LIITE

Suunnitelma koordinoidusta reagoinnista laajamittaisiin rajat ylittäviin kyberturvallisuuspoikkeamiin ja -kriiseihin

JOHDANTO

Tätä suunnitelmaa sovelletaan kyberturvallisuuspoikkeamiin, joiden aiheuttama häiriö on liian laaja, jotta asianomainen jäsenvaltio voisi käsitellä sitä yksin, tai jotka koskevat kahta tai useampaa jäsenvaltiota tai EU:n toimielintä ja joilla on teknisesti tai poliittisesti niin laaja ja merkittävä vaikutus, että ne edellyttävät pikaista poliittista koordinointia ja reagointia unionin poliittisella tasolla.

Tällaisia laajamittaisia kyberturvallisuuspoikkeamia pidetään kyberturvallisuuskriiseinä.

Kun syntyy EU:n laajuinen kriisi, johon liittyy kyberturvallisuustekijöitä, vastatoimia koordinoi unionin poliittisella tasolla neuvosto käyttäen poliittisen kriisitoiminnan integroituja järjestelyjä (IPCR).

Komissiossa koordinointiin käytetään nopeaa hälytysjärjestelmää ARGUSia.

Jos kriisiin liittyy merkittävä ulkopoliittinen tai yhteiseen turvallisuus- ja puolustuspolitiikkaan liittyvä ulottuvuus, aktivoidaan Euroopan ulkosuhdehallinnon kriisinhallintamekanismi.

Suunnitelmassa kuvaillaan, kuinka näissä vakiintuneissa kriisinhallintamekanismeissa olisi hyödynnettävä täysimittaisesti olemassa olevia EU:n tason kyberturvallisuuselimiä sekä jäsenvaltioiden välisiä yhteistyömekanismeja.

Suunnitelmassa noudatetaan tiettyjä perusperiaatteita (suhteellisuus, toissijaisuus, täydentävyys ja tietojen luottamuksellisuus) ja esitetään yhteistyön keskeiset tavoitteet (tehokas reagointi, yhteinen tilannetietoisuus, julkinen viestintä) kolmella tasolla (strateginen/poliittinen, operatiivinen ja tekninen). Siinä kuvataan myös asiaan liittyvät mekanismit ja toimijat sekä keskeisten tavoitteiden saavuttamiseksi tarvittavat toimet.

Suunnitelma ei kata kriisinhallinnan koko elinkaarta (ehkäisy/lieventäminen, valmius, vastatoimet, palautuminen) vaan siinä keskitytään vastatoimiin. Suunnitelmassa käsitellään kuitenkin joitain muita toimia, etenkin yhteisen tilannetietoisuuden muodostamiseen liittyviä toimia.

On myös tärkeää huomata, että kyberturvallisuuspoikkeamat voivat aiheuttaa laajemman kriisin tai olla osa tällaista kriisiä, joka vaikuttaa muihin sektoreihin. Koska useimmilla kyberturvallisuuskriiseillä odotetaan olevan vaikutuksia fyysisessä maailmassa, kaikkien asianmukaisten vastatoimien on perustuttava korjaaviin toimiin sekä kybertoimintaympäristössä että sen ulkopuolella. Kyberturvallisuuskriisiin reagointia olisi koordinoitava muiden EU:n, kansallisten tai alakohtaisten kriisinhallintamekanismien kanssa.

Suunnitelma ei korvaa olemassa olevia ala- tai politiikkakohtaisia mekanismeja, järjestelyjä tai välineitä, kuten eurooppalaisen maailmanlaajuisen satelliittinavigointijärjestelmän (GNSS) ohjelmaa (1) varten perustettua mekanismia, eikä se saisi rajoittaa niiden soveltamista.

Perusperiaatteet

Tavoitteiden asettamisessa, tarvittavien toimien yksilöinnissä ja eri toimijoiden tai mekanismien roolien ja vastuiden määrittelyssä on sovellettu seuraavia perusperiaatteita, joita on noudatettava myös tulevien täytäntöönpanon suuntaviivojen laadinnassa.

Suhteellisuusperiaate: Suurin osa jäsenvaltioihin vaikuttavista kyberturvallisuuspoikkeamista on niin vähäisiä, ettei niitä voida pitää kansallisina, saati sitten eurooppalaisina ”kriiseinä”. Perustan jäsenvaltioiden väliselle yhteistyölle tällaisiin poikkeamiin reagoinnissa muodostaa verkko- ja tietoturvadirektiivillä (2) perustettu tietoturvaloukkauksiin reagoivien ja niitä tutkivien yksiköiden (CSIRT-toimijoiden) verkosto. Kansalliset CSIRT-toimijat tekevät yhteistyötä ja vaihtavat tietoja päivittäin vapaaehtoisesti, tarvittaessa myös vastauksena yhtä tai useampaa jäsenvaltiota koskeviin kyberturvallisuuspoikkeamiin. Tämä tapahtuu CSIRT-verkoston menettelyohjeiden mukaisesti. Suunnitelmassa olisi siksi hyödynnettävä näitä menettelyohjeita, ja siinä olisi otettava huomioon kaikki muut erityisesti kyberturvallisuuskriisiin liittyvät tehtävät.

Toissijaisuusperiaate: Toissijaisuusperiaate on keskeisen tärkeä. Ensisijainen vastuu reagoinnista jäsenvaltioihin vaikuttaviin laajamittaisiin kyberturvallisuuspoikkeamiin tai -kriiseihin on jäsenvaltioilla itsellään. Komissiolla, Euroopan ulkosuhdehallinnolla ja muilla EU:n toimielimillä, toimistoilla, virastoilla ja elimillä on kuitenkin tärkeä rooli. Tämä rooli on määritelty selkeästi IPCR-järjestelyissä, mutta se perustuu myös unionin lainsäädäntöön tai yksinkertaisesti siihen, että kyberturvallisuuspoikkeamat ja -kriisit voivat vaikuttaa taloudellisen toiminnan kaikkiin sektoreihin sisämarkkinoilla, kuten myös unionin turvallisuuteen ja kansainvälisiin suhteisiin sekä toimielimiin itseensä.

Täydentävyys: Suunnitelmassa otetaan huomioon EU:n olemassa olevat kriisinhallintamekanismit, eli poliittisen kriisitoiminnan integroidut järjestelyt (IPCR), ARGUS ja Euroopan ulkosuhdehallinnon kriisinhallintamekanismi, ja näiden lisäksi verkko- ja tietoturvadirektiivillä perustetut uudet rakenteet ja mekanismit, erityisesti CSIRT-verkosto, sekä asianomaiset virastot ja elimet, kuten Euroopan unionin verkko- ja tietoturvavirasto (ENISA), Europolissa toimiva Euroopan kyberrikostorjuntakeskus (Europol/EC3), EU:n tiedusteluanalyysikeskus (INTCEN), EU:n sotilasesikunnan tiedusteluosasto (EUMS INT) ja tilannekeskus (SITROOM), jotka muodostavat yhdessä yhtenäisen tiedustelun analysointikyvyn (SIAC), EU:n hybridianalyysikeskus (toimii INTCENin yhteydessä) ja EU:n toimielinten, elinten ja virastojen tietotekniikan kriisiryhmä (CERT-EU). Suunnitelman pitäisi näin varmistaa, että näiden tahojen vuorovaikutuksella ja yhteistyöllä saavutetaan suurin mahdollinen täydentävyys ja pienin mahdollinen päällekkäisyys.

Tietojen luottamuksellisuus: Kaikessa suunnitelman puitteissa toteutettavassa tiedonvaihdossa on noudatettava sovellettavia turvallisuussääntöjä (3), henkilötietojen suojaa koskevia sääntöjä ja Traffic Light Protocol -käsittelyluokitusta (4). Turvallisuusluokitellun tiedon vaihdossa on sovelletusta luokitusjärjestelmästä riippumatta käytettävä saatavilla olevia akkreditoituja välineitä (5). Henkilötietojen käsittelyssä on noudatettava sovellettavia EU:n sääntöjä, erityisesti yleistä tietosuoja-asetusta (6), sähköisen viestinnän tietosuojadirektiiviä (7) sekä asetusta (8) yksilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta.

Keskeiset tavoitteet

Suunnitelman mukaista yhteistyötä toteutetaan kolmella tasolla – poliittisella, operatiivisella ja teknisellä. Yhteistyöhön voi kullakin tasolla sisältyä tietojen vaihtoa sekä yhteisiä toimia, ja sillä pyritään saavuttamaan seuraavat keskeiset tavoitteet.

—

Tehokkaan reagoinnin mahdollistaminen: Reagointi voi tapahtua monin tavoin, kuten määrittelemällä teknisiä toimenpiteitä, joihin voi sisältyä kahden tai useamman tahon yhdessä tekemä tutkimus poikkeaman teknisistä syistä (esim. haittaohjelmien analysointi), tai määrittelemällä tapoja, joilla organisaatiot voivat arvioida, ovatko ne joutuneet alttiiksi poikkeaman vaikutuksille (esim. IoC-tiedon eli vaarantumista kuvaavien indikaattoreiden avulla). Lisäksi voidaan tehdä operatiivisia päätöksiä tällaisten teknisten toimenpiteiden soveltamisesta, ja poliittisella tasolla voidaan päättää muiden välineiden käytöstä, joita ovat muun muassa EU:n diplomaattinen vastaus haitallisiin kybertoimiin (”kyberdiplomatian välineistö”) tai hybridiuhkien torjumista koskeva EU:n operatiivinen protokolla, poikkeamasta riippuen.

—

Yhteinen tilannetietoisuus: Koordinoidun reagoinnin kannalta on olennaisen tärkeää, että kaikilla asianomaisilla sidosryhmillä kaikilla kolmella tasolla (teknisellä, operatiivisella ja poliittisella) on riittävän hyvä käsitys tapahtumista niiden edetessä. Tilannetietoisuuteen voi sisältyä teknisiä tekijöitä, jotka liittyvät sekä poikkeaman syihin että sen vaikutuksiin ja alkuperään. Koska kyberturvallisuuspoikkeamat voivat vaikuttaa moniin eri aloihin (rahoitusala, energia, liikenne, terveydenhuolto jne.), on olennaisen tärkeää, että kaikki asianomaiset sidosryhmät saavat ajoissa asianmukaista tietoa sopivassa muodossa.

