Accept Refuse

EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32017H1584

Препоръка (ЕС) 2017/1584 на Комисията от 13 септември 2017 година относно координирана реакция на мащабни киберинциденти и кризи

C/2017/6100

OJ L 239, 19.9.2017, p. 36–58 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

ELI: http://data.europa.eu/eli/reco/2017/1584/oj

19.9.2017   

BG

Официален вестник на Европейския съюз

L 239/36


ПРЕПОРЪКА (ЕС) 2017/1584 НА КОМИСИЯТА

от 13 септември 2017 година

относно координирана реакция на мащабни киберинциденти и кризи

ЕВРОПЕЙСКАТА КОМИСИЯ,

като взе предвид Договора за функционирането на Европейския съюз, и по-специално член 292 от него,

като има предвид, че:

(1)

Всички сектори на икономиката използват и се осланят на информационните и комуникационните технологии като съществен компонент на дейността си, тъй като предприятията и гражданите ни са повече от всякога тясно свързани и взаимозависими отвъд сектора и териториалните граници. Инцидент в сферата на киберсигурността, който засяга организации в повече от една държава членка или дори целия Съюз и предизвиква потенциални сериозни смущения във вътрешния пазар и като цяло в мрежите и информационните системи, на които разчитат икономиката на Съюза, демокрацията и цялото ни общество — това е сценарий, за който държавите членки и институциите на ЕС трябва да са добре подготвени.

(2)

Даден киберинцидент може да се счита за криза на равнището на Съюза, когато предизвиканите от него смущения са прекалено мащабни, за да може засегнатата държава членка да се справи сама с тях, или когато техническите или политическите последици за две или повече държави членки са толкова значителни, че изискват своевременна координация и реакция на политическо равнище от Съюза.

(3)

Киберинцидентите могат да предизвикат по-широка криза и да засегнат сектори на дейност далеч извън рамките на мрежовите и информационните системи и съобщителните мрежи; адекватната реакция на подобни инциденти трябва да се опира на дейности за смекчаване на въздействието както в кибернетичното пространство, така и извън него.

(4)

Киберинцидентите са непредвидими, често възникват внезапно и се развиват в много кратък период от време, поради което засегнатите от тях, както и отговорните за реакцията и смекчаването на последиците от инцидента трябва да координират бързо ответните си действия. Освен това киберинцидентите често не се ограничават в определен географски район и могат да възникнат едновременно или да се разпространят мигновено в много държави.

(5)

За адекватен отговор на мащабни киберинциденти и кризи на равнището на ЕС се изисква бързо и ефективно сътрудничество между всички заинтересовани, като се разчита на готовността и капацитета на отделните държави, както и на координирани съвместни действия, подпомагани от възможностите на Съюза. Своевременната и ефективна реакция в случай на инциденти се основава на предварително установени и по възможност отработени процедури за сътрудничество и механизми, в които ясно са определени ролите и задълженията на всички ключови участници на национално равнище и на равнището на Съюза.

(6)

В заключенията (1) си относно защитата на критичната инфраструктура от 27 май 2011 г. Съветът прикани държавите членки „да засилят сътрудничеството между държавите членки и въз основа на националните резултати и опит при управлението на кризи, както и в сътрудничество с ENISA, да допринасят за разработването на европейски механизми за сътрудничество при кибернетични инциденти, които да бъдат изпробвани по време на следващото учение „CyberEurope“ през 2012 г.“.

(7)

Съобщението от 2016 г. „Укрепване на отбранителната способност на Европа срещу кибератаки и изграждане на конкурентeн и иновативeн сектор на киберсигурността“ (2) насърчава държавите членки да се възползват в максимална степен от механизмите за сътрудничество, предвидени в Директивата за МИС (3), и да укрепват трансграничното сътрудничество, свързано с готовността за реакция на мащабни киберинциденти. В него се допълва, че координираният подход към сътрудничеството при кризи в различните елементи на кибернетичната екосистема ще бъде формулиран в концепция, което ще повиши готовността, и че тази концепция има за цел постигането на синергии и съгласуваност със съществуващите механизми за управление на кризи.

(8)

В заключенията на Съвета (4) по горепосоченото съобщение държавите членки призоваха Комисията да представи такава концепция за разглеждане от органите и другите заинтересовани страни. В Директивата за МИС обаче не се предвижда механизъм за сътрудничество на равнище ЕС в случай на мащабни киберинциденти и кризи.

(9)

За консултации с държавите членки Комисията проведе два отделни семинара в Брюксел на 5 април и 4 юли 2017 г. В тях участваха представители на държавите членки от екипите за реагиране при инциденти с компютърната сигурност (CSIRT), групата за сътрудничество, създадена съгласно Директивата за МИС, и хоризонталната работна група по въпроси, свързани с кибернетичното пространство на Съвета, както и представители на Европейската служба за външна дейност (ЕСВД), ENISA, EC3 (European Cybercrime Centre) към Европол и генералния секретариат на Съвета (ГСС).

(10)

Представената концепция за координирана реакция на мащабни киберинциденти и кризи на равнището на Съюза, приложена към настоящата препоръка, е резултат от гореспоменатите консултации и допълва съобщението „Укрепване на отбранителната способност на Европа срещу кибератаки и изграждане на конкурентeн и иновативeн сектор на киберсигурността“.

(11)

Концепцията описва и определя целите и начините на сътрудничество между държавите членки и институциите, органите, службите и агенциите на ЕС (по-долу за краткост „институциите на ЕС“) при реакцията на мащабни киберинциденти и кризи, както и начина, по който съществуващите механизми за управление на кризи могат да използват пълноценно съществуващите структури в областта на киберсигурността на равнището на ЕС.

(12)

При отговор на криза в областта на киберсигурността по смисъла на съображение 2 координирането на реакцията на ЕС на политическо равнище в Съвета ще бъде въз основа на Интегрираните договорености за реакция на политическо равнище в кризисни ситуации (IPCR) (5); Комисията ще използва процеса ARGUS (6) за многосекторна координация на кризи на високо равнище. Ако кризата засяга важно измерение на външната дейност или общата политика за сигурност и отбрана (ОПСО), ще бъде активиран Механизмът за реакция при кризи (CRM) (6) на Европейската служба за външна дейност (ЕСВД).

(13)

В някои секторни механизми за управление на кризи на равнището на ЕС се предвижда сътрудничество в случай на киберинциденти или кризи. Например в рамките на Европейската глобална навигационна спътникова система (ГНСС) с Решение 2014/496/ОВППС на Съвета (7) вече са определени съответните роли на Съвета, върховния представител, Комисията, Европейската агенция за ГНСС и държавите членки по веригата на оперативните отговорности, създадена с цел да се реагира на заплахите към Съюза, държавите членки или ГНСС, включително в случай на кибератаки. Ето защо настоящата препоръка следва да не засяга тези механизми.

(14)

Държавите членки носят основната отговорност за реакция при мащабни киберинциденти или кризи, които ги засягат. Комисията, Върховният представител и другите институции или служби обаче имат важна роля, произтичаща от законодателството на Съюза или от факта, че киберинцидентите и кризите могат да окажат въздействие върху всички сфери на икономическа дейност в рамките на единния пазар, върху сигурността и международните отношения на Съюза, както и върху самите институции.

(15)

На равнището на Съюза основните участници в реакцията на кризите в областта на киберсигурността са новосъздадените структури и механизми съгласно Директивата за МИС, а именно мрежата на екипите за реагиране при инциденти с компютърната сигурност (CSIRT), както и съответните агенции и органи, като Агенцията на Европейския съюз за мрежова и информационна сигурност (ENISA), Европейския център за борба с киберпрестъпността към Европол (EC3 към Европол), Центъра на ЕС за анализ на информация (INTCEN), Дирекция „Разузнаване“ към Военния секретариат на ЕС (EUMS INT) и Ситуационния център (SITROOM), които работят съвместно в рамките на единното звено за анализ на разузнавателна информация (SIAC) на ЕС, звеното на ЕС за синтез на информацията за хибридните заплахи (разположено в INTCEN), екипа за незабавно реагиране при компютърни инциденти за институциите, органите и агенциите на ЕС (CERT-EU) и Координационния център за реагиране при извънредни ситуации на Европейската комисия.

(16)

Сътрудничеството между държавите членки при реагирането на киберинциденти на техническо равнище се осигурява от мрежата на CSIRT, създадена с Директивата за МИС. ENISA осигурява секретариата за мрежата и активно подпомага сътрудничеството между отделните екипи. Националните CSIRT и CERT-EU си сътрудничат и обменят информация доброволно, включително при необходимост в отговор на киберинциденти, засягащи една или повече държави членки. По искане на представител на CSIRT от държава членка те могат да обсъждат и при възможност да набелязват координирана реакция на инцидент, констатиран в рамките на юрисдикцията на същата държава членка. Съответните действия ще бъдат посочени в стандартните оперативни процедури (СОП) на мрежата на CSIRT (8).

(17)

Мрежата на CSIRT също така е натоварена със задачите за обсъждане, проучване и набелязване на допълнителни форми на оперативно сътрудничество, включително по отношение на категории рискове и инциденти, ранно предупреждение, взаимопомощ, принципи и условия за координация, когато държавите членки реагират на трансгранични рискове и инциденти.

(18)

Групата за сътрудничество, създадена съгласно член 11 от Директивата за МИС, е натоварена с осигуряването на стратегически насоки за дейностите на мрежата на CSIRT и обсъждане на възможностите и подготвеността на държавите членки, а на доброволна основа — и с оценката на националните стратегии за сигурност на мрежовите и информационните системи и ефективността на CSIRT, както и с определянето на най-добри практики.

(19)

Специално работно направление в групата за сътрудничество подготвя насоки за уведомяване при инциденти, в съответствие с член 14, параграф 7 от Директивата за МИС, изясняващи обстоятелствата, при които от операторите на основни услуги се изисква да уведомяват за инциденти по член 14, параграф 3, и формата и процедурата за такова уведомяване (9).

(20)

Жизненоважни за вземането на информирани решения са придобитите от доклади, оценки, изследователска дейност, разследвания и анализи осведоменост и разбиране за ситуацията в реално време по отношение на степента на излагане на риск и заплахите. Тази „ситуационна осведоменост“ на всички заинтересовани страни е от съществено значение за ефективната и координирана реакция. Ситуационната осведоменост включва елементи, свързани с причините, както и с въздействието и източника на инцидента. Отчита се фактът, че това зависи от обмена и споделянето на информация между засегнатите страни в подходящ формат, като се използва обща таксономия за описване на инцидента и това се прави по достатъчно сигурен начин.

