Kiberdrošības politika

Kiberdrošības stratēģija

Eiropas Komisija un Savienības Augstais pārstāvis ārlietās un drošības politikas jautājumos 2020. gada beigās nāca klajā ar jaunu ES kiberdrošības stratēģiju.

Stratēģija attiecas uz tādu pamatpakalpojumu drošību kā slimnīcas, energotīkli un dzelzceļi. Tas attiecas arī uz arvien pieaugošo savienoto objektu skaitu mūsu mājās, birojos un rūpnīcās.

Stratēģijā galvenā uzmanība ir pievērsta kolektīvo spēju veidošanai, lai reaģētu uz lieliem kiberuzbrukumiem, un sadarbībai ar partneriem visā pasaulē, lai nodrošinātu starptautisko drošību un stabilitāti kibertelpā. Tajā izklāstīts, kā kopīga kibervienība var nodrošināt visefektīvāko reaģēšanu uz kiberdraudiem, izmantojot ES un dalībvalstīm pieejamos kolektīvos resursus un speciālās zināšanas.

Tiesību akti un sertifikācija

Direktīva par pasākumiem nolūkā panākt vienādi augsta līmeņa kiberdrošību visā Savienībā (TID 2 direktīva)

Kiberdrošības apdraudējumi gandrīz vienmēr ir pārrobežu, un kiberuzbrukums vienas valsts kritiskajiem objektiem var ietekmēt ES kopumā. ES valstīm ir jābūt spēcīgām valdības struktūrām, kas uzrauga kiberdrošību savā valstī un sadarbojas ar kolēģiem citās dalībvalstīs, apmainoties ar informāciju. Tas ir īpaši svarīgi nozarēs, kas ir kritiski svarīgas mūsu sabiedrībai.

Tīklu un informācijas sistēmu drošībasdirektīva (TID), ko tagad ir īstenojušas visas valstis, nodrošina šādu valsts iestāžu izveidi un sadarbību. Šī direktīva tika pārskatīta 2020. gada beigās.

Pārskatīšanas procesa rezultātā Komisija 2020. gada 16. decembrī iesniedza priekšlikumu direktīvai par pasākumiem nolūkā panākt vienādi augsta līmeņa kiberdrošību visā Savienībā (TID2direktīva). 

Direktīva tika publicēta Eiropas Savienības Oficiālajā Vēstnesī 2022. gada decembrī un stājās spēkā 2023. gada 16. janvārī. Dalībvalstīm būs 21 mēnesis pēc direktīvas stāšanās spēkā, lai iekļautu noteikumus savos tiesību aktos (faktiskais datums: 2024. gada 18. oktobris).

ENISA — ES kiberdrošības aģentūra

ENISA (Eiropas Savienības Kiberdrošības aģentūra) ir ES aģentūra, kas nodarbojas ar kiberdrošību. Tā sniedz atbalstu dalībvalstīm, ES iestādēm un uzņēmumiem galvenajās jomās, tostarp TID direktīvas īstenošanā.

Akts par kibernoturību

Priekšlikums regulai par kiberdrošības prasībām produktiem ar digitāliem elementiem, kas pazīstams kā Kibernoturības akts, stiprina kiberdrošības noteikumus, lai nodrošinātu drošākus aparatūras un programmatūras produktus.

Kiberdrošības akts

Kiberdrošības akts stiprina ENISA lomu. Aģentūrai tagad ir pastāvīgas pilnvaras, un tā ir pilnvarota palīdzēt pastiprināt gan operatīvo sadarbību, gan krīžu pārvarēšanu visā ES. Tai ir arī vairāk finanšu resursu un cilvēkresursu nekā iepriekš. Komisija 2023. gada 18. aprīlī ierosināja mērķtiecīgu grozījumu ES Kiberdrošības aktā.

Kibersolidaritātes akts

Eiropas Komisija 2023. gada 18. aprīlī ierosināja ES Kibersolidaritātes aktu, lai uzlabotu reaģēšanu uz kiberdraudiem visā ES. Priekšlikums ietvers Eiropas kiberdrošības vairogu un visaptverošu kiberdrošības ārkārtas mehānismu, lai izveidotu labāku kiberaizsardzības metodi.

