EVROPSKÁ KOMISE
Ve Štrasburku dne 18.4.2023
COM(2023) 207 final
SDĚLENÍ KOMISE EVROPSKÉMU PARLAMENTU A RADĚ
Řešení nedostatku talentů v oblasti kybernetické bezpečnosti za účelem posílení konkurenceschopnosti, růstu a odolnosti EU
(„Akademie dovedností v oblasti kybernetické bezpečnosti“)
Řešení nedostatku talentů v oblasti kybernetické bezpečnosti za účelem posílení konkurenceschopnosti, růstu a odolnosti EU
(„Akademie dovedností v oblasti kybernetické bezpečnosti“)
1.Naléhavá potřeba snížit rizika řešením nedostatku dovedností a mezer v oblasti kybernetické bezpečnosti
Kybernetická bezpečnost není jen součástí bezpečnosti občanů, podniků a členských států. Je také nutností pro zajištění politické stability EU, stability jejích demokracií a prosperity naší společnosti a podniků. Situace v oblasti kybernetických hrozeb v posledních letech zaznamenala intenzivní vývoj a objevil se znepokojivý trend zvyšujícího se počtu kybernetických útoků zaměřených na vojenskou a civilní kritickou infrastrukturu v EU. Aktéři hrozeb zdokonalují své schopnosti a objevují se nové, hybridní a vznikající hrozby, jako je využívání botů a technik založených na umělé inteligenci. Zejména aktéři hrozeb využívající ransomware běžně způsobují subjektům značné škody, a to jak finanční, tak spočívající v poškozování jejich pověsti.
Velký počet kybernetických bezpečnostních incidentů cílil také na veřejnou správu a vlády členských států, jakož i na evropské orgány, instituce a jiné subjekty. Soustavným cílem útoků jsou i finanční sektor a zdravotnictví, které tvoří páteř společnosti a ekonomiky. Geopolitické napětí spojené s ruskou agresí vůči Ukrajině kybernetickou hrozbu zvýšilo a může destabilizovat naši společnost. Bezpečnost EU nelze zaručit bez nejcennějšího aktiva EU: jejích obyvatel. EU naléhavě potřebuje odborníky s dovednostmi a kompetencemi, kteří budou předcházet kybernetickým útokům, odhalovat je, odrazovat od nich a budou před nimi bránit EU včetně jejích nejkritičtějších infrastruktur a zajišťovat její odolnost.
Nedostatek talentů v oblasti kybernetické bezpečnosti dále brání konkurenceschopnosti a růstu Evropy, které jsou do značné míry závislé na vývoji a zavádění strategických digitálních technologií (např. umělé inteligence, 5G a cloudu). Aby byla EU nadále schopna v celosvětovém měřítku zajišťovat klíčové pokročilé technologie, potřebuje kvalifikovanou pracovní sílu v oblasti kybernetické bezpečnosti.
S cílem připravit se na tento vývoj hrozeb a čelit mu, jakož i podpořit konkurenceschopnost EU učinila politika EU v oblasti kybernetické bezpečnosti v posledních letech významný pokrok, který vedl k přijetí řady iniciativ, jako jsou strategie kybernetické bezpečnosti EU pro digitální dekádu, revidovaná směrnice o bezpečnosti sítí a informací (směrnice NIS 2), odvětvové právní předpisy EU v oblasti kybernetické bezpečnosti, politika kybernetické obrany EU, akt o kybernetické odolnosti a akt o kybernetické solidaritě, jejichž návrh Komise předkládá spolu s tímto sdělením. Tyto právní předpisy však nedosáhnou svých cílů bez kvalifikovaných pracovníků, kteří je budou uvádět do praxe a uplatňovat. Zatímco základní znalosti obyvatelstva týkající se kybernetické bezpečnosti jsou řešeny v rámci iniciativ podporujících rozvoj obecných dovedností potřebných k zapojení do společnosti, splnění těchto právních a politických požadavků na kybernetickou bezpečnost vyžaduje kompetentní pracovní síly ve veřejném i soukromém sektoru, na vnitrostátní i unijní úrovni a včetně normalizačních organizací.
Bezpečnost a konkurenceschopnost EU proto závisí na tom, zda bude mít profesionální kvalifikovanou pracovní sílu v oblasti kybernetické bezpečnosti. EU se však potýká s velmi výrazným nedostatkem kvalifikovaných odborníků na kybernetickou bezpečnost, což vystavuje EU, její členské státy, podniky a občany riziku kybernetických bezpečnostních incidentů. V roce 2022 se počet chybějících odborníků na kybernetickou bezpečnost v Evropské unii pohyboval v rozmezí 260 000až 500 000 osob, přičemž potřeba pracovních sil v oblasti kybernetické bezpečnosti v EU se odhadovala na 883 000 odborníků, což naznačuje nesoulad mezi dostupnými kompetencemi a kompetencemi požadovanými trhem práce. Na pracovní síly v oblasti kybernetické bezpečnosti má vliv i mylná představa přisuzující této činnosti (ryze)? technickou povahu, díky čemuž na tento obor stále nedaří přilákat ženy, které tvoří jen 20 % absolventů v oboru kybernetické bezpečnosti a 19 % odborníků v oblasti informačních a komunikačních technologií (dále jen „IKT“). Ve snaze řešit tento stav stanovil evropský program Digitální dekáda 2030 cíl zvýšit do roku 2030 počet odborníků v oblasti IKT o 20 milionů a zároveň dosáhnout rovnoměrnějšího genderového zastoupení. Zavádění nové politiky EU navíc vyžaduje dostatek odpovídajícím způsobem kvalifikované pracovní síly. Například více než 42 % vedoucích pracovníků v IT v odvětví finančních služeb upozornilo na nedostatečné dovednosti a odbornost v kybernetické bezpečnosti jako na klíčový problém, kterému jejich obor čelí, pokud jde o obranu a řízení incidentů v oblasti kybernetické bezpečnosti, a to v době, kdy budou muset začít uplatňovat odvětvové právní předpisy týkající se kybernetické bezpečnosti, jako je akt o digitální provozní odolnosti (DORA).
