EVROPSKA KOMISIJA
Bruselj, 5.7.2016
COM(2016) 410 final
SPOROČILO KOMISIJE EVROPSKEMU PARLAMENTU, SVETU, EVROPSKEMU EKONOMSKO-SOCIALNEMU ODBORU IN ODBORU REGIJ
Krepitev odpornosti evropskega sistema kibernetske varnosti
ter spodbujanje konkurenčne in inovativne industrije kibernetske varnosti
1 Uvod/ozadje
Incidenti v zvezi s kibernetsko varnostjo vsak dan povzročajo veliko gospodarsko škodo evropskim podjetjem in gospodarstvu na splošno. Taki incidenti krhajo zaupanje državljanov in podjetij v digitalni družbi. Kraja poslovnih skrivnosti, poslovnih informacij in osebnih podatkov ter motenje storitev (tudi bistvenih) ter infrastrukture povzročajo gospodarsko škodo v višini več sto milijard evrov vsako leto 1 . Poleg tega imajo lahko tudi posledice za temeljne pravice državljanov in družbo na splošno.
Strategija za kibernetsko varnost Evropske unije iz leta 2013 2 (v nadaljnjem besedilu: strategija za kibernetsko varnost EU) in njen osrednji dokument, tj. direktiva o varnosti omrežij in informacij (v nadaljnjem besedilu: direktiva VOI) 3 , ki bo kmalu sprejeta, ter Direktiva 2013/40/EU o napadih na informacijske sisteme so osrednji odziv politike Evropske unije na te izzive kibernetske varnosti do zdaj. Poleg tega v Evropski uniji delujejo specializirani organi, kot so Agencija Evropske unije za varnost omrežij in informacij (ENISA), Evropski center za boj proti kibernetski kriminaliteti (EC3) pri Europolu in skupina za odzivanje na računalniške grožnje (CERT-EU). Nedavno je bilo uvedenih tudi več sektorskih pobud (na primer na področju energetike in prometa) za izboljšanje kibernetske varnosti v različnih kritičnih sektorjih.
Kljub tem pozitivnim dosežkom je EU še vedno izpostavljena kibernetskim incidentom. To bi lahko ogrozilo enotni digitalni trg ter celotno gospodarsko in družbeno življenje. Vpliv incidentov bi lahko ogrozil več kot samo gospodarstvo. Pri hibridnih grožnjah 4 se lahko kibernetski napadi usklajeno z drugimi dejavnostmi uporabijo za destabilizacijo države ali napad na politične institucije.
Glede na navedeno bi lahko bilo spopadanje s kibernetskimi incidenti velikih razsežnosti, pri katerih bi bilo udeleženih več držav članic hkrati, zahtevno za EU. Komisija v sinergiji s sporočili o preprečevanju hibridnih groženj in o izvajanju evropske agende za varnost 5 proučuje pristope k spreminjajočemu se stanju kibernetske varnosti ter ocenjuje dodatne ukrepe, ki bi lahko bili potrebni za izboljšanje odpornosti EU pri kibernetski varnosti in njeno odzivanje na incidente.
Komisija obravnava tudi industrijske zmogljivosti pri kibernetski varnosti v Evropski uniji. Morda se v Evropi ne da obvladati celotna veriga vrednosti digitalnih tehnologij, vendar je treba vzdrževati in razviti vsaj nekatere bistvene zmogljivosti. Ponudba izdelkov in storitev, ki omogočajo najvišjo raven kibernetske varnosti, je priložnost za industrijo na področju kibernetske varnosti v Evropi in bi lahko pomenila veliko konkurenčno prednost. Pričakuje se, da bo svetovni trg kibernetske varnosti med najhitreje rastočimi segmenti sektorja IKT 6 . Prizadevanje, da bi EU postala vodilni akter na tem področju, mora biti podprto z močno kulturo varnosti podatkov, vključno z osebnimi podatki, in učinkovitim odzivom na incidente. To se bo štelo kot močan argument za naložbe v EU, kar bo pripomoglo k doseganju velikopoteznih ciljev enotnega digitalnega trga za spodbujanje rasti in ustvarjanje delovnih mest.
Za doseganje navedenega so potrebna odločna prizadevanja, zlasti:
i) Tesnejše sodelovanje za boljšo pripravljenost in spopadanje s kibernetskimi incidenti
Vzpostavljene in dogovorjene mehanizme sodelovanja je treba okrepiti, da se izboljšata odpornost in pripravljenost EU, tudi ob morebitni vseevropski krizi na področju kibernetske varnosti. Ti mehanizmi sodelovanja morajo biti celoviti in zajemati življenjski cikel incidenta od preprečevanja do pregona. Za učinkovito sodelovanje držav članic in praktično izvajanje varnostnih zahtev za kritične izvajalce dejavnosti bodo prav tako potrebne zanesljive tehnične rešitve iz industrije kibernetske varnosti.
Hkrati bodo za zagotovitev odpornosti kritičnih kibernetskih sredstev v vsej EU potrebna stalna prizadevanja za iskanje medsektorskih sinergij in vključevanje kibernetskih zahtev v vse ustrezne politike EU. Komisija bo v bližnji prihodnosti proučila potrebo po posodobitvi strategije za kibernetsko varnost EU iz leta 2013.
ii) Spoprijem z izzivi v evropskem enotnem trgu kibernetske varnosti
Strategija za enotni digitalni trg 7 upošteva, da še vedno obstajajo posebne pomanjkljivosti na hitro se spreminjajočem področju tehnologij in rešitev za varnost spletnih omrežij. Hkrati je iz tržnih raziskav razvidno, da je notranji trg EU glede ponudbe izdelkov in storitev kibernetske varnosti še vedno geografsko razdrobljen 8 . To sporočilo določa več ukrepov tržno usmerjene politike za te pomanjkljivosti in izzive na enotnem trgu.
iii) Spodbujanje industrijskih zmogljivosti na področju kibernetske varnosti
Komisija se je v strategiji za kibernetsko varnost EU in v strategiji za enotni digitalni trg zavezala, da bo industrijo kibernetske varnosti EU spodbujala k večji ponudbi izdelkov in storitev. Komisija bo zato sprejela sklep, ki bo podlaga za pogodbeni dogovor o javno-zasebnem partnerstvu za kibernetsko varnost, da bi se z njim spodbudila sodobna evropska agenda za raziskave in inovacije na področju kibernetske varnosti za večjo konkurenčnost.
