EUROOPAN KOMISSIO
Bryssel 10.11.2022
JOIN(2022) 49 final
YHTEINEN TIEDONANTO EUROOPAN PARLAMENTILLE JA NEUVOSTOLLE
EU:n kyberpuolustuspolitiikka
EUROOPAN KOMISSIO
Bryssel 10.11.2022
JOIN(2022) 49 final
YHTEINEN TIEDONANTO EUROOPAN PARLAMENTILLE JA NEUVOSTOLLE
EU:n kyberpuolustuspolitiikka
I. JOHDANTO
Sodan paluu Eurooppaan Venäjän Ukrainaa vastaan aloittaman perusteettoman ja provosoimattoman sotilaallisen hyökkäyksen myötä on ollut herätys kaikille, jotka kyseenalaistavat EU:n lähestymistavan turvallisuuteen ja puolustukseen sekä sen kyvyn edistää visioitaan ja puolustaa etujaan, myös kybertoimintaympäristössä. Autoritääriset hallinnot yrittävät haastaa ja heikentää sääntöihin perustuvaa kansainvälistä järjestystä kybertoimintaympäristössä ja tehdä siitä yhä kiistanalaisemman alueen maa-, meri-, ilma- ja avaruusalueiden ohella. Sekä valtiollisten että valtiosta riippumattomien toimijoiden kybertoimintaympäristössä harjoittama haitallinen toiminta on lisääntynyt viime vuosina, ja EU:n kriittisiin sotilas- ja siviili-infrastruktuureihin sekä käynnissä oleviin operaatioihin kohdistuu yhä useampia kyberhyökkäyksiä.
Kybertoimintaympäristön siviiliulottuvuuden ja sotilaallisen ulottuvuuden väliset rajat ovat hämärtyneet, kuten viimeaikaiset hyökkäykset energiaverkkoja, liikenneinfrastruktuuria ja avaruusresursseja vastaan ovat osoittaneet. Tämä osoittaa myös fyysisen ja digitaalisen infrastruktuurin keskinäisen riippuvuuden ja sen, että merkittävät kyberturvallisuuden häiriötilanteet voivat häiritä tai vahingoittaa kriittistä infrastruktuuria. Tämä on selkeä muistutus siitä, että EU tarvitsee tiivistä sotilas- ja siviiliyhteistyötä kybertoimintaympäristössä tullakseen vahvemmaksi turvallisuuden tuottajaksi.
EU:n on otettava enemmän vastuuta omasta turvallisuudestaan. Tämä edellyttää nykyaikaisia ja yhteentoimivia eurooppalaisia asevoimia. Jäsenvaltioiden on siksi kiireellisesti ja ensisijaisesti sitouduttava lisäämään investointeja kattaviin kyberpuolustusvalmiuksiin, aktiiviset puolustusvalmiudet mukaan luettuina. Vaikka EU pysyy täysin sitoutuneena kybertoimintaympäristöä koskevaan kansainväliseen oikeuteen ja kansainvälisiin standardeihin, sen olisi ilmaistava halukkuutensa käyttää näitä valmiuksia koordinoidusti, jos jäsenvaltioon kohdistuu kyberhyökkäys.
Onnistuakseen tässä EU:n on varmistettava teknologinen ja digitaalinen itsenäisyytensä kyberalalla. EU:n toimintakyky riippuu sen kyvystä hallita ja kehittää huipputeknologiaa EU:n kyberturvallisuutta ja -puolustusta varten. Koska kyberteknologialla on vahva kaksikäyttöpotentiaali, kyberturvallisuus- ja kyberpuolustusteollisuuden, tutkimus- ja kehitystoiminnan sekä innovointitoiminnan on toimittava paljon synergisemmin parempien valmiuksien kehittämiseksi.
Yhteinen ennaltaehkäisy ja havaitseminen ovat tärkeä osa EU:n puolustusvalmiuksia. EU:lla on oltava valmiudet havaita hyökkäykset varhaisessa vaiheessa. Havaintotiedot on muutettava käyttökelpoisiksi tiedustelutiedoiksi, joita voidaan käyttää sekä kyberturvallisuudessa että kyberpuolustuksessa. Tällainen yhteistyö puolustus- ja siviilialan kyberyhteisöjen välillä on perusta paremmalle yhteiselle kybertoimintaympäristöä koskevalle tilannetietoisuudelle, ja se on yhtä lailla ratkaisevan tärkeää koordinoidulle kriisitoiminnalle sekä teknisellä että operatiivisella tasolla.
Ukrainan aseellinen konflikti on myös osoittanut, kuinka tärkeää on tehdä tiivistä yhteistyötä yksityisen sektorin kanssa ja kuinka tärkeää on käyttää luotettavia yksityisiä palveluntarjoajia, jotka toimivat kyberreserveinä ja voivat tehostaa reagointia suurten verkkohyökkäysten tapauksessa. Siksi on tarpeen varmistaa, että jäsenvaltiot voivat luottaa luotettavien kyberreservien tukeen ja että tämä tapahtuu turvallisesti ja koordinoidusti.
Tässä yhteisessä tiedonannossa ehdotetaan kyberpuolustuspolitiikan kehyksen 1 pohjalta kunnianhimoista strategiaa, jonka avulla EU ja sen jäsenvaltiot voivat toimia kybertoimintaympäristössä itsevarmasti ja määrätietoisesti. Sen tavoitteena on parantaa kyberpuolustusvalmiuksia jäsenvaltioiden kansallisilla tai yhteisillä toimilla ja vahvistaa EU:n kyberyhteisöjen välistä koordinointia ja yhteistyötä. Sillä pyritään myös vähentämään EU:n strategista riippuvuutta kriittisten kyberteknologioiden osalta ja vahvistamaan Euroopan puolustuksen teollista ja teknologista perustaa. Kyberpuolustuspolitiikassa vahvistetaan EU:n pelisäännöt ja ehdotetaan keinoja, joilla voidaan vahvistaa EU:lle keskeistä yhteisvastuullisuutta kyberpuolustuksen alalla sekä tehdä yhteistyötä yksityisen sektorin kanssa, jotta voidaan tehostaa vastatoimia suurten kyberhyökkäysten tapauksessa. Ottaen huomioon kyberuhkien kansainvälisen luonteen sillä kehitetään molempia osapuolia hyödyttäviä ja mukautettuja kumppanuuksia kyberpuolustuksen alalla, mukaan lukien kyberpuolustusvalmiuksien kehittäminen, ja parannetaan kumppanimaiden kyberuhkien sietokykyä.
Kuten neuvoston maaliskuussa 2022 hyväksymässä turvallisuus- ja puolustuspolitiikan strategisessa kompassissa 2 ehdotetaan, tällä kyberpuolustuspolitiikalla parannetaan siten kykyä ehkäistä ja havaita EU:hun ja sen jäsenvaltioihin kohdistuvia kyberhyökkäyksiä, suojautua niiltä, toipua niistä ja torjua niitä kaikin käytettävissä olevin keinoin. Tämä on komission digitaalisten painopisteiden, vuoden 2020 EU:n kyberturvallisuusstrategiassa 3 asetettujen tavoitteiden, puheenjohtaja Ursula von der Leyenin vuonna 2021 pitämässä unionin tilaa koskevassa puheessa 4 antaman ilmoituksen ja 23. toukokuuta 2022 Euroopan unionin kybertoimien kehittämisestä annettujen neuvoston päätelmien 5 mukaista. Vuonna 2022 annetussa puolustusalan investointivajeita koskevassa yhteisessä tiedonannossa 6 kehotettiin lisäksi EU:ta ja sen jäsenvaltioita käynnistämään toimet kyberpuolustuksen kattavien valmiuksien luomiseksi – tutkimuksesta, havaitsemisesta ja suojautumisesta aina reagointiin asti.
II. EU:N KYBERPUOLUSTUS KYBERHYÖKKÄYKSILTÄ SUOJAUTUMISEKSI, NIIDEN HAVAITSEMISEKSI JA TORJUMISEKSI SEKÄ NIILTÄ PUOLUSTAUTUMISEKSI
1. Yhteiset toimet kyberpuolustuksen vahvistamiseksi
Kyberhyökkäykset ovat usein luonteeltaan rajat ylittäviä, ja niillä voi olla fyysisiä vaikutuksia EU:n kriittiseen infrastruktuuriin. Kyberturvallisuuden häiriötilanteet voivat olla niin merkittäviä, ettei yksittäinen tai useampi niistä kärsivä jäsenvaltio pysty ratkaisemaan niitä yksin. Ne voivat myös olla osa laajempia kolmansien maiden toteuttamia hybridihyökkäyksiä, joiden tavoitteena on horjuttaa taloutta ja yhteiskuntaa, heikentää EU:n turvallisuuden takaamiseksi tarvittavaa kriittistä infrastruktuuria tai haitata ja vahingoittaa demokratioiden toimintaa muun muassa vaali-infrastruktuureihin kohdistuvilla hyökkäyksillä.
Vuonna 2018 EU määritteli kybertoimintaympäristön sotilastoiminnan alueeksi. Vuonna 2021 hyväksytyssä sotilaallisessa visiossa ja kyberavaruutta toiminnan alueena koskevassa strategiassa 7 asetetaan taustaedellytykset ja kuvataan päämäärät, tavat ja keinot, joita tarvitaan kybertoimintaympäristön käyttämiseksi toiminnan alueena EU:n yhteisen turvallisuus- ja puolustuspolitiikan (YTPP) operaatioiden tukemisessa. Kyberpuolustus ja siihen liittyvien valmiuksien käyttö kaikissa sotilaallisissa kybertoimintaympäristön operaatioissa kuuluu jäsenvaltioiden kansalliseen toimivaltaan, mutta perustuu laajempaan ekosysteemiin, johon kuuluu EU:n tason valmiuksien kehittämisen tukema vahva teollinen perusta.
EU:n kyberpuolustusyhteisöllä, joka koostuu jäsenvaltioiden puolustusviranomaisista ja jota EU:n toimielimet, elimet ja virastot tukevat, on tiettyjä erityispiirteitä muihin kyberyhteisöihin 8 verrattuna, ja se noudattaa erilaista hallintomallia. EU:n sotilaallisten tietotekniikan kriisiryhmien (milCERT-ryhmien) välistä tiedonvaihtoa ja yhteistyötä koskevan vakiintuneen kehyksen puuttuminen, myös YTPP-sotilasoperaatioiden tukemisessa, on ongelmallista, kun otetaan huomioon valtiollisten ja valtiosta riippumattomien toimijoiden aiheuttamien kyberuhkien korkeampi taso.
Siviili-, diplomaatti- ja lainvalvonta-alan kyberyhteisöjen ja niitä vastaavien puolustusalan tahojen välinen yhteistyö tuo suurta lisäarvoa kaikille asianomaisille toimijoille. Sen vuoksi on ratkaisevan tärkeää mahdollistaa tällainen yhteistyö tarjoamalla sopivia ja turvallisia keinoja tiedonvaihtoon ja järjestämällä harjoituksia ja muita toimia, joilla lisätään luottamusta ja keskinäistä ymmärtämystä.
Lisäksi jäsenvaltioiden välinen keskinäinen operatiivinen apu on tällä hetkellä vähäistä. Olisi tarkasteltava kyberalan nopean toiminnan ryhmien toimintamallin laajentamista edelleen EU:n laajuisesti siihen liittyvän kyberalan nopean toiminnan ryhmiä ja kyberturvallisuuteen liittyvää keskinäistä avunantoa (CRRT) 9 koskevan pysyvän rakenteellisen yhteistyön (PRY) hankkeen pohjalta, myös Euroopan unionista tehdyn sopimuksen (SEU) 10 42 artiklan 7 kohdan (keskinäistä avunantoa koskeva lauseke) ja Euroopan unionin toiminnasta tehdyn sopimuksen (SEUT) 11 222 artiklan (yhteisvastuulauseke) yhteydessä. Samaan tapaan yksi niistä asioista, jotka on opittu Ukrainan onnistuneesta kyberpuolustuksesta Venäjän hyökkäyssodan yhteydessä, on yksityisen sektorin ratkaisevan tärkeä asema. Sen vuoksi olisi tutkittava, missä määrin myös yksityinen sektori voisi osallistua kybertapahtumiin reagoimisen parantamiseen.