K nedostatečné nabídce na trhu práce přispívá i neochota zaměstnavatelů investovat do lidského kapitálu a snaha hledat již vyškolenou a zkušenou pracovní sílu. Tento nedostatek se dotýká všech typů podniků, včetně malých a středních podniků (MSP), které představují 99 % všech podniků v EU. Velký problém zaznamenávají i orgány veřejné správy, které se obětí kybernetických bezpečnostních incidentů stávají velmi často a se značnými následky.
Řešení nedostatku talentovaných odborníků nakybernetickou bezpečnost v EU je proto velmi naléhavé, neboť v sázce je bezpečnost a konkurenceschopnost EU.
2.Chybějící součinnost a koordinovaná opatření k odstranění nedostatku dovedností v oblasti kybernetické bezpečnosti
Existuje nespočet iniciativ na evropské a vnitrostátní úrovni, které provádějí veřejné i soukromé subjekty s cílem řešit nedostatek pracovních sil v oblasti kybernetické bezpečnosti. Jsou však rozptýlené a zatím se jim nepodařilo dosáhnout kritického rozsahu, který by mohl znamenat skutečnou změnu.
Především v současné době existuje jen omezená obecná shoda na skladbě pracovních sil v kybernetické bezpečnosti v EU a souvisejících dovednostech, přičemž podobné pracovní profily v kybernetické bezpečnosti by měly zahrnovat tentýž soubor dovedností. Nízká míra přijetí společného evropského referenčního rámce pro odborníky v oblasti kybernetické bezpečnosti příslušnými aktéry vede k tomu, že chybí nástroj komunikace mezi zaměstnavateli, poskytovateli vzdělávání a tvůrci politik a nedostatky na trhu práce v oblasti kybernetické bezpečnosti nelze měřit a posuzovat. Brání to i tvorbě programů vzdělávání a odborné přípravy a vytváření možností profesní dráhy pro osoby se zájmem o tuto profesi, které by odpovídaly potřebám politiky a trhu. Prohlubování dovedností a změna kvalifikace pracovních sil se ve velké míře opírají o školení a certifikáty v oblasti kybernetické bezpečnosti, které obvykle nabízejí soukromí poskytovatelé. Pracovní síly však jen obtížně získávají přehled o kvalitě nabízených školení v oblasti kybernetické bezpečnosti a o vydávaných certifikátech.
Vzdělávání a odborná příprava a budování možností profesní dráhy jsou nezbytné k posílení nabídkové strany trhu práce, úloha poptávkové strany v odborné přípravě pracovních sil a přizpůsobování se jejímu vývoji je však v současné době podceňována. Zaměstnavatelé z průmyslu a veřejného sektoru postrádají společná fóra a místa, kde by mohli sdílet náměty na nejlepší odbornou přípravu pracovních sil a řešit, jak lépe hodnotit dovednosti, zejména během náboru. Nejžádanějšími „tvrdými“ dovednostmi jsou sice dovednosti související s kybernetickou bezpečností, jako je vývoj softwaru nebo cloud computing, stále jsou však neoprávněně opomíjeny průřezové dovednosti. Kritické myšlení a analýza, řešení problémů a samostatné fungování jsou skupiny dovedností, které zaměstnavatelé požadují více a jejichž význam s blížícím se rokem 2025 narůstá.
V oblasti kybernetické bezpečnosti již existuje mnoho veřejných i soukromých investičních iniciativ, přičemž EU rozsáhle financuje projekty v rámci různých nástrojů. Přetrvávající nedostatek dovedností v EU však vyvolává otázky ohledně jejich viditelnosti a dopadu a naznačuje, že tyto projekty možná systematicky nereagují na potřeby trhu, které je třeba na úrovni EU urychleně zmapovat. Kromě toho více zdrojů financování vede k duplicitám a ztrácí se příležitost k rozšíření a dosažení skutečného dopadu. Navíc ti, kteří investice potřebují, nejsou vždy schopni určit nejvhodnější zdroje k pokrytí svých potřeb.
Zúčastněné strany se snaží řešit složitý a mnohostranný problém nedostatku dovedností v oblasti kybernetické bezpečnosti. Agentura Evropské unie pro kybernetickou bezpečnost (dále jen „ENISA“) vyvíjí nástroje týkající se profilů rolí nebo vysokoškolského vzdělávání, Evropské centrum kompetencí pro kybernetickou bezpečnost (dále jen „ECCC“) se zabývá dovednostmi v oblasti kybernetické bezpečnosti ve specializované pracovní skupině, Evropská bezpečnostní a obranná škola (dále jen „EBOŠ“) se zabývá dovednostmi v oblasti kybernetické bezpečnosti u civilních a vojenských pracovníků v kontextu společné bezpečnostní a obranné politiky, tuto problematiku se snaží řešit i soukromé organizace a odvětví certifikace v oboru kybernetické bezpečnosti připravuje plán a školení zaměřená na chybějící dovednosti. Členské státy se rovněž snaží uvedený problém řešit prostřednictvím různých iniciativ, od iniciativ regulačních až po zřizování akademií kybernetických dovedností nebo kybernetických kampusů a center excelence pro boj proti kyberkriminalitě, nebo prostřednictvím partnerství veřejného a soukromého sektoru. Práce všech těchto zúčastněných stran však často postrádá koordinaci a součinnost a nedosahuje svého potenciálu z hlediska podstatné změny situace na trhu práce, jak ukazuje rostoucí nedostatek pracovníků v oblasti kybernetické bezpečnosti v EU. Je také zapotřebí zvýšit součinnost mezi kybernetickými komunitami, protože soubory dovedností potřebné k zajišťování kybernetické bezpečnosti, boj proti kyberkriminalitě nebo budování kybernetické obrany jsou často podobné povahy.
