Politici de securitate cibernetică

Comisia Europeană și Înaltul Reprezentant al Uniunii pentru afaceri externe și politica de securitate au prezentat o nouă strategie de securitate cibernetică a UE la sfârșitul anului 2020.

Strategia acoperă securitatea serviciilor esențiale, cum ar fi spitalele, rețelele energetice și căile ferate. Acesta acoperă, de asemenea, securitatea numărului tot mai mare de obiecte conectate în casele, birourile și fabricile noastre.

Strategia se axează pe consolidarea capacităților colective de răspuns la atacurile cibernetice majore și pe colaborarea cu parteneri din întreaga lume pentru a asigura securitatea și stabilitatea internațională în spațiul cibernetic.

Directiva privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune (Directiva NIS2)

Amenințările la adresa securității cibernetice sunt aproape întotdeauna transfrontaliere, iar un atac cibernetic asupra instalațiilor critice ale unei țări poate afecta UE în ansamblu. Țările UE trebuie să aibă organisme guvernamentale puternice care să supravegheze securitatea cibernetică în țara lor și care să colaboreze cu omologii lor din alte state membre prin schimbul de informații. Acest lucru este deosebit de important pentru sectoarele care sunt esențiale pentru societățile noastre.

Prima directivă privind securitatea rețelelor și a sistemelor informatice (DirectivaNIS)asigură crearea și cooperarea unor astfel de organisme guvernamentale. Această directivă a fost revizuită la sfârșitul anului 2020, conducând la propunerea și adoptarea Directivei NIS 2. Statele membre trebuiau să transpună și să pună în aplicare integral NIS2 până la 18 octombrie 2024.

ENISA – Agenția UE pentru Securitate Cibernetică

ENISA este Agenția Uniunii Europene pentru Securitate Cibernetică , înființată în 2005. Mandatul a fost revizuit în 2019 și, de atunci, agenția are un mandat permanent. 

Principalele obiective și sarcini ale ENISA sunt prevăzute în actul de bază, și anume în Regulamentul privind securitatea cibernetică (CSA). ENISA oferă sprijin statelor membre, instituțiilor UE și întreprinderilor în domenii-cheie, inclusiv în ceea ce privește punerea în aplicare a Directivei NIS, a Regulamentului privind reziliența cibernetică și a Regulamentului privind solidaritatea cibernetică. Agenția sprijină, de asemenea, procesul de certificare de securitate cibernetică a produselor TIC, a serviciilor TIC și a proceselor TIC, astfel cum se prevede la titlul III din APC. 

Legea privind securitatea cibernetică

Regulamentul privind securitatea cibernetică a fost adoptat în 2019 și a consolidat rolul Agenției Uniunii Europene pentru Securitate Cibernetică (ENISA). Acesta a conferit agenției un mandat permanent și a împuternicit-o să contribuie la intensificarea cooperării operaționale și a gestionării crizelor în întreaga UE. De asemenea, are mai multe resurse financiare și umane decât înainte.

Regulamentul privind securitatea cibernetică a instituit, de asemenea, Cadrul european de certificare a securității cibernetice (ECCF), care prevede cerințe comune în materie de securitate cibernetică și criterii de evaluare pentru certificarea produselor TIC, a serviciilor TIC și a proceselor TIC. Pentru informații suplimentare, consultați site-ul web dedicat al ENISA .

O modificare specifică a Legii privind securitatea cibernetică, adoptată la 15 ianuarie 2025, a extins domeniul de aplicare al certificării la serviciile de securitate gestionate.

Actul privind reziliența cibernetică

Legea privind solidaritatea cibernetică

Actul privind solidaritatea cibernetică a intrat în vigoare la 4 februarie 2025, cu obiectivul de a îmbunătăți pregătirea, detectarea și răspunsul la incidentele de securitate cibernetică în întreaga UE.

