Kibernetinio saugumo politika

Kibernetinio saugumo strategija

2020 m. pabaigoje Europos Komisija ir Sąjungos vyriausiasis įgaliotinis užsienio reikalams ir saugumo politikai pristatė naują ES kibernetinio saugumo strategiją.

Strategija apima pagrindinių paslaugų, pavyzdžiui, ligoninių, energetikos tinklų ir geležinkelių, saugumą. Ji taip pat apima vis didėjančio prijungtų objektų skaičiaus mūsų namuose, biuruose ir gamyklose saugumą.

Strategijoje daugiausia dėmesio skiriama kolektyvinių pajėgumų, skirtų reaguoti į didelius kibernetinius išpuolius, kūrimui ir bendradarbiavimui su partneriais visame pasaulyje, siekiant užtikrinti tarptautinį saugumą ir stabilumą kibernetinėje erdvėje. Jame išdėstyta, kaip Jungtinis kibernetinio saugumo padalinys gali užtikrinti veiksmingiausią atsaką į kibernetines grėsmes naudodamas ES ir valstybių narių turimus kolektyvinius išteklius ir ekspertines žinias.

Teisės aktai ir sertifikavimas

Direktyva dėl priemonių aukštam bendram kibernetinio saugumo lygiui visoje Sąjungoje užtikrinti (TIS2 direktyva)

Kibernetinio saugumo grėsmės beveik visada yra tarpvalstybinės, o kibernetinis išpuolis prieš vienos šalies ypatingos svarbos objektus gali paveikti visą ES. ES šalys turi turėti stiprias vyriausybines įstaigas, kurios prižiūri kibernetinį saugumą savo šalyje ir kurios bendradarbiauja su kolegomis kitose valstybėse narėse keisdamosi informacija. Tai ypač svarbu sektoriams, kurie yra labai svarbūs mūsų visuomenei.

Tinklų ir informacinių sistemų saugumo direktyva (TIS direktyva), kurią dabar įgyvendina visos šalys, užtikrina tokių valdžios institucijų kūrimą ir bendradarbiavimą. Ši direktyva buvo peržiūrėta 2020 m. pabaigoje.

Po peržiūros 2020 m. gruodžio 16 d. Komisija pateikė pasiūlymą dėl Direktyvos dėl priemonių aukštam bendram kibernetinio saugumo lygiui visoje Sąjungoje užtikrinti (TIS2direktyva). 

Direktyva buvo paskelbta Europos Sąjungos oficialiajame leidinyje 2022 m. gruodžio mėn. ir įsigaliojo 2023 m. sausio 16 d. Valstybės narės turės per 21 mėnesį nuo direktyvos įsigaliojimo dienos įtraukti nuostatas į savo nacionalinę teisę (faktinė data: 2024 m. spalio 18 d.).

ENISA – ES kibernetinio saugumo agentūra

ENISA (Europos Sąjungos kibernetinio saugumo agentūra) yra ES agentūra, atsakinga už kibernetinį saugumą. Ji teikia paramą valstybėms narėms, ES institucijoms ir įmonėms svarbiausiose srityse, įskaitant TIS direktyvos įgyvendinimą.

Kibernetinio atsparumo aktas

Pasiūlymu dėl reglamento dėl kibernetinio saugumo reikalavimų gaminiams su skaitmeniniais elementais, vadinamuoju Kibernetinio atsparumo aktu, sustiprinamos kibernetinio saugumo taisyklės, kad būtų užtikrintas saugesnis aparatinės ir programinės įrangos produktai.

Kibernetinio saugumo įstatymas

Kibernetinio saugumo aktu sustiprinamas ENISA vaidmuo. Agentūra dabar turi nuolatinius įgaliojimus ir yra įgaliota prisidėti prie operatyvinio bendradarbiavimo ir krizių valdymo stiprinimo visoje ES. Ji taip pat turi daugiau finansinių ir žmogiškųjų išteklių nei anksčiau. 2023 m. balandžio 18 d. Komisija pasiūlė tikslinį ES kibernetinio saugumo akto pakeitimą.

