagere på større cyberangreb og arbejde med partnere rundt om i verden for at sikre international sikkerhed og stabilitet i cyberspace. Den skitserer, hvordan en fælles cyberenhed kan sikre den mest effektive reaktion på cybertrusler ved hjælp af de kollektive ressourcer og den ekspertise, der er til rådighed for EU og medlemsstaterne.

Lovgivning og certificering

Direktiv om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen (NIS2-direktivet)

Cybersikkerhedstrusler er næsten altid grænseoverskridende, og et cyberangreb på et lands kritiske faciliteter kan påvirke EU som helhed. EU-landene skal have stærke regeringsorganer, der fører tilsyn med cybersikkerhed i deres land, og som arbejder sammen med deres modparter i andre medlemsstater ved at udveksle oplysninger. Dette er især vigtigt for sektorer, der er afgørende for vores samfund.

Direktivet om net- og informationssystemers sikkerhed (NIS-direktivet), som alle lande nu har gennemført, sikrer oprettelsen af og samarbejdet mellem sådanne statslige organer. Dette direktiv blev revideret ved udgangen af 2020.

Som følge af revisionsprocessen blev forslaget til direktiv om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen (NIS2-direktivet) forelagt af Kommissionen den 16. december 2020. 

Direktivet blev offentliggjort i Den Europæiske Unions Tidende i december 2022 og trådte i kraft den 16. januar 2023. Medlemsstaterne har en frist på 21 måneder fra direktivets ikrafttræden til at indarbejde bestemmelserne i deres nationale lovgivning (faktisk dato: 18. oktober 2024).

ENISA — EU's cybersikkerhedsagentur

ENISA (Den Europæiske Unions Agentur for Cybersikkerhed) er det EU-agentur, der beskæftiger sig med cybersikkerhed. Den yder støtte til medlemsstater, EU-institutioner og virksomheder på centrale områder, herunder gennemførelsen af NIS-direktivet.

Forordningen om cyberrobusthed

Forslaget til forordning om cybersikkerhedskrav til produkter med digitale elementer, kendt som forordningen om cyberrobusthed, styrker cybersikkerhedsreglerne for at sikre mere sikre hardware- og softwareprodukter.

Lov om cybersikkerhed

Forordningen om cybersikkerhed styrker ENISA's rolle. Agenturet har nu et permanent mandat og har beføjelse til at bidrage til at intensivere både det operationelle samarbejde og krisestyringen i hele EU. Det har også flere økonomiske og menneskelige ressourcer end tidligere. Den 18. april 2023 foreslog Kommissionen en målrettet ændring af EU's retsakt om cybersikkerhed.

Lov om cybersolidaritet

Den 18. april 2023 foreslog Europa-Kommissionen EU's retsakt om cybersolidaritet for at forbedre reaktionen på cybertrusler i hele EU. Forslaget vil omfatte et europæisk værn om cybersikkerhed og en omfattende cyberberedskabsmekanisme for at skabe en bedre cyberforsvarsmetode.

Certificering

Vores digitale liv kan kun fungere godt, hvis der er offentlighedens tillid til cybersikkerheden i forbindelse med IT-produkter og -tjenester. Det er vigtigt, at vi kan se, at et produkt er blevet kontrolleret og certificeret til at overholde høje cybersikkerhedsstandarder. Der findes i øjeblikket forskellige sikkerhedscertificeringsordninger for IT-produkter rundt om i EU. Det ville være lettere og tydeligere for alle at have en fælles certificeringsordning.

Kommissionen arbejder derfor på en EU-dækkende certificeringsramme med ENISA i centrum. Forordningen om cybersikkerhed skitserer processen for at nå denne ramme.

Investering

Genopretningsplan

Cybersikkerhed er en af Kommissionens prioriteter i dens reaktion på coronaviruskrisen, da der var flere cyberangreb under nedlukningen. Genopretningsplanen for Europa omfatter yderligere investeringer i cybersikkerhed.

Støtte til forskning og innovation: Horisont 2020 og offentlig-private partnerskaber Horisont Europa

Forskning i digital sikkerhed er afgørende for at opbygge innovative løsninger, der kan beskytte os mod de nyeste, mest avancerede cybertrusler. Derfor er cybersikkerhed en vigtig del af Horisont 2020 og dets efterfølger Horisont Europa. 