—

Sopiminen keskeisistä yleisölle annettavista viesteistä (9): Kriisiviestinnällä on tärkeä asema kyberturvallisuuspoikkeamien ja -kriisien kielteisten vaikutusten lieventämisessä, mutta sitä voidaan käyttää myös keinona vaikuttaa (mahdollisten) hyökkääjien toimintaan. Sopivalla viestillä voidaan myös ilmaista selkeästi diplomaattisen vastauksen todennäköiset seuraukset ja pyrkiä näin vaikuttamaan hyökkääjien käyttäytymiseen. Jotta poliittinen vastaus olisi tehokas, on olennaisen tärkeää, että kyberturvallisuuspoikkeamien ja -kriisien kielteisten vaikutusten lieventämiseen tähtäävä julkinen viestintä ja julkinen viestintä, jolla pyritään vaikuttamaan hyökkääjään, on sovitettu yhteen. Kyberturvallisuuden kannalta erityisen tärkeää on tarkkojen toimintaohjeiden levittäminen siitä, kuinka yleisö voi lieventää poikkeaman vaikutuksia (esim. käyttämällä korjaustiedostoa tai toteuttamalla täydentäviä toimia uhkan välttämiseksi).

JÄSENVALTIOIDEN KESKINÄINEN SEKÄ JÄSENVALTIOIDEN JA EU:N TOIMIJOIDEN VÄLINEN TEKNISEN, OPERATIIVISEN JA STRATEGISEN/POLIITTISEN TASON YHTEISTYÖ

Tehokas reagointi laajamittaisiin kyberturvallisuuspoikkeamiin tai -kriiseihin EU:n tasolla edellyttää toimivaa teknistä, operatiivista ja strategista/poliittista yhteistyötä.

Asianomaisten toimijoiden olisi kullakin tasolla toteutettava erityisiä toimia kolmen keskeisen tavoitteen saavuttamiseksi:

—	Koordinoitu reagointi

—	Yhteinen tilannetietoisuus

—	Julkinen viestintä

Poikkeaman tai kriisin aikana alemmat yhteistyötasot hälyttävät korkeammat tasot, antavat niille tietoja ja tukevat niitä, kun taas korkeammat tasot antavat ohjeita (10) ja tekevät päätöksiä alemmille tasoille, tarpeen mukaan.

Teknisen tason yhteistyö

Toiminnan laajuus:

—	Poikkeaman käsittely (11) kyberturvallisuuskriisin aikaan

—	Poikkeaman seuranta ja tarkkailu, mukaan lukien uhkien ja riskin jatkuva analysointi

Mahdolliset toimijat

Teknisellä tasolla suunnitelman keskeinen yhteistyömekanismi on CSIRT-verkosto. Sen puheenjohtajana toimii puheenjohtajavaltio, ja sen sihteeristön tehtävistä vastaa ENISA.

—	Jäsenvaltiot: — Toimivaltaiset viranomaiset ja verkko- ja tietoturvadirektiivillä perustetut keskitetyt yhteyspisteet — CSIRT-toimijat

—	EU:n elimet, laitokset ja virastot — ENISA — Europol/EC3 — CERT-EU

—

Euroopan komissio — EU:n hätäavun koordinointikeskus ERCC (PO ECHOssa sijaitseva ympärivuorokautinen operatiivinen yksikkö) ja nimetty johtava yksikkö (PO CNECT tai PO HOME poikkeaman erityisluonteesta riippuen), pääsihteeristö (ARGUS-sihteeristö), PO HR (turvallisuusosasto), PO DIGIT (tietotekniikan turvallisuustoiminta) — Muissa EU:n virastoissa (12) niistä vastaava komission pääosasto tai ulkosuhdehallinto (ensimmäinen yhteyspiste)

—	Euroopan ulkosuhdehallinto (EUH) — SIAC (yhtenäinen tiedustelun analysointikyky: EU INTCEN ja EUMS INT) — EU:n tilannekeskus ja nimetty maantieteellinen tai alakohtainen yksikkö — EU:n hybridianalyysikeskus (osa EU INTCENiä – kyberturvallisuus hybridiuhkien kontekstissa)

Yhteinen tilannetietoisuus:

—

ENISAn olisi osana unionin tilannetietoisuutta tukevaa säännöllistä teknisen tason yhteistyötä laadittava poikkeamista ja uhista säännöllisesti EU:n kyberturvallisuuden tekninen tilanneraportti, joka perustuu julkisesti saatavilla oleviin tietoihin, sen omaan analyysiin sekä raportteihin, joita se on saanut jäsenvaltioiden CSIRT-toimijoilta (vapaaehtoisuuden pohjalta) tai verkko- ja tietoturvadirektiivillä perustetuilta keskitetyiltä yhteyspisteiltä, Europolissa toimivalta Euroopan kyberrikostorjuntakeskukselta (EC3) ja CERT-EU:lta sekä tarvittaessa EU:n tiedusteluanalyysikeskukselta (INTCEN) ja Euroopan ulkosuhdehallinnolta (EUH). Raportti olisi asetettava neuvoston, komission ja korkean edustajan asianomaisten yksiköiden ja CSIRT-verkoston saataville.

—	Merkittävän poikkeaman tapauksessa CSIRT-verkoston puheenjohtaja laatii ENISAn avustuksella EU:n kyberturvallisuuspoikkeaman tilanneraportin (13), jonka kiertävän puheenjohtajavaltion CSIRT-toimija toimittaa puheenjohtajavaltiolle, komissiolle ja korkealle edustajalle.

—	Kaikki muut EU:n virastot raportoivat niistä vastaavalle pääosastolle, joka puolestaan raportoi komission johtavalle yksilölle.

—	CERT-EU antaa teknisiä raportteja CSIRT-verkostolle, EU:n toimielimille ja virastoille (tarvittaessa) sekä ARGUS-järjestelmälle (jos se on aktivoitu).

—	Europol/EC3  (14) ja CERT-EU antavat CSIRT-verkostolle rikosteknisiä asiantuntija-analyyseja teknisistä artefakteista sekä muita teknisiä tietoja.

—	EUH:n SIAC: EU:n hybridianalyysikeskus raportoi INTCENin puolesta EUH:n asianomaisille osastoille.

Reagointi:

—	CSIRT-verkosto vaihtaa poikkeamaa koskevia yksityiskohtaisia teknisiä tietoja ja analyyseja, kuten IP-osoitteita, vaarantumista kuvaavia indikaattoreita (15) jne. Tällaiset tiedot olisi toimitettava ENISAlle viipymättä ja viimeistään 24 tunnin kuluttua poikkeaman havaitsemisesta.

—	CSIRT-verkoston menettelyohjeiden mukaisesti verkoston jäsenet tekevät yhteistyötä analysoidessaan saatavilla olevia teknisiä artefakteja ja muita poikkeamaan liittyviä teknisiä tietoja sen syyn ja mahdollisten teknisten korjaavien toimien määrittämiseksi.

—	ENISA avustaa CSIRT-toimijoita niiden teknisissä toimissa oman asiantuntemuksensa ja toimeksiantonsa (16) mukaisesti.

—	Jäsenvaltioiden CSIRT-toimijat koordinoivat teknisiä vastatoimiaan ENISAn ja komission avustuksella.

—	EUH:n SIAC: EU:n hybridianalyysikeskus käynnistää INTCENin puolesta keruuprosessin alustavien todisteiden kokoamiseksi.

Julkinen viestintä:

—	CSIRT-toimijat laativat teknisiä ohjeita (17) ja haavoittuvuusilmoituksia (18) ja levittävät niitä omille yhteisöilleen ja yleisölle kussakin tapauksessa sovellettavia lupamenettelyjä noudattaen.

—	ENISA helpottaa CSIRT-verkoston yhteisten tiedotteiden laatimista ja jakamista.

—	ENISA koordinoi julkisia viestintätoimiaan CSIRT-verkoston ja komission tiedotuspalvelun kanssa.

—	ENISA ja EC3 koordinoivat julkisia viestintätoimiaan jäsenvaltioiden hyväksymän yhteisen tilannetietoisuuden pohjalta. Molemmat koordinoivat julkisia viestintätoimiaan komission tiedotuspalvelun kanssa.

—	Jos kriisiin liittyy ulkopoliittinen tai yhteiseen turvallisuus- ja puolustuspolitiikkaan liittyvä ulottuvuus, julkista viestintää olisi koordinoitava EUH:n ja korkean edustajan tiedotuspalvelun kanssa.

Operatiivisen tason yhteistyö

Toiminnan laajuus:

—	Poliittisen tason päätöksenteon valmistelu

—	Kyberturvallisuuskriisin hallinnan koordinointi (tarpeen mukaan)

—	Seurausten ja vaikutusten arviointi EU:n tasolla ja mahdollisten korjaavien toimien ehdottaminen

Mahdolliset toimijat

—	Jäsenvaltiot: — Toimivaltaiset viranomaiset ja verkko- ja tietoturvadirektiivillä perustetut keskitetyt yhteyspisteet — CSIRT-toimijat, kyberturvallisuusvirastot — Muut kansalliset alakohtaiset viranomaiset (monia aloja koskevan poikkeaman tai kriisin tapauksessa)

—	EU:n elimet, laitokset ja virastot — ENISA — Europol/EC3 — CERT-EU

—	Euroopan komissio — Pääsihteeristö, (apulais-)pääsihteeri (ARGUS-järjestelmä) — PO CNECT/HOME — Komission turvallisuusviranomainen — Muut pääosastot (monia aloja koskevan poikkeaman tai kriisin tapauksessa)

—	EUH — Kriisitoiminnasta ja SIACsta vastaava (apulais-)pääsihteeri (EU INTCEN ja EUMS INT) — EU:n hybridianalyysikeskus

—	Neuvosto — Puheenjohtajavaltio (kyberkysymyksiä käsittelevän horisontaalisen työryhmän tai Coreperin (19) puheenjohtaja), jota avustaa neuvoston pääsihteeristö tai poliittisten ja turvallisuusasioiden komitea (20) – jos se on aktivoitu – IPCR-järjestelyjen tuella

Tilannetietoisuus:

—	Tuetaan poliittisten/strategisten tilanneraporttien laatimista (esim. yhteinen tilannetietoisuus ja -analyysi ISAA, jos IPCR-järjestelyt on aktivoitu).

