Kibernetinio saugumo politika

Kibernetinio saugumo strategija

2020 m. pabaigoje Europos Komisija ir Sąjungos vyriausioji įgaliotinė užsienio reikalams ir saugumo politikai pristatė naują ES kibernetinio saugumo strategiją.

Strategija apima pagrindinių paslaugų, pvz., ligoninių, energetikos tinklų ir geležinkelių, saugumą. Jis taip pat apima vis didėjančio prijungtų objektų skaičiaus mūsų namuose, biuruose ir gamyklose saugumą.

Strategijoje daugiausia dėmesio skiriama bendrų pajėgumų, skirtų reaguoti į didelius kibernetinius išpuolius, kūrimui ir bendradarbiavimui su partneriais visame pasaulyje siekiant užtikrinti tarptautinį saugumą ir stabilumą kibernetinėje erdvėje. Jame išdėstoma, kaip Jungtinis kibernetinio saugumo padalinys, naudodamas ES ir valstybių narių turimus kolektyvinius išteklius ir ekspertines žinias, gali užtikrinti veiksmingiausią atsaką į kibernetines grėsmes.

Teisės aktai ir sertifikavimas

Direktyva dėl priemonių aukštam bendram kibernetinio saugumo lygiui visoje Sąjungoje užtikrinti (TIS 2 direktyva)

Kibernetinio saugumo grėsmės beveik visada yra tarpvalstybinės, o kibernetinis išpuolis prieš vienos šalies ypatingos svarbos įrenginius gali turėti įtakos visai ES. ES šalys turi turėti stiprias vyriausybines įstaigas, kurios prižiūri kibernetinį saugumą savo šalyje ir kurios, keisdamosi informacija, bendradarbiauja su savo kolegomis kitose valstybėse narėse. Tai ypač svarbu sektoriams, kurie yra labai svarbūs mūsų visuomenei.

Direktyva dėl tinklų ir informacinių sistemų saugumo (TIS direktyva), kurią dabar įgyvendino visos šalys, užtikrina tokių vyriausybinių įstaigų kūrimą ir bendradarbiavimą. Ši direktyva buvo peržiūrėta 2020 m. pabaigoje.

Po peržiūros proceso 2020 m. gruodžio 16 d. Komisija pateikė pasiūlymą dėl Direktyvos dėl priemonių aukštam bendram kibernetinio saugumo lygiui visoje Sąjungoje užtikrinti (TIS2direktyva). 

Direktyva buvo paskelbta Europos Sąjungos oficialiajame leidinyje 2022 m. gruodžio mėn. ir įsigaliojo 2023 m. sausio 16 d. Valstybės narės per 21 mėnesį nuo direktyvos įsigaliojimo turės perkelti nuostatas į savo nacionalinę teisę (faktinė data: 2024 m. spalio 18 d.).

ENISA – ES kibernetinio saugumo agentūra

ENISA (Europos Sąjungos kibernetinio saugumo agentūra) yra ES agentūra, atsakinga už kibernetinį saugumą. Ji teikia paramą valstybėms narėms, ES institucijoms ir įmonėms pagrindinėse srityse, įskaitant TIS direktyvos įgyvendinimą.

Kibernetinio atsparumo aktas

Pasiūlymu dėl reglamento dėl kibernetinio saugumo reikalavimų produktams su skaitmeniniais elementais, vadinamuoju Kibernetinio atsparumo aktu, sustiprinamos kibernetinio saugumo taisyklės siekiant užtikrinti saugesnę aparatinę ir programinės įrangos produktus.

Kibernetinio saugumo aktas

Kibernetinio saugumo aktu sustiprinamas ENISA vaidmuo. Agentūra dabar turi nuolatinius įgaliojimus ir yra įgaliota prisidėti stiprinant operatyvinį bendradarbiavimą ir krizių valdymą visoje ES. Ji taip pat turi daugiau finansinių ir žmogiškųjų išteklių nei anksčiau. 2023 m. balandžio 18 d. Komisija pasiūlė tikslinį ES kibernetinio saugumo akto pakeitimą.

Kibernetinio solidarumo aktas

2023 m. balandžio 18 d. Europos Komisija pasiūlė ES kibernetinio solidarumo aktą, kuriuo siekiama pagerinti atsaką į kibernetines grėsmes visoje ES. Į pasiūlymą bus įtrauktas Europos kibernetinio saugumo skydas ir išsamus kibernetinių incidentų mechanizmas, kad būtų sukurtas geresnis kibernetinės gynybos metodas.

Sertifikavimas

Mūsų skaitmeninis gyvenimas gali gerai veikti tik tuo atveju, jei visuomenė pasitikės IT produktų ir paslaugų kibernetiniu saugumu. Svarbu, kad pamatytume, jog produktas buvo patikrintas ir sertifikuotas, kad atitiktų aukštus kibernetinio saugumo standartus. Šiuo metu visoje ES taikomos įvairios IT produktų saugumo sertifikavimo sistemos. Turėti bendrą sertifikavimo sistemą visiems būtų lengviau ir aiškiau.

Todėl Komisija kuria ES masto sertifikavimo sistemą, kurios pagrindas – ENISA. Kibernetinio saugumo akte apibrėžiamas šios sistemos įgyvendinimo procesas.

Investicijos

Ekonomikos gaivinimo planas

Kibernetinis saugumas yra vienas iš Komisijos prioritetų reaguojant į koronaviruso krizę, nes karantino metu padaugėjo kibernetinių išpuolių. Europos ekonomikos gaivinimo plane numatytos papildomos investicijos į kibernetinį saugumą.

Parama moksliniams tyrimams ir inovacijoms: Programa „Horizontas 2020“ ir cPPP; Programa „Europos horizontas“

Skaitmeninio saugumo moksliniai tyrimai yra labai svarbūs kuriant novatoriškus sprendimus, kurie gali apsaugoti mus nuo naujausių, pažangiausių kibernetinių grėsmių. Todėl kibernetinis saugumas yra svarbi programos „Horizontas 2020“ ir ją pakeisiančios programos „Europos horizontas“ dalis. 

Programoje „Europos horizontas“ 2021–2027 m. laikotarpiu kibernetinis saugumas yra veiksmų grupės „Civilinė visuomenės sauga“ dalis. 

Pagal programą „Horizontas 2020“ Komisija bendrai finansavo mokslinius tyrimus ir inovacijas tokiose srityse kaip pasirengimas kibernetiniam saugumui pasitelkiant kibernetinius intervalus ir modeliavimą, mažųjų ir vidutinių įmonių kibernetinis saugumas, kibernetinis saugumas elektros energijos ir energetikos sistemoje, kibernetinis saugumas ir duomenų apsauga ypatingos svarbos sektoriuose. Šios temos priklauso veiksmų grupei „Saugi visuomenė. Europos ir jos piliečių laisvės ir saugumo apsauga“.

2016 m. tarp Europos Komisijos ir Europos kibernetinio saugumo organizacijos (ECSO) – asociacijos, kurią sudaro kibernetinės pramonės, akademinės bendruomenės, viešojo administravimo institucijų atstovai ir kt. – buvo sukurta programos „Horizontas 2020“ sutartinė viešojo ir privačiojo sektorių partnerystė kibernetinio saugumo srityje.

Parama kibernetiniams pajėgumams ir jų diegimui

Mūsų fizinė ir skaitmeninė infrastruktūra yra labai glaudžiai susijusi. Todėl Komisija taip pat investavo į kibernetinį saugumą pagal savo 2014–2020 m. investicijų į infrastruktūrą finansavimo programą – Europos infrastruktūros tinklų priemonę (EITP).

EITP parama teikiama reagavimo į kompiuterinius saugumo incidentus grupėms, esminių paslaugų operatoriams, skaitmeninių paslaugų teikėjams, bendriems informaciniams centrams ir nacionalinėms kompetentingoms institucijoms (NKI). Taip stiprinami kibernetinio saugumo pajėgumai ir tarpvalstybinis bendradarbiavimas ES, padedant įgyvendinti ES kibernetinio saugumo strategiją.

2021–2027 m. Skaitmeninės Europos programa yra plataus užmojo programa, pagal kurią planuojama investuoti 1,9 mlrd. EUR į kibernetinio saugumo pajėgumus ir platų kibernetinio saugumo infrastruktūros ir priemonių diegimą visoje ES viešojo administravimo institucijoms, įmonėms ir asmenims.

Kibernetinis saugumas taip pat yra programos „InvestEU“ dalis. „InvestEU“ yra bendroji programa, kuri sujungia daug finansinių priemonių ir naudoja viešąsias investicijas, kad užtikrintų tolesnes privačiojo sektoriaus investicijas. Jos strateginių investicijų priemone bus remiamos pagrindinės kibernetinio saugumo vertės grandinės. Tai svarbi ekonomikos gaivinimo priemonių rinkinio, kuriuo reaguojama į koronaviruso krizę, dalis.

Kibernetinio saugumo kompetencijos centras ir tinklas; Atlas

Europos kibernetinio saugumo pramonės, technologijų ir mokslinių tyrimų kompetencijos centras sutelks ekspertines žinias ir suderins Europos kibernetinio saugumo technologijų kūrimą ir diegimą. Ji bendradarbiaus su pramone, akademine bendruomene ir kitais subjektais, kad parengtų bendrą investicijų į kibernetinį saugumą darbotvarkę ir nuspręstų dėl mokslinių tyrimų, technologinės plėtros ir kibernetinio saugumo sprendimų diegimo prioritetų pagal programą „Europos horizontas“ ir Skaitmeninės Europos programas.

Šiuo metu vykdomi keturi bandomieji projektai, kuriais siekiama padėti pagrindą Kompetencijos centrui ir tinklui. Jame dalyvauja daugiau nei 170 partnerių.

Siekdama geriau apžvelgti kibernetinio saugumo ekspertines žinias ir pajėgumus visoje ES, Komisija sukūrė išsamią platformą „ Kibernetinio saugumo atlasas “.

Politikos gairės

Koordinuoto atsako į didelius kibernetinius išpuolius projektas

Komisijos greitojo reagavimo į ekstremaliąsias situacijas plane pateikiamas planas didelio masto tarpvalstybinio kibernetinio incidento ar krizės atveju. Jame nustatyti valstybių narių ir ES institucijų bendradarbiavimo tikslai ir būdai reaguojant į tokius incidentus ir krizes. Jame paaiškinama, kaip esamais krizių valdymo mechanizmais galima visapusiškai pasinaudoti esamais kibernetinio saugumo subjektais ES lygmeniu.

Jungtinis kibernetinio saugumo padalinys

Vykdydama tolesnę veiklą, Komisijos Pirmininkė Ursula von der Leyen paskelbė pasiūlymą įsteigti ES masto jungtinį kibernetinio saugumo padalinį. 2021 m. birželio 23 d. Komisijos paskelbta Rekomendacija dėl Jungtinio kibernetinio saugumo padalinio sukūrimo yra svarbus žingsnis siekiant baigti kurti Europos kibernetinio saugumo krizių valdymo sistemą. Tai konkretus ES kibernetinio saugumo strategijos ir ES saugumo sąjungos strategijos rezultatas, kuriuo prisidedama prie saugios skaitmeninės ekonomikos ir visuomenės kūrimo.

Jungtinis kibernetinio saugumo padalinys veiks kaip platforma, skirta užtikrinti ES koordinuotą atsaką į didelio masto kibernetinius incidentus ir krizes, taip pat teikti pagalbą atsigaunant po šių išpuolių.

Saugus 5G diegimas ES

Planuojama, kad 5G tinklai bus diegiami visoje ES. Jie duos didžiulę naudą, bet taip pat turės daugiau potencialių įėjimo taškų užpuolikams dėl mažiau centralizuoto jų architektūros pobūdžio, didesnio antenų skaičiaus ir padidėjusios priklausomybės nuo programinės įrangos. ES 5G priemonių rinkinyje nustatytos priemonės, kuriomis siekiama sugriežtinti 5G tinklų saugumo reikalavimus, taikyti atitinkamus apribojimus tiekėjams, kurie laikomi keliančiais didelę riziką, ir užtikrinti pardavėjų įvairinimą.

Rinkimų proceso užtikrinimas

Mūsų Europos demokratijos tapo vis labiau skaitmenizuotos: politinės kampanijos vyksta internetu, o patys rinkimai vyksta elektroniniu būdu balsuojant daugelyje šalių. 

Komisija paskelbė rekomendacijas dėl Europos Parlamento rinkimų kibernetinio saugumo, kurios yra platesnio rekomendacijų rinkinio, skirto laisviems ir sąžiningiems Europos Parlamento rinkimams remti, dalis. Likus mėnesiui iki 2019 m. Europos Parlamento rinkimų, Europos Parlamentas, ES šalys, Komisija ir ENISA tiesiogiai išbandė savo pasirengimą.

Įgūdžiai ir informuotumas

Įgūdžiai

Skaitmeninį saugumą galime užtikrinti tik turėdami tinkamų žinių ir įgūdžių turinčius ekspertus, o šiuo metu jų nepakanka. Todėl Komisija imasi veiksmų, kad paskatintų kibernetinio saugumo įgūdžių ugdymą.

Komisija parengė raginimą sukurti nuoseklią sistemą, skirtą kibernetinio saugumo įgūdžių ugdymui universitetiniame ir profesiniame ugdyme. Šiuo metu šiuo metu vykdomi keturi bandomieji projektai, kuriais rengiamas ECSO kibernetinio saugumo kompetencijos centras ir tinklas. Taip pat yra pasikartojančių tiesiogiai studentams skirtų iniciatyvų, pavyzdžiui, kasmetinis Europos kibernetinio saugumo iššūkis.

Kibernetinio saugumo įgūdžiai patenka į Komisijos bendrąją skaitmeninių įgūdžių darbotvarkę. Jos taip pat yra finansavimo pagal programą „Horizontas 2020“, programą „Europos horizontas“ ir Skaitmeninės Europos programą dalis. Vienas iš pavyzdžių – kibernetinių nuotolių, kurie yra kibernetinių grėsmių imitavimo aplinka mokymui, finansavimas.

Informuotumas

Žmogiškasis veiksnys dažnai yra silpna kibernetinio saugumo grandis: kažkas, paspaudęs sukčiavimo nuorodą, gali turėti didžiulių pasekmių. Todėl Komisija didina informuotumą apie kibernetinį saugumą ir skatina plačiąją visuomenę naudotis geriausia patirtimi. Pavyzdžiui, kartą per metus ji kartu su ENISA organizuoja Europos kibernetinio saugumo mėnesį.

ES kibernetinio saugumo įgūdžių akademija

ES kibernetinio saugumo įgūdžių akademija, įsteigta kaip Europos įgūdžių metų dalis, sutelks privačias ir viešąsias iniciatyvas Europos ir nacionaliniu lygmenimis, kad būtų panaikintas kibernetinio saugumo darbo jėgos trūkumas. Iniciatyva bus skelbiama internete Komisijos darbo vietų ir įgūdžių platformoje, joje bus numatytos finansavimo galimybės, mokymai ir sertifikatai iš visos ES tiems, kurie domisi karjera kibernetinio saugumo srityje.

Komunikatas dėl ES kibernetinių įgūdžių akademijos

ES kibernetinių įgūdžių akademijos informacijos suvestinė

Kibernetinė bendruomenė

ENISA – ES kibernetinio saugumo agentūra

ENISA yra ES agentūra, sprendžianti kibernetinio saugumo klausimus. Ji teikia paramą valstybėms narėms, ES institucijoms ir įmonėms pagrindinėse srityse, įskaitant TIS direktyvos įgyvendinimą.

