Politike u području kibersigurnosti

Europska komisija i Visoki predstavnik Unije za vanjske poslove i sigurnosnu politiku predstavili su krajem 2020. novu strategiju EU-a za kibersigurnost.

Strategijom je obuhvaćena sigurnost osnovnih usluga kao što su bolnice, energetske mreže i željeznice. Obuhvaća i sigurnost sve većeg broja povezanih objekata u našim domovima, uredima i tvornicama.

Strategija je usmjerena na izgradnju zajedničkih kapaciteta za odgovor na velike kibernapade i suradnju s partnerima diljem svijeta kako bi se osigurala međunarodna sigurnost i stabilnost u kiberprostoru.

Direktiva o mjerama za visoku zajedničku razinu kibersigurnosti širom Unije (Direktiva NIS2)

Kiberprijetnje su gotovo uvijek prekogranične, a kibernapad na ključne objekte jedne zemlje može utjecati na EU u cjelini. Države članice EU-a moraju imati snažna državna tijela koja nadziru kibersigurnost u svojoj zemlji i koja surađuju s kolegama u drugim državama članicama razmjenom informacija. To je posebno važno za sektore koji su ključni za naša društva.

Prvom direktivom o sigurnosti mrežnih i informacijskih sustava (DirektivaNIS)osigurava se stvaranje takvih državnih tijela i suradnja s njima. Ta je Direktiva preispitana krajem 2020., što je dovelo do prijedloga i donošenja Direktive NIS 2. Države članice morale su do 18. listopada 2024. u potpunosti prenijeti i provesti Direktivu NIS2.

ENISA – agencija EU-a za kibersigurnost

ENISA je Agencija Europske unije za kibersigurnost, osnovana 2005. Mandat je revidiran 2019. i otad Agencija ima stalni mandat. 

Glavni ciljevi i zadaće ENISA-e utvrđeni su u temeljnom aktu, odnosno Aktu o kibersigurnosti. ENISA pruža potporu državama članicama, institucijama i poduzećima EU-a u ključnim područjima, uključujući provedbu Direktive NIS, Akta o kiberotpornosti i Akta o kibersolidarnosti. Agencija podupire i postupak kibersigurnosne certifikacije IKT proizvoda, IKT usluga i IKT procesa, kako je utvrđeno u glavi III. Akta o kiberotpornosti. 

Akt o kibersigurnosti

Akt o kibersigurnosti donesen je 2019. i njime je ojačana uloga Agencije Europske unije za kibersigurnost (ENISA). Agenciji je dao stalni mandat i ovlastio je da doprinese jačanju operativne suradnje i upravljanja krizama diljem EU-a. Također ima više financijskih i ljudskih resursa nego prije.

Aktom o kibersigurnosti uspostavljen je i Europski okvir za kibersigurnosnu certifikaciju (ECCF), kojim se utvrđuju zajednički kibersigurnosni zahtjevi i evaluacijski kriteriji za certifikaciju IKT proizvoda, IKT usluga i IKT procesa. Više informacija dostupno je na posebnoj internetskoj stranici ENISA-e .

Ciljanom izmjenom Akta o kibersigurnosti, donesenom 15. siječnja 2025., područje primjene certifikacije prošireno je na upravljane sigurnosne usluge.

Akt o kiberotpornosti

Akt o kibersolidarnosti

Akt o kibersolidarnosti stupio je na snagu 4. veljače 2025. u cilju poboljšanja pripravnosti, otkrivanja i odgovora na kiberincidente u cijelom EU-u.

Plan za kibersigurnost

Nacrt preporuke Vijeća o Planu EU-a za upravljanje kibersigurnosnim krizama (Cyber Blueprint) objavljen je 24. veljače 2025. Cilj je ove preporuke na jasan, jednostavan i pristupačan način predstaviti okvir EU-a za upravljanje kiberkrizama. Predloženim nacrtom ažurira se sveobuhvatni okvir EU-a za upravljanje kibersigurnosnim krizama i mapiraju relevantni akteri EU-a te se opisuju njihove uloge tijekom cijelog kriznog ciklusa. To uključuje pripravnost i zajedničku informiranost o stanju radi predviđanja kiberincidenata te potrebne kapacitete za njihovo otkrivanje, uključujući alate za odgovor i oporavak potrebne za ublažavanje, suzbijanje i obuzdavanje tih incidenata.