1.1. Yhteisen tilannetietoisuuden ja koordinoinnin vahvistaminen puolustusyhteisössä
Kun otetaan huomioon kyberhyökkäyksiin liittyvien riskien laajuus, jäsenvaltioilla on oltava käytettävissään mahdollisimman kattava kollektiivinen tilannetietoisuus, mukaan lukien varhaisen havaitsemisen valmiudet, sekä resurssit reagoida asianmukaisesti ja toipua yhteisvastuullisella ja koordinoidulla tavalla.
Sotilaallisen tilannetietoisuuden osalta on tarpeen perustaa EU:n kyberpuolustuksen koordinointikeskus (EUCDCC), joka tukee tehostettua tilannetietoisuutta puolustusyhteisössä, mukaan lukien kaikki EU:n YTPP-sotilaskomentajat. Korkea edustaja esittelee jäsenvaltioiden harkittavaksi EUCDCC:tä koskevan ehdotuksen, joka perustuu kyber- ja tietoalan koordinointikeskusta (CIDCC) koskevaan PRY-hankkeeseen 12 . Sen tavoitteena on tarjota kokonaisvaltainen analyysi kybertoimintaympäristöstä, sähkömagneettisesta ympäristöstä ja kognitiivisesta osa-alueesta yhdistämällä eri tietolähteitä sotilasstrategiselle ja operatiiviselle tasolle. EUCDCC:n, EU:n tiedusteluanalyysikeskuksen (EU INTCEN) ja EU:n sotilasesikunnan tiedustelun välille olisi luotava asianmukaiset yhteydet yhtenäisen tiedustelun analysointikyvyn puitteissa. Ulkoisten tietolähteiden lisäksi EUCDCC:n olisi perustettava ja siihen olisi integroitava riippumaton aktiivinen tietotekniikka-anturijärjestelmä, jolla tehostetaan YTPP-sotilasoperaatioita tukevien EU:n omistamien solmukohtien seurantaa. Se tarjoaa vahvemmat havaitsemisvalmiudet, ja sillä luotaisiin uusi tietokerros, jolla voidaan parantaa tietopohjaa kyberriskien arviointia ja tilannetietoisuutta varten.
Näitä tarkoituksia varten tarvitaan valmiuksia, jotka mahdollistavat ja varmistavat ympärivuorokautisen ja mahdollisuuksien mukaan tunnistetun kybertoimintaympäristöä koskevan tilannekuvan luomisen ja ylläpitämisen, mukaan lukien sekä vastustajien että ystävällismielisten joukkojen käynnissä olevista ja tulevista kyberoperaatioista. Tällainen kuva edistäisi EU:n YTPP-sotilasoperaatioiden suunnittelua ja toteuttamista. Siitä tulee näin ollen sotilaallinen panos, jolla lisätään EU:n tietoisuutta kybertoimintaympäristössä tapahtuvista haitallisista toimista ja parannetaan sen kykyä reagoida niihin.
EU:n kyberkomentajien konferenssia 13 kehitetään ja vahvistetaan edelleen luottamuksen lisäämiseksi ja luotettavien ja oikea-aikaisten strategisten tietojen vaihtamiseksi suurista kyberturvallisuuden häiriötilanteista. Euroopan puolustusvirasto (EDA) toimii sen sihteeristönä, EU:n sotilasesikunta osallistuu siihen, ja se kokoontuu vähintään kaksi kertaa vuodessa keskustelemaan operatiivisista kysymyksistä ja muista merkityksellisistä aiheista.
EDA:n tuella perustetaan milCERT-ryhmien operatiivinen verkosto (MICNET). Kaikkia jäsenvaltioita kehotetaan osallistumaan MICNET-verkostoon, jonka odotetaan olevan toimintavalmis tammikuussa 2023.
MICNET helpottaa milCERT-ryhmien välistä tiedonvaihtoa ja edistää siten vahvempaa ja koordinoidumpaa reagointia kyberuhkiin, jotka vaikuttavat EU:n puolustusjärjestelmiin, mukaan lukien YTPP-sotilasoperaatioissa käytettävät järjestelmät. MICNET mahdollistaa myös sen, että koulutusprosesseja ja milCERT-yhteisön uusien vaatimusten jatkuvaa tunnistamista voidaan ylläpitää ajan mittaan. Seuraavien neljän vuoden aikana EDA kehittää yhdessä jäsenvaltioiden kanssa tietojenjakamisinfrastruktuurin sekä siihen liittyvät välineet ja menettelyt, joilla tuetaan milCERT-ryhmien välistä tietojen jakamista. MICNET tarjoaa myös kehyksen vuosittaiselle harjoitukselle, jossa testataan, validoidaan ja tunnistetaan uusia vaatimuksia ja ratkaisuja.
1.2. Siviiliyhteisöjen kanssa tehtävän koordinoinnin parantaminen
MICNET-verkoston olisi toimittava kyberpuolustusyhteisön eri tasojen ja ulkoisten sidosryhmien välisen tietojen jakamisen kehyksenä ja infrastruktuurina.
Kun MICNET saavuttaa korkeamman kypsyystason, EDA tukee jäsenvaltioita niiden tutkiessa mahdollisuuksia yhteistyöhön tietoturvaloukkauksiin reagoivien ja niitä tutkivien yksiköiden (CSIRT) verkoston kanssa. Tämä verkosto kokoaa yhteen kansalliset CSIRT-yksiköt ja EU:n toimielinten, elinten ja virastojen tietotekniikan kriisiryhmän (CERT-EU). Yhteistyöhön voisi sisältyä yhteisiä kokouksia ja harjoituksia. Olisi myös tarkasteltava yksityisen sektorin osallistumista asiaankuuluvaan tietojen jakamiseen ja poikkeamiin reagoimiseen.
Kyberkriisien tehokkaamman hallinnan mahdollistamiseksi EU:n kyberkomentajien konferenssin olisi oltava yhteydessä EU:n kyberkriisien yhteysorganisaatioiden verkostoon (CyCLONe), joka kokoaa yhteen jäsenvaltiot ja komission tukemaan laajamittaisten kyberturvallisuuspoikkeamien koordinointia ja hallintaa EU:ssa. Tässä toiminnassa yhdistetään sotilasalan kokemus ja siviilialan tilannetietoisuus strategisella ja operatiivisella tasolla.
EUCDCC:n olisi toimittava keskeisenä solmukohtana kyberpuolustukseen liittyvien tietojen keräämisessä, analysoinnissa, arvioinnissa ja lopulta jakelussa, erityisesti YTPP-sotilasoperaatioita varten, minkä lisäksi se voisi myös olla yhteydessä toimielinten väliseen kyberkriisityöryhmään 14 , joka on perustettu varmistamaan tietoon perustuva päätöksenteko ja EU:n toimielinten, elinten ja virastojen koordinoitu reagointi vakaviin kyberkriiseihin strategisella ja operatiivisella tasolla.
EUCDCC voi myös vaihtaa asiaankuuluvia tietoja kybertilanne- ja analyysikeskuksen kanssa, jota ollaan parhaillaan perustamassa komissioon Euroopan unionin kyberturvallisuusviraston (ENISA) ja CERT-EU:n tuella. Keskuksen tehtävänä on tarjota analyysejä ja antaa tehokkaampaa tukea kriisinhallinnalle.
Lisäksi jäsenvaltioiden ja asianomaisten EU:n toimielinten, elinten ja virastojen välisten yhteisesti jaettujen tai yhteentoimivien suojattujen viestintävälineiden ja -alustojen puute on edelleen merkittävä este. Komissio ja asianomaiset toimielimet kartoittavat parhaillaan olemassa olevia kyberalan suojattuja viestintävälineitä. Komissio esittää olemassa olevien välineiden kartoituksen perusteella suosituksensa neuvostolle vuoden 2022 lopussa, jotta lisätoimista voidaan sopia.
EU:n kybersolidaarisuus yhteisen havaitsemisen ja tilannetietoisuuden vahvistamiseksi
Siviilialan tukitoimilla voidaan edelleen lisätä yhteistä tilannetietoisuutta. Kyberpuolustusyhteisö hyötyy EU:n kriittisen infrastruktuurin suojaamiseksi kehitetyistä vahvemmista siviilialan havaitsemis- ja tilannetietoisuusvalmiuksista. Tätä varten komissio valmistelee aloitetta, jolla edistetään EU:n turvaoperaatiokeskusten (SOC) infrastruktuurin käyttöönottoa lähiviikkoina käynnistettävästä ensimmäisestä vaiheesta saatujen kokemusten perusteella. Tämän jälkeen infrastruktuuria laajennetaan ja se otetaan käyttöön laajemmassa mittakaavassa. 15 Infrastruktuuri koostuisi viime kädessä useista usean maan kattavista SOC-foorumeista, joista kukin kokoaisi yhteen kansallisia SOC-keskuksia. Infrastruktuurin kansallista rahoitusta täydennetään Digitaalinen Eurooppa -ohjelmasta 16 annettavalla tuella. Digitaalinen Eurooppa -ohjelmaan tehtävät lainsäädännölliset muutokset mahdollistaisivat pidemmän aikavälin rahoitustuen seuraavan sukupolven erittäin turvallisten välineiden ja infrastruktuurin yhteishankinnoille. Suunnitellulla EU:n SOC-infrastruktuurilla voitaisiin siten parantaa kollektiivisia havaitsemisvalmiuksia käyttämällä kehittyneintä tekoälyä ja data-analytiikkaa siten, että katetaan siviilialan tietoliikenneverkot. Tällainen kyberuhkia koskevan tiedustelutiedon tuottaminen mahdollistaisi viranomaisten ja asiaankuuluvien toimijoiden varoittamisen ajoissa, jotta ne voivat havaita merkittävät poikkeamat ja reagoida niihin tehokkaasti. Infrastruktuurin mittakaava ja kattavuus riippuvat kokonaisrahoituksesta, joka voidaan ottaa käyttöön kansallisella tasolla sekä unionin toimesta monivuotisessa rahoituskehyksessä käytettävissä olevien määrärahojen rajoissa.
Tällaiset useita maita kattavat SOC-keskukset voisivat mahdollistaa myös puolustusalan toimijoiden osallistumisen perustamalla ”puolustuspilarin” hallinnoinnin ja jaettujen tietojen tyypin osalta. Puolustuspilaria kehitettäisiin yhdessä korkean edustajan kanssa, ja siihen voisi sisältyä erityinen sotilasalan toimijoiden, myös EUCDCC:n, kanssa tehtävää tiedonvaihtoa koskeva mekanismi, jota varten voitaisiin kehittää puolustustason turvallisuusstandardeja.
EU:n kybersolidaarisuus varautumisessa, reagoinnissa ja toipumisessa
Kyberturvallisuuden häiriötilanteet ovat usein niin merkittäviä, ettei yksittäinen tai useampi niistä kärsivä jäsenvaltio pysty ratkaisemaan niitä yksin. Tällaisissa tapauksissa jäsenvaltioiden on voitava turvautua keskinäiseen avunantoon ja yhteisvastuuseen, myös SEU-sopimuksen 42 artiklan 7 kohdan ja SEUT-sopimuksen 222 artiklan yhteydessä. Korkea edustaja tarkastelee yhteistyössä komission ja jäsenvaltioiden kanssa mahdollisuuksia laajentaa kyberalan nopean toiminnan ryhmien toimintamallia CRRT PRY-hankkeen pohjalta, jotta EU:n jäsenvaltioita ja YTPP-operaatioita voitaisiin tukea paremmin. Tällaisten ryhmien tehtävänä olisi tarjota mukautettua ja kohdennettua lyhytaikaista apua pyynnöstä ja kunkin tapauksen erityisten tarpeiden mukaan. Siihen voisi myös tarvittaessa sisältyä vaihtoehtoja luotettavien yksityisten kumppanien tueksi tehokkaiden reagointi- ja toipumistoimien varmistamiseksi.