(21)

Реакцията на киберинциденти може да има много форми — от определяне на технически мерки, предполагащи съвместно разследване на техническите причини за инцидента от две или повече организации (напр. анализ на зловреден софтуер) или определяне на начините, по които организациите да установяват дали са били засегнати (напр. показатели за компрометиране на системите), до оперативни решения за прилагането на такива мерки, а на политическо равнище — решения относно използването на други инструменти, като например механизма за съвместен отговор на злонамерени кибернетични дейности (10) или оперативния протокол на ЕС за борбата с хибридните заплахи (11), в зависимост от инцидента.

(22)

Доверието на граждани и предприятия в цифровите услуги е от съществено значение за разцвета на цифровия единен пазар. Ето защо комуникацията при кризи играе особено важна роля в смекчаването на отрицателните въздействия на киберинцидентите и кризите. Комуникацията може да се използва и в контекста на Рамката за съвместен дипломатически отговор като средство за повлияване на поведението на (потенциалните) агресори от трети държави. Съгласуваното представяне пред обществеността с цел смекчаване на отрицателните последици от киберинцидентите и кризите и упражняване на въздействие върху агресора е особено важно за ефективността на политическата реакция.

(23)

Осигуряването на информация за обществеността относно начините за ограничаване на щетите от инцидента на равнище потребител и организация (например чрез актуализация на софтуера или предприемане на допълнителни действия за избягване на заплахата и др.) може да бъде ефективна мярка за смекчаване на последиците от мащабен киберинцидент или криза.

(24)

Чрез своята инфраструктура за цифрови услуги в областта на киберсигурността от Механизма за свързване на Европа (МСЕ) Комисията разработва механизъм за сътрудничество, наречен „платформа за основни услуги“ и известен като MeliCERTes, между CSIRT на участващите държави членки, за да се подобри нивото на тяхната готовност, сътрудничество и реакция на нововъзникващи киберзаплахи и инциденти. Чрез конкурентни покани за предложения с цел получаване на безвъзмездни средства от Механизма за свързване на Европа Комисията съфинансира CSIRT на държавите членки с оглед на подобряването на оперативния капацитет на национално равнище.

(25)

Ученията по киберсигурност на равнище ЕС са особено важни за стимулиране и подобряване на сътрудничеството между държавите членки и частния сектор. За тази цел от 2010 г. насам ENISA организира редовни общоевропейски учения за действия при киберинциденти („Cyber Europe“).

(26)

В заключенията на Съвета (12) относно прилагането на Съвместната декларация на председателите на Европейския съвет и Европейската комисия и на генералния секретар на НАТО се призовава за засилване на сътрудничеството в областта на кибернетичните учения чрез реципрочно участие на персонала в съответните учения, включително по-специално в „Cyber Coalition“ и „Cyber Europe“.

(27)

Постоянно развиващата се ситуация на заплахи и неотдавнашните киберинциденти показват, че Съюзът е изправен пред нарастващ риск и държавите членки следва незабавно да предприемат действия по настоящата препоръка, и във всички случаи не по-късно от края на 2018 г.,

ПРИЕ НАСТОЯЩАТА ПРЕПОРЪКА:

1)

Държавите членки и институциите на ЕС следва да създадат Механизъм на ЕС за реакция при кризи в областта на киберсигурността, който да включва целите и условията за сътрудничество, представени в концепцията, в съгласие с описаните в нея ръководни принципи.

2)

Механизмът на ЕС за реакция при кризи в областта на киберсигурността следва по-специално да определи съответните участници, институциите на ЕС и органите на държавите членки, на всички необходими равнища — техническо, оперативно и стратегическо/политическо, и да разработи при необходимост стандартни оперативни процедури, които определят начина за сътрудничество между тези участници в контекста на механизмите на ЕС за управление на кризи. Следва да се отдели особено внимание на обмена на информация без неоправдано забавяне и координирането на реакцията при мащабни киберинциденти и кризи.

3)

За целта компетентните органи на държавите членки следва да работят заедно за доуточняване на обмена на информация и протоколите за сътрудничество. Групата за сътрудничество следва да обменя опит по тези въпроси със съответните институции на ЕС.

4)

Държавите членки следва да гарантират, че техните национални механизми за управление на кризи осигуряват адекватна реакция при киберинциденти, както и да предвидят необходимите процедури за сътрудничество на равнище ЕС по силата на механизма за реакция при кризи в областта на киберсигурността.

5)

Що се отнася до съществуващите механизми на ЕС за управление на кризи, в съответствие с концепцията държавите членки, заедно със службите на Комисията и ЕСВД, следва да съставят насоки за практическо приложение по отношение на интегрирането на техните национални органи и процедури в областите на управлението на кризи и киберсигурността в съществуващите механизми на ЕС за управление на кризи, а именно IPCR и CRM на ЕСВД. По-специално държавите членки следва да осигурят наличието на подходящи структури за ефективен обмен на информация между техните национални органи за управление на кризи и представителите им на равнище ЕС в контекста на механизмите на ЕС за управление на кризи.

6)

Държавите членки следва да използват в пълна степен възможностите, предлагани от инфраструктурите за цифрови услуги в областта на киберсигурността от Механизма за свързване на Европа (МСЕ), и да си сътрудничат с Комисията, за да гарантират, че механизмът за сътрудничество чрез платформата за основни услуги, който понастоящем се разработва, предлага необходимите функции и изпълнява техните изисквания към сътрудничеството също така при кризи на киберсигурността.

7)

Със съдействието на ENISA и опирайки се на досегашната работа в тази област, държавите членки следва да си сътрудничат за разработването и приемането на обща таксономия и образец за ситуационни доклади, за да описват техническите причини и последиците от киберинцидентите с цел да се подобри допълнително оперативното им сътрудничество по време на кризи. В това отношение държавите членки следва да вземат предвид текущата работа на групата за сътрудничество относно насоките за уведомяването за инциденти и особено аспектите, свързани с формата на националните уведомления.

8)

Процедурите, предвидени в механизма за реакция при кризи на киберсигурността, следва да се изпитат и при необходимост да се преразгледат, като се вземе предвид натрупаният от държавите членки опит при участието им в национални, регионални и съюзни учения в областта на киберсигурността, както и учения по кибердипломация и учения на НАТО. По-специално тези процедури следва да се изпитат в контекста на ученията „CyberEurope“, организирани от ENISA. Следващата такава възможност е „CyberEurope“ през 2018 г.

9)

Държавите членки и институциите на ЕС следва редовно да упражняват реакция при мащабни киберинциденти и кризи на национално и европейско равнище, включително и политическата си реакция, когато е необходимо и с участието на субекти от частния сектор.

Съставено в Брюксел на 13 септември 2017 година.

За Комисията

Mariya GABRIEL

Член на Комисията


(1)  Заключения на Съвета относно Защита на критичната информационна инфраструктура „Постижения и предстоящи стъпки: постигане на сигурност в световното кибернетично пространство“, документ 10299/11, Брюксел, 27 май 2011 г.

(2)  COM(2016) 410 final, 5 юли 2016 г.

(3)  Директива (ЕС) 2016/1148 на Европейския парламент и на Съвета от 6 юли 2016 г. относно мерки за високо общо ниво на сигурност на мрежите и информационните системи в Съюза. (ОВ L 194, 19.7.2016 г., стр. 1).

(4)  Документ 14540/16, 15 ноември 2016 г.

(5)  Повече информация може да бъде намерена в раздел 3.1 от допълнението относно управлението на кризи, механизмите за сътрудничество и действащите лица на равнище ЕС.

(6)  Пак там.

(7)  Решение 2014/496/ОВППС на Съвета от 22 юли 2014 г. относно някои аспекти на разгръщането, експлоатацията и използването на европейската глобална навигационна спътникова система, свързани със сигурността на Европейския съюз, и за отмяна на Съвместно действие 2004/552/ОВППС (ОВ L 219, 25.7.2014 г., стр. 53).

(8)  В процес на разработване; очаква се да бъдат приети до края на 2017 г.

(9)  Предвижда се насоките да бъдат завършени до края на 2017 г.

(10)  Заключения на Съвета относно рамка за съвместен дипломатически отговор на ЕС на злонамерените дейности в киберпространството („Инструментариум за кибердипломация“), Doc. 9916/17.

(11)  Съвместен работен документ на службите — оперативен протокол на ЕС за борбата с хибридните заплахи „EU Playbook“, SWD(2016) 227 final, 5 юли 2016 г.

(12)  ST 15283/16, 6 декември 2016 г.


ПРИЛОЖЕНИЕ

Концепция за координирана реакция на мащабни трансгранични киберинциденти и кризи

ВЪВЕДЕНИЕ

Настоящата концепция се отнася за киберинциденти, причиняващи смущения, които са прекалено мащабни, за да може засегнатата държава членка да се справи сама с тях, или при които техническите или политическите последици за две или повече държави членки или институции на ЕС са толкова значителни, че изискват своевременна координация и реакция на политическо равнище от Съюза.

Такива мащабни киберинциденти се считат за „криза“ в областта на киберсигурността.

В случай на криза, която засяга целия ЕС и има кибернетични елементи, координирането на реакцията на ЕС на политическо равнище се извършва от Съвета, който използва Интегрираните договорености за реакция на политическо равнище в кризисни ситуации (IPCR).

Координирането в рамките на Комисията се провежда в съответствие със системата за бързо предупреждение ARGUS.

Ако кризата е свързана със сериозно отражение върху външната политика или върху общата политика за сигурност и отбрана, се задейства механизмът за реакция при кризи на Европейската служба за външна дейност.

В концепцията се описва как тези утвърдени механизми за управление на кризи следва да използват пълноценно съществуващите структури в областта на киберсигурността на равнището на ЕС, както и механизмите за сътрудничество между държавите членки.

С оглед на това концепцията е съобразена с набор от ръководни принципи (пропорционалност, субсидиарност, взаимно допълване и поверителност на информацията), като са представени основните цели на сътрудничеството (ефективна реакция, споделена ситуационна осведоменост, послания за представяне пред обществеността) на три равнища (стратегическо/политическо, оперативно и техническо), механизмите и участниците, както и дейностите за постигане на въпросните основни цели.

Концепцията не обхваща целия цикъл на управление на кризи (предотвратяване/смекчаване, подготвеност, реакция, възстановяване), а в нея се набляга върху реакцията. Все пак някои дейности, по-специално тези, свързани с постигането на споделена ситуационна осведоменост, са взети под внимание.