—	Neuvoston kyberkysymyksiä käsittelevä horisontaalinen työryhmä valmistelee Coreperin tai poliittisten ja turvallisuusasioiden komitean kokouksen, tapauksen mukaan.

—

Jos IPCR-järjestelyt aktivoidaan: — Puheenjohtajavaltio voi kutsua koolle Coreperin tai poliittisten ja turvallisuusasioiden komitean valmistelutöiden tueksi pyöreän pöydän kokouksia, joihin osallistuvat asianomaiset sidosryhmät jäsenvaltioista, toimielimistä, virastoista ja kolmansista osapuolista, kuten EU:n ulkopuolisista maista ja kansainvälisistä järjestöistä. Näissä kriisikokouksissa määritellään pullonkaulat ja laaditaan toimintaehdotuksia monialaisista kysymyksistä. — Komission johtava yksikkö tai EUH laatii yhteisestä tilannetietoisuudesta ja -analyysista vastaavana yksikkönä ISAA-raportin, johon antavat oman panoksensa ENISA, CSIRT-verkosto, Europol/EC3, EUMS INT, INTCEN ja kaikki muut asianomaiset toimijat. ISAA-raportti on teknisten poikkeamien ja kriisinarvioinnin (uhka-analyysi, riskinarviointi, ei-tekniset seuraukset ja vaikutukset, poikkeaman tai kriisin kyberympäristön ulkopuoliset näkökohdat jne.) korrelaatioon perustuva EU:n laajuinen arviointi, joka on räätälöity operatiivisen ja poliittisen tason tarpeisiin.

—	Jos ARGUS-järjestelmä aktivoidaan: — CERT-EU ja EC3 (21) osallistuvat suoraan komission sisäiseen tiedonvaihtoon.

—	Jos EUH:n kriisinhallintamekanismi aktivoidaan: — SIAC tehostaa tiedonkeruutaan ja kokoaa kaikista lähteistä saadut tiedot ja laatii analyysin ja arvioinnin poikkeamasta.

Reagointi (poliittisella tasolla esitetystä pyynnöstä):

—	Rajat ylittävä yhteistyö keskitettyjen yhteyspisteiden ja kansallisten toimivaltaisten viranomaisten kanssa (verkko- ja tietoturvadirektiivi) seurausten ja vaikutusten lieventämiseksi.

—	Aktivoidaan kaikki tekniset korjaavat toimenpiteet ja koordinoidaan teknisiä valmiuksia, joita tarvitaan hyökkäysten pysäyttämiseksi kohteena oleviin tietojärjestelmiin tai niiden vaikutusten vähentämiseksi.

—	Yhteistyö ja, jos niin päätetään, teknisten valmiuksien koordinointi yhteisen tai yhteistyössä toteutettavan vastauksen muodostamiseksi CSIRT-verkoston menettelyohjeiden mukaisesti.

—	Arvioidaan tarvetta tehdä yhteistyötä asianomaisten kolmansien osapuolten kanssa.

—	Päätöksenteko ARGUS-prosessissa (jos aktivoitu).

—	Päätösten valmistelu ja koordinointi IPCR-järjestelyjen mukaisesti (jos aktivoitu).

—	EUH:n kriisinhallintamekanismin (jos aktivoitu) kautta tapahtuvan EUH:n päätöksenteon tukeminen, mukaan lukien yhteydet kolmansiin maihin ja kansainvälisiin järjestöihin sekä kaikki toimenpiteet, joilla pyritään suojelemaan YTPP-operaatioita ja EU:n edustustoja.

Julkinen viestintä:

—	Sovitaan poikkeamaa koskevista julkisista tiedotteista.

—	Jos kriisiin liittyy ulkopoliittinen tai yhteiseen turvallisuus- ja puolustuspolitiikkaan liittyvä ulottuvuus, julkista viestintää olisi koordinoitava EUH:n ja korkean edustajan tiedotuspalvelun kanssa.

Strategisen/poliittisen tason yhteistyö

Mahdolliset toimijat

—	Jäsenvaltioissa kyberturvallisuudesta vastaavat ministerit

—	Eurooppa-neuvostossa puheenjohtaja

—	Neuvostossa kiertävä puheenjohtajavaltio

—	Poliittisten ja turvallisuusasioiden komitea ja horisontaalinen työryhmä ”kyberdiplomatian välineistön” toimenpiteitä toteutettaessa

—	Euroopan komissiossa puheenjohtaja tai valtuutettu varapuheenjohtaja tai komission jäsen

—	Unionin ulkoasioiden ja turvallisuuspolitiikan korkea edustaja / Euroopan komission varapuheenjohtaja

Toiminnan laajuus: Sekä kriisin kybertoimintaympäristöön liittyvien että sen ulkopuolisten näkökohtien strateginen ja poliittinen hallinta, mukaan lukien toimenpiteet, jotka sisältyvät EU:n yhteistä diplomaattista vastausta haitallisiin kybertoimiin koskeviin puitteisiin.

Yhteinen tilannetietoisuus:

—	Määritellään kriisin aiheuttamien häiriöiden vaikutukset unionin toimintaan.

Reagointi:

—	Aktivoidaan muita kriisinhallintamekanismeja tai -välineitä poikkeaman luonteesta ja vaikutuksesta riippuen. Näihin voi sisältyä muun muassa pelastuspalvelumekanismi.

—	Toteutetaan toimenpiteitä, jotka sisältyvät EU:n yhteistä diplomaattista vastausta haitallisiin kybertoimiin koskeviin puitteisiin.

—	Annetaan vaikutuksista kärsivien jäsenvaltioiden käyttöön hätätilanteen tukea esimerkiksi aktivoimalla kyberturvallisuuden hätäapurahasto (22), kunhan se tulee käyttöön.

—	Tarvittaessa yhteistyö ja koordinointi kansainvälisten järjestöjen kanssa, kuten Yhdistyneet kansakunnat (YK), Euroopan turvallisuus- ja yhteistyöjärjestö (Etyj) ja erityisesti Nato.

—	Arvioidaan kansallisia turvallisuus- ja puolustusvaikutuksia.

Julkinen viestintä:

Päätetään yhteisestä julkisen viestinnän strategiasta.

JÄSENVALTIOIDEN KANSSA KOORDINOITU EU:N TASON REAGOINTI IPCR-JÄRJESTELYJEN PUITTEISSA

Tässä jaksossa noudatetaan periaatetta täydentävyydestä EU:n tasolla ja siinä keskitytään erityisesti keskeisiin tavoitteisiin sekä jäsenvaltioiden viranomaisten, CSIRT-verkoston, ENISAn, CERT-EU:n, Europol/EC3:n, INTCENin, EU:n hybridianalyysikeskuksen ja neuvoston kyberkysymyksiä käsittelevän horisontaalisen työryhmän vastuisiin ja tehtäviin IPCR-prosessissa. Toimijoiden odotetaan toimivan EU:n tai kansallisen tason vakiintuneiden menettelyjen mukaisesti.

On tärkeää huomata, kuten kuvasta 1 käy ilmi, että EU:n kriisinhallintamekanismien aktivoinnista riippumatta kansallisen tason toimet ja CSIRT-verkostossa (tarvittaessa) harjoitettava yhteistyö jatkuvat koko poikkeaman tai kriisin kestoajan toissijaisuus- ja suhteellisuusperiaatteiden mukaisesti.

Kuva 1

Reagointi kyberturvallisuuspoikkeamaan tai -kriisiin EU:n tasolla

Kaikki jäljempänä kuvatut toimet on toteutettava sovellettavien yhteistyömekanismien vakiotoimintamenettelyjä tai -sääntöjä noudattaen ja yksittäisten toimijoiden ja instituutioiden hyväksyttyjen toimeksiantojen ja toimivaltuuksien mukaisesti. Näitä menettelyjä tai sääntöjä voi olla tarpeellista täydentää tai muuttaa jossain määrin parhaan mahdollisen yhteistyön saavuttamiseksi ja tehokkaan reagoinnin mahdollistamiseksi laajamittaisiin kyberturvallisuuspoikkeamiin ja -kriiseihin.

Kaikkien jäljempänä esiteltyjen toimijoiden ei välttämättä tarvitse toteuttaa toimia jokaisen poikkeaman aikana. Suunnitelmassa ja yhteistyömekanismien menettelyohjeissa olisi kuitenkin otettava huomioon niiden mahdollinen osallistuminen toimintaan.

Koska kyberturvallisuuspoikkeamalla tai -kriisillä voi olla eriasteinen vaikutus yhteiskuntaan, alakohtaisten toimijoiden osallistumisessa vaaditaan kaikilla tasoilla ja kaikissa asianmukaisissa vastatoimissa suurta joustavuutta, joka perustuu sekä kybertoimintaympäristöön liittyviin että sen ulkopuolisiin korjaaviin toimiin.

Kyberturvallisuuskriisin hallinta – Kyberturvallisuuden integrointi IPCR-prosessiin

IPCR-vakiotoimintamenettelyissä (23) kuvailluissa IPCR-järjestelyissä noudatetaan jäljempänä kuvattuja vaiheita (joidenkin vaiheiden soveltaminen riippuu tilanteesta).

