Nová stratégia kybernetickej bezpečnosti EÚ a nové pravidlá na zvýšenie odolnosti fyzických a digitálnych kritických subjektov

Komisia (vysoká predstaviteľka Únie pre zahraničné veci a bezpečnostnú politiku) dnes (16. decembra) predstavuje novú stratégiu kybernetickej bezpečnosti EÚ. Stratégia, ako kľúčová súčasť formovania digitálnej budúcnosti Európy, plánu obnovy pre Európu a stratégie bezpečnostnej únie EÚ, posilní kolektívnu odolnosť Európy proti kybernetickým hrozbám a pomôže zabezpečiť, aby všetci občania a podniky mohli plne využívať dôveryhodné a spoľahlivé služby a digitálne nástroje. Či už sú to pripojené zariadenia, elektrická sieť alebo banky, lietadlá, orgány verejnej správy a nemocnice, ktoré Európania používajú alebo často, zaslúžia si to s istotou, že budú chránení pred kybernetickými hrozbami.

Nová stratégia kybernetickej bezpečnosti tiež umožňuje EÚ posilniť vedenie v oblasti medzinárodných noriem a štandardov v kyberpriestore a posilniť spoluprácu s partnermi na celom svete s cieľom podporiť globálny, otvorený, stabilný a bezpečný kyberpriestor založený na zásadách právneho štátu a ľudských práv. , základné slobody a demokratické hodnoty. Komisia ďalej predkladá návrhy na riešenie kybernetickej aj fyzickej odolnosti kritických subjektov a sietí: smernica o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v celej Únii (revidovaná smernica o bezpečnosti sietí a informácií 2 alebo nová smernica o bezpečnosti sietí a informácií). odolnosť kritických subjektov.

Pokrývajú široké spektrum sektorov a ich cieľom je koherentným a doplnkovým spôsobom riešiť súčasné a budúce online a offline riziká, od kybernetických útokov po kriminalitu alebo prírodné katastrofy. Dôvera a bezpečnosť v centre digitálneho desaťročia EÚ Cieľom novej stratégie kybernetickej bezpečnosti je chrániť globálny a otvorený internet a zároveň ponúka záruky nielen na zaistenie bezpečnosti, ale aj na ochranu európskych hodnôt a základných práv každého človeka.

Na základe úspechov posledných mesiacov a rokov obsahuje konkrétne návrhy regulačných, investičných a politických iniciatív v troch oblastiach činnosti EÚ: 1. Odolnosť, technologická suverenita a vedenie
V rámci tejto oblasti činnosti Komisia navrhuje reformovať pravidlá bezpečnosti sietí a informačných systémov na základe smernice o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v celej Únii (revidovaná smernica o bezpečnosti sietí a informácií 2 alebo „NIS XNUMX“) s cieľom zvýšiť úroveň kybernetickej odolnosti kritického verejného a súkromného sektora: nemocnice, energetické siete, železnice, ale aj dátové centrá, verejné správy, výskumné laboratóriá a výroba dôležitých zdravotníckych prístrojov a liekov, ako aj ďalšia kritická infraštruktúra a služby musia zostať nepriepustná , v prostredí čoraz rýchlejšie sa rozvíjajúcich a zložitých hrozieb. Komisia tiež navrhuje spustiť sieť bezpečnostných operačných centier v celej EÚ založenú na umelej inteligencii (AI), ktorá bude pre EÚ predstavovať skutočný „štít pre kybernetickú bezpečnosť“, schopný včas odhaliť príznaky kybernetického útoku a umožniť proaktívny prístup. pred poškodením. Medzi ďalšie opatrenia bude patriť špecializovaná podpora pre malé a stredné podniky (MSP) v rámci centier digitálnych inovácií, ako aj zvýšené úsilie o zvyšovanie kvalifikácie pracovných síl, prilákanie a udržanie najlepších talentov v oblasti kybernetickej bezpečnosti a investície do otvoreného výskumu a inovácií, konkurencieschopné a založené na dokonalosti.
2. Budovanie prevádzkových kapacít na prevenciu, odradenie a reakciu
Komisia pripravuje prostredníctvom spoločného progresívneho procesu s členskými štátmi novú spoločnú kybernetickú jednotku na posilnenie spolupráce medzi orgánmi EÚ a orgánmi členských štátov zodpovednými za prevenciu, odradenie a reakciu na kybernetické útoky vrátane civilných, presadzovania práva, spoločenstiev diplomatickej a kybernetickej obrany. Vysoká predstaviteľka predkladá návrhy na posilnenie súboru nástrojov EÚ v oblasti kybernetickej diplomacie s cieľom predchádzať, odrádzať, odrádzať a účinne reagovať na škodlivé kybernetické činnosti, najmä tie, ktoré ovplyvňujú našu kritickú infraštruktúru, dodávateľské reťazce, demokratické inštitúcie a procesy. EÚ sa bude tiež zameriavať na ďalšie zlepšovanie spolupráce v oblasti kybernetickej obrany a na rozvoj najmodernejších kapacít v oblasti kybernetickej obrany, pričom bude vychádzať z práce Európskej obrannej agentúry a nabádať členské štáty, aby v plnej miere využívali stálu štruktúrovanú spoluprácu a európsku obranu. Fond.
3. Podpora globálneho a otvoreného kyberpriestoru prostredníctvom intenzívnejšej spolupráce
EÚ zintenzívni prácu s medzinárodnými partnermi na posilnení globálneho poriadku založeného na pravidlách, podpore medzinárodnej bezpečnosti a stability v kyberpriestore a ochrane ľudských práv a základných slobôd online. Bude rozvíjať medzinárodné normy a štandardy, ktoré odrážajú tieto základné hodnoty EÚ, prostredníctvom spolupráce s medzinárodnými partnermi v rámci Organizácie Spojených národov a na ďalších príslušných fórach. EÚ ďalej posilní svoj súbor nástrojov EÚ v oblasti kybernetickej diplomacie a zvýši úsilie o budovanie kybernetických kapacít pre tretie krajiny vypracovaním vonkajšej agendy EÚ pre budovanie kybernetických kapacít. Zintenzívnia sa kybernetické dialógy s tretími krajinami, regionálnymi a medzinárodnými organizáciami, ako aj s komunitou viacerých zainteresovaných strán.