Важно е също така да се отбележи, че киберинцидентите могат да бъдат в основата на по-широкомащабни кризи или да бъдат част от такива кризи, засягащи и други сектори. Като се има предвид, че повечето кризи, свързани с киберсигурността, се очаква да имат въздействие върху реалния живот, всички адекватни реакции трябва да се опират на дейности за смекчаване на въздействието както в кибернетичното пространство, така и извън него. Дейностите за реакция при кибернетични кризи следва да бъдат координирани с други механизми за управление на кризи на равнището на ЕС, на национално или на секторно равнище.

И накрая, концепцията не заменя и не засяга съществуващите специфични за определен сектор или политика механизми, договорености или инструменти, като например този за програмата за европейска глобална навигационна спътникова система (ГНСС) (1).

Ръководни принципи

В работата по постигане на целите, идентифициране на необходимите дейности и определяне на ролите и отговорностите на съответните участници или механизми бяха приложени следните ръководни принципи, които трябва да бъдат спазени и при изготвянето на бъдещите насоки за прилагане.

Пропорционалност: по-голямата част от киберинцидентите, засягащи държавите членки, са далеч от мащаба на национална „криза“ и още по-малко на европейска такава. Основата на сътрудничеството между държавите членки в отговор на такива инциденти е осигурена чрез мрежата от екипи за реагиране при инциденти с компютърната сигурност (CSIRT), създадена съгласно Директивата за МИС (2). Националните CSIRT си сътрудничат и обменят информация доброволно и ежедневно, включително, когато е необходимо, в съответствие със стандартните оперативни процедури (СОП) за мрежата на CSIRT, в отговор на киберинциденти, които засягат една или повече държави членки. Следователно концепцията следва да е съобразена изцяло с тези СОП, като в тях следва да бъдат отразени всички допълнителни специфични задачи във връзка с кризи в областта на киберсигурността.

Субсидиарност: принципът на субсидиарност е ключов. Държавите членки носят основната отговорност за реакция при мащабни киберинциденти или кризи, които ги засягат. Комисията, Европейската служба за външна дейност и другите институции, служби, агенции и органи на ЕС обаче също имат важна роля. Тази роля е ясно определена в IPCR, но тя произтича и от законодателството на Съюза или просто от факта, че киберинцидентите и кризите могат да окажат въздействие върху всички сфери на икономическата дейност на единния пазар, върху сигурността и международните отношения на Съюза, както и върху самите институции.

Взаимно допълване: в концепцията са взети изцяло предвид съществуващите механизми за управление на кризи на равнище ЕС, а именно IPCR, ARGUS и механизмът за реакция при кризи на Европейската служба за външна дейност, и са включени новосъздадените структури и механизми съгласно Директивата за МИС, а именно мрежата на CSIRT, както и съответните агенции и органи, а именно Агенцията на Европейския съюз за мрежова и информационна сигурност (ENISA), Европейският център за борба с киберпрестъпността към Европол (EC3 към Европол), Центърът на ЕС за анализ на информация (INTCEN) и дирекция „Разузнаване“ на Военния секретариат на ЕС (EUMS INT) и Ситуационният център (SITROOM, INTCEN), които работят съвместно в рамките на единно звено за анализ на разузнавателна информация (SIAC) на ЕС; звеното на ЕС за синтез на информацията за хибридните заплахи (разположено в INTCEN); и екипът за незабавно реагиране при компютърни инциденти за институциите, органите и агенциите на ЕС (CERT-EU). По този начин концепцията също така следва да гарантира, че при тяхното взаимодействие и сътрудничество се постига максимално взаимно допълване и минимално припокриване.

Поверителност на информацията: при целия обмен на информация в контекста на концепцията трябва да се спазват приложимите правила за сигурност (3) и защита на личните данни, както и протоколът за обмен на информация с цветен код за поверителност (Traffic Light Protocol) (4). При обмен на класифицирана информация, независимо от схемата за класификация, която се прилага, следва да се използват наличните акредитирани инструменти (5). Що се отнася до обработването на лични данни, се спазват приложимите правила на ЕС, по-специално Общият регламент относно защитата на данните (6), Директивата за правото на неприкосновеност на личния живот и електронни комуникации (7), както и Регламентът (8)„относно защитата на физическите лица във връзка с обработването на лични данни от институциите, органите, службите и агенциите на Съюза и относно свободното движение на такива данни“.

Основни цели

Сътрудничеството в рамките на концепцията следва посочения по-горе подход на три равнища — политическо, оперативно и техническо. Сътрудничеството на всяко равнище може да включва обмен на информация, както и съвместни действия и е насочено към постигането на следните основни цели.

Осигуряване на ефективна реакция: реакцията може да има много форми — от определяне на технически мерки, предполагащи съвместно разследване на техническите причини за инцидента от две или повече организации (напр. анализ на зловреден софтуер) или определяне на начините, по които организациите да установяват дали са били засегнати (напр. показатели за компрометиране на системите), до оперативни решения за прилагането на такива технически мерки, а на политическо равнище — решения относно използването на други инструменти, като например дипломатическия отговор на ЕС на злонамерените дейности в киберпространството („Инструментариум за кибердипломация“) или оперативния протокол на ЕС за борбата с хибридните заплахи, в зависимост от инцидента.

Споделена ситуационна осведоменост: достатъчно доброто разбиране на събитията в хода на тяхното развитие от всички съответни заинтересовани страни на трите равнища (техническо, оперативно, политическо) е от съществено значение за координираната реакция. Ситуационната осведоменост може да включва технологични елементи, свързани с причините, както и с въздействието и източника на инцидента. Тъй като киберинцидентите може да засегнат широк кръг от сектори (финанси, енергетика, транспорт, здравеопазване и др.), наложително е подходящата информация в подходящ формат да достигне своевременно до всички заинтересовани страни.

Съгласие относно ключовите послания за представяне пред обществеността (9): при киберинциденти и кризи комуникацията играe важна роля за смекчаване на отрицателното въздействие от тях, а може да се използва и като средство за повлияване на поведението на (потенциални) агресори. Подходящото послание може да послужи също така за даване на ясен сигнал за евентуалните последици от дипломатическата реакция, така че да се повлияе на поведението на агресорите. Съгласуваното представяне пред обществеността с цел смекчаване на отрицателните последици от киберинцидентите и кризите и упражняване на въздействие върху агресора е особено важно за ефективността на политическата реакция. От особено значение в областта на киберсигурността е разпространяването на точна практическа информация относно начините, по които обществеността може да смекчи въздействието на даден инцидент (например актуализация на софтуера, предприемане на допълнителни действия за избягване на заплахата и др.).

СЪТРУДНИЧЕСТВО МЕЖДУ ДЪРЖАВИТЕ ЧЛЕНКИ И МЕЖДУ ДЪРЖАВИТЕ ЧЛЕНКИ И УЧАСТНИЦИТЕ ОТ ЕС НА ТЕХНИЧЕСКО, ОПЕРАТИВНО И СТРАТЕГИЧЕСКО/ПОЛИТИЧЕСКО РАВНИЩЕ

Ефективната реакция при мащабни киберинциденти или кризи на равнище ЕС зависи от ефективното техническо, оперативно и стратегическо/политическо сътрудничество.

На всяко равнище съответните участници следва да изпълняват конкретни дейности с оглед постигането на три основни цели:

Координирана реакция

Споделена ситуационна осведоменост

Комуникация с обществеността

По време на инцидент или криза по-ниските равнища на сътрудничество предупреждават, информират и подпомагат по-високите равнища, които от своя страна предоставят насоки (10) и решения на по-ниските равнища, в зависимост от случая.

Сътрудничество на техническо равнище

Обхват на дейностите:

Действия при инцидент (11) по време на криза в областта на киберсигурността

Мониторинг и наблюдение на инцидента, включително непрекъснат анализ на заплахите и риска.

Потенциални участници:

На техническо равнище централният механизъм за сътрудничество в рамките на концепцията е мрежата на CSIRT, оглавявана от председателството и секретариата, предоставени от ENISA.

Държави членки:

Компетентните органи и единните звена за контакт, създадени съгласно Директивата за МИС

CSIRT

Органи, служби и агенции на ЕС:

ENISA

EC3 към Европол

CERT-EU

Европейска комисия:

Координационният център за реагиране при извънредни ситуации (служба, която функционира 24 часа в денонощието, седем дни в седмицата, разположена в ГД „Хуманитарна помощ и гражданска защита“) и определената водеща служба (избрана измежду ГД „Съобщителни мрежи, съдържание и технологии“ и ГД „Миграция и вътрешни работи“, в зависимост от естеството на инцидента), Генералният секретариат (секретариат на ARGUS), ГД „Човешки ресурси и сигурност“ (дирекция „Сигурност“), ГД „Информатика“ („Сигурност на информационните технологии“).

За другите агенции на ЕС (12) — съответните отговарящи генерални дирекции на Комисията или на ЕСВД (първо звено за контакт).

ЕСВД:

SIAC (единно звено за анализ на разузнавателна информация: EU INTCEN и EUMS INT)

Ситуационният център на ЕС и определената географска или тематична служба

Звеното на ЕС за синтез на информация за хибридните заплахи (разположено в INTCEN — киберсигурност в хибриден контекст)

Споделена ситуационна осведоменост:

Като част от редовното сътрудничество на техническо равнище за подпомагане на ситуационната осведоменост на Съюза, ENISA следва редовно да изготвя технически доклад за състоянието на киберсигурността в ЕС във връзка с инциденти и заплахи въз основа на публично достъпна информация, свои собствени анализи, както и доклади, подадени (доброволно) от CSIRT на държавите членки или от единните звена за контакт съгласно Директивата за МИС, Европейския център за борба с киберпрестъпността към Европол (EC3 към Европол) и CERT-EU, а когато е целесъобразно — Центъра на ЕС за анализ на информация (INTCEN) към Европейската служба за външна дейност (ЕСВД). Докладът следва да се предоставя на съответните нива в Съвета, Комисията, върховния представител на Съюза по въпросите на външните работи и политиката на сигурност и мрежата на CSIRT.

В случай на сериозен инцидент председателят на мрежата на CSIRT с помощта на ENISA изготвя доклад относно ситуацията с киберинцидентите в ЕС (13), който се предоставя на председателството, на Комисията, както и на върховния представител на Съюза по въпросите на външните работи и политиката на сигурност чрез CSIRT на ротационното председателство.

Всички други агенции на ЕС докладват на съответните отговарящи за тях генерални дирекции, които от своя страна докладват на водещата служба на Комисията.

CERT-EU предоставя технически доклади на мрежата на CSIRT, институциите и агенциите на ЕС (по целесъобразност) и ARGUS (ако е задействана).

EC3 към Европол  (14) и CERT-EU предоставят на мрежата на CSIRT съдебно-техническа експертиза на технически артефакти, както и друга техническа информация.