Kussakin vaiheessa määritellään kyberturvallisuuteen liittyvät toimet ja toimijat. Luettavuuden parantamiseksi kussakin vaiheessa esitetään IPCR-vakiotoimintamenettelyjen teksti ja sen jälkeen tämän suunnitelman mukaiset toimet. Tämä vaiheittainen esitystapa mahdollistaa myös tarvittavissa valmiuksissa ja menettelyissä nykyisin esiintyvien sellaisten puutteiden selkeän määrittelyn, jotka haittaavat tehokasta reagointia kyberturvallisuuskriiseihin.

Kuvassa 2 (jäljempänä (24)) annetaan graafinen esitys IPCR-prosessista; käyttöön otettavat uudet elementit on korostettu sinisellä.

Kuva 2

IPCR-prosessin kyberturvallisuuteen liittyvät elementit

Huomautus: Kun otetaan huomioon kybertoimintaympäristön hybridiuhkien luonne eli se, että ne on suunniteltu pysymään kriisien havaitsemiskynnyksen alapuolella, EU:n on toteutettava ennaltaehkäiseviä ja valmiuksia parantavia toimenpiteitä. EU:n hybridianalyysikeskukselle on annettu tehtäväksi analysoida nopeasti tähän liittyviä poikkeamia ja tiedottaa asiasta asianmukaisille koordinointirakenteille. Hybridianalyysikeskuksen säännöllinen raportointi voi auttaa alakohtaisia poliittisia päätöksentekijöitä parantamaan valmiutta.

—

Vaihe 1 – Säännöllinen alakohtainen seuranta ja hälytykset: nykyiset säännöllisesti laadittavat alakohtaiset tilanneraportit ja hälytykset antavat puheenjohtajavaltiolle tietoa syntymässä olevasta kriisistä ja sen mahdollisesta kehittymisestä. — Havaitut puutteet: EU:n tasolla ei tällä hetkellä ole olemassa säännöllisiä ja koordinoituja kyberturvallisuuspoikkeamia (ja uhkia) koskevia tilanneraportteja ja hälytyksiä. — Suunnitelma: EU:n kyberturvallisuustilanteen seuranta ja siitä raportointi — ENISA laatii kyberturvallisuuspoikkeamista ja -uhista säännöllisen EU:n kyberturvallisuuden teknisen tilanneraportin, joka perustuu julkisesti saatavilla oleviin tietoihin, sen omaan analyysiin sekä raportteihin, joita se on saanut jäsenvaltioiden CSIRT-toimijoilta (vapaaehtoisuuden pohjalta) tai verkko- ja tietoturvadirektiivillä perustetuilta keskitetyiltä yhteyspisteiltä, Europolissa toimivalta Euroopan kyberrikostorjuntakeskukselta (EC3) ja CERT-EU:lta sekä EU:n tiedusteluanalyysikeskukselta (INTCEN) ja Euroopan ulkosuhdehallinnolta (EUH). Raportti olisi asetettava neuvoston ja komission asianomaisten yksiköiden ja CSIRT-verkoston saataville. — EU:n hybridianalyysikeskuksen olisi laadittava SIACin puolesta EU:n kyberturvallisuuden operatiivinen tilanneraportti. Raportti tukee myös EU:n yhteistä diplomaattista vastausta haitallisiin kybertoimiin koskevia puitteita. — Molempia raportteja levitetään EU:n ja jäsenvaltioiden sidosryhmille, jotta ne voivat hyödyntää niitä omassa tilannetietoisuuden luomisessaan ja päätöksenteossaan, sekä rajat ylittävän yhteistyön helpottamiseksi.

Kun poikkeama on havaittu

—

Vaihe 2 – Analysointi ja neuvonanto: Komission yksiköt, EUH ja neuvoston pääsihteeristö pitävät saatavilla olevan seurannan ja hälytysten pohjalta toisensa informoituina mahdollisesta kehityksestä, jotta ne ovat valmiit neuvomaan puheenjohtajavaltiota IPCR-järjestelyjen mahdollisesta aktivoinnista (täydessä mitassa tai tietojenjakamistilassa). — Suunnitelma: — Komission osalta PO CNECT, PO HOME, PO HR.DS ja PO DIGIT, joita tukevat ENISA, EC3 ja CERT-EU. — EUH. EU:n hybridianalyysikeskus muodostaa SITROOMin työn ja tiedustelulähteiden pohjalta tilannekuvan EU:hun ja sen kumppaneihin kohdistuvista todellisista ja mahdollisista hybridiuhista, mukaan lukien kyberuhat. Kun EU:n hybridianalyysikeskuksen analyysi ja arviointi osoittaa, että johonkin jäsenvaltioon, kumppanimaihin tai organisaatioon kohdistuu mahdollisia uhkia, INTCEN ilmoittaa asiasta (ensimmäisessä vaiheessa) operatiivisella tasolla vakiintuneiden menettelyjen mukaisesti. Tämän jälkeen operatiivinen taso laatii suosituksia poliittiselle ja strategiselle tasolle, mukaan lukien kriisinhallintajärjestelyjen mahdollinen aktivointi seurantatilassa (esim. EUH:n kriisinhallintamekanismi tai IPCR:n seurantasivu). — CSIRT-verkoston puheenjohtaja laatii ENISAn avustuksella EU:n kyberturvallisuuspoikkeaman tilanneraportin (25), jonka kiertävän puheenjohtajavaltion CSIRT-toimija toimittaa puheenjohtajavaltiolle, komissiolle ja korkealle edustajalle.

—

Vaihe 3 – Arviointi/päätös IPCR-järjestelyjen aktivoinnista: Puheenjohtajavaltio arvioi poliittisen koordinoinnin, tietojenvaihdon tai päätöksenteon tarpeen EU:n tasolla. Puheenjohtaja voi tätä varten kutsua koolle epävirallisia pyöreän pöydän kokouksia. Puheenjohtajavaltio määrittelee alustavasti alat, joilla tarvitaan Coreperin tai neuvoston osallistumista. Tämä muodostaa pohjan ohjeistukselle yhteistä tilannetietoisuutta ja -analyysia (ISAA) koskevien raporttien laatimisesta. Puheenjohtajavaltio päättää kriisin luonteen, sen mahdollisten seurausten ja siihen liittyvien poliittisten tarpeiden perusteella, onko syytä järjestää asianomaisten neuvoston työryhmien ja/tai Coreperin ja/tai poliittisten ja turvallisuusasioiden komitean kokouksia. — Suunnitelma: — Pyöreän pöydän kokousten osanottajat: — Komission yksiköt ja EUH neuvovat puheenjohtajavaltiota niiden toimivaltaan kuuluvilla aloilla. — Jäsenvaltioiden edustajat kyberkysymyksiä käsittelevässä horisontaalisessa työryhmässä kansallisten asiantuntijoiden tukemina (CSIRT-toimijat, kyberturvallisuudesta vastaavat toimivaltaiset viranomaiset ja muut). — ISAA-raportteja koskeva poliittinen/strateginen ohjaus, joka perustuu viimeisimpään EU:n kyberturvallisuuspoikkeaman tilanneraporttiin ja pyöreän pöydän kokouksen osanottajien antamiin lisätietoihin. — Asianomaiset työryhmät ja komiteat: — Kyberkysymyksiä käsittelevä horisontaalinen työryhmä. Komissio, EUH ja neuvoston pääsihteeristö voivat yksimielisesti ja puheenjohtajavaltion myötävaikutuksella myös päättää käynnistää IPCR-prosessin tietojenjakamistilassa perustamalla kriisisivuston, minkä tarkoituksena on valmistella mahdollista täysimittaisen toiminnan käynnistämistä.

—

Vaihe 4 – IPCR-järjestelyjen aktivointi / Tietojen keruu ja vaihto: Kun IPCR-järjestelyt aktivoidaan (joko tietojenjakamistilassa tai täydessä mitassa) IPCR:n verkkofoorumille perustetaan kriisisivusto, joka mahdollistaa erityisen tietojenvaihdon näkökohdista, jotka edistävät yhteistä tilannetietoisuutta ja -analyysia ja poliittisen tason keskustelujen valmistelua. ISAA:n johtava yksikkö (jokin komission yksikkö tai EUH) määräytyy tapauksen luonteen perusteella.

—

Vaihe 5 – Yhteisen tilannetietoisuuden ja -analyysin laadinta: ISAA-raportin laatiminen käynnistetään. Komissio/EUH antaa ISAA-raportteja ISAA-menettelyohjeissa kuvatulla tavalla, ja ne voivat edelleen edistää tiedonvaihtoa IPCR-verkkofoorumilla tai esittää kohdennettuja tietopyyntöjä. ISAA-raportit on räätälöity puheenjohtajavaltion määrittelemiin poliittisen tason (eli Coreperin tai neuvoston) tarpeisiin, ja ne tarjoavat strategisen yleiskuvan tilanteesta ja mahdollistavat perustellun keskustelun puheenjohtajavaltion määrittelemistä esityslistan kohdista. ISAA-menettelyohjeiden mukaisesti kyberturvallisuuskriisin luonne määrää sen, laatiiko ISAA-raportin jokin komission yksikkö (PO CNECT, PO HOME) vai EUH. Kun IPCR-järjestelyt on aktivoitu, puheenjohtajavaltio määrittelee erityisiä painopistealoja ISAA-raportille, jotta se tukisi poliittista koordinointia ja/tai päätöksentekoprosessia neuvostossa. Puheenjohtajavaltio asettaa myös raportin laatimisen määräajan kuultuaan ensin komission yksiköitä tai EUH:ta. — Suunnitelma: — ISAA-raporttiin on koottu panoksia asianomaisilta yksiköiltä, muun muassa seuraavilta: — CSIRT-verkosto EU:n kyberturvallisuuspoikkeaman tilanneraportin muodossa — EC3, SITROOM, EU:n hybridianalyysikeskus, CERT-EU. EU:n hybridianalyysikeskus antaa tarpeen mukaan tukea ja tietoja ISAA:n johtavalle yksikölle ja IPCR:n pyöreän pöydän kokouksille. — EU:n alakohtaiset virastot ja elimet riippuen siitä, mihin aloihin vaikutukset kohdistuvat — Jäsenvaltioiden viranomaiset (muut kuin CSIRT-toimijat) — ISAA-raportin syöttötietojen kokoaminen (26): — Komissio ja EU:n virastot: ARGUS-tietojärjestelmä muodostaa ISAA:n sisäisen runkoverkon. EU:n virastot lähettävät panoksensa omille vastuupääosastoilleen, jotka puolestaan syöttävät asiaankuuluvat tiedot ARGUS-järjestelmään. Komission yksiköt ja virastot keräävät tietoja jäsenvaltioiden ja kansainvälisten järjestöjen kanssa olemassa olevista alakohtaisista verkostoista ja muista asianmukaisista lähteistä. — EUH: EU:n tilannekeskus muodostaa muiden EUH:n asianomaisten osastojen tukemana ISAA:n sisäisen runkoverkon ja keskitetyn yhteyspisteen. EUH kerää tietoja kolmansista maista ja asianomaisilta kansainvälisiltä järjestöiltä.

—

Vaihe 6 – Puheenjohtajavaltion epävirallisen pyöreän pöydän kokouksen valmistelu: Puheenjohtajavaltio määrittelee neuvoston pääsihteeristön avustuksella epävirallisen pyöreän pöydän kokouksen ajankohdan, esityslistan, osallistujat ja odotetut tulokset (mahdolliset tuotokset). Neuvoston pääsihteeristö välittää puheenjohtajavaltion puolesta asiamukaiset tiedot IPCR-verkkofoorumilla, ja erityisesti ilmoittaa kokouksesta.

—

Vaihe 7 – Puheenjohtajavaltion pyöreän pöydän kokous / valmistelutoimet EU:n poliittista koordinointia / päätöksentekoa varten: Puheenjohtajavaltio kutsuu koolle epävirallisen pyöreän pöydän kokouksen tilanteen arvioimiseksi ja Coreperin tai neuvoston tietoon annettavien tietojen valmistelemiseksi ja tarkastelemiseksi. Puheenjohtajavaltion epävirallinen pyöreän pöydän kokous on myös foorumi, jossa laaditaan, arvioidaan ja käsitellään kaikki Coreperille tai neuvostolle esitettävät toimintaehdotukset. — Suunnitelma: — Neuvoston kyberkysymyksiä käsittelevän horisontaalisen työryhmän olisi valmisteltava poliittisten ja turvallisuusasioiden komitean tai Coreperin kokous.

—

Vaihe 8 – Poliittinen koordinointi ja päätöksenteko Coreperissa/neuvostossa: Coreperin/neuvoston kokousten tulokset koskevat vastatoimien koordinointia kaikilla tasoilla, poikkeuksellisista toimenpiteistä tehtäviä päätöksiä, poliittisia julkilausumia jne. Nämä päätökset muodostavat myös ajantasaisen poliittisen/strategisen ohjeistuksen uusien ISAA-raporttien laatimista varten. — Suunnitelma: — Kyberturvallisuuskriisiin vastaamisen koordinointia koskeva poliittinen päätös pannaan täytäntöön toimilla (jotka vastaavat toimijat toteuttavat), jotka on kuvattu edellä teknisen, operatiivisen ja strategisen/poliittisen tason yhteistyötä koskevassa jaksossa 1 reagoinnin ja julkisen viestinnän osalta. — ISAA-raporttien laatiminen jatkuu sen teknisen, operatiivisen ja strategisen/poliittisen tason yhteistyön pohjalta, joka on kuvattu edellisessä jaksossa yhteistä tilannetietoisuutta koskevassa tavoitteessa.

—

Vaihe 9 – Vaikutusten seuranta: ISAA:n johtava yksikkö antaa ISAA-raportin laatimiseen osallistuneiden tahojen tuella tietoja kriisin kehittymisestä ja tehtyjen poliittisten päätösten vaikutuksista. Tämä palautejärjestelmä tukee kehittyvää prosessia ja puheenjohtajavaltion päätöstä jatkaa EU:n poliittisen tason osallistumista tai lopettaa IPCR-järjestelyjen soveltaminen.

—

Vaihe 10 – Toiminnan päättäminen: Puheenjohtaja voi samaa prosessia noudattaen kuin toimintaa käynnistettäessä kutsua koolle epävirallisen pyöreän pöydän kokouksen arvioimaan, onko IPCR-järjestelyjä syytä jatkaa vai ei. Puheenjohtajavaltio voi päättää lopettaa toiminnan tai supistaa sitä. — Suunnitelma: — ENISAa voidaan pyytää osallistumaan poikkeaman tekniseen jälkiarviointiin tai tekemään tällainen arviointi toimeksiantonsa säännösten mukaisesti.

---

(1)  Päätös 2014/496/YUTP.

(2)  Direktiivi (EU) 2016/1148.

(3)  Komission päätös (EU, Euratom) 2015/443, annettu 13 päivänä maaliskuuta 2015, turvallisuudesta komissiossa (EUVL L 72 17.3.2015, s. 41) ja komission päätös (EU, Euratom) 2015/444, annettu 13 päivänä maaliskuuta 2015, EU:n turvallisuusluokiteltujen tietojen suojaamista koskevista säännöistä (EUVL L 72, 17.3.2015, s. 53); unionin ulkoasioiden ja turvallisuuspolitiikan korkean edustajan päätös, annettu 19 päivänä huhtikuuta 2013, Euroopan ulkosuhdehallinnon turvallisuussäännöistä (EUVL C 190, 29.6.2013, s. 1; neuvoston päätös 2013/488/EU, annettu 23 päivänä syyskuuta 2013, EU:n turvallisuusluokiteltujen tietojen suojaamista koskevista turvallisuussäännöistä (EUVL L 274, 15.10.2013, s. 1).

(4)  https://www.first.org/tlp/

(5)  Kesäkuussa 2016 näihin siirtokanaviin lukeutuivat CIMS (Classified Information Management System), ACID (salausalgoritmi), RUE (suojattu järjestelmä RESTREINT UE / EU RESTRICTED -asiakirjojen luomista, lähettämistä ja tallentamista varten) ja SOLAN. Muita keinoja turvallisuusluokiteltujen tietojen siirtämiseen ovat muun muassa PG ja S/MIME.

(6)  Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016, s. 1).

(7)  Euroopan parlamentin ja neuvoston direktiivi 2002/58/EY, annettu 12 päivänä heinäkuuta 2002, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (sähköisen viestinnän tietosuojadirektiivi) (EUVL L 201, 31.7.2002, s. 37).

(8)  Euroopan parlamentin ja neuvoston asetus (EY) N:o 45/2001, annettu 18 päivänä joulukuuta 2000, yksilöiden suojelusta yhteisöjen toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (EUVL L 8, 12.1.2001, s. 1) – uudelleentarkasteltavana.

(9)  Tässä yhteydessä on tärkeää huomata, että julkisella viestinnällä voidaan tarkoittaa sekä suurelle yleisölle suunnattua tiedotusta poikkeamasta että teknisempään tai operatiivisempaa tiedottamista, joka on suunnattu kriittisille sektoreille ja/tai tahoille, joihin vaikutukset kohdistuvat. Tämä voi edellyttää luottamuksellisten viestintäkanavien ja erityisten teknisten välineiden/alustojen käyttöä. Molemmissa tapauksissa tiedottaminen operaattoreille ja suurelle yleisölle tapahtuu kussakin jäsenvaltiossa jäsenvaltion aloitteesta ja sen vastuulla. Edellä esitellyn toissijaisuusperiaatteen mukaisesti jäsenvaltioilla ja kansallisilla CSIRT-toimijoilla on lopullinen vastuu tiedoista, joita niiden alueella levitetään.

(10)  ”Toimintaluvat” – kyberturvallisuuskriisin aikana on olennaisen tärkeää, että reaktioajat ovat lyhyitä, jotta asianmukaiset korjaavat toimet voidaan määritellä. Näiden reaktioaikojen lyhentämiseksi jäsenvaltio voi antaa toiselle jäsenvaltiolle vapaaehtoisia ”toimintalupia”, jotka antavat jäsenvaltiolle luvan toimia välittömästi ilman, että sen tarvitsee kuulla korkeampia tasoja tai EU:n toimielimiä ja noudattaa kaikkia tavanomaisesti vaadittuja virallisia kanavia, jos tätä ei edellytetä tietyn poikkeaman osalta (esim. CSIRT-toimijan ei pitäisi kuulla korkeampia tasoja välittääkseen arvokkaita tietoja toisen jäsenvaltion CSIRT-toimijalle).

(11)  Poikkeaman käsittelyllä tarkoitetaan kaikkia menettelyjä, jotka tukevat poikkeaman havaitsemista, analysointia ja sen vaikutusten rajoittamista sekä siihen reagointia.

(12)  EU:n vastuulliset virastot tai elimet osallistuvat sen mukaan, mikä on poikkeaman luonne ja sen vaikutukset eri toimialoihin (rahoitusala, liikenne, energia, terveydenhuolto jne.).

(13)  EU:n kyberturvallisuuspoikkeaman tilanneraportti on kooste kansallisten CSIRT-toimijoiden toimittamista kansallisista raporteista. Raportin muoto olisi kuvailtava CSIRT-verkoston menettelyohjeissa.

(14)  EC3:n oikeudellisen kehyksen ja siinä vahvistettujen edellytysten ja menettelyjen mukaisesti.

(15)  Vaarantumisindikaattori (Indicator of Compromise, IoC) on tietokoneforensiikassa verkossa tai käyttöjärjestelmässä havaittu artefakti, joka osoittaa suurella varmuudella, että tietokoneeseen on murtauduttu. Tyypillisiä vaarantumisindikaattoreita ovat virusten sormenjäljet ja IP-osoitteet, haittaohjelmatiedostojen MD5-tiivisteet tai bottiverkkojen komentopalvelimien URL-osoitteet tai verkkotunnukset.