EÚ tiež vytvorí sieť kybernetickej diplomacie EÚ na celom svete, aby podporila svoju víziu kyberpriestoru. EÚ sa zaviazala podporovať novú stratégiu kybernetickej bezpečnosti s bezprecedentnou úrovňou investícií do digitálneho prechodu EÚ v priebehu nasledujúcich siedmich rokov prostredníctvom budúceho dlhodobého rozpočtu EÚ, najmä programu Digitálna Európa a programu Horizont Európa, ako aj obnovy. Plán pre Európu. Členským štátom sa preto odporúča, aby v plnej miere využívali nástroj EÚ na oživenie a odolnosť na podporu kybernetickej bezpečnosti a zosúladenie investícií na úrovni EÚ.

Cieľom je dosiahnuť až 4.5 miliardy EUR kombinovaných investícií z EÚ, členských štátov a priemyslu, najmä v rámci Cybersecurity kompetenčného centra a siete koordinačných centier, a zabezpečiť, aby sa podstatná časť dostala k MSP. Komisia sa tiež zameriava na posilnenie priemyselných a technologických kapacít EÚ v oblasti kybernetickej bezpečnosti, a to aj prostredníctvom projektov podporovaných spoločne z rozpočtov EÚ a vnútroštátnych rozpočtov. EÚ má jedinečnú príležitosť spojiť svoje aktíva s cieľom posilniť svoju strategickú autonómiu a upevniť svoje vedúce postavenie v oblasti kybernetickej bezpečnosti v celom digitálnom dodávateľskom reťazci (vrátane dát a cloudu, procesorových technológií novej generácie, ultrabezpečného pripojenia a sietí 6G) v súlade so svojimi hodnoty a priority.

Kybernetická a fyzická odolnosť sietí, informačných systémov a kritických subjektov Je potrebné aktualizovať existujúce opatrenia na úrovni EÚ zamerané na ochranu kľúčových služieb a infraštruktúr pred kybernetickými aj fyzickými rizikami. Riziká kybernetickej bezpečnosti sa naďalej vyvíjajú s rastúcou digitalizáciou a vzájomnou prepojenosťou. Fyzické riziká sa tiež stali zložitejšími od prijatia pravidiel EÚ o kritickej infraštruktúre z roku 2008, ktoré sa v súčasnosti vzťahujú iba na odvetvie energetiky a dopravy. Cieľom revízií je aktualizácia pravidiel v súlade s logikou stratégie bezpečnostnej únie EÚ, prekonanie falošnej dichotómie medzi online a offline a prelomenie prístupu sila.