SIAC на ЕСВД: звеното на ЕС за синтез на информация за хибридните заплахи докладва на съответните отдели на ЕСВД от името на INTCEN.

Реакция:

Мрежата на CSIRT обменя технически данни и анализи за инцидента, като IP адреси, показатели за компрометиране на системите (15) и т.н. Тази информация следва да се предостави незабавно на ENISA не по-късно от 24 часа от момента на откриване на инцидента.

В съответствие със стандартните оперативни процедури на мрежата на CSIRT нейните членове си сътрудничат в усилията си да анализират наличните технически артефакти и друга техническа информация, свързана с инцидента, с оглед на определяне на причините и възможните технически мерки за смекчаване на последиците.

ENISA подпомага CSIRT в тяхната техническа дейност, като се основава на експертния си опит и в съответствие с възложения ѝ мандат (16).

CSIRT на държавите членки координират своите технически дейности за реакция с помощта на ENISA и на Комисията.

SIAC на ЕСВД: от името на INTCEN звеното на ЕС за синтез на информация за хибридните заплахи стартира процес по събиране на първоначални доказателства.

Комуникация с обществеността:

CSIRT изготвя технически инструкции (17) и предупреждения за уязвимост (18), които разпространява до съответните местни общности и обществеността, като се ръководи от приложимите за всеки отделен случай процедури за издаване на разрешение.

ENISA улеснява съставянето и разпространението на общи съобщения по мрежата на CSIRT.

ENISA координира своите дейности по комуникация с обществеността с мрежата на CSIRT и със службата на говорителя на Комисията.

ENISA и EC3 координират своите дейности по комуникация с обществеността въз основа на споделената ситуационна осведоменост, договорена между държавите членки. Те координират своите дейности по комуникация с обществеността със службата на говорителя на Комисията.

Ако кризата има отражение върху външната политика или върху общата политика за сигурност и отбрана (ОПСО), комуникацията с обществеността следва да бъде координирана с ЕСВД и със службата на говорителя на върховния представител на Съюза по въпросите на външните работи и политиката на сигурност.

Сътрудничество на оперативно равнище

Обхват на дейностите:

Подготовка на вземането на решения на политическо равнище

Координиране на управлението на кризи в областта на киберсигурността (когато е целесъобразно)

Оценка на последиците и на въздействието на равнище ЕС и предлагане на възможни действия за смекчаване на последиците

Потенциални участници

Държави членки:

Компетентните органи и единните звена за контакт, създадени съгласно Директивата за МИС

CSIRT, агенциите за киберсигурност

други национални органи, отговарящи за конкретни сектори (в случай на инцидент или криза, засягащи повече от един сектор)

Органи/служби/агенции на ЕС:

ENISA

EC3 към Европол

CERT-EU

Европейска комисия:

(заместник) генералният секретар на Генералния секретариат (процеса по ARGUS)

ГД „Съобщителни мрежи, съдържание и технологии“/ГД „Миграция и вътрешни работи“

органът по сигурността на Комисията

други генерални дирекции (в случай на инцидент или криза, засягащи повече от един сектор)

ЕСВД:

(заместник) генералният секретар, отговарящ за реакцията при кризи, и SIAC (INTCEN на ЕС и дирекция „Разузнаване“ към ВСЕС)

Звено на ЕС за синтез на информацията за хибридните заплахи

Съветът:

председателството (председателят на хоризонталната работна група по въпроси, свързани с кибернетичното пространство, или Корепер (19)) със съдействието на генералния секретариат на Съвета на Европейския съюз или КПС (20) и с подкрепата на мерките по линия на IPCR, в случай че са приведени в действие

Ситуационна осведоменост:

Подкрепа при изготвянето на политическите или стратегически доклади за обстановката (напр. за интегрираната ситуационна осведоменост и анализ (ISAA) при привеждане в действие на IPCR)

Хоризонталната работна група на Съвета по въпроси, свързани с кибернетичното пространство, подготвя заседанията на Корепер или на КПС, според случая

При привеждане в действие на IPCR:

председателството може да свика кръгли маси с цел да се подпомогне неговата подготовка за Корепер или КПС, на които да участват съответните заинтересовани страни от държавите членки, институциите, агенциите и трети страни, като например държави извън ЕС и международни организации. Това са кризисни заседания, чиято цел е да се набележат пречките и да се изготвят предложения за действие по междусекторните въпроси.

Водещата служба на Комисията или ЕСВД, в ролята си на ръководител на ISAA, изготвя доклада за ISAA с участието на ENISA, мрежата на CSIRT, EC3 към Европол, дирекция „Разузнаване“ към ВСЕС, INTCEN и всички други съответни участници. Докладът за ISAA представлява оценка за целия ЕС, основана на корелацията между техническите инциденти и оценката на кризи (анализ на заплахата, оценка на риска, нетехнически последици и въздействия, различни от кибернетичните аспекти на инцидента или кризата, и т.н.), която е изготвена съобразно потребностите на оперативно и политическо равнище.

При привеждане в действие на ARGUS:

CERT-EU и EC3 (21) допринасят пряко за обмена на информация в рамките на Комисията.

При привеждане в действие на Механизма за реакция при кризи на Европейската служба за външна дейност:

SIAC ще засили работата си по събиране на информация, ще обедини информацията от всички източници и ще направи анализ и оценка на инцидента.

Реакция (при поискване на политическо равнище):

Трансгранично сътрудничество с единното звено за контакт и националните компетентни органи (съгласно Директивата за МИС) с цел да се смекчат последиците и ефектите.

Привеждане в действие на всички мерки за смекчаване на техническите последици и координиране на техническия капацитет, необходим за спиране или намаляване на въздействието от атаките срещу целевите информационни системи.

Сътрудничество, а при съответното решение — и координиране на капацитета с цел съвместна реакция или съдействие във връзка с тази реакция в съответствие със СОП за мрежата на CSIRT .

Изготвяне на оценка на необходимостта от сътрудничество със съответните трети страни.

Вземане на решение в рамките на процеса по ARGUS (в случай че е приведен в действие).

Подготовка на решения и координация в рамките на мерките по линия на IPCR (в случай че са приведени в действие).

Подкрепа на вземането на решение от ЕСВД чрез Механизма за реакция при кризи на Европейската служба за външна дейност, в т.ч. по отношение на контактите с трети страни и международни организации, както и всякакви мерки, насочени към защитата на мисиите и операциите в рамките на ОПСО и делегациите на ЕС (в случай че е приведено в действие).

Комуникация с обществеността:

Постигане на съгласие относно посланията за обществеността във връзка с инцидента.

Ако кризата има отражение върху външната политика или върху общата политика за сигурност и отбрана (ОПСО), комуникацията с обществеността следва да бъде координирана с ЕСВД и със службата на говорителя на върховния представител на Съюза по въпросите на външните работи и политиката на сигурност.

Сътрудничество на стратегическо/политическо равнище

Потенциални участници:

От страна на държавите членки — министрите, отговарящи за киберсигурността.

От страна на Европейския съвет — председателят.

От страна на Съвета — ротационното председателство.

При предприемане на мерки в рамките на т. нар. „Инструментариум за кибердипломация“ — КПС и хоризонталната работна група.

От страна на Европейската комисия — председателят или заместник-председателят/членът на Комисията, на когото са делегирани съответните правомощия.

Върховният представител на Съюза по въпросите на външните работи и политиката на сигурност/заместник-председател на Комисията.

Обхват на дейностите: стратегическо и политическо управление както на кибернетичните, така и на некибернетичните аспекти на кризата, в т.ч. мерки по линия на рамката за съвместен дипломатически отговор на ЕС на злонамерените дейности в киберпространството.

Споделена ситуационна осведоменост:

Идентифициране на въздействието на причинените от кризата смущения върху функционирането на Съюза.

Реакция:

Привеждане в действие на допълнителни механизми за управление на кризи/инструменти в зависимост от естеството и въздействието на инцидента. Те могат да включват напр. механизма за гражданска защита.

Предприемане на мерки по линия на рамката за съвместен дипломатически отговор на ЕС на злонамерените дейности в киберпространството.

Предоставяне на спешна помощ за засегнатите държави членки, например привеждане в действие на Фонда за реакция при спешни случаи в областта на киберсигурността (22), когато това е приложимо.

Сътрудничество и координация с международни организации, когато е целесъобразно, като Организацията на обединените нации (ООН), Организацията за сигурност и сътрудничество в Европа (ОССЕ) и особено с НАТО.

Оценка на последиците за националната сигурност и отбрана.

Комуникация с обществеността:

Вземане на решение относно обща комуникационна стратегия по отношение на обществеността.

КООРДИНИРАНА РЕАКЦИЯ С ДЪРЖАВИТЕ ЧЛЕНКИ НА РАВНИЩЕТО НА ЕС В РАМКИТЕ НА МЕРКИТЕ ПО ЛИНИЯ НА IPCR

Съгласно принципа на взаимно допълване на равнището на ЕС в този раздел се представят и се акцентира по-специално върху основната цел и отговорностите и дейностите на органите на държавите членки, на мрежата на CSIRT, ENISA, CERT-EU, EC3 към Европол, INTCEN, звеното на ЕС за синтез на информацията за хибридните заплахи и хоризонталната работна група на Съвета по въпроси, свързани с кибернетичното пространство, в рамките на процеса по IPCR. Предполага се, че участниците действат съгласно процедурите, установени на равнището на ЕС или на национално равнище.

От съществено значение е да се отбележи, че както е видно от фигура 1, независимо от привеждането в действие на механизмите на ЕС за управление на кризи, при инцидент/криза се осъществяват дейности на национално равнище, както и сътрудничество в рамките на мрежата на CSIRT (при необходимост), съгласно принципите на субсидиарност и пропорционалност.

Фигура 1

Реакция на равнище ЕС при киберинцидент/криза

Image

Всички описани по-долу дейности трябва да се извършват в съответствие със стандартните оперативни процедури/правила на съответните механизми за сътрудничество и при спазване на установените мандати и компетентности на отделните участници и институции. Може да се окаже необходимо тези процедури/правила да бъдат допълнени или изменени с цел да се осигури възможно най-добро сътрудничество и ефективна реакция при мащабни киберинциденти и кризи.

При конкретен инцидент може да не се наложи всички изброени по-долу участници да предприемат действия. Въпреки това е необходимо в концепцията и в съответните стандартни оперативни процедури за механизмите за сътрудничество да се предвиди тяхното евентуално участие.

Тъй като даден киберинцидент или криза може да въздейства върху обществото в различна степен, за осигуряването на висока степен на гъвкавост по отношение на намесата на секторните участници на всички равнища и на целесъобразна реакция ще се разчита на дейности за смекчаване на въздействието както в кибернетичното пространство, така и извън него.