Kibernetinio solidarumo įstatymas

2023 m. balandžio 18 d. Europos Komisija pasiūlė ES kibernetinio solidarumo aktą, kuriuo siekiama pagerinti atsaką į kibernetines grėsmes visoje ES. Pasiūlymas apims Europos kibernetinio saugumo skydą ir visapusišką kibernetinių ekstremaliųjų situacijų mechanizmą, kad būtų sukurtas geresnis kibernetinės gynybos metodas.

Sertifikavimas

Mūsų skaitmeninis gyvenimas gali būti sėkmingas tik tuo atveju, jei visuomenė pasitiki IT produktų ir paslaugų kibernetiniu saugumu. Svarbu, kad mes galėtume pamatyti, kad produktas buvo patikrintas ir sertifikuotas, kad atitiktų aukštus kibernetinio saugumo standartus. Šiuo metu visoje ES taikomos įvairios IT produktų saugumo sertifikavimo sistemos. Visiems būtų lengviau ir aiškiau nustatyti bendrą sertifikavimo sistemą.

Todėl Komisija rengia ES masto sertifikavimo sistemą, kurios pagrindą sudaro ENISA. Kibernetinio saugumo akte apibrėžiamas šios sistemos įgyvendinimo procesas.

Investicijos

Atkūrimo planas

Kibernetinis saugumas yra vienas iš Komisijos prioritetų reaguojant į koronaviruso krizę, nes izoliavimo metu padaugėjo kibernetinių išpuolių. Į Europos ekonomikos gaivinimo planą įtrauktos papildomos investicijos į kibernetinį saugumą.

Parama moksliniams tyrimams ir inovacijoms: Programa „Horizontas 2020“ ir viešojo ir privačiojo sektorių partnerystė; Programa „Europos horizontas“

Skaitmeninio saugumo tyrimai yra labai svarbūs kuriant novatoriškus sprendimus, kurie gali apsaugoti mus nuo naujausių, pažangiausių kibernetinių grėsmių. Todėl kibernetinis saugumas yra svarbi programos „Horizontas 2020“ ir ją pakeisiančios programos „Europos horizontas“ dalis. 

Programoje „Europos horizontas“ 2021–2027 m. laikotarpiu kibernetinis saugumas yra grupės „Civilinė visuomenės sauga“ dalis. Šiuo metu rengiama 2021–2022 m. darbo programa.

Įgyvendindama programą „Horizontas 2020“ Komisija bendrai finansavo mokslinius tyrimus ir inovacijas tokiose srityse kaip pasirengimas kibernetiniam saugumui naudojant kibernetinius intervalus ir modeliavimas, mažųjų ir vidutinių įmonių kibernetinis saugumas, kibernetinis saugumas elektros energijos ir energetikos sistemoje ir kibernetinis saugumas ir duomenų apsauga ypatingos svarbos sektoriuose. Šios temos priskiriamos veiksmų grupei „Saugi visuomenė. Europos ir jos piliečių laisvės ir saugumo apsauga“.

2016 m. tarp Europos Komisijos ir Europos kibernetinio saugumo organizacijos (ECSO) buvo sukurta programos „Horizontas 2020“ sutartinė viešojo ir privačiojo sektorių partnerystė kibernetinio saugumo srityje, kurią sudaro nariai iš kibernetinės pramonės, akademinės bendruomenės, viešojo administravimo institucijų ir kt.

Parama kibernetiniams pajėgumams ir dislokavimui

Mūsų fizinė ir skaitmeninė infrastruktūra yra labai glaudžiai susijusi. Todėl Komisija taip pat investavo į kibernetinį saugumą pagal savo 2014–2020 m. laikotarpio investicijų į infrastruktūrą finansavimo programą – Europos infrastruktūros tinklų priemonę (EITP).