Komissio valmistelee osana EU:n kybersolidaarisuusaloitetta toimia, joilla vahvistetaan varautumis- ja reagointitoimia kaikkialla EU:ssa. Tähän sisältyisi kriittistä infrastruktuuria käyttävien keskeisten toimijoiden testaaminen mahdollisten haavoittuvuuksien varalta EU:n riskinarviointien perusteella – ENISAn kanssa jo käynnistettyjen toimien pohjalta – sekä poikkeamiin reagoimiseksi toteutettavat toimet, joilla lievennetään vakavien poikkeamien vaikutuksia, tuetaan välitöntä toipumista ja/tai palautetaan keskeisten palvelujen toiminta. 17
EU:n kybersolidaarisuusaloitteella voitaisiin tukea EU:n tason kyberreservin asteittaista kehittämistä luotettavien yksityisten palveluntarjoajien tarjoamien palvelujen avulla. Nämä palveluntarjoajat olisivat valmiita puuttumaan merkittäviin rajat ylittäviin poikkeamiin jäsenvaltioiden pyynnöstä. Tehtävät ja vastuut olisi määriteltävä selkeästi ja niitä olisi koordinoitava täysin olemassa olevien elinten kanssa sen varmistamiseksi, että EU:n tason kyberreservistä annetaan tukea siellä, missä sitä tarvitaan, ja että se täydentää muita mahdollisia avustusmuotoja. Vaikka toiminnan laajuus ja erityisten toimien kustannusten jakaminen riippuisivat käytettävissä olevasta EU:n rahoituksesta, EU toisi lisäarvoa myös varmistamalla tällaisen EU:n tason reservin saatavuuden ja toimintavalmiuden. Luottamuksen korkean tason varmistamiseksi komissio harkitsee myös vaihtoehtoja, joilla voidaan tukea kyberturvallisuuden sertifiointijärjestelmien kehittämistä tällaisille yksityisille kyberturvallisuusyrityksille.
Harjoitukset ovat keskeinen osa varautumisen rakentamista. Ne edistävät yhteisen tietopohjan ja kyberpuolustusta koskevan ymmärryksen kehittämistä, mikä puolestaan parantaa operatiivista varautumista. Yhteiset kyberpuolustusharjoitukset lisäävät myös sidosryhmien välistä yhteentoimivuutta ja luottamusta, myös YTPP-sotilasoperaatioiden tukemiseksi. CYBER PHALANX -sarjan 18 ja milCERT-ryhmien harjoitusten pohjalta EDA toteuttaa uuden CyDef-X-hankkeen, johon kaikki jäsenvaltiot osallistuvat ja joka toimii EU:n kyberpuolustusharjoitusten kehyksenä. Hankkeen avulla voitaisiin harjoittaa keskinäistä avunantoa SEU-sopimuksen 42 artiklan 7 kohdan mukaisesti. Olisi myös tarkasteltava erityisten kyberpuolustuksen testaus-, koulutus- ja harjoitusympäristöjen (esimerkiksi yhteiset kyberharjoitteluympäristöt) käyttöä, myös hyödyntämällä yhteisiä kyberharjoitteluympäristöjä koskevaa PRY-hanketta. 19
Harjoituksilla voi myös olla tärkeä asema siviili- ja sotilasalan toimijoiden välisen yhteistyön parantamisessa. Harjoituksia järjestäessään ENISAn, EDA:n ja muiden asiaankuuluvien toimijoiden olisi siksi järjestelmällisesti harkittava muista kyberyhteisöistä peräisin olevien osallistujien ottamista mukaan.
Osana EU:n kyberhyökkäysten ehkäisemistä ja torjumista ja niihin reagoimista koskevien valmiuksien vahvistamista sekä EU:n vuoden 2020 kyberturvallisuusstrategian ja strategisen kompassin mukaisesti korkea edustaja ehdottaa vuonna 2023 vaihtoehtoja EU:n kyberdiplomatian välineistön 20 lujittamiseksi entisestään EU:n kybertoimien osien ja välineistön toteuttamisesta sen perustamisesta lähtien saatujen kokemusten pohjalta.
|
Kyberpuolustustoimet ·Perustetaan EU:n kyberpuolustuksen koordinointikeskus yhteisen sotilaallisen tilannetietoisuuden keskukseksi ja tarkastellaan yhteistyömuotoja komission tilanne- ja analyysikeskuksen kanssa. ·Kehitetään ja vahvistetaan edelleen EU:n kyberkomentajien konferenssia. ·Kannustetaan jäsenvaltioita osallistumaan aktiivisesti MICNET-verkostoon, joka on sotilaallisten tietotekniikan kriisiryhmien verkosto, ja pyrkimään yhteistyöhön siviilialan CSIRT-verkoston kanssa. ·Kehitetään uusi CyDef-X-puitehanke EU:n kyberpuolustusharjoitusten tukemiseksi. ·Tarkastellaan mahdollisuuksia kehittää edelleen kyberalan nopean toiminnan ryhmien toimintamallia CRRT PRY-hankkeen pohjalta. ·Tarkastellaan mahdollisuuksia kehittää edelleen yhteisiä kyberharjoitteluympäristöjä koskevia hankkeita. Siviilialan tukitoimet ·Valmistellaan EU:n kybersolidaarisuusaloite, mukaan lukien mahdollinen säädös, jolla tehdään lainsäädännöllisiä muutoksia Digitaalinen Eurooppa -ohjelmaan oEU:n yhteisten havaitsemis-, tilannetietoisuus- ja reagointivalmiuksien vahvistamiseksi oEU:n tason kyberreservin asteittaiseksi kehittämiseksi luotettavien yksityisten palveluntarjoajien tarjoamien palvelujen avulla oEU:n riskinarviointien perusteella mahdollisten haavoittuvuuksien varalta tehtävän keskeisten toimijoiden testaamisen tukemiseksi. ·Tarkastellaan EU:n tason kyberturvallisuuden sertifiointijärjestelmien kehittämistä kyberturvallisuustoimialalle ja yksityisille yrityksille. ·Tehostetaan kyberpuolustusyhteisöjen ja muiden kyberyhteisöjen välistä yhteistyötä strategisella, operatiivisella ja teknisellä tasolla. |
2. EU:n puolustusekosysteemin turvaaminen
Viime vuosina kyberhyökkäysten määrä on kasvanut suuresti. Tämä koskee myös toimitusketjuhyökkäyksiä, joiden tarkoituksena on kybervakoilu, kiristysohjelmien tartuttaminen tai häiriöiden aiheuttaminen. Vuonna 2020 SolarWinds-yritykseen kohdistunut toimitusketjuhyökkäys 21 vaikutti maailmanlaajuisesti yli 18 000 organisaatioon, muun muassa valtion virastoihin, suuriin yrityksiin ja puolustusalan yrityksiin. Apachen log4j-ohjelmiston 22 haavoittuvuuden hyväksikäyttö osoitti, että jopa sellaisia ohjelmistokomponentteja, joita ei pidetä suuririskisinä tai kriittisinä, voidaan käyttää aseena siten, että EU:ssa tehdään onnistuneita hyökkäyksiä suuria yrityksiä tai hallituksia vastaan, myös puolustusalalla. Tämä osoittaa, että EU:n puolustusekosysteemissä toimivien toimijoiden, kuten sotilasyhteisöjen, puolustusteollisuuden ja yksityisten toimijoiden, kyberuhkien sietokykyä on selvästi vahvistettava edelleen.
Asevoimat ovat suurelta osin riippuvaisia siviilialan kriittisestä infrastruktuurista, olipa kyse sitten liikkuvuudesta, viestinnästä tai energiasta. Venäjän KA-SAT-satelliittiverkkoon kohdistunut hyökkäys 23 , joka häiritsi useiden viranomaisten ja Ukrainan asevoimien viestintää, on esimerkki tällaisesta keskinäisestä yhteydestä. Tämä osoittaa, että tällainen kriittinen infrastruktuuri on suojattava.
Viestintä- ja tietojärjestelmiensä turvallisuuteen liittyvien kysymysten ratkaisemiseksi jäsenvaltiot kehittävät sotilasjärjestelmille omia turvallisuusstandardejaan ja -vaatimuksiaan, joissa ei aina oteta huomioon yhteentoimivuuden tarvetta tai kaksikäyttötuotteita koskevien siviilialan standardien olemassaoloa. Tämä vaikuttaa kielteisesti jäsenvaltioiden kykyyn toteuttaa yhteisiä toimia kybertoimintaympäristössä, myös YTPP-sotilasoperaatioiden yhteydessä, ja se luo esteitä keskinäiselle avunannolle. Lisäksi on tarpeen edistää vahvempia synergioita sotilas- ja siviilialan standardointisuuntien välillä, sillä se, että on noudatettava samankaltaisia mutta erilaisia standardeja siviili- ja sotilasalan asiakkaiden tapauksessa, lisää teollisuudelle kaksikäyttötuotteiden kehittämisestä aiheutuvia tuotantokustannuksia.
2.1. Puolustusekosysteemin kyberuhkien sietokyvyn parantaminen
Puolustusekosysteemin kyberuhkien sietokyvyn parantaminen edellyttää kohdennettuja toimia ja investointeja, jotka kattavat monenlaisia toimijoita jäsenvaltioiden sotilasinfrastruktuurista ja YTPP-operaatioista kriittiseen infrastruktuuriin, puolustusteollisuuteen ja asianomaisiin tutkimusyksiköihin.
Tietoon perustuvaa päätöksentekoa varten tarvittavien tietojen suojaaminen on välttämätöntä YTPP-operaatioiden onnistumisen kannalta. EU:n ja sen jäsenvaltioiden on edelleen vahvistettava sotilaallisia johtamisrakenteitaan sekä kehitettävä ja turvattava infrastruktuuriaan. Tämä koskee myös kriisinhallinnan alkuvaiheessa tehtävää poliittis-sotilaallista kuulemista, jonka avulla operaatioesikuntaa, mukaan lukien sotilaskriisinhallinnan suunnittelu- ja toteutusvoimavara (MPCC), voidaan käyttää tehokkaasti. Tähän puututaan erityisesti kehittämällä edelleen EU:n operaatioiden alueverkkoa.
Sotilasoperaatioiden yhteydessä kyberpuolustusalan toimijat käsittelevät eri lähteistä peräisin olevia erimuotoisia ja eri tavalla luokiteltuja tietoja. Tämän vuoksi on erittäin tärkeää soveltaa teollisuuden tuella turvallista huipputason teknologiaa, kuten tekoälyä.
Viestintä- ja tietojärjestelmäinfrastruktuurin turvallisuutta on parannettava soveltamalla yhteisesti hyväksyttyjä hallinnointimenettelyjä, mikä edistää luottamusta sidosryhmien saatavilla olevien tietojen eheyteen. Lisäksi korkea edustaja, myös EDA:n johtajan ominaisuudessaan, auttaa komission tuella jäsenvaltioita kehittämään puolustusyhteisölle muita kuin oikeudellisesti sitovia suosituksia, jotka perustuvat direktiiviin toimenpiteistä yhteisen korkean kyberturvatason varmistamiseksi koko unionissa, jäljempänä ’NIS 2 ‑direktiivi’ 24 , sillä puolustus ei kuulu direktiivin soveltamisalaan. Tämä lisää osaltaan kyberpuolustuksen yleistä kypsyyttä.
Komission ehdotus kyberkestävyyssäädökseksi 25 , jolla pyritään asettamaan digitaalisia elementtejä sisältävien tuotteiden kyberturvavaatimukset, vähentää lisäksi entisestään hyökkäyspintaa kaksikäyttötuotteissa, joita puolustusteollisuus ja valtion puolustusalan toimijat käyttävät esimerkiksi viestintä- ja tietojärjestelmissä. Ehdotuksen mukaisesti valmistajien olisi ilmoitettava aktiivisesti hyödynnetyistä haavoittuvuuksista 24 tunnin kuluessa ENISAlle, joka ilmoittaa asiasta asianomaisille kansallisille CSIRT-yksiköille. Tässä yhteydessä olisi myös tärkeää varmistaa, että puolustusyhteisö saa nopeasti tietoa digitaalisia elementtejä sisältävien tuotteiden haavoittuvuuksista sekä saatavilla olevista ja/tai käytössä olevista korjauksista ja lieventävistä toimenpiteistä.