Управление на кризи в областта на киберсигурността — интегриране на киберсигурността в процеса по IPCR

Мерките по линия на IPCR, описани в СОП за ICPR (23), следват описаните по-долу стъпки в дадената последователност (някои от тези стъпки ще се прилагат според случая).

На всяка стъпка са посочени специфични за киберсигурността дейности и участници. За улеснение на читателя на всяка стъпка е предоставен текстът от СОП за ICPR, след което са изброени специфичните за концепцията дейности. Този поетапен подход дава възможност ясно да се установят съществуващите пропуски в необходимите способности и процедури, които възпрепятстват ефективната реакция при кризи в областта на киберсигурността.

Фигура 2 (по-долу (24)) представлява графично изображение на процеса по IPCR, като въведените нови елементи са маркирани в синьо.

Фигура 2

Специфични за киберсигурността елементи в IPCR

Image

Забележка: Предвид естеството на хибридните заплахи в киберпространството, които са замислени по такъв начин, че да не достигнат прага за разпознаването им като криза, ЕС трябва да предприеме мерки за предотвратяване и подготвеност. Звеното на ЕС за синтез на информацията за хибридните заплахи има за задача бързо да анализира съответните инциденти и да информира отговорните координационни структури. Редовните доклади от звеното на ЕС за синтез на информацията за хибридните заплахи могат да допринесат за информираността на изготвящите политиките в сектора и за по-добрата подготвеност.

Стъпка 1 — Редовно секторно наблюдение и сигнализиране: съществуващите редовни секторни доклади и сигнали са ориентир за председателството на Съвета за назряващи кризи и за тяхното евентуално развитие.

Установен пропуск: понастоящем няма редовни и координирани доклади относно ситуацията в областта на киберсигурността, както и сигнали за киберинциденти (и заплахи) на равнището на ЕС.

Концепция: наблюдение/докладване относно ситуацията в областта на киберсигурността в ЕС

Въз основа на общодостъпна информация, собствен анализ и доклади, споделени от CSIRT на държавите членки (доброволно) или от единните звена за контакт съгласно Директивата за МИС, Европейския център за борба с киберпрестъпността (EC3) към Европол, CERT-EU и Центъра на ЕС за анализ на информация (INTCEN) към Европейската служба за външна дейност (ЕСВД), ENISA ще изготвя редовно технически доклад относно ситуацията в областта на киберсигурността в ЕС за киберинцидентите и заплахите. Докладът следва да се предоставя на съответните нива в Съвета, Комисията и мрежата на CSIRT.

Звеното на ЕС за синтез на информацията за хибридните заплахи следва да изготвя от името на SIAC оперативен доклад относно ситуацията в областта на киберсигурността в ЕС. Докладът се вписва и в рамката за съвместен дипломатически отговор на ЕС на злонамерените дейности в киберпространството.

И двата доклада се разпространяват до заинтересованите страни на равнище ЕС и на национално равнище с цел да се допринесе за тяхната собствена осведоменост за ситуацията, да се предостави информация за нуждите на вземането на решения и да се улесни трансграничното регионално сътрудничество.

След установяване на инцидент

Стъпка 2 — Анализ и съвет: въз основа на наличните данни от наблюдения и сигнали службите на Комисията, ЕСВД и ГСС се информират взаимно за възможното развитие с цел да са подготвени да предоставят съвет на председателството за евентуално привеждане в действие на IPCR.

Концепция:

От страна на Комисията — ГД „Съобщителни мрежи, съдържание и технологии“, ГД „Миграция и вътрешни работи“, ГД „Човешки ресурси и сигурност“ — дирекция „Сигурност“, и ГД „Информатика“, с подкрепата на ENISA, EC3 и CERT-EU

ЕСВД. Въз основа на работата на Ситуационния център (SITROOM) и на разузнавателни служби Звеното на ЕС за синтез на информацията за хибридните заплахи осведомява за ситуацията относно съществуващите и потенциалните хибридни заплахи, засягащи ЕС и неговите партньори, в т.ч. и киберзаплахите. Следователно когато анализът и оценката на Звеното на ЕС за синтез на информацията за хибридните заплахи сочи, че съществуват евентуални заплахи срещу дадена държава членка, партньорски държави или организации, INTCEN ще подаде информация (на първо ниво) на оперативно равнище съгласно установените процедури. След това на оперативно равнище ще бъдат изготвени препоръки за стратегическото равнище на политиката, включващи евентуалното привеждане в действие на мерки за управление на кризи в режим на наблюдение (напр. Механизма за реакция при кризи на Европейската служба за външна дейност или страницата за наблюдение на IPCR).

Председателят на мрежата на CSIRT, със съдействието на ENISA, изготвя доклад относно ситуацията с киберинцидентите в ЕС (25), който се представя на председателството, Комисията и върховния представител на Съюза по въпросите на външните работи и политиката на сигурност чрез CSIRT на ротационното председателство.

Стъпка 3 — Оценка/решение за привеждане в действие на IPCR: председателството преценява необходимостта от политическа координация, обмен на информация или вземане на решение на равнището на ЕС. За целта то може да свика неофициално заседание под формата на кръгла маса. Първоначално председателството набелязва областите, в които е необходимо участието на Корепер или на Съвета. По този начин се формира основата за насоките за изготвяне на доклади за ISAA. В зависимост от характеристиките на кризата, евентуалните последици от нея и свързаните с това политически потребности председателството решава дали е уместно да свика заседания на съответните работни групи на Съвета и/или на Корепер и на КПС.

Концепция:

Участници в кръглата маса:

Службите на Комисията и ЕСВД ще съветват председателството в своята област на компетентност.

Представители на държавите членки в хоризонталната работна група по въпроси, свързани с кибернетичното пространство, подпомагани от експерти от столиците (CSIRT, компетентни органи в областта на киберсигурността, други).

Политически/стратегически насоки за докладите за ISAA, които се основават на най-новия доклад относно ситуацията с киберинцидентите в ЕС и на допълнителна информация, предоставена от участниците в кръглата маса.

Съответни работни групи и комитети:

хоризонтална работна група по въпроси, свързани с кибернетичното пространство.

Комисията, ЕСВД и ГСС в пълно съгласие и като асоциират председателството, могат също да вземат решение да приведат в действие IPCR в режим „обмен на информация“, като генерират уебстраница за случай на криза, с оглед на подготовка за евентуално цялостно привеждане в действие.

Стъпка 4 — Привеждане в действие на IPCR/Събиране и обмен на информация: след привеждането в действие (независимо дали в режим „обмен на информация“, или изцяло), на уебплатформата на IPCR се генерира уебстраница за случай на криза, за да се даде възможност за конкретен обмен на информация, съсредоточена върху аспектите, които ще спомогнат да се захрани с данни ISAA и да се подготви обсъждането на политическо равнище. Коя служба ще бъде водеща по отношение на ISAA (някоя от службите на Комисията или ЕСВД), ще зависи от обстоятелствата по случая.

Стъпка 5 — Изготвяне на доклади за ISAA: на този етап ще започне изготвянето на доклади за ISAA. Комисията/ЕСВД ще изготви доклади за ISAA, както е указано в СОП за ISAA, и може да насърчи по-нататъшния обмен на информация на уебплатформата на IPCR или да издаде конкретни искания за информация. Докладите за ISAA ще бъдат приспособени към потребностите на политическо равнище (т.е. Корепер или Съвета), посочени от председателството и заложени в неговите насоки, като по този начин ще се осигури възможност за стратегически преглед на ситуацията и основан на информация дебат по точките, определени от председателството. Съгласно СОП за ISAA от характера на кризата в областта на киберсигурността ще зависи дали докладът за ISAA ще бъде изготвен от една от службите на Комисията (ГД „Съобщителни мрежи, съдържание и технологии“ или ГД „Миграция и вътрешни работи“), или от ЕСВД.

След привеждането в действие на IPCR председателството ще посочи конкретните области, върху които трябва да се съсредоточи ISAA, за да подпомогне политическата координация и/или процеса на вземане на решения в Съвета. Председателството също така ще определи момента на изготвяне на доклада, след като се консултира със службите на Комисията/с ЕСВД.

Концепция:

Докладът за ISAA включва сведения от съответните служби, в това число:

мрежата на CSIRT — под формата на доклад относно ситуацията с киберинцидентите в ЕС;

EC3, SITROOM, звеното на ЕС за синтез на информацията за хибридните заплахи, CERT-EU. Звеното на ЕС за синтез на информацията за хибридните заплахи ще подпомага — според случая — службата, която е водеща по отношение на ISAA, и кръглата маса във връзка с IPCR и ще им предоставя сведения;

секторните агенции и органи на ЕС в зависимост от засегнатите сектори;

органите на държавите членки (различни от CSIRT).

Събиране на данни за ISAA (26):

Комисията и агенциите на ЕС: информационната система ARGUS ще осигурява вътрешната опорна мрежа за ISAA. Агенциите на ЕС ще изпращат своите сведения на отговарящите за тях генерални дирекции, които от своя страна ще подават съответната информация към ARGUS. Службите на Комисията и агенциите ще събират информация от съществуващите секторни мрежи с държави членки и международни организации, както и от други относими източници.

За ЕСВД: ситуационният център на ЕС, подпомаган от останалите имащи отношение към въпроса департаменти на ЕСВД, ще осигурява вътрешната опорна мрежа и единното звено за контакт за ISAA. ЕСВД ще събира информация от трети държави и от съответните международни организации.

Стъпка 6 — Подготовка на неофициална кръгла маса на председателството: Председателството, подпомагано от Генералния секретариат на Съвета, ще определи времето на провеждане, дневния ред, участниците и очакваните резултати (възможните конкретни резултати) на неофициалната кръгла маса на председателството. ГСС ще предаде от името на председателството съответната информация относно уебплатформата на IPCR, и по-специално ще издаде известие за срещата.

Стъпка 7 — Кръгла маса на председателството/подготвителни мерки за политическа координация/вземане на решения в ЕС: председателството ще организира неофициална кръгла маса, на която да се направи обзор на ситуацията и да се подготвят и обсъдят точките, които ще бъдат предложени на вниманието на Корепер и Съвета. Неофициалната кръгла маса на председателството също така ще бъде форумът, на който ще се разработват, преглеждат и обсъждат всички предложения за действие, които ще се представят на Корепер/Съвета.

Концепция:

Хоризонталната работна група на Съвета по въпроси, свързани с кибернетичното пространство, следва да подготвя заседанията на Корепер или на КПС.