EITP parama buvo teikiama reagavimo į kompiuterinius saugumo incidentus grupėms, esminių paslaugų operatoriams, skaitmeninių paslaugų teikėjams, bendriems informaciniams centrams ir nacionalinėms kompetentingoms institucijoms (NKI). Taip stiprinami kibernetinio saugumo pajėgumai ir tarpvalstybinis bendradarbiavimas ES viduje, remiant ES kibernetinio saugumo strategijos įgyvendinimą.

2021–2027 m. Skaitmeninės Europos programa yra plataus užmojo programa, pagal kurią planuojama investuoti 1,9 mlrd. EUR į kibernetinio saugumo pajėgumus ir plataus masto kibernetinio saugumo infrastruktūros ir priemonių diegimą visoje ES viešojo administravimo institucijoms, įmonėms ir asmenims.

Kibernetinis saugumas taip pat yra programos „InvestEU“ dalis. „InvestEU“ yra bendroji programa, kuri sujungia daug finansinių priemonių ir naudoja viešąsias investicijas, kad užtikrintų tolesnes privačiojo sektoriaus investicijas. Jos strateginių investicijų priemone bus remiamos pagrindinės kibernetinio saugumo vertės grandinės. Tai svarbi ekonomikos gaivinimo priemonių rinkinio dalis reaguojant į koronaviruso krizę.

Kibernetinio saugumo kompetencijos centras ir tinklas; Atlasas

Europos kibernetinio saugumo pramonės, technologijų ir mokslinių tyrimų kompetencijos centras sutelks ekspertines žinias ir suderins kibernetinio saugumo technologijų kūrimą ir diegimą Europoje. Ji bendradarbiaus su pramone, akademine bendruomene ir kitais subjektais, kad parengtų bendrą investicijų į kibernetinį saugumą darbotvarkę ir nuspręs dėl mokslinių tyrimų, technologinės plėtros ir kibernetinio saugumo sprendimų diegimo pagal programas „Europos horizontas“ ir Skaitmeninės Europos programas finansavimo prioritetų.

Šiuo metu vykdomi keturi bandomieji projektai, kuriais siekiama padėti pagrindą Kompetencijos centrui ir tinklui. Jame dalyvauja daugiau nei 170 partnerių.

Siekdama geriau apžvelgti kibernetinio saugumo žinias ir pajėgumus visoje ES, Komisija sukūrė išsamią platformą „ Kibernetinio saugumo atlasas“.

Politikos gairės

Koordinuoto atsako į didelius kibernetinius išpuolius planas

Komisijos parengtame greitojo reagavimo į ekstremaliąsias situacijas plane pateikiamas planas didelio masto tarpvalstybinio kibernetinio incidento ar krizės atveju. Jame nustatomi valstybių narių ir ES institucijų bendradarbiavimo reaguojant į tokius incidentus ir krizes tikslai ir būdai. Jame paaiškinama, kaip esamais krizių valdymo mechanizmais galima visapusiškai pasinaudoti esamais kibernetinio saugumo subjektais ES lygmeniu.

Jungtinis kibernetinio saugumo padalinys

Vykdydama tolesnę veiklą, Komisijos pirmininkė Ursula von der Leyen paskelbė pasiūlymą dėl ES masto jungtinio kibernetinio saugumo padalinio. Rekomendacija dėl Jungtinio kibernetinio saugumo padalinio sukūrimo, apie kurią Komisija paskelbė 2021 m. birželio 23 d., yra svarbus žingsnis siekiant baigti kurti Europos kibernetinio saugumo krizių valdymo sistemą. Tai konkretus ES kibernetinio saugumo strategijos ir ES saugumo sąjungos strategijos rezultatas, kuriuo prisidedama prie saugios skaitmeninės ekonomikos ir visuomenės.

Jungtinis kibernetinio saugumo padalinys veiks kaip platforma siekiant užtikrinti koordinuotą ES atsaką į didelio masto kibernetinius incidentus ir krizes, taip pat teikti pagalbą atsigaunant po šių išpuolių.

