Politike kibernetske varnosti

Strategija za kibernetsko varnost

Evropska komisija in visoki predstavnik Unije za zunanje zadeve in varnostno politiko sta konec leta 2020 predstavila novo strategijo EU za kibernetsko varnost.

Strategija zajema varnost osnovnih storitev, kot so bolnišnice, energetska omrežja in železnice. Zajema tudi varnost vse večjega števila povezanih predmetov v naših domovih, pisarnah in tovarnah.

Strategija se osredotoča na krepitev skupnih zmogljivosti za odzivanje na večje kibernetske napade in sodelovanje s partnerji po vsem svetu za zagotovitev mednarodne varnosti in stabilnosti v kibernetskem prostoru. V njem je opisano, kako lahko skupna kibernetska enota zagotovi najučinkovitejši odziv na kibernetske grožnje z uporabo skupnih virov in strokovnega znanja, ki so na voljo EU in državam članicam.

Zakonodaja in certificiranje

Direktiva o ukrepih za visoko skupno raven kibernetske varnosti v Uniji (direktiva NIS2)

Kibernetske grožnje so skoraj vedno čezmejne, kibernetski napad na kritične objekte ene države pa lahko vpliva na EU kot celoto. Države EU morajo imeti močne vladne organe, ki nadzorujejo kibernetsko varnost v svoji državi in sodelujejo z ustreznimi organi v drugih državah članicah z izmenjavo informacij. To je zlasti pomembno za sektorje, ki so ključni za našo družbo.

Prva direktiva o varnosti omrežij in informacijskih sistemov (direktivaVOI)zagotavlja ustanovitev in sodelovanje takih vladnih organov. Ta direktiva je bila pregledana konec leta 2020, na podlagi česar je bila predlagana in sprejeta revidirana direktiva o varnosti omrežij in informacij. Države članice so morale direktivo VOIS2 v celoti prenesti in izvajati do 18. oktobra 2024.

ENISA – agencija EU za kibernetsko varnost

ENISA (AgencijaEvropske unije za kibernetsko varnost)je agencija EU, ki se ukvarja s kibernetsko varnostjo. Zagotavlja podporo državam članicam, institucijam EU in podjetjem na ključnih področjih, vključno z izvajanjem direktive o varnosti omrežij in informacijskih sistemov.

Akt o kibernetski odpornosti

Predlog uredbe o zahtevah glede kibernetske varnosti za izdelke z digitalnimi elementi, znan kot akt o kibernetski odpornosti, krepi pravila o kibernetski varnosti, da se zagotovijo varnejši izdelki strojne in programske opreme.

Akt o kibernetski varnosti

Akt o kibernetski varnosti krepi vlogo agencije ENISA. Agencija ima zdaj stalni mandat in je pooblaščena, da prispeva h krepitvi operativnega sodelovanja in kriznega upravljanja po vsej EU. Poleg tega ima več finančnih in človeških virov kot prej. Komisija je 18. aprila 2023 predlagala ciljno usmerjeno spremembo akta EU o kibernetski varnosti.

Akt o kibernetski solidarnosti

Evropska komisija je 18. aprila 2023 predlagala akt EU o kibernetski solidarnosti, da bi se izboljšal odziv na kibernetske grožnje po vsej EU. Predlog bo vključeval evropski ščit za kibernetsko varnost in celovit mehanizem za izredne kibernetske razmere, da se ustvari boljša metoda kibernetske obrambe.

Certificiranje

Naše digitalno življenje lahko dobro deluje le, če obstaja splošno zaupanje javnosti v kibernetsko varnost izdelkov in storitev IT. Pomembno je, da lahko vidimo, da je bil izdelek preverjen in certificiran v skladu z visokimi standardi kibernetske varnosti. Trenutno obstajajo različne sheme varnostnega certificiranja za izdelke IT po vsej EU. Enoten skupni sistem certificiranja bi bil enostavnejši in jasnejši za vse.

Komisija zato pripravlja vseevropski certifikacijski okvir, v središču katerega je ENISA. V aktu o kibernetski varnosti je opisan postopek za doseganje tega okvira.

Naložbe

Načrt za oživitev gospodarstva

Kibernetska varnost je ena od prednostnih nalog Komisije pri odzivanju na koronavirusno krizo, saj se je število kibernetskih napadov med omejitvijo gibanja povečalo. Načrt okrevanja za Evropo vključuje dodatne naložbe v kibernetsko varnost.