Plan oporavka

Kibersigurnost je jedan od prioriteta Komisije u njezinu odgovoru na krizu uzrokovanu koronavirusom jer je tijekom ograničenja kretanja došlo do povećanih kibernapada. Europski plan oporavka uključuje dodatna ulaganja u kibersigurnost.

Potpora istraživanju i inovacijama: Obzor 2020. i ugovorna javno-privatna partnerstva; Obzor Europa

Istraživanje digitalne sigurnosti ključno je za izgradnju inovativnih rješenja koja nas mogu zaštititi od najnovijih, najnaprednijih kiberprijetnji. Zbog toga je kibersigurnost važan dio programa Obzor 2020. i njegova nasljednika Obzor Europa. 

U okviru programa Obzor Europa za razdoblje 2021.–2027. kibersigurnost je dio klastera „Civilna sigurnost za društvo”. 

U okviru programa Obzor 2020. Komisija je sufinancirala istraživanja i inovacije u područjima kao što su pripravnost u području kibersigurnosti s pomoću kiberraspona i simulacija, kibersigurnost za mala i srednja poduzeća, kibersigurnost u elektroenergetskom i energetskom sustavu te kibersigurnost i zaštita podataka u ključnim sektorima. Te su teme obuhvaćene klasterom „Sigurna društva – zaštita slobode i sigurnosti Europe i njezinih građana”.

Ugovorno javno-privatno partnerstvo u području kibersigurnosti u okviru programa Obzor 2020. uspostavljeno je 2016. između Europske komisije i Europske organizacije za kibersigurnost (ECSO), udruženja koje se sastoji od članova iz kiberindustrije, akademske zajednice, javnih uprava i drugih.

Potpora kiberkapacitetima i raspoređivanju

Naša fizička i digitalna infrastruktura vrlo su usko povezane. Stoga je Komisija uložila i u kibersigurnost u okviru svojeg programa financiranja ulaganja u infrastrukturu, Instrumenta za povezivanje Europe (CEF), za razdoblje 2014. 2020.

Potpora CEF-a dodijeljena je timovima za odgovor na računalne sigurnosne incidente, operatorima ključnih usluga, pružateljima digitalnih usluga, jedinstvenim kontaktnim točkama i nacionalnim nadležnim tijelima. Time se jačaju kibersigurnosni kapaciteti i prekogranična suradnja unutar EU-a, čime se podupire provedba strategije EU-a za kibersigurnost.

Program Digitalna Europa za razdoblje 2021. 2027. ambiciozan je program kojim se planira uložiti 1,9 milijardi eura u kapacitete u području kibersigurnosti i široko uvođenje infrastruktura i alata za kibersigurnost u cijelom EU-u za javne uprave, poduzeća i pojedince.

Kibersigurnost je i dio programa InvestEU, općeg programa koji objedinjuje mnoge financijske instrumente i koristi javna ulaganja kako bi osigurao daljnja ulaganja iz privatnog sektora. Njegov instrument za strateška ulaganja podupirat će ključne lance vrijednosti u području kibersigurnosti. Važan je dio paketa za oporavak kao odgovor na krizu uzrokovanu koronavirusom.

Atlas kibersigurnosti

Europski centar za stručnost u području kibersigurnosti, industrije, tehnologije i istraživanja objedinit će stručno znanje i uskladiti europski razvoj i uvođenje tehnologije kibersigurnosti. Surađivat će s industrijom, akademskom zajednicom i drugima na izradi zajedničkog programa za ulaganja u kibersigurnost te odlučivati o prioritetima financiranja za istraživanje, razvoj i uvođenje kibersigurnosnih rješenja u okviru programa Obzor Europa i Digitalna Europa.

Trenutačno se provode četiri pilot-projekta kako bi se postavili temelji za Centar stručnosti i Mrežu. Sudjelovalo je više od 170 partnera.

Radi boljeg pregleda stručnog znanja i kapaciteta u području kibersigurnosti u cijelom EU-u Komisija je razvila sveobuhvatnu platformu pod nazivom Atlas kibersigurnosti.

Sigurno uvođenje 5G mreža u EU-u

5G mreže ključna su digitalna infrastruktura jer su okosnica mnogih ključnih usluga. Ključno je osigurati kibersigurnost i otpornost te ključne infrastrukture. Na temelju koordinirane procjene rizika države članice u Skupini za suradnju u području sigurnosti mrežnih i informacijskih sustava, zajedno s Komisijom i ENISA-om, razvile su paket instrumenata EU-a za kibersigurnost 5G mreža, kojim se utvrđuju mjere za jačanje sigurnosnih zahtjeva za 5G mreže, primjenu relevantnih ograničenja za visokorizične dobavljače i osiguravanje diversifikacije dobavljača.