2 Nadaljnje izboljšanje sodelovanja, znanja in zmogljivosti
Strategija za kibernetsko varnost EU in zlasti prihodnja direktiva VOI 9 bosta prispevali k izboljšanemu sodelovanju držav članic na ravni EU. Hitro in učinkovito izvajanje navedene direktive bo ključnega pomena zaradi večje digitalizacije gospodarskega in družbenega življenja (tudi ob upoštevanju oblaka, interneta stvari in komunikacije med napravami), večjega čezmejnega povezovanja in hitro se spreminjajočega okolja kibernetskih groženj 10 . Pri tem mora biti EU pripravljena na možnost kibernetske krize velikih razsežnosti 11 , na primer tudi na sočasne napade na kritične informacijske sisteme v več državah članicah 12 .
Sodelovanje na ravni EU je zato bistveno za ukrepanje pri manjših kibernetskih incidentih, ki pa bi se lahko razširili, in pri možnih kibernetskih napadih velikih razsežnosti v več državah članicah. EU mora v obstoječe mehanizme kriznega upravljanja vključiti kibernetske vidike. Zagotoviti mora tudi učinkovito sodelovanje in mehanizme za hitro izmenjavo informacij med sektorji in državami članicami, da se na take incidente odzovejo in jih omejijo. Poleg tega bi morali ti mehanizmi delovati povezano in tako prispevati k boju proti terorizmu, organiziranemu kriminalu in kibernetski kriminaliteti. S tem bi se za EU povečala tudi zmožnost usklajevanja z mednarodnimi partnerji pri učinkovitem odzivanju na svetovne grožnje in incidente.
2.1 Čim boljša uporaba mehanizmov sodelovanja VOI in na poti v nadgradnjo ENISA 2.0
Bistveni del nacionalnih zmogljivosti, ki jih zahteva direktiva VOI, so skupine za odzivanje na incidente na področju računalniške varnosti (CSIRT), odgovorne za hitro odzivanje na kibernetske grožnje in kibernetske incidente. Te skupine bodo povezane v mreži CSIRT, da bi spodbujale učinkovito operativno sodelovanje pri posebnih incidentih v zvezi s kibernetsko varnostjo in izmenjevale informacije o tveganjih. Poleg tega bo z Direktivo vzpostavljena skupina za sodelovanje, ki bo podpirala in olajšala strateško sodelovanje med državami članicami in krepila zaupanje med njimi.
Glede na naravo in množico kibernetskih groženj Komisija spodbuja države članice, naj čim bolj izkoristijo obstoječe mehanizme sodelovanja VOI in okrepijo čezmejno sodelovanje v zvezi s pripravljenostjo na kibernetske incidente velikih razsežnosti. Takemu dodatnemu sodelovanju pri večjih kibernetskih incidentih bi koristil usklajen pristop h kriznemu sodelovanju med različnimi elementi kibernetskega ekosistema. Tak pristop je mogoče določiti v „načrtu“, ki bi prav tako moral omogočiti sinergije in povezanost z obstoječimi mehanizmi kriznega upravljanja 13 . Ta pristop bi bilo treba nato redno preskušati v vajah upravljanja kibernetskih in drugih kriz. Pri tem bi bila vključena vloga organov na ravni EU, kot so agencija ENISA ter skupina CERT-EU in Evropski center za boj proti kibernetski kriminaliteti (EC3) pri Europolu, in uporaba orodij, razvitih v mreži CSIRT. Komisija bo v prvi polovici leta 2017 predložila tak načrt sodelovanja, ki ga bodo proučili skupina za sodelovanje, mreža CSIRT in drugi zadevni deležniki.
Na ravni EU so strokovno znanje in izkušnje v zvezi s kibernetsko varnostjo zdaj na voljo, vendar na razpršeno in nestrukturirano. V podporo mehanizmom sodelovanja VOI je treba informacije združiti v „informacijskem središču“, da lahko vse države članice na zahtevo lažje dostopajo do njih. „Središče“ bi postalo osrednji vir, ki bi institucijam EU in državam članicam po potrebi omogočal izmenjavo informacij. Zaradi lažjega dostopa do bolje strukturiranih informacij o tveganjih pri kibernetski varnosti in možnih rešitvah bi lahko države članice lažje povečale svoje zmogljivosti in medsebojno prilagodile prakse ter tako izboljšale splošno odpornost proti napadom. Komisija bo s podporo agencije ENISA in skupine CERT-EU ter strokovnega znanja svojega Skupnega raziskovalnega središča olajšala vzpostavitev središča in poskrbela za njegovo trajnost.
Poleg tega bi bilo treba na ravni EU vzpostaviti redno svetovalno skupino 14 za kibernetsko varnost na visoki ravni, ki bi jo sestavljali strokovnjaki in nosilci odločanja iz industrije, akademskega sveta, civilne družbe in drugih ustreznih organizacij. Skupina bi Komisiji omogočila, da na odprt in pregleden način pridobi zunanje strokovno znanje in prispevke za svoje politike pri strategiji kibernetske varnosti in možne regulativne ali druge ukrepe javne politike. Dopolnjevala in povezovala bi se z drugimi strukturami v zvezi s kibernetsko varnostjo 15 .
