Cybersäkerhetspolitik

Strategi för cybersäkerhet

Europeiska kommissionen och unionens höga representant för utrikes frågor och säkerhetspolitik lade fram en ny EU-strategi för cybersäkerhet i slutet av 2020.

Strategin omfattar säkerheten för grundläggande tjänster såsom sjukhus, energinät och järnvägar. Det täcker också säkerheten för det ständigt ökande antalet anslutna objekt i våra hem, kontor och fabriker.

Strategin fokuserar på att bygga upp kollektiv kapacitet för att reagera på stora cyberattacker och arbeta med partners runt om i världen för att säkerställa internationell säkerhet och stabilitet i cyberrymden. Den beskriver hur en gemensam cyberenhet kan säkerställa den effektivaste reaktionen på cyberhot med hjälp av de kollektiva resurser och expertis som finns tillgängliga för EU och medlemsstaterna.

Lagstiftning och certifiering

Direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen (NIS2-direktivet)

Cybersäkerhetshot är nästan alltid gränsöverskridande, och en cyberattack mot kritiska anläggningar i ett land kan påverka EU som helhet. EU-länderna måste ha starka statliga organ som övervakar cybersäkerheten i sitt land och som arbetar tillsammans med sina motparter i andra medlemsstater genom att utbyta information. Detta är särskilt viktigt för sektorer som är kritiska för våra samhällen.

Direktivet om säkerhet i nätverks- och informationssystem (NIS-direktivet), som alla länder nu har genomfört, säkerställer inrättandet och samarbetet mellan sådana statliga organ. Detta direktiv sågs över i slutet av 2020.

Som ett resultat av översynen lade kommissionen fram förslaget till direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå i helaunionen (NIS2-direktivet) den 16 december 2020. 

Direktivet offentliggjordes i Europeiska unionens officiella tidning i december 2022 och trädde i kraft den 16 januari 2023. Medlemsstaterna kommer att ha 21 månader på sig från direktivets ikraftträdande för att införliva bestämmelserna i sin nationella lagstiftning (faktiskt datum: Den 18 oktober 2024).

Enisa – EU:s cybersäkerhetsbyrå

Enisa (Europeiska unionens cybersäkerhetsbyrå)är den EU-byrå som arbetar med cybersäkerhet. Den ger stöd till medlemsstaterna, EU:s institutioner och företag på viktiga områden, inbegripet genomförandet av direktivet om nät- och informationssäkerhet.

Lagen om cyberresiliens

Förslaget till förordning om cybersäkerhetskrav för produkter med digitala inslag, den så kallade cyberresiliensakten, stärker cybersäkerhetsreglerna för att säkerställa säkrare hårdvaru- och programvaruprodukter.

Cybersäkerhetsakten

Cybersäkerhetsakten stärker Enisas roll. Byrån har nu ett permanent mandat och har befogenhet att bidra till att stärka både operativt samarbete och krishantering i hela EU. Den har också mer ekonomiska och mänskliga resurser än tidigare. Den 18 april 2023 föreslog kommissionen en riktad ändring av EU:s cybersäkerhetsakt.

Lagen om cybersolidaritet

Den 18 april 2023 lade Europeiska kommissionen fram ett förslag till EU-rättsakt om cybersolidaritet för att förbättra insatserna mot cyberhot i hela EU. Förslaget kommer att omfatta en europeisk sköld för cybersäkerhet och en övergripande mekanism för cyberkriser för att skapa en bättre it-försvarsmetod.

Certifiering

Våra digitala liv kan bara fungera bra om det finns allmänhetens förtroende för it-produkters och IT-tjänsters cybersäkerhet. Det är viktigt att vi kan se att en produkt har kontrollerats och certifierats för att uppfylla höga cybersäkerhetsstandarder. Det finns för närvarande olika säkerhetscertifieringssystem för it-produkter runt om i EU. Att ha ett gemensamt system för certifiering skulle vara enklare och tydligare för alla.

Kommissionen arbetar därför med en EU-omfattande certifieringsram, med Enisa i centrum. I cybersäkerhetsakten beskrivs processen för att uppnå denna ram.

Investeringar

Återhämtningsplan

Cybersäkerhet är en av kommissionens prioriteringar i sitt svar på coronakrisen, eftersom it-angreppen ökade under nedstängningen. I återhämtningsplanen för Europa ingår ytterligare investeringar i cybersäkerhet.

Stöd till forskning och innovation: Horisont 2020 och det gemensamma offentlig-privata partnerskapet. Horisont Europa

Forskning om digital säkerhet är avgörande för att bygga innovativa lösningar som kan skydda oss mot de senaste, mest avancerade cyberhoten. Därför är cybersäkerhet en viktig del av Horisont 2020 och dess efterföljare Horisont Europa. 