Стъпка 8 — Политическа координация и вземане на решения в Корепер/Съвета: резултатите от заседанията на Корепер/Съвета засягат координацията на ответните действия на всички равнища, решенията относно извънредни мерки, политическите декларации и т.н. Тези решения освен това представляват актуализирани политически/стратегически насоки за по-нататъшното изготвяне на доклади за ISAA.

Концепция:

Политическото решение за координация на ответните мерки при криза в областта на киберсигурността се изпълнява чрез дейностите (извършвани от съответните участници), описани по-горе в раздел 1 „Сътрудничество на стратегическо/политическо, оперативно и техническо равнище“ по отношение на ответните мерки и комуникацията с обществеността.

По отношение на ситуационната осведоменост изготвянето на ISAA продължава въз основа на сътрудничеството на техническо, оперативно и политическо/стратегическо равнище, както е описано и в раздел 1 по-горе.

Стъпка 9 — Проследяване на въздействието: водещата по отношение на ISAA служба ще осигурява — със съдействието на участниците, които предоставят сведения за ISAA — информация за протичането на кризата и за въздействието на взетите политически решения. Тази взаимовръзка ще подпомага развитието на процеса, както и вземането на решение от председателството за продължаване на ангажираността на политическо равнище в ЕС или за постепенно преустановяване на действието на IPCR.

Стъпка 10 — Постепенно преустановяване на действието: следвайки същата процедура, както при привеждането в действие, председателството може да свика неофициална кръгла маса, за да се прецени дали IPCR да останат в действие, или не. Председателството може да вземе решение да прекрати действието или да намали степента на действие.

Концепция:

ENISA може да бъде поканена да даде своя принос или да извърши последващо техническо разследване на инцидента, в съответствие с разпоредбите на мандата ѝ.


(1)  Решение 2014/496/ОВППС.

(2)  Директива (ЕС) 2016/1148.

(3)  Решение (ЕС, Евратом) 2015/443 на Комисията от 13 март 2015 г. относно сигурността в Комисията (ОВ L 72, 17.3.2015 г., стр. 41) и Решение (ЕС, Евратом) 2015/444 на Комисията от 13 март 2015 г. относно правилата за сигурност за защита на класифицираната информация на EC (ОВ L 72, 17.3.2015 г., стр. 53); Решение на върховния представител на Съюза по въпросите на външните работи и политиката на сигурност от 19 април 2013 г. относно правилата за сигурност на Европейската служба за външна дейност (ОВ C 190, 29.6.2013 г., стр. 1); Решение 2013/488/EС на Съвета от 23 септември 2013 г. относно правилата за сигурност за защита на класифицирана информация на EC, (ОВ L 274, 15.10.2013 г., стр. 1).

(4)  https://www.first.org/tlp/

(5)  През юни 2016 г. съответните канали за пренос на информация включваха CIMS (система за управление на класифицирана информация), ACID (алгоритъм за криптиране), RUE (защитена система за създаване, обмен и съхраняване на документи с ниво на класификация за сигурност RESTREINT UE/EU RESTRICTED) и SOLAN. Други средства например за предаване на класифицирана информация представляват PGP или S/MIME.

(6)  Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (ОВ L 119, 4.5.2016 г., стр. 1).

(7)  Директива 2002/58/ЕО на Европейския парламент и на Съвета от 12 юли 2002 г. относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации (Директива за правото на неприкосновеност на личния живот и електронни комуникации) (ОВ L 201, 31.7.2002 г., стр. 37).

(8)  Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета от 18 декември 2000 г. относно защитата на лицата по отношение на обработката на лични данни от институции и органи на Общността и за свободното движение на такива данни (ОВ L 8, 12.1.2001 г., стр. 1) — в процес на преразглеждане.

(9)  В този смисъл е важно да се отбележи, че комуникацията с обществеността може да се отнася както до представянето на инцидент, засягащ обществото като цяло, така и до съобщаването на повече техническа или оперативна информация за жизненоважни сектори и/или за тези, които са били засегнати. Това може да изисква използването на поверителни канали за разпространение на информацията, както и използването на специфични технически инструменти/платформи. И в двата случая комуникацията с операторите и с широката общественост в която и да било от държавите членки е прерогатив и отговорност на всяка държава членка. Поради това, в съответствие с принципа на субсидиарност, посочен по-горе, държавите членки и националните CSIRT носят крайната отговорност за информацията, която се разпространява на тяхната територия, както и съответно до тяхната целева аудитория.

(10)  „Разрешения за действие“ — в контекста на криза в областта на киберсигурността бързата реакция е от жизненоважно значение, за да бъдат определени подходящи действия за смекчаване на последиците. С цел да се осигури бърза реакция, една държава членка може доброволно да издаде на друга „разрешения за действие“, без да се консултира с по-високите равнища или с институциите на ЕС и да преминава през всички обичайно изисквани официални канали, ако това не е необходимо за конкретен инцидент (например даден CSIRT не следва да се консултира с по-високите равнища, за да предаде ценна информация на CSIRT в друга държава членка).

(11)  „Действия при инцидент“ означава всички процедури, подпомагащи установяването, анализа и ограничаването на инцидент и реагирането на такъв инцидент.

(12)  В зависимост от същността и въздействието на инцидента върху различните сектори на дейност (финанси, транспорт, енергетика, здравеопазване и др.) ще бъдат включени съответните агенции или органи на ЕС.

(13)  Докладът относно ситуацията с киберинцидентите в ЕС обединява националните доклади, предоставени от националните CSIRT. Форматът на доклада следва да бъде описан в стандартните оперативни процедури на мрежата на CSIRT.

(14)  В съответствие с условията и процедурите, заложени в правната уредба на ЕС3.

(15)  Показател за компрометиране на системите — в областта на компютърната криминалистика представлява артефакт, наблюдаван в мрежа или в операционна система, който с високо ниво на достоверност показва проникване в компютъра. Типични показатели за компрометиране са вирусните сигнатури и IP адреси, MD5 кодове на зловредни файлове, интернет адреси или имена на домейни на ботнет сървъри за командване и контрол.

(16)  Предложение за регламент относно ENISA, Европейската агенция за киберсигурност и за отмяна на Регламент (ЕС) № 526/2013, както и относно сертифицирането за киберсигурност на информационните и комуникационните технологии („Акт за киберсигурността“), 13 септември 2017 г.

(17)  Съвети от техническо естество по отношение на причините за инцидента и евентуалните мерки за смекчаване на последиците.

(18)  Информация относно техническата уязвимост, която се използва за отрицателно въздействие върху информационните системи.

(19)  Комитетът на постоянните представители или Корепер (член 240 от Договора за функционирането на Европейския съюз — ДФЕС) отговаря за подготовката на работата на Съвета на Европейския съюз.

(20)  Комитетът по политика и сигурност е посоченият в член 38 от Договора за Европейския съюз комитет на Съвета на Европейския съюз, който се занимава с общата външна политика и политиката на сигурност (ОВППС).

(21)  В съответствие с условията и процедурите, определени в правната уредба на EC3.

(22)  Фондът за реакция при спешни случаи в областта на киберсигурността е действие, предложено в съвместното съобщение „Устойчивост, възпиране и отбрана“, JOIN(2017) 450/1.

(23)  От документ 12607/15 „Стандартни оперативни процедури за ICPR“ — документ, договорен от групата „Приятели на председателството“ и взет под внимание от Корепер през октомври 2015 г.

(24)  Същата фигура е дадена уголемена в допълнението.

(25)  Докладът относно ситуацията с киберинцидентите в ЕС обединява националните доклади, предоставени от националните CSIRT. Форматът на доклада следва да бъде описан в стандартните оперативни процедури на мрежата CSIRT.

(26)  СОП за ISAA.


ДОПЪЛНЕНИЕ

1.   МЕХАНИЗМИ ЗА УПРАВЛЕНИЕ НА КРИЗИ, МЕХАНИЗМИ ЗА СЪТРУДНИЧЕСТВО И УЧАСТНИЦИ НА РАВНИЩЕТО НА ЕС

Механизми за управление на кризи

Интегрирани договорености за реакция на политическо равнище в кризисни ситуации (IPCR): Интегрираните договорености за реакция на политическо равнище в кризисни ситуации (IPCR), одобрени от Съвета на 25 юни 2013 г. (1), имат за цел да улеснят своевременната координация и реакция на политическо равнище в ЕС в случай на сериозна криза. IPCR също така подпомагат координацията на политическо равнище на реакцията при задействането на клаузата за солидарност (член 222 от ДФЕС), както е определено в Решение 2014/415/ЕС на Съвета относно договореностите за прилагане от страна на Съюза на клаузата за солидарност, прието на 24 юни 2014 г. В Стандартните оперативни процедури (2) (СОП) за ICPR са установени процедурата по задействане и последващите действия, които да се предприемат.

ARGUS: система за координация при кризи, създадена от Европейската комисия през 2005 г. с цел да се осигури конкретна процедура за координация в случай на сериозна криза, засягаща много сектори. Тя се подпомага от едноименна обща система за бързо предупреждение (инструмент въз основа на информационни технологии). В ARGUS са предвидени две фази, като при фаза II (в случай на сериозна криза, засягаща повече от един сектор) се свикват заседания на Кризисния координационен комитет (ККК) под ръководството на председателя на Комисията или на неин член, на когото е възложена тази отговорност. ККК обединява представители на съответните генерални дирекции на Комисията, както и на съответните кабинети и на други служби на ЕС, с цел да се направлява и координира реакцията на Комисията спрямо кризата. ККК се председателства от заместник генералния секретар и извършва оценка на ситуацията, разглежда варианти и взема решения за действие, що се отнася до инструментите на ЕС и инструментите, за които носи отговорност Комисията, и осигурява изпълнението на решенията (3)  (4).

Механизъм на ЕСВД за реакция при кризи: механизмът за реакция при кризи на Европейската служба за външна дейност е структурирана система на ЕСВД за реакция при кризи и извънредни ситуации, които имат външен характер или важно външно измерение — включително хибридни заплахи — и оказват потенциално или реално въздействие върху интересите на ЕС или на които и да било държави членки. Като осигурява участието на съответните служители на Комисията и на Съвета в своите заседания, механизмът за реакция при кризи улеснява полезното взаимодействие между усилията в областта на дипломацията, сигурността и отбраната, от една страна, и управляваните от Комисията инструменти в областта на финансите, търговията и сътрудничеството, от друга страна. Той се осъществява от кризисно звено, което може да бъде задействано за цялото времетраене на кризата.

