Dziś (16 grudnia) Komisja i Wysoki Przedstawiciel Unii do Spraw Zagranicznych i Polityki Bezpieczeństwa przedstawiają nową strategię UE w zakresie cyberbezpieczeństwa. Jako kluczowy element Kształtowania cyfrowej przyszłości Europy, planu naprawy dla Europy i strategii Unii bezpieczeństwa UE, strategia ta wzmocni zbiorową odporność Europy na cyberzagrożenia i pomoże zapewnić wszystkim obywatelom i przedsiębiorstwom pełne korzyści z godnych zaufania i niezawodnych usług oraz narzędzia cyfrowe. Niezależnie od tego, czy są to podłączone urządzenia, sieć elektryczna, banki, samoloty, administracja publiczna i szpitale, z których korzystają Europejczycy, czy też często, zasługują na to, mając pewność, że będą chronieni przed cyberzagrożeniami.

Nowa strategia bezpieczeństwa cybernetycznego pozwala również UE na wzmocnienie pozycji lidera w zakresie międzynarodowych norm i standardów w cyberprzestrzeni oraz zacieśnienie współpracy z partnerami na całym świecie w celu promowania globalnej, otwartej, stabilnej i bezpiecznej cyberprzestrzeni opartej na praworządności i prawach człowieka , podstawowe wolności i wartości demokratyczne. Ponadto Komisja przedstawia wnioski dotyczące zarówno cyber, jak i fizycznej odporności krytycznych podmiotów i sieci: dyrektywę w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii (zmieniona dyrektywa w sprawie bezpieczeństwa sieci i informacji lub `` NIS 2 '') oraz nową dyrektywę w sprawie odporność krytycznych podmiotów.

Obejmują one szeroki zakres sektorów i mają na celu w spójny i komplementarny sposób przeciwdziałanie obecnym i przyszłym zagrożeniom online i offline, od cyberataków po przestępstwa lub klęski żywiołowe. Zaufanie i bezpieczeństwo w centrum dekady cyfrowej UE Nowa strategia bezpieczeństwa cybernetycznego ma na celu ochronę globalnego i otwartego internetu, oferując jednocześnie zabezpieczenia, nie tylko w celu zapewnienia bezpieczeństwa, ale także ochrony europejskich wartości i praw podstawowych wszystkich.