Planul cibernetic

La 24 februarie 2025, a fost publicat un proiect de recomandare a Consiliului privind Planul de acțiune al UE pentru gestionarea crizelor în materie de securitate cibernetică (Planul de acțiune în domeniul cibernetic). Obiectivul prezentei recomandări este de a prezenta într-un mod clar, simplu și accesibil cadrul UE pentru gestionarea crizelor cibernetice. Proiectul propus actualizează cadrul cuprinzător al UE pentru gestionarea crizelor de securitate cibernetică și cartografiază actorii relevanți din UE, evidențiind rolurile acestora pe parcursul întregului ciclu de viață al crizei. Aceasta include pregătirea și conștientizarea comună a situației pentru a anticipa incidentele cibernetice, precum și capacitățile de detectare necesare pentru a le identifica, inclusiv instrumentele de răspuns și de redresare necesare pentru atenuarea, descurajarea și limitarea incidentelor respective.

Planul de redresare

Securitatea cibernetică este una dintre prioritățile Comisiei în răspunsul său la criza provocată de coronavirus, deoarece au existat atacuri cibernetice sporite în timpul măsurilor de izolare. Planul de redresare pentru Europa include investiții suplimentare în securitatea cibernetică.

Sprijin pentru cercetare și inovare: Orizont 2020 și PPPc; Orizont Europa

Cercetarea în domeniul securității digitale este esențială pentru a construi soluții inovatoare care ne pot proteja împotriva celor mai recente și mai avansate amenințări cibernetice. Acesta este motivul pentru care securitatea cibernetică este o parte importantă a programului Orizont 2020 și a succesorului său, Orizont Europa. 

În cadrul programului Orizont Europa, pentru perioada 2021-2027, securitatea cibernetică face parte din clusterul „Securitate civilă pentru societate”. 

Ca parte a programului Orizont 2020, Comisia a cofinanțat cercetarea și inovarea în domenii precum pregătirea în materie de securitate cibernetică prin intervale și simulări cibernetice, securitatea cibernetică pentru întreprinderile mici și mijlocii, securitatea cibernetică în sistemul energetic și de energie electrică, precum și securitatea cibernetică și protecția datelor în sectoarele critice. Aceste subiecte se încadrează în clusterul „Societăți sigure – Protejarea libertății și securității Europei și a cetățenilor săi”.

În 2016, a fost instituit parteneriatul contractual public-privat (PPC) Orizont 2020 privind securitatea cibernetică între Comisia Europeană și Organizația Europeană pentru Securitate Cibernetică (ECSO), o asociație formată din membri ai industriei cibernetice, ai mediului academic, ai administrațiilor publice și nu numai.

Sprijin pentru capacitățile cibernetice și desfășurarea acestora

Infrastructurile noastre fizice și digitale sunt foarte strâns interconectate. Prin urmare, Comisia a investit, de asemenea, în securitatea cibernetică ca parte a programului său de finanțare a investițiilor în infrastructură, Mecanismul pentru interconectarea Europei (MIE), pentru perioada 2014-2020.

Sprijinul MIE a fost acordat echipelor de intervenție în caz de incidente de securitate informatică, operatorilor de servicii esențiale (OES), furnizorilor de servicii digitale (DSP), punctelor unice de contact (SPOC) și autorităților naționale competente (ANC). Acest lucru consolidează capacitățile în materie de securitate cibernetică și colaborarea transfrontalieră în cadrul UE, sprijinind punerea în aplicare a Strategiei de securitate cibernetică a UE.

Programul Europa digitală, pentru perioada 2021-2027, este un program ambițios care intenționează să investească 1,9 miliarde EUR în capacitatea de securitate cibernetică și în implementarea pe scară largă a infrastructurilor și instrumentelor de securitate cibernetică în întreaga UE pentru administrațiile publice, întreprinderi și persoane fizice.

Securitatea cibernetică face parte, de asemenea, din InvestEU, care este un program general care reunește numeroase instrumente financiare și utilizează investiții publice pentru a asigura investiții suplimentare din partea sectorului privat. Facilitatea sa de investiții strategice va sprijini lanțurile valorice esențiale în materie de securitate cibernetică. Aceasta reprezintă o parte importantă a pachetului de redresare ca răspuns la criza provocată de coronavirus.

