Politike kibernetske varnosti

Strategija za kibernetsko varnost

Evropska komisija in visoka predstavnica Unije za zunanje zadeve in varnostno politiko sta konec leta 2020 predstavili novo strategijo EU za kibernetsko varnost.

Strategija zajema varnost bistvenih storitev, kot so bolnišnice, energetska omrežja in železnice. Pokriva tudi varnost vse večjega števila povezanih predmetov v naših domovih, pisarnah in tovarnah.

Strategija se osredotoča na izgradnjo skupnih zmogljivosti za odzivanje na večje kibernetske napade in sodelovanje s partnerji po vsem svetu, da se zagotovita mednarodna varnost in stabilnost v kibernetskem prostoru. V njem je opisano, kako lahko skupna kibernetska enota zagotovi najučinkovitejši odziv na kibernetske grožnje z uporabo skupnih virov in strokovnega znanja, ki so na voljo EU in državam članicam.

Zakonodaja in certificiranje

Direktiva o ukrepih za visoko skupno raven kibernetske varnosti v Uniji (direktiva NIS2)

Kibernetske grožnje so skoraj vedno čezmejne, kibernetski napad na kritične objekte ene države pa lahko vpliva na EU kot celoto. Države EU morajo imeti močne vladne organe, ki nadzorujejo kibernetsko varnost v svoji državi in sodelujejo s kolegi v drugih državah članicah z izmenjavo informacij. To je zlasti pomembno za sektorje, ki so ključni za našo družbo.

Direktiva o varnosti omrežij in informacijskih sistemov (direktiva o varnosti omrežijin informacijskih sistemov), ki jo zdaj izvajajo vse države, zagotavlja ustanovitev in sodelovanje takšnih vladnih organov. Ta direktiva je bila pregledana konec leta 2020.

Na podlagi postopka pregleda je Komisija 16. decembra 2020 predstavila predlog direktive o ukrepih za visoko skupno raven kibernetske varnosti v Uniji (direktivaVOIS2). 

Direktiva je bila decembra 2022 objavljena v Uradnem listu Evropske unije, veljati pa je začela 16. januarja 2023. Države članice bodo imele na voljo 21 mesecev od začetka veljavnosti direktive, da določbe vključijo v svojo nacionalno zakonodajo (dejanski datum: 18. oktober 2024).

ENISA – Agencija EU za kibernetsko varnost

ENISA (Agencija Evropske unije za kibernetsko varnost) je agencija EU, ki se ukvarja s kibernetsko varnostjo. Zagotavlja podporo državam članicam, institucijam EU in podjetjem na ključnih področjih, vključno z izvajanjem direktive o varnosti omrežij in informacij.

Zakon o kibernetski odpornosti

Predlog uredbe o zahtevah za kibernetsko varnost za izdelke z digitalnimi elementi, znan kot akt o odpornosti na kibernetsko varnost, krepi pravila o kibernetski varnosti, da se zagotovijo varnejši izdelki strojne in programske opreme.

Zakon o kibernetski varnosti

Akt o kibernetski varnosti krepi vlogo agencije ENISA. Agencija ima zdaj stalni mandat in je pooblaščena, da prispeva h krepitvi operativnega sodelovanja in kriznega upravljanja po vsej EU. Ima tudi več finančnih in človeških virov kot prej. Komisija je 18. aprila 2023 predlagala ciljno usmerjeno spremembo akta EU o kibernetski varnosti.

Zakon o kibernetski solidarnosti

Evropska komisija je 18. aprila 2023 predlagala akt EU o kibernetski solidarnosti, da bi se izboljšal odziv na kibernetske grožnje po vsej EU. Predlog bo vključeval evropski ščit za kibernetsko varnost in celovit mehanizem za izredne kibernetske grožnje, da bi ustvarili boljšo metodo kibernetske obrambe.

Certifikacija

Naše digitalno življenje lahko dobro deluje le, če obstaja splošno zaupanje javnosti v kibernetsko varnost izdelkov in storitev IT. Pomembno je, da vidimo, da je bil izdelek preverjen in certificiran, da je skladen z visokimi standardi kibernetske varnosti. Trenutno obstajajo različne varnostne certifikacijske sheme za izdelke IT po vsej EU. Enotna skupna shema certificiranja bi bila enostavnejša in jasnejša za vse.

