Kiberdrošības politika

Eiropas Komisija un Savienības Augstais pārstāvis ārlietās un drošības politikas jautājumos 2020. gada beigās nāca klajā ar jaunu ES kiberdrošības stratēģiju.

Stratēģija aptver tādu pamatpakalpojumu drošību kā slimnīcas, energotīkli un dzelzceļi. Tas attiecas arī uz arvien pieaugošo savienoto objektu drošību mūsu mājās, birojos un rūpnīcās.

Stratēģija ir vērsta uz kolektīvo spēju veidošanu, lai reaģētu uz lieliem kiberuzbrukumiem, un sadarbību ar partneriem visā pasaulē, lai nodrošinātu starptautisko drošību un stabilitāti kibertelpā.

Direktīva, ar ko paredz pasākumus nolūkā panākt vienādi augsta līmeņa kiberdrošību visā Savienībā (TID 2 direktīva)

Kiberdrošības apdraudējumi gandrīz vienmēr ir pārrobežu draudi, un kiberuzbrukums vienas valsts kritiskajām iekārtām var ietekmēt ES kopumā. ES valstīm ir vajadzīgas spēcīgas valdības struktūras, kas uzrauga kiberdrošību savā valstī un sadarbojas ar līdzīgām struktūrām citās dalībvalstīs, apmainoties ar informāciju. Tas ir īpaši svarīgi nozarēm, kas ir kritiski svarīgas mūsu sabiedrībai.

Pirmā direktīva par tīklu un informācijas sistēmu drošību (TIDdirektīva)nodrošina šādu valsts iestāžu izveidi un sadarbību. Šī direktīva 2020. gada beigās tika pārskatīta, kā rezultātā tika ierosināta un pieņemta TID 2 direktīva. Dalībvalstīm līdz 2024. gada 18. oktobrim bija pilnībā jātransponē un jāīsteno TID2.

ENISA — ES Kiberdrošības aģentūra

ENISA ir Eiropas Savienības Kiberdrošības aģentūra, kas tika izveidota 2005. gadā. Pilnvaras tika pārskatītas 2019. gadā, un kopš tā laika Aģentūrai ir pastāvīgas pilnvaras. 

ENISA galvenie mērķi un uzdevumi ir noteikti pamataktā, proti, Kiberdrošības aktā (CSA). ENISA sniedz atbalstu dalībvalstīm, ES iestādēm un uzņēmumiem galvenajās jomās, tostarp TID direktīvas, Kibernoturības akta un Kibersolidaritātes akta īstenošanā. Aģentūra arī atbalsta IKT produktu, IKT pakalpojumu un IKT procesu kiberdrošības sertifikācijas procesu, kā noteikts KAV III sadaļā. 

Kiberdrošības akts

Kiberdrošības akts tika pieņemts 2019. gadā un nostiprināja Eiropas Savienības Kiberdrošības aģentūras (ENISA) lomu. Tā piešķīra aģentūrai pastāvīgas pilnvaras un pilnvaroja to sniegt ieguldījumu gan operatīvās sadarbības, gan krīžu pārvarēšanas pastiprināšanā visā ES. Tai ir arī vairāk finanšu resursu un cilvēkresursu nekā iepriekš.

Ar Kiberdrošības aktu tika izveidots arī Eiropas kiberdrošības sertifikācijas satvars (ECCF), kas paredz kopīgas kiberdrošības prasības un izvērtēšanas kritērijus IKT produktu, IKT pakalpojumu un IKT procesu sertifikācijai. Plašāka informācija atrodama ENISA īpašajā tīmekļa vietnē.

Mērķtiecīgs grozījums Kiberdrošības aktā, kas pieņemts 2025. gada 15. janvārī, paplašināja sertifikācijas darbības jomu, attiecinot to arī uz pārvaldītiem drošības pakalpojumiem.

Kibernoturības akts

Kibersolidaritātes akts

Kibersolidaritātes akts stājās spēkā 2025. gada 4. februārī, un tā mērķis ir uzlabot sagatavotību kiberdrošības incidentiem, to atklāšanu un reaģēšanu uz tiem visā ES.

