Politike kibernetske varnosti

Strategija za kibernetsko varnost

Evropska komisija in visoki predstavnik Unije za zunanje zadeve in varnostno politiko sta konec leta 2020 predstavila novo strategijo EU za kibernetsko varnost.

Strategija zajema varnost bistvenih storitev, kot so bolnišnice, energetska omrežja in železnice. Zajema tudi varnost vse večjega števila povezanih predmetov v naših domovih, pisarnah in tovarnah.

Strategija se osredotoča na krepitev skupnih zmogljivosti za odzivanje na večje kibernetske napade in sodelovanje s partnerji po vsem svetu, da se zagotovita mednarodna varnost in stabilnost v kibernetskem prostoru. V njem je opisano, kako lahko skupna kibernetska enota zagotovi najučinkovitejši odziv na kibernetske grožnje z uporabo skupnih virov in strokovnega znanja, ki so na voljo EU in državam članicam.

Zakonodaja in certificiranje

Direktiva o ukrepih za visoko skupno raven kibernetske varnosti v Uniji (direktiva o varnosti omrežij in informacij 2)

Kibernetske grožnje so skoraj vedno čezmejne, kibernetski napad na kritične objekte ene države pa lahko vpliva na EU kot celoto. Države EU morajo imeti močne vladne organe, ki nadzorujejo kibernetsko varnost v svoji državi in sodelujejo z ustreznimi organi v drugih državah članicah z izmenjavo informacij. To je še posebej pomembno za sektorje, ki so kritični za našo družbo.

Direktiva o varnosti omrežij in informacijskih sistemov (direktiva o varnosti omrežijin informacijskih sistemov), ki jo zdaj izvajajo vse države, zagotavlja oblikovanje in sodelovanje takih vladnih organov. Ta direktiva je bila pregledana konec leta 2020.

Na podlagi postopka pregleda je Komisija 16. decembra 2020 predstavila predlog direktive o ukrepih za visoko skupno raven kibernetske varnosti vUniji (direktivao varnosti omrežij in informacijskih sistemov). 

Direktiva je bila decembra 2022 objavljena v Uradnem listu Evropske unije in je začela veljati 16. januarja 2023. Države članice bodo imele od začetka veljavnosti direktive na voljo 21 mesecev za vključitev določb v svoje nacionalno pravo (dejanski datum: 18. oktober 2024).

ENISA – agencija EU za kibernetsko varnost

ENISA (Agencija Evropske unije za kibernetsko varnost) je agencija EU, ki se ukvarja s kibernetsko varnostjo. Zagotavlja podporo državam članicam, institucijam in podjetjem EU na ključnih področjih, vključno z izvajanjem direktive o varnosti omrežij in informacij.

Zakon o kibernetski odpornosti

Predlog uredbe o zahtevah glede kibernetske varnosti za proizvode z digitalnimi elementi, znan kot akt o kibernetski odpornosti, krepi pravila o kibernetski varnosti, da se zagotovijo varnejši izdelki strojne in programske opreme.

Zakon o kibernetski varnosti

Akt o kibernetski varnosti krepi vlogo agencije ENISA. Agencija ima zdaj stalni mandat in je pooblaščena, da prispeva k okrepitvi operativnega sodelovanja in kriznega upravljanja po vsej EU. Ima tudi več finančnih in človeških virov kot prej. Komisija je 18. aprila 2023 predlagala ciljno usmerjeno spremembo akta EU o kibernetski varnosti.

Akt o kibernetski solidarnosti

Evropska komisija je 18. aprila 2023 predlagala akt EU o kibernetski solidarnosti, da bi se izboljšal odziv na kibernetske grožnje po vsej EU. Predlog bo vključeval evropski ščit za kibernetsko varnost in celovit mehanizem za izredne kibernetske grožnje, da bi se vzpostavila boljša metoda kibernetske obrambe.

Certificiranje

Naše digitalno življenje lahko dobro deluje le, če obstaja splošno zaupanje javnosti v kibernetsko varnost izdelkov in storitev IT. Pomembno je, da lahko vidimo, da je bil izdelek preverjen in certificiran v skladu z visokimi standardi kibernetske varnosti. V EU trenutno obstajajo različne sheme varnostnega certificiranja za izdelke IT. Enotna skupna shema certificiranja bi bila enostavnejša in jasnejša za vse.

Komisija zato pripravlja vseevropski certifikacijski okvir, v središču katerega je agencija ENISA. V aktu o kibernetski varnosti je opisan postopek za doseganje tega okvira.