Komisija zato pripravlja vseevropski certifikacijski okvir, v središču katerega je ENISA. V aktu o kibernetski varnosti je opisan postopek za doseganje tega okvira.

Naložbe

Načrt okrevanja

Kibernetska varnost je ena od prednostnih nalog Komisije v njenem odzivu na koronavirusno krizo, saj se je med omejitvijo gibanja kibernetskih napadov povečalo. Načrt okrevanja za Evropo vključuje dodatne naložbe v kibernetsko varnost.

Podpora raziskavam in inovacijam: Obzorje 2020 in javno-zasebno partnerstvo; Obzorje Evropa

Raziskave na področju digitalne varnosti so bistvene za oblikovanje inovativnih rešitev, ki nas lahko zaščitijo pred najnovejšimi, najnaprednejšimi kibernetskimi grožnjami. Zato je kibernetska varnost pomemben del programa Obzorje 2020 in njegovega naslednika programa Obzorje Evropa. 

V programu Obzorje Evropa je kibernetska varnost za obdobje 2021–2027 del sklopa „Civilna varnost za družbo“. Delovni program za obdobje 2021–2022 je trenutno v pripravi.

Komisija je v okviru programa Obzorje 2020 sofinancirala raziskave in inovacije na področjih, kot so pripravljenost na kibernetsko varnost s kibernetskimi razponi in simulacijami, kibernetska varnost za mala in srednja podjetja, kibernetska varnost v elektroenergetskem in energetskem sistemu ter kibernetska varnost in varstvo podatkov v kritičnih sektorjih. Te teme spadajo v sklop „Varne družbe – Zaščita svobode in varnosti Evrope in njenih državljanov“.

Leta 2016 je bilo med Evropsko komisijo in Evropsko organizacijo za kibernetsko varnost ( ECSO), združenjem, ki ga sestavljajo člani iz kibernetske industrije, akademskih krogov, javnih uprav in še več, vzpostavljeno pogodbeno javno-zasebno partnerstvo v okviru programa Obzorje 2020.

Podpora kibernetskim zmogljivostim in uporabi

Naša fizična in digitalna infrastruktura sta tesno povezani. Zato je Komisija vlagala tudi v kibernetsko varnost v okviru svojega programa za financiranje naložb v infrastrukturo, tj. instrumenta za povezovanje Evrope (IPE) za obdobje 2014–2020.

Podpora IPE je bila namenjena skupinam za odzivanje na incidente na področju računalniške varnosti, izvajalcem bistvenih storitev, ponudnikom digitalnih storitev, enotnim kontaktnim točkam in pristojnim nacionalnim organom. To krepi zmogljivosti kibernetske varnosti in čezmejno sodelovanje v EU ter podpira izvajanje strategije EU za kibernetsko varnost.

Program za digitalno Evropo za obdobje 2021–2027 je ambiciozen program, ki načrtuje naložbe v zmogljivosti za kibernetsko varnost v višini 1,9 milijarde EUR ter široko uvedbo infrastruktur in orodij za kibernetsko varnost po vsej EU za javne uprave, podjetja in posameznike.

Kibernetska varnost je tudi del programa InvestEU. InvestEU je splošni program, ki združuje številne finančne instrumente in uporablja javne naložbe za zagotovitev nadaljnjih naložb iz zasebnega sektorja. Njegov instrument za strateške naložbe bo podpiral ključne vrednostne verige na področju kibernetske varnosti. Je pomemben del svežnja za okrevanje v odziv na koronavirusno krizo.

Strokovni center in mreža za kibernetsko varnost; Atlas

Evropski industrijski, tehnološki in raziskovalni strokovni center za kibernetsko varnost bo združil strokovno znanje in uskladil evropski razvoj in uvajanje tehnologije kibernetske varnosti. Sodelovala bo z industrijo, akademsko skupnostjo in drugimi pri oblikovanju skupnega programa za naložbe v kibernetsko varnost ter odločala o prednostnih nalogah financiranja raziskav, razvoja in uvajanja rešitev na področju kibernetske varnosti v okviru programov Obzorje Evropa in za digitalno Evropo.

Trenutno se izvajajo štirje pilotni projekti za postavitev temeljev za Kompetenčni center in mrežo. Vključuje več kot 170 partnerjev.