Atlasul securității cibernetice

Centrul european de competențe industriale, tehnologice și de cercetare în materie de securitate cibernetică va pune în comun expertiza și va alinia dezvoltarea și implementarea la nivel european a tehnologiei de securitate cibernetică. Comisia va colabora cu industria, cu comunitatea academică și cu alte părți pentru a elabora o agendă comună pentru investițiile în securitatea cibernetică și va decide cu privire la prioritățile de finanțare pentru cercetare, dezvoltare și implementarea soluțiilor de securitate cibernetică prin intermediul programelor Orizont Europa și Europa digitală.

În prezent, se derulează patru proiecte-pilot pentru a pune bazele Centrului de competențe și ale rețelei. Acestea implică mai mult de 170 de parteneri.

Pentru o mai bună imagine de ansamblu asupra expertizei și capacității în materie de securitate cibernetică în întreaga UE, Comisia a dezvoltat o platformă cuprinzătoare numită Atlasul securității cibernetice.

Implementarea în condiții de siguranță a tehnologiei 5G în UE

Rețelele 5G reprezintă o infrastructură digitală esențială, deoarece reprezintă coloana vertebrală a multor servicii critice. Asigurarea securității cibernetice și a rezilienței acestei infrastructuri critice este esențială. Pe baza unei evaluări coordonate a riscurilor, statele membre din cadrul Grupului de cooperare NIS, împreună cu Comisia și ENISA, au elaborat setul de instrumente al UE privind securitatea cibernetică a rețelelor 5G, care stabilește măsuri de consolidare a cerințelor de securitate pentru rețelele 5G, de aplicare a restricțiilor relevante pentru furnizorii cu grad ridicat de risc și de asigurare a diversificării furnizorilor.

Situația actuală a punerii în aplicare a setului de instrumente pentru 5G de către statele membre este descrisă în cel de al doilea raport intermediar din iunie 2023 al Grupului de cooperare NIS. De asemenea, Comisia a efectuat propria evaluare a furnizorilor de 5G, care este disponibilă în comunicarea din iunie 2023. 

Asigurarea procesului electoral

Democrațiile noastre europene au devenit din ce în ce mai digitale: campaniile politice au loc online, iar alegerile în sine au loc prin vot electronic în multe țări. 

Comisia a emis recomandări privind securitatea cibernetică a alegerilor pentru Parlamentul European, ca parte a unui pachet mai amplu de recomandări pentru sprijinirea unor alegeri europene libere și corecte. Cu o lună înainte de alegerile europene din 2019, Parlamentul European, țările UE, Comisia și ENISA au efectuat un test în timp real al gradului lor de pregătire.

Securitatea cibernetică a spitalelor și a furnizorilor de servicii medicale

Digitalizarea revoluționează asistența medicală, permițând servicii mai bune pentru pacienți. Cu toate acestea, atacurile cibernetice pot perturba aceste servicii vitale. La 15 ianuarie 2025, Comisia a prezentat un plan de acțiune european privind securitatea cibernetică a spitalelor și a furnizorilor de servicii medicale, ca una dintre inițiativele prioritare prevăzute în Orientările politice pentru Comisia 2024/29.

Planul de acțiune propune, printre altele, ca ENISA, Agenția UE pentru Securitate Cibernetică, să înființeze un Centru paneuropean de sprijin în materie de securitate cibernetică pentru spitale și furnizorii de servicii medicale, oferindu-le orientări, instrumente, servicii și formare adaptate. Inițiativa se bazează pe cadrul mai larg al UE de consolidare a securității cibernetice în cadrul infrastructurii critice.