I Horisont Europa är cybersäkerhet för perioden 2021–2027 en del av klustret ”Civil säkerhet för samhället”. 

Som en del av Horisont 2020 samfinansierade kommissionen forskning och innovation i frågor som cybersäkerhetsberedskap genom cyberområden och cybersimulering, cybersäkerhet för små och medelstora företag, cybersäkerhet i elkrafts- och energisystemet samt cybersäkerhet och dataskydd i kritiska sektorer. Dessa ämnen ingår i klustret ”Säkra samhällen – Att skydda Europas och dess medborgares frihet och säkerhet”.

Under 2016 inrättades det offentlig-privata partnerskapet Horisont 2020 om cybersäkerhet mellan Europeiska kommissionen och Europeiska cybersäkerhetsorganisationen ( ECSO), en sammanslutning bestående av medlemmar från it-industrin, den akademiska världen, offentliga förvaltningar med mera.

Stöd till cyberkapacitet och it-utbyggnad

Vår fysiska och digitala infrastruktur är mycket nära sammanflätad. Därför har kommissionen också investerat i cybersäkerhet som en del av sitt finansieringsprogram för infrastrukturinvesteringar, Fonden för ett sammanlänkat Europa (FSE), för perioden 2014–2020.

FSE-stödet har gått till grupper för hantering av datasäkerhetsincidenter, leverantörer av samhällsviktiga tjänster, leverantörer av digitala tjänster, gemensamma kontaktpunkter och nationella behöriga myndigheter. Detta stärker cybersäkerhetskapaciteten och det gränsöverskridande samarbetet inom EU och stöder genomförandet av EU:s strategi för cybersäkerhet.

Programmet för ett digitalt Europa för perioden 2021–2027 är ett ambitiöst program som planerar att investera 1,9 miljarder euro i cybersäkerhetskapacitet och ett brett införande av cybersäkerhetsinfrastrukturer och cybersäkerhetsverktyg i hela EU för offentliga förvaltningar, företag och privatpersoner.

Cybersäkerhet är också en del av InvestEU. InvestEU är ett allmänt program som samlar många finansieringsinstrument och använder offentliga investeringar för att säkra ytterligare investeringar från den privata sektorn. Dess strategiska investeringsfacilitet kommer att stödja viktiga värdekedjor inom cybersäkerhet. Det är en viktig del av återhämtningspaketet som svar på coronakrisen.

Kompetenscentrum och nätverk för cybersäkerhet. Atlas

Det europeiska kompetenscentrumet för cybersäkerhet inom industri, teknik och forskning kommer att samla expertis och anpassa den europeiska utvecklingen och spridningen av cybersäkerhetsteknik. Den kommer att samarbeta med näringslivet, den akademiska världen och andra för att bygga upp en gemensam agenda för investeringar i cybersäkerhet och besluta om finansieringsprioriteringar för forskning, utveckling och införande av cybersäkerhetslösningar genom programmen Horisont Europa och programmet för ett digitalt Europa.

För närvarande pågår fyra pilotprojekt för att lägga grunden för kompetenscentrumet och nätverket. De involverar mer än 170 partners.

För en bättre överblick av cybersäkerhetsexpertis och cybersäkerhetskapacitet i hela EU har kommissionen utvecklat en omfattande plattform som kallas cybersäkerhetsatlasen.

Politisk vägledning

Plan för samordnade insatser vid stora cyberattacker

Kommissionens plan för snabba insatser vid nödsituationer innehåller en plan i händelse av en storskalig gränsöverskridande cyberincident eller cyberkris. Där fastställs målen och formerna för samarbetet mellan medlemsstaterna och EU-institutionerna när det gäller att hantera sådana incidenter och kriser. Den förklarar hur befintliga krishanteringsmekanismer kan dra full nytta av befintliga cybersäkerhetsenheter på EU-nivå.

Gemensam cyberenhet

Som en uppföljning tillkännagav kommissionens ordförande Ursula von der Leyen ett förslag om en gemensam cyberenhet för hela EU. Den rekommendation om inrättande av den gemensamma cyberenheten som kommissionen aviserade den 23 juni 2021 är ett viktigt steg mot fullbordandet av den europeiska ramen för hantering av cybersäkerhetskriser. Det är ett konkret resultat av EU:s strategi för cybersäkerhet och EU:s strategi för säkerhetsunionen, som bidrar till en säker digital ekonomi och ett säkert digitalt samhälle.

Den gemensamma cyberenheten kommer att fungera som en plattform för att säkerställa en samordnad EU- insats vid storskaliga cyberincidenter och cyberkriser samt för att erbjuda stöd för att återhämta sig från dessa attacker.