Kun otetaan lisäksi huomioon armeijan riippuvuus kriittisestä siviili-infrastruktuurista, kriittisen infrastruktuurin suojaamista laajamittaisilta kyberhyökkäyksiltä on tarpeen lisätä. Komissio, korkea edustaja ja verkko- ja tietoturva-alan yhteistyöryhmä 26 kehittävät parhaillaan neuvoston kehotuksesta 27 digitaalisen infrastruktuurin turvallisuutta koskevia riskiskenaarioita. Ensisijaisesti keskitytään energia-, televiestintä-, liikenne- ja avaruusalan kyberturvallisuuteen. Tämän lisäksi laaditaan kohdennettuja kyberturvallisuusriskien arviointeja EU:n viestintäinfrastruktuurille ja -verkoille (mukaan lukien kiinteä ja liikkuva infrastruktuuri, satelliitit, vedenalaiset kaapelit ja internetreititys). 28 Kriittisen infrastruktuurin ihmisen aiheuttamilta uhkilta, kuten hybridiuhkilta, suojaamisen osalta ehdotuksessa neuvoston suositukseksi unionin koordinoidusta lähestymistavasta kriittisen infrastruktuurin häiriönsietokyvyn vahvistamiseen 29 kehotetaan jäsenvaltioita varmistamaan muun muassa asianmukainen stressitestaus ja kriisikoordinointi. Kriittistä meri-infrastruktuuria, muun muassa vedenalaisten kaapelien suojaamista, käsitellään edelleen EU:n merellisen turvallisuusstrategian ja siihen liittyvän toimintasuunnitelman tulevassa tarkistuksessa. Energiajärjestelmän digitalisointia koskevassa EU:n toimintasuunnitelmassa 30 esitetään lisätoimia energiajärjestelmän kriittisen infrastruktuurin kyberturvallisuuden vahvistamiseksi.
Avaruuspohjaiset palvelut ovat puolustuksen kannalta yhä tärkeämpiä riippumatta siitä, onko kyse valvonnasta, tilannetietoisuudesta, tarkasta paikannuksesta tai ultrasuojatusta viestinnästä. Ne ovat tämän vuoksi keskeisiä strategisia voimavaroja teknologisen itsenäisyyden kannalta. Avaruuspohjaisten palvelujen häiriöillä voisi olla suuri vaikutus puolustusjärjestelmiin mutta myös koko yhteiskuntaan ja talouteen. Niiden häiriönsietokyky on keskeistä yleisen kyberpuolustuksen häiriönsietokyvyn kannalta, sillä niihin voidaan kohdistaa haitallisia hyökkäyksiä. Kuten KA-SAT-verkkoja vastaan tehdyt hyökkäykset ovat osoittaneet, erityisesti avaruusjärjestelmät ovat yhä alttiimpia kyberuhkille, jotka voivat vaikuttaa avaruuspohjaisten palvelujen saatavuuteen tai jatkuvuuteen. Tämä aiheuttaa riskin, joka kohdistuu EU:n avaruusalan strategisiin ja turvallisuuteen liittyviin etuihin sekä kyberpuolustuksen mahdollistaviin ja sitä tukeviin avaruusvalmiuksiin. Strategisessa kompassissa 31 julkistetussa turvallisuutta ja puolustusta tukevassa EU:n avaruusstrategiassa hahmotellaan toimenpiteitä, joilla parannetaan avaruusinfrastruktuurien ja niihin liittyvien palvelujen vakautta ja kyberuhkien sietokykyä sekä torjutaan EU:n herkkiin avaruusjärjestelmiin ja -palveluihin kohdistuvia uhkia, erityisesti kyberuhkia, ja reagoidaan niihin.
Lisäksi komissio kehottaa jäsenvaltioita panemaan kiireellisesti täytäntöön 5G-kyberturvallisuutta koskevassa EU:n välineistössä 32 suositellut toimenpiteet. Jäsenvaltioiden, jotka eivät ole vielä ottaneet käyttöön suuririskisiä toimittajia koskevia rajoituksia, olisi tehtävä se viipymättä, kun otetaan huomioon, että menetetty aika voi lisätä verkkojen haavoittuvuutta EU:ssa. Tällaiset riskit voivat liittyä sotilasvoimavaroihin, ja niillä voi olla vaikutusta jäsenvaltioiden yleiseen puolustusympäristöön.
Kun otetaan huomioon Euroopan puolustusteollisuuden sekä puolustusalan tutkimus- ja kehittämistoimijoiden kyberuhkien sietokyky, nämä toimijat kuuluvat NIS 2 -direktiivin soveltamisalaan, elleivät jäsenvaltiot nimenomaisesti jätä niitä soveltamisalan ulkopuolelle. Tämä edellyttäisi, että tällaisilla toimijoilla on käytössä kyberturvallisuusriskien hallintaohjelma, joka sisältää toimitusketjun turvallisuuden ja poikkeamista raportoinnin. Koska yksityisellä sektorilla on suuri merkitys kyberturvallisuuspalvelujen tarjoamisessa puolustusekosysteemissä, jäsenvaltioiden olisi lisäksi hyödynnettävä kyberturvallisuuden sertifiointijärjestelmiä. Palveluja puolustusteollisuudelle tarjoaville yrityksille tarkoitettua EU:n kyberturvallisuuden sertifiointijärjestelmää voitaisiin tarkastella ENISAn kokemusten pohjalta keinona tuoda markkinoille yhdenmukainen luottamuksen taso.
2.2. EU:n kyberpuolustuksen yhteentoimivuuden ja standardien johdonmukaisuuden varmistaminen
Yhteentoimivuus ja yhdenmukaisuus ovat tärkeitä vaatimuksia, jotka on otettava huomioon kyberpuolustusvalmiuksien suunnitteluvaiheesta lähtien ottaen huomioon myös käynnissä olevista operaatioista saadut kokemukset, jotka on yksilöity EU:n sotilasesikunnan johdolla ja EDA:n tuella. Federated Mission Networking -kehyksessä (FMN) 33 sovituilla periaatteilla, prosesseilla ja standardeilla olisi tarjottava ohjaavat tekijät kansallisten kyberpuolustusvalmiuksien kehittämiseen siten, että voidaan varmistaa yhteentoimivuus.
Yhteisiä pyrkimyksiä voidaan helpottaa yhdenmukaistamalla seuraavan sukupolven kyberpuolustusvalmiuksia koskevia vaatimuksia, mikä voi mahdollisesti johtaa yhteisiin kehitys- ja hankinta-aloitteisiin ja integroituun elinkaaritukeen. Tästä syystä EDA ja EU:n sotilasesikunta laativat suosituksia EU:n kyberpuolustuksen yhteentoimivuusvaatimuksista. Nämä vaatimukset on otettava huomioon kaikissa suunnitteluhorisonteissa, jotta voidaan taata standardoinnin kaikki näkökohdat yhteentoimivuuden ratkaisevana tekijänä. Testausta, arviointia ja sertifiointia koskevat vaatimukset ovat muita ratkaisevia tekijöitä.
Ehdotetun kyberkestävyyssäädöksen 34 yhteydessä kehitetään yhdenmukaistettuja kyberturvallisuutta koskevia standardeja laitteisto- ja ohjelmistotuotteille ja -komponenteille. Tällaiset standardit koskevat kaikkia siviili- ja kaksikäyttötuotteita, joissa on digitaalisia elementtejä ja jotka muodostavat suuren osan puolustusalalla käytettävistä tuotteista. Komissio edistää mahdollisuuksien mukaan johdonmukaisuutta digitaalisia tuotteita koskevien puolustukseen liittyvien kyberturvallisuusstandardien kanssa. Kuten siviili-, puolustus- ja avaruusteollisuuden synergioita koskevassa toimintasuunnitelmassa 35 , jäljempänä ’synergioita koskeva toimintasuunnitelma’, todetaan, komissio esittää tiiviissä yhteistyössä keskeisten sidosryhmien kanssa suunnitelman, jolla edistetään olemassa olevien hybridimuotoisten siviili-/puolustusstandardien käyttöä ja uusien standardien kehittämistä. Yhteistyötä olisi kehitettävä edelleen kaikkien asiaankuuluvien sidosryhmien, kuten eurooppalaisten standardointiorganisaatioiden, Pohjois-Atlantin puolustusliiton (Nato) ja muiden kumppanien välillä, ja tätä varten olisi hyödynnettävä parhaalla mahdollisella tavalla Euroopan puolustusalan standardointikomiteaa. Samaan tapaan, kun sotilasalan standardointielimet kehittävät uusia kyberturvallisuuteen liittyviä standardeja puolustuskäyttöön tarkoitetuille tuotteille, joissa on digitaalisia elementtejä, lähtökohtana olisi käytettävä kyberkestävyyssäädöksen nojalla kehitettyjä yhdenmukaistettuja standardeja. 36
Kyberpuolustustoimet
·Tuetaan jäsenvaltioita muiden kuin oikeudellisesti sitovien NIS 2 -direktiiviin perustuvien suositusten laatimisessa puolustusyhteisölle, jotta voidaan lisätä kyberpuolustuksen yleistä kypsyyttä kansallisella tasolla.
·Laaditaan suosituksia EU:n kyberpuolustuksen yhteentoimivuusvaatimuksista.
·Tehostetaan yhteistyötä kaikkien asiaankuuluvien toimijoiden kanssa puolustukseen liittyvien standardien alalla Euroopan puolustusalan standardointikomitean puitteissa.
Siviilialan tukitoimet
·Kehitetään riskiskenaarioita sotilasviestinnän ja -liikkuvuuden kannalta tärkeälle kriittiselle infrastruktuurille, jotta varautumistoimia voidaan kohdentaa paremmin muun muassa tunkeutumistestauksen avulla.
·Edistetään siviili- ja sotilasalan standardointielinten välistä yhteistyötä kaksikäyttötuotteita koskevien yhdenmukaistettujen standardien kehittämiseksi.
3. Investoinnit kyberpuolustusvalmiuksiin
EU:n kyberpuolustukseen kohdistuvat investoinnit ovat viime vuosina lisääntyneet valtiollisten ja valtiosta riippumattomien toimijoiden haitallisen kybertoiminnan yleistyessä. EU:n on välttämätöntä vahvistaa kyberpuolustusvalmiuksiaan. Venäjän Ukrainaa vastaan käymän hyökkäyssodan vuoksi on entistä tärkeämpää lisätä investointeja, jotta varmistetaan, että jäsenvaltioilla on käytössään huipputason kiinteät ja liikuteltavat kyberpuolustusvalmiudet.
Tekniset parannukset ovat välttämättömiä, jotta voidaan säilyttää etumatka kilpailijoihin ja vastustajiin, jotka myös investoivat voimakkaasti uuteen teknologiaan. Siksi EU:n ja jäsenvaltioiden on myös tehostettava kyberpuolustusalan yhteistyötään ja yhteentoimivuuttaan kehittämällä yhteisiä valmiuksia ja lisäämällä investointeja tutkimukseen ja kehittämiseen.
Lisäksi on puututtava strategisista riippuvuuksista ja Euroopan puolustuksen teollisen ja teknologisen perustan hajanaisuudesta 37 johtuviin haavoittuvuuksiin. Erityisesti taidot ja osaaminen ovat olennaisen tärkeitä, jotta Euroopan kyberturvallisuuteen ja -puolustukseen liittyvät strategiset riippuvuudet voidaan poistaa. Euroopan puolustusteollisuuden on säilytettävä keskeiset taidot ja hankittava uusia taitoja, jotta se voi myös jatkossa toimittaa huipputeknisiä ratkaisuja maailmanlaajuisessa ympäristössä. 38 Taitojen puute vaikuttaa kielteisesti puolustusalaan, sillä se haittaa valmiuksien kehittämistä kaikilla aloilla. Kaikki toimet ovat täysin synergioita koskevassa toimintasuunnitelmassa, turvallisuuden ja puolustuksen kannalta kriittisiä teknologioita koskevassa etenemissuunnitelmassa 39 , jäljempänä ’etenemissuunnitelma’, ja investointivajeiden analyysissa 40 esitettyjen lähestymistapojen mukaisia.
3.1. Kattavien huipputason kyberpuolustusvalmiuksien kehittäminen
Jäsenvaltioilla on vastuu ja toimivalta käyttää kyberpuolustusvalmiuksia, kun taas EU:lla on tärkeä asema erityisten sotilasvalmiuksien jatkokehittämisen tukemisessa doktriinin, organisaation, harjoittelun, materiaalin, henkilöstön, johtamisen, infrastruktuurin ja yhteistoimintakyvyn (DOTMLPF-I) kaikilla osa-alueilla toimintavapauden luomiseksi kybertoimintaympäristössä. Kyberpuolustusta koskevaa lähestymistapaa on edelleen yhtenäistettävä kaikilla voimavara-aloilla ja mukautettava se muuttuvaan geopoliittiseen ympäristöön. Siksi on tarpeen tunnistaa nykyisistä valmiuksista puuttuvat osatekijät ja tukea uusien valmiuksien kehittämistä koordinoidulla ja mitattavalla tavalla.