Kiberdrošības plāns

2025. gada 24. februārī tika publicēts projekts Padomes ieteikumam par ES kiberdrošības krīžu pārvarēšanas plānu (Kiberdrošības plāns). Šā ieteikuma mērķis ir skaidrā, vienkāršā un pieejamā veidā izklāstīt ES kiberkrīžu pārvarēšanas satvaru. Ierosinātais plāns atjaunina visaptverošo ES kiberdrošības krīžu pārvarēšanas satvaru un kartē attiecīgos ES dalībniekus, izklāstot to lomu visā krīzes dzīves ciklā. Tas ietver sagatavotību un kopīgu situācijas apzināšanos, lai prognozētu kiberincidentus, un nepieciešamās atklāšanas spējas to identificēšanai, tostarp reaģēšanas un seku novēršanas rīkus, kas vajadzīgi, lai mazinātu, novērstu un ierobežotu minētos incidentus.

Atveseļošanas plāns

Kiberdrošība ir viena no Komisijas prioritātēm, reaģējot uz koronavīrusa krīzi, jo pārvietošanās ierobežojumu laikā palielinājās kiberuzbrukumu skaits. Eiropas atveseļošanas plānā ir paredzētas papildu investīcijas kiberdrošībā.

Atbalsts pētniecībai un inovācijai: “Apvārsnis 2020” un līgumiskā publiskā un privātā sektora partnerība; “Apvārsnis Eiropa”

Pētniecība digitālās drošības jomā ir būtiska, lai izstrādātu inovatīvus risinājumus, kas var mūs aizsargāt pret jaunākajiem un visprogresīvākajiem kiberdraudiem. Tāpēc kiberdrošība ir svarīga pamatprogrammas “Apvārsnis 2020” un tās pēcteces “Apvārsnis Eiropa” daļa. 

Pamatprogrammā “Apvārsnis Eiropa” laikposmā no 2021. līdz 2027. gadam kiberdrošība ir daļa no kopas “Civilā drošība sabiedrībai”. 

Pamatprogrammas “Apvārsnis 2020” ietvaros Komisija līdzfinansēja pētniecību un inovāciju tādās jomās kā sagatavotība kiberdrošībai, izmantojot kiberdiapazonus un simulācijas, kiberdrošība maziem un vidējiem uzņēmumiem, kiberdrošība elektroenerģijas un energosistēmā, kiberdrošība un datu aizsardzība kritiski svarīgās nozarēs. Šie temati ietilpst kopā "Droša sabiedrība – Eiropas un tās pilsoņu brīvības un drošības aizsardzība".

2016. gadā tika izveidota pamatprogrammas “Apvārsnis 2020” līgumiskā publiskā un privātā sektora partnerība (cPPP) kiberdrošības jomā starp Eiropas Komisiju un Eiropas Kiberdrošības organizāciju (ECSO) — apvienību, kuras sastāvā ir locekļi no kibernozares, akadēmiskajām aprindām, publiskās pārvaldes iestādēm u. c.

Atbalsts kiberspēju veidošanai un izvēršanai

Mūsu fiziskā un digitālā infrastruktūra ir ļoti cieši saistītas. Tāpēc Komisija ir arī ieguldījusi kiberdrošībā savas infrastruktūras investīciju finansēšanas programmas — Eiropas infrastruktūras savienošanas instrumenta (EISI) — ietvaros laikposmam no 2014. līdz 2020. gadam.

EISI atbalsts ir piešķirts datordrošības incidentu reaģēšanas vienībām, pamatpakalpojumu sniedzējiem, digitālo pakalpojumu sniedzējiem, vienotajiem kontaktpunktiem un valstu kompetentajām iestādēm. Tas uzlabo kiberdrošības spējas un pārrobežu sadarbību ES, atbalstot ES kiberdrošības stratēģijas īstenošanu.

Programma “Digitālā Eiropa” laikposmam no 2021. līdz 2027. gadam ir vērienīga programma, kas plāno ieguldīt 1,9 miljardus eiro kiberdrošības spējās un kiberdrošības infrastruktūru un rīku plašā ieviešanā visā ES publiskās pārvaldes iestādēm, uzņēmumiem un privātpersonām.

Kiberdrošība ir arī daļa no programmas InvestEU, kas ir vispārēja programma, kurā apvienoti daudzi finanšu instrumenti un izmantoti publiskie ieguldījumi, lai nodrošinātu turpmākus privātā sektora ieguldījumus. Tās stratēģisko investīciju mehānisms atbalstīs galvenās vērtības ķēdes kiberdrošības jomā. Tā ir svarīga daļa no atveseļošanas pasākumu kopuma, reaģējot uz koronavīrusa krīzi.

Kiberdrošības atlants

Eiropas Industriālais, tehnoloģiskais un pētnieciskais kiberdrošības kompetenču centrs apvienos lietpratību un saskaņos kiberdrošības tehnoloģiju izstrādi un ieviešanu Eiropā. Tā sadarbosies ar industriju, akadēmiskajām aprindām un citiem, lai izveidotu kopīgu programmu investīcijām kiberdrošībā un lemtu par finansēšanas prioritātēm kiberdrošības risinājumu pētniecībai, izstrādei un izvēršanai, izmantojot programmas “Apvārsnis Eiropa” un “Digitālā Eiropa”.

Pašlaik tiek īstenoti četri izmēģinājuma projekti, lai izveidotu pamatu Kompetenču centram un tīklam. Tajās ir iesaistīti vairāk nekā 170 partneri.

Lai gūtu labāku pārskatu par kiberdrošības lietpratību un spējām visā ES, Komisija ir izstrādājusi visaptverošu platformu ar nosaukumu “Kiberdrošības atlants”.

Droša 5G izvēršana ES

5G tīkli ir svarīga digitālā infrastruktūra, jo tie ir daudzu kritiski svarīgu pakalpojumu pamats. Ir būtiski nodrošināt šīs kritiskās infrastruktūras kiberdrošību un noturību. Pamatojoties uz koordinētu riska novērtējumu, dalībvalstis TID sadarbības grupā kopā ar Komisiju un ENISA izstrādāja ES rīkkopu 5G kiberdrošībai, kurā izklāstīti pasākumi, lai stiprinātu 5G tīklu drošības prasības, piemērotu attiecīgus ierobežojumus augsta riska piegādātājiem un nodrošinātu piegādātāju diversifikāciju.

Pašreizējais stāvoklis 5G rīkkopas īstenošanā dalībvalstīs ir aprakstīts TID sadarbības grupas 2023. gada jūnija otrajā progresa ziņojumā. Komisija arī veica savu novērtējumu par 5G piegādātājiem, kas ir pieejams 2023. gada jūnija paziņojumā. 

Vēlēšanu procesa nodrošināšana

Mūsu Eiropas demokrātijas ir kļuvušas arvien digitālākas: politiskās kampaņas notiek tiešsaistē, un daudzās valstīs vēlēšanas notiek, izmantojot elektronisko balsošanu. 

Komisija ir izdevusi ieteikumus par Eiropas Parlamenta vēlēšanu kiberdrošību kā daļu no plašāka ieteikumu kopuma brīvu un godīgu Eiropas Parlamenta vēlēšanu atbalstam. Mēnesi pirms 2019. gada Eiropas Parlamenta vēlēšanām Eiropas Parlaments, ES valstis, Komisija un ENISA veica savu sagatavotības pārbaudi.

Slimnīcu un veselības aprūpes sniedzēju kiberdrošība

Digitalizācija radikāli maina veselības aprūpi, nodrošinot labākus pakalpojumus pacientiem. Tomēr kiberuzbrukumi var traucēt šiem vitāli svarīgajiem pakalpojumiem. Komisija 2025. gada 15. janvārī nāca klajā ar Eiropas rīcības plānu par slimnīcu un veselības aprūpes sniedzēju kiberdrošību, kas ir viena no prioritārajām iniciatīvām, kuras izklāstītas Politikas pamatnostādnēs Komisijai 2024./29. gadam.

Rīcības plānā cita starpā ierosināts ES Kiberdrošības aģentūrai ENISA izveidot Eiropas Kiberdrošības atbalsta centru slimnīcām un veselības aprūpes sniedzējiem, nodrošinot tiem pielāgotus norādījumus, rīkus, pakalpojumus un apmācību. Iniciatīvas pamatā ir plašāks ES satvars kiberdrošības stiprināšanai visā kritiskajā infrastruktūrā.

Darbaspēka prasmes

Mēs varam nodrošināt digitālo drošību tikai tad, ja mums ir eksperti ar pareizajām zināšanām un prasmēm, un pašlaik ar to nepietiek. Tāpēc Komisija rīkojas, lai stimulētu kiberdrošības prasmju attīstību un palielinātu Eiropas Savienības darbaspēku.

Kiberdrošības prasmes, kas ietilpst Komisijas vispārējā digitālo prasmju programmā, arī turpmāk būs Komisijas politiskās programmas prioritāte, un prasmju savienība ir paredzēta Komisijas politiskajās pamatnostādnēs 2024.–2029. gadam. Projekti arī turpmāk tiks finansēti no dažādām programmām, jo īpaši programmas “Digitālā Eiropa” un “Erasmus+”, lai novērstu darbaspēka trūkumu Eiropas Savienībā. Komisija turpinās izmantot esošos politikas instrumentus, piemēram, Digitālās desmitgades politikas programmu 2030. gadam, un iespēju, ko tā piedāvā izveidot daudzvalstu projektus kiberdrošības prasmju jomā, kā paredzēts Komisijas paziņojumā par kiberdrošības talantu trūkuma novēršanu ES konkurētspējas, izaugsmes un noturības veicināšanai (“Kiberdrošības prasmju akadēmija”).

Kiberdrošības prasmju akadēmija

Kiberdrošības prasmju akadēmija, kas tika izveidota 2023. gadā kā daļa no Eiropas Prasmju gada, apvieno privātās un publiskās iniciatīvas Eiropas un valstu līmenī, lai novērstu pieaugošo kiberdrošības darbaspēka trūkumu. Akadēmija, kas atrodas tiešsaistē Komisijas digitālajā darbvietu un prasmju platformā, saņem atbalstu no visām ieinteresētajām personām, jo īpaši nozares, izmantojot solījumu mehānismu, un akadēmiskajām aprindām, un tās pamatiniciatīva ir Akadēmijas panākumu atdarināšana: Rūpniecības un akadēmisko aprindu tīkls.

Paziņojums par ES Kiberprasmju akadēmiju

Faktu lapa par ES Kiberprasmju akadēmiju

Informētība

Cilvēkfaktors bieži vien ir vājais posms kiberdrošībā: kādam, kurš noklikšķina uz pikšķerēšanas saites, var būt milzīgas sekas. Tāpēc Komisija palielina informētību par kiberdrošību un popularizē paraugpraksi plašas sabiedrības vidū. Piemēram, reizi gadā tā kopā ar ENISA organizē Eiropas kiberdrošības mēnesi.

ENISA — ES Kiberdrošības aģentūra

ENISA ir ES aģentūra, kas nodarbojas ar kiberdrošības jautājumiem. Tas sniedz atbalstu dalībvalstīm, ES iestādēm un uzņēmumiem galvenajās jomās, tostarp TID direktīvas īstenošanā.

ISAC

Informācijas apmaiņas un analīzes centri (ISAC) veicina sadarbību starp kiberdrošības kopienu dažādās ekonomikas nozarēs. Komisijas prioritāte ir turpināt attīstīt ISAC gan ES, gan valstu līmenī. Sadarbībā ar ENISA Komisija arī veicina jaunu ISAC izveidi neaptvertajās nozarēs. “ES ISAC pilnvarojošais konsorcijs”, ko uzrauga Komisija, sniedz juridisku, tehnisku un organizatorisku atbalstu ISAC.

JRC

Komisijas Kopīgais pētniecības centrs (JRC) aktīvi veicina kiberdrošību ES. Piemēram, JRC ir izstrādājis kiberdrošības taksonomiju. Tādējādi tiek saskaņota kiberdrošībā izmantotā terminoloģija, lai mums būtu skaidrāks pārskats par kiberdrošības spējām ES.

JRC arī nesen publicēja ziņojumu “Kiberdrošība– mūsu digitālais enkurs”,kurā sniegts ieskats pašreizējā ES kiberdrošības situācijā un tās vēsturē.

CSIRT/CERT

Saskaņā ar TID 2 direktīvu ES dalībvalstīm ir jānodrošina, ka tām ir labi funkcionējošas datordrošības incidentu reaģēšanas vienības (“CSIRT”), kas pazīstamas arī kā datorapdraudējumu reaģēšanas vienības (“CERT”). Šīs komandas praksē risina kiberdrošības incidentus un riskus. Tās savstarpēji sadarbojas ES līmenī, kā arī sadarbojas ar privāto sektoru.

Izraudzītajām CSIRT ir jāaptver visu veidu pamatpakalpojumu sniedzēji un digitālo pakalpojumu sniedzēji.

CSIRT galvenie uzdevumi ir šādi:

• incidentu uzraudzību valsts līmenī;
• attiecīgajām ieinteresētajām personām sniegt agrīno brīdināšanu, brīdinājumus, paziņojumus un citu informāciju par riskiem un incidentiem;
• reaģēšana uz incidentiem;
• nodrošināt dinamisku riska un incidentu analīzi un situācijas apzināšanos;
• dalība CSIRT tīklā.

ECSO

Eiropas Kiberdrošības organizācija (ECSO) tika izveidota 2016. gadā, lai tā darbotos kā Komisijas partnere līgumiskā publiskā un privātā sektora partnerībā, kas aptver pamatprogrammu “Apvārsnis 2020” laikposmā no 2016. līdz 2020. gadam. Lielākā daļa ECSO 250 locekļu darbojas kiberdrošības nozarē vai šīs jomas pētniecības un akadēmiskajās iestādēs. Mazākā mērā ECSO locekļi ir arī publiskā sektora dalībnieki un pieprasījuma puses nozares.

ECSO ne tikai sniedz ieteikumus par pamatprogrammu “Apvārsnis 2020”, bet arī īsteno dažādus pasākumus, kuru mērķis ir kopienas veidošana un rūpniecības attīstība Eiropas līmenī.

Sievietes4Kibers

Ir svarīgi uzsvērt sieviešu lomu kiberdrošības kopienā, jo viņas ir nepietiekami pārstāvētas. Tāpēc Komisija sadarbībā ar ECSO iniciatīvu Women4Cyber ir izveidojusi reģistru Women4Cyber. Plašsaziņas līdzekļiem, pasākumu organizatoriem un citiem ir vieglāk atrast daudzās talantīgās sievietes, kas strādā kiberdrošības jomā, tādējādi šīs sievietes kļūst pamanāmākas un pamanāmākas kiberkopienā un publiskajās debatēs.

ES sadarbojas ar partneriem, lai veicinātu kopīgas intereses kiberdrošības politikā. 2023. gada decembrī Briselē notika devītais ES un ASV kiberdialogs. ES un ASV ir padziļinājušas sadarbību tādās jomās kā kiberdiplomātija, krīžu pārvarēšana, spēju veidošana, kritiskāsinfrastruktūras kiberdrošība (tostarpziņošana par incidentiem),aparatūras un programmatūras produktu kiberdrošība (tostarpKopīgaiskiberdrošu produktu rīcības plāns) un tādu jauno tehnoloģiju kiberdrošības aspekti kā mākslīgais intelekts. 

Kopš 2021. gada ES un Ukraina ir rīkojušas trīs kiberdialogus. 2023. gadā ES Kiberdrošības aģentūra ENISA oficiāli apstiprināja darba vienošanos ar Ukrainas partneriem, lai veicinātu spēju veidošanu, paraugprakses apmaiņu un situācijas apzināšanos. ES ir arī sākusi kiberdialogus ar Indiju, Japānu, Korejas Republiku un Brazīliju. Pirmais ES un Apvienotās Karalistes kiberdialogs notika Briselē 2023. gada decembrī, otrais – gadu vēlāk, 2024. gada 6. decembrī.

Kiberdrošība tiek apspriesta arī saistībā ar divpusējām digitālajām partnerībām un digitālajiem dialogiem, kā arī ES un Latīņamerikas un Karību jūras reģiona valstu digitālo aliansi, ES un Rietumbalkānu regulatīvo dialogu, ES un NATO strukturēto dialogu par noturību un ES un NATO strukturēto dialogu par kiberdrošību un kiberaizsardzību. ES un NATO kritiskās infrastruktūras noturības darba grupa 2023. gadā publicēja ziņojumu, kurā kartētas svarīgas transversālas nozares. 

2024. gada 11. novembrī ES un JapānaTokijā rīkoja sestokiberdialogu, kurā tās apmainījās viedokļiem par apdraudējumu ainu un reaģēšanu uz ļaunprātīgām kiberdarbībām, sniedza jaunāko informāciju par politikas un likumdošanas norisēm kiberdrošības jomā, kā arī jauno tehnoloģiju, kiberkrīžu pārvarēšanas un kiberaizsardzības jomā.

Kibernoziedzība

Parastie noziedznieki izmanto kiberuzbrukumus, kas apdraud eiropiešus. Komisijas Migrācijas un iekšlietu departaments uzrauga un atjaunina ES tiesību aktus par kibernoziedzību un atbalsta tiesībaizsardzības spējas. Komisija sadarbojas arī ar Eiropas Kibernoziedzības centru Eiropolā.

Kiberdiplomātija

ES cenšas aizsargāt sevi pret kiberdraudiem ārpus tās robežām. Šajā saistībā Komisija sadarbojas ar Eiropas Ārējās darbības dienestu un dalībvalstīm, lai īstenotu kopīgu diplomātisko reakciju uz ļaunprātīgām kiberdarbībām (“kiberdiplomātijas instrumentu kopums”). Šī reakcija ietver diplomātisko sadarbību un dialogu, preventīvus pasākumus pret kiberuzbrukumiem un sankcijas pret tiem, kas iesaistīti kiberuzbrukumos, kuri apdraud ES.

Komisija vajadzības gadījumā palīdz pieņemt lēmumus par reaģēšanu uz ārējiem kiberdraudiem. Tā arī tieši finansē pašreizējo ES Kiberdiplomātijas atbalsta iniciatīvu.

Kiberaizsardzība

Komisija un Augstais pārstāvis 2022. gada 10. novembrī nāca klajā ar kopīgu paziņojumu par ES kiberaizsardzības politiku, kuras mērķis ir novērst drošības vides pasliktināšanos pēc Krievijas agresijas pret Ukrainu un palielināt ES spēju aizsargāt savus iedzīvotājus un infrastruktūru.  

ES kiberaizsardzības politikas pamatā ir četri pīlāri, kas aptver plašu iniciatīvu klāstu, kuras palīdzēs ES un dalībvalstīm labāk atklāt kiberuzbrukumus, atturēt no tiem un aizsargāties pret tiem:

1. Kopīgi rīkoties, lai panāktu spēcīgāku ES kiberaizsardzību

2. Aizsardzības ekosistēmas drošība

3. Investēt kiberaizsardzības spējās

4. Partneris kopīgu problēmu risināšanā

Jaunā politika aicina veikt ieguldījumus pilna spektra kiberaizsardzības spējās un stiprinās koordināciju un sadarbību starp ES militārajām un civilajām kiberkopienām. Tas uzlabos sadarbību ar privāto sektoru un efektīvu kiberkrīžu pārvaldību Savienībā. Jaunā politika arī palīdzēs samazināt mūsu stratēģisko atkarību kritiski svarīgo kibertehnoloģiju jomā un stiprināt Eiropas aizsardzības tehnisko rūpniecisko pamatu (EDTIB). Tas stimulēs kibertelpas talantu apmācību, piesaistīšanu un noturēšanu.

ES sadarbojas kibertelpas aizsardzības jomā, īstenojot Eiropas Komisijas, Eiropas Ārējās darbības dienesta (EĀDD), Eiropas Aizsardzības aģentūras, kā arī ENISA un Eiropas Savienības Aģentūras tiesībaizsardzības sadarbībai (Eiropols)darbības.

Kiberspēju veidošana trešās valstīs

ES sadarbojas ar citām valstīm, lai palīdzētu tām uzlabot spēju aizsargāties pret kiberdrošības apdraudējumiem. Komisija ar Starptautiskās sadarbības un attīstības departamenta starpniecību atbalsta dažādas kiberdrošības programmas paplašināšanās procesā iesaistītajās valstīs, kā arī citās valstīs visā pasaulē.