EUROOPAN KOMISSIO

Strasbourg 18.4.2023

COM(2023) 207 final

KOMISSION TIEDONANTO EUROOPAN PARLAMENTILLE JA NEUVOSTOLLE

Kyberturvallisuuteen liittyvän osaamisvajeen pienentäminen EU:n kilpailukyvyn, kasvun ja häiriönsietokyvyn parantamiseksi
(”Kyberturvallisuusakatemia”)

1.Tarve vähentää riskejä kiireellisesti puuttumalla kyberturvallisuustaitojen vajeeseen ja puutteisiin

Kyberturvallisuus ei ole vain osa kansalaisten, yritysten ja jäsenvaltioiden turvallisuutta, vaan se on myös välttämätöntä, jotta voidaan varmistaa EU:n poliittinen vakaus, sen demokratioiden vakaus sekä yhteiskuntamme hyvinvointi ja yritystemme menestys. Kyberturvallisuuden uhkaympäristö on muuttunut huomattavasti viime vuosina. Huolestuttavana suuntauksena on se, että EU:n kriittisiin sotilas- ja siviili-infrastruktuureihin kohdistuu yhä enemmän kyberhyökkäyksiä. Uhkatoimijat lisäävät valmiuksiaan, ja syntyy uusia hybridiuhkia ja kehittyviä uhkia, kuten bottien ja tekoälyyn perustuvien tekniikoiden käyttö. 1 Erityisesti kiristysohjelmia käyttävät uhkatoimijat aiheuttavat yhteisöille jatkuvasti huomattavia sekä talouteen että maineeseen kohdistuvia vahinkoja 2 .

Myös jäsenvaltioiden julkishallintoihin ja hallituksiin sekä EU:n toimielimiin, elimiin ja virastoihin on kohdistunut paljon kyberhäiriötilanteita. 3 Niitä kohdistuu jatkuvasti myös rahoitusalaan 4 ja terveysalaan 5 , jotka ovat osa yhteiskunnan ja talouden selkärankaa. 6 Venäjän Ukrainaa vastaan käymään hyökkäyssotaan liittyvät geopoliittiset jännitteet ovat lisänneet kyberturvallisuusuhkia 7 ja horjuttaneet yhteiskuntamme vakautta. EU:n turvallisuutta ei voida taata ilman EU:n arvokkainta voimavaraa: ihmisiä. EU tarvitsee kiireellisesti ammattilaisia, joilla on EU:hun ja sen kriittisimpiin infrastruktuureihin kohdistuvien kyberhyökkäysten ehkäisemiseen, havaitsemiseen ja torjumiseen sekä niiltä puolustautumiseen ja uhkien sietokyvyn varmistamiseen tarvittavia taitoja ja osaamista.

Kyberturvallisuuteen liittyvä osaamisvaje heikentää osaltaan Euroopan kilpailukykyä ja kasvua, jotka ovat vahvasti sidoksissa strategisten digitaaliteknologioiden (esim. tekoäly, 5G ja pilvipalvelut) kehittämiseen ja käyttöönottoon. Tarvitaan osaavaa kyberturvallisuusalan työvoimaa, jotta EU säilyttää aseman, jossa se pystyy toimittamaan keskeisiä edistyksellisiä teknologioita maailmanlaajuisesti.

EU:n kyberturvallisuuspolitiikka on edistynyt tämän muuttuvan uhkaympäristön kohtaamiseen valmistautumisessa ja EU:n kilpailukyvyn edistämisessä merkittävästi viime vuosina: on hyväksytty useita aloitteita, kuten EU:n kyberturvallisuusstrategia digitaaliselle vuosikymmenelle 8 , tarkistettu verkko- ja tietoturvadirektiivi (NIS 2 -direktiivi) 9 , EU:n alakohtaista kyberturvallisuuslainsäädäntöä 10 , EU:n kyberpuolustuspolitiikka 11 ja kyberresilienssisäädös 12 . Lisäksi komissio ehdottaa kybersolidaarisuussäädöstä yhdessä tämän tiedonannon kanssa. Näiden säädösten tavoitteita ei kuitenkaan saavuteta ilman tarvittavia ammattitaitoisia ihmisiä, jotka panevat ne täytäntöön. Koko väestön kyberturvallisuuden perustuntemusta käsitellään osana aloitteita 13 , joilla tuetaan yhteiskunnalliseen osallistumiseen tarvittavien yleisten taitojen kehittämistä, mutta kyberturvallisuuden oikeudellisten ja poliittisten vaatimusten täyttämiseksi tarvitaan osaavaa työvoimaa sekä julkisella että yksityisellä sektorilla kansallisella ja EU:n tasolla, myös standardointiorganisaatioissa.