Jäsenvaltioiden osallistuminen yhteisiin kyberpuolustuksen kehittämishankkeisiin on kuitenkin toistaiseksi riittämätöntä, ja sitä olisi lisättävä EU:n tason vaikutusten maksimoimiseksi. Kaikkien jäsenvaltioiden on lisättävä investointejaan kattavien kyberpuolustusvalmiuksien kehittämiseen ja kehitettävä niitä yhteistyössä. Jäsenvaltioiden olisi harkittava vapaaehtoisten sitoumusten laatimista kansallisten kyberpuolustusvalmiuksien kehittämiseksi, myös monikansallisten valmiuksien kehittämiseksi nykyisten kyberpuolustusta koskevien PRY-hankkeiden 41 lisäksi. Puolustuksen koordinoidun vuosittaisen tarkastelun (CARD) avulla voitaisiin käynnistää jäsenvaltioiden kanssa vuoropuhelu kyberpuolustusvaatimuksista ja kansallisista tavoitteista kyberpuolustusvalmiuksien kehittämiseksi sekä arvioida sitoumusten täytäntöönpanoa. Komissio tukee ja osarahoittaa Euroopan puolustusrahaston kautta kattavien kyberpuolustusvalmiuksien kehittämistä ja tutkimusta, myös aktiivisia puolustusvalmiuksia varten. Komissio on jo lisännyt Euroopan puolustusrahaston kautta investointeja kyberpuolustukseen, minkä pitäisi johtaa Euroopan yhteisten ja/tai yhteentoimivien välineiden kehittämiseen kybertoimintaympäristön operaatioiden ja poikkeamien hallintaa, informaatiosodankäynnin puolustusoperaatioita ja ennaltaehkäiseviä toimenpiteitä varten sekä viestintä- ja tietojärjestelmien häiriönsietokyvyn parantamiseen. Toiminnassa keskitytään muun muassa kybertilannetietoisuuteen, reaaliaikaiseen uhkien etsintään ja reaktiivisiin operaatiovalmiuksiin, kyberoperaatiovalmiuksiin sekä kyberkoulutuksiin ja -harjoituksiin. 42 Sen varmistamiseksi, että jäsenvaltiot pystyvät toteuttamaan yhteisiä kyberoperaatioita, Euroopan puolustusrahastosta tuetaan tulevina vuosina reaktiivisia operaatioita ja kyberoperaatioita koskevia valmiuksia. Jäsenvaltioita kannustetaan osallistumaan aktiivisesti erilaisiin yhteistyökehyksiin ja hyödyntämään kaikkia EU:n tasolla perustettuja välineitä, kuten EDA:n kyberpuolustuksen hankeryhmää 43 .
Käynnissä oleva EU:n vuoden 2018 voimavarojen kehittämisen prioriteettien 44 tarkistaminen on sopiva tilaisuus määritellä päivitetyt prioriteetit yhteistyöhön perustuvalle kehittämiselle, mikä puolestaan mahdollistaa yhteistyöhön perustuvan valmiuksien kehittämisen lisäämisen. Kyberpuolustusta koskevan erityisen prioriteetin uudelleentarkastelussa olisi otettava huomioon vuoden 2022 CARDin tulokset ja jäsenvaltioille toukokuussa 2022 esitetyn investointivajeiden analyysin tulokset. Tämän jälkeen CARD tarjoaa säännöllisen kehyksen, jonka avulla voidaan tarkastella tämän päivitetyn prioriteetin täytäntöönpanon edistymistä kansallisella tasolla ja tutkia uusia vaihtoehtoja kyberpuolustusvalmiuksien kehittämiseksi yhteistyössä jäsenvaltioiden kanssa. Päivitetyt EU:n voimavarojen kehittämisen prioriteetit toimivat kyberpuolustusta koskevien PRY-hankkeiden keskeisenä viitekehyksenä.
Tältä osin EU:n sotilasesikunta laatii EU:n sotilaskomitean toimeksiannon perusteella tiiviissä yhteistyössä jäsenvaltioiden kanssa kyberalan operaatioita koskevan täytäntöönpanosuunnitelman, jonka tarkoituksena on antaa yleiskatsaus kyberpuolustusvalmiuksien toteuttamisen nykytilanteesta ja tukea jäsenvaltioita niiden pyrkimysten ja toimien paremmassa yhteensovittamisessa. Nämä toimet perustuvat EU:n kyberpuolustuksen toimintamalliin EU:n johtamia sotilasoperaatioita varten, joka vastaa voimavarojen kehittämissuunnitelman painopisteitä.
Kyberpuolustuksen keskeisten teknologioiden tutkimustoiminnan tehostaminen
Huipputason kyberpuolustusvalmiuksien ylläpitäminen edellyttää, että pysytään ajan tasalla teknologioiden kehityksestä, erityisesti nousevista ja murroksellisista teknologioista (esimerkiksi tekoäly, salaus ja kvanttilaskenta) 45 , ja niiden sovelluksista puolustukseen liittyvissä järjestelmissä. EU:n on erityisesti investoitava jälkikvanttisalaukseen, jotta voidaan varmistaa, että sen puolustusjärjestelmät pysyvät suojassa. Koska teknologia kehittyy nopeasti, yhteistyöhön perustuva tutkimus ja teknologian kehittäminen on mukautettava siten, että saavutetaan riittävän kehittynyt teknologinen valmiustaso, jotta niiden tulokset voidaan nopeammin sisällyttää nykyisiin ja tuleviin valmiuksiin.
Komissio rahoittaa Euroopan puolustusrahaston puitteissa puolustukseen liittyvää teknologista innovointia ja tukee nousevien ja murroksellisten teknologioiden sekä huipputeknologian kehittämistä, myös kyberpuolustusta varten. Jopa kahdeksan prosenttia Euroopan puolustusrahaston talousarviosta osoitetaan aiheisiin, jotka koskevat puolustukseen liittyviä murroksellisia teknologioita, mukaan lukien muutamat kyberpuolustukseen liittyvät aiheet. Euroopan puolustusrahaston puitteissa kiinnitetään tulevina vuosina erityistä huomiota tutkimustoimiin ja -hankkeisiin, joissa käsitellään uusia ja kehittyviä uhkia vastaan kehitettyjä uusia teknologioita sekä häiriönsietokyvyn ja kyberturvallisuuden parantamista ja niiden puolustusvalmiuksiin sisällyttämisen tehostamista.
EDA tiedottaa nousevia ja murroksellisia teknologioita koskevan toimintasuunnitelman 46 mukaisesti jäsenvaltioille vuosittain murroksellisista teknologioista, mukaan lukien kyberpuolustukseen sovellettavat teknologiat. Lisäksi EDA kehittää Euroopan nousevien ja murroksellisten teknologioiden strategista arviointia, jolla tuetaan jäsenvaltioita pitkän aikavälin strategisten suuntausten määrittelyssä sekä synergioiden ja yhteistyömahdollisuuksien tunnistamisessa. Euroopan kyberturvallisuuden osaamiskeskus hyväksyy keskeisille kyberturvallisuuden aloille tehtäviä investointeja koskevan strategisen suunnitelman, mikä puolestaan ohjaa Digitaalinen Eurooppa -ohjelman ja Horisontti Eurooppa -puiteohjelman tulevien kyberturvallisuuteen liittyvien tutkimusta, innovointia ja markkinoille pääsyä tukevien työohjelmien valmistelua. Synergioiden edistämiseksi Euroopan kyberturvallisuuden tutkimus- ja osaamiskeskus ja EDA kehittävät myös työskentelyjärjestelyjä, joilla helpotetaan siviili-, kaksikäyttö- ja puolustusteknologian painopisteitä koskevaa tiedonvaihtoa niiden henkilöstöjen kesken.
Toimien toteuttaminen kyberpuolustuksen teknologiatarpeiden täyttämiseksi
Lisätoimia ja -koordinointia tarvitaan sen varmistamiseksi, että puolustusala omaksuu pikaisesti kyberalalla tapahtuvan nopean teknologisen kehityksen. Tähän sisältyy toimien tehostaminen sellaisten kyberpuolustuksen ja -turvallisuuden kannalta kriittisten teknologioiden yksilöimiseksi, jotka olisi priorisoitava EU:n teknologisten riippuvuuksien vähentämiseksi, ja sen arvioimiseksi, otetaanko nämä riippuvuudet riittävällä tavalla huomioon nykyisessä priorisoinnissa ja nykyisissä rahoitusvälineissä.
Tätä varten komissio ehdottaa vuonna 2023 yhdessä EDA:n ja jäsenvaltioiden kanssa EU:n kyberteknologian etenemissuunnitelmaa, joka perustuu asianmukaisiin kuulemisiin, tarvittaessa myös teollisuuden kuulemisiin. Etenemissuunnitelmassa yksilöidään EU:n teknologisen itsenäisyyden kannalta tärkeitä kyberteknologioita, käsitellään kyberpuolustusta ja -turvallisuutta, seurataan teknologian kehitystä sekä kartoitetaan strategisia riippuvuuksia ja toimitaan niiden vähentämiseksi. Kyberteknologian etenemissuunnitelmalla saadaan tietoa EU:n rahoitusvälineiden strategisia painopisteitä varten, ja siinä ehdotetaan, että hyödynnetään täysimittaisesti siviili- ja puolustusalan tutkimus- ja kehittämisohjelmia, valmiuksien kehittämisohjelmia sekä rahoitusvälineitä niiden omien hallintosääntöjen mukaisesti. Siinä ehdotetaan myös uusia tapoja edistää kaksikäyttötutkimuksen, teknologian kehittämisen ja kyberturvallisuutta ja -puolustusta koskevan innovoinnin kehittämistä EU:n ja jäsenvaltioiden tasolla.
Tässä yhteydessä komissio 47 arvioi yhteistyössä Euroopan kyberturvallisuuden tutkimus- ja osaamiskeskuksen ja EDA:n kanssa vuonna 2023 teknologioita, jotka on jo todettu kyberpuolustuksen kannalta kriittisiksi, ja kartoittaa ja yksilöi, mahdollisesti kriittisten teknologioiden seurantakeskuksen 48 tuella, nykyisiä riippuvuussuhteita tarkemmin. Tässä otetaan huomioon EDA:n vuotuisen seuranta-asiakirjan 49 ja Euroopan nousevien ja murroksellisten teknologioiden strategisen arvioinnin 50 yhteydessä tehty työ. Euroopan kyberturvallisuuden tutkimus- ja osaamiskeskus voi myös käynnistää erityisen politiikan tukihankkeen, joka voisi edistää teknologian etenemissuunnitteluprosessia ja koota yhteen asianomaiset siviili- ja sotilasalan sidosryhmät, minkä lisäksi siinä voitaisiin tehdä yhteistyötä näiden sidosryhmien kanssa.
Synergioita koskevassa toimintasuunnitelmassa, etenemissuunnitelmassa ja investointivajeiden analyysissa hahmoteltujen toimien puitteissa on jo käynnissä useita toimia, joilla pyritään vahvistamaan synergioita kaksikäyttöteknologian koko potentiaalin hyödyntämiseksi paremmin, myös kyberalalla.
Lisäksi jäsenvaltioita kannustetaan hyödyntämään kaikilta osin nykyisiä tutkimusta ja teknologian kehittämistä tukevia aloitteita, joita ovat puolustuksen osalta EDA:n puolustuskyvyn teknologiaryhmät 51 ja niihin liittyvät yleisen strategisen tutkimussuunnitelman teknologian rakenneosat 52 , EDA:n ad hoc -kehys 53 , Euroopan puolustusrahasto sekä PRY. Siviili- ja kaksikäyttöteknologian osalta Euroopan kyberturvallisuuden tutkimus- ja osaamiskeskus ja verkosto voivat osaamiskeskuksen oikeusperustan 54 mukaisesti hallinnoida hankkeita, joissa on sekä puolustus- että siviiliulottuvuus. Kuten synergioita koskevassa toimintasuunnitelmassa ja etenemissuunnitelmassa on ilmoitettu, komissio pyrkii myös vahvistamaan Euroopan kyberturvallisuuden tutkimus- ja osaamiskeskuksen ja Euroopan puolustusrahaston toimien välisiä kyberturvallisuuden ja -puolustuksen alan synergioita Euroopan puolustusrahaston hallintosääntöjen mukaisesti.
