Küberturvalisuse poliitika

Küberturvalisuse strateegia

Euroopa Komisjon ning liidu välisasjade ja julgeolekupoliitika kõrge esindaja tutvustasid 2020. aasta lõpus uut ELi küberturvalisuse strateegiat.

Strateegia hõlmab selliste oluliste teenuste turvalisust nagu haiglad, energiavõrgud ja raudteed. See hõlmab ka üha suureneva arvu ühendatud objektide turvalisust meie kodudes, kontorites ja tehastes.

Strateegias keskendutakse kollektiivse suutlikkuse suurendamisele, et reageerida suurtele küberrünnakutele, ning koostööle partneritega kogu maailmas, et tagada küberruumis rahvusvaheline julgeolek ja stabiilsus. Selles kirjeldatakse, kuidas saab ühine küberüksus tagada kõige tõhusama reageerimise küberohtudele, kasutades ELi ja liikmesriikide käsutuses olevaid ühiseid ressursse ja eksperditeadmisi.

Õigusaktid ja sertifitseerimine

Direktiiv meetmete kohta, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus (küberturvalisuse 2. direktiiv)

Küberturvalisuse ohud on peaaegu alati piiriülesed ja küberrünnak ühe riigi elutähtsates rajatistes võib mõjutada ELi tervikuna. ELi riikidel peavad olema tugevad valitsusasutused, kes teostavad järelevalvet küberturvalisuse üle oma riigis ja teevad koostööd teiste liikmesriikide kolleegidega, jagades teavet. See on eriti oluline sektorite puhul, mis on meie ühiskonna jaoks kriitilise tähtsusega.

Võrgu- ja infosüsteemide turvalisust käsitlev direktiiv (võrgu- jainfoturbe direktiiv), mida kõik riigid on nüüdseks rakendanud, tagab selliste valitsusasutuste loomise ja koostöö. Direktiiv vaadati läbi 2020. aasta lõpus.

Läbivaatamise tulemusena esitas komisjon 16. detsembril 2020 ettepaneku võtta vastu direktiiv meetmete kohta, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus (küberturvalisuse 2.direktiiv). 

Direktiiv avaldati Euroopa Liidu Teatajas 2022. aasta detsembris ja see jõustus 16. jaanuaril 2023. Liikmesriikidel on alates direktiivi jõustumisest aega 21 kuud, et need sätted oma siseriiklikku õigusesse üle võtta (tegelik kuupäev: 18. oktoober 2024).

ENISA – ELi küberturvalisuse amet

ENISA (Euroopa Liidu Küberturvalisuse Amet) on ELi amet, mis tegeleb küberturvalisusega. Sellega toetatakse liikmesriike, ELi institutsioone ja ettevõtjaid olulistes valdkondades, sealhulgas võrgu- ja infoturbe direktiivi rakendamisel.

Kübervastupidavusvõime seadus

Ettepanek võtta vastu määrus digielementidega toodete küberturvalisuse nõuete kohta, mida tuntakse kübervastupidavusvõime õigusakti nime all, tugevdab küberturvalisuse eeskirju, et tagada turvalisemad riist- ja tarkvaratooted.

Küberturvalisust käsitlev õigusakt

Küberturvalisust käsitlev õigusakt tugevdab ENISA rolli. Ametil on nüüd alalised volitused ning tal on volitused aidata kaasa nii operatiivkoostöö kui ka kriisiohjamise tõhustamisele kogu ELis. Samuti on tal senisest rohkem rahalisi ja inimressursse. 18. aprillil 2023 tegi komisjon ettepaneku ELi küberturvalisuse õigusakti sihipäraseks muutmiseks.

Kübersolidaarsuse seadus

18. aprillil 2023 esitas Euroopa Komisjon ELi kübersolidaarsuse õigusakti ettepaneku, et parandada reageerimist küberohtudele kogu ELis. Ettepanek sisaldab Euroopa küberturvalisuse kilbi ja terviklikku küberkriiside mehhanismi, et luua parem küberkaitsemeetod.