Reklama

S cieľom reagovať na rastúce hrozby v dôsledku digitalizácie a vzájomného prepojenia sa navrhovaná smernica o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v celej Únii (revidovaná smernica o bezpečnosti sietí a informácií) alebo „NIS 2“) bude týkať stredných a veľkých subjektov z viacerých sektorov na základe ich dôležitosti pre hospodárstva a spoločnosti. NIS 2 posilňuje bezpečnostné požiadavky kladené na spoločnosti, zameriava sa na bezpečnosť dodávateľských reťazcov a dodávateľských vzťahov, zjednodušuje povinnosti týkajúce sa podávania správ, zavádza prísnejšie opatrenia v oblasti dohľadu pre vnútroštátne orgány, prísnejšie požiadavky na presadzovanie právnych predpisov a zameriava sa na harmonizáciu sankčných režimov vo všetkých členských štátoch. Návrh NIS 2 pomôže zvýšiť zdieľanie informácií a spoluprácu v oblasti riadenia kybernetických kríz na vnútroštátnej úrovni a na úrovni EÚ. Navrhovaná smernica o odolnosti kritických subjektov (CER) rozširuje rozsah a hĺbku smernice o európskej kritickej infraštruktúre z roku 2008. V súčasnosti je zahrnutých desať sektorov: energetika, doprava, bankovníctvo, infraštruktúry finančného trhu, zdravie, pitná voda, odpadová voda, digitálna infraštruktúra, verejná správa a vesmír. Podľa navrhovanej smernice by členské štáty prijali národnú stratégiu na zabezpečenie odolnosti kritických subjektov a vykonávali pravidelné hodnotenia rizika. Tieto posúdenia by tiež pomohli identifikovať menšiu podskupinu kritických subjektov, ktoré by podliehali povinnostiam zameraným na zvýšenie ich odolnosti voči iným ako kybernetickým rizikám, vrátane hodnotení rizík na úrovni subjektov, prijímania technických a organizačných opatrení a oznamovania nehôd.

Komisia by na oplátku poskytla doplnkovú podporu členským štátom a kritickým subjektom, napríklad vypracovaním prehľadu cezhraničných a medzisektorových rizík na úrovni Únie, najlepších postupov, metodík, cezhraničných školení a cvičení na testovanie. odolnosť kritických subjektov. Zabezpečenie ďalšej generácie sietí: 5G a viac V rámci novej stratégie kybernetickej bezpečnosti sa členské štáty vyzývajú, aby s podporou Komisie a ENISA - Európskej agentúry pre kybernetickú bezpečnosť dokončili implementáciu súboru nástrojov 5G EÚ, komplexného a objektívneho rizika - prístup založený na zabezpečení 5G a budúcich generácií sietí.

Podľa dnes zverejnenej správy o vplyve odporúčania Komisie na kybernetickú bezpečnosť sietí 5G a pokroku v implementácii súboru nástrojov EÚ na zmiernenie opatrení, pretože od správy o pokroku z júla 2020 je väčšina členských štátov už na dobrej ceste k implementácii odporúčané opatrenia. Teraz by sa mali zamerať na dokončenie ich vykonávania do druhého štvrťroka 2021 a zabezpečiť, aby sa identifikované riziká primerane zmierňovali koordinovaným spôsobom, najmä s cieľom minimalizovať vystavenie rizikovým dodávateľom a vyhnúť sa závislosti od týchto dodávateľov. Komisia dnes tiež stanovuje kľúčové ciele a akcie zamerané na pokračovanie koordinovanej práce na úrovni EÚ.

Výkonná viceprezidentka Europe Fit for the Digital Age Margrethe Vestager uviedla: "Európa sa zaviazala k digitálnej transformácii našej spoločnosti a hospodárstva. Musíme ju preto podporovať bezprecedentnou úrovňou investícií. Digitálna transformácia sa zrýchľuje, ale môže iba uspieť ak ľudia a podniky môžu dôverovať tomu, že pripojené produkty a služby - na ktoré sa spoliehajú - sú bezpečné. “