I Horisont Europa er cybersikkerhed for perioden 2021-2027 en del af klyngen "Civil Sikkerhed for samfundet". 

Som led i Horisont 2020 medfinansierede Kommissionen forskning og innovation inden for emner som cybersikkerhedsberedskab gennem cyberintervaller og simulering, cybersikkerhed for små og mellemstore virksomheder, cybersikkerhed i el- og energisystemet samt cybersikkerhed og databeskyttelse i kritiske sektorer. Disse emner hører under klyngen "Sikre samfund — Beskyttelse af Europas og dets borgeres frihed og sikkerhed".

I 2016 blev det kontraktmæssige offentlig-private partnerskab Horisont 2020 om cybersikkerhed oprettet mellem Europa-Kommissionen og Den Europæiske Organisation for Cybersikkerhed (ECSO), en sammenslutning bestående af medlemmer fra cyberindustrien, den akademiske verden, offentlige forvaltninger og meget mere.

Støtte til cyberkapacitet og -udrulning

Vores fysiske og digitale infrastruktur er tæt forbundet. Kommissionen har derfor også investeret i cybersikkerhed som led i sit finansieringsprogram for infrastrukturinvesteringer, Connecting Europe-faciliteten (CEF), for perioden 2014-2020.

CEF-støtten er gået til beredskabshold for IT-sikkerhedshændelser, operatører af væsentlige tjenester (OES), udbydere af digitale tjenester, centrale kontaktpunkter (SPOC) og nationale kompetente myndigheder. Dette styrker cybersikkerhedskapaciteten og det grænseoverskridende samarbejde inden for EU og støtter gennemførelsen af EU's strategi for cybersikkerhed.

Programmet for et digitalt Europa for perioden 2021-2027 er et ambitiøst program, der planlægger at investere 1,9 mia. EUR i cybersikkerhedskapacitet og bred udbredelse af cybersikkerhedsinfrastrukturer og -værktøjer i hele EU til offentlige forvaltninger, virksomheder og enkeltpersoner.

Cybersikkerhed er også en del af InvestEU. InvestEU er et generelt program, der samler mange finansielle instrumenter og anvender offentlige investeringer til at sikre yderligere investeringer fra den private sektor. Dens strategiske investeringsfacilitet vil støtte centrale værdikæder inden for cybersikkerhed. Det er en vigtig del af genopretningspakken som reaktion på coronaviruskrisen.

Kompetencecenter og netværk for cybersikkerhed Atlas

Det europæiske industri-, teknologi- og forskningskompetencecenter for cybersikkerhed vil samle ekspertise og tilpasse den europæiske udvikling og udbredelse af cybersikkerhedsteknologi. Det vil samarbejde med erhvervslivet, det akademiske samfund og andre om at opbygge en fælles dagsorden for investeringer i cybersikkerhed og træffe afgørelse om finansieringsprioriteter for forskning, udvikling og udrulning af cybersikkerhedsløsninger gennem Horisont Europa-programmet og programmet for et digitalt Europa.

I øjeblikket er der fire pilotprojekter i gang, der skal danne grundlag for kompetencecentret og netværket. De har mere end 170 partnere.

For at få et bedre overblik over cybersikkerhedsekspertise og -kapacitet i hele EU har Kommissionen udviklet en omfattende platform kaldet Cybersecurity Atlas.

Politisk vejledning

Plan for en koordineret reaktion på større cyberangreb

Kommissionens plan for hurtig beredskab indeholder en plan i tilfælde af en omfattende grænseoverskridende cyberhændelse eller -krise. Den fastsætter mål og former for samarbejde mellem medlemsstaterne og EU-institutionerne om at reagere på sådanne hændelser og kriser. Det forklares, hvordan eksisterende krisestyringsmekanismer kan gøre fuld brug af eksisterende cybersikkerhedsenheder på EU-plan.