Poleg tega mora Komisija do 20. junija 2018 oceniti agencijo ENISA, morebitno spremembo ali podaljšanje mandata pa je treba sprejeti do 19. junija 2020 16 . Zaradi sedanjega okolja kibernetske varnosti si Komisija prizadeva pospešiti izvedbo ocene in glede na njene rezultate čim prej predložiti predlog.
Komisija bo pri ocenjevanju morebitne potrebe po spremembi mandata agencije ENISA upoštevala prej navedene izzive kibernetske varnosti in splošna prizadevanja za tesnejše sodelovanje in izmenjavo znanja. Ta postopek bo priložnost za proučitev morebitne okrepitve zmogljivosti in zmožnosti agencije, da državam članicam trajnostno pomaga pri doseganju odpornosti pri kibernetski varnosti. Pri oceni mandata agencije ENISA bi bilo treba upoštevati tudi nove pristojnosti agencije v skladu z direktivo VOI, nove cilje politike o podpori industriji na področju kibernetske varnosti (strategija za enotni digitalni trg in zlasti pogodbeno javno-zasebno partnerstvo), spreminjajoče se potrebe po varovanju kritičnih sektorjev ter nove izzive, povezane s čezmejnimi incidenti, vključno z usklajenim odzivom na kibernetske krize.
|
Komisija bo: –v prvi polovici leta 2017 v proučitev predložila načrt sodelovanja za obvladovanje kibernetskih incidentov velikih razsežnosti na ravni EU; –olajšala vzpostavitev „informacijskega središča“ za podporo pri izmenjavi informacij med organi EU in državami članicami; –vzpostavila svetovalno skupino za kibernetsko varnost na visoki ravni ter –dokončala oceno agencije ENISA do konca leta 2017. Taka ocena bo obravnavala potrebo po spremembi ali podaljšanju mandata agencije ENISA, pri čemer bi bil cilj čimprejšnja predložitev morebitnega predloga. |
2.2 Večja prizadevanja v izobraževanju, usposabljanju in vajah za kibernetsko varnost
Ustrezne spretnosti in usposobljenost, povezane tako s preprečevanjem incidentov v zvezi s kibernetsko varnostjo kot s spopadanjem z njimi in njihovim zmanjševanjem, so nekateri pomembni vidiki doseganja odpornosti pri kibernetski varnosti.
Agencija ENISA, Evropska skupina za usposabljanje in izobraževanje na področju kibernetske kriminalitete (ECTEG) v sodelovanju z Evropskim centrom za boj proti kibernetski kriminaliteti pri Europolu in Evropska policijska akademija (CEPOL) imajo zdaj pomembno vlogo pri podpori za krepitev zmogljivosti, vključno s kibernetsko forenziko, saj pripravljajo priročnike ter organizirajo usposabljanje in vaje na področju kibernetske varnosti.
Hkrati je kibernetski prostor področje, ki se hitro razvija in na katerem imajo pomembno vlogo zmogljivosti z dvojno rabo. Zato je treba razviti civilno-vojaško sodelovanje in sinergije na področju usposabljanja in vaj za izboljšanje odpornosti EU in njenih zmogljivosti odzivanja na incidente.
Kot odziv na to potrebo ter kot nadaljnje delo po sprejetju direktive VOI in okvira politike EU za kibernetsko obrambo 17 bodo službe Komisije sodelovale z državami članicami, Evropsko službo za zunanje delovanje (ESZD), agencijo ENISA in drugimi ustreznimi organi EU 18 , da bi vzpostavili platformo za izobraževanje, vaje in usposabljanje za kibernetsko varnost, ki bo spodbujala sinergije med civilnim in obrambnim usposabljanjem.
|
Komisija bo: –tesno sodelovala z državami članicami, agencijo ENISA, Evropsko službo za zunanje delovanje (ESZD) in drugimi ustreznimi organi EU, da bi vzpostavila platformo za usposabljanje za kibernetsko varnost. |
2.3 Obravnava medsektorskih soodvisnosti in odpornost ključne javne omrežne infrastrukture
Pomemben dejavnik pri ocenjevanju tveganja in učinka kibernetskega incidenta velikih razsežnosti je stopnja čezmejnih in medsektorskih soodvisnosti. Resen kibernetski incident v enem sektorju ali v eni državi članici ima lahko neposreden ali posreden učinek na druge sektorje ali države članice ali pa se lahko nanje razširi.
Čezmejno in medsektorsko sodelovanje olajša izmenjavo informacij in strokovnega znanja, s tem pa se povečata pripravljenost in odpornost. Komisija podpira delo v različnih sektorjih za boljše razumevanje medsebojnih odvisnosti z izvajanjem Evropskega programa za varovanje kritične infrastrukture 19 .
Hkrati je potreben pogoj za obravnavo medsektorskih tveganj zmožnost posameznega sektorja, da določi kibernetske incidente ter se nanje pripravi in odzove. Komisija bo ocenila tveganje kibernetskih incidentov, do katerih pride v zelo soodvisnih sektorjih znotraj in zunaj nacionalnih mej, zlasti v sektorjih, ki jih zajema direktiva VOI, pri čemer bo upoštevala tudi razvoj na mednarodni ravni 20 . Komisija bo po izvedbi ocene proučila, ali so za take kritične sektorje potrebna nadaljnja posebna pravila in/ali smernice za pripravljenost na kibernetska tveganja.