Investicije

Načrt za oživitev gospodarstva

Kibernetska varnost je ena od prednostnih nalog Komisije v njenem odzivu na koronavirusno krizo, saj so se med omejitvijo gibanja povečali kibernetski napadi. Načrt okrevanja za Evropo vključuje dodatne naložbe v kibernetsko varnost.

Podpora raziskavam in inovacijam: Obzorje 2020 in javno-zasebna partnerstva; Obzorje Evropa

Raziskave na področju digitalne varnosti so bistvenega pomena za oblikovanje inovativnih rešitev, ki nas lahko zaščitijo pred najnovejšimi, najnaprednejšimi kibernetskimi grožnjami. Zato je kibernetska varnost pomemben del programa Obzorje 2020 in njegovega naslednika programa Obzorje Evropa. 

V programu Obzorje Evropa je kibernetska varnost za obdobje 2021–2027 del sklopa „Civilna varnost za družbo“. 

Komisija je v okviru programa Obzorje 2020 sofinancirala raziskave in inovacije na področjih, kot so pripravljenost na kibernetsko varnost prek kibernetskega razpona in simulacije, kibernetska varnost za mala in srednja podjetja, kibernetska varnost v elektroenergetskem in energetskem sistemu ter kibernetska varnost in varstvo podatkov v kritičnih sektorjih. Te teme spadajo v sklop „Varne družbe – Zaščita svobode in varnosti Evrope in njenih državljanov“.

Leta 2016 je bilo med Evropsko komisijo in Evropsko organizacijo za kibernetsko varnost ( ECSO), združenjem članov iz kibernetske industrije, akademskih krogov, javnih uprav in drugih, vzpostavljeno pogodbeno javno-zasebno partnerstvo v okviru programa Obzorje 2020 za kibernetsko varnost.

Podpora kibernetskim zmogljivostim in uvajanju

Naša fizična in digitalna infrastruktura sta tesno prepleteni. Zato je Komisija vlagala tudi v kibernetsko varnost v okviru svojega programa financiranja naložb v infrastrukturo, tj. instrumenta za povezovanje Evrope (IPE), za obdobje 2014–2020.

Podporo IPE so prejele skupine za odzivanje na incidente na področju računalniške varnosti, izvajalci bistvenih storitev, ponudniki digitalnih storitev, enotne kontaktne točke in pristojni nacionalni organi. To krepi zmogljivosti kibernetske varnosti in čezmejno sodelovanje v EU ter podpira izvajanje strategije EU za kibernetsko varnost.

Program za digitalno Evropo za obdobje 2021–2027 je ambiciozen program, ki načrtuje naložbe v višini 1,9 milijarde evrov v zmogljivosti kibernetske varnosti ter široko uvedbo infrastruktur in orodij za kibernetsko varnost po vsej EU za javne uprave, podjetja in posameznike.

Kibernetska varnost je tudi del programa InvestEU. InvestEU je splošni program, ki združuje številne finančne instrumente in uporablja javne naložbe za zagotovitev nadaljnjih naložb zasebnega sektorja. Njen instrument za strateške naložbe bo podpiral ključne vrednostne verige na področju kibernetske varnosti. Je pomemben del svežnja za okrevanje v odziv na koronavirusno krizo.

Strokovni center in mreža za kibernetsko varnost; Atlas

Evropski industrijski, tehnološki in raziskovalni kompetenčni center za kibernetsko varnost bo združeval strokovno znanje ter uskladil evropski razvoj in uvajanje tehnologije kibernetske varnosti. Sodelovala bo z industrijo, akademsko skupnostjo in drugimi pri oblikovanju skupnega programa za naložbe v kibernetsko varnost ter odločala o prednostnih nalogah financiranja za raziskave, razvoj in uvajanje rešitev za kibernetsko varnost v okviru programa Obzorje Evropa in programa za digitalno Evropo.

Trenutno potekajo štirje pilotni projekti, ki bodo postavili temelje za strokovni center in mrežo. Vključuje več kot 170 partnerjev.

Za boljši pregled strokovnega znanja in zmogljivosti na področju kibernetske varnosti po vsej EU je Komisija razvila celovito platformo, imenovano Atlas kibernetske varnosti.

Smernice politike

Načrt za usklajen odziv na večje kibernetske napade

Načrt Komisije za hitro odzivanje v izrednih razmerah zagotavlja načrt v primeru obsežnega čezmejnega kibernetskega incidenta ali krize. Določa cilje in načine sodelovanja med državami članicami in institucijami EU pri odzivanju na takšne incidente in krize. V njem je pojasnjeno, kako lahko obstoječi mehanizmi kriznega upravljanja v celoti izkoristijo obstoječe subjekte kibernetske varnosti na ravni EU.