Sertifitseerimine

Meie digielu saab hästi toimida ainult siis, kui üldsus usaldab IT-toodete ja -teenuste küberturvalisust. Oluline on näha, et toode on kontrollitud ja sertifitseeritud, et see vastaks kõrgetele küberturvalisuse standarditele. Praegu on ELis IT-toodete turvalisuse sertifitseerimise süsteemid erinevad. Ühtse sertifitseerimissüsteemi omamine oleks kõigi jaoks lihtsam ja selgem.

Seepärast töötab komisjon välja kogu ELi hõlmavat sertifitseerimisraamistikku, mille keskmes on ENISA. Küberturvalisust käsitlevas õigusaktis on kirjeldatud selle raamistiku saavutamise protsessi.

Investeeringud

Taastamiskava

Küberjulgeolek on üks komisjoni prioriteete koroonaviiruse kriisile reageerimisel, kuna liikumispiirangute ajal suurenesid küberrünnakud. Euroopa taastekava sisaldab täiendavaid investeeringuid küberturvalisusse.

Teadusuuringute ja innovatsiooni toetamine: Programm „Horisont 2020“ ja avaliku ja erasektori partnerlus; Programm „Euroopa horisont“

Digiturvalisuse uurimine on väga oluline, et luua uuenduslikke lahendusi, mis kaitseksid meid uusimate, kõige arenenumate küberohtude eest. Seepärast on küberturvalisus oluline osa programmist „Horisont 2020“ ja sellele järgnevast programmist „Euroopa horisont“. 

Programmi „Euroopa horisont“ raameson küberturvalisus ajavahemikul 2021–2027 osa teemavaldkonnast „Ühiskonna tsiviiljulgeolek“. 

Programmi „Horisont 2020“ raames kaasrahastas komisjon teadusuuringuid ja innovatsiooni sellistes valdkondades nagu küberturvalisuse valmisolek kübervahemike ja -simulatsioonide kaudu, küberturvalisus väikeste ja keskmise suurusega ettevõtjate jaoks, küberturvalisus elektri- ja energiasüsteemis ning küberturvalisus ja andmekaitse elutähtsates sektorites. Need teemad kuuluvad teemavaldkonda „Turvaline ühiskond – Euroopa ja selle kodanike vabaduse ja turvalisuse kaitsmine“.

2016. aastal loodi Euroopa Komisjoni ja Euroopa Küberturvalisuse Organisatsiooni (ECSO) vahel Horisont 2020 lepinguline avaliku ja erasektori partnerlus küberturvalisuse valdkonnas, mis koosneb kübertööstuse, akadeemiliste ringkondade, haldusasutuste jt liikmetest.

Kübervõimekuse ja -rakendamise toetamine

Meie füüsilised ja digitaalsed taristud on omavahel väga tihedalt seotud. Seepärast on komisjon investeerinud küberturvalisusse ka oma taristuinvesteeringute rahastamisprogrammi – Euroopa ühendamise rahastu – raames aastateks 2014–2020.

Euroopa ühendamise rahastu toetus on läinud arvutiturbe intsidentidele reageerimise rühmadele, oluliste teenuste operaatoritele, digitaalse teenuse osutajatele, ühtsetele kontaktpunktidele ja riiklikele pädevatele asutustele. See suurendab küberturvalisuse alast suutlikkust ja piiriülest koostööd ELis, toetades ELi küberturvalisuse strateegia rakendamist.

Programm „Digitaalne Euroopa“ on aastateks 2021–2027 ambitsioonikas programm, mille eesmärk on investeerida 1,9 miljardit eurot küberturvalisuse suutlikkusse ning küberturvalisuse taristute ja vahendite laialdasesse kasutuselevõttu kogu ELis haldusasutuste, ettevõtjate ja üksikisikute jaoks.