V neposlední řadě má dnes EU omezené možnosti, jak posoudit stav a vývoj trhu práce v oblasti kybernetické bezpečnosti a dovedností příslušných pracovních sil. Členské státy a orgány, instituce a jiné subjekty využívají buď údaje shromážděné soukromými subjekty, nebo širší soubor údajů shromážděných v EU, zejména Eurostatem a Evropským střediskem pro rozvoj odborného vzdělávání (CEDEFOP) o odbornících na IKT. Jinými slovy, EU má o svých potřebách jen částečný a roztříštěný přehled, což jí brání konsolidovat souhrnnou představu o stavu trhu práce v oblasti kybernetické bezpečnosti.
3.Koordinovaná reakce v rámci celé EU: Akademie dovedností v oblasti kybernetické bezpečnosti
3.1Cíl
K překonání problému, který řešení dovedností v oblasti kybernetické bezpečnosti a odstranění nedostatků na trhu práce představuje, předkládá Komise návrh na zřízení Akademie dovedností v oblasti kybernetické bezpečnosti, který oznámila předsedkyně Evropské komise ve svém prohlášení o záměru v rámci projevu o stavu Unie v roce 2022 a v souvislosti s Evropským rokem dovedností.
Cílem Akademie dovedností v oblasti kybernetické bezpečnosti (zkráceně „akademie“) je vytvořit jednotné místo kontaktu a součinnosti pro nabídky vzdělávání a odborné přípravy v oblasti kybernetické bezpečnosti, jakož i pro možnosti financování a konkrétní opatření na podporu rozvoje dovedností v oblasti kybernetické bezpečnosti. Posílí iniciativy zúčastněných stran, aby dosáhly kritického množství, které zajistí změnu na trhu práce, včetně oblasti obrany. Tyto činnosti budou sladěny na základě společných cílů a klíčových ukazatelů výkonnosti, aby se dosáhlo většího dopadu.
Akademie se zaměří na kvalifikaci odborníků na kybernetickou bezpečnost. Činnost akademie se promítne do politik EU v oblasti kybernetické bezpečnosti, ale také do vzdělávání a celoživotního učení. Akademie doplňuje dvě doporučení Rady týkající se digitálního vzdělávání a dovedností, jejichž návrh Komise předložila současně s tímto sdělením.
Akademie se bude opírat o čtyři pilíře: 1) podpora získávání znalostí prostřednictvím vzdělávání a odborné přípravy, a to prací na společném rámci pro profily rolí v oblasti kybernetické bezpečnosti a související dovednosti, zlepšováním nabídky evropského vzdělávání a odborné přípravy odpovídající potřebám, budováním možností profesních drah a zajišťováním přehlednosti a jasnosti odborné přípravy a certifikací v oblasti kybernetické bezpečnosti s cílem posílit nabídku pracovních sil; 2) zajišťování lepšího směrování a viditelnosti dostupných možností financování pro činnosti související s dovednostmi s cílem maximalizovat jejich dopad; 3) vyzývání zúčastněných stran k přijetí opatření a 4) definování ukazatelů, které umožní sledovat vývoj trhu a posoudit účinnost opatření.
Realizace akademie bude podpořena finančními prostředky ve výši 10 milionů EUR z programu Digitální Evropa.
3.2Správa a řízení akademie
V konečném důsledku by akademie mohla mít podobu konsorcia evropské digitální infrastruktury (dále jen „konsorcium EDIC“), aby nabídla infrastrukturu, která bude sloužit jako jednotné kontaktní místo na podporu spolupráce mezi akademickou obcí, poskytovateli odborné přípravy a průmyslem, kde by se strany nabídky a poptávky v rámci ekosystému kybernetické bezpečnosti EU mohly setkávat a vzdělávat. Tento nástroj by členským státům umožnil společně pracovat na odstranění nedostatku kybernetických dovedností a úzce spolupracovat s Komisí, agenturou ENISA a Evropským centrem kompetencí pro kybernetickou bezpečnost (ECCC) v souladu s jejich mandáty a pravomocemi a zapojit všechny příslušné zúčastněné strany, ale také směrovat evropské, vnitrostátní a soukromé investice ve prospěch společného cíle. Za tímto účelem se zúčastněné členské státy vyzývají, aby do 30. května 2023 předložily Komisi předběžné oznámení o své budoucí žádosti o účast v takovém konsorciu EDIC. Toto dobrovolné předběžné oznámení Komisi umožní vznést k návrhu žádosti o zřízení konsorcia EDIC včas připomínky, a tím urychlit další vývoj a formální předložení. V průběhu celého procesu a v rozsahu požadovaném členskými státy bude Komise jako akcelerátor projektů pro více zemí usnadňovat přípravu žádosti o zřízení konsorcia EDIC. Poté, co Komise žádost kladně posoudí a výbor pro program digitální dekády ji schválí, vydá Komise rozhodnutí o zřízení konsorcia EDIC a následně pomůže koordinovat jeho provádění.
Do té doby a než bude konsorcium EDIC formálně zřízeno, vytvoří Komise virtuální jednotné kontaktní místo tak, že posílí svou Platformu pro digitální dovednosti a pracovní místa za pomoci projektu Podpora evropské komunity pro kybernetickou bezpečnost (dále jen „ECCO“)
.
