Politici de securitate cibernetică

Strategia de securitate cibernetică

Comisia Europeană și Înaltul Reprezentant al Uniunii pentru afaceri externe și politica de securitate au prezentat o nouă strategie de securitate cibernetică a UE la sfârșitul anului 2020.

Strategia acoperă securitatea serviciilor esențiale, cum ar fi spitalele, rețelele energetice și căile ferate. De asemenea, acoperă securitatea numărului tot mai mare de obiecte conectate în casele, birourile și fabricile noastre.

Strategia se concentrează pe consolidarea capacităților colective pentru a răspunde atacurilor cibernetice majore și pe colaborarea cu parteneri din întreaga lume pentru a asigura securitatea și stabilitatea internațională în spațiul cibernetic. Acesta subliniază modul în care o unitate cibernetică comună poate asigura cel mai eficient răspuns la amenințările cibernetice, utilizând resursele colective și expertiza de care dispune UE și statele membre.

Legislație și certificare

Directiva privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune (Directiva NIS2)

Amenințările la adresa securității cibernetice sunt aproape întotdeauna transfrontaliere, iar un atac cibernetic asupra instalațiilor critice ale unei țări poate afecta UE în ansamblu. Țările UE trebuie să aibă organisme guvernamentale puternice care să supravegheze securitatea cibernetică în țara lor și care să colaboreze cu omologii lor din alte state membre prin schimbul de informații. Acest lucru este deosebit de important pentru sectoarele care sunt esențiale pentru societățile noastre.

Directiva privind securitatea rețelelor și a sistemelor informatice (Directiva NIS), pe care toate țările au pus-o în aplicare în prezent, asigură crearea și cooperarea acestor organisme guvernamentale. Această directivă a fost revizuită la sfârșitul anului 2020.

Ca urmare a procesului de revizuire, propunerea de directivă privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune (Directiva NIS2) a fost prezentată de Comisie la 16 decembrie 2020. 

Directiva a fost publicată în Jurnalul Oficial al Uniunii Europene în decembrie 2022 și a intrat în vigoare la 16 ianuarie 2023. Statele membre vor avea la dispoziție 21 de luni de la intrarea în vigoare a directivei pentru a încorpora dispozițiile în legislația lor națională (data efectivă: 18 octombrie 2024).

ENISA – Agenția UE pentru securitate cibernetică

ENISA (Agenția Uniunii Europene pentru Securitate Cibernetică) este agenția UE care se ocupă de securitatea cibernetică. Acesta oferă sprijin statelor membre, instituțiilor și întreprinderilor UE în domenii-cheie, inclusiv punerea în aplicare a Directivei NIS.

Legea privind reziliența cibernetică

Propunerea de regulament privind cerințele de securitate cibernetică pentru produsele cu elemente digitale, cunoscută sub numele de Legea privind reziliența cibernetică, consolidează normele în materie de securitate cibernetică pentru a asigura produse hardware și software mai sigure.

Legea privind securitatea cibernetică

Legea privind securitatea cibernetică consolidează rolul ENISA. Agenția are acum un mandat permanent și are competența de a contribui la intensificarea cooperării operaționale și a gestionării crizelor în întreaga UE. De asemenea, are mai multe resurse financiare și umane decât înainte. La 18 aprilie 2023, Comisia a propus o modificare specifică a Legii UE privind securitatea cibernetică.

Legea privind solidaritatea cibernetică

La 18 aprilie 2023, Comisia Europeană a propus Actul UE privind solidaritatea cibernetică, pentru a îmbunătăți răspunsul la amenințările cibernetice în întreaga UE. Propunerea va include un scut european de securitate cibernetică și un mecanism cuprinzător de urgență cibernetică pentru a crea o metodă mai bună de apărare cibernetică.

Certificare

Viața noastră digitală poate funcționa bine numai dacă există încredere publică în securitatea cibernetică a produselor și serviciilor IT. Este important să vedem că un produs a fost verificat și certificat pentru a se conforma standardelor înalte de securitate cibernetică. În prezent, există diferite sisteme de certificare de securitate pentru produsele informatice în întreaga UE. Existența unui sistem comun unic de certificare ar fi mai ușoară și mai clară pentru toată lumea.

Prin urmare, Comisia lucrează la un cadru de certificare la nivelul UE, ENISA fiind în centrul său. Legea privind securitatea cibernetică prezintă procesul de realizare a acestui cadru.