Küberturvalisus on ka osa programmist „ InvestEU “. InvestEU on üldprogramm, mis ühendab paljusid rahastamisvahendeid ja kasutab avaliku sektori investeeringuid, et tagada erasektori täiendavad investeeringud. Selle strateegilise investeerimisrahastuga toetatakse küberturvalisuse peamisi väärtusahelaid. See on koroonaviiruse kriisile reageerimiseks ette nähtud taastepaketi oluline osa.

Küberturvalisuse pädevuskeskus ja võrgustik; Atlas

Euroopa küberturvalisuse tööstus-, tehnoloogia- ja teadusuuringute pädevuskeskus koondab eksperditeadmisi ning ühtlustab küberturvalisuse tehnoloogia arendamist ja kasutuselevõttu Euroopas. Komisjon teeb koostööd tööstuse, akadeemiliste ringkondade ja teistega, et koostada ühine tegevuskava küberturvalisusse investeerimiseks ning otsustada küberturvalisuse lahenduste teadus-, arendus- ja kasutuselevõtu prioriteetide üle programmide „Euroopa horisont“ ja „Digitaalne Euroopa“ kaudu.

Praegu on käimas neli katseprojekti, et panna alus pädevuskeskusele ja võrgustikule. See hõlmab rohkem kui 170 partnerit.

Selleks et saada parem ülevaade küberturvalisuse alasest oskusteabest ja suutlikkusest kogu ELis, on komisjon välja töötanud tervikliku platvormi, mida nimetatakse küberturvalisuse atlaseks.

Poliitilised suunised

Suurtele küberrünnetele koordineeritud reageerimise kava

Komisjoni tegevuskavas hädaolukordadele kiireks reageerimiseks on esitatud kava suuremahuliste piiriüleste küberintsidentide või -kriiside puhuks. Selles sätestatakse eesmärgid ja koostööviisid liikmesriikide ja ELi institutsioonide vahel sellistele intsidentidele ja kriisidele reageerimisel. Selles selgitatakse, kuidas olemasolevad kriisiohjemehhanismid saavad täielikult ära kasutada olemasolevaid ELi tasandi küberturvalisuse üksusi.

Ühine küberüksus

Järelmeetmena teatas komisjoni president Ursula von der Leyen ettepanekust luua kogu ELi hõlmav ühine küberüksus. Soovitus ühise küberüksuse loomise kohta, millest komisjon teatas 23. juunil 2021, on oluline samm Euroopa küberturvalisuse kriisiohje raamistiku lõpuleviimise suunas. See on ELi küberturvalisuse strateegia ja ELi julgeolekuliidu strateegia konkreetne tulemus, mis aitab kaasa turvalisele digitaalmajandusele ja -ühiskonnale.

Ühine küberüksus toimib platvormina, et tagada ELi koordineeritud reageerimine ulatuslikele küberintsidentidele ja -kriisidele ning pakkuda abi nendest rünnakutest taastumisel.

Turvaline 5G kasutuselevõtt ELis

5G-võrgud on kavas kasutusele võtta kogu ELis. Nad pakuvad tohutut kasu, kuid neil on ka rohkem potentsiaalseid sisenemispunkte ründajatele nende arhitektuuri vähem tsentraliseeritud olemuse, antennide arvu suurenemise ja tarkvarast suurema sõltuvuse tõttu. ELi 5G meetmepaketis on sätestatud meetmed 5G-võrkude turvanõuete tugevdamiseks, asjakohaste piirangute kohaldamiseks suure riskiga tarnijate suhtes ja tarnijate mitmekesistamise tagamiseks.

Valimisprotsessi kindlustamine

Meie Euroopa demokraatiad on muutunud üha digitaalsemaks: poliitilised kampaaniad toimuvad internetis ja paljudes riikides toimuvad valimised ise elektroonilise hääletamise teel. 