Механизми за сътрудничество

Мрежа на CSIRT: мрежата на екипите за реагиране при инциденти с компютърната сигурност обединява всички национални и правителствени CSIRT и CERT-EU. Целта на мрежата е да даде възможност за обмен на информация между отделните CSIRT относно заплахи и киберинциденти, да се засили този обмен, както и да се сътрудничи при реакцията спрямо такива инциденти и кризи.

Хоризонтална работна група на Съвета по въпроси, свързани с кибернетичното пространство: работната група е създадена с цел да се осигурят стратегическата и хоризонталната координация в Съвета на политиката по отношение на въпросите, свързани с кибернетичното пространство, и може да участва както в законодателни, така и в незаконодателни дейности.

Участници

ENISA: агенцията на Европейския съюз за мрежова и информационна сигурност е създадена през 2004 г. Тя работи в тясно сътрудничество с държавите членки и частния сектор, за да осигури становища и решения по въпроси, като общоевропейските учения в областта на киберсигурността, разработването на национални стратегии за киберсигурност, сътрудничеството между отделните CSIRT и изграждането на капацитет. ENISA си сътрудничи пряко със CSIRT в целия ЕС и действа като секретариат на мрежата на CSIRT.

КЦРИС: Координационният център за реагиране при извънредни ситуации към Комисията (в рамките на генерална дирекция „Европейска гражданска защита и европейски операции за хуманитарна помощ“) подпомага и координира широк спектър от дейности във връзка с превенцията, готовността и реагирането 24 часа в денонощието, 7 дни в седмицата. Той е създаден през 2013 г. и действа като център, който координира действията на Комисията при реагиране на кризи (като осъществява връзка с други кризисни звена на ЕС), включително като централно звено на IPCR за контакт 24 часа в денонощието, 7 дни в седмицата.

EC3 към Европол: Европейският център за борба с киберпрестъпността (EC3), създаден в рамките на Европол през 2013 г., подпомага правоприлагането в отговор на киберпрестъпността в ЕС. EC3 предоставя оперативна и аналитична подкрепа за разследвания на държавите членки и служи като централно звено за информация относно престъпността, за операциите в помощ на разузнаването и за разследванията на държавите членки, като осигурява оперативен анализ, координация и експертни познания, както и високоспециализиран капацитет за техническа подкрепа и подкрепа в областта на цифровата криминалистика.

CERT-EU: екипът за незабавно реагиране при компютърни инциденти за институциите, органите и агенциите на ЕС разполага с мандат да усъвършенства защитата на институциите, органите и агенциите на ЕС срещу киберзаплахи. Той е член на мрежата на CSIRT. CERT-EU има технически договорености за обмен на информация относно киберзаплахите с центъра CIRC на НАТО за реагиране при инциденти с компютърната сигурност, с някои трети държави и с големи търговски субекти в областта на киберсигурността.

Разузнавателната общност на ЕС включва Центъра на ЕС за анализ на информация (INTCEN) и дирекция „Разузнаване“ на Военния секретариат на ЕС (EUMS INT) съгласно договореностите за единно звено за анализ на разузнавателна информация (SIAC). SIAC има за задача да осигурява на върховния представител на Европейския съюз по въпросите на външните работи и политиката на сигурност и на Европейската служба за външна дейност (ЕСВД) анализи на разузнавателна информация, ранно предупреждение и осведоменост за ситуацията. SIAC предоставя своите услуги както на различни органи на ЕС, които вземат решения в областта на общата външна политика и политика на сигурност (ОВППС), общата политика за сигурност и отбрана (ОПСО) и борбата с тероризма, така и на държавите членки. INTCEN и EUMS INT не са оперативни агенции и не разполагат с капацитет за събиране на сведения. Оперативното равнище на разузнаването е отговорност на държавите членки. SIAC се занимава само със стратегически анализ.

Звено на ЕС за синтез на информацията за хибридните заплахи: в Съвместното съобщение относно борбата с хибридните заплахи, прието през април 2016 г., звеното на ЕС за синтез на информацията за хибридните заплахи е определено като сборна точка за анализ на хибридните заплахи в ЕС: Комисията одобри неговия мандат през декември 2016 г. чрез междуведомствена консултация. Звеното на ЕС за синтез на информацията за хибридните заплахи е създадено в рамките на INTCEN и е част от SIAC, поради което работи съвместно с EUMS INT и в него като постоянен член е назначен един военнослужещ. Под „хибридни заплахи“ се има предвид умишлената употреба от държавен или недържавен субект на комбинация от множество тайни/явни, военни/граждански инструменти и средства, като кибератаки, кампании за дезинформация, шпионаж, икономически натиск, използване на марионетни сили или друга подривна дейност. Звеното на ЕС за синтез на информацията за хибридните заплахи работи с широка мрежа от звена за контакт както в Комисията, така и в държавите членки, за да осигури интегрираната реакция/цялостния подход, необходими за противодействие на различни предизвикателства.

Ситуационен център на ЕС: Ситуационният център на ЕС е част от Центъра на ЕС за анализ на информация (INTCEN) и осигурява на ЕСВД оперативен капацитет, за да се гарантира незабавна и ефективна реакция при кризи. Той е постоянен гражданско-военен орган в непрекъсната готовност, който осигурява наблюдение и ситуационна осведоменост в световен мащаб с капацитет за действие 24 часа в денонощието, 7 дни в седмицата.

Относими инструменти

Рамка за съвместен дипломатически отговор на ЕС на злонамерените дейности в киберпространството: тази рамка е договорена през юни 2017 г. и съставлява част от подхода на ЕС към кибердипломацията, който допринася за предотвратяването на конфликти, за ограничаването на киберзаплахи и за по-голяма стабилност в международните отношения. В тази рамка се използват в пълна степен мерките, които са на разположение по линия на общата външна политика и политика на сигурност, включително — при необходимост — ограничителни мерки. Използването на мерките в тази рамка следва да насърчава сътрудничеството и да улеснява ограничаването на непосредствените и дългосрочните заплахи, както и да влияе върху поведението на извършителите и потенциалните агресори в дългосрочен план.

2.   КООРДИНАЦИЯ ПРИ КРИЗИ В ОБЛАСТТА НА КИБЕРСИГУРНОСТТА ПО ОТНОШЕНИЕ НА МЕРКИТЕ ПО ЛИНИЯ НА IPCR — ХОРИЗОНТАЛНА КООРДИНАЦИЯ И РАЗГРЪЩАНЕ НА ПОЛИТИЧЕСКО РАВНИЩЕ

Мерките по линия на IPCR могат да бъдат (и са били) използвани за справяне с технически и оперативни проблеми, но винаги от политически/стратегически аспект.

По отношение на разгръщането — IPCR може да се използва в зависимост от степента на кризата, като се премине от режим на наблюдение към режим на обмен на информация, което е първото ниво на задействане на IPCR, а на следващ етап — и пълно задействане на IPCR.

Пълното задействане се извършва с решение на ротационното председателство на Съвета на ЕС. Комисията, ЕСВД и ГСС могат да активират IPCR в режим на обмен на информация. Наблюдението и обменът на информация водят до различна степен на размяна на информация, а с обмена на информация се появява и необходимостта от изготвяне на доклади за ISAA. Пълното задействане предполага организирането на кръгли маси за IPCR, като същевременно с това става важна и ролята на председателството (обикновено председателя на Корепер II или тесен специалист от постоянното представителство, но по изключение кръгли маси са се провеждали и на равнище министри).

Участници

 

Ротационното председателство (т.е. обикновено председателят на Корепер) има водеща роля.

 

От страна на Европейския съвет — кабинетът на председателя.

 

От страна на Европейската комисия — заместник генералният секретар/генералният директор и/или тесни специалисти.

 

От страна на ЕСВД — заместник генералният секретар/изпълнителният директор и/или тесни специалисти.

 

От страна на ГСС — кабинетът на генералния секретар, екипът на IPCR и отговорните генерални дирекции.

Обхват на дейностите: представяне на обобщена картина на ситуацията и повишаване на осведомеността за ограничаващи фактори или недостатъци на всяко едно от трите нива с цел те да бъдат разгледани на политическо равнище, като бъдат взети решения по тях, ако попадат в обхвата на компетентност на участниците, или да бъдат предложени сценарии за действие за Корепер II и за Съвета.

Споделена ситуационна осведоменост:

 

(Незадействани IPCR): Могат да бъдат създадени страници за наблюдение по линия на IPCR, за да се следи развитието на ситуации, които могат да доведат до криза с последици за ЕС.

 

(Обмен на информация по линия на IPCR): Докладите за ISAA ще се изготвят от водещата по отношение на ISAA служба въз основа на информация от службите на Комисията, ЕСВД и държавите членки (получена посредством въпросниците за IPCR).

 

(Пълно задействане на IPCR): Освен докладите за ISAA, неофициалните кръгли маси във връзка с IPCR обединяват различни участващи заинтересовани страни от държавите членки, Комисията, ЕСВД, съответните агенции и др., за да обсъдят недостатъците и ограничаващите фактори.

Сътрудничество и реакция:

Привеждане в действие/синхронизиране на допълнителни механизми за управление на кризи/инструментариум в зависимост от естеството и въздействието на инцидента. Те може да включват например механизма за гражданска защита, рамката за съвместен дипломатически отговор на ЕС на злонамерените дейности в киберпространството или „Съвместната рамка относно борбата с хибридните заплахи“.

Комуникация при кризи:

Мрежата за комуникацията при кризи във връзка с IPCR може да бъде задействана от председателството след консултация със съответните служби в Комисията, ГСС и ЕСВД с цел да се подпомогне създаването на общи послания или да се усъвършенстват най-ефективните инструменти за комуникация.

3.   УПРАВЛЕНИЕ НА КРИЗИ В ОБЛАСТТА НА КИБЕРСИГУРНОСТТА В ARGUS — ОБМЕН НА ИНФОРМАЦИЯ В РАМКИТЕ НА ЕВРОПЕЙСКАТА КОМИСИЯ

Изправена пред опасността от неочаквани кризисни ситуации, които изискват действия на европейско равнище — напр. терористичните атаки в Мадрид (март 2004 г.), цунамито в Югоизточна Азия (декември 2004 г.) и терористичните атаки в Лондон (юли 2005 г.), през 2005 г. Комисията създаде системата за координация ARGUS, чието функциониране се поддържа от едноименната обща система за бързо предупреждение (5)  (6). С тази система се цели да се осигури специален процес на координация на действията при мащабна многосекторна криза, да се даде възможност за обмен на свързана с кризата информация в реално време и да се гарантира бързото вземане на решения.

В ARGUS са предвидени две фази в зависимост от степента на значимост на събитието:

 

Фаза I се използва за „обмен на информация“ относно криза с неголям мащаб.