Skupna kibernetska enota

Predsednica Komisije Ursula von der Leyen je kot nadaljnji ukrep napovedala predlog skupne kibernetske enote za vso EU. Priporočilo o ustanovitvi skupne kibernetske enote, ki ga je Komisija napovedala 23. junija 2021, je pomemben korak k dokončanju evropskega okvira za krizno upravljanje kibernetske varnosti. Je konkreten rezultat strategije EU za kibernetsko varnost in strategije EU za varnostno unijo, ki prispeva k varnemu digitalnemu gospodarstvu in družbi.

Skupna kibernetska enota bo delovala kot platforma za zagotavljanje usklajenega odziva EU na obsežne kibernetske incidente in krize ter za pomoč pri okrevanju po teh napadih.

Varna uvedba omrežja 5G v EU

Načrtuje se uvedba omrežij 5G po vsej EU. Ponudili bodo ogromne koristi, imeli pa bodo tudi več potencialnih vstopnih točk za napadalce zaradi manj centralizirane narave njihove arhitekture, večjega števila anten in večje odvisnosti od programske opreme. Nabor orodij EU za 5G določa ukrepe za okrepitev varnostnih zahtev za omrežja 5G, uporabo ustreznih omejitev za dobavitelje, ki veljajo za visoko tvegane, in zagotavljanje diverzifikacije prodajalcev.

Zagotavljanje volilnega procesa

Naše evropske demokracije postajajo vse bolj digitalne: politične kampanje potekajo prek spleta, volitve pa potekajo z elektronskim glasovanjem v številnih državah. 

Komisija je izdala priporočila za kibernetsko varnost volitev v Evropski parlament kot del širšega svežnja priporočil za podporo svobodnih in poštenih evropskih volitev. Mesec dni pred evropskimi volitvami leta 2019 so Evropski parlament, države EU, Komisija in ENISA v živo preizkusili svojo pripravljenost.

Znanja in spretnosti ter ozaveščenost

Spretnosti

Digitalno varnost lahko zagotovimo le, če imamo strokovnjake s pravim znanjem in spretnostmi in trenutno ni dovolj. Zato Komisija sprejema ukrepe za spodbujanje razvoja znanj in spretnosti na področju kibernetske varnosti.

Komisija je pripravila poziv k usklajenemu okviru za poučevanje znanj in spretnosti na področju kibernetske varnosti v univerzitetnem in poklicnem izobraževanju. Štirje pilotni projekti, s katerimi ECSO pripravlja strokovni center in mrežo za kibernetsko varnost, trenutno delujejo na tem področju. Obstajajo tudi ponavljajoče se pobude, namenjene neposredno študentom, kot je letni evropski izziv kibernetske varnosti.

Znanja in spretnosti na področju kibernetske varnosti spadajo v splošni program Komisije o digitalnih znanjih in spretnostih. So tudi del finančnih prizadevanj v okviru programov Obzorje 2020, Obzorje Evropa in Digitalna Evropa. Primer je financiranje „kibernetskih razponov“, ki so simulacijska okolja kibernetskih groženj za usposabljanje v živo.

Ozaveščenost

Človeški dejavnik je pogosto šibka povezava na področju kibernetske varnosti: nekdo, ki klikne na phishing link, ima lahko velike posledice. Zato Komisija ozavešča o kibernetski varnosti in spodbuja najboljše prakse med širšo javnostjo. Enkrat letno na primer skupaj z agencijo ENISA organizira evropski mesec kibernetske varnosti.

Akademija znanj in spretnosti EU na področju kibernetske varnosti

Akademija znanj in spretnosti EU za kibernetsko varnost, ki je bila ustanovljena v okviru evropskega leta znanj in spretnosti, bo združila zasebne in javne pobude na evropski in nacionalni ravni za odpravo vrzeli med delovno silo na področju kibernetske varnosti. Pobuda bo na spletu gostovala na platformi Komisije za delovna mesta ter znanja in spretnosti ter bo vsebovala možnosti financiranja, usposabljanja in certificiranja iz vse EU za tiste, ki jih zanima poklicna pot na področju kibernetske varnosti.

Sporočilo o akademiji EU za kibernetska znanja in spretnosti

Informativni pregled Akademije o kibernetskih znanjih in spretnostih EU

Kibernetska skupnost

ENISA – agencija EU za kibernetsko varnost

ENISA je agencija EU, ki se ukvarja s kibernetsko varnostjo. Zagotavlja podporo državam članicam, institucijam in podjetjem EU na ključnih področjih, vključno z izvajanjem direktive o varnosti omrežij in informacij.