Agentura ENISA bude přispívat k provádění akademie v souladu s cíli agentury, zejména pokud jde o pomoc při vzdělávání a odborné přípravě v oblasti kybernetické bezpečnosti, a to s ohledem na své oznamovací povinnosti podle směrnice NIS 2. Centrum ECCC bude v souladu se svou strategickou agendou podporovat realizaci Akademie dovedností v oblasti kybernetické bezpečnosti. Centrum ECCC bude zejména provádět strategický cíl 3 (kybernetická bezpečnost) programu Digitální Evropa. Bude využívat podpory Komise a členských států prostřednictvím národních koordinačních center. V případě potřeby bude požádána skupina pro spolupráci zřízená podle směrnice NIS 2. K dosažení cíle akademie, kterým je odstranění nedostatků v oblasti kybernetických dovedností, bude nezbytné spojit síly s průmyslem a akademickou obcí.
4.Získávání znalostí a odborná příprava: vytvořit společný přístup EU k odborné přípravě v oblasti kybernetické bezpečnosti
V rámci pilíře Akademie dovedností v oblasti kybernetické bezpečnosti zaměřeného na získávání znalostí a odbornou přípravu bude vypracován strukturovaný přístup s jasným cílem zvýšit počet osob s dovednostmi v oblasti kybernetické bezpečnosti v EU, lépe cílit odbornou přípravu na potřeby trhu a zajistit přehled o možnostech profesní dráhy.
4.1Hovořit stejným jazykem: společný přístup k profilům rolí v oblasti kybernetické bezpečnosti a souvisejícím dovednostem
Agentura ENISA již pracovala na definování profilů rolí odborníků v oblasti kybernetické bezpečnosti v rámci evropského rámce kybernetických kompetencí (dále jen „ECSF“). Ten by se měl stát základem, na němž bude akademie definovat a posuzovat příslušné dovednosti, sledovat vývoj nedostatků v dovednostech a poskytovat údaje o nových potřebách. Pro každou roli v oblasti kybernetické bezpečnosti v rámci ECSF je jako prvek popisu profilu začleněn soubor příslušného evropského rámce e-kompetencí.
Agentura ENISA proto provede přezkum rámce ECSF a určí vyvíjející se potřeby a nedostatky týkající se dovedností pracovníků v kybernetické bezpečnosti, a to i pomocí pokročilých nástrojů (např. umělé inteligence, dat velkého objemu, vytěžování dat). Za tímto účelem bude agentura ENISA pod vedením konsorcia EDIC, až bude zřízeno, a centra ECCC pracovat s národními koordinačními centry, Komisí, projektem ECCO a účastníky trhu. Pokud jde o pracovníky v oblasti kybernetické obrany, agentura ENISA náležitě zohlední práci EBOŠ. Podobně v oblasti boje proti kyberkriminalitě agentura ENISA zohlední činnosti Agentury Evropské unie pro vzdělávání a výcvik v oblasti prosazování práva (dále jen „CEPOL“) a Europolu při přípravě analýzy potřeb operativní odborné přípravy v oblasti kybernetických útoků.
Evropský rámec dovedností v oblasti kybernetické bezpečnosti bude na základě činnosti akademie ve dvouletém cyklu pravidelně doplňován a revidován. Kromě toho Komise a Evropská služba pro vnější činnost podle potřeby přispějí k vymezení konkrétních profilů a souvisejících dovedností pro jednotlivá odvětví, a to za podpory subjektů a institucí EU, jako je Evropská bezpečnostní a obranná škola, Europol a Agentura Evropské unie pro vzdělávání a výcvik v oblasti prosazování práva.
Bude rovněž vytvořena vazba mezi rámcem ECSF a příslušnými nástroji politiky zaměstnanosti EU. Zejména budou pracovní profily podle rámce ECSF a související dovednosti začleněny do evropské klasifikace dovedností, kompetencí, kvalifikací a povolání. Tím se zlepší klasifikace a vazby mezi povoláními a dovednostmi v oblasti kybernetické bezpečnosti, což jednotlivcům usnadní prohlubování dovedností a změny kvalifikace a podpoří se obsazování pracovních míst podle dovedností a přeshraniční mobilita.
4.2Podpora spolupráce při tvorbě plánů vzdělávání a odborné přípravy v oblasti kybernetické bezpečnosti
Po zřízení konsorcia EDIC by akademie měla získat podporu členských států, aby se stala referenčním místem v Evropě pro koncipování a realizaci školení v oblasti kybernetické bezpečnosti zaměřených na nejžádanější dovednosti a zajišťovala profesní přípravu na pracovišti a stáže pro začínající podniky a malé a střední podniky a pro orgány veřejné správy v inovativních společnostech a centrech kompetencí v oblasti kybernetické bezpečnosti. Konsorcium EDIC by mělo při koncipování takových školení spolupracovat se všemi příslušnými zúčastněnými stranami, včetně průmyslu, a vycházet z projektů, jako je CyberSecPro, financovaný z programu Digitální Evropa, který sdružuje sedmnáct vysokoškolských institucí a třináct bezpečnostních společností ze šestnácti členských států, aby přinesl dobrou praxi pro všechny programy školení v oblasti kybernetické bezpečnosti.
