Politiky kybernetickej bezpečnosti

Stratégia kybernetickej bezpečnosti

Európska komisia a vysoká predstaviteľka Únie pre zahraničné veci a bezpečnostnú politiku predložili koncom roka 2020 novú stratégiu kybernetickej bezpečnosti EÚ.

Stratégia sa vzťahuje na bezpečnosť základných služieb, ako sú nemocnice, energetické siete a železnice. Pokrýva tiež bezpečnosť stále rastúceho počtu pripojených objektov v našich domoch, kanceláriách a továrňach.

Stratégia sa zameriava na budovanie kolektívnych kapacít s cieľom reagovať na závažné kybernetické útoky a na spoluprácu s partnermi na celom svete s cieľom zabezpečiť medzinárodnú bezpečnosť a stabilitu v kybernetickom priestore. Uvádza sa v ňom, ako môže spoločná kybernetická jednotka zabezpečiť najúčinnejšiu reakciu na kybernetické hrozby s využitím spoločných zdrojov a odborných znalostí, ktoré má EÚ a členské štáty k dispozícii.

Právne predpisy a certifikácia

Smernica o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii (smernica NIS2)

Kybernetické hrozby sú takmer vždy cezhraničné a kybernetický útok na kritické zariadenia jednej krajiny môže ovplyvniť EÚ ako celok. Krajiny EÚ musia mať silné vládne orgány, ktoré vykonávajú dohľad nad kybernetickou bezpečnosťou vo svojej krajine a ktoré spolupracujú so svojimi partnermi v iných členských štátoch prostredníctvom výmeny informácií. To je obzvlášť dôležité pre odvetvia, ktoré sú pre našu spoločnosť rozhodujúce.

Smernica o bezpečnosti sietí a informačných systémov (smernica NIS), ktorú všetky krajiny v súčasnosti vykonávajú, zabezpečuje vytvorenie a spoluprácu takýchto vládnych orgánov. Táto smernica bola preskúmaná koncom roka 2020.

Výsledkom procesu preskúmania bolo, že Komisia 16. decembra 2020 predložila návrh smernice o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii (smernicaNIS2). 

Smernica bola uverejnená v Úradnom vestníku Európskej únie v decembri 2022 a nadobudne účinnosť 16. januára 2023. Členské štáty budú mať 21 mesiacov od nadobudnutia účinnosti smernice na začlenenie ustanovení do svojich vnútroštátnych právnych predpisov (skutočný dátum: 18. októbra 2024).

ENISA – Agentúra EÚ pre kybernetickú bezpečnosť

Agentúra ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť) je agentúra EÚ, ktorá sa zaoberá kybernetickou bezpečnosťou. Poskytuje podporu členským štátom, inštitúciám EÚ a podnikom v kľúčových oblastiach vrátane vykonávania smernice NIS.

Zákon o kybernetickej bezpečnosti

Akt o kybernetickej bezpečnosti posilňuje úlohu agentúry ENISA. Agentúra má teraz trvalý mandát a je splnomocnená prispievať k zintenzívneniu operačnej spolupráce a krízového riadenia v celej EÚ. Má tiež viac finančných a ľudských zdrojov ako predtým.

Certifikácia

Náš digitálny život môže fungovať dobre len vtedy, ak existuje dôvera širokej verejnosti v kybernetickú bezpečnosť IT produktov a služieb. Je dôležité, aby sme videli, že produkt bol skontrolovaný a certifikovaný tak, aby zodpovedal vysokým štandardom kybernetickej bezpečnosti. V súčasnosti existujú rôzne systémy certifikácie bezpečnosti pre IT produkty v celej EÚ. Vytvorenie jednotného spoločného systému certifikácie by bolo jednoduchšie a jasnejšie pre všetkých.

Komisia preto pracuje na celoeurópskom certifikačnom rámci, ktorého stredobodom je agentúra ENISA. V akte o kybernetickej bezpečnosti sa načrtáva proces dosiahnutia tohto rámca.

Investície

Plán obnovy

Kybernetická bezpečnosť je jednou z priorít Komisie v jej reakcii na krízu spôsobenú koronavírusom, keďže počas obmedzenia pohybu došlo k zvýšeným kybernetickým útokom. Plán obnovy pre Európu zahŕňa dodatočné investície do kybernetickej bezpečnosti.