Sertifikācija

Mūsu digitālā dzīve var labi darboties tikai tad, ja sabiedrība kopumā uzticas IT produktu un pakalpojumu kiberdrošībai. Ir svarīgi, lai mēs varētu redzēt, ka produkts ir pārbaudīts un sertificēts tā, lai tas atbilstu augstiem kiberdrošības standartiem. Pašlaik visā ES pastāv dažādas IT produktu drošības sertifikācijas shēmas. Vienota sertifikācijas sistēma būtu vienkāršāka un skaidrāka visiem.

Tāpēc Komisija strādā pie ES mēroga sertifikācijas sistēmas, kuras centrā ir ENISA. Kiberdrošības aktā ir izklāstīts šā satvara sasniegšanas process.

Ieguldījumi

Atveseļošanas plāns

Kiberdrošība ir viena no Komisijas prioritātēm, reaģējot uz koronavīrusa krīzi, jo pārvietošanās ierobežojumu laikā palielinājās kiberuzbrukumi. Eiropas atveseļošanas plānā ir iekļautas papildu investīcijas kiberdrošībā.

Atbalsts pētniecībai un inovācijai: “Apvārsnis 2020” un cPPP; “Apvārsnis Eiropa”

Digitālās drošības pētniecība ir būtiska, lai izstrādātu inovatīvus risinājumus, kas var mūs aizsargāt pret jaunākajiem, vismodernākajiem kiberdraudiem. Tāpēc kiberdrošība ir svarīga pamatprogrammas “Apvārsnis 2020” un tās pēcteces “Apvārsnis Eiropa” daļa. 

Pamatprogrammā “Apvārsnis Eiropa”laikposmā no 2021. līdz 2027. gadam kiberdrošība ir daļa no kopas “Civilā drošība sabiedrībai”. 

Pamatprogrammas “Apvārsnis 2020” ietvaros Komisija līdzfinansēja pētniecību un inovāciju tādās jomās kā gatavība kiberdrošībai, izmantojot kiberdaļiņus un simulācijas, kiberdrošība maziem un vidējiem uzņēmumiem, elektroenerģijas un energosistēmas kiberdrošība un kiberdrošība un datu aizsardzība kritiski svarīgās nozarēs. Uz šiem tematiem attiecas kopa “Droša sabiedrība — Eiropas un tās pilsoņu brīvības un drošības aizsardzība”.

2016. gadā tika izveidota pamatprogrammas “Apvārsnis 2020” publiskā un privātā sektora līgumpartnerība kiberdrošības jomā starp Eiropas Komisiju un Eiropas Kiberdrošības organizāciju (ECSO), kas sastāv no kibernozares locekļiem, akadēmiskajām aprindām, publiskās pārvaldes iestādēm u. c.

Atbalsts kiberjaudas spējām un izvēršanai

Mūsu fiziskā un digitālā infrastruktūra ir ļoti cieši saistīta. Tāpēc Komisija ir arī ieguldījusi kiberdrošībā kā daļu no infrastruktūras investīciju finansēšanas programmas — Eiropas infrastruktūras savienošanas instrumenta (EISI) — laikposmam no 2014. līdz 2020. gadam.

EISI atbalsts ir piešķirts datordrošības incidentu reaģēšanas vienībām, pamatpakalpojumu sniedzējiem (OES), digitālo pakalpojumu sniedzējiem (DPS), vienotajiem kontaktpunktiem (SPOC) un valstu kompetentajām iestādēm (VKI). Tas uzlabo kiberdrošības spējas un pārrobežu sadarbību ES, atbalstot ES kiberdrošības stratēģijas īstenošanu.

Programma “Digitālā Eiropa” laikposmam no 2021. līdz 2027. gadam ir vērienīga programma, kas plāno ieguldīt 1,9 miljardus eiro kiberdrošības spējās un kiberdrošības infrastruktūru un rīku plašai izvēršanai visā ES publiskās pārvaldes iestādēm, uzņēmumiem un privātpersonām.

Kiberdrošība ir arī daļa no InvestEU. InvestEU ir vispārēja programma, kas apvieno daudzus finanšu instrumentus un izmanto publiskās investīcijas, lai nodrošinātu turpmākus ieguldījumus no privātā sektora. Tā stratēģisko investīciju mehānisms atbalstīs galvenās vērtības ķēdes kiberdrošības jomā. Tā ir svarīga atveseļošanas pasākumu kopuma daļa, reaģējot uz koronavīrusa krīzi.

Kiberdrošības kompetenču centrs un tīkls; Atlas

Eiropas kiberdrošības industriālais, tehnoloģiju un pētniecības kompetenču centrs apvienos lietpratību un saskaņos kiberdrošības tehnoloģiju izstrādi un izvēršanu Eiropā. Tā sadarbosies ar industriju, akadēmisko kopienu un citiem, lai izveidotu kopīgu programmu ieguldījumiem kiberdrošības jomā, un lems par finansēšanas prioritātēm kiberdrošības risinājumu pētniecībai, izstrādei un ieviešanai, izmantojot programmas “Apvārsnis Eiropa” un “Digitālā Eiropa”.

Pašlaik tiek īstenoti četri izmēģinājuma projekti, lai liktu pamatus Kompetenču centram un tīklam. Tajos ir iesaistīti vairāk nekā 170 partneri.

Lai gūtu labāku pārskatu par kiberdrošības lietpratību un spējām visā ES, Komisija ir izstrādājusi visaptverošu platformu “ Kiberdrošības atlants”.

Politikas norādes

Plāns koordinētai reaģēšanai uz lieliem kiberuzbrukumiem

Komisijas plāns ātrai reaģēšanai ārkārtas situācijās paredz plānu plaša mēroga pārrobežu kiberincidenta vai krīzes gadījumā. Tajā ir izklāstīti mērķi un sadarbības veidi starp dalībvalstīm un ES iestādēm, reaģējot uz šādiem incidentiem un krīzēm. Tajā paskaidrots, kā esošie krīžu pārvarēšanas mehānismi var pilnībā izmantot esošās kiberdrošības vienības ES līmenī.

Kopīgā kibervienība

Pēc tam Komisijas priekšsēdētāja Urzula fon der Leiena paziņoja par priekšlikumu izveidot ES mēroga kopīgu kibervienību. Ieteikums par kopīgās kibervienības izveidi, par ko Komisija paziņoja 2021. gada 23. jūnijā, ir svarīgs solis ceļā uz Eiropas kiberdrošības krīžu pārvarēšanas satvara pabeigšanu. Tas ir konkrēts ES kiberdrošības stratēģijas un ES Drošības savienības stratēģijas rezultāts, kas veicina drošu digitālo ekonomiku un sabiedrību.

Kopīgā kibervienība darbosies kā platforma, lai nodrošinātu koordinētu ES reakciju uz liela mēroga kiberincidentiem un krīzēm, kā arī lai piedāvātu palīdzību atveseļošanā no šiem uzbrukumiem.

Droša 5G izvietošana ES

Plānots, ka 5G tīkli tiks izvērsti visā ES. Tie piedāvās milzīgas priekšrocības, bet tiem būs arī vairāk potenciālu ieejas punktu uzbrucējiem, jo to arhitektūra ir mazāk centralizēta, ir lielāks antenu skaits un palielinās atkarība no programmatūras. ES rīkkopā par 5G ir izklāstīti pasākumi, lai stiprinātu 5G tīklu drošības prasības, piemērotu attiecīgus ierobežojumus piegādātājiem, kas tiek uzskatīti par augsta riska piegādātājiem, un nodrošinātu pārdevēju diversifikāciju.

Vēlēšanu procesa nodrošināšana

Mūsu Eiropas demokrātijas ir kļuvušas arvien digitālākas: politiskās kampaņas notiek tiešsaistē, un vēlēšanas notiek, izmantojot elektronisko balsošanu daudzās valstīs. 