Komisjon on esitanud soovitused Euroopa Parlamendi valimiste küberturvalisuse kohta osana laiemast soovituste paketist, et toetada vabasid ja õiglasi Euroopa Parlamendi valimisi. Kuu enne 2019. aasta Euroopa Parlamendi valimisi tegid Euroopa Parlament, ELi riigid, komisjon ja ENISA oma valmisoleku testi.

Oskused ja teadlikkus

Oskused

Me saame tagada digitaalse turvalisuse ainult siis, kui meil on eksperdid, kellel on õiged teadmised ja oskused ning praegu ei ole neid piisavalt. Seepärast võtab komisjon meetmeid, et stimuleerida küberturvalisuse alaste oskuste arendamist.

Komisjon koostas üleskutse sidusa raamistiku loomiseks küberturvalisuse alaste oskuste õpetamiseks ülikooli- ja kutsehariduses. Sellega tegelevad praegu neli katseprojekti, millega valmistatakse ette küberturvalisuse pädevuskeskust ja võrgustikku. Samuti on olemas korduvad algatused, mis on mõeldud otse üliõpilastele, näiteks iga-aastane Euroopa küberturvalisuse väljakutse.

Küberturvalisuse oskused kuuluvad komisjoni digioskusi käsitleva üldise tegevuskava alla. Need on ka osa programmi „Horisont 2020“, programmi „Euroopa horisont“ ja programmi „Digitaalne Euroopa“ rahastamispüüdlustest. Üks näide on „kübervahemike“ rahastamine, mis on koolitustele suunatud küberohtude reaalajas simulatsioonikeskkond.

Teadlikkust

Inimtegur on sageli küberturvalisuse nõrk lüli: keegi, kes klõpsab andmepüügi lingil, võib kaasa tuua tohutuid tagajärgi. Seetõttu suurendab komisjon teadlikkust küberturvalisusest ja edendab üldsuse parimaid tavasid. Näiteks korraldab ta kord aastas koos ENISAga Euroopa küberturvalisuse kuu.

ELi küberturvalisuse oskuste akadeemia

Euroopa oskuste aasta raames käivitatud ELi küberturvalisuse oskuste akadeemia koondab Euroopa ja liikmesriikide tasandi era- ja avaliku sektori algatused, et vähendada küberturvalisuse valdkonna tööjõu puudujääki. Algatus toimub veebis komisjoni töökohtade ja oskuste platvormil ning sisaldab rahastamisvõimalusi, koolitusi ja sertifikaate kogu EList neile, kes on huvitatud küberturvalisuse valdkonna karjäärist.

Teatis ELi küberoskuste akadeemia kohta

ELi Küberoskuste Akadeemia teabeleht

Küberkogukond

ENISA – ELi küberturvalisuse amet

ENISA on ELi amet, mis tegeleb küberturvalisusega. Sellega toetatakse liikmesriike, ELi institutsioone ja ettevõtjaid olulistes valdkondades, sealhulgas võrgu- ja infoturbe direktiivi rakendamisel.

ISAC

Teabejagamis- ja analüüsikeskused (ISAC) edendavad koostööd küberturvalisuse kogukonna vahel eri majandussektorites. ISACi edasiarendamine nii ELi kui ka riiklikul tasandil on komisjoni prioriteet. Koostöös ENISAga edendab komisjon ka uute ISACide loomist sektorites, mis ei ole hõlmatud. Komisjoni järelevalve all olev ELi ISAC-konsortsium pakub ISACidele õiguslikku, tehnilist ja organisatsioonilist tuge.

TEADUSUURINGUTE ÜHISKESKUS

Komisjoni Teadusuuringute Ühiskeskus aitab aktiivselt kaasa küberturvalisusele ELis. Näiteks on Teadusuuringute Ühiskeskus välja töötanud küberturvalisuse taksonoomia. See ühtlustab küberturvalisuses kasutatava terminoloogia, et meil oleks selgem ülevaade küberturvalisuse alasest suutlikkusest ELis.