Opierając się na osiągnięciach ostatnich miesięcy i lat, zawiera konkretne propozycje inicjatyw regulacyjnych, inwestycyjnych i politycznych w trzech obszarach działań UE: 1. Odporność, suwerenność technologiczna i przywództwo
W ramach tego zakresu działań Komisja proponuje zreformowanie przepisów dotyczących bezpieczeństwa sieci i systemów informatycznych, na mocy dyrektywy w sprawie środków zapewniających wysoki wspólny poziom cyberbezpieczeństwa w całej Unii (zmieniona dyrektywa w sprawie bezpieczeństwa sieci i informacji lub `` NIS 2 '') w celu zwiększenia poziom odporności cybernetycznej krytycznych sektorów publicznych i prywatnych: szpitali, sieci energetycznych, kolei, ale także centrów danych, administracji publicznej, laboratoriów badawczych i produkcji krytycznych urządzeń medycznych i leków, a także innej krytycznej infrastruktury i usług, musi pozostać nieprzepuszczalny , w coraz szybciej zmieniającym się i złożonym środowisku zagrożeń. Komisja proponuje również uruchomienie w całej UE sieci Centrów Operacji Bezpieczeństwa opartych na sztucznej inteligencji (AI), która będzie stanowić prawdziwą `` tarczę cyberbezpieczeństwa '' dla UE, zdolną do dostatecznie wczesnego wykrywania oznak cyberataku i umożliwi działanie, zanim wystąpi uszkodzenie. Dodatkowe środki będą obejmować specjalne wsparcie dla małych i średnich przedsiębiorstw (MŚP) w ramach centrów innowacji cyfrowych, a także zwiększone wysiłki na rzecz podnoszenia kwalifikacji siły roboczej, przyciągania i zatrzymywania najlepszych talentów w dziedzinie cyberbezpieczeństwa oraz inwestowania w otwarte badania i innowacje, konkurencyjne i oparte na doskonałości.
2. Budowanie zdolności operacyjnych do zapobiegania, odstraszania i reagowania
Komisja przygotowuje, w ramach stopniowego i pluralistycznego procesu z państwami członkowskimi, nową wspólną jednostkę ds. Cyberprzestrzeni w celu wzmocnienia współpracy między organami UE i organami państw członkowskich odpowiedzialnymi za zapobieganie cyberatakom, powstrzymywanie ich i reagowanie na ataki cybernetyczne, w tym organy ścigania, środowiska dyplomatyczne i cyberobrony. Wysoka przedstawiciel przedstawia wnioski dotyczące wzmocnienia unijnego zestawu narzędzi w zakresie dyplomacji cybernetycznej, aby zapobiegać złośliwym działaniom cybernetycznym, zniechęcać je, odstraszać i skutecznie reagować na nie, w szczególności na naszą infrastrukturę krytyczną, łańcuchy dostaw, instytucje i procesy demokratyczne. UE będzie również dążyć do dalszego zacieśniania współpracy w dziedzinie cyberobrony i rozwijania najnowocześniejszych zdolności w zakresie cyberobrony, opierając się na pracach Europejskiej Agencji Obrony i zachęcając państwa państwa francuskiego do pełnego wykorzystania stałej współpracy strukturalnej i europejskiej obrony Fundusz.
3. Rozwój globalnej i otwartej cyberprzestrzeni poprzez zacieśnienie współpracy
UE zintensyfikuje współpracę z partnerami międzynarodowymi, aby wzmocnić światowy porządek oparty na zasadach, promować międzynarodowe bezpieczeństwo i stabilność w cyberprzestrzeni oraz chronić prawa człowieka i podstawowe wolności w internecie. Będzie rozwijać międzynarodowe normy i standardy, które odzwierciedlają te podstawowe wartości UE, współpracując ze swoimi partnerami międzynarodowymi w ONZ i na innych odpowiednich forach. UE będzie dalej wzmacniać swój zestaw narzędzi do dyplomacji cybernetycznej i zwiększać wysiłki na rzecz budowania potencjału cybernetycznego skierowane do państw trzecich poprzez opracowanie unijnego programu budowania zewnętrznych zdolności cybernetycznych. Zintensyfikowane zostaną dialogi cybernetyczne z krajami trzecimi, organizacjami regionalnymi i międzynarodowymi, a także z wielostronną społecznością.

UE utworzy również sieć unijnej dyplomacji cybernetycznej na całym świecie, aby promować swoją wizję cyberprzestrzeni. UE jest zdecydowana wspierać nową strategię bezpieczeństwa cybernetycznego dzięki bezprecedensowemu poziomowi inwestycji w transformację cyfrową UE w ciągu najbliższych siedmiu lat, poprzez kolejny długoterminowy budżet UE, w szczególności program Cyfrowa Europa i Horyzont Europa, a także Plan dla Europy. Zachęca się zatem państwa członkowskie do pełnego wykorzystania unijnego instrumentu na rzecz odbudowy i odporności, aby zwiększyć bezpieczeństwo cybernetyczne i dopasować inwestycje na poziomie UE.