Trenutačno stanje provedbe paketa instrumenata za 5G u državama članicama opisano je u drugom izvješću o napretku Skupine za suradnju u području sigurnosti mrežnih i informacijskih sustava iz lipnja 2023. Komisija je provela i vlastitu procjenu dobavljača 5G tehnologije, koja je dostupna u Komunikaciji iz lipnja 2023. 

Osiguravanje izbornog postupka

Naše europske demokracije sve su više digitalizirane: političke kampanje odvijaju se na internetu, a sami izbori odvijaju se elektroničkim glasovanjem u mnogim zemljama. 

Komisija je izdala preporuke za kibersigurnost izbora za Europski parlament u okviru šireg paketa preporuka za potporu slobodnim i poštenim europskim izborima. Mjesec dana prije europskih izbora 2019. Europski parlament, države članice EU-a, Komisija i ENISA proveli su ispitivanje pripravnosti.

Kibersigurnost bolnica i pružatelja zdravstvene zaštite

Digitalizacija revolucionira zdravstvenu skrb i omogućuje bolje usluge pacijentima. Međutim, kibernapadi mogu poremetiti te ključne usluge. Komisija je 15. siječnja 2025. predstavila europski akcijski plan za kibersigurnost bolnica i pružatelja zdravstvene zaštite kao jednu od prioritetnih inicijativa utvrđenih u političkim smjernicama za Komisiju 2024/29.

U akcijskom planu predlaže se, među ostalim, da ENISA, agencija EU-a za kibersigurnost, osnuje paneuropski centar za potporu u području kibersigurnosti za bolnice i pružatelje zdravstvene zaštite, pružajući im prilagođene smjernice, alate, usluge i osposobljavanje. Inicijativa se temelji na širem okviru EU-a za jačanje kibersigurnosti u cijeloj kritičnoj infrastrukturi.

Vještine za radnu snagu

Digitalnu sigurnost možemo osigurati samo ako imamo stručnjake s odgovarajućim znanjem i vještinama, a trenutačno ih nema dovoljno. Zbog toga Komisija poduzima mjere za poticanje razvoja vještina u području kibersigurnosti i povećanje radne snage u Europskoj uniji.

Vještine u području kibersigurnosti, koje su obuhvaćene općim programom Komisije za digitalne vještine, i dalje će biti visoko na popisu političkih prioriteta Komisije, a Unija vještina predviđena je u političkim smjernicama Komisije za razdoblje 2024. 2029. Projekti će se i dalje financirati u okviru različitih programa, posebno programa Digitalna Europa i Erasmus+, kako bi se riješio problem nedostatka radne snage u Europskoj uniji. Komisija će i dalje iskorištavati postojeće instrumente politike kao što su program politike za digitalno desetljeće do 2030. i mogućnost uspostave višedržavnih projekata za vještine u području kibersigurnosti, kako je predviđeno u Komunikaciji Komisije o premošćivanju jaza među stručnjacima za kibersigurnost kako bi se povećala konkurentnost, rast i otpornost EU-a („Akademija za vještine u području kibersigurnosti”).

Akademija vještina u području kibersigurnosti

Akademija za vještine u području kibersigurnosti, pokrenuta u okviru Europske godine vještina 2023., objedinjuje privatne i javne inicijative na europskoj i nacionalnoj razini kako bi se riješio problem sve većeg jaza u radnoj snazi u području kibersigurnosti. Akademija, koja se nalazi na Komisijinoj platformi za digitalna radna mjesta i vještine, prima potporu svih dionika, posebno industrije putem mehanizma obveza, i akademske zajednice, s vodećom imitacijom koja se temelji na uspjehu Akademije: Industrijsko-akademska mreža.

Komunikacija o Akademiji EU-a za vještine u području kibersigurnosti

Informativni članak Akademije EU-a za vještine u području kibersigurnosti

Svijest

Ljudski čimbenik često je slaba karika u području kibersigurnosti: Netko tko klikne na phishing vezu može imati ogromne posljedice. Stoga Komisija podiže svijest o kibersigurnosti i promiče najbolje prakse u široj javnosti. Na primjer, jednom godišnje zajedno s ENISA-om organizira Europski mjesec kibersigurnosti.