Teadusuuringute Ühiskeskus avaldas hiljuti ka aruande „Küberturvalisus – meie digitaalne ankur“.

CSIRTid/CERTid

Võrgu- ja infoturbe direktiivi kohaselt peavad ELi liikmesriigid tagama, et neil on hästi toimivad arvutiturbe intsidentidele reageerimise rühmad (CSIRTid), mida nimetatakse ka infoturbeintsidentidega tegelevateks rühmadeks (CERTid). Need meeskonnad tegelevad küberturvalisuse intsidentide ja riskidega praktikas. Nad teevad omavahel koostööd ELi tasandil ja teevad koostööd ka erasektoriga.
Määratud CSIRTid peavad hõlmama igat liiki oluliste teenuste operaatoriid ja digitaalse teenuse osutajaid.

CSIRTide peamised ülesanded on:

• intsidentide jälgimine riiklikul tasandil;
• varajase hoiatamise, hoiatusteadete, teadaannete ja muu teabe esitamine riskide ja intsidentide kohta asjaomastele sidusrühmadele;
• intsidentidele reageerimine;
• dünaamilise riski- ja intsidentide analüüsi ning olukorrateadlikkuse pakkumine;
• CSIRTide võrgustikus osalemine.

ECSO

Euroopa küberturvalisuse organisatsioon (ECSO) loodi 2016. aastal, et tegutseda komisjoni partnerina programmi „Horisont 2020“ hõlmavas lepingulises avaliku ja erasektori partnerluses aastatel 2016–2020. Enamik ECSO 250 liikmest kuulub kas küberturvalisuse sektorisse või valdkonna teadus- ja akadeemilistesse asutustesse. Vähemal määral kuuluvad ECSO liikmete hulka ka avaliku sektori osalejad ja nõudluspooled.

Lisaks soovituste esitamisele programmi „Horisont 2020“ kohta viib ECSO ellu mitmesuguseid tegevusi, mille eesmärk on kogukonna ülesehitamine ja tööstuse arendamine Euroopa tasandil.

Naised4Cyber

Oluline on rõhutada naiste rolli küberturvalisuse kogukonnas, kes on alaesindatud. Seepärast on komisjon loonud koostöös ECSO algatusega Women4Cyber Register4Cyberi registri. See lihtsustab meedial, ürituste korraldajatel ja teistel küberjulgeoleku valdkonnas töötavate andekate naiste leidmist, nii et need naised muutuvad küberkogukonnas ja avalikus arutelus nähtavamaks ja silmapaistvamaks.

Küberdialoogid

ELteeb partneritega koostööd, et edendada küberturvalisuse poliitika ühiseid huve. ELi ja USA üheksas küberdialoog toimus 2023. aasta detsembris Brüsselis. ELil ja USAl on arenenud koostöö sellistes valdkondades nagu küberdiplomaatia, kriisiohje, suutlikkuse suurendamine, elutähtsa taristu küberturvalisus (sealhulgas intsidentidest teatamine), riist- ja tarkvaratoodete küberturvalisus (sealhulgas ühine küberohutuse toodete tegevuskava)ning kujunemisjärgus tehnoloogiate, näiteks tehisintellekti küberturvalisus.

Alates 2021. aastast on EL ja Ukraina pidanud kaks küberdialoogi. 2023. aastal vormistas ELi küberturvalisuse amet ENISA ametliku töökorra Ukraina partneritega, et edendada suutlikkuse suurendamist, parimate tavade vahetamist ja olukorrateadlikkust. EL on kaasanud ka küberdialoogi India, Jaapani, Korea Vabariigi ja Brasiiliaga. ELi ja Ühendkuningriigi esimene küberdialoog toimus 2023. aasta detsembris Brüsselis.

Küberturvalisust arutatakse ka kahepoolsete digipartnerluste ja digidialoogide, ELi ning Ladina-Ameerika ja Kariibi mere piirkonna digiliidu, ELi ja Lääne-Balkani regulatiivse dialoogi, ELi ja NATO vastupanuvõimet käsitleva struktureeritud dialoogi ning ELi ja NATO küberturvalisuse ja -kaitse struktureeritud dialoogi raames. 2023. aastal avaldas ELi ja NATO elutähtsa taristu vastupidavusvõime rakkerühm aruande, milles kaardistati olulised valdkondadevahelised sektorid.

Muud küberpoliitika valdkonnad

Küberkuritegevus

Tavalised kurjategijad kasutavad küberrünnakuid, mis ohustavad eurooplasi. Komisjoni rände- ja siseküsimuste osakond jälgib ja ajakohastab küberkuritegevuse alaseid ELi õigusakte ning toetab õiguskaitsealast suutlikkust. Komisjon teeb koostööd ka Europoli küberkuritegevuse vastase võitluse Euroopa keskusega.

Küberdiplomaatia

EL teeb jõupingutusi, et kaitsta end väljastpoolt ELi lähtuvate küberohtude eest. Selle raames teeb komisjon koostööd Euroopa välisteenistuse ja liikmesriikidega, et rakendada ühist diplomaatilist reageerimist pahatahtlikule kübertegevusele (küberdiplomaatia meetmete kogum). See reaktsioon hõlmab diplomaatilist koostööd ja dialoogi, küberrünnete ennetavaid meetmeid ja sanktsioone ELi ähvardavate küberrünnetega seotud isikute suhtes.

Komisjon aitab vajaduse korral teha otsuseid välistele küberohtudele reageerimise kohta. Samuti rahastatakse sellest otseselt käimasolevat ELi küberdiplomaatia toetusalgatust.

Küberkaitse

10. novembril 2022 esitasid komisjon ja kõrge esindaja ühisteatise ELi küberkaitsepoliitika kohta, et tegeleda halveneva julgeolekukeskkonnaga pärast Venemaa agressiooni Ukraina vastu ning suurendada ELi suutlikkust kaitsta oma kodanikke ja taristut.  

ELi küberkaitsepoliitika tugineb neljale sambale, mis hõlmavad mitmesuguseid algatusi, mis aitavad ELil ja liikmesriikidel küberründeid paremini avastada, ära hoida ja nende eest kaitsta:

1. Tegutse koos, et tugevdada ELi küberkaitset

2. Kaitseökosüsteemi kindlustamine

3. Investeerimine küberkaitsevõimesse

4. Partner ühiste probleemide lahendamisel

Uus poliitika nõuab investeeringuid täiemahulisse küberkaitsevõimesse ning tugevdab koordineerimist ja koostööd ELi sõjaliste ja tsiviilküberkogukondade vahel. Sellega tõhustatakse koostööd erasektoriga ja tõhusat küberkriiside ohjamist liidus. Uus poliitika aitab samuti vähendada meie strateegilist sõltuvust kriitilise tähtsusega kübertehnoloogiatest ja tugevdada Euroopa kaitsesektori tehnoloogilist tööstusbaasi (EDTIB). See stimuleerib koolitust, meelitab ligi ja hoiab kinni kübertalenditest.

EL teeb küberruumi kaitse valdkonnas koostööd Euroopa Komisjoni, Euroopavälisteenistuse, Euroopa Kaitseagentuuri, ENISA ja Euroopa Liidu Õiguskaitsekoostöö Ameti (Europol) tegevuse kaudu.

Kübersuutlikkuse suurendamine kolmandates riikides

EL teeb koostööd teiste riikidega, et aidata suurendada nende suutlikkust kaitsta küberohtude eest. Komisjon toetab oma rahvusvahelise koostöö ja arengu osakonna kaudu mitmesuguseid küberturvalisuse programme Lääne-Balkani riikides ja kuues idapartnerlusriigis ELi vahetus naabruses ning teistes riikides kogu maailmas.