Celem jest osiągnięcie do 4.5 miliarda euro łącznych inwestycji z UE, państw członkowskich i przemysłu, zwłaszcza w ramach Centrum Kompetencji w zakresie Cyberbezpieczeństwa i Sieci Centrów Koordynacyjnych, oraz zapewnienie, że większa ich część trafi do MŚP. Komisja dąży również do wzmocnienia potencjału przemysłowego i technologicznego UE w zakresie cyberbezpieczeństwa, w tym poprzez projekty wspierane wspólnie z budżetów UE i budżetów krajowych. UE ma wyjątkową okazję do połączenia swoich zasobów w celu zwiększenia swojej strategicznej autonomii i wzmocnienia pozycji lidera w dziedzinie cyberbezpieczeństwa w całym cyfrowym łańcuchu dostaw (w tym danych i chmury, technologii procesorowych nowej generacji, ultra bezpiecznej łączności i sieci 6G), zgodnie z wartości i priorytety.

Odporność fizyczna i cybernetyczna sieci, systemów informatycznych i podmiotów krytycznych Należy zaktualizować istniejące środki na poziomie UE mające na celu ochronę kluczowych usług i infrastruktury przed zagrożeniami cybernetycznymi i fizycznymi. Zagrożenia dla cyberbezpieczeństwa wciąż ewoluują wraz z postępującą cyfryzacją i wzajemnymi powiązaniami. Ryzyko fizyczne również stało się bardziej złożone od czasu przyjęcia przepisów UE z 2008 r. Dotyczących infrastruktury krytycznej, które obecnie obejmują jedynie sektory energii i transportu. Zmiany mają na celu aktualizację przepisów zgodnie z logiką strategii Unii Bezpieczeństwa UE, przezwyciężenie fałszywej dychotomii między online i offline oraz przełamanie podejścia silosowego.

Aby odpowiedzieć na rosnące zagrożenia wynikające z cyfryzacji i wzajemnych powiązań, proponowana dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii (zmieniona dyrektywa w sprawie bezpieczeństwa sieci i informacji lub `` NIS 2 '') obejmie średnie i duże podmioty z większej liczby sektorów w oparciu o ich znaczenie dla gospodarka i społeczeństwo. NIS 2 wzmacnia wymogi bezpieczeństwa nakładane na przedsiębiorstwa, dotyczy bezpieczeństwa łańcuchów dostaw i relacji z dostawcami, usprawnia obowiązki sprawozdawcze, wprowadza bardziej rygorystyczne środki nadzorcze dla organów krajowych, surowsze wymogi w zakresie egzekwowania oraz ma na celu harmonizację systemów sankcji w państwach członkowskich. Wniosek dotyczący NIS 2 pomoże zintensyfikować wymianę informacji i współpracę w zakresie zarządzania kryzysami cybernetycznymi na szczeblu krajowym i unijnym. Proponowana dyrektywa w sprawie odporności podmiotów krytycznych (CER) rozszerza zarówno zakres, jak i głębię dyrektywy z 2008 r. W sprawie europejskiej infrastruktury krytycznej. Obecnie obejmuje dziesięć sektorów: energetykę, transport, bankowość, infrastrukturę rynków finansowych, zdrowie, wodę pitną, ścieki, infrastrukturę cyfrową, administrację publiczną i przestrzeń kosmiczną. Zgodnie z proponowaną dyrektywą każde z państw członkowskich przyjęłoby strategię krajową w celu zapewnienia odporności krytycznych podmiotów i przeprowadzałoby regularne oceny ryzyka. Oceny te pomogłyby również zidentyfikować mniejszy podzbiór podmiotów krytycznych, które podlegałyby obowiązkom mającym na celu zwiększenie ich odporności w obliczu zagrożeń innych niż cybernetyczne, w tym ocenom ryzyka na poziomie podmiotu, podejmowaniu środków technicznych i organizacyjnych oraz powiadamianiu o incydentach.

Komisja z kolei zapewniłaby uzupełniające wsparcie państwom członkowskim i krytycznym podmiotom, na przykład poprzez opracowanie na szczeblu Unii przeglądu transgranicznych i międzysektorowych zagrożeń, najlepszych praktyk, metod, transgranicznych działań szkoleniowych i ćwiczeń odporność krytycznych podmiotów. Zabezpieczenie sieci nowej generacji: 5G i nie tylko W ramach nowej strategii cyberbezpieczeństwa państwa członkowskie, przy wsparciu Komisji i ENISA - Europejskiej Agencji ds. Cyberbezpieczeństwa, są zachęcane do zakończenia wdrażania unijnego zestawu narzędzi 5G, kompleksowego i obiektywnego ryzyka. podejście oparte na bezpieczeństwie 5G i przyszłych generacji sieci.