Na evropski ravni imajo lahko sektorski centri za izmenjavo in analizo informacij 21 (ISAC) in ustrezne skupine CSIRT pomembno vlogo pri pripravi in odzivanju na kibernetske incidente. Za zagotovitev učinkovitega pretoka informacij o spreminjajočih se nevarnostih in za olajšanje odziva na kibernetske incidente bi bilo treba centre ISAC spodbuditi, da se povežejo z mrežo CSIRT v skladu z direktivo VOI, z Evropskim centrom za boj proti kibernetski kriminaliteti, skupino CERT-EU in z ustreznimi organi kazenskega pregona.
Za izmenjavo informacij med deležniki in z organi v celotnem življenjskem ciklu kibernetskih tveganj je potrebno zaupanje udeležencev, da ne bodo imeli negativnih posledic. Komisija je seznanjena z več takimi pomisleki, zaradi katerih podjetja ne izmenjujejo pomembnih informacij o grožnjah, in sicer ne med seboj, med sektorji ali z organi, zlasti pa ne čez meje. Komisija si bo prizadevala za obravnavo in omilitev teh pomislekov, da bi se izboljšala izmenjava informacij o kibernetskih grožnjah.
Zaupanja vredni kanali poročanja, ki zagotavljajo zaupnost, so prav tako ključni za spodbujanje podjetij, da poročajo o kibernetskih krajah poslovnih skrivnosti. Evropski industriji in raziskovalnim organom bi se tako omogočilo spremljanje in ocenjevanje povzročene škode (posledica tega sta tudi izpad prodaje in izguba delovnih mest). To bi pomagalo tudi pri oblikovanju ustreznega odziva politike. Komisija bo s podporo agencije ENISA, Urada Evropske unije za intelektualno lastnino (EUIPO) in centra EC3 pri Europolu ter v dialogu z zasebnimi deležniki vzpostavila zaupanja vredne kanale za prostovoljno poročanje o kibernetskih krajah poslovnih skrivnosti. S tem bi se moralo omogočiti zbiranje anonimiziranih in zbirnih podatkov na ravni EU. Ti podatki se lahko izmenjujejo z državami članicami ter se uporabijo v diplomatskih prizadevanjih in ukrepih ozaveščanja za pomoč pri varovanju neopredmetenih sredstev Evropske unije pred kibernetskimi napadi.
Za podporo sektorski kibernetski varnosti bo Komisija spodbujala tudi vključevanje kibernetske varnosti v razvoj različnih sektorskih politik EU, pri katerih je ogrožena kibernetska varnost.
Nenazadnje imajo tudi javni organi svojo vlogo pri preverjanju celovitosti ključne internetne infrastrukture, da se odkrijejo težave, obvestijo odgovorni za ta omrežja in se po potrebi zagotovi pomoč pri odpravljanju znanih virov ranljivosti. Nacionalni regulativni organi bi lahko za izvajanje rednih pregledov javne omrežne infrastrukture uporabili zmogljivosti skupin CSIRT. Na podlagi tega bi lahko spodbudili izvajalce, naj odpravijo pomanjkljivosti ali vire ranljivosti, ugotovljene v takih pregledih.
Komisija bo zato proučila potrebne pravne in organizacijske pogoje, da bi se nacionalnim regulativnim organom v sodelovanju z nacionalnimi organi za kibernetsko varnost omogočilo, da od skupin CSIRT zahtevajo redno preverjanje ranljivosti javnih omrežnih infrastruktur. Nacionalne skupine CSIRT bi bilo treba spodbujati, da sodelujejo v mreži CSIRT glede najboljših praks spremljanja omrežij, s čimer bi se olajšalo preprečevanje incidentov velikih razsežnosti.
|
Komisija bo: –spodbujala vzpostavitev evropskega sodelovanja sektorskih centrov za izmenjavo in analizo informacij, podpirala njihovo sodelovanje s skupinami CSIRT in poskušala odpraviti ovire, ki udeležence na trgu odvračajo od izmenjave informacij; –proučila strateško/sistemsko tveganje, ki izhaja iz kibernetskih incidentov v zelo soodvisnih sektorjih znotraj in zunaj nacionalnih mej; –ocenila potrebo po dodatnih pravilih in/ali smernicah za pripravljenost na kibernetska tveganja za kritične sektorje in po potrebi proučila možnost za njihovo uvedbo; –z agencijo ENISA, uradom EUIPO in centrom EC3 vzpostavila zaupanja vredne kanale za prostovoljno poročanje o kibernetskih krajah poslovnih skrivnosti; –spodbujala vključevanje ukrepov kibernetske varnosti v evropske sektorske politike in –proučila potrebne pogoje, da nacionalni organi od skupin CSIRT lahko zahtevajo redno preverjanje ključnih omrežnih infrastruktur. |
3 Spoprijemanje z izzivi na evropskem enotnem trgu kibernetske varnosti
Evropa potrebuje visokokakovostne, cenovno dostopne in interoperabilne izdelke in rešitve kibernetske varnosti. Vendar je ponudba izdelkov in storitev za varnost IKT na enotnem trgu še vedno zelo geografsko razdrobljena. Po eni strani evropska podjetja zato težko konkurirajo na nacionalni, evropski in svetovni ravni, po drugi strani pa se s tem zmanjšuje izbira učinkovitih in uporabnih tehnologij kibernetske varnosti, do katerih imajo dostop državljani in podjetja 22 .
V Evropi se je industrija kibernetske varnosti v veliki meri razvila zaradi povpraševanja nacionalnih vlad, vključno z obrambnim sektorjem. Večina evropskih obrambnih podjetij je razvila oddelke za kibernetsko varnost 23 . Hkrati so se na specializiranih/nišnih trgih (npr. kriptografski sistemi) in na dobro uveljavljenih trgih pojavila številna inovativna mala in srednja podjetja z novimi poslovnimi modeli (npr. protivirusni programi).