(16)  Ehdotus asetukseksi EU:n kyberturvallisuusvirastosta ENISAsta ja asetuksen (EU) N:o 526/2013 kumoamisesta sekä tieto- ja viestintätekniikan kyberturvallisuussertifioinnista (”kyberturvallisuusasetus”), 13. syyskuuta 2017.

(17)  Teknisluonteisia neuvoja poikkeaman syistä ja sen vaikutusten mahdollisesta lieventämisestä.

(18)  Tietoja teknisestä haavoittuvuudesta, jota hyödynnetään tietojärjestelmien vahingoittamiseksi.

(19)  Pysyvien edustajien komitea eli Coreper (Euroopan unionin toiminnasta tehdyn sopimuksen 240 artikla) vastaa Euroopan unionin neuvoston työn valmistelusta.

(20)  Poliittisten ja turvallisuusasioiden komitea on Euroopan unionin neuvoston komitea, joka käsittelee Euroopan unionista tehdyn sopimuksen 38 artiklassa tarkoitettua yhteistä ulko- ja turvallisuuspolitiikkaa (YUTP).

(21)  EC3:n oikeudellisen kehyksen ja siinä vahvistettujen edellytysten ja menettelyjen mukaisesti.

(22)  Kyberturvallisuuden hätäapurahastoa ehdotetaan yhtenä toimena yhteisessä tiedonannossa ”Resilienssi, pelote ja puolustus: vahvan kyberturvallisuuden rakentaminen EU:lle”, JOIN(2017) 450/1.

(23)  Peräisin puheenjohtajan tukiryhmän hyväksymästä asiakirjasta 12607/15 ”IPCR-järjestelyjen vakiotoimintamenetelmät”, joka esiteltiin Coreperille lokakuussa 2015.

(24)  Suurempi versio kuvasta on lisäyksessä.

(25)  EU:n kyberturvallisuuspoikkeaman tilanneraportti on kooste kansallisten CSIRT-toimijoiden toimittamista kansallisista raporteista. Raportin muoto olisi kuvailtava CSIRT-verkoston menettelyohjeissa.

(26)  ISAA-menettelyohjeet.

LISÄYS

1.   KRIISINHALLINTA, YHTEISTYÖMEKANISMIT JA TOIMIJAT EU:N TASOLLA

Kriisinhallintamekanismit

Poliittisen kriisitoiminnan integroidut järjestelyt (IPCR): Neuvosto hyväksyi poliittisen kriisitoiminnan integroidut järjestelyt (IPCR) 25. kesäkuuta 2013 (1). Ne on tarkoitettu helpottamaan pikaista koordinointia ja reagointia EU:n poliittisella tasolla vakavassa kriisitilanteessa. IPCR-järjestelyt tukevat myös yhteisvastuulausekkeeseen (SEUT-sopimuksen 222 artikla) vetoamisen johdosta toteutettavien toimien koordinointia poliittisella tasolla. Tästä säädetään yhteisvastuulausekkeen täytäntöönpanojärjestelyistä unionissa 24. kesäkuuta 2014 annetussa neuvoston päätöksessä 2014/415/EU. Aktivointiprosessi ja sen jälkeen toteutettavat toimet määritellään IPCR-järjestelyjen vakiotoimintamenettelyissä (2).

ARGUS: Komission vuonna 2005 perustama kriisinkoordinointijärjestelmä, johon sisältyy erityinen koordinointimenettely, joka otetaan käyttöön suuren monialaisen kriisin syntyessä. Sitä tukee samanniminen nopea yleishälytysjärjestelmä (tietojärjestelmä). ARGUS-järjestelmässä on kaksi vaihetta, ja vaiheessa II (suuren monialaisen kriisin tapauksessa) kutsutaan koolle kriisinkoordinointikomitean kokouksia komission puheenjohtajan tai sen komission jäsenen alaisuudessa, jolle on annettu vastuu toiminnasta. Kriisinkoordinointikomitea on perustettu johtamaan ja koordinoimaan komission toimintaa kriisitilanteessa, ja siihen kuuluvat kaikkien asiaan liittyvien komission pääosastojen, kabinettien ja muiden yksiköiden edustajat. Kriisinkoordinointikomitean puheenjohtajana toimii apulaispääsihteeri, ja se arvioi tilannetta, harkitsee vaihtoehtoja ja tekee toteuttamiskelpoisia päätöksiä komission vastuulla olevista EU:n välineistä sekä varmistaa, että päätökset pannaan täytäntöön (3)  (4).

EUH:n kriisinhallintamekanismi: EUH:n kriisinhallintamekanismi on strukturoitu järjestelmä, jonka avulla EUH voi vastata kriiseihin ja hätätilanteisiin, jotka ovat luonteeltaan ulkoisia tai joilla on merkittävä ulkoinen ulottuvuus – mukaan lukien hybridiuhat – ja jotka voivat vaikuttaa tai tosiasiallisesti vaikuttavat EU:n tai sen jäsenvaltioiden etuihin. Kriisinhallintamekanismissa on varmistettu asianomaisten komission ja neuvoston pääsihteeristön virkamiesten osallistuminen sen kokouksiin, ja näin se helpottaa diplomaattisten ja turvallisuus- ja puolustuspoliittisten toimien yhteisvaikutusta komission hallinnoimien rahoitus-, kauppa- ja yhteistyövälineiden kanssa. Kriisin ajaksi voidaan aktivoida kriisiryhmä.

Yhteistyömekanismit

CSIRT-verkosto: Tietoturvaloukkauksiin reagoivien ja niitä tutkivien yksiköiden verkosto kokoaa yhteen kaikki kansalliset ja valtiolliset CSIRT-toimijat ja CERT-EU-ryhmän. Verkoston tarkoituksena on mahdollistaa uhkia ja kyberturvallisuuspoikkeamia koskeva CSIRT-toimijoiden välinen tiedonvaihto ja yhteistyö kyberturvallisuuspoikkeamiin ja -kriiseihin reagoinnissa sekä parantaa niitä.

Neuvoston kyberkysymyksiä käsittelevä horisontaalinen työryhmä: Työryhmä perustettiin varmistamaan kyberpolitiikan kysymysten strateginen ja horisontaalinen koordinointi neuvostossa. Se voi osallistua sekä lainsäädännöllisiin että muihin toimiin.

Toimijat

ENISA: Euroopan unionin verkko- ja tietoturvavirasto perustettiin vuonna 2004. Virasto toimii tiiviissä yhteistyössä jäsenvaltioiden ja yksityisen sektorin kanssa tarjotakseen neuvoja ja ratkaisuja sellaisissa kysymyksissä kuten yleiseurooppalaiset kyberturvallisuusharjoitukset, kansallisten kyberturvallisuusstrategioiden laatiminen, CSIRT-toimijoiden välinen yhteistyö ja valmiuksien rakentaminen. ENISA tekee suoraa yhteistyötä CSIRT-toimijoiden kanssa kaikkialla EU:ssa, ja se toimii CSIRT-verkoston sihteeristönä.

ERCC: Komissiossa (EU:n pelastuspalveluasioiden ja humanitaarisen avun operaatioiden pääosaston – PO ECHO – alaisuudessa) toimiva EU:n hätäavun koordinointikeskus tukee ja koordinoi ympärivuorokautisesti laajaa valikoimaa kriisien ehkäisyyn ja niihin varautumiseen ja reagointiin liittyviä toimia. Keskus avattiin vuonna 2013, ja se toimii komission kriisivalmiusjärjestelmän keskuksena (yhteydessä EU:n muihin kriisikeskuksiin) ja on myös IPCR-järjestelyjen ympärivuorokautinen keskitetty yhteyspiste.

Europol/EC3: Euroopan kyberrikostorjuntakeskus (EC3) perustettiin vuonna 2013 Europolin yhteyteen tukemaan kyberrikollisuuteen kohdistuvia lainvalvontatoimia EU:ssa. EC3 tarjoaa operatiivista ja analyyttista tukea jäsenvaltioiden tutkimuksille ja toimii rikos- ja tiedustelutietojen keskuksena, joka tukee jäsenvaltioiden operaatioita ja tutkimuksia tarjoamalla käyttöön operatiivisia analyysejä, koordinointia ja asiantuntemusta sekä pitkälle erikoistuneita teknisen ja digitaalisen rikosteknisen tutkinnan tukivalmiuksia.

CERT-EU: EU:n toimielinten, elinten ja virastojen tietotekniikan kriisiryhmän tehtävänä on parantaa EU:n toimielinten, elinten ja virastojen suojautumista kyberuhilta. Se on CSIRT-verkoston jäsen. CERT-EU on tehnyt tekniset sopimukset tietojen jakamisesta Naton CIRC-yksikön, eräiden kolmansien maiden ja kyberturvallisuusalan merkittävien kaupallisten toimijoiden kanssa.

EU:n tiedusteluyhteisöön kuuluvat EU:n tiedusteluanalyysikeskus (INTCEN) ja EU:n sotilasesikunnan (EUMS) tiedusteluosasto (EUMS INT) yhtenäistä tiedustelun analysointikykyä (SIAC) koskevien järjestelyjen mukaisesti. SIACin tehtävänä on tuottaa tiedusteluanalyyseja, ennakkovaroituksia ja tilannetietoisuutta Euroopan unionin ulkoasioiden ja turvallisuuspolitiikan korkealle edustajalle ja Euroopan ulkosuhdehallinnolle (EUH). SIAC tarjoaa palvelujaan EU:n eri päätöksentekoelimille yhteisen ulko- ja turvallisuuspolitiikan (YUTP), yhteisen turvallisuus- ja puolustuspolitiikan (YTPP) ja terrorismin torjunnan aloilla sekä myös jäsenvaltioille. EU INTCEN ja EUMS INT eivät ole operatiivisia virastoja eikä niillä ole keruuvalmiuksia. Tiedustelun operatiivinen taso on jäsenvaltioiden vastuulla. SIAC tekee ainoastaan strategisia analyyseja.