3.2. Ketterä, kilpailukykyinen ja innovatiivinen Euroopan puolustusteollisuus
EU tarvitsee vahvaa, ketterää, kilpailukykyistä ja innovatiivista Euroopan puolustusteollisuutta, joka pystyy tuottamaan kattavat huipputason puolustusvalmiudet, mukaan lukien kyberpuolustusvalmiudet. Huipputason kyberpuolustusratkaisujen osalta EU:n puolustusteollisuus on kuitenkin tällä hetkellä pitkälti riippuvainen siviilialan ratkaisuista ja ulkomaiden markkinoista. Vaikka teknologinen kehitys siviilialalla on nopeaa ja siviilialan tieto- ja kyberturvallisuustuotteiden markkinat kasvavat nopeasti, siviilialan standardituotteet eivät täytä kaikkia sotilaallisia erityisvaatimuksia. Merkittäviä osia kyberpuolustuksessa nykyisin käytettävistä laitteistoista ja ohjelmistoista ei valmisteta EU:ssa, mikä voi johtaa teollisiin ja teknologisiin riippuvuuksiin. EU:lla ei myöskään ole vahvaa asemaa maailmanlaajuisella kyberturvallisuuden ja -puolustuksen alalla. Erittäin hajanainen Euroopan puolustuksen teollinen ja teknologinen perusta vähentää huomattavasti EU:n kykyä parantaa kilpailukykyään 55 , sillä suurin osa EU:n kyberturvallisuusalan yrityksistä on pieniä tai keskisuuria yrityksiä (pk-yrityksiä) 56 . Teknologisesti itsenäinen teollinen kapasiteetti on EU:n toimintakyvyn kulmakivi.
EU tukee vahvan Euroopan puolustuksen teollisen ja teknologisen perustan kehittämistä useiden ohjelmien ja aloitteiden avulla. Euroopan puolustusrahastosta rahoitetaan puolustukseen liittyvää teknologista innovointia ja tuetaan sellaisten teknologioiden kehittämistä, jotka lopulta johtavat yhteisesti kehitettyihin huippuluokan sotilasvalmiuksiin ja edistävät EU:n puolustusteollisuuden kilpailukykyä, kun taas Horisontti Eurooppa -puiteohjelmasta 57 ja Digitaalinen Eurooppa -ohjelmasta tuetaan kyberturvallisuustutkimusta ja kaksikäyttöteknologioiden, kuten kvanttiteknologian, salauksen, suojattujen pilvipalvelujen ja tekoälyn, kehittämistä.
Olisi käsiteltävä muita toimia, jotka liittyvät kyberpuolustuksen kannalta kriittisiin teknologioihin ja teollisuuden tarpeisiin, jotka on yksilöity EU:n kyberteknologian etenemissuunnitelmassa. On tarpeen määritellä asianmukaiset tukivirrat esimerkiksi yhteisten hankintatoimien edistämiseksi muun muassa tulevan Euroopan puolustusalan investointiohjelman kautta tai helpottaa pääoman ja lainojen saantia Euroopan investointirahaston ja Euroopan investointipankin kautta.
Vahvan Euroopan puolustuksen teollisen ja teknologisen perustan luomiseksi on varmistettava, että siviili- ja puolustusalan yritysten välisiä synergioita hyödynnetään. EU:n puolustusalan innovaatiojärjestelmän (EUDIS) puitteissa ehdotetuilla innovaatiotoimilla, kuten pk-yritysten tavoittamisella ja teknologiakartoituksella, voisi olla myönteinen vaikutus EU:n puolustusteollisuuteen ja Euroopan puolustuksen teolliseen ja teknologiseen perustaan.
Komissio käynnistää myös alan toimijoiden vuoropuhelun, jonka tarkoituksena on kehittää EU:n kyberpuolustusteollisuutta ja johon EDA osallistuu tarvittaessa.
Komissio ja korkea edustaja ehdottavat useiden sellaisten toimenpiteiden käyttöönottoa, joilla varmistetaan, että teollisuudella on valmiudet saavuttaa tuloksia lyhyellä ja pitkällä aikavälillä. Tämä edellyttää välitöntä EU:n puolustusteollisuuden tuotantovalmiuksien perusteellista kartoittamista, jotta voidaan yksilöidä täsmällisesti puutteet ja alat, joilla tarvitaan tehostamista.
Teknologian etenemissuunnitelmissa mahdollisesti todettavien kriittisten riippuvuussuhteiden vähentämiseen kyberalalla voitaisiin käyttää myös uutta Euroopan suvereniteettirahastoa, jonka puheenjohtaja Ursula von der Leyen julkisti syyskuussa 2022 pitämässään unionin tilaa koskevassa puheessa.
EU:n ulkomaisten suorien sijoitusten seurantaan tarkoitettuja puitteita käytetään myös jatkossa sellaisten eurooppalaisten teknologioiden tai ratkaisujen hankintoihin liittyvien riskien lieventämiseen, joihin liittyy puolustus- ja turvallisuusriskejä. Jäsenvaltioiden, jotka eivät ole vielä perustaneet kansallisia seurantamekanismeja, olisi tehtävä niin viipymättä.
3.3. EU:n kyberpuolustusalan henkilöstö
Euroopassa on todellinen ja huolestuttava kyberosaamisvaje, ja Euroopan kyberturvallisuusjärjestö (ECSO) arvioi, että jo nyt vuonna 2022 tarvitaan yhteensä 500 000 ammattilaista. Tämä osaamisvaje rajoittaa EU:n kykyä kehittää uutta teknologiaa ja puolustaa kriittistä infrastruktuuriamme. Valtiollisissa elimissä, kuten puolustusministeriöissä ja armeijassa, kova kilpailu osaajista ja yksityisen sektorin tarjoamat houkuttelevat palkat pahentavat entisestään vaikeuksia houkutella ja pitää kyberosaajia.
Euroopan osaamisen teemavuoden 2023 yhteydessä komissio käynnistää kybertaitoakatemiaa koskevan aloitteen. Se toimii kokoavana aloitteena, jonka tavoitteena on lisätä kyberturvallisuuden alalla koulutettujen ammattilaisten määrää. Se kokoaa yhteen erilaisia kybertaitoja koskevia aloitteita ja varmistaa niitä koskevan koordinoinnin, integroinnin ja yhteisen viestinnän. Kybertaitoakatemia rakentuu useille toimintapilareille, joita ovat muun muassa rahoitus, yhteisön tuki, koulutus ja sertifiointi, sidosryhmien osallistuminen sekä tietämyksen luominen, ja se voi myös auttaa kyberpuolustusalan henkilöstöä. Euroopan turvallisuus- ja puolustusakatemia (ETPA) tarkastelee, miten voitaisiin helpottaa parhaiden käytäntöjen vaihtoa ja lisätä synergiaa sotilas- ja siviilialojen välillä koulutuksessa ja yksinomaan kybertoimintaympäristöön liittyvien sotilaallisten taitojen kehittämisessä.
EU:n koulutusvaatimusten analyysin ja koulutustarpeiden perusteella ETPA, EDA ja jäsenvaltiot kehittävät ja järjestävät edelleen kyberpuolustuskoulutustoimia ja -harjoituksia EU:n toimielimille, YTPP-operaatioille ja jäsenvaltioiden virkamiehille. Lisäksi tarkastellaan ETPA:n kyberalan koulutus-, harjoitus-, arviointi- ja koordinointifoorumin (ETEE) jatkokehittämistä koulutusvalmiuksien lisäämiseksi. Siihen olisi sisällyttävä myös harjoituskursseja tiettyjä operatiivisia aloja ja useita operatiivisia aloja koskevia operaatioita varten. Erityisesti olisi pyrittävä synergiaan EU:n kyberakatemiaa ja innovaatiokeskittymää (EU CAIH) koskevan PRY-hankkeen 58 kanssa.
Jäsenvaltioita kannustetaan kehittämään erityisiä kyberpuolustuksen alan koulutusohjelmia ottamalla mukaan (siviili- ja sotilasalan) korkeakouluja ja akateemisia oppilaitoksia kehittämään ja luomaan yhteisiä kyberpuolustuksen opetussuunnitelmia siten, että jaetaan parhaita käytäntöjä, luodaan kumppanuuksia ja yhteisiä hankkeita sekä helpotetaan kouluttajien ja koulutettavien vaihtoa. Yhteentoimivuuden ja yhteisen toimintakulttuurin varmistamiseksi koko EU:ssa ETPA edistää jäsenvaltioiden välistä vaihtoa ETEE-foorumin kautta.
Jäsenvaltioiden olisi tehostettava laajempaa harjoitus- ja koulutusalan toimijoiden välistä yhteistyötä yhdistämällä sekä siviili- että sotilasnäkökohtia teknisellä, operatiivisella, strategisella ja oikeudellisella alalla ja luomalla perusta eri tasojen yhteisten ja standardoitujen harjoitusohjelmien luomiselle siviili-, lainvalvonta- ja diplomaattialan kyberpuolustusyhteisöille. Lisäksi jäsenvaltioiden olisi tehtävä yhteistyötä Euroopan yksityisen sektorin koulutuksen tarjoajien ja akateemisten oppilaitosten kanssa YTPP-sotilasoperaatioissa toimivan henkilöstön pätevyyden ja taitojen parantamiseksi.
Lisäksi olisi edistettävä kyberpuolustuskoulutuksen standardeja ja sertifiointia koskevaa yhteistyötä jäsenvaltioiden, EU:n toimielinten, elinten ja virastojen, kansainvälisten kumppaneiden sekä muiden toimijoiden, mukaan lukien yksityinen sektori ja korkeakoulut, välillä. ETPA kehittää kyberpuolustustaitojen sertifiointikehyksen nykyisten siviilialan aloitteiden, kuten ENISAn kehittämän Euroopan kyberturvallisuustaitojen kehyksen, pohjalta. Komissio tarkastelee myös markkinoilla ja korkeakouluista saatavilla olevia kybertaitojen sertifiointiin liittyviä lähestymistapoja ja pyrkii samalla edistämään kybertaitoakatemian avulla synergioita näiden lähestymistapojen välillä ja täyttämään puutteita erityisesti kohdennetulla EU:n rahoituksella.
Kyberpuolustustoimet
·Kehitetään nousevien ja murroksellisten teknologioiden strategista arviointia pitkän aikavälin strategisten investointipäätösten tukemiseksi.
·Laaditaan EU:n kyberteknologian etenemissuunnitelma, joka kattaa kyberpuolustuksen- ja turvallisuuden kannalta kriittiset teknologiat, jotta voidaan arvioida riippuvuuksien tasoa.
·Ehdotetaan jatkotoimia riippuvuuksien vähentämiseksi käyttämällä kaikkia EU:n välineitä, mukaan lukien Digitaalinen Eurooppa -ohjelma, Horisontti Eurooppa -puiteohjelma ja Euroopan puolustusrahasto, ja ennakoidaan teknologista kehitystä teknologisen itsenäisyyden lisäämiseksi ja toimintakyvyn varmistamiseksi.
·Tuetaan kyberpuolustustaitojen sertifiointikehyksen kehittämistä.
·Kehitetään EU:n kyberpuolustusharjoituksia ja tarkastellaan, miten ETPA:n kyberalan ETEE-foorumia voidaan kehittää edelleen koulutusvalmiuksien lisäämiseksi.
Siviilialan tukitoimet
·Perustetaan EU:n kybertaitoakatemia, jossa otetaan huomioon eri ammattiprofiileihin ja toiminta-aloihin, myös puolustushenkilöstöön, liittyvien erityisten taitojen tarve.
·Analysoidaan lähestymistapoja kybertaitojen sertifiointiin ja pyritään samalla edistämään synergioita ja täyttämään puutteita, myös EU:n rahoituksen avulla.
4. Toiminta kumppanien kanssa yhteisten haasteiden ratkaisemiseksi
Kumppanit hyötyvät siitä, että EU on entistä toimintakykyisempi ja joustavampi kybertoimintaympäristössä, sekä EU:n kyberpuolustusavusta ja valmiuksien kehittämisestä asiaankuuluvien EU:n välineiden kautta. EU pyrkii luomaan mukautettuja kyberpuolustuksen alan kumppanuuksia silloin, kun ne hyödyttävät molempia osapuolia. Kyberpuolustusta koskevia kumppanuuksia käsitellään myös kumppanimaiden YTPP-sotilasoperaatioihin osallistumisen yhteydessä.