Saugus 5G diegimas ES

Planuojama, kad 5G tinklai bus diegiami visoje ES. Jie duos didžiulę naudą, tačiau taip pat turės daugiau potencialių patekimo taškų užpuolikams dėl mažiau centralizuoto jų architektūros pobūdžio, didesnio antenų skaičiaus ir didesnės priklausomybės nuo programinės įrangos. ES 5G priemonių rinkinyje nustatytos priemonės, kuriomis siekiama sugriežtinti 5G tinklų saugumo reikalavimus, taikyti atitinkamus apribojimus didelės rizikos tiekėjams ir užtikrinti pardavėjų įvairinimą.

Užtikrinti rinkimų procesą

Mūsų Europos demokratijos tampa vis labiau skaitmeninės: politinės kampanijos vyksta internetu, o daugelyje šalių rinkimai vyksta elektroniniu būdu. 

Komisija paskelbė rekomendacijas dėl Europos Parlamento rinkimų kibernetinio saugumo, kurios yra platesnio rinkinio rekomendacijų, skirtų laisviems ir sąžiningiems Europos Parlamento rinkimams remti, dalis. Likus mėnesiui iki 2019 m. Europos Parlamento rinkimų, Europos Parlamentas, ES šalys, Komisija ir ENISA atliko tiesioginį jų pasirengimo testą.

Įgūdžiai ir sąmoningumas

Įgūdžiai

Skaitmeninį saugumą galime užtikrinti tik tuo atveju, jei turime tinkamų žinių ir įgūdžių turinčių ekspertų, o šiuo metu jų nepakanka. Todėl Komisija imasi veiksmų kibernetinio saugumo įgūdžių ugdymui skatinti.

Komisija parengė kvietimą parengti nuoseklią kibernetinio saugumo įgūdžių ugdymo universitetiniame ir profesiniame mokyme sistemą. Šiuo metu šiuo metu vykdomi keturi bandomieji projektai, kuriais rengiamas ECSO kibernetinio saugumo kompetencijos centras ir tinklas. Taip pat yra pasikartojančių iniciatyvų, tiesiogiai skirtų studentams, pavyzdžiui, kasmetinis Europos kibernetinio saugumo iššūkis.

Kibernetinio saugumo įgūdžiai įtraukti į Komisijos bendrąją skaitmeninių įgūdžių darbotvarkę. Jie taip pat yra dalis finansavimo pastangų pagal programą „Horizontas 2020“, programą „Europos horizontas“ ir Skaitmeninės Europos programą. Vienas iš pavyzdžių – „kibernetinių diapazonų“, t. y. virtualių kibernetinių grėsmių imitavimo aplinkos mokymui, finansavimas.

Sąmoningumas

Žmogiškasis veiksnys dažnai yra silpnas ryšys kibernetinio saugumo srityje: kažkas, paspaudęs sukčiavimo nuorodą, gali turėti didelių pasekmių. Todėl Komisija didina informuotumą apie kibernetinį saugumą ir propaguoja geriausią plačiosios visuomenės patirtį. Pavyzdžiui, kartą per metus ji kartu su ENISA organizuoja Europos kibernetinio saugumo mėnesį.

ES kibernetinio saugumo įgūdžių akademija

ES kibernetinio saugumo įgūdžių akademija, įsteigta kaip Europos įgūdžių metų dalis, sutelks privačias ir viešąsias iniciatyvas Europos ir nacionaliniu lygmenimis, kad būtų pašalintas kibernetinio saugumo darbo jėgos trūkumas. Iniciatyva bus patalpinta internete Komisijos darbo vietų ir įgūdžių platformoje, joje bus numatytos finansavimo galimybės, mokymai ir sertifikatai iš visos ES tiems, kurie domisi karjera kibernetinio saugumo srityje.

Komunikatas dėl ES kibernetinių įgūdžių akademijos

ES kibernetinių įgūdžių akademijos informacijos suvestinė

Kibernetinė bendruomenė

ENISA – ES kibernetinio saugumo agentūra

ENISA yra ES agentūra, atsakinga už kibernetinį saugumą. Ji teikia paramą valstybėms narėms, ES institucijoms ir įmonėms svarbiausiose srityse, įskaitant TIS direktyvos įgyvendinimą.