EU:n hybridianalyysikeskus: Hybridiuhkien torjumisesta huhtikuussa 2016 annetussa yhteisessä tiedonannossa nimetään EU:n hybridianalyysikeskus (EU HFC) kaiken hybridiuhkia koskevan lähdeanalyysin yhteyspisteeksi EU:ssa. Komissio hyväksyi sen toimeksiannon joulukuussa 2016 sisäisellä lausuntokierroksella. EU:n hybridianalyysikeskus toimii INTCENissä ja on osa SIAC-järjestelyä. Siksi se toimii yhdessä EUMS INT:n kanssa, ja siihen on nimetty vakituinen sotilasjäsen. Hybridiuhilla viitataan siihen, että valtiollinen tai valtiosta riippumaton taho käyttää tarkoituksellisesti yhdistelmää erilaisia peiteltyjä tai avoimia sotilaallisia tai siviilivälineitä ja -vaikutuskeinoja, kuten kyberhyökkäyksiä, disinformaatiokampanjoita, vakoilua, taloudellista painostusta, sijaisvoimaa tai muita turvallisuutta vaarantavia toimia. Hybridianalyysikeskuksella on sekä komissiossa että jäsenvaltioissa laaja verkko yhteyspisteitä, jotta erilaisiin uhkiin voidaan vastata yhtenäisesti ja koko hallinnon kattavasti.

EU SITROOM: EU:n tilannekeskus on osa EU:n tiedusteluanalyysikeskusta (EU INTCEN), ja se tarjoaa EUH:lle operatiivisen valmiuden varmistaa välitön ja tehokas reagointi kriiseihin. Se on siviili-sotilasalan pysyvä päivystyselin, joka tarjoaa maailmanlaajuista seurantaa ja tilannetietoisuutta ympäri vuorokauden.

Asiaan liittyvät välineet:

EU:n yhteistä diplomaattista vastausta haitallisiin kybertoimiin koskevat puitteet: Puitteista sovittiin kesäkuussa 2017. Ne ovat osa kyberdiplomatiaa koskevaa EU:n toimintamallia, joka edistää konfliktien ehkäisyä, kyberturvallisuusuhkien lieventämistä ja kansainvälisten suhteiden vakauden parantamista. Puitteissa käytetään täysimääräisesti hyväksi yhteiseen ulko- ja turvallisuuspolitiikkaan kuuluvia toimenpiteitä, tarvittaessa myös rajoittavia toimenpiteitä. Puitteisiin sisältyvien toimenpiteiden pitäisi kannustaa yhteistyön tekemistä, helpottaa välittömien ja pitkän aikavälin uhkien vähentämistä ja vaikuttaa rikoksen tekijän ja potentiaalisten hyökkääjien käyttäytymiseen pitkällä aikavälillä.

2.   KYBERTURVALLISUUSKRIISIEN KOORDINOINTI IPCR-JÄRJESTELYISSÄ – HORISONTAALINEN KOORDINOINTITASO JA LAAJEMPI POLIITTINEN VASTAUS

IPCR-järjestelyjä voidaan käyttää (ja niitä on käytetty) teknisten ja operatiivisten kysymysten käsittelyyn, mutta aina poliittisesta/strategisesta näkökulmasta.

Toimintaa voidaan laajentaa siten, että IPCR-järjestelyjä sovelletaan kriisin tason mukaan siirtymällä ”seurantatilasta””tietojenjakamistilaan”, joka on IPCR-järjestelyjen aktivoinnin ensimmäinen taso, ja edelleen ”IPCR-järjestelyjen täysimittaiseen aktivointiin”.

Täysimittaisesta aktivoinnista päättää EU:n neuvoston kiertävä puheenjohtajavaltio. Komissio, EUH ja neuvoston pääsihteeristö voivat aktivoida IPCR-järjestelyt tietojenjakamistilassa. Seuranta ja tietojenjakaminen käynnistävät eritasoisen tiedonvaihdon, ja tietojenjakaminen aiheuttaa ISAA-raportin laatimispyynnön. Täysimittaisessa aktivoinnissa välinevalikoimaan lisätään pyöreän pöydän kokoukset, joita johtaa puheenjohtajavaltio (tyypillisesti Coreper II:n puheenjohtaja tai pysyvän edustuston neuvonantajatason erityisasiantuntija, mutta pyöreän pöydän kokouksia on poikkeuksellisesti järjestetty ministeritasolla).

Toimijat

Johtajana kiertävä puheenjohtajavaltio (tyypillisesti Coreperin puheenjohtaja)

Eurooppa-neuvostossa puheenjohtajan kabinetti

Euroopan komissiossa apulaispääsihteeri-/pääosastotaso ja/tai erityisasiantuntijat

EUH:ssa apulaispääsihteeri-/pääjohtajataso ja/tai erityisasiantuntijat

Neuvoston pääsihteeristössä pääsihteerin kabinetti, IPCR-ryhmä ja vastuullinen pääosasto

Toiminnan laajuus: Yhteisen yleiskuvan luominen tilanteesta ja tietoisuuden kasvattaminen pullonkauloista tai puutteista kaikilla kolmella tasolla, jotta niihin voidaan puuttua poliittisella tasolla, päätösten tekeminen pyöreässä pöydässä, jos ne kuuluvat osanottajien toimivaltaan, tai toimintaehdotusten laatiminen Coreper II:n ja edelleen neuvoston käsiteltäviksi.

Yhteinen tilannetietoisuus:

(ei aktivoitu) IPCR:lle voidaan perustaa seurantasivusto sellaisten kehittyvien tilanteiden seuraamiseksi, jotka voivat kärjistyä EU:hun vaikuttaviksi kriiseiksi.

(IPCR – tietojenjakaminen): ISAA:n johtava yksikkö laatii ISAA-raportteja komission yksiköiden, EUH:n ja jäsenvaltioiden (IPCR-kyselylomakkeilla) antamien tietojen pohjalta.

(IPCR – täysimittainen aktivointi): ISAA-raporttien lisäksi IPCR:n epävirallisissa pyöreän pöydän kokouksissa kootaan yhteen asianomaisia toimijoita jäsenvaltioista, komissiosta, EUH:sta, asianomaisista virastoista jne. keskustelemaan puutteista ja pullonkauloista.

Yhteistyö ja toiminta:

Aktivoidaan/synkronoidaan muita kriisinhallintamekanismeja tai -välineitä poikkeaman luonteesta ja vaikutuksesta riippuen. Näihin voivat sisältyä muun muassa pelastuspalvelumekanismi, EU:n yhteistä diplomaattista vastausta haitallisiin kybertoimiin koskevat puitteet tai hybridiuhkien torjumista koskeva yhteinen kehys.

Kriisiviestintä:

Puheenjohtajavaltio voi asianomaisia komission, neuvoston pääsihteeristön ja EUH:n yksiköitä kuultuaan aktivoida IPCR:n kriisiviestijöiden verkoston tukemaan yhteisten viestien laatimista tai määrittelemään tehokkaimmat viestintävälineet.

3.   KYBERTURVALLISUUSKRIISIEN HALLINTA ARGUS-JÄRJESTELMÄSSÄ – TIETOJEN JAKAMINEN EUROOPAN KOMISSION SISÄLLÄ

Koska oli tapahtunut ennakoimattomia kriisejä, jotka vaativat Euroopan tason toimia, kuten Madridin terrori-iskut (maaliskuu 2004), Kaakkois-Aasian tsunami (joulukuu 2004) ja Lontoon terrori-iskut (heinäkuu 2005), komissio perusti vuonna 2005 ARGUS-koordinointijärjestelmän, jota tukee samanniminen nopea yleishälytysjärjestelmä (5)  (6). Sen on tarkoitus muodostaa erityinen kriisinkoordinointimenettely suuren monialaisen kriisin syntyessä, jotta kriisiin liittyviä tietoja voidaan vaihtaa reaaliaikaisesti ja voidaan varmistaa nopea päätöksenteko.

ARGUS-järjestelmässä on kaksi vaihetta tapahtuman vakavuudesta riippuen:

Vaihetta I käytetään tietojen jakamiseen mittakaavaltaan rajallisesta kriisistä. Esimerkkeinä hiljattain vaiheessa I ilmoitetuista tapauksista voidaan mainita Portugalin ja Israelin metsäpalot, vuonna 2016 Berliinissä tehty isku, Albanian tulvat, hurrikaani Matthew Haitilla ja Bolivian kuivuus. Mikä tahansa pääosasto voi käynnistää vaiheen I tapahtuman, jos se katsoo, että sen toimivaltaan kuuluva tilanne on niin vakava, että tietojen jakaminen olisi välttämätöntä tai hyödyllistä. Esimerkiksi PO CNECT tai PO HOME voi käynnistää vaiheen I tapahtuman, jos se katsoo, että sen toimivaltaan kuuluva kyberturvallisuustilanne on niin vakava, että tietojen jakaminen olisi välttämätöntä tai hyödyllistä.