Akademie bude spolupracovat se všemi příslušnými zúčastněnými stranami, aby k profesní dráze v oblasti kybernetické bezpečnosti přilákala generaci mladých lidí. V souladu s návrhem doporučení Rady o zlepšení poskytování digitálních dovedností ve vzdělávání a odborné přípravě by členské státy měly zavést a posílit opatření k náboru a odborné přípravě specializovaných učitelů a školitelů a usnadnit získávání dovedností v oblasti kybernetické bezpečnosti, a to i prostřednictvím učňovských stáží. Je třeba podporovat začlenění kybernetické bezpečnosti do programů vzdělávání a odborné přípravy a zároveň zajistit jejich dostupnost, rozvíjet nabídku učňovské přípravy a stáží, podporovat inovativní přístupy včetně například vážných her (tzv. „serious games“) a sdílených simulačních platforem, pořádat týdny intenzivní přípravy v oblasti kybernetické bezpečnosti a vysvětlovat profily netechnických rolí. Účast na těchto vzdělávacích příležitostech v oblasti kybernetické bezpečnosti by měla být podporována i u obtížně oslovitelných skupin, jako jsou mladí lidé se zdravotním postižením, mladí lidé žijící v odlehlých nebo venkovských oblastech a mladí lidé z jiných menšinových skupin.
Komise bude i nadále podporovat rozvoj mikrocertifikátů a programů odborného vzdělávání a přípravy. V rámci programu Erasmus+ budou nadále financovány zejména společné bakalářské a magisterské studijní programy, společné kurzy nebo moduly, které mohou vést k získání mikrocertifikátů, a kombinované intenzivní programy na všechna témata včetně kybernetické bezpečnosti. Podporováno bude také další zavádění iniciativy „Evropské univerzity“ a center excelence odborného vzdělávání s cílem povzbudit větší spolupráci mezi vysokoškolskými institucemi a příslušnými institucemi odborného vzdělávání a přípravy v celé Evropě. Tento cíl spočívající v prohloubení spolupráce bude podpořen programy financování z EU, včetně programu Erasmus+ a programu Digitální Evropa, a také fondy EU pro rozvoj individuálních vzdělávacích účtů.
S cílem usnadnit spolupráci na vnitrostátní úrovni mezi akademickou obcí a poskytovateli odborné přípravy v oblasti kybernetické bezpečnosti a zaměstnavateli ze soukromého a veřejného sektoru a podpořit součinnost mezi veřejným a soukromým sektorem se národní koordinační centra vyzývají, aby prozkoumala možnost zřízení kybernetických kampusů v členských státech. Cílem kybernetických kampusů by bylo vytvořit póly excelence na vnitrostátní úrovni pro komunitu kybernetické bezpečnosti, přičemž akademie by napomohla jejich propojení a další koordinaci jejich činností.
Svou nabídku odborné přípravy v oblasti kybernetické bezpečnosti rozšíří rovněž agentura ENISA, přičemž sladí svůj katalog kurzů s profily podle rámce ECSF a vypracuje moduly školení pro jednotlivé profily, které mohou rozšířit nabídku členských států v oblasti odborné přípravy. Agentura ENISA rovněž rozšíří svůj program „školení školitelů“ zaměřený na odborné potřeby orgánů, institucí a jiných subjektů EU a subjektů veřejného sektoru v členských státech a veřejných a soukromých kritických provozovatelů v oblasti působnosti směrnice NIS 2.
Kromě toho svou nabídku školení v oblasti kybernetické bezpečnosti posílí i další subjekty a instituce EU. Například v rámci provádění politiky EU v oblasti kybernetické obrany vypracuje EBOŠ nový soubor kurzů kybernetické bezpečnosti a sladí některé ze svých stávajících kurzů s rámcem ECSF. Tyto kurzy povedou k certifikaci výsledků učení. EBOŠ ve spolupráci s Komisí prozkoumá možnost začlenění certifikátů do peněženky digitální identity EUeID. EBOŠ dále prozkoumá možné mechanismy hodnocení dovedností, na jejichž základě budou certifikáty vydávány. Podobně se v oblasti boje proti kyberkriminalitě bude usilovat o úzké propojení s akademií CEPOL pro boj proti kyberkriminalitě, aby se podpořila součinnost a doplňkovost při koncipování a zavádění programů odborné přípravy.
4.3Vytváření součinnosti a zviditelnění školení a certifikace v oblasti kybernetické bezpečnosti ve všech členských státech
Akademie by se měla zabývat otázkou viditelnosti a součinnosti odborné přípravy a certifikace. Z toho by těžily civilní, obranné, donucovací a diplomatické kybernetické komunity, neboť všechny sektory vyžadují v mnoha případech stejné odborné znalosti založené na podobných učebních plánech a výsledcích vzdělávání.
Akademie by pro zájemce o profesní dráhu v oblasti kybernetické bezpečnosti sloužila jako jednotné kontaktní místo. V krátkodobém horizontu to bude zajištěno posílením platformy Komise pro digitální dovednosti a pracovní místa s podporou projektu ECCO. Zvláštní oddíl věnovaný profesní dráze v kybernetické bezpečnosti bude propojen se stávajícími nástroji, od vysokoškolských vzdělávacích programů přes možnosti odborné přípravy, včetně kurzů vedoucích k získání mikrocertifikátů a programů odborného vzdělávání a přípravy, až po nabídky zaměstnání. Za tím účelem budou na platformě uváděny nebo do ní integrovány aktuální činnosti a iniciativy , například iniciativa agentury ENISA, která ve spolupráci s akademickou obcí vytvořila mapu vzdělávacích institucí poskytujících programy v oblasti kybernetické bezpečnosti,. Tuto činnost dále posílí podpora ze strany národních koordinačních center. Kromě toho agentura ENISA s podporou národních koordinačních center, Komise a projektu ECCO a ve spolupráci se subjekty, které udělují certifikace, zřídí dvě úložiště existující nabídky školení z veřejného a soukromého sektoru a certifikace v oblasti kybernetické bezpečnosti a bude je konsolidovat, přičemž čerpat bude i z dalších důležitých iniciativ. Úložiště budou rovněž začleněna do jednotného kontaktního místa Platformy pro digitální dovednosti a pracovní místa. Z této práce budou těžit i národní koordinační centra, jejichž úkolem je zejména propagovat a šířit vzdělávací programy v oblasti kybernetické bezpečnosti.