Podpora raziskavam in inovacijam: Obzorje 2020 in pogodbeno javno-zasebno partnerstvo; Obzorje Evropa

Raziskave na področju digitalne varnosti so bistvene za oblikovanje inovativnih rešitev, ki nas lahko zaščitijo pred najnovejšimi, najnaprednejšimi kibernetskimi grožnjami. Zato je kibernetska varnost pomemben del programa Obzorje 2020 in njegovega naslednika, programa Obzorje Evropa. 

V programu Obzorje Evropa je kibernetska varnost za obdobje 2021–2027 del sklopa „Civilna varnost za družbo“. 

Komisija je v okviru programa Obzorje 2020 sofinancirala raziskave in inovacije na področjih, kot so pripravljenost na področju kibernetske varnosti s kibernetskimi razponi in simulacijami, kibernetska varnost za mala in srednja podjetja, kibernetska varnost v elektroenergetskem in energetskem sistemu ter kibernetska varnost in varstvo podatkov v kritičnih sektorjih. Te teme spadajo v sklop „Varne družbe – varovanje svobode in varnosti Evrope in njenih državljanov“.

Leta 2016 je bilo med Evropsko komisijo in Evropsko organizacijo za kibernetsko varnost (ECSO), združenjem, ki ga sestavljajo člani iz kibernetske industrije, akademskih krogov, javnih uprav in drugih, vzpostavljeno pogodbeno javno-zasebno partnerstvo za kibernetsko varnost v okviru programa Obzorje 2020.

Podpora kibernetskim zmogljivostim in uvajanju

Naša fizična in digitalna infrastruktura sta tesno povezani. Zato je Komisija vlagala tudi v kibernetsko varnost v okviru svojega programa za financiranje naložb v infrastrukturo, tj. Instrumenta za povezovanje Evrope (IPE), za obdobje 2014–2020.

Podpora IPE je bila namenjena skupinam za odzivanje na incidente na področju računalniške varnosti, izvajalcem bistvenih storitev, ponudnikom digitalnih storitev, enotnim kontaktnim točkam in pristojnim nacionalnim organom. To krepi zmogljivosti kibernetske varnosti in čezmejno sodelovanje v EU ter podpira izvajanje strategije EU za kibernetsko varnost.

Program za digitalno Evropo za obdobje 2021–2027 je ambiciozen program, v okviru katerega se načrtuje naložba v višini 1,9 milijarde evrov v zmogljivosti za kibernetsko varnost ter obsežno uvajanje infrastruktur in orodij za kibernetsko varnost po vsej EU za javne uprave, podjetja in posameznike.

Del programa InvestEU je tudi kibernetska varnost. InvestEU je splošni program, ki združuje številne finančne instrumente in uporablja javne naložbe za zagotovitev nadaljnjih naložb iz zasebnega sektorja. Njegov instrument za strateške naložbe bo podpiral ključne vrednostne verige na področju kibernetske varnosti. Je pomemben del svežnja za okrevanje v odziv na koronavirusno krizo.

strokovni center in mreža za kibernetsko varnost; Atlas

Evropski industrijski, tehnološki in raziskovalni kompetenčni center za kibernetsko varnost bo združeval strokovno znanje ter usklajeval evropski razvoj in uvajanje tehnologije kibernetske varnosti. Sodelovala bo z industrijo, akademsko skupnostjo in drugimi pri oblikovanju skupne agende za naložbe v kibernetsko varnost ter odločala o prednostnih nalogah financiranja za raziskave, razvoj in uvajanje rešitev na področju kibernetske varnosti v okviru programov Obzorje Evropa in Digitalna Evropa.

Trenutno se izvajajo štirje pilotni projekti, ki bodo postavili temelje za strokovni center in mrežo. Sodeluje več kot 170 partnerjev.

Za boljši pregled strokovnega znanja in zmogljivosti na področju kibernetske varnosti po vsej EU je Komisija razvila celovito platformo, imenovano Atlas kibernetske varnosti.

Politične smernice

Načrt za usklajen odziv na večje kibernetske napade

Načrt Komisije za hitro odzivanje na izredne razmere vsebuje načrt v primeru velikega čezmejnega kibernetskega incidenta ali krize. Določa cilje in načine sodelovanja med državami članicami in institucijami EU pri odzivanju na take incidente in krize. Pojasnjuje, kako lahko obstoječi mehanizmi kriznega upravljanja v celoti izkoristijo obstoječe subjekte za kibernetsko varnost na ravni EU.

Skupna kibernetska enota

Predsednica Komisije Ursula von der Leyen je nato napovedala predlog za skupno kibernetsko enoto na ravni EU. Priporočilo o ustanovitvi skupne kibernetske enote, ki ga je Komisija napovedala 23. junija 2021, je pomemben korak k dokončanju evropskega okvira za krizno upravljanje kibernetske varnosti. Je konkreten rezultat strategije EU za kibernetsko varnost in strategije EU za varnostno unijo ter prispeva k varnemu digitalnemu gospodarstvu in družbi.

