Politici de securitate cibernetică

Noua strategie

Comisia Europeană și Înaltul Reprezentant al Uniunii pentru afaceri externe și politica de securitate au prezentat o nouă strategie a UE de securitate cibernetică la sfârșitul anului 2020.

Strategia acoperă securitatea serviciilor esențiale, cum ar fi spitalele, rețelele energetice și căile ferate. Acesta acoperă, de asemenea, securitatea numărului tot mai mare de obiecte conectate în casele, birourile și fabricile noastre.

Strategia se concentrează pe consolidarea capacităților colective pentru a răspunde atacurilor cibernetice majore și pe colaborarea cu parteneri din întreaga lume pentru a asigura securitatea și stabilitatea internațională în spațiul cibernetic. Acesta prezintă modul în care o unitate cibernetică comună poate asigura cel mai eficient răspuns la amenințările cibernetice, utilizând resursele și expertiza colectivă aflate la dispoziția UE și a statelor membre.

Legislație și certificare

Directiva privind securitatea rețelelor și a sistemelor informatice (Directiva NIS)

Amenințările la adresa securității cibernetice sunt aproape întotdeauna transfrontaliere, iar un atac cibernetic asupra instalațiilor critice ale unei țări poate afecta UE în ansamblu. Țările UE trebuie să aibă organisme guvernamentale puternice care să supravegheze securitatea cibernetică în țara lor și care să colaboreze cu omologii lor din alte state membre prin schimbul de informații. Acest lucru este deosebit de important pentru sectoarele care sunt esențiale pentru societățile noastre.

Directiva NIS, pe care toate țările au pus-o în aplicare în prezent, asigură crearea și cooperarea unor astfel de organisme guvernamentale. Această directivă a fost revizuită la sfârșitul anului 2020.

Ca urmare a procesului de revizuire, propunerea de directivă privind măsurile pentru un nivel comun ridicat de securitate cibernetică în întreaga Uniune (Directiva NIS2) a fost prezentată de Comisie la 16 decembrie 2020.

ENISA – Agenția UE pentru securitate cibernetică

ENISA („Agenția Uniunii Europene pentru Securitatea Rețelelor și a Informațiilor”) este agenția UE care se ocupă de securitatea cibernetică. Acesta oferă sprijin statelor membre, instituțiilor UE și întreprinderilor în domenii-cheie, inclusiv punerea în aplicare a Directivei NIS.

Legea privind securitatea cibernetică

Legea privind securitatea cibernetică consolidează rolul ENISA. Agenția are în prezent un mandat permanent și este împuternicită să contribuie la intensificarea cooperării operaționale și a gestionării crizelor în întreaga UE. De asemenea, are mai multe resurse financiare și umane decât înainte.

Certificare

Viața noastră digitală poate funcționa bine numai dacă există încredere publică în securitatea cibernetică a produselor și serviciilor IT. Este important să vedem că un produs a fost verificat și certificat pentru a se conforma standardelor înalte de securitate cibernetică. În prezent, există diferite sisteme de certificare a securității pentru produsele IT în întreaga UE. Existența unui sistem comun unic de certificare ar fi mai ușoară și mai clară pentru toată lumea.

Prin urmare, Comisia lucrează la un cadru de certificare la nivelul UE, cu ENISA în centrul său. Legea privind securitatea cibernetică prezintă procesul de realizare a acestui cadru.

Investiții

Planul de redresare

Securitatea cibernetică este una dintre prioritățile Comisiei în răspunsul său la criza provocată de coronavirus, deoarece au existat atacuri cibernetice sporite în timpul izolării. Planul de redresare pentru Europa include investiții suplimentare în securitatea cibernetică.

Sprijin pentru cercetare și inovare: Orizont 2020 și cPPP; Orizont Europa

Cercetarea în domeniul securității digitale este esențială pentru construirea de soluții inovatoare care ne pot proteja împotriva celor mai recente și mai avansate amenințări cibernetice. Acesta este motivul pentru care securitatea cibernetică este o parte importantă a programului Orizont 2020 și a succesorului său Orizont Europa. 

În cadrul programului Orizont Europa, pentru perioada 2021-2027, securitatea cibernetică face parte din clusterul „Securitate civilă pentru societate”. Programul de lucru 2021-2022 este în curs de elaborare.

Ca parte a programului Orizont 2020, Comisia a cofinanțat cercetarea și inovarea în domenii precum pregătirea pentru securitatea cibernetică prin intermediul gamelor și simulărilor cibernetice, securitatea cibernetică pentru întreprinderile mici și mijlocii, securitatea cibernetică în domeniul energiei electrice și al sistemului energetic, securitatea cibernetică și protecția datelor în sectoarele critice. Aceste subiecte fac parte din clusterul „Societăți sigure – Protejarea libertății și securității Europei și a cetățenilor săi”.

În 2016, a fost instituit parteneriatul contractual public-privat Orizont 2020 (cPPP) privind securitatea cibernetică între Comisia Europeană și Organizația Europeană de Securitate Cibernetică (ECSO), o asociație formată din membri din industria cibernetică, mediul academic, administrațiile publice și multe altele.

Sprijin pentru capacitățile cibernetice și implementarea acestora

Infrastructurile noastre fizice și digitale sunt strâns interconectate. Prin urmare, Comisia a investit, de asemenea, în securitatea cibernetică în cadrul programului său de finanțare a investițiilor în infrastructură, Mecanismul pentru interconectarea Europei (MIE), pentru perioada 2014-2020.

Sprijinul MIE a fost acordat echipelor de răspuns la incidente de securitate informatică, operatorilor de servicii esențiale (OES), furnizorilor de servicii digitale (DSP), punctelor unice de contact (SPOC) și autorităților naționale competente (ANC). Acest lucru consolidează capacitățile de securitate cibernetică și colaborarea transfrontalieră în cadrul UE, sprijinind punerea în aplicare a strategiei UE de securitate cibernetică.

Programul Europa digitală, pentru perioada 2021-2027, este un program ambițios care intenționează să investească 1,9 miliarde EUR în capacitatea de securitate cibernetică și în implementarea pe scară largă a infrastructurilor și instrumentelor de securitate cibernetică în întreaga UE pentru administrațiile publice, întreprinderi și persoane fizice.

Securitatea cibernetică face parte, de asemenea, din InvestEU. InvestEU este un program general care reunește numeroase instrumente financiare și utilizează investițiile publice pentru a asigura investiții suplimentare din sectorul privat. Facilitatea sa de investiții strategice va sprijini lanțurile valorice esențiale în materie de securitate cibernetică. Este o parte importantă a pachetului de redresare ca răspuns la criza provocată de coronavirus.

Centrul de competențe și rețeaua de competențe în materie de securitate cibernetică; Română

Centrul european de competențe industriale, tehnologice și de cercetare în materie de securitate cibernetică va pune în comun expertiza și va alinia dezvoltarea și implementarea la nivel european a tehnologiilor de securitate cibernetică. Acesta va colabora cu industria, cu comunitatea academică și cu alții pentru a construi o agendă comună pentru investiții în securitatea cibernetică și pentru a decide cu privire la prioritățile de finanțare pentru cercetare, dezvoltare și implementarea soluțiilor de securitate cibernetică prin programele Orizont Europa și Europa digitală.

În prezent, patru proiecte-pilot sunt în curs de desfășurare pentru a pune bazele Centrului de competențe și rețelei. Acestea implică peste 170 de parteneri.

Pentru o mai bună imagine de ansamblu a expertizei și a capacității în materie de securitate cibernetică în întreaga UE, Comisia a dezvoltat o platformă cuprinzătoare numită Atlasul securității cibernetice.

Orientare politică

Plan de răspuns coordonat la atacurile cibernetice majore

Planul Comisiei pentru un răspuns rapid în caz de urgență oferă un plan în cazul unui incident sau al unei crize cibernetice transfrontaliere la scară largă. Acesta stabilește obiectivele și modurile de cooperare între statele membre și instituțiile UE în ceea ce privește răspunsul la astfel de incidente și crize. Acesta explică modul în care mecanismele existente de gestionare a crizelor pot utiliza pe deplin entitățile existente în materie de securitate cibernetică la nivelul UE.

Unitate cibernetică comună

Ca urmare, președinta Comisiei, Ursula von der Leyen, a anunțat o propunere privind o unitate cibernetică comună la nivelul UE. Recomandarea privind crearea unității cibernetice comune anunțată de Comisie la 23 iunie 2021 reprezintă un pas important către finalizarea cadrului european de gestionare a crizelor în materie de securitate cibernetică. Este un rezultat concret al Strategiei de securitate cibernetică a UE și al StrategieiUE privind uniunea securității, contribuind la o economie și o societate digitală sigure.

Unitatea cibernetică comună va acționa ca o platformă pentru a asigura un răspuns coordonat al UE la incidente și crize cibernetice de mare amploare, precum și pentru a oferi asistență pentru recuperarea în urma acestor atacuri.

Implementarea 5G în condiții de siguranță în UE

Rețelele 5G sunt planificate să fie implementate în întreaga UE. Acestea vor oferi beneficii uriașe, dar vor avea, de asemenea, mai multe puncte de intrare potențiale pentru atacatori, datorită naturii mai puțin centralizate a arhitecturii lor, unui număr mai mare de antene și dependenței sporite de software. Setul de instrumente al UE privind 5G stabilește măsuri de consolidare a cerințelor de securitate pentru rețelele 5G, de aplicare a restricțiilor relevante pentru furnizorii considerați că prezintă un grad ridicat de risc și de asigurare a diversificării furnizorilor.

Securizarea procesului electoral

Democrațiile noastre europene au devenit din ce în ce mai digitale: campaniile politice au loc online, iar alegerile se desfășoară ele însele prin vot electronic în multe țări. 

Comisia a emis recomandări privind securitatea cibernetică a alegerilor pentru Parlamentul European, ca parte a unui pachet mai larg de recomandări menite să sprijine alegeri europene libere și corecte. Cu o lună înainte de alegerile europene din 2019, Parlamentul European, țările UE, Comisia și ENISA au efectuat un test live al pregătirii acestora.

Competențe și conștientizare

Abilități

Putem asigura securitatea digitală numai dacă avem experți cu cunoștințe și competențe adecvate, iar în prezent nu sunt suficiente. Acesta este motivul pentru care Comisia ia măsuri pentru a stimula dezvoltarea competențelor în materie de securitate cibernetică.

Comisia a pregătit un apel la un cadru coerent pentru predarea competențelor în materie de securitate cibernetică în învățământul universitar și profesional. Cele patru proiecte-pilot care pregătesc centrul de competențe în materie de securitate cibernetică și rețeaua ECSO lucrează în prezent la acest aspect. Există, de asemenea, inițiative recurente destinate direct studenților, cum ar fi provocarea anuală europeană în materie de securitate cibernetică.

Competențele în materie de securitate cibernetică se încadrează în agenda generală a Comisiei privind competențele digitale. Acestea fac, de asemenea, parte din eforturile de finanțare din cadrul Orizont 2020, Orizont Europa și al programului Europa digitală. Un exemplu este finanțarea „intervalelor cibernetice”, care sunt medii de simulare în timp real a amenințărilor cibernetice pentru formare.

Conștientizare

Factorul uman este adesea veriga slabă a securității cibernetice: cineva care face clic pe un link de phishing poate avea consecințe uriașe. Prin urmare, Comisia crește gradul de sensibilizare cu privire la securitatea cibernetică și promovează cele mai bune practici în rândul publicului larg. De exemplu, o dată pe an organizează Luna europeană a securității cibernetice împreună cu ENISA.

Comunitatea cibernetică

ENISA – Agenția UE pentru securitate cibernetică

ENISA este agenția UE care se ocupă de securitatea cibernetică. Acesta oferă sprijin statelor membre, instituțiilor UE și întreprinderilor în domenii-cheie, inclusiv punerea în aplicare a Directivei NIS.

ISAC-uri

Centrele de analiză și schimb de informații (ISAC) promovează colaborarea între comunitatea de securitate cibernetică din diferite sectoare ale economiei. Dezvoltarea în continuare a ISAC atât la nivelul UE, cât și la nivel național reprezintă o prioritate pentru Comisie. În colaborare cu ENISA, Comisia promovează, de asemenea, instituirea de noi ISAC-uri în sectoare care nu sunt acoperite. „Consorțiul ISAC UE împuternicit”, supravegheat de Comisie, oferă sprijin juridic, tehnic și organizațional pentru ISAC.

ROMÂNĂ

Centrul Comun de Cercetare (JRC) al Comisiei contribuie activ la securitatea cibernetică în UE. De exemplu, JRC a elaborat o taxonomie a securității cibernetice. Aceasta aliniază terminologia utilizată în domeniul securității cibernetice, astfel încât să putem avea o imagine de ansamblu mai clară a capacităților de securitate cibernetică din UE.

De asemenea, JRC a publicat recent un raport care oferă informații despre peisajul actual al UE în materie de securitate cibernetică și istoria sa, intitulat „Securitatea cibernetică – ancora noastră digitală”.

CSIRT/CERT-uri

În temeiul Directivei NIS, statele membre ale UE trebuie să se asigure că dispun de echipe funcționale de răspuns la incidente de securitate informatică („CSIRT”), cunoscute și sub denumirea de echipe de intervenție în caz de urgență informatică („CERT”). Aceste echipe se ocupă de incidentele și riscurile de securitate cibernetică în practică. Acestea cooperează între ele la nivelul UE și, de asemenea, colaborează cu sectorul privat. Toate tipurile de operatori de servicii esențiale și de furnizori de servicii digitale trebuie să fie acoperite de CSIRT desemnate.

Principalele sarcini ale CSIRT sunt:

• monitorizarea incidentelor la nivel național;
• furnizarea de alerte timpurii, alerte, anunțuri și alte informații cu privire la riscuri și incidente pentru părțile interesate relevante;
• răspuns la incidente;
• furnizarea unei analize dinamice a riscurilor și incidentelor și conștientizarea situației;
• participarea la rețeaua CSIRT.

ECSO

Organizația Europeană de Securitate Cibernetică (ECSO) a fost creată în 2016 pentru a acționa în calitate de omolog al Comisiei într-un parteneriat public-privat contractual care acoperă Orizont 2020 în perioada 2016-2020. Majoritatea celor 250 de membri ai ECSO aparțin fie industriei securității cibernetice, fie instituțiilor de cercetare și academice din domeniu. Într-o măsură mai mică, membrii ECSO includ, de asemenea, actori din sectorul public și industrii axate pe cerere.

Pe lângă formularea de recomandări privind Orizont 2020, ECSO desfășoară diverse activități care vizează construirea comunității și dezvoltarea industrială la nivel european.

Femei4Cyber

Este important să se sublinieze rolul femeilor în comunitatea de securitate cibernetică, care sunt subreprezentate. Acesta este motivul pentru care Comisia a înființat Registrul Women4Cyber, în cooperare cu inițiativa ECSO Women4Cyber. Este mai ușor pentru mass-media, organizatorii de evenimente și alte persoane să găsească multe femei talentate care lucrează în domeniul securității cibernetice, astfel încât aceste femei să devină mai vizibile și mai proeminente în comunitatea cibernetică și în dezbaterea publică.

Alte domenii de politică în domeniul cibernetic

Criminalitatea informatică

Infractorii obișnuiți recurg la atacuri cibernetice care amenință europenii. Departamentul Migrație și Afaceri Interne al Comisiei monitorizează și actualizează legislația UE privind criminalitatea informatică și sprijină capacitatea de aplicare a legii. De asemenea, Comisia colaborează cu Centrul european de combatere a criminalității informatice din cadrul Europol.

Diplomația cibernetică

UE depune eforturi pentru a se proteja împotriva amenințărilor cibernetice din afara granițelor sale. În acest sens, Comisia colaborează cu Serviciul European de Acțiune Externă și cu statele membre la punerea în aplicare a unui răspuns diplomatic comun la activitățile cibernetice răuvoitoare („ setul de instrumente pentru diplomația cibernetică”). Acest răspuns include cooperarea și dialogul diplomatic, măsuri preventive împotriva atacurilor cibernetice și sancțiuni împotriva celor implicați în atacuri cibernetice care amenință UE.

Comisia oferă asistență în procesul decizional privind răspunsul la amenințările cibernetice externe ori de câte ori este necesar. De asemenea, finanțează direct Inițiativa UE de sprijinire a diplomației cibernetice, aflată în curs de desfășurare.

Apărare

UE cooperează în domeniul apărării în spațiul cibernetic prin activitățile Agenției Europene de Apărare, precum și ale ENISA, Europol și ale Direcției Generale din cadrul Comisiei responsabile cu industria apărării.

Consolidarea capacităților cibernetice în țările terțe

UE cooperează cu alte țări pentru a contribui la consolidarea capacității acestora de a se apăra împotriva amenințărilor la adresa securității cibernetice. Comisia sprijină diverse programe de securitate cibernetică în Balcanii de Vest și în cele șase țări din Parteneriatul estic din imediata vecinătate a UE, precum și în alte țări din întreaga lume, prin intermediul departamentului său de cooperare internațională și dezvoltare.