Je také nutné poskytnout odborníkům záruky, že školení, která absolvují, budou mít požadovanou kvalitu. V tomto ohledu agentura ENISA vypracuje pilotní projekt, který prozkoumá možnosti zřízení Evropského systému osvědčování dovedností v oblasti kybernetické bezpečnosti.
Kromě toho je nezbytné určit dovednosti a odbornou přípravu a přiřadit je k pracovnímu profilu, ale je také důležité zajistit, aby služby kybernetické bezpečnosti byly poskytovány s potřebnými kompetencemi, odbornými znalostmi a zkušenostmi. To platí zejména pro poskytovatele řízených bezpečnostních služeb v oblastech jako reakce na incidenty, penetrační testování, bezpečnostní audity a konzultační činnost. Směrnice NIS 2 a návrh aktu o kybernetické solidaritě stanoví pro tyto poskytovatele řízených bezpečnostních služeb konkrétní úkoly. Komise proto také navrhuje cílenou změnu aktu o kybernetické bezpečnosti, která by umožnila zavedení systémů certifikace řízených bezpečnostních služeb na úrovni EU. Cílem těchto certifikačních systémů by mělo být mimo jiné zajistit, aby tyto služby poskytovali pracovníci s velmi vysokou úrovní technických znalostí a kompetencí v příslušných oblastech.
Mechanismy zajištění kvality a uznávání mikrocertifikátů usnadňují transparentnost, srovnatelnost a přenositelnost výsledků vzdělávání. V souladu s doporučením Rady o evropském přístupu k mikrocertifikátům se členské státy vyzývají, aby do svých vnitrostátních rámců kvalifikací zahrnuly mikrocertifikáty v oblasti kybernetické bezpečnosti. To by jim umožnilo propojit mikrocertifikáty v oblasti kybernetické bezpečnosti s evropským rámcem kvalifikací. Infrastruktura evropských digitálních certifikátů o vzdělání je k dispozici pro vydávání digitálně podepsaných kvalifikací a mikrocertifikátů v oblasti kybernetické bezpečnosti pro jednotlivce. Ty obsahují velké množství dat včetně údajů o výsledcích vzdělávání v oblasti kybernetické bezpečnosti a mohou být uloženy v budoucí digitální peněžence EUeID.
Akce v rámci akademie
Členské státy a průmysl
·Zajistit podporu rozvoje a uznávání mikrocertifikátů o studiu v oblasti kybernetické bezpečnosti v souladu s doporučením Rady o evropském přístupu k mikrocertifikátům.
·Zahrnout kvalifikace v oblasti kybernetické bezpečnosti včetně mikrocertifikátů do vnitrostátních rámců kvalifikací.
·Poskytnout lidem, kteří se účastní iniciativ pro rozvoj dovedností v oblasti kybernetické bezpečnosti, příležitosti k učení na pracovišti formou stáží.
Komise
·V krátkodobém horizontu vytvořit jednotné kontaktní místo pro programy v oblasti kybernetické bezpečnosti, stávající školení a certifikace v oblasti kybernetické bezpečnosti prostřednictvím Platformy pro digitální dovednosti a pracovní místa, a to konce roku 2023.
·Dne 18. dubna 2023 předložit návrh změny aktu o kybernetické bezpečnosti, která by umožnila certifikaci poskytovatelů řízených bezpečnostních služeb.
Instituce a subjekty EU
·Do konce roku 2023 zavést rámec ECSF jako společný přístup k profilům rolí v oblasti kybernetické bezpečnosti a souvisejícím dovednostem.
·Agentura ENISA zahájí ve 2. čtvrtletí roku 2023 vývoj pilotního projektu, kterým se zřídí evropský systém osvědčování dovedností v oblasti kybernetické bezpečnosti.
·Agentura ENISA přezkoumá svůj katalog kurzů a do konce roku 2023 otevře program „školení školitelů“ pro veřejné i soukromé kritické provozovatele.
·Do poloviny roku 2023 dokončit sladění učebních plánů EBOŠ s rámcem ECSF.
|
5.Zapojení zúčastněných stran: usilovat o odstranění nedostatku dovedností v oblasti kybernetické bezpečnosti
V rámci akademie bude vypracován koordinovaný přístup k zapojení zúčastněných stran do řešení nedostatku dovedností v oblasti kybernetické bezpečnosti. Cílem bude maximalizovat viditelnost a dopad závazků různých zúčastněných stran zaměřených na snížení nedostatku dovedností v oblasti kybernetické bezpečnosti.
Komise vyzývá zúčastněné strany, aby přijaly konkrétní závazky a zavázaly se k prohlubování dovedností a změnám kvalifikace pracovníků prostřednictvím specializovaných opatření, která budou v co největší míře vycházet ze zjištěných nedostatků dovedností v oblasti kybernetické bezpečnosti. Tyto závazky zúčastněných stran v oblasti kybernetické bezpečnosti by měly být oznámeny Platformě pro digitální dovednosti a pracovní místa, podobně jako ostatní digitální závazky, které jsou již na platformě viditelné. Komise dále vyzývá zúčastněné strany, které na platformě zveřejní závazek v oblasti kybernetické bezpečnosti, aby se připojily k digitálnímu partnerství velkého rozsahu v rámci Paktu pro dovednosti. Závazky v oblasti kybernetické bezpečnosti přijaté v rámci digitálního partnerství velkého rozsahu by měly být uvedeny na Platformě pro digitální dovednosti a pracovní místa. Stejně tak se doporučuje, aby závazky přijaté na Platformě pro digitální dovednosti a pracovní místa byly oznámeny v digitálním partnerství velkého rozsahu v rámci Paktu pro dovednosti.