Fælles cyberenhed

Som opfølgning bebudede Kommissionens formand, Ursula von der Leyen, et forslag om en fælles cyberenhed for hele EU. Henstillingen om oprettelse af den fælles cyberenhed, som Kommissionen bebudede den 23. juni 2021, er et vigtigt skridt i retning af at fuldføre den europæiske ramme for cybersikkerhedskrisestyring. Det er et konkret resultat af EU's strategi for cybersikkerhed og strategien for EU's sikkerhedsunion, der bidrager til en sikker digital økonomi og et sikkert digitalt samfund.

Den fælles cyberenhed vil fungere som en platform til at sikre en koordineret EU-reaktion på store cyberhændelser og -kriser samt yde bistand til at komme sig efter disse angreb.

Sikker 5G-udrulning i EU

5G-net er planlagt til at blive udrullet i hele EU. De vil tilbyde enorme fordele, men har også flere potentielle indgangspunkter for angribere på grund af den mindre centraliserede karakter af deres arkitektur, et større antal antenner og øget afhængighed af software. EU's værktøjskasse om 5G indeholder foranstaltninger til at styrke sikkerhedskravene til 5G-net, anvende relevante restriktioner for leverandører, der anses for at være højrisikoleverandører, og sikre diversificering af leverandører.

Sikring af valgprocessen

Vores europæiske demokratier er blevet stadig mere digitale: politiske kampagner finder sted online, og valgene foregår ved hjælp af elektronisk afstemning i mange lande. 

Kommissionen har fremsat henstillinger om cybersikkerhed i forbindelse med valg til Europa-Parlamentet som led i en bredere pakke af henstillinger til støtte for frie og retfærdige valg til Europa-Parlamentet. En måned før valget til Europa-Parlamentet i 2019 gennemførte Europa-Parlamentet, EU-landene, Kommissionen og ENISA en livetest af deres beredskab.

Færdigheder og bevidsthed

Færdigheder

Vi kan kun sikre digital sikkerhed, hvis vi har eksperter med den rette viden og færdigheder, og der er i øjeblikket ikke nok. Derfor træffer Kommissionen foranstaltninger for at stimulere udviklingen af cybersikkerhedsfærdigheder.

Kommissionen har udarbejdet en opfordring til en sammenhængende ramme for undervisning i cybersikkerhedsfærdigheder inden for universiteter og erhvervsuddannelser. De fire pilotprojekter, der forbereder ECSO's kompetencecenter og netværk for cybersikkerhed, arbejder i øjeblikket på dette. Der er også tilbagevendende initiativer, der direkte henvender sig til studerende, f.eks. den årlige europæiske cybersikkerhedsudfordring.

Færdigheder inden for cybersikkerhed er omfattet af Kommissionens generelle dagsorden for digitale færdigheder. De er også en del af finansieringsindsatsen under Horisont 2020, Horisont Europa og programmet for et digitalt Europa. Et eksempel er finansieringen af "cyberområder", som er live simulationsmiljøer af cybertrusler til træning.

Bevidsthed

Den menneskelige faktor er ofte det svage led i cybersikkerhed: en person, der klikker på et phishing-link, kan have store konsekvenser. Kommissionen øger derfor bevidstheden om cybersikkerhed og fremmer bedste praksis i den brede offentlighed. F.eks. organiserer den en gang om året den europæiske måned for cybersikkerhed sammen med ENISA.

EU's akademi for færdigheder inden for cybersikkerhed

EU's akademi for færdigheder inden for cybersikkerhed, der blev lanceret som led i det europæiske år for færdigheder, vil samle private og offentlige initiativer på europæisk og nationalt plan for at afhjælpe kløften i cybersikkerhedsarbejdsstyrken. Initiativet vil blive hostet online på Kommissionens job- og kvalifikationsplatform og vil indeholde finansieringsmuligheder, uddannelse og certificeringer fra hele EU for dem, der er interesserede i en karriere inden for cybersikkerhed.

Meddelelse om EU's akademi for cyberfærdigheder

Faktablad fra EU's akademi for cyberfærdigheder

Cyberfællesskab

ENISA — EU's cybersikkerhedsagentur

ENISA er EU's agentur, der beskæftiger sig med cybersikkerhed. Den yder støtte til medlemsstater, EU-institutioner og virksomheder på centrale områder, herunder gennemførelsen af NIS-direktivet.