Vendar imajo podjetja težave z rastjo zunaj svojega domačega, nacionalnega trga. V posvetovanjih, ki jih izvaja Komisija, se je jasno pokazalo, da je bistveni dejavnik za to pomanjkanje zaupanja v „čezmejne“ rešitve 24 . Posledično se velik del javnega naročanja še vedno izvaja v zadevni državi članici, mnoga podjetja pa imajo težave pri doseganju ekonomije obsega, ki bi jim omogočila večjo konkurenčnost na notranjem trgu in na svetovni ravni.
Pomanjkanje interoperabilnih rešitev (tehnični standardi), praks (postopkovni standardi) in mehanizmov certificiranja na ravni celotne EU spadajo med druge pomanjkljivosti, ki vplivajo na enotni trg kibernetske varnosti. Pri tem je bila kibernetska varnost opredeljena kot ena od prednostnih nalog na področju standardizacije IKT za enotni digitalni trg 25 .
Posledica omejenih možnosti za rast podjetij za kibernetsko varnost na enotnem trgu so številne združitve in prevzemi s strani neevropskih vlagateljev 26 . Tako gibanje sicer dokazuje inovacijske zmogljivosti evropskih podjetnikov na področju kibernetske varnosti, vendar obstaja tudi tveganje, da pride do izgube evropskega tehničnega in strokovnega znanja in izkušenj ter do bega možganov.
Nujni so ukrepi za spodbujanje bolj povezanega enotnega trga za izdelke in storitve kibernetske varnosti, ki bo olajšal uvedbo bolj praktičnih in cenovno dostopnih rešitev.
Ovire, ki preprečujejo zaupanje med predstavniki evropske industrije in institucij, je mogoče premostiti s spodbujanjem sodelovanja na zgodnji stopnji inovacijskega življenjskega cikla, tj. v sami industriji kibernetske varnosti, med dobavitelji in kupci, ter tudi na medsektorski ravni, kar vključuje industrije, ki so že ali pa bodo verjetno postale stranke rešitev kibernetske varnosti.
Poleg tega je v Evropi vse pomembnejši razvoj izdelkov, storitev in tehnologij z dvojno rabo. Vse več rešitev se prenaša s civilnega na obrambni trg 27 . Komisija namerava v prihodnjem evropskem obrambnem akcijskem načrtu določiti ukrepe za nadaljnje spodbujanje civilno-vojaških sinergij na evropski ravni.
3.1 Certificiranje in označevanje
Certificiranje ima pomembno vlogo pri krepitvi zaupanja v izdelke in storitve ter njihove varnosti. To velja tudi za nove sisteme, ki obsežno uporabljajo digitalne tehnologije in zahtevajo visoko raven varnosti, kot so povezani in avtomatizirani avtomobili, elektronsko zdravje, nadzorni sistemi industrijske avtomatizacije (IACS) ali pametna omrežja.
Oblikujejo se nacionalne pobude za določitev zahtev o kibernetski varnosti visoke ravni za sestavne dele IKT v tradicionalni infrastrukturi, vključno s certifikacijskimi zahtevami. Te so sicer pomembne, vendar pomenijo tudi tveganje, da bi lahko prišlo do razdrobljenosti enotnega trga in težav z interoperabilnostjo. Učinkoviti sistemi varnostnega certificiranja za izdelke IKT so vzpostavljeni samo v nekaj državah članicah 28 . Zato se lahko zgodi, da mora ponudnik IKT opraviti več certifikacijskih postopkov, da bi prodajal v več državah članicah. V najslabšem primeru izdelka ali storitve IKT, ki je oblikovana za izpolnjevanje zahtev kibernetske varnosti v eni državi članici, ne bo mogoče dati na trg v drugi državi članici.
Za vzpostavitev delujočega enotnega trga kibernetske varnosti bi morebiten okvir za varnostno certificiranje izdelkov in storitev IKT moral biti usmerjen v naslednje cilje: (i) zajeti celo vrsto sistemov, izdelkov in storitev IKT, (ii) zagotoviti uporabo v vseh 28 državah članicah in (iii) obravnavati vse ravni kibernetske varnosti, pri čemer bi moral upoštevati tudi razvoj na mednarodni ravni.
Komisija bo v ta namen ustanovila delovno skupino, ki bo pristojna za varnostno certificiranje izdelkov in storitev IKT ter jo bodo sestavljali strokovnjaki iz držav članic in industrije. Njen cilj bo v sodelovanju z agencijo ENISA in Skupnim raziskovalnim središčem do konca leta 2016 pripraviti načrt za proučitev možnosti, da se do konca leta 2017 oblikuje predlog o takem evropskem okviru varnostnega certificiranja za IKT. Pri tem bo Komisija proučila tudi Uredbo (ES) št. 2008/765 in določbe o certificiranju iz Splošne uredbe o varstvu podatkov 2016/679 29 .
Ta postopek bo vključeval obširna posvetovanja in oceno učinka. Komisiji bo to omogočilo proučitev različnih možnosti za oblikovanje certifikacijskega okvira za izdelke in storitve IKT. Komisija bo proučila tudi varnostno certificiranje IKT v infrastrukturnih sektorjih (npr. v letalskem, železniškem in avtomobilskem sektorju) ter v posebnih mehanizmih certificiranja in potrjevanja tehnologije, pripravljene za uporabo (npr. kibernetska varnost nadzornih sistemov industrijske avtomatizacije 30 , internet stvari, oblak). Obravnavala bo tudi ugotovljene pomanjkljivosti pri prej navedenem evropskem sistemu varnostnega certificiranja za IKT.
Prizadevanja za certificiranje bodo v čim večji meri temeljila na mednarodno priznanih standardih in se razvijala v sodelovanju z mednarodnimi partnerji.
Komisija bo proučila tudi možnosti pri tem, kako najbolje vključiti varnostno certificiranje IKT v prihodnjo sektorsko zakonodajo, prav tako povezano z varnostnimi vidiki.