Komise dále vyzývá členské státy, aby pokračovaly v úsilí o naplňování deklarace o ženách v digitálním světě s cílem podpořit ženy, aby hrály aktivní a významnou roli v odvětví digitálních technologií, a dosáhnout rovnoměrnějšího genderového zastoupení na pracovních pozicích v kybernetické bezpečnosti. Komise rovněž vybízí členské státy, aby rozvíjely synergie se svými programy v rámci Evropského sociálního fondu+ (ESF+) s cílem dále podpořit cíl genderově vyvážené účasti na trhu práce, například zřizováním mentorských programů pro dívky a ženy. Díky nim bude možné snadněji vytvářet vzory, které přilákají dívky k profesím v oblasti kybernetické bezpečnosti, a zároveň budou bojovat proti genderovým stereotypům. Podporuje se také prohlubování dovedností a změny kvalifikace žen a rozvoj komunity, která bude schopna podpořit ženy při jejich vstupu na trh práce nebo kariérním postupu v oblasti kybernetické bezpečnosti.
Členské státy by měly v rámci svých národních strategií kybernetické bezpečnosti přijmout konkrétní opatření s cílem zmírnit nedostatek dovedností v oblasti kybernetické bezpečnosti, určit a lépe směrovat úsilí o odstranění nedostatků dovedností a v konečném důsledku zajistit řádné plnění svých povinností podle směrnice NIS 2.
Některé členské státy využívají součinnosti mezi iniciativami v civilním, obranném a donucovacím sektoru. Například výchova pracovních sil prostřednictvím povinné vojenské služby nebo využití kybernetických záložníků, tedy občanů, kteří absolvovali vojenský výcvik a v ozbrojených silách obsazují pracovní pozice v oblasti kybernetické bezpečnosti, umožňuje obyvatelstvu, a zejména mladým dospělým, zvýšit své dovednosti v oblasti kybernetické bezpečnosti a kybernetické obrany. Totéž platí i pro oblast boje proti kyberkriminalitě, neboť mezi obecným úsilím o kybernetickou bezpečnost a činností donucovacích orgánů v reakci na kybernetické bezpečnostní incidenty existuje mnoho podobností. Komise vybízí členské státy k diskusi o těchto iniciativách a vyzývá je, aby posoudily, jak mohou kvalifikované pracovní síly nejlépe sloužit komunitě obranné i civilní kybernetické bezpečnosti.
Komise zváží návrhy, jak řešit současné a očekávané nedostatky zjištěné při přezkumu potřeb orgánů, institucí a jiných subjektů EU. Zejména bude podporovat zaměstnance, aby využili plánovaného stipendia EU a Spojených států amerických v oblasti kybernetické bezpečnosti, které bude zřízeno v rámci dialogu mezi EU a USA.
Akce v rámci akademie
Průmysl
·Navrhnout konkrétní závazky v oblasti kybernetické bezpečnosti v rámci Platformy pro digitální dovednosti a pracovní místa ode dne 18. dubna 2023.
Členské státy
· Zahrnout do národních strategií kybernetické bezpečnosti konkrétní opatření k řešení nedostatku kybernetických dovedností.
Členské státy a průmysl
·Naplňovat deklaraci Ženy v digitálním světě a do roku 2030 dosáhnout rovnoměrnějšího genderového zastoupení na pracovních pozicích v kybernetické bezpečnosti.
|
6.Financování: budovat synergie s cílem maximalizovat dopad výdajů na rozvoj dovedností v oblasti kybernetické bezpečnosti
V rámci akademie bude dopad investic do dovedností v oblasti kybernetické bezpečnosti maximalizován zajištěním společného kontaktního místa, usnadněním lepšího směrování finančních prostředků ve vztahu k potřebám trhu a lepšího využívání finančních prostředků, umožněním součinnosti mezi různými nástroji a zároveň předcházením zdvojování úsilí.
6.1 Sladění finančních prostředků s potřebami
V rámci akademie bude centrum ECCC s podporou Komise, projektu ECCO a národních koordinačních center shromažďovat informace o využívání finančních prostředků EU k financování dovedností v oblasti kybernetické bezpečnosti, a posoudí, jak finanční prostředky EU pomáhají řešit nedostatek dovedností v oblasti kybernetické bezpečnosti. S ohledem na tyto souhrnné informace bude centrum ECCC usilovat o zajištění lepšího směrování finančních prostředků EU na zjištěné potřeby. Bude financovat opatření, která se zaměří na nejpalčivější nedostatky v oblasti kybernetické bezpečnosti včetně těch, které souvisejí s prováděním potřeb politiky kybernetické bezpečnosti.
6.2 Zviditelnění dostupných finančních prostředků a partnerských iniciativ zaměřených na dovednosti v oblasti kybernetické bezpečnosti
V krátkodobém horizontu se Platforma pro digitální dovednosti a pracovní místa stane pro zúčastněné strany jednotným kontaktním místem, kde budou k dispozici veškeré informace o možnostech financování dovedností v oblasti kybernetické bezpečnosti.