Zgodnie z opublikowanym dzisiaj sprawozdaniem dotyczącym wpływu zalecenia Komisji w sprawie cyberbezpieczeństwa sieci 5G oraz postępów we wdrażaniu unijnego zestawu środków łagodzących, od czasu sprawozdania z postępów z lipca 2020 r., Większość państw członkowskich jest już na dobrej drodze do wdrażania zalecane środki. Powinny one teraz dążyć do zakończenia ich wdrażania do drugiego kwartału 2021 r. I zapewnić odpowiednie i skoordynowane ograniczanie zidentyfikowanych ryzyk, zwłaszcza w celu zminimalizowania narażenia na dostawców wysokiego ryzyka i uniknięcia uzależnienia od tych dostawców. Komisja określa dziś również kluczowe cele i działania mające na celu kontynuację skoordynowanych prac na szczeblu UE.

Wiceprzewodnicząca wykonawcza Europa na miarę ery cyfrowej Margrethe Vestager powiedziała: „Europa jest zaangażowana w cyfrową transformację naszego społeczeństwa i gospodarki. Musimy zatem wesprzeć ją bezprecedensowymi poziomami inwestycji. Transformacja cyfrowa przyspiesza, ale może się powieść tylko czy ludzie i firmy mogą ufać, że połączone produkty i usługi - na których polegają - są bezpieczne ”.

Wysoki Przedstawiciel Josep Borrell powiedział: „Bezpieczeństwo i stabilność międzynarodowa bardziej niż kiedykolwiek zależą od globalnej, otwartej, stabilnej i bezpiecznej cyberprzestrzeni, w której przestrzegane są praworządność, prawa człowieka, wolności i demokracja. Dzisiejsza strategia UE przyspiesza działania, aby chronić rządy, obywatele i przedsiębiorstwa przed globalnymi zagrożeniami cybernetycznymi oraz zapewnienie przywództwa w cyberprzestrzeni, upewniając się, że każdy może czerpać korzyści z Internetu i technologii ”.

Promujący nasz europejski styl życia wiceprezes Margaritis Schinas powiedział: „Cyberbezpieczeństwo jest centralną częścią unii bezpieczeństwa. Nie ma już rozróżnienia między zagrożeniami online i offline. Cyfrowe i fizyczne są teraz nierozerwalnie powiązane. Dzisiejszy zestaw środków pokazuje, że UE jest gotowa wykorzystać wszystkie swoje zasoby i wiedzę, aby przygotować się na fizyczne i cyberzagrożenia i reagować na nie z taką samą determinacją ”.

Komisarz ds. Rynku wewnętrznego Thierry Breton powiedział: „Zagrożenia cybernetyczne ewoluują szybko, są coraz bardziej złożone i elastyczne. Aby zapewnić ochronę naszych obywateli i infrastruktury, musimy pomyśleć kilka kroków naprzód. Odporna i autonomiczna europejska tarcza bezpieczeństwa cybernetycznego będzie oznaczać, że będziemy mogli wykorzystać nasze doświadczenie i wiedzę umożliwiające szybsze wykrywanie i reagowanie, ograniczanie potencjalnych szkód i zwiększanie naszej odporności. Inwestowanie w bezpieczeństwo cybernetyczne oznacza inwestowanie w zdrową przyszłość naszych środowisk internetowych i strategiczną autonomię ”.