ISAC'er

Informationsudvekslings- og analysecentre (ISAC'er) fremmer samarbejdet mellem cybersikkerhedssamfundet i forskellige sektorer af økonomien. Yderligere udvikling af ISAC'er på både EU-plan og nationalt plan er en prioritet for Kommissionen. I samarbejde med ENISA fremmer Kommissionen også oprettelsen af nye ISAC'er i sektorer, der ikke er omfattet. Det "styrkende ISAC-konsortium", som Kommissionen fører tilsyn med, yder juridisk, teknisk og organisatorisk støtte til ISAC'er.

FFC

Kommissionens Fælles Forskningscenter (JRC) bidrager aktivt til cybersikkerhed i EU. FFC har f.eks. udviklet en taksonomi for cybersikkerhed. Dette tilpasser den terminologi, der anvendes inden for cybersikkerhed, så vi kan få et klarere overblik over cybersikkerhedskapaciteten i EU.

FFC offentliggjorde også for nylig en rapport, der giver indsigt i EU's nuværende cybersikkerhedslandskab og dets historie med titlen "Cybersecurity — our digital anker".

CSIRT'er/CERT'er

I henhold til NIS-direktivet skal EU's medlemsstater sikre, at de har velfungerende IT-sikkerhedshændelsesindsatshold ("CSIRT'er"), også kendt som computerberedskabsenheder ("CERT'er"). Disse teams beskæftiger sig med cybersikkerhedshændelser og -risici i praksis. De samarbejder med hinanden på EU-plan og arbejder også sammen med den private sektor.
Alle typer operatører af væsentlige tjenester og udbydere af digitale tjenester skal være omfattet af udpegede CSIRT'er.

CSIRT'ernes vigtigste opgaver er:

• overvågning af hændelser på nationalt plan
• tilvejebringelse af tidlig varsling, varslinger, meddelelser og andre oplysninger om risici og hændelser til relevante interessenter
• reaktion på hændelser
• tilvejebringelse af dynamisk risiko- og hændelsesanalyse og situationsbevidsthed
• deltagelse i CSIRT-netværket.

ECSO

Den Europæiske Organisation for Cybersikkerhed (ECSO) blev oprettet i 2016 for at fungere som Kommissionens modpart i et kontraktligt offentlig-privat partnerskab, der dækker Horisont 2020 i årene 2016-2020. Størstedelen af ECSO's 250 medlemmer tilhører enten cybersikkerhedsindustrien eller forsknings- og akademiske institutioner på området. I mindre grad omfatter ECSO's medlemmer også aktører i den offentlige sektor og industrier på efterspørgselssiden.

Ud over at fremsætte anbefalinger om Horisont 2020 udfører ECSO forskellige aktiviteter med henblik på samfundsopbygning og industriel udvikling på europæisk plan.

Kvinder4Cyber

Det er vigtigt at fremhæve kvinders rolle i cybersikkerhedssamfundet, som er underrepræsenteret. Derfor har Kommissionen oprettet Women4Cyber- registret i samarbejde med ECSO's Women4Cyber-initiativ. Det gør det lettere for medierne, eventarrangørerne og andre at finde de mange talentfulde kvinder, der arbejder inden for cybersikkerhed, så disse kvinder bliver mere synlige og fremtrædende i cybermiljøet og den offentlige debat.

Cyberdialoger

EU samarbejder med partnere om at fremme fælles interesser inden for cybersikkerhedspolitikken. Den 9. cyberdialog mellem EU og USA fandt sted i Bruxelles i december 2023. EU og USA har et avanceret samarbejde på områder som f.eks. cyberdiplomati, krisestyring, kapacitetsopbygning, cybersikkerhed i forbindelse med kritisk infrastruktur (herunderindberetningaf hændelser), cybersikkerhed for hardware og softwareprodukter (herunder denfælles handlingsplan forcybersikkerhedsprodukter)og cybersikkerhedsaspekter af nye teknologier såsom kunstig intelligens.