Vysoký predstaviteľ Josep Borrell uviedol: „Medzinárodná bezpečnosť a stabilita závisí viac ako kedykoľvek predtým od globálneho, otvoreného, ​​stabilného a bezpečného kyberpriestoru, v ktorom sa rešpektuje vláda zákona, ľudské práva, slobody a demokracia. Dnešnou stratégiou EÚ posilňuje ochranu svojim vládam, občanom a podnikom pred globálnymi kybernetickými hrozbami a zabezpečiť vedenie v kyberpriestore a zabezpečiť, aby každý mohol využívať výhody internetu a využívania technológií. ““

Viceprezidentka pre podporu európskeho spôsobu života Margaritis Schinas povedala: "Kybernetická bezpečnosť je ústrednou súčasťou bezpečnostnej únie. Už neexistuje rozdiel medzi online a offline hrozbami. Digitálne a fyzické sú dnes neoddeliteľne prepojené. Dnešný súbor opatrení ukazuje, že EÚ je pripravená využiť všetky svoje zdroje a odborné znalosti na prípravu a reakciu na fyzické a kybernetické hrozby s rovnakou úrovňou odhodlania. ““

Komisár pre vnútorný trh Thierry Breton uviedol: „Kybernetické hrozby sa vyvíjajú rýchlo, sú čoraz zložitejšie a prispôsobivejšie. Aby sme sa ubezpečili, že sú chránení naši občania a infraštruktúry, musíme myslieť na niekoľko krokov vpred, odolný a autonómny štít kybernetickej bezpečnosti v Európe bude znamenať, že môžeme využiť náš odborné znalosti a znalosti na rýchlejšie detekovanie a reakciu, obmedzenie potenciálnych škôd a zvýšenie našej odolnosti. Investovanie do kybernetickej bezpečnosti znamená investovanie do zdravej budúcnosti našich online prostredí a do našej strategickej autonómie. “

Komisárka pre vnútorné veci Ylva Johansson uviedla: „Naše nemocnice, systémy odpadových vôd alebo dopravná infraštruktúra sú len také silné ako ich najslabšie články; narušenie v jednej časti Únie môže mať vplyv na poskytovanie základných služieb inde. Zabezpečiť hladké fungovanie vnútorného trhu trh a živobytie tých, ktorí žijú v Európe, musí byť naša kľúčová infraštruktúra odolná proti rizikám, ako sú prírodné katastrofy, teroristické útoky, nehody a pandémie, ako sú tie, ktoré dnes zažívame. Môj návrh týkajúci sa kritickej infraštruktúry robí práve toto. “

Ďalšie kroky

Európska komisia a vysoká predstaviteľka sa zaviazali implementovať novú stratégiu kybernetickej bezpečnosti v nadchádzajúcich mesiacoch. Budú pravidelne podávať správy o dosiahnutom pokroku a udržiavať Európsky parlament, Radu Európskej únie a zainteresované strany v plnom rozsahu informované a zapojené do všetkých príslušných akcií. Teraz je na Európskom parlamente a Rade, aby preskúmali a prijali navrhovanú smernicu NIS 2 a smernicu o odolnosti kritických subjektov. Len čo budú návrhy schválené a následne prijaté, členské štáty by ich potom museli transponovať do 18 mesiacov od nadobudnutia účinnosti.

Komisia bude pravidelne skúmať smernicu NIS 2 a smernicu o odolnosti kritických subjektov a podávať správy o ich fungovaní. Pozadie Kybernetická bezpečnosť je jednou z hlavných priorít Komisie a základným kameňom digitálnej a prepojenej Európy. Nárast kybernetických útokov počas krízy s koronavírusmi ukázal, aké dôležité je chrániť nemocnice, výskumné strediská a ďalšiu infraštruktúru. V tejto oblasti sú potrebné rázne kroky, aby sa zabezpečilo hospodárstvo a spoločnosť EÚ v budúcnosti. Nová stratégia kybernetickej bezpečnosti navrhuje integrovať kybernetickú bezpečnosť do všetkých prvkov dodávateľského reťazca a ďalej spojiť činnosti a zdroje EÚ v rámci štyroch spoločenstiev kybernetickej bezpečnosti - vnútorného trhu, presadzovania práva, diplomacie a obrany.