Komisarz do spraw wewnętrznych Ylva Johansson powiedziała: „Nasze szpitale, systemy kanalizacyjne lub infrastruktura transportowa są tak silne, jak ich najsłabsze ogniwa; zakłócenia w jednej części Unii mogą mieć wpływ na świadczenie podstawowych usług w innych miejscach. Aby zapewnić sprawne funkcjonowanie wewnętrznych rynku i środków do życia osób mieszkających w Europie, nasza kluczowa infrastruktura musi być odporna na zagrożenia, takie jak klęski żywiołowe, ataki terrorystyczne, wypadki i pandemie, takie jak ta, której doświadczamy dzisiaj. Moja propozycja w sprawie infrastruktury krytycznej właśnie to robi.

Następne kroki

Komisja Europejska i Wysoki Przedstawiciel zobowiązują się do wdrożenia nowej strategii bezpieczeństwa cybernetycznego w najbliższych miesiącach. Będą regularnie składać sprawozdania z poczynionych postępów i w pełni informować Parlament Europejski, Radę Unii Europejskiej i zainteresowane strony oraz w pełni je informować i angażować się we wszystkie istotne działania. Do Parlamentu Europejskiego i Rady należy teraz zbadanie i przyjęcie proponowanej dyrektywy w sprawie bezpieczeństwa sieci i informacji oraz dyrektywy w sprawie odporności podmiotów krytycznych. Gdy propozycje zostaną uzgodnione, a następnie przyjęte, państwa członkowskie będą musiały dokonać ich transpozycji w ciągu 2 miesięcy od ich wejścia w życie.

Komisja będzie okresowo dokonywać przeglądu dyrektywy w sprawie bezpieczeństwa sieci i informacji oraz dyrektywy w sprawie odporności podmiotów krytycznych i będzie składać sprawozdania z ich funkcjonowania. Kontekst Cyberbezpieczeństwo jest jednym z głównych priorytetów Komisji i kamieniem węgielnym cyfrowej i połączonej Europy. Wzrost ataków cybernetycznych podczas kryzysu koronawirusa pokazał, jak ważna jest ochrona szpitali, ośrodków badawczych i innej infrastruktury. Potrzebne są zdecydowane działania w tej dziedzinie, aby przygotować gospodarkę i społeczeństwo UE na przyszłość. Nowa strategia bezpieczeństwa cybernetycznego proponuje zintegrowanie cyberbezpieczeństwa z każdym elementem łańcucha dostaw i dalsze połączenie działań i zasobów UE w czterech wspólnotach cyberbezpieczeństwa - rynku wewnętrznym, egzekwowaniu prawa, dyplomacji i obronności.

Opiera się on na unijnej strategii „Kształtowanie cyfrowej przyszłości Europy” oraz na strategii unii bezpieczeństwa UE, a także na szeregu aktów ustawodawczych, działań i inicjatyw, które UE wdrożyła w celu wzmocnienia zdolności w zakresie cyberbezpieczeństwa i zapewnienia większej odporności na cyberbezpieczeństwo. Obejmuje to strategię bezpieczeństwa cybernetycznego z 2013 r., Poddaną przeglądowi w 2017 r., Oraz Europejską agendę bezpieczeństwa na lata 2015–2020 Komisji. Dostrzega również rosnące wzajemne powiązania między bezpieczeństwem wewnętrznym i zewnętrznym, w szczególności poprzez wspólną politykę zagraniczną i bezpieczeństwa. Pierwsza ogólnounijna ustawa o cyberbezpieczeństwie, dyrektywa w sprawie bezpieczeństwa sieci i informacji, która weszła w życie w 2016 r., Pomogła osiągnąć wspólny wysoki poziom bezpieczeństwa sieci i systemów informatycznych w całej UE. W ramach swojego kluczowego celu politycznego, jakim jest dostosowanie Europy do ery cyfrowej, Komisja ogłosiła w lutym tego roku przegląd dyrektywy w sprawie bezpieczeństwa sieci i informacji.