ISAC

Centri za izmenjavo in analizo informacij (ISAC) spodbujajo sodelovanje med skupnostjo na področju kibernetske varnosti v različnih gospodarskih sektorjih. Nadaljnji razvoj ISAC na ravni EU in nacionalni ravni je prednostna naloga Komisije. Komisija v sodelovanju z agencijo ENISA spodbuja tudi vzpostavitev novih ISAC v sektorjih, ki niso zajeti. „Opolnomočenje konzorcija ISAC EU“, ki ga nadzoruje Komisija, zagotavlja pravno, tehnično in organizacijsko podporo za ISAC.

SRS

Skupno raziskovalno središče Komisije dejavno prispeva k kibernetski varnosti v EU. JRC je na primer razvilo taksonomijo kibernetske varnosti. To usklajuje terminologijo, ki se uporablja na področju kibernetske varnosti, da bi lahko imeli jasnejši pregled nad zmogljivostmi kibernetske varnosti v EU.

JRC je pred kratkim objavilo tudi poročilo z naslovom „Kbernetska varnost– naše digitalno sidro“, ki ponuja vpogled v trenutno evropsko kibernetsko varnostin njeno zgodovino.

Skupine CSIRT/CERT

V skladu z direktivo o varnosti omrežij in informacij morajo države članice EU zagotoviti, da imajo dobro delujoče skupine za odzivanje na incidente na področju računalniške varnosti (v nadaljnjem besedilu: skupine CSIRT), znane tudi kot skupine za odzivanje na računalniške grožnje (CERT). Te skupine se ukvarjajo s kibernetskimi incidenti in tveganji v praksi. Med seboj sodelujejo na ravni EU in sodelujejo z zasebnim sektorjem.
Vse vrste izvajalcev bistvenih storitev in ponudnikov digitalnih storitev morajo biti zajete v imenovanih skupinah CSIRT.

Glavne naloge skupin CSIRT so:

• spremljanje incidentov na nacionalni ravni;
• zagotavljanje zgodnjega opozarjanja, opozoril, obvestil in drugih informacij o tveganjih in incidentih ustreznim deležnikom;
• odzivanje na incidente;
• zagotavljanje dinamične analize tveganj in incidentov ter situacijskega zavedanja;
• sodelovanje v mreži skupin CSIRT.

ECSO

Evropska organizacija za kibernetsko varnost (ECSO) je bila ustanovljena leta 2016, da bi delovala kot sogovornik Komisije v pogodbenem javno-zasebnem partnerstvu, ki zajema program Obzorje 2020 v letih 2016 do 2020. Večina 250 članov ECSO pripada industriji kibernetske varnosti ali raziskovalnim in akademskim ustanovam na tem področju. V manjši meri so člani ECSO tudi akterji javnega sektorja in industrije na strani povpraševanja.

ECSO poleg priporočil v zvezi s programom Obzorje 2020 izvaja tudi različne dejavnosti, namenjene izgradnji skupnosti in industrijskemu razvoju na evropski ravni.

Ženske4Cyber

Pomembno je poudariti vlogo žensk v skupnosti kibernetske varnosti, ki so premalo zastopane. Zato je Komisija vzpostavila register Women4Cyber v sodelovanju s pobudo ECSO Women4Cyber. Medijem, organizatorjem dogodkov in drugim olajša iskanje številnih nadarjenih žensk, ki delajo na področju kibernetske varnosti, zato postanejo te ženske vidnejše in vidnejše v kibernetski skupnosti in javni razpravi.

Kibernetski dialogi

EU sodeluje s partnerji pri spodbujanju skupnih interesov v politiki kibernetske varnosti. Deveti kibernetski dialog med EU in ZDA je potekal decembra 2023 v Bruslju. EU in ZDA napredujeta pri sodelovanju na področjih, kot so kibernetska diplomacija, krizno upravljanje, krepitev zmogljivosti, kibernetska varnost kritične infrastrukture (vključno sporočanjem o incidentih), kibernetska varnost izdelkov strojne in programske opreme (vključno sskupnim akcijskim načrtom zaizdelke za kibernetsko varnost)ter vidiki kibernetske varnosti nastajajočih tehnologij, kot je umetna inteligenca.