Komisija ir izdevusi ieteikumus par Eiropas Parlamenta vēlēšanu kiberdrošību kā daļu no plašāka ieteikumu kopuma, lai atbalstītu brīvas un godīgas Eiropas vēlēšanas. Mēnesi pirms 2019. gada Eiropas Parlamenta vēlēšanām Eiropas Parlaments, ES valstis, Komisija un ENISA veica gatavības pārbaudi klātienē.

Prasmes un informētība

Prasme

Mēs varam nodrošināt digitālo drošību tikai tad, ja mums ir eksperti ar pareizajām zināšanām un prasmēm, un pašlaik ar to nepietiek. Tāpēc Komisija rīkojas, lai stimulētu kiberdrošības prasmju attīstību.

Komisija sagatavoja aicinājumu izveidot saskaņotu satvaru kiberdrošības prasmju mācīšanai universitātēs un profesionālajā izglītībā. Pie tā pašlaik strādā četri izmēģinājuma projekti, kas sagatavo kiberdrošības kompetenču centru un tīklu, ko veic ECSO. Ir arī atkārtotas iniciatīvas, kas paredzētas tieši studentiem, piemēram, ikgadējais Eiropas kiberdrošības izaicinājums.

Kiberdrošības prasmes ietilpst Komisijas vispārīgajā programmā digitālo prasmju jomā. Tās ir arī daļa no finansēšanas centieniem saskaņā ar pamatprogrammu “Apvārsnis 2020”, pamatprogrammu “Apvārsnis Eiropa” un programmu “Digitālā Eiropa”. Viens no piemēriem ir finansējums “kiberdiapazoniem”, kas ir kiberdraudu tiešsaistes simulācijas vide apmācībai.

Apzināšanās

Cilvēkfaktors bieži vien ir vāja saikne kiberdrošības jomā: kādam, kas uzklikšķina uz pikšķerēšanas saites, var būt milzīgas sekas. Tāpēc Komisija palielina informētību par kiberdrošību un popularizē paraugpraksi plašā sabiedrībā. Piemēram, reizi gadā tā kopā ar ENISA organizē Eiropas kiberdrošības mēnesi.

ES Kiberdrošības prasmju akadēmija

ES Kiberdrošības prasmju akadēmija, kas izveidota kā daļa no Eiropas Prasmju gada, apvienos privātās un publiskās iniciatīvas Eiropas un valstu līmenī, lai novērstu plaisu kiberdrošības darbaspēka jomā. Iniciatīva tiks rīkota tiešsaistē Komisijas darbvietu un prasmju platformā, un tajā būs iekļautas finansēšanas iespējas, apmācība un sertifikāti no visas ES tiem, kas interesējas par karjeru kiberdrošības jomā.

Paziņojums par ES Kiberprasmju akadēmiju

ES Kiberprasmju akadēmijas faktu lapa

Kiberkopiena

ENISA — ES kiberdrošības aģentūra

ENISA ir ES aģentūra, kas nodarbojas ar kiberdrošību. Tā sniedz atbalstu dalībvalstīm, ES iestādēm un uzņēmumiem galvenajās jomās, tostarp TID direktīvas īstenošanā.

ISAC

Informācijas apmaiņas un analīzes centri (ISAC) veicina sadarbību starp kiberdrošības kopienu dažādās ekonomikas nozarēs. ISAC turpmāka attīstīšana gan ES, gan valstu līmenī ir Komisijas prioritāte. Sadarbībā ar ENISA Komisija arī veicina jaunu ISAC izveidi nozarēs, kas nav aptvertas. Komisijas uzraudzītais ES ISAC konsorcijs sniedz juridisku, tehnisku un organizatorisku atbalstu ISAC.

JRC

Komisijas Kopīgais pētniecības centrs (JRC) aktīvi veicina kiberdrošību ES. Piemēram, JRC ir izstrādājis kiberdrošības taksonomiju. Tas saskaņo kiberdrošības terminoloģiju, lai mums būtu skaidrāks pārskats par kiberdrošības spējām ES.