Säker 5G-utplacering i EU

5G-nät planeras att byggas ut i hela EU. De kommer att erbjuda enorma fördelar, men har också fler potentiella ingångar för angripare på grund av den mindre centraliserade karaktären hos deras arkitektur, större antal antenner och ökat beroende av programvara. I EU:s verktygslåda för 5G fastställs åtgärder för att skärpa säkerhetskraven för 5G-nät, tillämpa relevanta begränsningar för leverantörer som anses vara högriskleverantörer och säkerställa diversifiering av leverantörerna.

Säkra valprocessen

Våra europeiska demokratier har blivit alltmer digitala: politiska kampanjer äger rum online och själva valen sker genom elektronisk röstning i många länder. 

Kommissionen har utfärdat rekommendationer om cybersäkerhet vid val till Europaparlamentet, som en del av ett bredare paket med rekommendationer till stöd för fria och rättvisa val till Europaparlamentet. En månad före valet till Europaparlamentet 2019 genomförde Europaparlamentet, EU-länderna, kommissionen och Enisa ett levande test av sin beredskap.

Kompetens och medvetenhet

Kompetens

Vi kan bara säkerställa digital säkerhet om vi har experter med rätt kunskap och kompetens, och det finns för närvarande inte tillräckligt. Därför vidtar kommissionen åtgärder för att stimulera utvecklingen av cybersäkerhetskompetens.

Kommissionen har utarbetat en begäran om en enhetlig ram för undervisning i cybersäkerhetsfärdigheter inom universitets- och yrkesutbildning. De fyra pilotprojekt som förbereder kompetenscentrumet för cybersäkerhet och nätverket av ECSO arbetar för närvarande med detta. Det finns också återkommande initiativ som är avsedda direkt för studenter, t.ex. den årliga europeiska cybersäkerhetsutmaningen.

Cybersäkerhetskompetens omfattas av kommissionens allmänna agenda för digitala färdigheter. De är också en del av finansieringsinsatserna inom Horisont 2020, Horisont Europa och programmet för ett digitalt Europa. Ett exempel är finansieringen av ”cyberintervall”, som är levande simuleringsmiljöer av cyberhot för utbildning.

Medvetenhet

Den mänskliga faktorn är ofta den svaga länken inom cybersäkerhet: någon som klickar på en phishing-länk kan få stora konsekvenser. Kommissionen ökar därför medvetenheten om cybersäkerhet och främjar bästa praxis bland allmänheten. En gång om året anordnas till exempel den europeiska månaden för cybersäkerhet tillsammans med Enisa.

EU:s kompetensakademi för cybersäkerhet

EU:s kompetensakademi för cybersäkerhet, som lanserades som en del av Europeiska kompetensåret, kommer att samla privata och offentliga initiativ på europeisk och nationell nivå för att ta itu med bristen på it-arbetskraft. Initiativet kommer att finnas online på kommissionens plattform för jobb och kompetens och kommer att innehålla finansieringsmöjligheter, utbildning och certifieringar från hela EU för dem som är intresserade av en karriär inom cybersäkerhet.

Meddelande om EU:s cybersäkerhetsakademi

Faktablad om EU:s cybersäkerhetsakademi

Cybercommunity

Enisa – EU:s cybersäkerhetsbyrå

Enisa är EU:s byrå för cybersäkerhet. Den ger stöd till medlemsstaterna, EU:s institutioner och företag på viktiga områden, inbegripet genomförandet av direktivet om nät- och informationssäkerhet.

Isacs

Informationsdelnings- och analyscentrum (ISAC) främjar samarbete mellan cybersäkerhetssamfundet inom olika sektorer av ekonomin. Att vidareutveckla ISAC på både EU-nivå och nationell nivå är en prioritering för kommissionen. I samarbete med Enisa främjar kommissionen också inrättandet av nya ISAC inom sektorer som inte omfattas. Konsortiet ”Epowering EU ISACs”, som övervakas av kommissionen, ger rättsligt, tekniskt och organisatoriskt stöd till ISAC.

JRC

Kommissionens gemensamma forskningscentrum (JRC) bidrar aktivt till cybersäkerhet i EU. GFC har till exempel utvecklat en cybersäkerhetstaxonomi. På så sätt anpassas den terminologi som används inom cybersäkerhet så att vi kan få en tydligare överblick över cybersäkerhetskapaciteten i EU.

Gemensamma forskningscentrumet offentliggjorde nyligen också en rapport som ger insikter om EU:s nuvarande cybersäkerhetslandskap och dess historia, med titelnCybersäkerhet – vårt digitala ankare.

CSIRT/CERT

Enligt NIS-direktivet är EU:s medlemsstater skyldiga att se till att de har väl fungerande incidenthanteringsgrupper för datorsäkerhet (CSIRT), även kallade incidenthanteringsenheter (CERT). Dessa team tillhandahåller hantering av cybersäkerhetsincidenter och risker i praktiken. De samarbetar med varandra på EU-nivå och samarbetar också med den privata sektorn. Alla typer av leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster måste omfattas av utsedda CSIRT-enheter.