Skupna kibernetska enota bo delovala kot platforma za zagotavljanje usklajenega odziva EU na velike kibernetske incidente in krize ter za nudenje pomoči pri okrevanju po teh napadih.

Varna uvedba 5G v EU

Omrežja 5G naj bi se uvedla po vsej EU. Ponujali bodo velike koristi, vendar bodo imeli tudi več potencialnih vstopnih točk za napadalce zaradi manj centralizirane narave njihove arhitekture, večjega števila anten in večje odvisnosti od programske opreme. Nabor orodij EU za 5G določa ukrepe za okrepitev varnostnih zahtev za omrežja 5G, uporabo ustreznih omejitev za dobavitelje, ki veljajo za visoko tvegane, in zagotavljanje diverzifikacije prodajalcev.

Zagotavljanje volilnega procesa

Naše evropske demokracije postajajo vse bolj digitalne: politične kampanje potekajo na spletu, volitve pa v številnih državah potekajo z elektronskim glasovanjem. 

Komisija je izdala priporočila za kibernetsko varnost volitev v Evropski parlament kot del širšega svežnja priporočil za podporo svobodnim in poštenim evropskim volitvam. Mesec dni pred evropskimi volitvami leta 2019 so Evropski parlament, države EU, Komisija in agencija ENISA v živo preizkusili svojo pripravljenost.

Spretnosti in ozaveščenost

Znanja in spretnosti

Digitalno varnost lahko zagotovimo le, če imamo strokovnjake s pravim znanjem in spretnostmi, ki jih trenutno ni dovolj. Zato Komisija sprejema ukrepe za spodbujanje razvoja znanj in spretnosti na področju kibernetske varnosti.

Komisija je pripravila poziv k skladnemu okviru za poučevanje znanj in spretnosti na področju kibernetske varnosti v univerzitetnem in poklicnem izobraževanju. Na tem področju se trenutno izvajajo štirje pilotni projekti, s katerimi ECSO pripravlja kompetenčni center in mrežo za kibernetsko varnost. Obstajajo tudi ponavljajoče se pobude, namenjene neposredno študentom, kot je letni evropski izziv kibernetske varnosti.

Znanja in spretnosti na področju kibernetske varnosti spadajo v splošni program Komisije o digitalnih znanjih in spretnostih. So tudi del prizadevanj za financiranje v okviru programa Obzorje 2020, programa Obzorje Evropa in programa za digitalno Evropo. Eden od primerov je financiranje „kibernetskih območij“, ki so živa simulacijska okolja kibernetskih groženj za usposabljanje.

Ozaveščenost

Človeški dejavnik je pogosto šibek člen na področju kibernetske varnosti: Nekdo, ki klikne na povezavo za lažno predstavljanje, ima lahko velike posledice. Zato Komisija ozavešča o kibernetski varnosti in spodbuja dobre prakse v širši javnosti. Enkrat letno na primer skupaj z agencijo ENISA organizira evropski mesec kibernetske varnosti.

Akademija znanj in spretnosti EU za kibernetsko varnost

Akademija EU za kibernetske spretnosti, ki je bila ustanovljena v okviru evropskega leta spretnosti, bo združila zasebne in javne pobude na evropski in nacionalni ravni za odpravo vrzeli v delovni sili na področju kibernetske varnosti. Pobuda bo gostovala na spletu na platformi Komisije za delovna mesta ter znanja in spretnosti, vključevala pa bo možnosti financiranja, usposabljanja in certificiranja iz vse EU za tiste, ki jih zanima poklicna pot na področju kibernetske varnosti.

Sporočilo o akademiji EU za kibernetske veščine

Informativni pregled akademije EU za kibernetske veščine

Kibernetska skupnost

ENISA – agencija EU za kibernetsko varnost

ENISA je agencija EU, ki se ukvarja s kibernetsko varnostjo. Zagotavlja podporo državam članicam, institucijam EU in podjetjem na ključnih področjih, vključno z izvajanjem direktive o varnosti omrežij in informacijskih sistemov.

ISAC

Centri za izmenjavo in analizo informacij (ISAC) spodbujajo sodelovanje med skupnostjo za kibernetsko varnost v različnih gospodarskih sektorjih. Nadaljnji razvoj centrov ISAC na ravni EU in nacionalni ravni je prednostna naloga Komisije. Komisija v sodelovanju z agencijo ENISA spodbuja tudi ustanovitev novih centrov ISAC v sektorjih, ki niso zajeti. Konzorcij ISAC EU za krepitev vloge, ki ga nadzoruje Komisija, zagotavlja pravno, tehnično in organizacijsko podporo za ISAC.

SRS

Skupno raziskovalno središče (JRC) Komisije dejavno prispeva h kibernetski varnosti v EU. Skupno raziskovalno središče je na primer razvilo taksonomijo za kibernetsko varnost. To usklajuje terminologijo, ki se uporablja na področju kibernetske varnosti, da bi imeli jasnejši pregled nad zmogljivostmi kibernetske varnosti v EU.

Skupno raziskovalno središče je nedavno objavilo tudi poročilo z naslovomCybersecurity – our digital anchor (Kibernetska varnost – naše digitalno sidro), ki ponuja vpogled v trenutno okolje kibernetske varnostiEU in njeno zgodovino.

Skupine CSIRT/skupine CERT

V skladu z direktivo o varnosti omrežij in informacij morajo države članice EU zagotoviti, da imajo dobro delujoče skupine za odzivanje na incidente na področju računalniške varnosti (v nadaljnjem besedilu: skupine CSIRT), znane tudi kot skupine za odzivanje na računalniške grožnje (v nadaljnjem besedilu: skupine CERT). Te skupine zagotavljajo obravnavo kibernetskih incidentov in tveganj v praksi. Med seboj sodelujejo na ravni EU, sodelujejo pa tudi z zasebnim sektorjem.
Imenovane skupine CSIRT morajo zajemati vse vrste izvajalcev bistvenih storitev in ponudnikov digitalnih storitev.

Glavne naloge skupin CSIRT so:

• spremljanje incidentov na nacionalni ravni;
• zagotavljanje zgodnjega opozarjanja, opozoril, obvestil in drugih informacij o tveganjih in incidentih ustreznim deležnikom;
• odzivanje na incidente;
• zagotavljanje dinamične analize tveganja in incidentov ter situacijskega zavedanja;
• sodelovanje v mreži skupin CSIRT.

ECSO

Evropska organizacija za kibernetsko varnost (ECSO) je bila ustanovljena leta 2016, da bi v obdobju 2016–2020 delovala kot sogovornica Komisije v pogodbenem javno-zasebnem partnerstvu, ki zajema program Obzorje 2020. Večina od 250 članov ECSO pripada industriji kibernetske varnosti ali raziskovalnim in akademskim ustanovam na tem področju. Člani ECSO so v manjši meri tudi akterji javnega sektorja in industrije na strani povpraševanja.

Poleg priprave priporočil o programu Obzorje 2020 ECSO izvaja različne dejavnosti, namenjene oblikovanju skupnosti in industrijskemu razvoju na evropski ravni.

Ženske4Cyber

Pomembno je poudariti vlogo žensk v skupnosti za kibernetsko varnost, ki so premalo zastopane. Zato je Komisija v sodelovanju s pobudo organizacije ECSO Women4Cyber vzpostavila register Women4Cyber. Mediji, organizatorji dogodkov in drugi lažje najdejo številne nadarjene ženske, ki delajo na področju kibernetske varnosti, zato te ženske postanejo vidnejše in vidnejše v kibernetski skupnosti in javni razpravi.

Kibernetski dialogi

EU sodeluje s partnerji pri spodbujanju skupnih interesov na področju politike kibernetske varnosti. Decembra2023 je v Bruslju potekal deveti kibernetski dialog med EU in ZDA. EU in ZDA tesno sodelujeta na področjih, kot so kibernetska diplomacija, krizno upravljanje, krepitev zmogljivosti, kibernetska varnost kritične infrastrukture (vključno sporočanjemo incidentih), kibernetska varnost proizvodov strojne in programske opreme (vključno s skupnimakcijskimnačrtom za kibernetsko varne proizvode)  ter vidiki kibernetske varnosti nastajajočih tehnologij, kot je umetna inteligenca.

EU in Ukrajina sta od leta 2021 organizirali dva kibernetska dialoga. Agencija EU za kibernetsko varnost ENISA je leta 2023 formalizirala delovni dogovor z ukrajinskimi sogovorniki za spodbujanje krepitve zmogljivosti, izmenjave dobrih praks in situacijskega zavedanja. EU je organizirala tudi dialoge o kibernetskih vprašanjih z Indijo, Japonsko, Republiko Korejo in Brazilijo. Prvikibernetski dialog med EU in Združenim kraljestvom je potekal decembra 2023 v Bruslju.