EU in Ukrajina odleta 2021 organizirata dva kibernetska dialoga. Agencija EU za kibernetsko varnost ENISA je leta 2023 formalizirala delovni dogovor z ukrajinskimi sogovorniki za spodbujanje krepitve zmogljivosti, izmenjave najboljših praks in situacijskega zavedanja. EU je vključila tudi kibernetske dialoge z Indijo, Japonsko, Republiko Korejo in Brazilijo. Prvi kibernetski dialog med EU in Združenim kraljestvom je potekal decembra 2023 v Bruslju.

Okibernetski varnosti se razpravlja tudi v okviru dvostranskih digitalnih partnerstev in digitalnih dialogov, digitalnega zavezništva EU-LAK, regulativnega dialoga med EU in Zahodnim Balkanom, strukturiranega dialoga o odpornosti med EU in Natom ter strukturiranega dialoga med EU in Natom o kibernetski varnosti in obrambi. Leta 2023 je projektna skupina EU-NATO za odpornost kritične infrastrukture objavila poročilo, v katerem so opredeljeni pomembni medsektorski sektorji.

Druga področja kibernetske politike

Kibernetska kriminaliteta

Navadni storilci kaznivih dejanj uporabljajo kibernetske napade, ki ogrožajo Evropejce. Oddelek Komisije za migracije in notranje zadeve spremlja in posodablja zakonodajo EU o kibernetski kriminaliteti ter podpira zmogljivosti kazenskega pregona. Komisija sodeluje tudi z Evropskim centrom za boj proti kibernetski kriminaliteti pri Europolu.

Kibernetska diplomacija

EU si prizadeva, da bi se zaščitila pred kibernetskimi grožnjami zunaj svojih meja. V okviru tega Komisija sodeluje z Evropsko službo za zunanje delovanje in državami članicami pri izvajanju skupnega diplomatskega odziva na zlonamerne kibernetske dejavnosti (v nadaljnjem besedilu: zbirka orodij za kibernetsko diplomacijo). Ta odziv vključuje diplomatsko sodelovanje in dialog, preventivne ukrepe proti kibernetskim napadom in sankcije proti tistim, ki so vpleteni v kibernetske napade, ki ogrožajo EU.

Komisija pomaga pri odločanju o odzivanju na zunanje kibernetske grožnje, kadar koli je to potrebno. Prav tako neposredno financira potekajočo pobudo EU za podporo kibernetski diplomaciji.

Kibernetska obramba

Komisija in visoki predstavnik sta 10. novembra 2022 predložila skupno sporočilo o politiki EU za kibernetsko obrambo, da bi obravnavala vse slabše varnostno okolje po ruski agresiji na Ukrajino ter okrepila zmogljivosti EU za zaščito svojih državljanov in infrastrukture.  

Politika EU o kibernetski obrambi temelji na štirih stebrih, ki zajemajo najrazličnejše pobude, ki bodo EU in državam članicam pomagale pri boljšem odkrivanju kibernetskih napadov, odvračanju od njih in obrambi pred njimi:

1. Skupaj ukrepajte za močnejšo kibernetsko obrambo EU

2. Zaščita obrambnega ekosistema

3. Naložbe v zmogljivosti kibernetske obrambe

4. Partner za reševanje skupnih izzivov

Nova politika poziva k naložbam v zmogljivosti kibernetske obrambe v polnem spektru ter bo okrepila usklajevanje in sodelovanje med vojaškimi in civilnimi kibernetskimi skupnostmi EU. Okrepila bo sodelovanje z zasebnim sektorjem in učinkovito obvladovanje kibernetskih kriz v Uniji. Nova politika bo prav tako pomagala zmanjšati našo strateško odvisnost od kritičnih kibernetskih tehnologij in okrepiti tehnološko industrijsko bazo evropske obrambe (EDTIB). Spodbujala bo usposabljanje, privabljanje in ohranjanje kibernetskih talentov.

EU na področju obrambe v kibernetskem prostoru sodeluje z dejavnostmi Evropske komisije, Evropske službe za zunanje delovanje (ESZD), Evropske obrambne agencije ter agencije ENISA in Agencije Evropske unije za sodelovanje na področju preprečevanja, odkrivanja in preiskovanja kaznivih dejanj (Europol).

Krepitev kibernetskih zmogljivosti v tretjih državah

EU sodeluje z drugimi državami, da bi pomagala okrepiti njihove zmogljivosti za obrambo pred kibernetskimi grožnjami. Komisija prek svojega oddelka za mednarodno sodelovanje in razvoj podpira različne programe kibernetske varnosti na Zahodnem Balkanu in v šestih državah vzhodnega partnerstva v neposrednem sosedstvu EU ter v drugih državah po vsem svetu.