Za boljši pregled strokovnega znanja in zmogljivosti na področju kibernetske varnosti po vsej EU je Komisija razvila celovito platformo, imenovano Atlas kibernetske varnosti.

Smernice za politiko

Načrt za usklajen odziv na večje kibernetske napade

Načrt Komisije za hitro odzivanje na izredne razmere vsebuje načrt v primeru obsežnih čezmejnih kibernetskih incidentov ali krize. Določa cilje in načine sodelovanja med državami članicami in institucijami EU pri odzivanju na take incidente in krize. Pojasnjuje, kako lahko obstoječi mehanizmi kriznega upravljanja v celoti izkoristijo obstoječe subjekte za kibernetsko varnost na ravni EU.

Skupna kibernetska enota

Predsednica Komisije Ursula von der Leyen je kot nadaljnje ukrepanje napovedala predlog za vseevropsko skupno kibernetsko enoto. Priporočilo o ustanovitvi skupne kibernetske enote, ki ga je Komisija napovedala 23. junija 2021, je pomemben korak k dokončanju evropskega okvira za krizno upravljanje kibernetske varnosti. Je konkreten rezultat strategije EU za kibernetsko varnost in strategijeEU za varnostno unijo, ki prispeva k varnemu digitalnemu gospodarstvu in družbi.

Skupna kibernetska enota bo delovala kot platforma za zagotavljanje usklajenega odziva EU na obsežne kibernetske incidente in krize ter zagotavljanje pomoči pri okrevanju po teh napadih.

Varna uvedba 5G v EU

Omrežja 5G naj bi se začela uvajati po vsej EU. Ponudili bodo ogromne koristi, imeli pa bodo tudi več potencialnih vstopnih točk za napadalce zaradi manj centralizirane narave njihove arhitekture, večjega števila anten in večje odvisnosti od programske opreme. Zbirka orodij EU za 5G določa ukrepe za okrepitev varnostnih zahtev za omrežja 5G, uporabo ustreznih omejitev za dobavitelje, za katere velja veliko tveganje, in zagotavljanje diverzifikacije ponudnikov.

Zagotavljanje volilnega procesa

Naše evropske demokracije postajajo vse bolj digitalne: politične kampanje potekajo na spletu, volitve pa potekajo z elektronskim glasovanjem v številnih državah. 

Komisija je izdala priporočila za kibernetsko varnost volitev v Evropski parlament kot del širšega svežnja priporočil za podporo svobodnim in poštenim evropskim volitvam. Mesec pred evropskimi volitvami leta 2019 so Evropski parlament, države EU, Komisija in ENISA v živo preizkusili svojo pripravljenost.

Spretnosti in ozaveščenost

Spretnosti

Digitalno varnost lahko zagotovimo le, če imamo strokovnjake s pravim znanjem in spretnostmi, trenutno pa jih ni dovolj. Zato Komisija sprejema ukrepe za spodbujanje razvoja znanj in spretnosti na področju kibernetske varnosti.

Komisija je pripravila razpis za skladen okvir za poučevanje znanj in spretnosti na področju kibernetske varnosti v univerzitetnem in strokovnem izobraževanju. V zvezi s tem se trenutno ukvarjajo štirje pilotni projekti, ki pripravljajo strokovni center za kibernetsko varnost in mrežo ECSO. Obstajajo tudi ponavljajoče se pobude, namenjene neposredno študentom, kot je letni evropski izziv na področju kibernetske varnosti.

Znanja in spretnosti na področju kibernetske varnosti spadajo v splošni program Komisije o digitalnih znanjih in spretnostih. So tudi del prizadevanj za financiranje v okviru programa Obzorje 2020, programa Obzorje Evropa in programa za digitalno Evropo. Primer je financiranje „kibernetskih območij“, ki so simulacijska okolja kibernetskih groženj za usposabljanje v živo.

Osveščanje

Človeški dejavnik je pogosto šibka povezava na področju kibernetske varnosti: nekdo, ki klikne na povezavo z lažnim predstavljanjem, ima lahko velike posledice. Zato Komisija ozavešča o kibernetski varnosti in spodbuja najboljše prakse v splošni javnosti. Na primer enkrat letno skupaj z agencijo ENISA organizira evropski mesec kibernetske varnosti.