 

Investiții

Planul de redresare

Securitatea cibernetică este una dintre prioritățile Comisiei în ceea ce privește răspunsul său la criza provocată de coronavirus, deoarece atacurile cibernetice au crescut în timpul măsurilor de limitare a mișcării persoanelor. Planul de redresare pentru Europa include investiții suplimentare în securitatea cibernetică.

Sprijin pentru cercetare și inovare: Orizont 2020 și cPPP; Orizont Europa

Cercetarea în domeniul securității digitale este esențială pentru a construi soluții inovatoare care să ne protejeze împotriva celor mai recente și mai avansate amenințări cibernetice. Acesta este motivul pentru care securitatea cibernetică este o parte importantă a programului Orizont 2020 și a succesorului său, Orizont Europa. 

În cadrul programului Orizont Europa, pentru perioada 2021-2027, securitatea cibernetică face parte din clusterul „Securitate civilă pentru societate”. 

Ca parte a programului Orizont 2020, Comisia a cofinanțat cercetarea și inovarea în domenii precum pregătirea în materie de securitate cibernetică prin game și simulări cibernetice, securitatea cibernetică pentru întreprinderile mici și mijlocii, securitatea cibernetică în domeniul energiei electrice și al sistemului energetic, precum și securitatea cibernetică și protecția datelor în sectoarele critice. Aceste subiecte se încadrează în clusterul „Societăți sigure – Protejarea libertății și securității Europei și a cetățenilor săi”.

În 2016, între Comisia Europeană și Organizația Europeană de Securitate Cibernetică (ECSO), a fost instituit parteneriatul contractual public-privat privind securitatea cibernetică din cadrul programului Orizont 2020, o asociație formată din membri din industria cibernetică, mediul academic, administrațiile publice și multe altele.

Sprijin pentru capacitățile cibernetice și pentru desfășurarea acestora

Infrastructurile noastre fizice și digitale sunt strâns legate între ele. Prin urmare, Comisia a investit, de asemenea, în securitatea cibernetică, ca parte a programului său de finanțare a investițiilor în infrastructură, Mecanismul pentru interconectarea Europei (MIE), pentru perioada 2014-2020.

Sprijinul MIE a fost acordat echipelor de răspuns la incidente de securitate informatică, operatorilor de servicii esențiale (OES), furnizorilor de servicii digitale (DSP), punctelor unice de contact (SPOC) și autorităților naționale competente (ANC). Acest lucru consolidează capacitățile de securitate cibernetică și colaborarea transfrontalieră în cadrul UE, sprijinind punerea în aplicare a strategiei de securitate cibernetică a UE.

Programul Europa digitală, pentru perioada 2021-2027, este un program ambițios care intenționează să investească 1,9 miliarde EUR în capacitatea de securitate cibernetică și în implementarea pe scară largă a infrastructurilor și instrumentelor de securitate cibernetică în întreaga UE pentru administrațiile publice, întreprinderi și persoane fizice.

Securitatea cibernetică face, de asemenea, parte din InvestEU. InvestEU este un program general care reunește numeroase instrumente financiare și utilizează investițiile publice pentru a asigura investiții suplimentare din partea sectorului privat. Facilitatea sa de investiții strategice va sprijini lanțurile valorice esențiale în materie de securitate cibernetică. Aceasta reprezintă o parte importantă a pachetului de redresare ca răspuns la criza provocată de coronavirus.

Centrul de competențe în materie de securitate cibernetică și rețeaua; Atlas

Centrul european de competențe în domeniul industrial, tehnologic și de cercetare în materie de securitate cibernetică va pune în comun expertiza și va alinia dezvoltarea și implementarea la nivel european a tehnologiei de securitate cibernetică. Acesta va colabora cu industria, cu comunitatea academică și cu alte părți pentru a construi o agendă comună pentru investiții în securitatea cibernetică și pentru a decide cu privire la prioritățile de finanțare pentru cercetarea, dezvoltarea și implementarea soluțiilor de securitate cibernetică prin intermediul programelor Orizont Europa și Europa digitală.

În prezent, patru proiecte-pilot se derulează pentru a pune bazele Centrului de competențe și rețelei. Acestea implică mai mult de 170 de parteneri.

Pentru o mai bună prezentare a expertizei și a capacității în materie de securitate cibernetică în întreaga UE, Comisia a dezvoltat o platformă cuprinzătoare numită Atlasul securității cibernetice.