Vaihe II käynnistetään suuren monialaisen kriisin syntyessä tai ennakoidun tai välittömän kriisin uhatessa unionia. Vaiheessa II käynnistetään erityinen koordinointimenettely, jonka avulla komissio voi tehdä päätöksiä ja hallita nopeaa, koordinoitua ja johdonmukaista reagointia korkeimmalla tasolla sen toimivaltaan kuuluvilla aloilla ja yhteistyössä muiden toimielinten kanssa. Vaihetta II on tarkoitus käyttää suuren monialaisen kriisin syntyessä tai ennakoidun tai välittömän kriisin uhatessa. Esimerkkeinä tosielämän vaiheen II tapahtumista voidaan mainita muuttoliike-/pakolaiskriisi (2015, jatkuu edelleen), Fukushiman kolmoiskatastrofi (2011) ja Eyjafjallajökull-tulivuoren purkaus Islannissa (2010). Vaiheen II käynnistää puheenjohtaja omasta aloitteestaan tai komission jäsenen pyynnöstä. Puheenjohtaja voi siirtää poliittisen vastuun komission toimista siitä yksiköstä vastaavalle komission jäsenelle, jota kriisi lähimmin koskee, tai hän voi päättää pitää vastuun itsellään. Vaiheeseen II sisältyy kriisinkoordinointikomitean kokouksia. Ne kutsutaan koolle puheenjohtajan tai sen komission jäsenen alaisuudessa, jolle on annettu vastuu toiminnasta. Kokoukset kutsuu koolle pääsihteeristö ARGUS-tietojärjestelmän kautta. Kriisinkoordinointikomitea on erityinen operatiivinen kriisinhallintajärjestelmä, joka on perustettu johtamaan ja koordinoimaan komission toimintaa kriisitilanteessa ja johon osallistuvat asiaan liittyvien komission pääosastojen, kabinettien ja muiden yksiköiden edustajat. Kriisinkoordinointikomitean puheenjohtajana toimii apulaispääsihteeri. Kriisinkoordinointikomitea arvioi tilannetta, harkitsee vaihtoehtoja ja tekee päätöksiä sekä varmistaa, että päätökset pannaan täytäntöön, ja huolehtii komission reaktioiden johdonmukaisuudesta. Kriisinkoordinointikomiteaa tukee pääsihteeristö.

4.   EUH:N KRIISINHALLINTAMEKANISMI

EUH:n kriisinhallintamekanismi aktivoidaan, kun syntyy vakava tilanne tai hätätilanne, joka koskee EU:n ulkoista ulottuvuutta tai ainakin liittyy siihen. Kriisinhallintamekanismin aktivoi kriisinhallinnasta vastaava apulaispääsihteeri korkeaa edustajaa tai pääsihteeristöä kultuaan. Myös korkea edustaja tai pääsihteeristö tai joku muu apulaispääsihteeri tai pääjohtaja voi pyytää kriisinhallinnasta vastaavaa apulaispääsihteeriä käynnistämään kriisinhallintamekanismin.

Kriisinhallintamekanismi varmistaa osaltaan, että EU:n kriisitoiminta on yhdenmukaista turvallisuusstrategian kanssa. Kriisinhallintamekanismi helpottaa erityisesti diplomaattisten ja turvallisuus- ja puolustuspoliittisten toimien yhteisvaikutusta komission hallinnoimien rahoitus-, kauppa- ja yhteistyövälineiden kanssa.

Kriisinhallintamekanismi on yhteydessä komission nopeaan yleishälytysjärjestelmään (ARGUS) ja EU:n poliittisen kriisitoiminnan integroituihin järjestelyihin (IPCR) yhteisvaikutusten hyödyntämiseksi, jos järjestelmät aktivoidaan yhtä aikaa. EUH:n tilannekeskus toimii EUH:n ja neuvoston ja komission hätäapujärjestelmien välisenä viestikeskuksena.

Kriisinhallintamekanismin täytäntöönpanoon liittyvä ensimmäinen toimi on yleensä kriisikokouksen järjestäminen niiden EUH:n, komission ja neuvoston ylempien johtajien välillä, jotka ovat suoraan tekemisissä kyseessä olevan kriisin kanssa. Kriisikokouksessa arvioidaan kriisin lyhyen aikavälin vaikutuksia, ja siinä voidaan sopia välittömien toimien toteuttamisesta tai kriisiryhmän (Crisis Cell) aktivoinnista tai kriisiyksikön (Crisis Platform) koolle kutsumisesta. Nämä toimet voidaan toteuttaa missä tahansa aikajärjestyksessä.

Kriisiryhmä on pienimuotoinen operaatiohuone, johon kriisiin vastaamiseen osallistuvien EUH:n, komission ja neuvoston yksiköiden edustajat kokoontuvat seuraamaan tilannetta jatkuvasti, jotta he voivat antaa tukea EUH:n päämajan päätöksentekijöille. Kun kriisiryhmä on aktivoitu, se toimii ympäri vuorokauden viikon jokaisena päivänä.

Kriisiyksikköön kootaan asianomaiset EUH:n, komission ja neuvoston yksiköt tekemään arviointeja kriisien keskipitkän ja pitkän aikavälin vaikutuksista ja sopimaan toteutettavista toimista. Sen puheenjohtajana toimii korkea edustaja tai pääsihteeri tai kriisinhallinnasta vastaava apulaispääsihteeri. Kriisiyksikössä arvioidaan EU:n toimien vaikuttavuutta kriisimaassa tai -alueella, päätetään lisätoimenpiteistä ja keskustellaan neuvoston toimia koskevista ehdotuksista. Kriisiyksikkö on tilapäinen kokous; sitä ei siis aktivoida pysyvästi.

Toimintaryhmä koostuu toimintaan osallistuvien yksiköiden edustajista ja se voidaan aktivoida seuraamaan ja helpottamaan EU:n toiminnan toteuttamista. Se arvioi EU:n toiminnan vaikutusta, valmistelee toimintapoliittisia ja toimintavaihtoehtoja esitteleviä asiakirjoja, osallistuu kriiseissä toimimista koskevan poliittisen kehyksen (PFCA) valmisteluun ja viestintästrategian laatimiseen sekä hyväksyy mahdollisia muita järjestelyjä, jotka voivat helpottaa EU:n toiminnan toteuttamista.

5.   VIITEASIAKIRJAT

Seuraavassa on luettelo tätä suunnitelmaa laadittaessa huomioon otetuista asiakirjoista:

—	The European Cyber Crises Cooperation Framework, Version 1, 17. lokakuuta 2012.

—	Report on Cyber Crisis Cooperation and Management, ENISA, 2014

—	Actionable Information for Security Incident Response, ENISA, 2014

—	Common practices of EU-level crisis management and applicability to cyber crises, ENISA, 2015

—	Strategies for Incident Response and Cyber Crisis Cooperation, ENISA, 2016

—	EU Cyber Standard Operating Procedures, ENISA, 2016

—	A good practice guide of using taxonomies in incident prevention and detection, ENISA, 2017

—	Komission tiedonanto Euroopan kyberresilienssijärjestelmän vahvistamisesta sekä kilpailukykyisen ja innovatiivisen kyberturvallisuustoimialan tukemisesta, COM(2016)410 final, 5. heinäkuuta 2016

—	Neuvoston päätelmät Euroopan kyberresilienssijärjestelmän vahvistamisesta sekä kilpailukykyisen ja innovatiivisen kyberturvallisuustoimialan tukemisesta – Neuvoston päätelmät (15. marraskuuta 2016), 14540/16.

—	Neuvoston päätös 2014/415/EU, annettu 24 päivänä kesäkuuta 2014, yhteisvastuulausekkeen täytäntöönpanojärjestelyistä unionissa (EUVL L 192, 1.7.2014, s. 53)

—	EU:n hätätila- ja kriisinkoordinointijärjestelyjen tarkistusprosessin loppuun saattaminen: EU:n kokonaisvaltaisen poliittisen kriisitoiminnan järjestelyt, 10708/13, 7. kesäkuuta 2013.

—	Integrated Situational Awareness and Analysis (ISAA) – Standard Operating Procedures, DS 1570/15, 22. lokakuuta 2015.

—	Nopeaa yleishälytysjärjestelmää ARGUSia koskevat komission säännökset, COM(2005) 662 final, 23. joulukuuta 2005

—	Komission päätös 2006/25/EY, Euratom, annettu 23 päivänä joulukuuta 2005, komission työjärjestyksen muuttamisesta (EUVL L 19, 24.1.2006, s. 20).

—	ARGUS Modus Operandi, Euroopan komissio, 23. lokakuuta 2013

—	Neuvoston päätelmät EU:n yhteistä diplomaattista vastausta haitallisiin kybertoimiin koskevista puitteista (”kyberdiplomatian välineistö”), asiakirja 9916/17

—	EU operational protocol for countering hybrid threats ’EU Playbook’, SWD(2016) 227

—	EEAS Crisis Response Mechanism, 8 November 2016 [Ares(2017)880661]. Joint Staff Working Document EU operational protocol for countering hybrid threats, ’EU Playbook’, SWD(2016) 227 final, 5. heinäkuuta 2016

—	Yhteinen tiedonanto Euroopan parlamentille ja neuvostolle: Yhteinen kehys hybridiuhkien torjumiseksi: Euroopan unionin toimet, JOIN/2016/018 final, 6. huhtikuuta 2016

—	EEAS(2016) 1674 – Working Document of the European External Action Service – EU Hybrid Fusion Cell – Terms of Reference

6.   IPCR-PROSESSIN KYBERTURVALLISUUTEEN LIITTYVÄT ELEMENTIT

---

(1)  Neuvoston 24. kesäkuuta 2013 hyväksymä asiakirja 10708/13 ”EU:n hätätila- ja kriisinkoordinointijärjestelyjen tarkistusprosessin loppuun saattaminen: EU:n kokonaisvaltaisen poliittisen kriisitoiminnan järjestelyt”.

(2)  Puheenjohtajan tukiryhmän hyväksymä asiakirja 12607/15 ”IPCR-järjestelyjen vakiotoimintamenetelmät”, joka esiteltiin Coreperille lokakuussa 2015.

(3)  Nopeaa yleishälytysjärjestelmää ARGUSia koskevat komission säännökset, COM(2005) 662 final, 23.12.2005.

(4)  Komission päätös 2006/25/EY, Euratom, annettu 23 päivänä joulukuuta 2005, komission työjärjestyksen muuttamisesta (EUVL L 19, 24.1.2006, s. 20), nopean yleishälytysjärjestelmän ARGUSin perustamisesta.

(5)  Komission tiedonanto Euroopan parlamentille, neuvostolle, Euroopan talous- ja sosiaalikomitealle sekä alueiden komitealle ”Nopeaa yleishälytysjärjestelmää ARGUSia koskevat komission säännökset”, COM(2005) 662 final, 23. joulukuuta 2005.

(6)  Päätös 2006/25/EY, Euratom.