Competențe pentru forța de muncă

Putem asigura securitatea digitală numai dacă avem experți cu cunoștințele și competențele adecvate, iar în prezent nu sunt suficienți. Acesta este motivul pentru care Comisia ia măsuri pentru a stimula dezvoltarea competențelor în materie de securitate cibernetică și pentru a crește forța de muncă din Uniunea Europeană.

Competențele în materie de securitate cibernetică, care se încadrează în agenda generală a Comisiei privind competențele digitale, vor rămâne o prioritate pe agenda politică a Comisiei, Uniunea competențelor fiind prevăzută în orientările politice ale Comisiei pentru perioada 2024-2029. Proiectele vor continua să fie finanțate în cadrul mai multor programe, în special programul Europa digitală și Erasmus+, pentru a elimina deficitul de forță de muncă din Uniunea Europeană. Comisia va continua să utilizeze instrumentele de politică existente, cum ar fi programul de politică pentru 2030 privind deceniul digital și posibilitatea pe care o oferă de a institui proiecte multinaționale care să abordeze competențele în materie de securitate cibernetică, astfel cum se prevede în Comunicarea Comisiei privind eliminarea deficitului de talente în materie de securitate cibernetică pentru a stimula competitivitatea, creșterea și reziliența UE („Academia de competențe în materie de securitate cibernetică”).

Academia de Competențe în Securitate Cibernetică

Academia de competențe în materie de securitate cibernetică, lansată în cadrul Anului european al competențelor 2023 , reunește inițiative private și publice la nivel european și național pentru a aborda deficitul tot mai mare de forță de muncă în domeniul securității cibernetice. Academia, găzduită online pe platforma Comisiei pentru locuri de muncă și competențe digitale, beneficiază de sprijin din partea tuturor părților interesate, în special din partea industriei, prin intermediul unui mecanism de angajamente, și a mediului academic, cu o imitație emblematică bazată pe succesul Academiei: Rețeaua Industrie-Academie.

Comunicare privind Academia de competențe cibernetice a UE

Fișa informativă a Academiei de competențe cibernetice a UE

Conștientizarea

Factorul uman este adesea veriga slabă a securității cibernetice: cineva care face clic pe un link de phishing poate avea consecințe uriașe. Prin urmare, Comisia sensibilizează publicul larg cu privire la securitatea cibernetică și promovează cele mai bune practici. De exemplu, o dată pe an, agenția organizează Luna europeană a securității cibernetice împreună cu ENISA.

ENISA – Agenția UE pentru Securitate Cibernetică

ENISA este agenția UE care se ocupă de securitatea cibernetică. Acesta oferă sprijin statelor membre, instituțiilor UE și întreprinderilor în domenii-cheie, inclusiv în ceea ce privește punerea în aplicare a Directivei NIS.

ISAC-uri

Centrele de schimb de informații și de analiză (ISAC) încurajează colaborarea dintre comunitatea de securitate cibernetică din diferite sectoare ale economiei. Dezvoltarea în continuare a centrelor ISAC atât la nivelul UE, cât și la nivel național reprezintă o prioritate pentru Comisie. În colaborare cu ENISA, Comisia promovează, de asemenea, înființarea de noi centre ISAC în sectoare care nu sunt acoperite. „Consorțiul pentru capacitarea ISAC din UE”, supravegheat de Comisie, oferă sprijin juridic, tehnic și organizațional pentru ISAC.

CCC

Centrul Comun de Cercetare (JRC) al Comisiei contribuie în mod activ la securitatea cibernetică în UE. De exemplu, JRC a elaborat o taxonomie în materie de securitate cibernetică. Acest lucru aliniază terminologia utilizată în domeniul securității cibernetice, astfel încât să putem avea o imagine de ansamblu mai clară asupra capacităților în materie de securitate cibernetică în UE.

De asemenea, JRC a publicat recent un raport care oferă informații cu privire la peisajul actual al securității cibernetice în UE și la istoria sa, intitulat „Securitateacibernetică – ancora noastră digitală”.