Сред примерите за скорошни известни събития, докладвани за фаза I, са горските пожари в Португалия и Израел, нападението в Берлин през 2016 г., наводненията в Албания, ураганът Матю в Хаити и сушата в Боливия. Всяка генерална дирекция може да обяви, че дадено събитие е за фаза I, когато прецени, че дадена ситуация от нейната област на компетентност е достатъчно сериозна, за да оправдае извършването на обмен на информация или да го използва. Например ГД „Съобщителни мрежи, съдържание и технологии“ или ГД „Миграция и вътрешни работи“ могат да задействат фаза I за дадено събитие, когато преценят, че дадена киберситуация от тяхната област на компетентност е достатъчно сериозна, за да оправдае извършването на обмен на информация или този обмен да бъде от полза.

 

Фаза II се задейства при мащабна многосекторна криза или при предстояща или непосредствена заплаха за Съюза.

На фаза II се започва конкретен процес на координация, който дава на Комисията възможност да взема решения и да ръководи бърза, координирана и последователна реакция на най-високо равнище в своята област на компетентност и в сътрудничество с другите институции. Фаза II е предвидена за мащабна многосекторна криза или за предстояща или непосредствена заплаха от такава криза. Като примери за реални събития за фаза II може да се посочат кризата с мигрантите/бежанците (от 2015 г. насам), тройното бедствие във Фукушима (2011 г.) и изригването на вулкана Eyjafjallajökull в Исландия (2010 г.).

Фаза II се задейства от председателя по негова инициатива или по искане на член на Комисията. Председателят може да възложи политическата отговорност за реакцията на Комисията на определен комисар, отговарящ за услугите, които са най-силно засегнати от въпросната криза, или да реши да поеме той отговорността за нея.

На тази фаза се предвиждат извънредни заседания на Кризисния координационен комитет (ККК). Те се свикват под ръководството на председателя или на комисар, на когото е възложена отговорността. Заседанията се свикват от Генералния секретариат посредством основан на информационни технологии инструмент на ARGUS. ККК е специална оперативна структура за управление на кризи, създадена с цел ръководство и координация на реакцията на Комисията в кризисна ситуация, като тази структура обединява представители на всички имащи отношение генерални дирекции и кабинети на Комисията и други служби на ЕС. Под председателството на заместник генералния секретар ККК прави оценка на ситуацията, разглежда различни варианти и взема решения, а така също и гарантира, че решенията и действията се изпълняват, като същевременно се осигуряват и съгласуваността и последователността на реакцията. Функционирането на ККК се осигурява от генералния секретар.

4.   МЕХАНИЗЪМ ЗА РЕАКЦИЯ ПРИ КРИЗИ НА ЕСВД

Механизмът за реакция при кризи (CRM) на Европейската служба за външна дейност се задейства при възникване на сериозна проблемна ситуация или спешен случай, които засягат или са свързани с външната дейност на ЕС. CRM се задейства от заместник генералния секретар за реакция при кризи и след консултация с върховния представител на Съюза по въпросите на външните работи и политиката на сигурност или от генералния секретар. Върховният представител на Съюза по въпросите на външните работи и политиката на сигурност, генералният секретар, друг заместник генерален секретар или изпълнителният директор може да поиска задействане на механизма за реакция при кризи.

CRM допринася за съгласуваността на реакцията на ЕС при кризи в рамките на стратегията за сигурност. По-специално CRM улеснява полезното взаимодействие между действията в областта на дипломацията, сигурността и отбраната, от една страна, и финансовите и търговските инструменти и инструментите за сътрудничество, управлявани от Комисията, от друга страна.

CRM е свързан с общата система за бързо реагиране (ARGUS) при извънредни ситуации на Комисията и с Интегрираните договорености на ЕС за реакция на политическо равнище в кризисни ситуации (IPCR) с цел да се приложи полезно взаимодействие при едновременно задействане на различните инструменти. Ситуационният център на ЕСВД действа като комуникационен възел между ЕСВД и системите за реакция при кризи в Съвета и в Комисията.

Обикновено първото действие, свързано с прилагането на CRM, е свикване на кризисно заседание на представители на висшето ръководство на ЕСВД, Комисията и Съвета, които са пряко засегнати от въпросната криза. На кризисното заседание се прави оценка на краткосрочните последици от кризата и може да се постигне съгласие за предприемане на незабавни действия или за активиране на кризисното звено, или за организирането на кризисна платформа. Посочените действия могат да бъдат предприети в произволна времева последователност.

Кризисното звено е център, който осъществява действия от малък мащаб и в рамките на който се събират представителите на ЕСВД, службите на Комисията и на Съвета, които са ангажирани с реакцията при съответната криза, за да извършват постоянно наблюдение на ситуацията и да подпомагат лицата, отговарящи за вземането на решения от централата на ЕСВД. При задействането му кризисното звено функционира 24 часа в денонощието, 7 дни в седмицата.

Чрез кризисната платформа се обединяват съответните служби на ЕСВД, на Комисията и на Съвета, за да извършат оценка на средносрочните и дългосрочните въздействия от кризите и да постигнат съгласие по действията, които да се предприемат. Тя се председателства от върховния представител на Съюза по въпросите на външните работи и политиката на сигурност, генералния секретар или заместник генералния секретар по въпросите на реакцията при кризи. Благодарение на кризисната платформа се прави оценка на ефективността на действията на ЕС в държавата или региона, засегнати от кризата, вземат се решения относно измененията на допълнителните мерки и се обсъждат предложения за действия на Съвета. Кризисната платформа представлява ad hoc заседание; поради това тя не действа постоянно.

Работната група е съставена от представители на служби, ангажирани с реакцията при съответната криза, и може да бъде задействана, за да се проследи и улесни осъществяването на реакцията на ЕС. Тя извършва оценка на действията на ЕС, изготвя документи за съответната политика и за възможните варианти за действие, участва в подготовката на политическата рамка за подходите при кризите (PFCAs), допринася за комуникационната стратегия и приема други мерки, които могат да улеснят реализирането на реакцията на ЕС.

5.   РЕФЕРЕНТНИ ДОКУМЕНТИ

По-долу е изложен списък на референтни документи, които са били взети под внимание при подготовката на концепцията:

Европейската рамка за сътрудничество при кибернетични кризи, версия 1, 17 октомври 2012 г.

Доклад относно сътрудничеството и управлението на кибернетични кризи, ENISA, 2014 г.

Практическа информация за реакция при инциденти в областта на сигурността, ENISA, 2014 г.

Общи практики за управление на кризи на равнище ЕС и тяхната приложимост при кибернетични кризи, ENISA, 2015 г.

Стратегии за реакция при инциденти и сътрудничеството при кибернетични кризи, ENISA, 2016 г.

Стандартни оперативни процедури на ЕС за киберсигурност, ENISA, 2016 г.

Наръчник за добри практики за използване на таксономии за предотвратяване и установяване на инциденти, ENISA, 2017 г.

Съобщение „Укрепване на отбранителната способност на Европа срещу кибератаки и изграждане на конкурентeн и иновативeн сектор на киберсигурността“, COM(2016) 410 final, 5 юли 2016 г.

Заключения на Съвета относно укрепването на отбранителната способност на Европа срещу кибератаки и изграждането на конкурентeн и иновативeн сектор на киберсигурността — заключения на Съвета (15 ноември 2016 г.), 14540/16.

Решение 2014/415/ЕС на Съвета от 24 юни 2014 г. относно договореностите за прилагане от страна на Съюза на клаузата за солидарност (ОВ L 192, 1.7.2014 г., стр. 53).

Финализиране на процеса на преразглеждане на договореностите за координация при кризи (CCA): Интегрираните договорености на ЕС за реакция на политическо равнище в кризисни ситуации, 10708/13, 7 юни 2013 г.

Интегрирана осведоменост за ситуацията и анализ (ISAA) — стандартни оперативни процедури, DS 1570/15, 22 октомври 2015 г.

Разпоредби на Комисията относно общата система за бързо предупреждение ARGUS, COM(2005) 662 окончателен, 23 декември 2005 г.

Решение 2006/25/ЕО, Евратом на Комисията от 23 декември 2005 г. за изменение на нейния процедурен правилник (ОВ L 19, 24.1.2006 г., стр. 20).

ARGUS Modus Operandi, Европейска комисия, 23 октомври 2013 г.

Заключения на Съвета относно рамка за съвместен дипломатически отговор на ЕС на злонамерените дейности в киберпространството („Инструментариум за кибердипломация“), документ 9916/17.

Оперативен протокол на ЕС за борба с хибридните заплахи „EU Playbook“, документ SWD(2016) 227.

Механизъм на ЕСВД за реакция при кризи, 8 ноември 2016 г. [Ares(2017)880661]. Съвместен работен документ на службите — оперативен протокол на ЕС за борбата с хибридните заплахи „EU Playbook“, SWD(2016) 227 final, 5 юли 2016 г.

Съвместно съобщение до Европейския парламент и Съвета: съвместна рамка за борба с хибридните заплахи — ответни действия на Европейския съюз, JOIN/2016/018 final, 6 април 2016 г.

ЕСВД(2016) 1674 — Работен документ на Европейската служба за външна дейност — Служба на ЕС за синтез на информацията за хибридните заплахи — мандат.

6.   СПЕЦИАЛНИ ЕЛЕМЕНТИ НА КИБЕРСИГУРНОСТТА ВЪВ ВРЪЗКА С IPCR

Image


(1)  10708/13 относно „Финализиране на процеса на преразглеждане на договореностите за координация при кризи (CCA): интегрираните договорености на ЕС за реакция на политическо равнище в кризисни ситуации“ — документ, одобрен от Съвета на 24 юни 2013 г.

(2)  12607/15 „Стандартни оперативни процедури за ICPR“ — документ, договорен от групата „Приятели на председателството“ и взет под внимание от Корепер през октомври 2015 г.

(3)  Разпоредби на Комисията относно общата система за бързо предупреждение ARGUS, COM(2005) 662 окончателен, 23 декември 2005 г.

(4)  Решение 2006/25/ЕО, Евратом на Комисията от 23 декември 2005 г. за изменение на нейния процедурен правилник (ОВ L 19, 24.1.2006 г., стр. 20), за създаване на общата система за бързо предупреждение „ARGUS“.

(5)  Комисия на Европейските общности, 23 декември 2005 г., Съобщение на Комисията до Европейския парламент, Съвета, Европейския икономически и социален комитет и Комитета на регионите: разпоредби на Комисията относно общата система за бързо предупреждение ARGUS, COM(2005) 662 окончателен.

(6)  Решение 2006/25/ЕО, Евратом.


Top