Tämä työ perustuu tarvittaessa olemassa oleviin kybervuoropuheluihin sekä turvallisuus- ja puolustusvuoropuheluihin. Korkea edustaja tarkastelee myös EU:n epävirallisen kyberdiplomatian verkoston ja EU:n edustustojen puolustusasiamiesten verkoston välistä synergiaa.
4.1. Yhteistyö Naton kanssa
EU:n strateginen kumppanuus Naton kanssa on edelleen olennaisen tärkeää euroatlanttisen turvallisuuden kannalta, kuten strategisessa kompassissa ja Naton vuoden 2022 strategisessa konseptissa 59 korostetaan. EU on edelleen täysin sitoutunut tehostamaan tätä keskeistä kumppanuutta, myös kyberpuolustuksen alalla, ja lisätoimia on toteutettava yhteisten ratkaisujen kehittämiseksi yhteisiin uhkiin ja haasteisiin. EU:n ja Naton yhteistyötä koskevien Varsovan ja Brysselin yhteisten julistusten 60 mukaisesti ja perustuen läpinäkyvyyden, vastavuoroisuuden ja osallisuuden periaatteisiin sekä avoimuuteen ja molempien organisaatioiden päätöksenteon riippumattomuuteen kyberturvallisuus ja -puolustus ovat yksi EU:n keskeisistä yhteistyön painopistealoista.
EU jatkaa vastavuoroisuuteen perustuvaa tietojenvaihtoa Naton kanssa sotilaallisesta käsitteellisestä kehyksestä, joka koskee kyberpuolustusnäkökohtien sisällyttämistä YTPP-sotilasoperaatioiden suunnitteluun ja toteuttamiseen. EU pyrkii mahdollisimman suureen yhteensopivuuteen Naton kyberpuolustusta koskevien konseptien ja doktriinin kanssa.
Kun otetaan huomioon kyberpuolustusvalmiuksien suuri kysyntä, EU edistää organisaatiorajat ja kansalliset rajat ylittävää synergiaa ja täydentävyyttä Naton kanssa. EU tekee yhteistyötä Naton kanssa vahvistaakseen kyberpuolustusvalmiuksien teknistä ja menettelyllistä yhteentoimivuutta. Tämä kattaa myös valmiuksien kehittämisen FMN-aloitteen mukaisesti. Näin tasoitetaan tietä kyberpuolustusvalmiuksien mahdolliselle molemminpuoliseen tukeen perustuvalle kehittämiselle ja käytölle. Erityistä huomiota olisi kiinnitettävä standardien yhteentoimivuuteen, jolla edistetään sotilasviestintä- ja tietojärjestelmien kyberuhkien sietokykyä ja yhteentoimivuutta, tekemällä tarvittaessa yhteistyötä toimialan kanssa.
Jotta kyberpuolustushenkilöstölle voidaan tarjota johdonmukaista koulutusta, EU vahvistaa tarvittaessa myös yhteistyötä Naton kanssa koulutustarpeiden ja vaatimusten analysoinnin yhdenmukaistamiseksi ja kehittää yhteisiä opetussuunnitelmia, kursseja ja harjoituksia. Vastavuoroisuuden ja syrjimättömyyden periaatteiden pohjalta ETPA avaa kyberpuolustuskoulutuskurssinsa Naton henkilöstölle ja perustaa alustan yhteisten kurssien mainostamista varten. Lisäksi EU edistää Naton henkilöstön osallistumista kyberharjoituksiin ja sellaisiin kriisinhallintaharjoituksiin, joihin liittyy kybertekijöitä.
EU ja Nato pyrkivät myös edelleen parantamaan yhteistä tilannetietoisuutta ja tarkastelemaan koordinointimahdollisuuksia, myös vahvistamalla NCIRC:n ja CERT-EU:n välistä yhteistyötä. Edistääkseen kriisinhallinnan ja kriisitoiminnan kybernäkökohtia ja -vastatoimia koskevaa yhteistyötä EU osallistuu sotilas- ja siviilialoitteita sekä yhteisiä aloitteita koskevaan henkilöstöjen väliseen vaihtoon ja tarvittaessa kriisinhallintakehysten ja -aloitteiden mahdollisten synergioiden kehittämiseen, myös laajamittaisten poikkeamien tapauksessa. Varmistaakseen keskinäisen täydentävyyden ja välttääkseen toimien tarpeetonta päällekkäisyyttä EU pyrkii tiiviimpään Naton kanssa tehtävään yhteistyöhön ja tiedonvaihtoon kumppanimaiden kyberpuolustusvalmiuksien kehittämistoimista.
4.2. Yhteistyö samanmielisten kumppanien kanssa
Korkea edustaja sisällyttää kyberpuolustuskysymykset järjestelmällisemmin nykyisiin ja tuleviin kumppanien kanssa käytäviin kybervuoropuheluihin sekä turvallisuus- ja puolustusvuoropuheluihin. Kun kyberpuolustusnäkökohdat kehittyvät kahdenvälisissä vuoropuheluissa, kyberpuolustuskysymykset voidaan ottaa yhä enemmän huomioon muissa EU:n kumppanien kanssa käytettävissä yhteistyömuodoissa.
EU:n ja Yhdysvaltojen strategisessa kumppanuudessa syvennetään edelleen turvallisuus- ja puolustusyhteistyötä molempia osapuolia hyödyttävällä tavalla muun muassa tilannetietoisuutta koskevan jäsennellyn tiedonvaihdon avulla. Säännöllisillä EU:n ja Yhdysvaltojen kybervuoropuheluilla ja EU:n ja Yhdysvaltojen turvallisuus- ja puolustusvuoropuheluilla vahvistetaan vahva transatlanttinen kumppanuus. Korkea edustaja tuo näihin vuoropuheluihin tarvittaessa asiaankuuluvia kyberpuolustukseen liittyviä näkökohtia.
EU jatkaa yhdessä kansainvälisten kumppaniensa kanssa Ukrainan tukemista, myös kybervuoropuhelun avulla. Kun otetaan huomioon Ukrainan kokemukset kyberuhkien sietokyvyn ja kyberpuolustusvalmiuksien kehittämisestä, kyberpuolustusta koskevien parhaiden käytäntöjen, mukaan lukien uhkaympäristöä ja tilannetietoisuutta koskevat tiedot, ja asiaankuuluvaa poliittista kehitystä koskevien parhaiden käytäntöjen vaihtoa on yhteisen edun mukaista jatkaa ja laajentaa.
Samanmielisillä kumppaneilla on tärkeä asema maailmanlaajuisen, avoimen, vakaan ja turvallisen kybertoimintaympäristön ylläpitämisessä, ja ne voivat täydentää EU:n kykyä ehkäistä ja torjua kybertoimintaympäristössä tapahtuvaa haitallista toimintaa ja reagoida siihen. EU on edelleen avoin laajalle, kunnianhimoiselle ja molempia osapuolia hyödyttävälle turvallisuus- ja puolustussitoumukselle, myös kyberpuolustuksen alalla, kaikkien samanmielisten kumppanien kanssa.
4.3. Kumppanimaille kyberpuolustusvalmiuksien kehittämiseen annettava tuki
Maailmanlaajuiset ja alueelliset haasteet ovat lisänneet EU:n ja sen kumppanien keskinäistä riippuvuutta ja korostaneet tarvetta luoda tiiviimpiä turvallisuutta ja puolustusta koskevia kumppanuuksia. Tämä on erityisen tärkeää EU:n jäsenehdokasvaltioiden kannalta. Viimeaikaiset laajamittaiset kyberhyökkäykset osoittavat, että EU:n osallistumista ja kumppanuutta kyberturvallisuuden ja -puolustuksen alalla on lisättävä nykyisten ohjelmien pohjalta. Koska kyberuhkat ovat luonteeltaan valtioiden rajat ylittäviä, parantamalla kyberuhkien sietokykyä kumppanimaissa ja erityisesti niissä maissa, joiden kyberkypsyyden taso on alhaisempi, voidaan edistää turvallisemman kybertoimintaympäristön luomista. Tällöin EU pystyisi paremmin ehkäisemään ja havaitsemaan kyberhyökkäyksiä, puolustautumaan niiltä ja torjumaan niitä. EU vahvistaa kumppanimaiden kanssa tehtävää turvallisuus- ja puolustusyhteistyötä parantaakseen niiden kyberuhkien sietokykyä muun muassa nykyisten vuoropuhelujen avulla. EU osallistuu tarvittaessa ja molempia osapuolia hyödyttävällä tavalla kumppanien ja erityisesti EU:n yhteisen ulko- ja turvallisuuspolitiikan ja yhteisen turvallisuus- ja puolustuspolitiikan piiriin kuuluvien EU:n jäsenehdokasvaltioiden kyberpuolustusvalmiuksien kehittämistoimiin yhdessä niiden kanssa. Tähän voisi sisältyä tuki poliittisille ja lainsäädännöllisille puitteille, koulutus, neuvonta, mentorointi sekä kumppanien asevoimien ja turvallisuusjoukkojen varustaminen. Jäsenvaltiot voivat päättää antaa kumppaneille kyberpuolustusta koskevaa operatiivista apua. Lisäksi EU auttaa kumppaneita vahvistamaan valmiuksiaan osallistua YTPP-sotilasoperaatioihin, sillä tämä on arvokas panos yhteisiin ponnisteluihin rauhan ja turvallisuuden edistämiseksi.
Euroopan rauhanrahastosta tuetaan myös jatkossa EU:n toimia puolustusvalmiuksien, myös kyberpuolustuksen, kehittämiseksi kumppanimaissa ja erityisesti EU:n naapurimaissa siten, että täydennetään YTPP:n kriisinhallintatoimia. Tältä osin EU yhdistää tarvittaessa myös kyberpuolustusavun paremmin siviilialan kyberturvallisuusvalmiuksien kehittämiseen, erityisesti EU:n toimielinten välisen kybervalmiuksien kehittämiskomitean kautta. Kyberpuolustus- ja kyberturvallisuusvalmiuksien kehittämistoimien onnistuminen edellyttää EU:n asiaankuuluvien ohjelmien ja välineiden, mukaan lukien Euroopan rauhanrahasto, sekä jäsenvaltioiden välistä tehokasta koordinointia.
Samalla kun EU tukee kumppanimaita niiden kyberpuolustusvalmiuksien kehittämisessä, se tekee tiivistä yhteistyötä muiden avunantajien kanssa kehittääkseen tilannetietoisuutta ja koordinointialustoja parhaan mahdollisen räätälöidyn tuen tarjoamiseksi ja varmistaakseen toimien johdonmukaisuuden ja välttääkseen toimien päällekkäisyyttä.
Kyberpuolustustoimet
·Vahvistetaan EU:n ja Naton välistä yhteistyötä kyberpuolustusharjoittelun, koulutuksen, tilannetietoisuuden ja harjoitusten alalla.
·Sisällytetään kyberpuolustusta koskevia aiheita EU:n johtamiin kumppanimaiden kanssa järjestettäviin kybervuoropuheluihin sekä turvallisuus- ja puolustusvuoropuheluihin.
·Tehdään yhteistyötä samanmielisten maiden kanssa muun muassa kyberpuolustusvalmiuksien kehittämisen ja kyberuhkien sietokyvyn alalla.
·Lisätään kumppaneille kyberpuolustusvalmiuksien kehittämiseen annettavaa apua, myös Euroopan rauhanrahaston kautta, erityisesti EU:n naapurimaissa ja EU:n ehdokasmaiden tukemiseksi.
Siviilialan tukitoimet
·Vahvistetaan EU:n ja Naton välistä kyberturvallisuuden alan yhteistyötä tilannetietoisuuden, kriisitoiminnan, kriittisen infrastruktuurin suojelun sekä standardoinnin ja sertifioinnin osalta.
III. PÄÄTELMÄT
Korkea edustaja, myös Euroopan puolustusviraston johtajan ominaisuudessaan, ja komissio kehottavat jäsenvaltioita kehittämään tämän kyberpuolustuspolitiikan asiaankuuluvia näkökohtia ja ovat yhteydessä jäsenvaltioihin käytännön täytäntöönpanotoimenpiteiden määrittämiseksi. Yhteistyössä jäsenvaltioiden kanssa voidaan laatia täytäntöönpanosuunnitelma. EU:n kyberpuolustuspolitiikan täytäntöönpanon tulokset edistävät sekä EU:n kyberturvallisuusstrategian että strategisen kompassin yleisten tavoitteiden saavuttamista.