 

Orientări politice

Plan de răspuns coordonat la atacurile cibernetice majore

Planul Comisiei pentru un răspuns rapid în situații de urgență oferă un plan în cazul unui incident sau al unei crize cibernetice transfrontaliere la scară largă. Acesta stabilește obiectivele și modurile de cooperare între statele membre și instituțiile UE în ceea ce privește răspunsul la astfel de incidente și crize. Acesta explică modul în care mecanismele existente de gestionare a crizelor pot utiliza pe deplin entitățile existente în materie de securitate cibernetică la nivelul UE.

Unitatea cibernetică comună

Ca urmare, președinta Comisiei, Ursula von der Leyen, a anunțat o propunere pentru o unitate cibernetică comună la nivelul UE. Recomandarea privind crearea unității cibernetice comune anunțată de Comisie la 23 iunie 2021 reprezintă un pas important către finalizarea cadrului european de gestionare a crizelor în materie de securitate cibernetică. Este un rezultat concret al Strategiei de securitate cibernetică a UE și al Strategiei UE privind uniunea securității, contribuind la o economie și o societate digitală sigure.

Unitatea cibernetică comună va acționa ca o platformă pentru a asigura un răspuns coordonat al UE la incidentele și crizele cibernetice de mare anvergură, precum și pentru a oferi asistență pentru redresarea în urma acestor atacuri.

Implementarea tehnologiei 5G securizată în UE

Se preconizează că rețelele 5G vor fi implementate în întreaga UE. Acestea vor oferi beneficii uriașe, dar vor avea, de asemenea, mai multe puncte de intrare potențiale pentru atacatori, datorită naturii mai puțin centralizate a arhitecturii lor, a numărului mai mare de antene și a dependenței crescute de software. Setul de instrumente al UE privind 5G stabilește măsuri de consolidare a cerințelor de securitate pentru rețelele 5G, de aplicare a restricțiilor relevante pentru furnizorii considerați cu grad ridicat de risc și de asigurare a diversificării furnizorilor.

Asigurarea procesului electoral

Democrațiile noastre europene au devenit din ce în ce mai digitale: campaniile politice au loc online, iar alegerile au loc prin vot electronic în multe țări. 

Comisia a emis recomandări privind securitatea cibernetică a alegerilor pentru Parlamentul European, ca parte a unui pachet mai amplu de recomandări menite să sprijine alegerile europene libere și corecte. Cu o lună înainte de alegerile europene din 2019, Parlamentul European, țările UE, Comisia și ENISA au efectuat un test de pregătire în timp real.

 

Competențe și conștientizare

Competențe

Putem asigura securitatea digitală numai dacă avem experți cu cunoștințele și competențele adecvate, iar în prezent nu există suficient. Acesta este motivul pentru care Comisia ia măsuri pentru a stimula dezvoltarea competențelor în materie de securitate cibernetică.

Comisia a pregătit un apel pentru un cadru coerent pentru predarea competențelor în materie de securitate cibernetică în învățământul universitar și profesional. Cele patru proiecte-pilot care pregătesc centrul de competențe în materie de securitate cibernetică și rețeaua ECSO lucrează în prezent în acest sens. Există, de asemenea, inițiative recurente destinate direct studenților, cum ar fi provocarea anuală în materie de securitate cibernetică la nivel european.

Competențele în materie de securitate cibernetică se încadrează în agenda generală a Comisiei privind competențele digitale. De asemenea, acestea fac parte din eforturile de finanțare din cadrul programului Orizont 2020, Orizont Europa și al programului Europa digitală. Un exemplu este finanțarea „intervalelor cibernetice”, care sunt medii de simulare în timp real a amenințărilor cibernetice pentru formare.

Sensibilizare

Factorul uman este adesea veriga slabă a securității cibernetice: cineva care face clic pe un link de phishing poate avea consecințe uriașe. Prin urmare, Comisia crește gradul de sensibilizare cu privire la securitatea cibernetică și promovează cele mai bune practici în rândul publicului larg. De exemplu, o dată pe an organizează Luna europeană a securității cibernetice împreună cu ENISA.

Academia de competențe în materie de securitate cibernetică a UE

Academia pentru competențe în materie de securitate cibernetică a UE, lansată ca parte a Anului european al competențelor, va reuni inițiative private și publice la nivel european și național pentru a aborda decalajul în ceea ce privește forța de muncă în materie de securitate cibernetică. Inițiativa va fi găzduită online pe platforma Comisiei pentru locuri de muncă și competențe și va cuprinde oportunități de finanțare, formare și certificări din întreaga UE, pentru cei interesați de o carieră în domeniul securității cibernetice.