Vychádza z formovania digitálnej budúcnosti Európy a stratégie bezpečnostnej únie EÚ a opiera sa o množstvo legislatívnych aktov, akcií a iniciatív, ktoré EÚ vykonala s cieľom posilniť kapacity v oblasti kybernetickej bezpečnosti a zaistiť odolnosť Európy voči počítačom. Zahŕňa to stratégiu kybernetickej bezpečnosti z roku 2013, ktorá bola preskúmaná v roku 2017, a európsky program bezpečnosti pre Komisiu na roky 2015 - 2020. Uznáva tiež rastúce prepojenie medzi vnútornou a vonkajšou bezpečnosťou, najmä prostredníctvom spoločnej zahraničnej a bezpečnostnej politiky. Prvý celoeurópsky zákon o kybernetickej bezpečnosti, smernica o bezpečnosti sietí a informácií, ktorý vstúpil do platnosti v roku 2016, pomohol dosiahnuť spoločnú vysokú úroveň bezpečnosti sieťových a informačných systémov v celej EÚ. Ako súčasť svojho kľúčového politického cieľa, aby sa Európa stala vhodnou pre digitálny vek, oznámila Komisia vo februári tohto roku revíziu smernice o bezpečnosti sietí a informácií.

Zákon o kybernetickej bezpečnosti EÚ, ktorý je v platnosti od roku 2019, vybavil Európu rámcom certifikácie produktov, služieb a procesov v oblasti kybernetickej bezpečnosti a posilnil mandát Agentúry EÚ pre kybernetickú bezpečnosť (ENISA). Pokiaľ ide o kybernetickú bezpečnosť sietí 5G, členské štáty s podporou Komisie a agentúry ENISA ustanovili pomocou súboru nástrojov 5G EÚ prijatého v januári 2020 komplexný a objektívny prístup založený na riziku. Preskúmanie jej odporúčania Komisiou z marca 2019 o kybernetickej bezpečnosti sietí 5G zistilo, že väčšina členských štátov urobila pokrok v implementácii súboru nástrojov. Počnúc stratégiou kybernetickej bezpečnosti EÚ z roku 2013 vyvinula EÚ súdržnú a holistickú medzinárodnú politiku v oblasti kybernetiky.

EÚ v spolupráci so svojimi partnermi na bilaterálnej, regionálnej a medzinárodnej úrovni podporovala globálny, otvorený, stabilný a bezpečný kyberpriestor, ktorý sa riadi základnými hodnotami EÚ a je založený na zásadách právneho štátu. EÚ podporovala tretie krajiny pri zvyšovaní ich kybernetickej odolnosti a schopnosti čeliť počítačovej kriminalite a využila svoj súbor nástrojov EÚ v oblasti kybernetickej diplomacie z roku 2017 na ďalšie prispievanie k medzinárodnej bezpečnosti a stabilite v kyberpriestore, a to aj prvým uplatnením svojho režimu kybernetických sankcií z roku 2019 a zoznam 8 jednotlivcov a 4 subjekty a orgány. EÚ urobila významný pokrok aj v oblasti spolupráce v oblasti kybernetickej obrany, a to aj pokiaľ ide o spôsobilosti v oblasti kybernetickej obrany, najmä v rámci jej rámca politiky kybernetickej obrany (CDPF), ako aj v rámci stálej štruktúrovanej spolupráce (PESCO) a práce Európskej obrannej agentúry. Kybernetická bezpečnosť je prioritou, ktorá sa odráža aj v budúcom dlhodobom rozpočte EÚ (2021 - 2027).

V rámci programu Digitálna Európa bude EÚ podporovať výskum, inovácie a infraštruktúru v oblasti kybernetickej bezpečnosti, kybernetickú obranu a odvetvie kybernetickej bezpečnosti EÚ. V rámci reakcie na krízu koronavírusmi, ktorá zaznamenala zvýšený počet kybernetických útokov počas blokády, sú v rámci plánu obnovy pre Európu zabezpečené ďalšie investície do kybernetickej bezpečnosti. EÚ si už dlho uvedomuje potrebu zabezpečiť odolnosť kritických infraštruktúr poskytujúcich služby, ktoré sú nevyhnutné pre hladké fungovanie vnútorného trhu a životy a živobytie európskych občanov. Z tohto dôvodu EÚ ustanovila v roku 2006 Európsky program na ochranu kritickej infraštruktúry (EPCIP) a v roku 2008 prijala smernicu o európskej kritickej infraštruktúre (ECI), ktorá sa vzťahuje na odvetvia energetiky a dopravy. Tieto opatrenia boli v neskorších rokoch doplnené rôznymi odvetvovými a medzisektorovými opatreniami o konkrétnych aspektoch, ako je napríklad ochrana podnebia, civilná ochrana alebo priame zahraničné investície.

Zdieľaj tento článok: