Kiberdrošības politika

Kiberdrošības stratēģija

Eiropas Komisija un Savienības Augstā pārstāve ārlietās un drošības politikas jautājumos 2020. gada beigās nāca klajā ar jaunu ES kiberdrošības stratēģiju.

Stratēģija attiecas uz tādu pamatpakalpojumu drošību kā slimnīcas, energotīkli un dzelzceļi. Tas attiecas arī uz arvien pieaugošā savienoto objektu skaita drošību mūsu mājās, birojos un rūpnīcās.

Stratēģijas uzmanības centrā ir kolektīvo spēju veidošana, lai reaģētu uz lieliem kiberuzbrukumiem, un sadarbība ar partneriem visā pasaulē, lai nodrošinātu starptautisko drošību un stabilitāti kibertelpā. Tajā izklāstīts, kā Kopīgā kibervienība var nodrošināt visefektīvāko reakciju uz kiberdraudiem, izmantojot ES un dalībvalstīm pieejamos kolektīvos resursus un speciālās zināšanas.

Tiesību akti un sertifikācija

Direktīva par pasākumiem nolūkā panākt vienādi augsta līmeņa kiberdrošību visā Savienībā (TID2 direktīva)

Kiberdrošības draudi gandrīz vienmēr ir pārrobežu draudi, un kiberuzbrukums vienas valsts kritiskajām iekārtām var ietekmēt ES kopumā. ES valstīm ir vajadzīgas spēcīgas valdības struktūras, kas uzrauga kiberdrošību savā valstī un sadarbojas ar kolēģiem citās dalībvalstīs, apmainoties ar informāciju. Tas ir īpaši svarīgi nozarēm, kas ir svarīgas mūsu sabiedrībai.

Tīklu un informācijas sistēmu drošības direktīva (TID direktīva), ko tagad īsteno visas valstis, nodrošina šādu valsts iestāžu izveidi un sadarbību. Šī direktīva tika pārskatīta 2020. gada beigās.

Pārskatīšanas procesa rezultātā Komisija 2020. gada 16. decembrī iesniedza priekšlikumu direktīvai par pasākumiem nolūkā panākt vienādi augsta līmeņa kiberdrošību visā Savienībā (TID2direktīva). 

Direktīva tika publicēta Eiropas Savienības Oficiālajā Vēstnesī 2022. gada decembrī un stāsies spēkā 2023. gada 16. janvārī. Dalībvalstīm būs 21 mēnesis no direktīvas stāšanās spēkā, lai iekļautu noteikumus savos tiesību aktos (faktiskais datums: 2024. gada 18. oktobris).

ENISA — ES kiberdrošības aģentūra

ENISA (Eiropas Savienības Kiberdrošības aģentūra) ir ES aģentūra, kas nodarbojas ar kiberdrošību. Tā sniedz atbalstu dalībvalstīm, ES iestādēm un uzņēmumiem galvenajās jomās, tostarp TID direktīvas īstenošanā.

Kiberdrošības likums

Kiberdrošības akts stiprina ENISA lomu. Aģentūrai tagad ir pastāvīgas pilnvaras, un tā ir pilnvarota veicināt gan operatīvo sadarbību, gan krīžu pārvarēšanu visā ES. Tai ir arī vairāk finanšu un cilvēkresursu nekā iepriekš.

Sertifikācija

Mūsu digitālā dzīve var darboties labi tikai tad, ja sabiedrība kopumā uzticas IT produktu un pakalpojumu kiberdrošībai. Ir svarīgi, lai mēs varētu redzēt, ka produkts ir pārbaudīts un sertificēts, lai tas atbilstu augstiem kiberdrošības standartiem. Pašlaik visā ES ir dažādas IT produktu drošības sertifikācijas shēmas. Vienota kopēja sertifikācijas sistēma būtu vieglāka un skaidrāka ikvienam.

Tāpēc Komisija strādā pie ES mēroga sertifikācijas sistēmas, kuras centrā ir ENISA. Kiberdrošības aktā ir izklāstīts šā satvara sasniegšanas process.

Investīcijas

Atveseļošanas plāns

Kiberdrošība ir viena no Komisijas prioritātēm, reaģējot uz koronavīrusa krīzi, jo pārvietošanās ierobežojumu laikā palielinājās kiberuzbrukumi. Eiropas atveseļošanas plānā ir iekļautas papildu investīcijas kiberdrošības jomā.

Atbalsts pētniecībai un inovācijai: “Apvārsnis 2020” un cPPP; “Apvārsnis Eiropa”

Digitālās drošības pētniecība ir būtiska, lai izveidotu inovatīvus risinājumus, kas var mūs aizsargāt pret jaunākajiem, vismodernākajiem kiberdraudiem. Tāpēc kiberdrošība ir svarīga pamatprogrammas “Apvārsnis 2020” daļa un tās pēctece “Apvārsnis Eiropa”. 

Pamatprogrammā “Apvārsnis Eiropa” laikposmā no 2021. līdz 2027. gadam kiberdrošība ir daļa no kopas “Civilā drošība sabiedrībai”. Pašlaik tiek gatavota darba programma 2021.–2022. gadam.

Pamatprogrammas “Apvārsnis 2020” ietvaros Komisija līdzfinansēja pētniecību un inovāciju tādās jomās kā gatavība kiberdrošībai, izmantojot kiberapjomus un simulācija, kiberdrošība maziem un vidējiem uzņēmumiem, kiberdrošība elektroenerģijas un energosistēmā un kiberdrošība un datu aizsardzība kritiskās nozarēs. Šie temati ietilpst kopā “Droša sabiedrība — Eiropas un tās iedzīvotāju brīvības un drošības aizsardzība”.

2016. gadā starp Eiropas Komisiju un Eiropas Kiberdrošības organizāciju (ECSO) tika izveidota publiskā un privātā sektora līgumiskā partnerība (cPPP) kiberdrošības jomā — asociācija, ko veido locekļi no kibernozares, akadēmiskajām aprindām, publiskās pārvaldes iestādēm u. c.

Atbalsts kiberspējām un izvēršanai

Mūsu fiziskā un digitālā infrastruktūra ir ļoti cieši saistīta. Tāpēc Komisija ir arī ieguldījusi līdzekļus kiberdrošībā kā daļa no tās infrastruktūras investīciju finansēšanas programmas — Eiropas infrastruktūras savienošanas instrumenta (EISI) — laikposmam no 2014. līdz 2020. gadam.

EISI atbalsts ir piešķirts datordrošības incidentu reaģēšanas vienībām, pamatpakalpojumu sniedzējiem (OES), digitālo pakalpojumu sniedzējiem (DSP), vienotajiem kontaktpunktiem (SPOC) un valstu kompetentajām iestādēm (VKI). Tas uzlabo kiberdrošības spējas un pārrobežu sadarbību ES, atbalstot ES kiberdrošības stratēģijas īstenošanu.

Programma “Digitālā Eiropa” laikposmam no 2021. līdz 2027. gadam ir vērienīga programma, kas plāno ieguldīt 1,9 miljardus eiro kiberdrošības spējā un kiberdrošības infrastruktūru un rīku plašai izvēršanai visā ES publiskās pārvaldes iestādēm, uzņēmumiem un privātpersonām.

Kiberdrošība ir arī daļa no InvestEU. InvestEU ir vispārēja programma, kas apvieno daudzus finanšu instrumentus un izmanto publiskās investīcijas, lai nodrošinātu turpmākas investīcijas no privātā sektora. Tās stratēģiskais ieguldījumu mehānisms atbalstīs galvenās vērtību ķēdes kiberdrošības jomā. Tā ir svarīga atveseļošanas pasākumu kopuma daļa, reaģējot uz koronavīrusa krīzi.

Kiberdrošības kompetenču centrs un tīkls; Atlasa Atlasa

Eiropas kiberdrošības industriālais, tehnoloģiskais un pētnieciskais kompetences centrs apvienos lietpratību un saskaņos kiberdrošības tehnoloģiju izstrādi un ieviešanu Eiropā. Tā sadarbosies ar nozares pārstāvjiem, akadēmiskajām aprindām un citiem, lai izveidotu kopīgu programmu investīcijām kiberdrošībā un lemtu par finansēšanas prioritātēm kiberdrošības risinājumu pētniecībai, izstrādei un izvēršanai, izmantojot programmas “Apvārsnis Eiropa” un programmas “Digitālā Eiropa”.

Pašlaik tiek īstenoti četri izmēģinājuma projekti, lai sagatavotu pamatu Kompetenču centram un tīklam. Tajās ir iesaistīti vairāk nekā 170 partneri.

Lai gūtu labāku pārskatu par lietpratību un spējām kiberdrošības jomā visā ES, Komisija ir izstrādājusi visaptverošu platformu ar nosaukumu “ Kiberdrošības atlants”.

Politikas pamatnostādnes

Plāns koordinētai reaģēšanai uz lieliem kiberuzbrukumiem

Komisijas plāns ātrai reaģēšanai ārkārtas situācijās paredz plānu liela mēroga pārrobežu kiberincidenta vai krīzes gadījumā. Tajā izklāstīti mērķi un sadarbības veidi starp dalībvalstīm un ES iestādēm, reaģējot uz šādiem incidentiem un krīzēm. Tajā paskaidrots, kā esošie krīzes pārvarēšanas mehānismi var pilnībā izmantot esošās kiberdrošības vienības ES līmenī.

Kopējā kibervienība

Pēc tam Komisijas priekšsēdētāja Urzula fon der Leiena paziņoja par priekšlikumu izveidot ES mēroga kopīgu kibervienību. Ieteikums par Kopējās kibervienības izveidi, par kuru Komisija paziņoja 2021. gada 23. jūnijā, ir svarīgs solis ceļā uz Eiropas kiberdrošības krīzes pārvarēšanas satvara pabeigšanu. Tas ir konkrēts ES kiberdrošības stratēģijas un ESDrošības savienības stratēģijas rezultāts, kas veicina drošu digitālo ekonomiku un sabiedrību.

Kopējā kibervienība darbosies kā platforma, lai nodrošinātu koordinētu ES reakciju uz plaša mēroga kiberincidentiem un krīzēm, kā arī piedāvātu palīdzību, lai atgūtos no šiem uzbrukumiem.

Droša 5G izvēršana ES

Ir plānots, ka 5G tīkli tiks izvērsti visā ES. Tie piedāvās milzīgas priekšrocības, bet tiem būs arī vairāk potenciālo ieejas punktu uzbrucējiem, jo viņu arhitektūra ir mazāk centralizēta, lielāks antenu skaits un lielāka atkarība no programmatūras. ES 5G rīkkopā ir izklāstīti pasākumi, lai stiprinātu 5G tīklu drošības prasības, piemērotu attiecīgus ierobežojumus piegādātājiem, kas tiek uzskatīti par augsta riska piegādātājiem, un nodrošinātu pārdevēju diversifikāciju.

Vēlēšanu procesa nodrošināšana

Mūsu Eiropas demokrātijas kļūst arvien digitālākas: politiskās kampaņas notiek tiešsaistē, un vēlēšanas notiek, izmantojot elektronisko balsošanu daudzās valstīs. 

Komisija ir sniegusi ieteikumus Eiropas Parlamenta vēlēšanu kiberdrošībai kā daļu no plašāka ieteikumu kopuma, lai atbalstītu brīvas un godīgas Eiropas vēlēšanas. Mēnesi pirms 2019. gada Eiropas Parlamenta vēlēšanām Eiropas Parlaments, ES valstis, Komisija un ENISA veica savu sagatavotības pārbaudi.

Prasmes un informētība

Prasmes un prasmes

Mēs varam nodrošināt digitālo drošību tikai tad, ja mums ir eksperti ar pareizām zināšanām un prasmēm, un pašlaik nepietiek. Tāpēc Komisija rīkojas, lai stimulētu kiberdrošības prasmju attīstību.

Komisija sagatavoja aicinājumu izveidot saskaņotu satvaru kiberdrošības prasmju mācīšanai universitātē un profesionālajā izglītībā. Pie tā pašlaik strādā četri izmēģinājuma projekti, kas sagatavo kiberdrošības kompetenču centru un tīklu, ko veic ECSO. Ir arī atkārtotas iniciatīvas, kas paredzētas tieši studentiem, piemēram, ikgadējā Eiropas kiberdrošības problēma.

Kiberdrošības prasmes ietilpst Komisijas vispārējā digitālo prasmju programmā. Tās ir arī daļa no finansēšanas centieniem saskaņā ar pamatprogrammu “Apvārsnis 2020”, pamatprogrammu “Apvārsnis Eiropa” un programmu “Digitālā Eiropa”. Viens no piemēriem ir finansējums “kiberdiapazoniem”, kas ir kiberdraudu dzīvās simulācijas vides apmācībai.

Informētība

Cilvēciskais faktors bieži vien ir vāja saikne kiberdrošības jomā: kādam, kas noklikšķina uz pikšķerēšanas saites, var būt milzīgas sekas. Tāpēc Komisija palielina informētību par kiberdrošību un popularizē paraugpraksi sabiedrībā. Piemēram, reizi gadā tā kopā ar ENISA organizē Eiropas kiberdrošības mēnesi.

Kibernoziedznieku kopiena

ENISA — ES kiberdrošības aģentūra

ENISA ir ES aģentūra, kas nodarbojas ar kiberdrošību. Tā sniedz atbalstu dalībvalstīm, ES iestādēm un uzņēmumiem galvenajās jomās, tostarp TID direktīvas īstenošanā.

ISACs

Informācijas apmaiņas un analīzes centri (ISAC) veicina sadarbību starp kiberdrošības kopienu dažādās ekonomikas nozarēs. Komisijas prioritāte ir turpināt attīstīt ISAC gan ES, gan valstu līmenī. Sadarbībā ar ENISA Komisija arī veicina jaunu ISAC izveidi nozarēs, kas nav aptvertas. Komisijas pārraudzībā esošais ES ISAC konsorcijs sniedz juridisku, tehnisku un organizatorisku atbalstu ISAC.

KPC

Komisijas Kopīgais pētniecības centrs (JRC) aktīvi veicina kiberdrošību ES. Piemēram, JRC ir izstrādājis kiberdrošības taksonomiju. Tādējādi tiek saskaņota kiberdrošībai izmantotā terminoloģija, lai mēs varētu gūt skaidrāku priekšstatu par kiberdrošības spējām ES.

JRC nesen publicēja arī ziņojumu “Kiberdrošība — mūsu digitālais enkurs”, kurā sniegts pārskats par pašreizējo ES kiberdrošības vidi un tās vēsturi.

CSIRT/CERT

Saskaņā ar TID direktīvu ES dalībvalstīm ir jānodrošina, ka tām ir labi funkcionējošas datordrošības incidentu reaģēšanas vienības (“CSIRT”), kas pazīstamas arī kā datorapdraudējumu reaģēšanas vienības (“CERT”). Šīs grupas nodrošina kiberdrošības incidentu un risku risināšanu praksē. Tās savstarpēji sadarbojas ES līmenī, kā arī sadarbojas ar privāto sektoru. Izraudzītajām CSIRT ir jāattiecas uz visu veidu pamatpakalpojumu sniedzējiem un digitālo pakalpojumu sniedzējiem.

CSIRT galvenie uzdevumi ir šādi:

• incidentu uzraudzība valsts līmenī;
• sniegt attiecīgajām ieinteresētajām personām agrīnu brīdināšanu, brīdinājumus, paziņojumus un citu informāciju par riskiem un incidentiem;
• reaģēšana uz incidentiem;
• nodrošināt dinamisku riska un incidentu analīzi un situācijas apzināšanos;
• dalība CSIRT tīklā.

EKSO (ECSO)

Eiropas Kiberdrošības organizācija (ECSO) tika izveidota 2016. gadā, lai no 2016. līdz 2020. gadam darbotos kā Komisijas partneris līgumiskā publiskā un privātā sektora partnerībā, kas aptver pamatprogrammu “Apvārsnis 2020”. Lielākā daļa ECSO 250 locekļu ir vai nu kiberdrošības industrijā, vai pētniecības un akadēmiskajās iestādēs šajā jomā. Mazākā mērā EKSO locekļi ir arī publiskā sektora dalībnieki un pieprasījuma puses nozares.

Papildus ieteikumiem par pamatprogrammu “Apvārsnis 2020” EKSO veic dažādus pasākumus, kuru mērķis ir kopienu veidošana un rūpniecības attīstība Eiropas līmenī.

Women4Cyber Sistēmas Prasības

Ir svarīgi uzsvērt sieviešu lomu kiberdrošības kopienā, kuras ir nepietiekami pārstāvētas. Tāpēc Komisija sadarbībā ar ECSO iniciatīvu Women4Cyber ir izveidojusi reģistru Women4Cyber. Tas ļauj plašsaziņas līdzekļiem, pasākumu organizatoriem un citiem vieglāk atrast daudzās talantīgās sievietes, kas strādā kiberdrošības jomā, lai šīs sievietes kļūtu redzamākas un redzamākas kiberkopienā un publiskajās debatēs.

Citas kiberpolitikas jomas

Kibernoziedzība

Parastie noziedznieki izmanto kiberuzbrukumus, kas apdraud eiropiešus. Komisijas Migrācijas un iekšlietu departaments uzrauga un atjaunina ES tiesību aktus par kibernoziedzību un atbalsta tiesībaizsardzības spējas. Komisija sadarbojas arī ar Eiropas Kibernoziedzības centru Eiropolā.

Kiberdiplomātija

ES cenšas sevi aizsargāt pret kiberdraudiem, kas rodas ārpus tās robežām. Kā daļu no tā Komisija sadarbojas ar Eiropas Ārējās darbības dienestu un dalībvalstīm, lai īstenotu kopīgu diplomātisko reakciju uz ļaunprātīgām kiberdarbībām ( “kiberdiplomātijas instrumentu kopums”). Šī reakcija ietver diplomātisko sadarbību un dialogu, preventīvus pasākumus pret kiberuzbrukumiem un sankcijas pret tiem, kas iesaistīti kiberuzbrukumos, kuri apdraud ES.

Komisija vajadzības gadījumā palīdz pieņemt lēmumus par reaģēšanu uz ārējiem kiberdraudiem. Tā arī tieši finansē pašreizējo ES kiberdiplomātijas atbalsta iniciatīvu.

Kiberaizsardzība

Komisija un Augstā pārstāve 2022. gada 10. novembrī nāca klajā ar kopīgu paziņojumu par ES kiberaizsardzības politiku, lai risinātu drošības vides pasliktināšanos pēc Krievijas agresijas pret Ukrainu un palielinātu ES spēju aizsargāt savus iedzīvotājus un infrastruktūru.  

ES kiberaizsardzības politika balstās uz četriem pīlāriem, kas aptver plašu iniciatīvu klāstu, kas palīdzēs ES un dalībvalstīm labāk atklāt kiberuzbrukumus, atturēt no tiem un aizsargāt pret tiem:

1. KOPĪGI RĪKOTIES, LAI PANĀKTU SPĒCĪGĀKU ES KIBERAIZSARDZĪBU

2. AIZSARGĀT AIZSARDZĪBAS EKOSISTĒMU

3. IEGULDĪT KIBERAIZSARDZĪBAS SPĒJĀS

4. PARTNERIS KOPĪGU PROBLĒMU RISINĀŠANĀ

Jaunā politika aicina veikt ieguldījumus pilna spektra kiberaizsardzības spējās, un tā stiprinās koordināciju un sadarbību starp ES militārajām un civilajām kiberkopienām. Tas uzlabos sadarbību ar privāto sektoru un efektīvu kiberkrīzes pārvaldību Savienībā. Jaunā politika arī palīdzēs samazināt mūsu stratēģisko atkarību no kritiskām kibertehnoloģijām un stiprinās Eiropas aizsardzības tehnoloģisko rūpniecisko pamatu (EDTIB). Tas stimulēs kibertalanta apmācību, piesaisti un noturēšanu.

ES sadarbojas aizsardzības jomā kibertelpā, izmantojot Eiropas Komisijas, Eiropas Ārējās darbības dienesta (EĀDD), Eiropas Aizsardzības aģentūras, kā arī ENISA un Eiropas Savienības Aģentūras tiesībaizsardzības sadarbībai (Eiropola) darbības.

Kiberspēju veidošana trešās valstīs

ES sadarbojas ar citām valstīm, lai palīdzētu veidot to spējas aizsargāties pret kiberdrošības apdraudējumiem. Komisija ar Starptautiskās sadarbības un attīstības departamenta starpniecību atbalsta dažādas kiberdrošības programmas Rietumbalkānos un sešās austrumu partnerības valstīs ES tuvākajās kaimiņvalstīs, kā arī citās valstīs visā pasaulē.