Kibernetska varnost se obravnava tudi v okviru dvostranskih digitalnih partnerstev in digitalnih dialogov ter digitalnega zavezništva med EU ter Latinsko Ameriko in Karibi, regulativnega dialoga med EU in Zahodnim Balkanom, strukturiranega dialoga med EU in Natom o odpornosti ter strukturiranega dialoga med EU in Natom o kibernetski varnosti in obrambi. Projektna skupina EU-NATO za odpornost kritične infrastrukture je leta 2023 objavila poročilo,v katerem je opredelila pomembne medsektorske sektorje. 

EU in Japonska sta 11. novembra 2024v Tokiu organizirališesti kibernetski dialog, v okviru katerega sta izmenjali mnenja o grožnjah in odzivanju na kibernetske zlonamerne dejavnosti ter poročali o najnovejšem razvoju politike in zakonodaje na področju kibernetske varnosti, pa tudi na področju nastajajočih tehnologij, obvladovanja kibernetskih kriz in kibernetske obrambe.

Druga področja kibernetske politike

Kibernetska kriminaliteta

Navadni storilci kaznivih dejanj uporabljajo kibernetske napade, ki ogrožajo Evropejce. Oddelek Komisije za migracije in notranje zadeve spremlja in posodablja zakonodajo EU o kibernetski kriminaliteti ter podpira zmogljivosti kazenskega pregona. Komisija sodeluje tudi z Evropskim centrom za boj proti kibernetski kriminaliteti v okviru Europola.

Kibernetska diplomacija

EU si prizadeva, da bi se zaščitila pred kibernetskimi grožnjami zunaj svojih meja. V okviru tega Komisija sodeluje z Evropsko službo za zunanje delovanje in državami članicami pri izvajanju skupnega diplomatskega odziva na zlonamerne kibernetske dejavnosti (zbirka orodij za kibernetsko diplomacijo). Ta odziv vključuje diplomatsko sodelovanje in dialog, preventivne ukrepe proti kibernetskim napadom in sankcije proti tistim, ki so vpleteni v kibernetske napade, ki ogrožajo EU.

Komisija pomaga pri odločanju o odzivanju na zunanje kibernetske grožnje, kadar je to potrebno. Neposredno financira tudi potekajočo pobudo EU za podporo kibernetski diplomaciji.

Kibernetska obramba

Komisija in visoki predstavnik sta 10. novembra 2022 predložila skupno sporočilo o politiki EU za kibernetsko obrambo, da bi obravnavala vse slabše varnostno okolje po ruski agresiji proti Ukrajini ter okrepila zmogljivost EU za zaščito svojih državljanov in infrastrukture.  

Politika EU za kibernetsko obrambo temelji na štirih stebrih, ki zajemajo širok nabor pobud, ki bodo EU in državam članicam pomagale pri boljšem odkrivanju kibernetskih napadov, odvračanju od njih in obrambi pred njimi:

1. Skupno ukrepanje za močnejšo kibernetsko obrambo EU

2. Zaščita obrambnega ekosistema

3. Naložbe v zmogljivosti kibernetske obrambe

4. Partner za reševanje skupnih izzivov

Nova politika poziva k naložbam vzmogljivosti kibernetske obrambe celotnega spektra ter bo okrepila usklajevanje in sodelovanje med vojaškimi in civilnimi kibernetskimi skupnostmi EU. Okrepila bo sodelovanje z zasebnim sektorjem in učinkovito obvladovanje kibernetskih kriz v Uniji. Nova politika bo pripomogla tudi k zmanjšanju naše strateške odvisnosti na področju kritičnih kibernetskih tehnologij in krepitvi tehnološke in industrijske baze evropske obrambe (EDTIB). Spodbujala bo usposabljanje ter privabljala in zadrževala talente na področju kibernetske varnosti.

EU na področju obrambe v kibernetskem prostoru sodeluje z dejavnostmi Evropske komisije, Evropske službe za zunanje delovanje (ESZD), Evropske obrambne agencije ter agencije ENISA in Agencije Evropske unije za sodelovanje na področju preprečevanja, odkrivanja in preiskovanja kaznivih dejanj (Europol).

Krepitev kibernetskih zmogljivosti v tretjih državah

EU sodeluje z drugimi državami, da bi jim pomagala okrepiti zmogljivosti za obrambo pred kibernetskimi grožnjami. Komisija prek svojega oddelka za mednarodno sodelovanje in razvoj podpira različne programe kibernetske varnosti na Zahodnem Balkanu in v šestih državah vzhodnega partnerstva v neposrednem sosedstvu EU ter v drugih državah po svetu.