Comunicare privind Academia UE pentru competențe cibernetice

Fișa informativă a Academiei UE pentru competențe cibernetice

Comunitatea cibernetică

ENISA – Agenția UE pentru securitate cibernetică

ENISA este agenția UE care se ocupă de securitatea cibernetică. Acesta oferă sprijin statelor membre, instituțiilor și întreprinderilor UE în domenii-cheie, inclusiv punerea în aplicare a Directivei NIS.

ISAC-uri

Centrele de schimb de informații și de analiză (ISAC) promovează colaborarea dintre comunitatea de securitate cibernetică în diferite sectoare ale economiei. Dezvoltarea în continuare a ISAC atât la nivelul UE, cât și la nivel național reprezintă o prioritate pentru Comisie. În colaborare cu ENISA, Comisia promovează, de asemenea, instituirea de noi ISAC în sectoare care nu sunt acoperite. „Consorțiul care capacitează ISAC-urile UE”, supravegheat de Comisie, oferă sprijin juridic, tehnic și organizațional pentru ISAC.

CCC

Centrul Comun de Cercetare (JRC) al Comisiei contribuie activ la securitatea cibernetică în UE. De exemplu, JRC a elaborat o taxonomie de securitate cibernetică. Acest lucru aliniază terminologia utilizată în domeniul securității cibernetice, astfel încât să putem avea o imagine de ansamblu mai clară a capacităților de securitate cibernetică din UE.

De asemenea, JRC a publicat recent un raport care oferă informații cu privire la peisajul actual al securității cibernetice a UE și la istoria acestuia, intitulat „Securitatea cibernetică – ancora noastră digitală”.

CSIRT/CERT

În temeiul Directivei NIS, statele membre ale UE au obligația de a se asigura că dispun de echipe de intervenție în caz de incidente de securitate informatică care funcționează corespunzător („CSIRT”), cunoscute și sub denumirea de echipe de răspuns la incidente de securitate informatică („CERT”). Aceste echipe se ocupă de incidentele și riscurile de securitate cibernetică în practică. Acestea cooperează între ele la nivelul UE și colaborează, de asemenea, cu sectorul privat.
Toate tipurile de operatori de servicii esențiale și de furnizori de servicii digitale trebuie să fie acoperiți de CSIRT desemnate.

Principalele sarcini ale echipelor CSIRT sunt:

• monitorizarea incidentelor la nivel național;
• furnizarea de alerte timpurii, alerte, anunțuri și alte informații cu privire la riscuri și incidente pentru părțile interesate relevante;
• reacția la incidente;
• furnizarea de analize dinamice ale riscurilor și incidentelor și de conștientizare a situației;
• participarea la rețeaua CSIRT.

ECSO

Organizația Europeană de Securitate Cibernetică (ECSO) a fost creată în 2016 pentru a acționa în calitate de omolog al Comisiei în cadrul unui parteneriat contractual public-privat care acoperă programul Orizont 2020 în perioada 2016-2020. Majoritatea celor 250 de membri ai ECSO aparțin fie industriei de securitate cibernetică, fie instituțiilor de cercetare și academice din domeniu. Într-o măsură mai mică, membrii ECSO includ, de asemenea, actori din sectorul public și industriile axate pe cerere.

Pe lângă formularea de recomandări privind Orizont 2020, ECSO desfășoară diverse activități care vizează construirea comunității și dezvoltarea industrială la nivel european.

Women4Cyber

Este important să se sublinieze rolul femeilor în comunitatea securității cibernetice, care sunt subreprezentate. Acesta este motivul pentru care Comisia a înființat Registrul Femeilor4Cyber, în cooperare cu inițiativa „Femei4Cyber” a ECSO. Este mai ușor pentru mass-media, organizatorii de evenimente și alții să găsească multe femei talentate care lucrează în domeniul securității cibernetice, astfel încât aceste femei să devină mai vizibile și mai proeminente în comunitatea cibernetică și în dezbaterea publică.

 

Dialoguri cibernetice

UEcolaborează cu partenerii pentru a promova interesele comune în politica de securitate cibernetică. Cel de -al 9-lea dialog cibernetic UE-SUA a avut loc la Bruxelles, în decembrie 2023. UE și SUA au o cooperare avansată în domenii precum diplomația cibernetică, gestionarea crizelor, consolidarea capacităților, securitatea cibernetică a infrastructurii critice (inclusivraportarea incidentelor), securitatea cibernetică a produselor hardware și software (inclusivPlanul comunde acțiune privind produsele CyberSafe)și aspectele legate de securitatea cibernetică ale tehnologiilor emergente, cum ar fi IA.