Podpora výskumu a inovácií: Horizont 2020 a cPPP; Európsky horizont

Výskum v oblasti digitálnej bezpečnosti je nevyhnutný na budovanie inovatívnych riešení, ktoré nás môžu chrániť pred najnovšími, najpokročilejšími kybernetickými hrozbami. Preto je kybernetická bezpečnosť dôležitou súčasťou programu Horizont 2020 a jeho nástupcu programu Horizont Európa. 

V programe Horizont Európa je kybernetická bezpečnosť na obdobie 2021 – 2027 súčasťou klastra „Civilná bezpečnosť pre spoločnosť“. Pracovný program na roky 2021 – 2022 sa v súčasnosti pripravuje.

V rámci programu Horizont 2020 Komisia spolufinancovala výskum a inovácie v oblastiach, ako je pripravenosť na kybernetickú bezpečnosť prostredníctvom kybernetických rozsahov a simulácií, kybernetická bezpečnosť pre malé a stredné podniky, kybernetická bezpečnosť v elektrickom a energetickom systéme a kybernetická bezpečnosť a ochrana údajov v kritických odvetviach. Tieto témy patria do klastra „Bezpečné spoločnosti – ochrana slobody a bezpečnosti Európy a jej občanov“.

V roku 2016 vzniklo zmluvné verejno-súkromné partnerstvo programu Horizont 2020 v oblasti kybernetickej bezpečnosti medzi Európskou komisiou a Európskou organizáciou pre kybernetickú bezpečnosť (ECSO), združením zloženým z členov kybernetického priemyslu, akademickej obce, verejnej správy a ďalších.

Podpora kybernetických kapacít a nasadzovania

Naše fyzické a digitálne infraštruktúry sú veľmi úzko prepojené. Komisia preto takisto investovala do kybernetickej bezpečnosti ako súčasť svojho programu financovania investícií do infraštruktúry, Nástroja na prepájanie Európy (NPE) na obdobie rokov 2014 – 2020.

Podpora NPE sa poskytla tímom pre riešenie počítačových bezpečnostných incidentov, prevádzkovateľom základných služieb (OES), poskytovateľom digitálnych služieb, jednotným kontaktným miestam (SPOC) a príslušným vnútroštátnym orgánom. Tým sa posilňujú spôsobilosti v oblasti kybernetickej bezpečnosti a cezhraničná spolupráca v rámci EÚ, čím sa podporuje vykonávanie stratégie kybernetickej bezpečnosti EÚ.

Program Digitálna Európa na obdobie 2021 – 2027 je ambiciózny program, ktorý plánuje investovať 1,9 miliardy EUR do kapacity kybernetickej bezpečnosti a rozsiahleho zavádzania infraštruktúr a nástrojov kybernetickej bezpečnosti v celej EÚ pre orgány verejnej správy, podniky a jednotlivcov.

Kybernetická bezpečnosť je tiež súčasťou Programu InvestEU. InvestEU je všeobecný program, ktorý spája mnoho finančných nástrojov a využíva verejné investície na zabezpečenie ďalších investícií zo súkromného sektora. Jej strategický investičný nástroj bude podporovať kľúčové hodnotové reťazce v oblasti kybernetickej bezpečnosti. Je dôležitou súčasťou balíka na obnovu v reakcii na krízu spôsobenú koronavírusom.

Centrum a sieť kompetencií v oblasti kybernetickej bezpečnosti; Atlas

Európske centrum pre priemyselné, technologické a výskumné kompetencie v oblasti kybernetickej bezpečnosti združuje odborné znalosti a zosúlaďuje európsky vývoj a zavádzanie kyberneticko-bezpečnostných technológií. Bude spolupracovať s priemyslom, akademickou obcou a ďalšími subjektmi s cieľom vytvoriť spoločný program pre investície do kybernetickej bezpečnosti a rozhodovať o prioritách financovania výskumu, vývoja a zavádzania kyberneticko-bezpečnostných riešení prostredníctvom programov Horizont Európa a Digitálna Európa.

V súčasnosti prebiehajú štyri pilotné projekty s cieľom položiť základy pre kompetenčné centrum a sieť. Do projektu sa zapojilo viac ako 170 partnerov.

V záujme lepšieho prehľadu odborných znalostí a kapacít v oblasti kybernetickej bezpečnosti v celej EÚ Komisia vytvorila komplexnú platformu s názvom Atlas kybernetickej bezpečnosti.

Politické usmernenia

Koncepcia koordinovanej reakcie na závažné kybernetické útoky

Plán rýchlej reakcie na núdzové situácie, ktorý vypracovala Komisia, poskytuje plán v prípade rozsiahleho cezhraničného kybernetického incidentu alebo krízy. Stanovujú sa v ňom ciele a spôsoby spolupráce medzi členskými štátmi a inštitúciami EÚ pri reakcii na takéto incidenty a krízy. Vysvetľuje, ako môžu existujúce mechanizmy krízového riadenia v plnej miere využívať existujúce subjekty kybernetickej bezpečnosti na úrovni EÚ.

Spoločná kybernetická jednotka

V nadväznosti na to predsedníčka Komisie Ursula von der Leyenová oznámila návrh celoeurópskej spoločnej kybernetickej jednotky. Odporúčanie o vytvorení spoločnej kybernetickej jednotky, ktoré Komisia oznámila 23. júna 2021, je dôležitým krokom k dokončeniu európskeho rámca krízového riadenia kybernetickej bezpečnosti. Ide o konkrétny výsledok stratégie kybernetickej bezpečnosti EÚ a stratégieEÚ pre bezpečnostnú úniu, ktorý prispieva k bezpečnému digitálnemu hospodárstvu a spoločnosti.

Spoločná kybernetická jednotka bude pôsobiť ako platforma na zabezpečenie koordinovanej reakcie EÚ na rozsiahle kybernetické incidenty a krízy, ako aj na poskytovanie pomoci pri zotavovaní sa z týchto útokov.

Bezpečné nasadenie 5G v EÚ

Plánuje sa zavedenie sietí 5G v celej EÚ. Ponúknu obrovské výhody, ale budú mať aj viac potenciálnych vstupných bodov pre útočníkov kvôli menej centralizovanému charakteru ich architektúry, väčšiemu počtu antén a zvýšenej závislosti od softvéru. V súbore nástrojov EÚ pre 5G sa stanovujú opatrenia na posilnenie bezpečnostných požiadaviek pre siete 5G, uplatňovanie príslušných obmedzení pre dodávateľov považovaných za vysokorizikových a zabezpečenie diverzifikácie predajcov.

Zabezpečenie volebného procesu

Naše európske demokracie sa stávajú čoraz digitálnejšími: politické kampane prebiehajú online a samotné voľby sa uskutočňujú prostredníctvom elektronického hlasovania v mnohých krajinách. 

Komisia vydala odporúčania pre kybernetickú bezpečnosť volieb pre Európsky parlament ako súčasť širšieho balíka odporúčaní na podporu slobodných a spravodlivých európskych volieb. Mesiac pred voľbami do Európskeho parlamentu v roku 2019 Európsky parlament, krajiny EÚ, Komisia a agentúra ENISA vykonali živý test svojej pripravenosti.

Zručnosti a povedomie

Zručnosti

Digitálnu bezpečnosť môžeme zabezpečiť len vtedy, ak máme odborníkov so správnymi znalosťami a zručnosťami a v súčasnosti ich nie je dosť. Preto Komisia prijíma opatrenia na podporu rozvoja zručností v oblasti kybernetickej bezpečnosti.

Komisia pripravila výzvu na vytvorenie súdržného rámca pre výučbu zručností v oblasti kybernetickej bezpečnosti v univerzitnom a profesionálnom vzdelávaní. V súčasnosti na tom pracujú štyri pilotné projekty, ktorými sa pripravuje centrum kompetencií v oblasti kybernetickej bezpečnosti a sieť ECSO. Existujú aj opakujúce sa iniciatívy určené priamo pre študentov, ako je každoročná európska kybernetická výzva.

Zručnosti v oblasti kybernetickej bezpečnosti patria do všeobecnej agendy Komisie v oblasti digitálnych zručností. Sú tiež súčasťou úsilia o financovanie v rámci programu Horizont 2020, Horizont Európa a programu Digitálna Európa. Jedným z príkladov je financovanie „kybernetických rozsahov“, ktoré sú živými simulačnými prostrediami kybernetických hrozieb na účely odbornej prípravy.

Informovanosť

Ľudský faktor je často slabým článkom v oblasti kybernetickej bezpečnosti: niekto kliknutie na phishing odkaz môže mať obrovské dôsledky. Komisia preto zvyšuje informovanosť o kybernetickej bezpečnosti a podporuje najlepšie postupy medzi širokou verejnosťou. Napríklad raz ročne organizuje Európsky mesiac kybernetickej bezpečnosti spolu s agentúrou ENISA.

Kybernetická komunita

ENISA – Agentúra EÚ pre kybernetickú bezpečnosť

ENISA je agentúra EÚ, ktorá sa zaoberá kybernetickou bezpečnosťou. Poskytuje podporu členským štátom, inštitúciám EÚ a podnikom v kľúčových oblastiach vrátane vykonávania smernice NIS.

ISACs

Centrá pre zdieľanie a analýzu informácií (ISAC) podporujú spoluprácu medzi kybernetickou komunitou v rôznych odvetviach hospodárstva. Prioritou Komisie je ďalší rozvoj ISAC na úrovni EÚ aj na vnútroštátnej úrovni. Komisia v spolupráci s agentúrou ENISA podporuje aj zriaďovanie nových ISAC v odvetviach, na ktoré sa nevzťahuje. „Konzorcium EÚ ISAC“ pod dohľadom Komisie poskytuje právnu, technickú a organizačnú podporu ISAC.

SPOLOČNÉ VÝSKUMNÉ CENTRUM

Spoločné výskumné centrum (JRC) Komisie aktívne prispieva k kybernetickej bezpečnosti v EÚ. JRC napríklad vypracovalo taxonómiu kybernetickej bezpečnosti. Tým sa zosúlaďuje terminológia používaná v oblasti kybernetickej bezpečnosti, aby sme mohli mať jasnejší prehľad o kyberneticko-bezpečnostných kapacitách v EÚ.

JRC nedávno uverejnilo aj správu, ktorá poskytuje prehľad o súčasnom prostredí kybernetickej bezpečnosti EÚ a jej histórii s názvom „Kybernetická bezpečnosť – naša digitálna kotva“.

Jednotky CSIRT/CERT

Podľa smernice NIS sú členské štáty EÚ povinné zabezpečiť, aby mali dobre fungujúce tímy pre riešenie počítačových bezpečnostných incidentov (ďalej len „CSIRT“), známe aj ako tímy reakcie na núdzové počítačové situácie (ďalej len „CERT“). Tieto tímy sa zaoberajú kybernetickými incidentmi a rizikami v praxi. Navzájom spolupracujú na úrovni EÚ a spolupracujú aj so súkromným sektorom. Na všetky typy prevádzkovateľov základných služieb a poskytovateľov digitálnych služieb sa musia vzťahovať určené jednotky CSIRT.

Hlavnými úlohami jednotiek CSIRT sú:

• monitorovanie incidentov na vnútroštátnej úrovni;
• poskytovanie včasného varovania, výstrah, oznámení a iných informácií o rizikách a incidentoch príslušným zainteresovaným stranám;
• reagovať na incidenty;
• poskytovanie dynamickej analýzy rizík a incidentov a situačnej informovanosti;
• účasť v sieti jednotiek CSIRT.

ECSO

Európska organizácia pre kybernetickú bezpečnosť (ECSO) bola vytvorená v roku 2016 s cieľom pôsobiť ako protistrana Komisie v rámci zmluvného verejno-súkromného partnerstva zahŕňajúceho program Horizont 2020 v rokoch 2016 až 2020. Väčšina 250 členov ECSO patrí buď do odvetvia kybernetickej bezpečnosti, alebo do výskumných a akademických inštitúcií v tejto oblasti. Členmi ECSO sú v menšej miere aj subjekty verejného sektora a odvetvia na strane dopytu.

Okrem odporúčaní týkajúcich sa programu Horizont 2020 ECSO vykonáva rôzne činnosti zamerané na budovanie komunít a priemyselný rozvoj na európskej úrovni.

Ženy4Cyber

Je dôležité zdôrazniť úlohu žien v komunite kybernetickej bezpečnosti, ktoré sú nedostatočne zastúpené. Preto Komisia zriadila register Women4Cyber, v spolupráci s iniciatívou ECSO Women4Cyber. Médiám, organizátorom podujatí a iným uľahčuje vyhľadávanie mnohých talentovaných žien pracujúcich v oblasti kybernetickej bezpečnosti, aby sa tieto ženy stali viditeľnejšími a prominentnejšími v kybernetickej komunite a vo verejnej diskusii.

Ďalšie oblasti politiky v oblasti kybernetickej bezpečnosti

Počítačová kriminalita

Bežní zločinci využívajú kybernetické útoky, ktoré ohrozujú Európanov. Oddelenie Komisie pre migráciu a vnútorné záležitosti monitoruje a aktualizuje právne predpisy EÚ v oblasti počítačovej kriminality a podporuje kapacity v oblasti presadzovania práva. Komisia spolupracuje aj s Európskym centrom boja proti počítačovej kriminalite v Europole.

Kybernetická diplomacia

EÚ sa snaží chrániť sa pred kybernetickými hrozbami mimo svojich hraníc. V tejto súvislosti Komisia spolupracuje s Európskou službou pre vonkajšiu činnosť a členskými štátmi na vykonávaní spoločnej diplomatickej reakcie na škodlivé kybernetické činnosti (ďalej len „súbor nástrojov kybernetickej diplomacie“). Táto reakcia zahŕňa diplomatickú spoluprácu a dialóg, preventívne opatrenia proti kybernetickým útokom a sankcie voči osobám zapojeným do kybernetických útokov ohrozujúcich EÚ.

Komisia pomáha pri rozhodovaní o reakcii na vonkajšie kybernetické hrozby všade tam, kde je to potrebné. Priamo financuje aj prebiehajúcu iniciatívu EÚ na podporu kybernetickej diplomacie.

Kybernetická obrana

Komisia a vysoká predstaviteľka 10. novembra 2022 predložili spoločné oznámenie o politike EÚ v oblasti kybernetickej obrany s cieľom riešiť zhoršujúce sa bezpečnostné prostredie po agresii Ruska voči Ukrajine a posilniť schopnosť EÚ chrániť svojich občanov a infraštruktúru.  

Politika EÚ v oblasti kybernetickej obrany je postavená na štyroch pilieroch, ktoré pokrývajú širokú škálu iniciatív, ktoré pomôžu EÚ a členským štátom lepšie odhaľovať kybernetické útoky, odrádzať od nich a brániť pred nimi:

1. KONAŤ SPOLOČNE ZA SILNEJŠIU KYBERNETICKÚ OBRANU EÚ

2. ZABEZPEČENIE OBRANNÉHO EKOSYSTÉMU

3. INVESTÍCIE DO SPÔSOBILOSTÍ KYBERNETICKEJ OBRANY

4. PARTNER NA RIEŠENIE SPOLOČNÝCH VÝZIEV

Nová politika si vyžaduje investície do plne spektrálnych spôsobilostí voblasti kybernetickej obrany a posilní koordináciu a spoluprácu medzi vojenskými a civilnými kybernetickými komunitami EÚ. Posilní spoluprácu so súkromným sektorom a efektívne riadenie kybernetických kríz v rámci Únie. Nová politika tiež pomôže znížiť našu strategickú závislosť v kritických kybernetických technológiách a posilní európsku obrannú technologickú priemyselnú základňu (EDTIB). Bude stimulovať odbornú prípravu, prilákať a udržať kybernetické talenty.

EÚ spolupracuje v oblasti obrany v kybernetickom priestore prostredníctvom činností Európskej komisie, Európskej služby pre vonkajšiu činnosť (ESVČ), Európskej obrannej agentúry, ako aj agentúry ENISA a Agentúry Európskej únie pre spoluprácu v oblasti presadzovania práva (Europol).

Budovanie kybernetických kapacít v tretích krajinách

EÚ spolupracuje s inými krajinami s cieľom pomôcť vybudovať ich schopnosť brániť sa proti kybernetickým hrozbám. Komisia podporuje rôzne programy kybernetickej bezpečnosti na západnom Balkáne a v šiestich krajinách Východného partnerstva v bezprostrednom susedstve EÚ, ako aj v iných krajinách na celom svete prostredníctvom svojho oddelenia pre medzinárodnú spoluprácu a rozvoj.