Poleg možnih regulativnih možnosti bo Komisija proučila tudi uvedbo evropskega, komercialno usmerjenega, prostovoljnega in preprostega sistema označevanja za varnost izdelkov IKT. Kot dopolnitev certificiranja si bo prizadevala za povečanje berljivosti kibernetske varnosti pri komercialnih izdelkih, da bi se povečala njihova konkurenčnost na enotnem trgu in na svetovni ravni. Ustrezno bo upoštevala sedanje sektorske in horizontalne pobude industrije, in sicer na strani ponudbe in povpraševanja.
Javne uprave bodo tesno sodelovale, da bi omogočile uporabo splošnih specifikacij in sklicev na certificiranje v javnem naročanju. Komisija bo prav tako spremljala uporabo ustreznih certifikacijskih zahtev v javnem naročanju na nacionalni ravni, zlasti za sektorske sisteme (energetika, promet, zdravstvo, javna uprava itd.), in o tem poročala.
|
Komisija bo: –do konca leta 2016 pripravila načrt za morebitno predložitev predloga evropskega okvira varnostnega certificiranja za IKT do konca leta 2017 ter ocenila izvedljivost in učinek evropskega okvira preprostega označevanja kibernetski varnosti; –proučila potrebo po varnostnem certificiranju IKT v obstoječih sektorskih mehanizmih certificiranja/potrjevanja in se po potrebi lotila pomanjkljivosti; –po potrebi uvedla vključevanje varnostnega certificiranja izdelkov IKT v prihodnje sektorske zakonodajne predloge; –spodbujala sodelovanje javnih uprav, da se olajša uporaba certificiranja in splošnih specifikacij v javnem naročanju, ter –spremljala uporabo ustreznih certifikacijskih zahtev v javnem in poslovnem naročanju ter čez tri leta poročala o stanju na trgu. |
3.2 Več naložb v kibernetsko varnost v Evropi in večja podpora malim in srednjim podjetjem
Inovacije v sektorju kibernetske varnosti v Evropi so v razmahu, vendar kultura vlaganja v kibernetsko varnost v EU še vedno ni dovolj razvita. Na tem področju je mnogo inovativnih malih in srednjih podjetij, ki pa pogosto ne zmorejo povečati obsega poslovanja. Razlog za to je med drugim pomanjkanje preprosto dostopnih finančnih sredstev, ki bi jim pomagala v zgodnjih fazah razvoja. Poleg tega imajo podjetja v Evropi omejen dostop do tveganega kapitala in nezadostna razpoložljiva sredstva za trženje, da bi si izboljšala prepoznavnost, ali upoštevanje različnih sklopov zahtev pri standardizaciji in predpisih.
Hkrati je sodelovanje med akterji na področju kibernetske varnosti še precej neizoblikovano ter za povečanje gospodarske koncentracije in razvoj novih vrednostnih verig 31 so potrebna nadaljnja prizadevanja.
Za okrepitev naložb v kibernetsko varnost v Evropi in za podporo malim in srednjim podjetjem je treba olajšati dostop do finančnih sredstev. Podpora mora biti na voljo tudi za razvoj svetovno konkurenčnih grozdov za kibernetsko varnost in centrov odličnosti v ugodnih regionalnih ekosistemih za digitalno rast. To podporo je treba povezati z izvajanjem strategij pametne specializacije in drugih instrumentov EU, da jih bo lahko industrija kibernetske varnosti v Evropi bolje izkoristila.
Pristop Komisije bo čim bolj ozaveščati skupnost kibernetske varnosti o možnostih financiranja na evropski, nacionalni in regionalni ravni (v povezavi s horizontalnimi instrumenti in posebnimi razpisi 32 ), in sicer z obstoječimi instrumenti in kanali, kot je evropska podjetniška mreža.
Komisija bo ta prizadevanja dopolnila, tako da bo z Evropsko investicijsko banko in Evropskim investicijskim skladom proučila načine za lažji dostop do finančnih sredstev. To financiranje je lahko v obliki naložb v kapital ali navidezni lastniški kapital, posojil, jamstev za projekte ali osebnih posrednih jamstev za posrednike, npr. z ustanovitvijo platforme za naložbe v kibernetsko varnost v Evropskem skladu za strateške naložbe 33 .
Poleg tega bo Komisija proučila tudi možnost, da z zainteresiranimi državami članicami in regijami razvije platformo pametne specializacije za kibernetsko varnost 34 . To bi pomagalo pri usklajevanju in načrtovanju strategij kibernetske varnosti ter vzpostavljanju strateškega sodelovanja med zainteresiranimi stranmi v regionalnih ekosistemih. Ta pristop bi moral prispevati tudi k sprostitvi potenciala obstoječih strukturnih in investicijskih skladov za sektor kibernetske varnosti.
Bolj na splošno bo Komisija spodbujala pristop vgrajene varnosti. Prizadevala si bo za dosledno obravnavo zahtev kibernetske varnosti v vseh velikih infrastrukturnih naložbah, ki imajo digitalni element in se sofinancirajo iz evropskih skladov. To bo izvedla s postopnim uvajanjem zadevnih zahtev v pravila za javno naročanje in programe.