Akademija znanj in spretnosti EU za kibernetsko varnost

Akademija znanj in spretnosti EU za kibernetsko varnost, ki se je začela v okviru evropskega leta znanj in spretnosti, bo združila zasebne in javne pobude na evropski in nacionalni ravni za odpravo vrzeli v delovni sili na področju kibernetske varnosti. Pobuda bo gostovala na spletu na platformi Komisije za delovna mesta in znanja ter bo vključevala možnosti financiranja, usposabljanje in certificiranje iz vse EU za tiste, ki jih zanima poklicna pot na področju kibernetske varnosti.

Sporočilo o akademiji znanj in spretnosti EU za kibernetsko varnost

Informativni pregled Akademije kibernetskih znanj in spretnosti EU

Kibernetska skupnost

ENISA – Agencija EU za kibernetsko varnost

ENISA je agencija EU, ki se ukvarja s kibernetsko varnostjo. Zagotavlja podporo državam članicam, institucijam EU in podjetjem na ključnih področjih, vključno z izvajanjem direktive o varnosti omrežij in informacij.

ISACs

Centri za izmenjavo in analizo informacij (ISAC) spodbujajo sodelovanje med skupnostjo na področju kibernetske varnosti v različnih gospodarskih sektorjih. Prednostna naloga Komisije je nadaljnji razvoj ISAC na ravni EU in nacionalni ravni. Komisija v sodelovanju z agencijo ENISA spodbuja tudi vzpostavitev novih ISAC v sektorjih, ki niso zajeti. „Opolnomočenje konzorcija EU ISAC“, ki ga nadzoruje Komisija, zagotavlja pravno, tehnično in organizacijsko podporo ISAC.

SKUPNO RAZISKOVALNO SREDIŠČE

Skupno raziskovalno središče (JRC) Komisije dejavno prispeva k kibernetski varnosti v EU. Skupno raziskovalno središče je na primer razvilo taksonomijo kibernetske varnosti. To usklajuje terminologijo, ki se uporablja na področju kibernetske varnosti, da bomo lahko imeli jasnejši pregled nad zmogljivostmi kibernetske varnosti v EU.

Skupno raziskovalno središče je pred kratkim objavilo tudi poročilo z naslovom „Kibernetska varnost – naše digitalno sidro“, ki zagotavlja vpogled v trenutno stanje kibernetske varnosti v EU in njeno zgodovino.

Skupine CSIRT/CERT

V skladu z direktivo o varnosti omrežij in informacij morajo države članice EU zagotoviti, da imajo dobro delujoče skupine za odzivanje na incidente na področju računalniške varnosti (v nadaljnjem besedilu: skupine CSIRT), znane tudi kot skupine za odzivanje na računalniške grožnje (v nadaljnjem besedilu: skupine CERT). Te skupine se ukvarjajo s kibernetskimi incidenti in tveganji v praksi. Sodelujejo med seboj na ravni EU in sodelujejo z zasebnim sektorjem. Vse vrste izvajalcev bistvenih storitev in ponudnikov digitalnih storitev morajo zajemati imenovane skupine CSIRT.

Glavne naloge skupin CSIRT so:

• spremljanje incidentov na nacionalni ravni;
• zagotavljanje zgodnjega opozarjanja, opozoril, obvestil in drugih informacij o tveganjih in incidentih zadevnim deležnikom;
• odzivanje na incidente;
• zagotavljanje dinamične analize tveganj in incidentov ter situacijskega zavedanja;
• sodelovanje v mreži skupin CSIRT.

ECSO

Evropska organizacija za kibernetsko varnost (ECSO) je bila ustanovljena leta 2016, da bi delovala kot partner Komisije v pogodbenem javno-zasebnem partnerstvu, ki zajema Obzorje 2020, v obdobju 2016–2020. Večina od 250 članov ECSO pripada bodisi industriji kibernetske varnosti bodisi raziskovalnim in akademskim ustanovam na tem področju. V manjši meri so člani ECSO tudi akterji javnega sektorja in panoge na strani povpraševanja.

Poleg priporočil v zvezi s programom Obzorje 2020 ECSO izvaja različne dejavnosti za izgradnjo skupnosti in industrijski razvoj na evropski ravni.