ISAC

Keitimosi informacija ir analizės centrai (ISAC) skatina kibernetinio saugumo bendruomenės bendradarbiavimą įvairiuose ekonomikos sektoriuose. Tolesnis ISAC plėtojimas tiek ES, tiek nacionaliniu lygmeniu yra Komisijos prioritetas. Bendradarbiaudama su ENISA, Komisija taip pat skatina naujų ISAC įsteigimą neįtrauktuose sektoriuose. Komisijos prižiūrimas ES ISAC konsorciumas teikia teisinę, techninę ir organizacinę paramą ISAC.

JRC

Komisijos Jungtinis tyrimų centras (JRC) aktyviai prisideda prie kibernetinio saugumo ES. Pavyzdžiui, JTC parengė kibernetinio saugumo taksonomiją. Taip suderinami kibernetinio saugumo srityje vartojami terminai, kad galėtume susidaryti aiškesnę kibernetinio saugumo pajėgumų ES apžvalgą.

JTC taip pat neseniai paskelbė ataskaitą „Kibernetinis saugumas– mūsų skaitmeninis inkaras“, kurioje pateikiama įžvalgų apie dabartinę ES kibernetinio saugumopadėtį ir jos istoriją.

CSIRT/CERT

Pagal TIS direktyvą ES valstybės narės privalo užtikrinti, kad jos turėtų gerai veikiančias reagavimo į kompiuterinius saugumo incidentus tarnybas (CSIRT), dar žinomas kaip kompiuterinių incidentų tyrimo tarnybos (CERT). Šios grupės praktiškai sprendžia kibernetinio saugumo incidentus ir riziką. Jos bendradarbiauja tarpusavyje ES lygmeniu, taip pat bendradarbiauja su privačiuoju sektoriumi. Paskirtos CSIRT turi apimti visų tipų esminių paslaugų operatorius ir skaitmeninių paslaugų teikėjus.

Pagrindinės CSIRT užduotys:

• stebėti incidentus nacionaliniu lygmeniu;
• atitinkamiems suinteresuotiesiems subjektams teikia išankstinius įspėjimus, įspėjimus, pranešimus ir kitą informaciją apie riziką ir incidentus;
• reagavimas į incidentus;
• užtikrinti dinamišką rizikos ir incidentų analizę ir informuotumą apie padėtį;
• dalyvavimas CSIRT tinkle.

ECSO

Europos kibernetinio saugumo organizacija (ECSO) buvo įsteigta 2016 m., kad veiktų kaip Komisijos partnerė sutartinėje viešojo ir privačiojo sektorių partnerystėje, apimančioje programą „Horizontas 2020“ 2016–2020 m. Dauguma iš 250 ECSO narių priklauso kibernetinio saugumo pramonei arba šios srities mokslinių tyrimų ir akademinėms institucijoms. Mažesniu mastu ECSO narius taip pat sudaro viešojo sektoriaus subjektai ir paklausos sektoriai.

ECSO ne tik teikia rekomendacijas dėl programos „Horizontas 2020“, bet ir vykdo įvairią veiklą, kuria siekiama Europos lygmeniu kurti bendruomenes ir plėtoti pramonę.

Women4Cyber

Svarbu pabrėžti moterų, kurioms nepakankamai atstovaujama kibernetinio saugumo bendruomenėje, vaidmenį. Todėl Komisija, bendradarbiaudama su ECSO iniciatyva „Moterys4Cyber “, įsteigė registrą „Moterys4Cyber“. Žiniasklaidai, renginių organizatoriams ir kitiems lengviau rasti daug talentingų moterų, dirbančių kibernetinio saugumo srityje, todėl šios moterys tampa labiau matomos ir matomos kibernetinėje bendruomenėje ir viešose diskusijose.

Kitos kibernetinės politikos sritys

Elektroniniai nusikaltimai

Paprasti nusikaltėliai naudojasi kibernetiniais išpuoliais, keliančiais grėsmę europiečiams. Komisijos Migracijos ir vidaus reikalų skyrius stebi ir atnaujina ES teisės aktus dėl elektroninių nusikaltimų ir remia teisėsaugos pajėgumus. Komisija taip pat bendradarbiauja su Europolo Europos kovos su elektroniniu nusikalstamumu centru.

Kibernetinė diplomatija

ES deda pastangas, kad apsisaugotų nuo kibernetinių grėsmių, kylančių už jos sienų. Šiuo tikslu Komisija bendradarbiauja su Europos išorės veiksmų tarnyba ir valstybėmis narėmis, kad būtų įgyvendintas bendras diplomatinis atsakas į kibernetinę kenkimo veiklą (kibernetinės diplomatijos priemonių rinkinys). Šis atsakas apima diplomatinį bendradarbiavimą ir dialogą, prevencines kovos su kibernetiniais išpuoliais priemones ir sankcijas asmenims, dalyvaujantiems kibernetiniuose išpuoliuose, keliančiuose grėsmę ES.

Prireikus Komisija padeda priimti sprendimus dėl reagavimo į išorės kibernetines grėsmes. Ji taip pat tiesiogiai finansuoja vykdomą ES paramos kibernetinei diplomatijai iniciatyvą.

Kibernetinė gynyba

2022 m. lapkričio 10 d. Komisija ir vyriausioji įgaliotinė pateikė bendrą komunikatą dėl ES kibernetinės gynybos politikos, siekdami spręsti blogėjančią saugumo aplinką po Rusijos agresijos prieš Ukrainą ir padidinti ES gebėjimą apsaugoti savo piliečius ir infrastruktūrą.  

ES kibernetinės gynybos politika grindžiama keturiais ramsčiais, apimančiais įvairias iniciatyvas, kurios padės ES ir valstybėms narėms geriau nustatyti kibernetinius išpuolius, atgrasyti nuo jų ir nuo jų apsisaugoti:

1. Veikti kartu siekiant stipresnės ES kibernetinės gynybos

2. Apsaugokite gynybos ekosistemą

3. Investuoti į kibernetinės gynybos pajėgumus

4. Partneris bendriems uždaviniams spręsti

Pagal naująją politiką raginama investuoti į visapusiškus kibernetinės gynybos pajėgumus ir bus sustiprintas ES karinių ir civilinių kibernetinių bendruomenių veiklos koordinavimas ir bendradarbiavimas. Ji sustiprins bendradarbiavimą su privačiuoju sektoriumi ir veiksmingą kibernetinių krizių valdymą Sąjungoje. Naujoji politika taip pat padės sumažinti mūsų strateginę priklausomybę ypatingos svarbos kibernetinių technologijų srityje ir sustiprinti Europos gynybos technologinę pramoninę bazę (EGPTB). Tai skatins mokymą, kibernetinių talentų pritraukimą ir išlaikymą.

ES bendradarbiauja gynybos kibernetinėje erdvėje srityje vykdydama Europos Komisijos, Europos išorės veiksmų tarnybos (EIVT), Europos gynybos agentūros, taip pat ENISA ir Europos Sąjungos teisėsaugos bendradarbiavimo agentūros (Europolo) veiklą.

Kibernetinių pajėgumų stiprinimas trečiosiose šalyse

ES bendradarbiauja su kitomis šalimis, kad padėtų stiprinti jų gebėjimus apsiginti nuo kibernetinio saugumo grėsmių. Komisija remia įvairias kibernetinio saugumo programas Vakarų Balkanuose ir šešiose rytinėse partnerystės šalyse, esančiose artimiausiose ES kaimyninėse šalyse, taip pat kitose šalyse visame pasaulyje per savo Tarptautinio bendradarbiavimo ir vystymosi departamentą.