|
Komisija bo: –uporabila obstoječa orodja za podporo malim in srednjim podjetjem za ozaveščanje skupnosti kibernetske varnosti o obstoječih mehanizmih financiranja; –nadalje pospeševala uporabo orodij in instrumentov EU za podporo inovativnim malim in srednjim podjetjem pri iskanju sinergij med civilnim in obrambnim trgom na področju kibernetske varnosti 35 ; –z Evropsko investicijsko banko in Evropskim investicijskim skladom proučila izvedljivost lažjega dostopa do finančnih sredstev, npr. prek namenske platforme za naložbe v kibernetsko varnost ali drugih orodij; –razvila platformo pametne specializacije za kibernetsko varnost, ki bo pomagala državam članicam in regijam, zainteresiranim za naložbe v sektor kibernetske varnosti (RIS3), ter –spodbujala pristop vgrajene varnosti v velikih infrastrukturnih naložbah, ki imajo digitalni element in se sofinancirajo iz skladov EU. |
4 Spodbujanje in skrb za evropsko industrijo kibernetske varnosti z inovacijami – vzpostavitev pogodbenega javno-zasebnega partnerstva za kibernetsko varnost
Za spodbujanje konkurenčnosti in inovacij v evropski industriji kibernetske varnosti bo podpisano pogodbeno javno-zasebno partnerstvo za kibernetsko varnost. V tem pogodbenem javno-zasebnem partnerstvu se bodo zbirala industrijska in javna sredstva za dosego odličnosti v raziskavah in inovacijah.
Namen pogodbenega javno-zasebnega partnerstva je krepitev zaupanja med državami članicami in industrijo s spodbujanjem sodelovanja na zgodnjih stopnjah raziskovalnega in inovacijskega procesa. Njegov cilj je tudi prilagoditi sektorja ponudbe in povpraševanja. Industriji bi se tako omogočilo, da od končnih uporabnikov in sektorjev, ki so pomembne stranke kibernetskovarnostnih rešitev (npr. energetika, zdravstvo, promet in finance), pridobi prihodnje zahteve. Partnerstvo bo olajšalo njihovo udeležbo pri opredelitvi skupnih zahtev za digitalno varnost ter varstvo zasebnosti in podatkov za njihove sektorje.
Pogodbeno javno-zasebno partnerstvo za kibernetsko varnost bo pripomoglo tudi k čim boljši uporabi razpoložljivih sredstev. To se bo mogoče predvsem z boljšim usklajevanjem z državami članicami. Poleg tega bo večja pozornost namenjena nekaterim tehničnim prednostnim nalogam za pomoč industriji kibernetske varnosti pri razvoju prelomnih tehnologij in obvladovanju prihodnjih ključnih tehnologij kibernetske varnosti. Pri tem lahko razvoj odprtokodne programske opreme in odprtih standardov pomaga krepiti zaupanje, preglednost in prebojne inovacije, zato bi prav tako moral biti del naložb v okviru tega pogodbenega javno-zasebnega partnerstva.
Delo, opravljeno na podlagi pogodbenega javno-zasebnega partnerstva za kibernetsko varnost, bo prav tako imelo koristi od sinergij z drugimi evropskimi projekti, zlasti kadar ti obravnavajo varnostne vidike. Ti vključujejo tovarne prihodnosti, energetsko učinkovite stavbe, javno-zasebna partnerstva za infrastrukturo 5G in velepodatke 36 , druga sektorska javno-zasebna partnerstva 37 ter pobudo o internetu stvari 38 . Poleg tega bosta tesno medsebojno prilagajanje spodbujala evropski oblak za odprto znanost in evropska pobuda o superračunalništvu za kvantne kibernetske tehnologije (npr. inovacije v distribuciji kvantnih ključev).
Pogodbeno javno-zasebno partnerstvo za kibernetsko varnost se je začelo izvajati z okvirnim programom za raziskave in inovacije Obzorje 2020 39 za obdobje 2014–2020. Partnerstvo bo omogočilo financiranjem z vzvodom iz dveh stebrov programa, in sicer vodstva na področju omogočitvenih in industrijskih tehnologij (LEIT-ICT) in družbenih izzivov – varne družbe (SC7). Skupni proračun pogodbenega javno-zasebnega partnerstva bo znašal do 450 milijonov EUR s faktorjem vzvoda 3 na strani industrije. Kibernetsko varnost je treba obravnavati in usklajevati tudi z drugimi pomembnimi deli programa Obzorje 2020 (npr. družbeni izzivi v energetiki, prometu in zdravstvu ter del programa Obzorje 2020 o odličnosti). To bo prispevalo k ciljem pogodbenega javno-zasebnega partnerstva za kibernetsko varnost. Usklajevanje bi moralo potekati tudi predhodno na stopnji oblikovanja sektorskih strategij.
Pogodbeno javno-zasebno partnerstvo se bo izvajalo pregledno z odprtim in prožnim upravljanjem, prilagojenim okolju kibernetske varnosti, ki se hitro spreminja. Upoštevalo bo potrebe držav članic po razpravi o tem, kako spremembe v tehnologiji vplivajo na varno delovanje nacionalnih in čezmejnih infrastruktur. Prav tako morajo biti dosežki partnerstva trajni več let, da se zagotovi izpolnitev njegovih ciljev.
Pogodbeno javno-zasebno partnerstvo bo podpirala tudi Evropska organizacija za kibernetsko varnost (ECSO), katere članstvo bo izražalo raznovrstnost trga kibernetske varnosti v Evropi. Vključevalo bo tudi nacionalne, regionalne in lokalne javne uprave, raziskovalne centre, akademski svet in druge zainteresirane strani.
|
Komisija bo: –s predstavniki industrije podpisala pogodbeno javno-zasebno partnerstvo za kibernetsko varnost, da bo lahko začelo delovati v tretjem četrtletju leta 2016; –objavila razpise za zbiranje predlogov v programu Obzorje 2020 v zvezi s pogodbenim javno-zasebnim partnerstvom za kibernetsko varnost v prvem četrtletju leta 2017 in –skrbela za usklajevanje pogodbenega javno-zasebnega partnerstva za kibernetsko varnost z ustreznimi sektorskimi strategijami, instrumenti programa Obzorje 2020 in sektorskimi javno-zasebnimi partnerstvi. |
5 Sklep
V tem sporočilu so predstavljeni ukrepi za krepitev odpornosti evropskega sistema kibernetske varnosti ter spodbujanje konkurenčne in inovativne industrije kibernetske varnosti v Evropi, kakor je bilo napovedano v strategiji za kibernetsko varnost EU in strategiji za enotni digitalni trg za Evropo. Komisija poziva Evropski parlament in Svet, da podpreta ta pristop.