ENISA – agencija EU-a za kibersigurnost

ENISA je agencija EU-a koja se bavi kibersigurnošću. Njime se pruža potpora državama članicama, institucijama EU-a i poduzećima u ključnim područjima, uključujući provedbu Direktive NIS.

ISAC-ovi

Centri za razmjenu i analizu informacija (ISAC-ovi) potiču suradnju među kibersigurnosnom zajednicom u različitim sektorima gospodarstva. Daljnji razvoj ISAC-ova na razini EU-a i na nacionalnoj razini prioritet je Komisije. U suradnji s ENISA-om Komisija promiče i uspostavu novih ISAC-ova u sektorima koji nisu obuhvaćeni. „Osnaživanje konzorcija ISAC-ova u EU-u”, koji nadzire Komisija, pruža pravnu, tehničku i organizacijsku potporu ISAC-ovima.

JRC

Zajednički istraživački centar (JRC) Komisije aktivno doprinosi kibersigurnosti u EU-u. Na primjer, JRC je razvio taksonomiju kibersigurnosti. Time se usklađuje terminologija koja se upotrebljava u području kibersigurnosti kako bismo imali jasniji pregled kibersigurnosnih kapaciteta u EU-u.

JRC je nedavno objavio i izvješće koje pruža uvid u trenutačno kibersigurnosno okruženje EU-a i njegovu povijest pod naslovom „Kibersigurnost– naše digitalno uporište”.

CSIRT-ovi/CERT-ovi

U skladu s Direktivom NIS 2 države članice EU-a dužne su osigurati da imaju timove za odgovor na računalne sigurnosne incidente („CSIRT-ovi”), poznate i kao timovi za hitne računalne intervencije („CERT-ovi”), koji dobro funkcioniraju. Ti timovi bave se kiberincidentima i rizicima u praksi. Međusobno surađuju na razini EU-a te surađuju s privatnim sektorom.

Sve vrste operatora ključnih usluga i pružatelja digitalnih usluga moraju biti obuhvaćene imenovanim CSIRT-ovima.

Glavne zadaće CSIRT-ova su:

• praćenje incidenata na nacionalnoj razini;
• pružanje ranog upozorenja, upozorenja, najava i drugih informacija o rizicima i incidentima relevantnim dionicima;
• reagiranje na incidente;
• pružanje dinamične analize rizika i incidenata te informiranosti o stanju;
• sudjelovanje u mreži CSIRT-ova.

ECSO

Europska organizacija za kibersigurnost (ECSO) osnovana je 2016. kako bi djelovala kao partner Komisije u ugovornom javno-privatnom partnerstvu koje obuhvaća Obzor 2020. u razdoblju od 2016. do 2020. Većina od 250 članova ECSO-a pripada industriji kibersigurnosti ili istraživačkim i akademskim institucijama u tom području. Članovi ECSO-a u manjoj se mjeri sastoje i od aktera iz javnog sektora i industrija na strani potražnje.

Osim davanja preporuka o Obzoru 2020., ECSO provodi razne aktivnosti usmjerene na izgradnju zajednice i industrijski razvoj na europskoj razini.

Žene4Cyber

Važno je istaknuti ulogu žena u zajednici kibersigurnosti, koje su nedovoljno zastupljene. Zbog toga je Komisija uspostavila registar Women4Cyber u suradnji s inicijativom ECSO-a Women4Cyber. Medijima, organizatorima događanja i drugima olakšava se pronalaženje mnogih talentiranih žena koje rade u području kibersigurnosti kako bi te žene postale vidljivije i istaknutije u kiberzajednici i javnoj raspravi.

EU surađuje s partnerima na promicanju zajedničkih interesa u politici kibersigurnosti. Devetikiberdijalog EU-a i SAD-a održan je u Bruxellesu u prosincu 2023. EU i SAD napredovali su u suradnji u područjima kao što su kiberdiplomacija, upravljanje krizama, izgradnja kapaciteta, kibersigurnost kritične infrastrukture (uključujućiizvješćivanje o incidentima),kibersigurnost hardverskih i softverskih proizvoda (uključujući Zajednički akcijski plan za kibersigurne proizvode)i aspekti kibersigurnosti novih tehnologija kao što je umjetna inteligencija. 

Od 2021. EU i Ukrajina održali su tri kiberdijaloga. Agencija EU-a za kibersigurnost ENISA 2023. je formalizirala radni dogovor s ukrajinskim partnerima kako bi potaknula izgradnju kapaciteta, razmjenu najboljih praksi i informiranost o stanju. EU je pokrenuo i kiberdijaloge s Indijom, Japanom, Republikom Korejom i Brazilom. Prvikiberdijalog EU-a i Ujedinjene Kraljevine održan je u Bruxellesu u prosincu 2023., a drugi godinu dana kasnije, 6. prosinca 2024.

O kibersigurnosti se raspravlja i u kontekstu bilateralnih digitalnih partnerstava i digitalnih dijaloga, kao i digitalnog saveza EU-a i LAC-a, regulatornog dijaloga EU-a i zapadnog Balkana, strukturiranog dijaloga EU-a i NATO-a o otpornosti te strukturiranog dijaloga EU-a i NATO-a o kibersigurnosti i obrani. Radna skupina EU-a i NATO-a za otpornost kritične infrastrukture objavila je 2023. izvješćeu kojem su mapirani važni međusektorski sektori. 

EU i Japan održali su 11. studenoga 2024.šestikiberdijalog u Tokiju, na kojem su razmijenili informacije o prijetnjama i odgovoru na zlonamjerne kiberaktivnosti te izvijestili o najnovijim promjenama u politikama i zakonodavstvu u području kibersigurnosti, kao i u područjima tehnologija u nastajanju, upravljanja kiberkrizama i kiberobrane.

Kiberkriminalitet

Obični kriminalci iskorištavaju kibernapade koji prijete Europljanima. Služba Komisije za migracije i unutarnje poslove prati i ažurira pravo EU-a o kiberkriminalitetu i podupire kapacitete za izvršavanje zakonodavstva. Komisija surađuje i s Europskim centrom za kiberkriminalitet pri Europolu.

Kiberdiplomacija

EU ulaže napore kako bi se zaštitio od kiberprijetnji koje dolaze izvan njegovih granica. U okviru toga Komisija surađuje s Europskom službom za vanjsko djelovanje i državama članicama na provedbi zajedničkog diplomatskog odgovora na zlonamjerne kiberaktivnosti („alati za kiberdiplomaciju”). Taj odgovor uključuje diplomatsku suradnju i dijalog, preventivne mjere protiv kibernapada i sankcije protiv onih koji su uključeni u kibernapade koji predstavljaju prijetnju EU-u.

Komisija pomaže u donošenju odluka o odgovoru na vanjske kiberprijetnje kad god je to potrebno. Izravno financira i aktualnu Inicijativu EU-a za potporu kiberdiplomaciji.

Kiberobrana

Komisija i Visoki predstavnik 10. studenoga 2022. predstavili su Zajedničku komunikaciju o politici kiberobrane EU-a kako bi se odgovorilo na pogoršanje sigurnosnog okruženja nakon ruske agresije na Ukrajinu i povećali kapaciteti EU-a za zaštitu njegovih građana i infrastrukture.  

Politika kiberobrane EU-a temelji se na četiri stupa koja obuhvaćaju širok raspon inicijativa kojima će se EU-u i državama članicama pomoći da bolje otkrivaju kibernapade, odvraćaju od njih i brane se od njih:

1. Zajedničkim djelovanjem do snažnije kiberobrane EU-a

2. Osiguravanje obrambenog ekosustava

3. Ulaganje u kapacitete za kiberobranu

4. Partneri u rješavanju zajedničkih izazova

Novom politikom poziva se na ulaganja ukapacitete za kiberobranu punog spektra te će se ojačati koordinacija i suradnja između vojnih i civilnih kiberzajednica EU-a. Poboljšat će suradnju s privatnim sektorom i učinkovito upravljanje kiberkrizama u Uniji. Novom politikom pridonijet će se i smanjenju naše strateške ovisnosti o ključnim kibertehnologijama te jačanju europske obrambene tehnološke i industrijske baze (EDTIB). Poticat će osposobljavanje, privlačenje i zadržavanje talenata u području kibersigurnosti.

EU surađuje u području obrane u kiberprostoru putem aktivnosti Europske komisije, Europske službe za vanjsko djelovanje (ESVD), Europske obrambene agencije te ENISA-e i Agencije Europske unije za suradnju tijela za izvršavanje zakonodavstva (Europol).

Izgradnja kiberkapaciteta u trećim zemljama

EU surađuje s drugim zemljama kako bi im pomogao u izgradnji kapaciteta za obranu od kibersigurnosnih prijetnji. Komisija podupire razne programe kibersigurnosti u zemljama proširenja i drugim zemljama diljem svijeta putem svojeg odjela za međunarodnu suradnju i razvoj.