Neuvostolle toimitetaan vuosikertomus kyberpuolustuspolitiikan täytäntöönpanon edistymisen seuraamiseksi ja arvioimiseksi. Jäsenvaltioita kannustetaan osallistumaan omalla panoksellaan kansallisesti tai yhteistyönä toteutettavien täytäntöönpanotoimien edistämiseen.
EU:n kyberpuolustuspolitiikan kehys (päivitetty 2018), 19. marraskuuta 2018, http://data.consilium.europa.eu/doc/document/ST-14413-2018-INIT/fi/pdf
Turvallisuus- ja puolustusalan strateginen kompassi – Euroopan unioni, joka suojaa kansalaisiaan, arvojaan ja etujaan sekä edistää kansainvälistä rauhaa ja turvallisuutta .
EU:n kyberturvallisuusstrategia digitaaliselle vuosikymmenelle, JOIN(2020) 18 final .
https://ec.europa.eu/commission/presscorner/detail/fi/SPEECH_21_4701
9364/22 .
EEAS(2021) 706 REV4.
Siviili-, diplomaatti- ja lainvalvonta-alan kyberyhteisöt.
Kyberalan nopean toiminnan ryhmät ja kyberturvallisuuteen liittyvä keskinäinen avunanto.
Euroopan unionista tehdyn sopimuksen konsolidoitu toisinto (EUVL C 326, 26.10.2012, s. 1–390).
Euroopan unionin toiminnasta tehdyn sopimuksen konsolidoitu toisinto (EUVL C 326, 26.10.2012, s. 1–390).
Hankkeen tavoitteena on kehittää ja perustaa monikansallinen kyber- ja tietoalan koordinointikeskus (CIDCC) pysyväksi monikansalliseksi sotilaalliseksi yksiköksi ja operoida sitä.
Tammikuussa ja kesäkuussa 2022 järjestettyjen eurooppalaisten kyberkomentajien strategisten konferenssien (CyberCo) kahden ensimmäisen kokouksen pohjalta EU:n kyberkomentajat ovat päättäneet perustaa tasolleen pysyvämmän foorumin.
Epävirallinen ryhmä, johon kuuluu asianomaisia komission yksiköitä, Euroopan ulkosuhdehallinto, Euroopan unionin kyberturvallisuusvirasto (ENISA), CERT-EU ja Europol ja jonka puheenjohtajina toimivat komissio ja korkea edustaja.
EU:n kyberturvallisuusstrategia digitaaliselle vuosikymmenelle (JOIN(2020) 18 final) ja EU:n turvallisuusunionistrategia (COM(2020) 605).
Digitaalinen Eurooppa -ohjelman perustamisesta ja päätöksen (EU) 2015/2240 kumoamisesta 29 päivänä huhtikuuta 2021 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2021/694 (EUVL L 166, 11.5.2021, s. 1–34) mukaisesti, jollei mahdollisista muutoksista muuta johdu.
Neversissä esitetty kehotus vahvistaa EU:n kyberturvallisuusvalmiuksia.
https://eda.europa.eu/publications-and-data/factsheets/factsheet-cyber-phalanx
https://www.pesco.europa.eu/project/cyber-ranges-federations-crf/
Neuvoston päätelmät EU:n yhteistä diplomaattista vastausta haitallisiin kybertoimiin koskevista puitteista (”kyberdiplomatian välineistö”).
https://cybernews.com/security/solarwinds-hack-the-mystery-of-one-of-the-biggest-cyberattacks-ever/
https://english.ncsc.nl/topics/log4j-vulnerability
Ulkoasiainedustajan EU:n puolesta antama julkilausuma hakkereiden ja hakkeriryhmien haitallisista kybertoimista Venäjän Ukrainaa vastaan tekemän hyökkäyksen yhteydessä: https://www.consilium.europa.eu/fi/press/press-releases/2022/07/19/declaration-by-the-high-representative-on-behalf-of-the-european-union-on-malicious-cyber-activities-conducted-by-hackers-and-hacker-groups-in-the-context-of-russia-s-aggression-against-ukraine/
Direktiivi toimenpiteistä yhteisen korkean kyberturvatason varmistamiseksi koko unionissa ja direktiivin (EU) 2016/1148 kumoamisesta, josta lainsäätäjät ovat hiljattain sopineet ja joka on tarkoitus hyväksyä virallisesti tämän vuoden loppuun mennessä.
Ehdotus Euroopan parlamentin ja neuvoston asetukseksi digitaalisia elementtejä sisältävien tuotteiden horisontaalisista kyberturvavaatimuksista ja asetuksen (EU) 2019/1020 muuttamisesta ( COM(2022) 454 final ).
https://digital-strategy.ec.europa.eu/en/policies/nis-cooperation-group
Neuvoston päätelmät Euroopan unionin kybertoimien kehittämisestä (ST09364/22, 23. toukokuuta 2022).
Neversissä esitetty kehotus vahvistaa EU:n kyberturvallisuusvalmiuksia.
Ehdotus neuvoston suositukseksi unionin koordinoidusta lähestymistavasta kriittisen infrastruktuurin häiriönsietokyvyn vahvistamiseen ( COM(2022) 551 final ).
Energiajärjestelmän digitalisointi – EU:n toimintasuunnitelma (COM(2022) 552 final).
Turvallisuus- ja puolustusalan strateginen kompassi, 21. maaliskuuta 2022, https://www.eeas.europa.eu/sites/default/files/documents/strategic_compass_en3_web.pdf
https://dnbl.ncia.nato.int/FMNPublic/SitePages/Home.aspx
COM(2022) 454 final.
COM(2021) 70 final.
Radiolaitteita koskeviin kyberturvallisuusvaatimuksiin liittyvä ja delegoituun asetukseen (EU) 2022/30 perustuva standardointityö on parhaillaan käynnissä. Jos komissio kumoaa tämän delegoidun asetuksen tai muuttaa sitä niin, että sitä ei enää sovelleta tiettyihin kyberkestävyyssäädöksen soveltamisalaan kuuluviin tuotteisiin, komission ja eurooppalaisten standardointiorganisaatioiden olisi otettava huomioon standardointityö, joka on tehty edellä mainittua delegoitua asetusta koskevasta standardointipyynnöstä annetun komission täytäntöönpanopäätöksen C(2022) 5637 yhteydessä, kun yhdenmukaistettuja standardeja valmistellaan ja kehitetään kyberkestävyyssäädöksen täytäntöönpanon helpottamiseksi.
Esimerkiksi puolustusalan investointivajeiden analyysissa tunnistetulla tavalla.
Useita aloitteita, kuten Euroopan puolustusalan taitokumppanuus, on käynnistetty.
Komissio kehotti kriittisiä teknologioita koskevassa etenemissuunnitelmassaan lujittamaan yhteistyötä Euroopan pitkän aikavälin turvallisuuden ja puolustuksen kannalta kriittisten teknologioiden alalla sekä pyrkimyksiä vähentää niihin liittyviä strategisia riippuvuussuhteita.
Puolustusalan investointivajeiden analyysia ja siihen perustuvia jatkotoimia koskeva yhteinen tiedonanto, jossa komissio ja korkea edustaja ovat ehdottaneet useita toimenpiteitä sen varmistamiseksi, että EU:n teollisuudella on valmiudet saavuttaa tuloksia sekä lyhyellä että pitkällä aikavälillä.
Kyberalan nopean toiminnan ryhmät ja kyberturvallisuuteen liittyvä keskinäinen avunanto (CRRT), kyber- ja tietoalan koordinointikeskus (CIDCC), kyberuhkia ja kybertapahtumiin reagoimista käsittelevä tiedonvaihtoalusta (CTIRISP), yhteiset kyberharjoitteluympäristöt (CRF) sekä EU:n kyberakatemia ja innovaatiokeskittymä (EU CAIH).
Euroopan puolustusteollisuuden kehittämisohjelmasta on rahoitettu kuutta hanketta (PANDORA, DISCRETION, CYBER4DE, ECYSAP, SMOTANET ja HERMES), joiden talousarvio on 39 miljoonaa euroa. Euroopan puolustusrahaston vuoden 2021 rahoituksesta osoitetaan lähes 40 miljoonaa euroa kolmelle yhteistyöperusteiselle kyberpuolustuksen tutkimus- ja kehittämishankkeelle, jotka on valittu rahoitettaviksi (ACTING, AInception ja EU-GUARDIAN).
Kyberpuolustuksen hankeryhmä tarjoaa jäsenvaltioille foorumin, jossa voidaan keskustella sotilaallisesti merkityksellisistä kyberpuolustusasioista.
EDA:n voimavarojen kehittämissuunnitelmaa koskeva tietokooste (28.6.2018).
Kuten kyberpuolustusta koskevassa strategisessa tutkimussuunnitelmassa ja yleisessä strategisessa tutkimussuunnitelmassa yksilöidään.
EDA:n johtokunta hyväksyi 16. joulukuuta 2021 tutkimuksesta ja teknologiasta vastaavien johtajien kokoonpanossa EDA:n toimintasuunnitelman ”Emerging Disruptive Technologies (EDTs): A capability-driven Action Plan”.
Mukaan lukien JRC.
Kriittisten teknologioiden seurantakeskus on julkistettu siviili-, puolustus- ja avaruusteollisuuden synergioita koskevassa toimintasuunnitelmassa.
EDA:n vuoden 2021 nousevia ja murroksellisia teknologioita koskevan toimintasuunnitelman ensimmäinen vaihe.
EDA:n vuoden 2021 toimintasuunnitelman toinen vaihe.
CapTech-ryhmät tarjoavat jäsenvaltioiden asiantuntijoille verkostoitumisfoorumeja ja joustavat puitteet yhteistyöhankkeille. Lisätietoja kyberalaan liittyvistä CapTech-ryhmistä (CapTech-ryhmät Cyber, Information ja Components) on saatavilla osoitteessa https://eda.europa.eu/what-we-do/research-technology/capability-technology-areas-(captechs)
Yleisessä strategisessa tutkimussuunnitelmassa kartoitetaan asiaankuuluvat puolustuksen tutkimus- ja teknologia-alat ja annetaan yksityiskohtaisia tietoja konkreettisista yhteistyömahdollisuuksista. On olemassa 17 teknologian rakenneosaa ja niiden kyberteknologioihin liittyvää teknologian etenemissuunnitelmaa, jotka koskevat kyberpuolustuksen tilannetietoisuutta, sotilasviestintäjärjestelmien suojaamista, monenlaisista lähteistä peräisin olevien tietojen käsittelyä, mallintamista ja simulointia, kvanttilaskentaa ja salausta sekä kyberoperaatioiden ja elektronisen sodankäynnin välisten synergioiden tarkastelua. Tekoäly ja massadata ovat tietojenkäsittelyssä keskeisessä asemassa.
EDA:n ad hoc -kehys on määritelty neuvoston päätöksessä (YUTP) 2015/1835. Tällä hetkellä tämän kehyksen puitteissa on käynnissä kuusi hanketta, joihin liittyy kyberteknologiaa koskevia osia ja joiden talousarvio on noin 20 miljoonaa euroa (ANQUOR, CERERE, EDA SOC 2, MASFAD II, PASEI II ja ASSAI).
Euroopan parlamentin ja neuvoston asetus (EU) 2021/887, annettu 20 päivänä toukokuuta 2021, Euroopan kyberturvallisuuden teollisuus-, teknologia- ja tutkimusosaamiskeskuksen ja kansallisten koordinointikeskusten verkoston perustamisesta.
Kuten puolustusalan investointivajeiden analyysia ja siihen perustuvia jatkotoimia koskevassa yhteisessä tiedonannossa todetaan.
Monikerroksisissa ja usein rajat ylittävissä puolustusalan toimitusketjuissa toimivia pk-yrityksiä on EU:ssa yhteensä noin 2 500. Ne palvelevat puolustusalan asiakkaita, ja 7,8 prosenttia niiden liiketoiminnasta liittyy kyberalaan.
Horisontti Eurooppa ‑puiteohjelman tavoitteena on, että synergiaedut Euroopan puolustusrahaston kanssa hyödyttävät siviili- ja puolustusalan tutkimusta, vaikka puiteohjelman toimissa keskitytään yksinomaan siviilisovelluksiin.
https://www.pesco.europa.eu/project/eu-cyber-academia-and-innovation-hub-eu-caih/
https://www.nato.int/strategic-concept/
Allekirjoitettu vuosina 2016 ja 2018.