CSIRT/CERT

În temeiul Directivei NIS 2, statele membre ale UE trebuie să se asigure că dispun de echipe de intervenție în caz de incidente de securitate informatică („CSIRT”) funcționale, cunoscute și sub denumirea de echipe de intervenție în caz de urgență informatică („CERT”). Aceste echipe se ocupă în practică de incidentele și riscurile de securitate cibernetică. Ele cooperează între ele la nivelul UE și, de asemenea, colaborează cu sectorul privat.

Toate tipurile de operatori de servicii esențiale și de furnizori de servicii digitale trebuie să fie acoperite de echipe CSIRT desemnate.

Principalele sarcini ale echipelor CSIRT sunt:

• monitorizarea incidentelor la nivel național;
• furnizarea de alerte timpurii, alerte, anunțuri și alte informații cu privire la riscuri și incidente părților interesate relevante;
• răspunsul la incidente;
• furnizarea de analize dinamice ale riscurilor și incidentelor și conștientizarea situației;
• participarea la rețeaua CSIRT.

ECSO

Organizația Europeană pentru Securitate Cibernetică (ECSO) a fost creată în 2016 pentru a acționa în calitate de contraparte a Comisiei într-un parteneriat contractual public-privat care acoperă Orizont 2020 în perioada 2016-2020. Majoritatea celor 250 de membri ai ECSO aparțin fie industriei securității cibernetice, fie instituțiilor academice și de cercetare din domeniu. Într-o mai mică măsură, membrii ECSO includ, de asemenea, actori din sectorul public și industrii axate pe cerere.

Pe lângă formularea de recomandări privind Orizont 2020, ECSO desfășoară diverse activități care vizează construirea de comunități și dezvoltarea industrială la nivel european.

Women4Cyber

Este important să se sublinieze rolul femeilor în comunitatea securității cibernetice, care sunt subreprezentate. Acesta este motivul pentru care Comisia a înființat Registrul Women4Cyber, în cooperare cu inițiativa ECSO Women4Cyber. Aceasta facilitează găsirea de către mass-media, organizatorii de evenimente și alte persoane a numeroaselor femei talentate care lucrează în domeniul securității cibernetice, astfel încât aceste femei să devină mai vizibile și mai proeminente în comunitatea cibernetică și în dezbaterea publică.

UE colaborează cu partenerii pentru a promova interesele comune în politica de securitate cibernetică. Cel deal 9-lea dialog cibernetic UE-SUA a avut loc la Bruxelles în decembrie 2023. UE și SUA au avansat cooperarea în domenii precum diplomația cibernetică, gestionarea crizelor, consolidarea capacităților, securitatea cibernetică a infrastructurii critice (inclusivraportarea incidentelor),securitatea cibernetică a produselor hardware și software (inclusivPlanul de acțiune comun privind siguranța cibernetică aproduselor) și aspectele legate de securitatea cibernetică ale tehnologiilor emergente, cum ar fi IA. 

Începând din 2021, UE și Ucraina au organizat trei dialoguri cibernetice. În 2023, Agenția UE pentru Securitate Cibernetică (ENISA) a oficializat un acord de lucru cu omologii ucraineni pentru a promova consolidarea capacităților, schimbul de bune practici și conștientizarea situației. De asemenea, UE a inițiat dialoguri cibernetice cu India, Japonia, Republica Coreea și Brazilia. Primuldialog cibernetic UE-Regatul Unit a avut loc la Bruxelles în decembrie 2023, al doilea an mai târziu, la 6 decembrie 2024.

Securitatea cibernetică este, de asemenea, discutată în contextul parteneriatelor digitale bilaterale și al dialogurilor digitale, precum și al Alianței digitale UE-ALC, al dialogului privind reglementarea UE-Balcanii de Vest, al dialogului structurat UE-NATO privind reziliența și al dialogului structurat UE-NATO privind securitatea și apărarea cibernetică. În 2023, Grupul operativ UE-NATO privind reziliența infrastructurii critice a publicat un raport care a cartografiat sectoare transversale importante. 