Din 2021, UE și Ucraina au organizat două dialoguri cibernetice. În 2023, ENISA a oficializat un acord de lucru cu omologii ucraineni pentru a promova consolidarea capacităților, schimbul de bune practici și conștientizarea situației. UE a criticat, de asemenea, dialogurile cibernetice cu India, Japonia, Republica Coreea și Brazilia. Primul dialog cibernetic dintre UE și Regatul Unit a avut loc la Bruxelles, în decembrie 2023.

Securitatea cibernetică este discutată, de asemenea, în contextul parteneriatelor digitale bilaterale și al dialogurilor digitale, precum și al Alianței digitale UE-ALC, al dialogului de reglementare UE-Balcanii de Vest, al dialogului structurat UE-NATO privind reziliența și al dialogului structurat UE-NATO privind securitatea cibernetică și apărarea. În 2023, Grupul operativ UE-NATO privind reziliența infrastructurii critice a publicat un raport care a cartografiat sectoarele transversale importante.

 

Alte domenii de politică cibernetică

Criminalitatea informatică

Infractorii obișnuiți folosesc atacuri cibernetice care îi amenință pe europeni. Departamentul pentru migrație și afaceri interne al Comisiei monitorizează și actualizează legislația UE privind criminalitatea informatică și sprijină capacitatea de aplicare a legii. De asemenea, Comisia colaborează cu Centrul european de combatere a criminalității informatice din cadrul Europol.

Diplomația cibernetică

UE depune eforturi pentru a se proteja împotriva amenințărilor cibernetice din afara frontierelor sale. În acest context, Comisia colaborează cu Serviciul European de Acțiune Externă și cu statele membre pentru punerea în aplicare a unui răspuns diplomatic comun la activitățile cibernetice răuvoitoare („setul de instrumente pentru diplomația cibernetică”). Acest răspuns include cooperarea și dialogul diplomatic, măsuri preventive împotriva atacurilor cibernetice și sancțiuni împotriva celor implicați în atacuri cibernetice care amenință UE.

Comisia oferă asistență în procesul decizional privind răspunsul la amenințările cibernetice externe, ori de câte ori este necesar. De asemenea, aceasta finanțează în mod direct Inițiativa UE de sprijinire a diplomației cibernetice în curs.

Apărarea cibernetică

La 10 noiembrie 2022, Comisia și Înaltul Reprezentant au prezentat o comunicare comună privind o politică a UE de apărare cibernetică pentru a aborda deteriorarea mediului de securitate în urma agresiunii Rusiei împotriva Ucrainei și pentru a consolida capacitatea UE de a-și proteja cetățenii și infrastructura.  

Politica UE în domeniul apărării cibernetice este construită în jurul a patru piloni care acoperă o gamă largă de inițiative care vor ajuta UE și statele membre să fie mai în măsură să detecteze, să descurajeze și să apere împotriva atacurilor cibernetice:

1. Acționați împreună pentru o apărare cibernetică mai puternică a UE

2. Securizarea ecosistemului de apărare

3. Investiții în capabilitățile de apărare cibernetică

4. Partener pentru abordarea provocărilor comune

Noua politică solicită investiții încapabilități de apărare cibernetică cu spectru complet și va consolida coordonarea și cooperarea dintre comunitățile cibernetice militare și civile ale UE. Aceasta va consolida cooperarea cu sectorul privat și gestionarea eficientă a crizelor cibernetice în cadrul Uniunii. Noua politică va contribui, de asemenea, la reducerea dependențelor noastre strategice în tehnologiile cibernetice critice și la consolidarea bazei industriale tehnologice europene de apărare (EDTIB). Aceasta va stimula formarea, atragerea și păstrarea talentelor cibernetice.

UE cooperează în domeniul apărării în spațiul cibernetic prin activitățile Comisiei Europene, ale Serviciului European de Acțiune Externă (SEAE), ale Agenției Europene de Apărare, precum și ale ENISA și ale Agenției Uniunii Europene pentru Cooperare în Materie de Aplicare a Legii (Europol).

Consolidarea capacităților cibernetice în țările terțe

UE cooperează cu alte țări pentru a contribui la consolidarea capacității acestora de a se apăra împotriva amenințărilor la adresa securității cibernetice. Comisia sprijină diverse programe de securitate cibernetică în Balcanii de Vest și în cele șase țări din cadrul Parteneriatului estic din vecinătatea imediată a UE, precum și în alte țări din întreaga lume, prin intermediul departamentului său de cooperare internațională și dezvoltare.