Siden 2021 har EU og Ukraine afholdt to cyberdialoger. I 2023 formaliserede EU's Agentur for Cybersikkerhed ENISA en samarbejdsaftale med ukrainske modparter for at fremme kapacitetsopbygning, udveksling af bedste praksis og situationsbevidsthed. EU har også inddraget cyberdialoger med Indien, Japan, Republikken Korea og Brasilien. Den første cyberdialog mellem EU og Det Forenede Kongerige fandt sted i Bruxelles i december 2023.

Cybersikkerhed drøftes også i forbindelse med bilaterale digitale partnerskaber og digitale dialoger samt EU-LAC's digitale alliance, reguleringsdialogen mellem EU og Vestbalkan, den strukturerede dialog mellem EU og NATO om modstandsdygtighed og den strukturerede dialog mellem EU og NATO om cybersikkerhed og forsvar. I 2023 offentliggjorde EU-NATO-taskforcen om kritisk infrastrukturs modstandsdygtighed en rapport, der kortlagde vigtige tværgående sektorer.

Andre cyberpolitiske områder

Cyberkriminalitet

Almindelige kriminelle gør brug af cyberangreb, der truer europæerne. Afdelingen for migration og indre anliggender i Kommissionen overvåger og ajourfører EU-lovgivningen om cyberkriminalitet og støtter retshåndhævelseskapaciteten. Kommissionen samarbejder også med Det Europæiske Center til Bekæmpelse af IT-Kriminalitet i Europol.

Cyberdiplomati

EU gør en indsats for at beskytte sig mod cybertrusler uden for sine grænser. Som en del af dette arbejder Kommissionen sammen med Tjenesten for EU's Optræden Udadtil og medlemsstaterne om gennemførelsen af en fælles diplomatisk reaktion på ondsindede cyberaktiviteter ("cyberdiplomativærktøjskassen"). Denne reaktion omfatter diplomatisk samarbejde og dialog, forebyggende foranstaltninger mod cyberangreb og sanktioner mod dem, der er involveret i cyberangreb, der truer EU.

Kommissionen bistår med beslutningstagningen om at reagere på eksterne cybertrusler, hvor det er nødvendigt. Det finansierer også direkte EU's igangværende initiativ til støtte for cyberdiplomati.

Cyberforsvar

Den 10. november 2022 fremlagde Kommissionen og den højtstående repræsentant en fælles meddelelse om en EU-cyberforsvarspolitik for at imødegå det forværrede sikkerhedsmiljø som følge af Ruslands aggression mod Ukraine og øge EU's kapacitet til at beskytte sine borgere og infrastruktur.  

EU's cyberforsvarspolitik er bygget op omkring fire søjler, der dækker en bred vifte af initiativer, der vil hjælpe EU og medlemsstaterne med at blive bedre i stand til at opdage, afskrække fra og forsvare sig mod cyberangreb:

1. Handle i fællesskab for et stærkere cyberforsvar i EU

2. Sikring af forsvarsøkosystemet

3. Investere i cyberforsvarskapaciteter

4. Partner til at tackle fælles udfordringer

Den nye politik opfordrer til investeringer i fuldspektrede cyberforsvarskapaciteter og vil styrke koordineringen og samarbejdet mellem EU's militære og civile cybersamfund. Det vil styrke samarbejdet med den private sektor og effektiv cyberkrisestyring i Unionen. Den nye politik vil også bidrage til at mindske vores strategiske afhængighed af kritiske cyberteknologier og styrke det europæiske forsvarsteknologiske industrigrundlag (EDTIB). Det vil stimulere uddannelse, tiltrække og fastholde cybertalenter.

EU samarbejder om forsvar i cyberspace gennem Europa-Kommissionens aktiviteter, Tjenesten for EU's Optræden Udadtil (EU-Udenrigstjenesten), Det Europæiske Forsvarsagentur samt ENISA og Den Europæiske Unions Agentur for Retshåndhævelsessamarbejde (Europol).

Opbygning af cyberkapacitet i tredjelande

EU samarbejder med andre lande om at hjælpe med at opbygge deres kapacitet til at forsvare sig mod cybersikkerhedstrusler. Kommissionen støtter forskellige cybersikkerhedsprogrammer på Vestbalkan og de seks østlige partnerskabslande i EU's umiddelbare nabolande samt i andre lande verden over gennem sin afdeling for internationalt samarbejde og udvikling.