ISACs

Keitimosi informacija ir analizės centrai (ISAC) skatina kibernetinio saugumo bendruomenės bendradarbiavimą įvairiuose ekonomikos sektoriuose. Tolesnis ISAC plėtojimas tiek ES, tiek nacionaliniu lygmenimis yra vienas iš Komisijos prioritetų. Bendradarbiaudama su ENISA, Komisija taip pat skatina steigti naujas ISAC tuose sektoriuose, kurie nėra įtraukti. Komisijos prižiūrimas ES ISAC konsorciumas teikia teisinę, techninę ir organizacinę paramą ISAC.

JUNGTINIS TYRIMŲ CENTRAS (JRC)

Komisijos Jungtinis tyrimų centras (JRC) aktyviai prisideda prie kibernetinio saugumo ES. Pavyzdžiui, JTC parengė kibernetinio saugumo taksonomiją. Tai suderina kibernetinio saugumo terminologiją, kad galėtume susidaryti aiškesnę kibernetinio saugumo pajėgumų ES apžvalgą.

JTC taip pat neseniai paskelbė ataskaitą, kurioje pateikiama įžvalgų apie dabartinę ES kibernetinio saugumo aplinką ir jos istoriją, pavadintą „Kibernetinis saugumas – mūsų skaitmeninis inkaras“.

CSIRT/CERT

Pagal TIS direktyvą ES valstybės narės privalo užtikrinti, kad jos turėtų gerai veikiančias reagavimo į kompiuterių saugumo incidentus tarnybas (CSIRT), dar vadinamas kompiuterinių incidentų tyrimo tarnybomis (CERT). Šios grupės praktiškai sprendžia kibernetinio saugumo incidentus ir riziką. Jos bendradarbiauja tarpusavyje ES lygmeniu, taip pat bendradarbiauja su privačiuoju sektoriumi. Paskirtos CSIRT turi apimti visų tipų esminių paslaugų operatorius ir skaitmeninių paslaugų teikėjus.

Pagrindinės CSIRT užduotys yra šios:

• stebėti incidentus nacionaliniu lygmeniu;
• teikti išankstinius įspėjimus, įspėjimus, pranešimus ir kitą informaciją apie riziką ir incidentus atitinkamiems suinteresuotiesiems subjektams;
• reagavimas į incidentus;
• teikti dinamišką rizikos ir incidentų analizę ir informuotumą apie padėtį;
• dalyvavimas CSIRT tinkle.

ECSO

Europos kibernetinio saugumo organizacija (ECSO) buvo įsteigta 2016 m. siekiant veikti kaip Komisijos partnerė sutartinėje viešojo ir privačiojo sektorių partnerystėje, apimančioje programą „Horizontas 2020“ 2016–2020 m. Dauguma iš 250 ECSO narių priklauso kibernetinio saugumo pramonei arba mokslinių tyrimų ir akademinėms institucijoms šioje srityje. Mažesniu mastu ECSO nariai taip pat apima viešojo sektoriaus subjektus ir paklausą tenkinančias pramonės šakas.

Be rekomendacijų dėl programos „Horizontas 2020“, ECSO vykdo įvairią veiklą, kuria siekiama bendruomenės kūrimo ir pramonės plėtros Europos lygmeniu.

Moterys4Cyber

Svarbu pabrėžti moterų vaidmenį kibernetinio saugumo bendruomenėje, kuriai nepakankamai atstovaujama. Todėl Komisija, bendradarbiaudama su ECSO iniciatyva Women4Cyber, sukūrė registrą Women4Cyber. Tai leidžia žiniasklaidai, renginių organizatoriams ir kitiems lengviau rasti daug talentingų moterų, dirbančių kibernetinio saugumo srityje, todėl šios moterys tampa labiau matomos ir matomos kibernetinėje bendruomenėje ir viešose diskusijose.