EU investuje do lidí a jejich dovedností a využívá zejména partnerství s průmyslem k mobilizaci opatření týkajících se prohlubování dovedností a změn kvalifikace prostřednictvím několika nástrojů určených v rámci Evropské agendy dovedností
, zejména Paktu pro dovednosti
a Akčního plánu pro digitální vzdělávání. Program Digitální Evropa financuje příležitosti v oblasti kybernetické bezpečnosti, zejména prostřednictvím projektových iniciativ za účasti více zemí, a jasně tak doplňuje podporu výzkumu a inovativních technologických řešení v oblasti kybernetické bezpečnosti, kterou nabízí program Horizont Evropa. Evropský obranný fond financuje výzkum a vývoj technologií k provádění účinných kybernetických operací, včetně školení a cvičení. Erasmus+ bude tyto iniciativy nadále podporovat, a to i prostřednictvím kombinovaných intenzivních programů a projektů spolupráce.
Členské státy se vyzývají, aby mobilizovaly finanční prostředky EU, které spravují v rámci přímého řízení, na podporu dovedností a pracovních míst v oblasti kybernetické bezpečnosti. Významný synergický potenciál mají v tomto ohledu fondy politiky soudržnosti, jako je Evropský fond pro regionální rozvoj (EFRR) a ESF+. Opatření v rámci Nástroje pro oživení a odolnost (RRF) a programu InvestEU zahrnují další doplňkové prvky klíčové pro plnění cílů akademie.
Akce v rámci akademie
Evropské centrum kompetencí v oblasti kybernetické bezpečnosti a agentura ENISA
·Do konce roku 2024 zmapovat stávající financování EU kybernetické bezpečnosti s ohledem na potřeby trhu, posoudit účinnost a určit priority financování.
Komise
·Do konce roku 2023 zřídit na Platformě pro digitální dovednosti a pracovní místa jednotné kontaktní místo pro možnosti financování dovedností v oblasti kybernetické bezpečnosti.
|
7.Měření pokroku: integrovaná odpovědnost
V rámci akademie bude vypracována metodika, která umožní měřit pokrok v odstraňování nedostatku dovedností v oblasti kybernetické bezpečnosti.
7.1Definování ukazatelů kybernetické bezpečnosti pro sledování vývoje trhu práce v oblasti kybernetické bezpečnosti
Index digitální ekonomiky a společnosti (dále jen „DESI“) shrnuje ukazatele digitální výkonnosti Evropy a sleduje vývoj v členských státech EU. V rámci Akademie dovedností v oblasti kybernetické bezpečnosti vypracuje agentura ENISA ve spolupráci s Komisí a skupinou pro spolupráci v oblasti bezpečnosti sítí a informací ukazatele, včetně ukazatelů rovnosti žen a mužů, aby bylo možné sledovat pokrok dosažený v členských státech EU ve zvyšování počtu odborníků na kybernetickou bezpečnost, přičemž bude konzultovat také příslušné subjekty trhu a národní koordinační centra. Agentura ENISA bude vycházet z metodiky indexu DESI a zajistí, aby ukazatele byly v souladu s evropskými digitálními cíli týkajícími se odborníků v oblasti IKT a rovnoměrnějšího genderového zastoupení v oboru IKT. Komise bude následně pracovat na začlenění těchto ukazatelů do indexu DESI, což umožní každoroční sledování stavu dovedností v oblasti kybernetické bezpečnosti a trhu práce.
7.2Shromažďování údajů a předkládání zpráv
Agentura ENISA bude s podporou ze strany projektu ECCO a národních koordinačních center shromažďovat údaje o ukazatelích. Na základě shromážděných údajů agentura ENISA vypracuje každoroční zprávu, která přispěje ke zprávě o digitální dekádě, jež bude společně s indexem DESI dále využita v analýze a doporučeních pro jednotlivé země v rámci evropského semestru. Ukazatele týkající se dovedností v oblasti kybernetické bezpečnosti navíc přispějí ke dvouleté zprávě agentury ENISA o stavu kybernetické bezpečnosti v EU podle směrnice NIS 2, která zahrne kapacity, povědomí a hygienu v oblasti kybernetické bezpečnosti v celé EU.
7.3Příprava klíčových ukazatelů výkonnosti pro oblast kybernetické bezpečnosti
S cílem odstranit nedostatek talentů v oblasti kybernetické bezpečnosti navrhne agentura ENISA v úzké spolupráci s Komisí a národními koordinačními centry Komisi klíčové ukazatele výkonnosti, přičemž bude vycházet z metodiky politického programu Digitální dekáda 2030 i ze zkušeností v odvětví. Agentura ENISA náležitě zohlední klíčové ukazatele výkonnosti, které členské státy používají k hodnocení svých národních strategií kybernetické bezpečnosti.
Akce v rámci akademie
Agentura ENISA
·Do konce roku 2023 připravit ukazatele a klíčové ukazatele výkonnosti v oblasti kybernetické bezpečnosti.
·Shromažďovat a vykazovat údaje o ukazatelích, přičemž první shromažďování údajů bude provedeno do roku 2025.
Komise
·Pracovat na začlenění ukazatelů kybernetické bezpečnosti do indexu DESI a do zprávy o digitální dekádě.
|
8.Závěr
Toto sdělení stanoví základ pro přepracování přístupu EU ke zvyšování kvalifikace odborníků v oblasti kybernetické bezpečnosti v EU. Cílem je snížit nedostatek dovedností v oblasti kybernetické bezpečnosti a vybavit EU potřebnou pracovní silou, která jí umožní reagovat na neustále se vyvíjející prostředí hrozeb, provádět politiky EU, jejichž cílem je chránit EU před kybernetickými útoky, ale také navýšit obchodní příležitosti a konkurenceschopnost. Kvalifikovaná pracovní síla v oblasti kybernetické bezpečnosti může být přínosem pro civilní, obranné, diplomatické a donucovací orgány a může usnadnit jejich vzájemnou součinnost.
Komise vyzývá členské státy a všechny zúčastněné strany, aby naplnily ambice Akademie dovedností v oblasti kybernetické bezpečnosti.