JRC arī nesen publicēja ziņojumu “Kiberdrošība — mūsu digitālais enkurs”, kas sniedz ieskatu par pašreizējo ES kiberdrošībasvidi un tās vēsturi.

CSIRT/CERT

Saskaņā ar TID direktīvu ES dalībvalstīm ir jānodrošina, ka tām ir labi funkcionējošas datordrošības incidentu reaģēšanas vienības (“CSIRT”), kas pazīstamas arī kā datorapdraudējumu reaģēšanas vienības (“CERT”). Šīs komandas praksē nodarbojas ar kiberdrošības incidentiem un riskiem. Tās sadarbojas savā starpā ES līmenī, kā arī sadarbojas ar privāto sektoru.
Izraudzītajām CSIRT ir jāaptver visu veidu pamatpakalpojumu sniedzēji un digitālo pakalpojumu sniedzēji.

CSIRT galvenie uzdevumi ir šādi:

• incidentu uzraudzība valsts līmenī;
• agrīnās brīdināšanas, brīdinājumu, paziņojumu un citas informācijas par riskiem un incidentiem sniegšanu attiecīgajām ieinteresētajām personām;
• reaģēšana uz incidentiem;
• dinamiskas riska un incidentu analīzes un situācijas apzināšanās nodrošināšana;
• dalība CSIRT tīklā.

ECSO

Eiropas Kiberdrošības organizācija (ECSO) tika izveidota 2016. gadā, lai 2016.–2020. gadā darbotos kā Komisijas partneris līgumiskā publiskā un privātā sektora partnerībā, kas aptver pamatprogrammu “Apvārsnis 2020”. Lielākā daļa ECSO 250 locekļu pieder vai nu kiberdrošības nozarei, vai pētniecības un akadēmiskajām iestādēm šajā jomā. Mazākā mērā ECSO locekļi ir arī publiskā sektora dalībnieki un pieprasījuma puses nozares.

Papildus ieteikumiem par pamatprogrammu “Apvārsnis 2020” ECSO veic dažādus pasākumus, kuru mērķis ir kopienas veidošana un rūpniecības attīstība Eiropas līmenī.

Sievietes4Cyber

Ir svarīgi uzsvērt to sieviešu lomu kiberdrošības kopienā, kuras ir nepietiekami pārstāvētas. Tāpēc Komisija sadarbībā ar ECSO iniciatīvu Women4Cyber ir izveidojusi Women4Cyber reģistru. Tas atvieglo plašsaziņas līdzekļiem, pasākumu organizētājiem un citām personām iespēju atrast daudzās talantīgās sievietes, kas strādā kiberdrošības jomā, tādējādi šīs sievietes kļūst pamanāmākas un pamanāmākas kiberkopībā un publiskajās debatēs.

Kiberdialogi

ESsadarbojas ar partneriem, lai veicinātu kopīgas intereses kiberdrošības politikā. Devītais ES un ASV kiberdialogs notika Briselē 2023. gada decembrī. ES un ASV ir attīstījušas sadarbību tādās jomās kā kiberdiplomātija, krīžu pārvarēšana, spēju veidošana, kritiskās infrastruktūras kiberdrošība (tostarpziņošana par incidentiem), aparatūras un programmatūras produktu kiberdrošība (tostarpKopīgais kiberdrošībasproduktu rīcības plāns) un jauno tehnoloģiju, piemēram, MI, kiberdrošības aspekti.

Kopš 2021. gada ES un Ukraina ir rīkojušas divus kiberdialogus. ES Kiberdrošības aģentūra ENISA 2023. gadā oficiāli apstiprināja darba vienošanos ar Ukrainas partneriem, lai veicinātu spēju veidošanu, paraugprakses apmaiņu un situācijas apzināšanos. ES ir arī atbalstījusi kiberdialogus ar Indiju, Japānu, Korejas Republiku un Brazīliju. Pirmais ES un Apvienotās Karalistes kiberdialogs notika Briselē 2023. gada decembrī.