Neto izgube: ocena globalnih stroškov zaradi kibernetske kriminalitete; Gospodarski vpliv kibernetske kriminalitete II; Center za strateške in mednarodne študije (Net Losses: Estimating the Global Cost of Cybercrime Economic impact of cybercrime II; Center for Strategic and International Studies); junij 2014.
JOIN(2013) 1.
COM(2013) 48.
JOIN(2016) 18.
COM(2016) 230.
Glej SWD(2016) 216.
COM(2015) 192.
Glej SWD(2016) 216.
V skladu z direktivo VOI bodo morale države članice opredeliti vrsto izvajalcev bistvenih storitev na področjih, kot so energetika, promet, finance in zdravstvo, da bi obravnavali tveganja pri kibernetski varnosti in zagotovili, da bi ob njih nekateri ponudniki digitalnih storitev ustrezno ukrepali.
Glej SWD(2016) 216.
Glej na primer poročilo Agencije Evropske unije za varnost omrežij in informacij o splošnih praksah kriznega upravljanja na ravni EU in o njihovi uporabnosti za kibernetske krize iz aprila 2016 (ENISA Report: Common practices of EU-level crisis management and applicability to cyber crises).
Glej SWD(2016) 216.
Zlasti enotne ureditve za politično odzivanje na krize, vključno s Sklepom o načinu izvajanja solidarnostne klavzule s strani Unije (z dne 24. julija 2014) in postopkom odločanja v skupni varnostni in obrambni politiki.
Za strokovne skupine Komisije veljajo horizontalna pravila, uvedena s Sklepom Komisije C(2016)3301 .
Npr. platforma VOI, pogodbeno javno-zasebno partnerstvo za kibernetsko varnost in sektorske platforme, kot je platforma strokovne skupine za kibernetsko varnost na področju energetike (EECSP). Povezana bi morala biti tudi z okroglo mizo na visoki ravni iz Sporočila o digitalizaciji evropske industrije COM(2016) 180.
Uredba (EU) št. 526/2013 o razveljavitvi Uredbe (ES) št. 460/2004.
Dokument št. 15585/14, ki ga je Svet Evropske unije za zunanje zadeve sprejel 18. novembra 2014.
Kot so Evropska akademija za varnost in obrambo, EC3, CEPOL in Evropska obrambna agencija.
SWD(2013) 318.
Na primer načrt za kibernetsko varnost, ki ga je sprejela Evropska agencija za varnost v letalstvu, načrt za kibernetsko varnost, delo Mednarodne organizacije civilnega letalstva in Mednarodne pomorske organizacije.
Glej npr. ISAC za evropski energetski sektor ( http://www.ee-isac.eu ).
Glej SWD(2016) 216.
Glej SWD(2016) 216.
Glej SWD(2016) 215.
COM(2016) 176/2.
Glej SWD(2016) 216.
Leta 2013 je izvoz na področju dvojne rabe že znašal okoli 20 % celotnega izvoza EU (po vrednosti). To vključuje tudi trgovino v EU.
Glej dokument SWD(2016) 216 v zvezi s sporazumom odbora visokih uradnikov za informacijske sisteme (Sklep Sveta z dne 31. marca 1992 (92/242/EGS)) in druge obstoječe sheme, npr. Commercial Product Assurance v Združenem kraljestvu in Certification Sécuritaire de Premier Niveau v Franciji.
Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov določa kodekse ravnanja za pravilno uporabo pravil o varstvu podatkov in mehanizme potrjevanja, ki zajemajo vsa načela varstva podatkov, zlasti varstva podatkov pri obdelavi osebnih podatkov.
Glej tematsko skupino Evropske referenčne mreže za varovanje ključne infrastrukture (ERNCIP) o „Kibernetski varnosti industrijskih nadzornih sistemov“ (Cyber security of Industrial Control Systems) na voljo na https://erncip-project.jrc.ec.europa.eu/download-area/category/16-case-studies-for-industrial-automation-and-control-systems .
Glej SWD(2016) 216.
Glej npr. večsektorski razpis za zbiranje predlogov za leto 2016 v programu Instrument za povezovanje Evrope, razpisi COSMO za leto 2016, povezani s programom internacionalizacije grozdov.
V okviru Evropskega sklada za strateške naložbe je mogoče posamezne projekte podpreti neposredno ali posredno prek naložbenih platform. Take platforme lahko prispevajo k financiranju manjših projektov in združevanju sredstev iz različnih virov, kar bi omogočilo bolj razvejene naložbe z geografsko ali tematsko usmeritvijo.
Glej instrumente pametne specializacije (RIS3): http://s3platform.jrc.ec.europa.eu/ .
Evropska podjetniška mreža in evropska mreža regij, povezanih z obrambo, bosta na primer ustvarili nove možnosti za regije, da proučijo čezmejno sodelovanje na področju dvojne rabe, vključno s kibernetsko varnostjo, ter za mala in srednja podjetja, da sodelujejo pri vzpostavljanju stikov.
Javno-zasebno partnerstvo za infrastrukturo 5G in javno-zasebno partnerstvo za vrednost velepodatkov.
Na primer javno-zasebno partnerstvo skupnega podjetja SESAR ali skupnega podjetja Shift2Rail.
Zveza za inovacije na področju interneta stvari (AIOTI).
http://ec.europa.eu/programmes/horizon2020/en/official-documents .