Ženske4Cyber

Pomembno je poudariti vlogo žensk v skupnosti na področju kibernetske varnosti, ki so premalo zastopane. Zato je Komisija ustanovila Register Women4Cyber, v sodelovanju s pobudo ECSO Women4Cyber. Medijem, organizatorjem dogodkov in drugim omogoča lažje iskanje številnih nadarjenih žensk, ki delajo na področju kibernetske varnosti, zato te ženske postanejo vidnejše in vidnejše v kibernetski skupnosti in v javni razpravi.

Druga področja kibernetske politike

Kibernetska kriminaliteta

Običajni kriminalci uporabljajo kibernetske napade, ki ogrožajo Evropejce. Služba Komisije za migracije in notranje zadeve spremlja in posodablja zakonodajo EU o kibernetski kriminaliteti ter podpira zmogljivosti kazenskega pregona. Komisija sodeluje tudi z Evropskim centrom za boj proti kibernetski kriminaliteti v Europolu.

Kibernetska diplomacija

EU si prizadeva, da bi se zaščitila pred kibernetskimi grožnjami zunaj svojih meja. V okviru tega Komisija sodeluje z Evropsko službo za zunanje delovanje in državami članicami pri izvajanju skupnega diplomatskega odziva na zlonamerne kibernetske dejavnosti (v nadaljnjem besedilu: zbirka orodij za kibernetsko diplomacijo). Ta odziv vključuje diplomatsko sodelovanje in dialog, preventivne ukrepe proti kibernetskim napadom in sankcije proti vpletenim v kibernetske napade, ki ogrožajo EU.

Komisija po potrebi pomaga pri odločanju o odzivanju na zunanje kibernetske grožnje. Prav tako neposredno financira pobudo EU za podporo kibernetski diplomaciji.

Kibernetska obramba

Komisija in visoka predstavnica sta 10. novembra 2022 predložili skupno sporočilo o politiki EU za kibernetsko obrambo, da bi obravnavali slabšanje varnostnega okolja po agresiji Rusije na Ukrajino ter okrepili zmogljivost EU za zaščito njenih državljanov in infrastrukture.  

Politika EU o kibernetski obrambi temelji na štirih stebrih, ki zajemajo najrazličnejše pobude, ki bodo EU in državam članicam pomagale pri boljšem odkrivanju kibernetskih napadov, odvračanju od njih in njihovi zaščiti pred njimi:

1. SKUPNO UKREPANJE ZA MOČNEJŠO KIBERNETSKO OBRAMBO EU

2. ZAŠČITA OBRAMBNEGA EKOSISTEMA

3. NALOŽBE V ZMOGLJIVOSTI KIBERNETSKE OBRAMBE

4. PARTNER ZA REŠEVANJE SKUPNIH IZZIVOV

Nova politika poziva k naložbam v zmogljivosti kibernetske obrambe v polnem spektru ter bo okrepila usklajevanje in sodelovanje med vojaškimi in civilnimi kibernetskimi skupnostmi EU. Okrepil bo sodelovanje z zasebnim sektorjem in učinkovito obvladovanje kibernetskih kriz v Uniji. Nova politika bo prispevala tudi k zmanjšanju naših strateških odvisnosti pri kritičnih kibernetskih tehnologijah in okrepila tehnološko industrijsko bazo evropske obrambe (EDTIB). Spodbujal bo usposabljanje, privabljanje in ohranjanje kibernetskih talentov.

EU sodeluje na področju obrambe v kibernetskem prostoru prek dejavnosti Evropske komisije, Evropske službe za zunanje delovanje (ESZD), Evropske obrambne agencije ter agencije ENISA in Agencije Evropske unije za sodelovanje na področju preprečevanja, odkrivanja in preiskovanja kaznivih dejanj (Europol).

Krepitev kibernetskih zmogljivosti v tretjih državah

EU sodeluje z drugimi državami pri krepitvi njihovih zmogljivosti za zaščito pred kibernetskimi grožnjami. Komisija prek oddelka za mednarodno sodelovanje in razvoj podpira različne programe kibernetske varnosti na Zahodnem Balkanu in v šestih državah vzhodnega partnerstva v neposrednem sosedstvu EU ter v drugih državah po svetu.