La 11 noiembrie 2024, UE și Japonia au desfășuratcel deal șaselea dialog cibernetic la Tokyo, unde au făcut schimb de opinii cu privire la peisajul amenințărilor și răspunsul la activitățile răuvoitoare cibernetice, au furnizat informații actualizate cu privire la cele mai recente evoluții legislative și de politică în materie de securitate cibernetică, precum și în domeniul tehnologiilor emergente, al gestionării crizelor cibernetice și al apărării cibernetice.

Criminalitatea informatică

Infractorii obișnuiți recurg la atacuri cibernetice care îi amenință pe europeni. Departamentul Migrație și Afaceri Interne al Comisiei monitorizează și actualizează legislația UE privind criminalitatea informatică și sprijină capacitatea de aplicare a legii. De asemenea, Comisia colaborează cu Centrul european de combatere a criminalității informatice din cadrul Europol.

Diplomația cibernetică

UE depune eforturi pentru a se proteja împotriva amenințărilor cibernetice din afara frontierelor sale. Ca parte a acestui proces, Comisia colaborează cu Serviciul European de Acțiune Externă și cu statele membre la punerea în aplicare a unui răspuns diplomatic comun la activitățile cibernetice răuvoitoare („setul de instrumente pentru diplomația cibernetică”). Acest răspuns include cooperarea și dialogul diplomatic, măsuri preventive împotriva atacurilor cibernetice și sancțiuni împotriva celor implicați în atacuri cibernetice care amenință UE.

Comisia oferă asistență în procesul decizional privind răspunsul la amenințările cibernetice externe ori de câte ori este necesar. De asemenea, acesta finanțează în mod direct Inițiativa UE de sprijinire a diplomației cibernetice, aflată în curs de desfășurare.

Apărare cibernetică

La 10 noiembrie 2022, Comisia și Înaltul Reprezentant au prezentat o comunicare comună privind politica de apărare cibernetică a UE pentru a aborda deteriorarea mediului de securitate în urma agresiunii Rusiei împotriva Ucrainei și pentru a spori capacitatea UE de a-și proteja cetățenii și infrastructura.  

Politica UE privind apărarea cibernetică este construită în jurul a patru piloni care acoperă o gamă largă de inițiative care vor ajuta UE și statele membre să fie mai în măsură să detecteze, să descurajeze și să se apere împotriva atacurilor cibernetice:

1. Acționăm împreună pentru o apărare cibernetică mai puternică a UE

2. Securizarea ecosistemului de apărare

3. Investiții în capabilitățile de apărare cibernetică

4. Partener pentru abordarea provocărilor comune

Noua politică necesită investiții încapabilități de apărare cibernetică cu spectru complet și va consolida coordonarea și cooperarea dintre comunitățile cibernetice militare și civile ale UE. Aceasta va consolida cooperarea cu sectorul privat și gestionarea eficientă a crizelor cibernetice în cadrul Uniunii. Noua politică va contribui, de asemenea, la reducerea dependențelor noastre strategice în ceea ce privește tehnologiile cibernetice critice și va consolida baza industrială tehnologică de apărare europeană (EDTIB). Aceasta va stimula formarea, atragerea și păstrarea talentelor cibernetice.

UE cooperează în domeniul apărării în spațiul cibernetic prin activitățile Comisiei Europene, ale Serviciului European de Acțiune Externă (SEAE),ale Agenției Europene de Apărare, precum și ale ENISA și ale Agenției Uniunii Europene pentru Cooperare în Materie de Aplicare a Legii (Europol).

Consolidarea capacităților cibernetice în țările terțe

UE cooperează cu alte țări pentru a contribui la consolidarea capacității acestora de a se apăra împotriva amenințărilor la adresa securității cibernetice. Comisia sprijină diverse programe de securitate cibernetică în țările implicate în procesul de aderare, precum și în alte țări din întreaga lume, prin intermediul departamentului său pentru cooperare internațională și dezvoltare.