Rapport om cybersäkerheten och motståndskraften hos EU:s kommunikationsinfrastrukturer och kommunikationsnät

Som en uppföljning av uppmaningen till Nevers av den 9 mars 2022 och med utgångspunkt i det samordnade arbete som redan utförts på EU-nivå för att stärka säkerheten i 5G-nät genomförde medlemsstaterna en riskbedömning av Europas kommunikationsinfrastrukturer och kommunikationsnät. 

I denna riskbedömning identifierades ett antal hot mot kommunikationsnät och kommunikationsinfrastruktur, såsom torkare, ransomware-attacker, attacker i leveranskedjan, fysiska attacker, sabotage osv. Dessa hot, med utnyttjande av sårbarheter, skulle kunna utgöra en betydande risk för konnektivitetsinfrastrukturens säkerhet och motståndskraft. På grundval av dessa resultat och utöver de nio riskscenarier som redan identifierats i EU:s samordnaderiskbedömning av 5G-nät utvecklar rapporten tio riskscenarier av strategisk betydelse för unionen, såsom en attack i leveranskedjan för att få tillgång till operatörernas infrastruktur eller en samordnad fysisk sabotageattack mot digital infrastruktur.

För att minska dessa risker läggs i rapporten fram ett antal strategiska och tekniska rekommendationer till medlemsstaterna, kommissionen och Enisa, som ska genomföras med stöd av organet för europeiska regleringsmyndigheter för elektronisk kommunikation. När det gäller strategiska aspekter rekommenderas följande i betänkandet:

• Bedöma motståndskraften hos internationella sammanlänkningar,
• Bedöma kritisk, motståndskraftig och redundans av grundläggande internetinfrastruktur, t.ex. undervattenskablar,
• Genomföra rekommendationerna avseende leverantörer i den andra lägesrapporten om genomförandet av EU:s verktygslåda,
• Skapa insyn i landskapet för leverantörer och förvaltade tjänsteleverantörer eller leverantörer av förvaltade säkerhetstjänster som används för fasta nät, fiberteknik, undervattenskablar, satellitnät och andra viktiga IKT-leverantörer.
• Involvera sektorn för elektronisk kommunikation i it-övningar och operativt samarbete,
• Främja informationsutbyte och förbättra situationsmedvetenheten om hot mot operatörer.
• Tillhandahålla ekonomiskt stöd till operatörer för tekniska åtgärder mot it-angrepp i deras nätverk,
• Utbyta god praxis mellan nationella myndigheter om fysiska angrepp på digital infrastruktur,
• Utvidga fysisk stresstestning av kritisk infrastruktur till att omfatta digital infrastruktur.

Med tanke på den kritiska karaktären hos de infrastrukturer och nätverk som omfattas av denna rapport och med tanke på det snabbt föränderliga hotlandskapet, och utan att det påverkar medlemsstaternas befogenheter när det gäller nationell säkerhet, uppmuntras medlemsstaterna, kommissionen och Enisa att genomföra dessa resiliensfrämjande åtgärder så snart som möjligt, på grundval av det arbete som redan har inletts med genomförandet av vissa av rekommendationerna.

Bakgrund

Den 9 mars 2022 utmynnade det informella rådsmötet mellan telekommunikationsministrarna i Nevers (Frankrike) i en gemensam uppmaning om att stärka EU:s cybersäkerhetskapacitet. I punkt 4 i inbjudan uppmanas berörda nationella myndigheter, såsom organet för europeiska regleringsmyndigheter för elektronisk kommunikation (Berec), Enisa och samarbetsgruppen för nät- och informationssäkerhet, att lämna rekommendationer till EU:s medlemsstater och kommissionen på grundval av en riskbedömning för att stärka motståndskraften hos EU:s kommunikationsinfrastrukturer och kommunikationsnät.