Kitos kibernetinės politikos sritys

Kibernetiniai nusikaltimai

Paprasti nusikaltėliai naudojasi kibernetiniais išpuoliais, keliančiais grėsmę europiečiams. Komisijos Migracijos ir vidaus reikalų departamentas stebi ir atnaujina ES teisės aktus dėl elektroninių nusikaltimų ir remia teisėsaugos pajėgumus. Komisija taip pat bendradarbiauja su Europolo Europos kovos su elektroniniu nusikalstamumu centru.

Kibernetinė diplomatija

ES deda pastangas, kad apsisaugotų nuo kibernetinių grėsmių už jos ribų. Šiuo tikslu Komisija bendradarbiauja su Europos išorės veiksmų tarnyba ir valstybėmis narėmis, kad įgyvendintų bendrą diplomatinį atsaką į kibernetinę kenkimo veiklą (kibernetinės diplomatijos priemonių rinkinys). Šis atsakas apima diplomatinį bendradarbiavimą ir dialogą, prevencines kovos su kibernetiniais išpuoliais priemones ir sankcijas asmenims, susijusiems su kibernetiniais išpuoliais, keliančiais grėsmę ES.

Prireikus Komisija padeda priimti sprendimus dėl reagavimo į išorės kibernetines grėsmes. Pagal ją taip pat tiesiogiai finansuojama vykdoma ES kibernetinio saugumo diplomatijos rėmimo iniciatyva.

Kibernetinė gynyba

2022 m. lapkričio 10 d. Komisija ir vyriausioji įgaliotinė pateikė bendrą komunikatą dėl ES kibernetinės gynybos politikos, kuriuo siekiama spręsti dėl Rusijos agresijos prieš Ukrainą blogėjančios saugumo aplinkos problemą ir sustiprinti ES pajėgumus apsaugoti savo piliečius ir infrastruktūrą.  

ES kibernetinės gynybos politika grindžiama keturiais ramsčiais, apimančiais įvairias iniciatyvas, kurios padės ES ir valstybėms narėms geriau nustatyti kibernetinius išpuolius, nuo jų atgrasyti ir nuo jų apsisaugoti:

1. VEIKTI KARTU SIEKIANT STIPRESNĖS ES KIBERNETINĖS GYNYBOS

2. APSAUGOTI GYNYBOS EKOSISTEMĄ

3. INVESTUOTI Į KIBERNETINĖS GYNYBOS PAJĖGUMUS

4. PARTNERIS BENDRIEMS UŽDAVINIAMS SPRĘSTI

Naujojoje politikoje raginama investuoti į viso spektro kibernetinės gynybos pajėgumus ir bus sustiprintas ES karinių ir civilinių kibernetinių bendruomenių veiklos koordinavimas ir bendradarbiavimas. Ji sustiprins bendradarbiavimą su privačiuoju sektoriumi ir veiksmingą kibernetinių krizių valdymą Sąjungoje. Naujoji politika taip pat padės sumažinti mūsų strateginę priklausomybę nuo ypatingos svarbos kibernetinių technologijų ir sustiprinti Europos gynybos pramoninę technologinę bazę (EGPTB). Tai paskatins mokymą, pritrauks ir išlaikys kibernetinius talentus.

ES bendradarbiauja gynybos kibernetinėje erdvėje srityje pasitelkdama Europos Komisijos, Europos išorės veiksmų tarnybos (EIVT), Europos gynybos agentūros, ENISA ir Europos Sąjungos teisėsaugos bendradarbiavimo agentūros (toliau –Europolas) veiklą.

Kibernetinių pajėgumų stiprinimas trečiosiose šalyse

ES bendradarbiauja su kitomis šalimis, kad padėtų stiprinti jų gebėjimus apsiginti nuo kibernetinio saugumo grėsmių. Komisija remia įvairias kibernetinio saugumo programas Vakarų Balkanuose ir šešiose rytinėse partnerystės šalyse ES artimiausiose kaimyninėse šalyse, taip pat kitose šalyse visame pasaulyje per savo Tarptautinio bendradarbiavimo ir vystymosi departamentą.