Unijny akt w sprawie cyberbezpieczeństwa, który obowiązuje od 2019 r., Zapewnił Europie ramy certyfikacji produktów, usług i procesów w zakresie cyberbezpieczeństwa oraz wzmocnił mandat Agencji UE ds.Cyberbezpieczeństwa (ENISA). Jeżeli chodzi o cyberbezpieczeństwo sieci 5G, państwa członkowskie, przy wsparciu Komisji i ENISA, ustanowiły, wraz z zestawem narzędzi UE 5G przyjętym w styczniu 2020 r., Kompleksowe i obiektywne podejście oparte na ryzyku. W przeglądzie swojego zalecenia Komisji z marca 2019 r. W sprawie cyberbezpieczeństwa sieci 5G stwierdzono, że większość państw członkowskich poczyniła postępy we wdrażaniu zestawu narzędzi. Począwszy od unijnej strategii bezpieczeństwa cybernetycznego z 2013 r., UE opracowała spójną i całościową międzynarodową politykę cybernetyczną.

Współpracując ze swoimi partnerami na szczeblu dwustronnym, regionalnym i międzynarodowym, UE promuje globalną, otwartą, stabilną i bezpieczną cyberprzestrzeń, kierując się podstawowymi wartościami UE i opartą na praworządności. UE wspiera państwa trzecie w zwiększaniu ich odporności cybernetycznej i zdolności do walki z cyberprzestępczością, a także wykorzystała swój zestaw narzędzi unijnej dyplomacji cybernetycznej z 2017 r., Aby dalej przyczyniać się do międzynarodowego bezpieczeństwa i stabilności w cyberprzestrzeni, w tym poprzez zastosowanie po raz pierwszy swojego systemu sankcji cybernetycznych z 2019 r. wymieniając 8 osób oraz 4 podmioty i organy. UE poczyniła znaczne postępy również w zakresie współpracy w dziedzinie cyberobrony, w tym w zakresie zdolności w zakresie cyberobrony, zwłaszcza w ramach swoich ram polityki w zakresie cyberobrony (CDPF), a także w kontekście stałej współpracy strukturalnej (PESCO) i prac Europejskiej Agencji Obrony. Cyberbezpieczeństwo jest priorytetem odzwierciedlonym również w kolejnym długoterminowym budżecie UE (2021-2027).

W ramach programu „Cyfrowa Europa” UE będzie wspierać badania, innowacje i infrastrukturę w zakresie cyberbezpieczeństwa, cyberobronę oraz unijny przemysł cyberbezpieczeństwa. Ponadto w odpowiedzi na kryzys związany z koronawirusem, który spowodował nasilenie cyberataków podczas blokady, w ramach Planu naprawy dla Europy zapewniono dodatkowe inwestycje w cyberbezpieczeństwo. UE od dawna uznaje potrzebę zapewnienia odporności infrastruktury krytycznej zapewniającej usługi, które mają zasadnicze znaczenie dla sprawnego funkcjonowania rynku wewnętrznego oraz życia i środków do życia obywateli Europy. Z tego powodu UE ustanowiła Europejski Program Ochrony Infrastruktury Krytycznej (EPOIK) w 2006 r. I przyjęła Dyrektywę w sprawie Europejskiej Infrastruktury Krytycznej (EIO) w 2008 r., Która ma zastosowanie do sektorów energetycznego i transportowego. Środki te zostały w późniejszych latach uzupełnione różnymi środkami sektorowymi i międzysektorowymi w określonych aspektach, takich jak odporność na zmiany klimatu, ochrona ludności lub bezpośrednie inwestycje zagraniczne.

Komisja zaproponowała dziś (15 grudnia) ambitną reformę przestrzeni cyfrowej, kompleksowy zestaw nowych przepisów dotyczących wszystkich usług cyfrowych, w tym mediów społecznościowych, rynków internetowych i innych platform internetowych działających w Unii Europejskiej: usługi cyfrowe Ustawy i ustawy o rynkach cyfrowych.