Kiberdrošība tiek apspriesta arī divpusējo digitālo partnerību un digitālo dialogu, kā arī ES un Latīņamerikas un Karību jūras reģiona valstu digitālās alianses, ES un Rietumbalkānu regulatīvā dialoga, ES un NATO strukturētā dialoga par noturību un ES un NATO strukturētā dialoga par kiberdrošību un aizsardzību kontekstā. ES un NATO kritiskās infrastruktūras noturības darba grupa 2023. gadā publicēja ziņojumu, kurā tika apzinātas svarīgas transversālas nozares.

Citas kiberpolitikas jomas

Kibernoziedzība

Parastie noziedznieki izmanto kiberuzbrukumus, kas apdraud eiropiešus. Komisijas Migrācijas un iekšlietu departaments uzrauga un atjaunina ES tiesību aktus kibernoziedzības jomā un atbalsta tiesībaizsardzības spējas. Komisija arī sadarbojas ar Eiropas Kibernoziedzības centru Eiropolā.

Kiberdiplomātija

ES cenšas sevi aizsargāt pret kiberdraudiem ārpus tās robežām. Šajā saistībā Komisija sadarbojas ar Eiropas Ārējās darbības dienestu un dalībvalstīm, lai īstenotu kopīgu diplomātisku reakciju uz ļaunprātīgām kiberdarbībām (“ kiberdiplomātijas instrumentu kopums”). Šī reakcija ietver diplomātisko sadarbību un dialogu, preventīvus pasākumus pret kiberuzbrukumiem un sankcijas pret personām, kas iesaistītas kiberuzbrukumos, kuri apdraud ES.

Komisija palīdz pieņemt lēmumus par reaģēšanu uz ārējiem kiberdraudiem, kad vien tas ir nepieciešams. Tā arī tieši finansē pašreizējo ES kiberdiplomātijas atbalsta iniciatīvu.

Kiberaizsardzība

Komisija un Augstais pārstāvis 2022. gada 10. novembrī nāca klajā ar kopīgu paziņojumu par ES kiberaizsardzības politiku, lai novērstu drošības vides pasliktināšanos pēc Krievijas agresijas pret Ukrainu un palielinātu ES spēju aizsargāt savus iedzīvotājus un infrastruktūru.  

ES kiberaizsardzības politika ir balstīta uz četriem pīlāriem, kas aptver plašu iniciatīvu klāstu, kas palīdzēs ES un dalībvalstīm labāk atklāt kiberuzbrukumus, atturēt no tiem un aizsargāties pret tiem:

1. Kopīgi rīkoties, lai stiprinātu ES kiberaizsardzību

2. Aizsargāt aizsardzības ekosistēmu

3. Investēt kiberaizsardzības spējās

4. Partneris kopīgu problēmu risināšanā

Jaunā politika aicina veikt ieguldījumus pilna spektra kiberaizsardzības spējās un stiprinās koordināciju un sadarbību starp ES militārajām un civilajām kiberkopienām. Tas uzlabos sadarbību ar privāto sektoru un efektīvu kiberkrīžu pārvaldību Savienībā. Jaunā politika arī palīdzēs samazināt mūsu stratēģisko atkarību no kritiski svarīgām kibertehnoloģijām un stiprinās Eiropas aizsardzības tehnisko rūpniecisko pamatu (EDTIB). Tas stimulēs apmācību, piesaistīs un noturēs kiber talantus.

ES sadarbojas aizsardzības jomā kibertelpā, veicot darbības, ko veic Eiropas Komisija, Eiropas Ārējās darbības dienests (EĀDD), Eiropas Aizsardzības aģentūra, kā arī ENISA un Eiropas Savienības Aģentūra tiesībaizsardzības sadarbībai (Eiropols).

Kiberspēju veidošana trešās valstīs

ES sadarbojas ar citām valstīm, lai palīdzētu veidot to spējas aizsargāties pret kiberdrošības apdraudējumiem. Komisija ar Starptautiskās sadarbības un attīstības departamenta starpniecību atbalsta dažādas kiberdrošības programmas Rietumbalkānos un sešās austrumu partnerības valstīs ES tuvākajās kaimiņvalstīs, kā arī citās valstīs visā pasaulē.