CSIRT-enheternas huvuduppgifter är följande:

• övervaka incidenter på nationell nivå,
• förse berörda intressenter med tidig varning, varningar, tillkännagivanden och annan information om risker och incidenter.
• reagera på incidenter,
• tillhandahålla dynamisk risk- och incidentanalys och situationsmedvetenhet.
• deltagande i CSIRT-nätverket.

ECSO

Europeiska cybersäkerhetsorganisationen (Ecso) inrättades 2016 för att fungera som kommissionens motpart i ett avtalat offentlig-privat partnerskap som omfattar Horisont 2020 under åren 2016–2020. Majoriteten av ECSO:s 250 medlemmar tillhör antingen cybersäkerhetsindustrin eller forsknings- och akademiska institutioner på området. I mindre utsträckning består ECSO:s medlemmar också av aktörer inom den offentliga sektorn och industrier på efterfrågesidan.

Förutom rekommendationer om Horisont 2020 bedriver ECSO olika verksamheter som syftar till samhällsbyggande och industriell utveckling på europeisk nivå.

Kvinnor4Cyber

Det är viktigt att lyfta fram kvinnors roll i cybersäkerhetssamhället, som är underrepresenterade. Därför har kommissionen inrättat Women4Cyber- registret i samarbete med ECSO:s initiativ Women4Cyber. Det gör det lättare för media, evenemangsarrangörer och andra att hitta de många begåvade kvinnor som arbetar inom cybersäkerhet, så att dessa kvinnor blir mer synliga och framträdande i cybersamhället och den offentliga debatten.

Andra cyberpolitiska områden

It-brottslighet

Vanliga brottslingar använder sig av cyberattacker som hotar européerna. Kommissionens avdelning för migration och inrikes frågor övervakar och uppdaterar EU:s lagstiftning om it-brottslighet och stöder brottsbekämpningens kapacitet. Kommissionen samarbetar också med Europeiska it-brottscentrumet i Europol.

Cyberdiplomati

EU anstränger sig för att skydda sig mot cyberhot utanför sina gränser. Som en del av detta arbetar kommissionen tillsammans med Europeiska utrikestjänsten och medlemsstaterna för att genomföra en gemensam diplomatisk reaktion på skadlig it-verksamhet (verktygslådan för cyberdiplomati). Detta svar omfattar diplomatiskt samarbete och dialog, förebyggande åtgärder mot cyberattacker och sanktioner mot dem som är inblandade i cyberattacker som hotar EU.

Kommissionen bistår vid beslutsfattandet om att reagera på externa cyberhot när så behövs. Det finansierar också EU:s pågående initiativ för stöd till cyberdiplomati direkt.

It-försvar

Den 10 november 2022 lade kommissionen och den höga representanten fram ett gemensamt meddelande om EU:s it-försvarspolitik för att ta itu med den försämrade säkerhetsmiljön till följd av Rysslands aggression mot Ukraina och stärka EU:s kapacitet att skydda sina medborgare och sin infrastruktur.  

EU:s politik för it-försvar är uppbyggd kring fyra pelare som omfattar en rad olika initiativ som kommer att hjälpa EU och medlemsstaterna att bättre kunna upptäcka, avskräcka och försvara sig mot cyberattacker:

1. Agera tillsammans för ett starkare it-försvar i EU

2. Säkra försvarets ekosystem

3. Investera i cyberförsvarskapacitet

4. Partner för att ta itu med gemensamma utmaningar

Den nya politiken kräver investeringar i fullspektrum cyberförsvarskapacitet och kommer att stärka samordningen och samarbetet mellan EU:s militära och civila cybersamhällen. Det kommer att stärka samarbetet med den privata sektorn och effektiv it-krishantering inom unionen. Den nya politiken kommer också att bidra till att minska vårt strategiska beroende av kritisk it-teknik och stärka den europeiska försvarstekniska industriella basen (EDTIB). Det kommer att stimulera utbildning, locka till sig och behålla cyber talanger.

EU samarbetar om försvar i cyberrymden genom Europeiska kommissionens, Europeiska utrikestjänstens (Europeiskautrikestjänsten) verksamhet, Europeiska försvarsbyrån, Enisa och Europeiska unionens byrå för samarbete inom brottsbekämpning (Europol).

Cyberkapacitetsuppbyggnad i tredjeländer

EU samarbetar med andra länder för att bidra till att bygga upp deras kapacitet att försvara sig mot cybersäkerhetshot. Kommissionen stöder olika cybersäkerhetsprogram på västra Balkan och de sex östliga partnerskapsländerna i EU:s omedelbara grannskap samt i andra länder över hela världen genom sin avdelning för internationellt samarbete och utveckling.