EU:n turvallisuus ja kilpailukyky ovat siten riippuvaisia ammattitaitoisesta kyberturvallisuusalan työvoimasta. EU:ssa on kuitenkin erittäin suuri pula osaavista kyberturvallisuuden ammattilaisista, ja siksi sekä EU:lla että sen jäsenvaltioilla, yrityksillä ja kansalaisilla on suuri vaara kohdata kyberhäiriötilanteita. Vuonna 2022 kyberturvallisuuden ammattilaisten vaje vaihteli Euroopan unionissa 260 000:n 14 ja 500 000:n välillä 15 ja EU:n kyberturvallisuusalalla arvioitiin olevan tarvetta 883 000 ammattilaiselle 16 , mikä viittaa siihen, että saatavilla olevat osaajat ja työmarkkinoiden edellyttämä osaaminen eivät kohtaa toisiaan. Kyberturvallisuusala kärsii edelleen sen tekniseen luonteeseen liittyvästä harhakäsityksestä eikä edelleenkään onnistu houkuttelemaan naisia. Naisten osuus kyberturvallisuusalan tutkinnon suorittaneista on 20 prosenttia 17 ja tieto- ja viestintätekniikan asiantuntijoista 19 prosenttia 18 . Tämän tilanteen muuttamiseksi Euroopan digitaalinen vuosikymmen 2030 -ohjelmassa 19 on asetettu tavoitteeksi lisätä tieto- ja viestintätekniikan ammattilaisten määrää 20 miljoonalla vuoteen 2030 mennessä ja samalla tasoittaa sukupuolieroja. Myös EU:n kehittyvän politiikan täytäntöönpano edellyttää riittävää ja riittävän ammattitaitoista työvoimaa. Esimerkiksi yli 42 prosenttia rahoituspalvelualan IT‑johtajista korosti, että kyberturvallisuustaitojen ja -asiantuntemuksen puute on keskeinen haaste heidän liiketoiminnalleen kyberturvallisuuspuolustuksen ja häiriötilanteiden hallinnan osalta 20 aikana, jolloin heidän on pantava täytäntöön alakohtaista kyberturvallisuuslainsäädäntöä, kuten digitaalista häiriönsietokykyä koskeva säädös (DORA).

Työmarkkinoita rajoittaa se, että työnantajat ovat haluttomia investoimaan inhimilliseen pääomaan ja etsivät sen sijaan jo koulutettua ja kokenutta työvoimaa. 21 Tämä vaje vaikuttaa kaikentyyppisiin yrityksiin, myös pieniin ja keskisuuriin yrityksiin, jäljempänä ’pk‑yritykset’, joiden osuus EU:n kaikista yrityksistä on 99 prosenttia. 22 Haaste on suuri myös julkishallinnoille, joihin kyberhäiriötilanteet vaikuttavat laajalti. 23

EU:n kyberturvallisuuden ammattilaisten osaamisvajeen poistaminen on näin ollen kiireellinen asia, koska kyse on EU:n turvallisuudesta ja kilpailukyvystä.

2.Kyberturvallisuuteen liittyvän osaamisvajeen pienentämiseen tähtäävien synergioiden ja koordinoitujen toimien puute

Julkiset ja yksityiset tahot ovat käynnistäneet EU:n ja kansallisella tasolla useita erilaisia aloitteita kyberturvallisuuteen liittyvän työvoimapulan korjaamiseksi. Ne ovat kuitenkin hajanaisia eivätkä ole tähän mennessä saavuttaneet kriittistä massaa todellisen muutoksen aikaansaamiseksi.

Ensinnäkin EU:n kyberturvallisuusalan työvoiman koostumuksesta ja alalla tarvittavista taidoista ei tällä hetkellä vallitse kovin laajaa yhteisymmärrystä, vaikka samankaltaisten kyberturvallisuusalan työnkuvausten olisi sisällettävä samat taidot. Koska vain suhteellisen harvat alan toimijat hyödyntävät kyberturvallisuuden ammattilaisia koskevaa yhteistä eurooppalaista viitekehystä, työnantajilla, kouluttajilla ja poliittisilla päättäjillä ei ole välinettä keskinäiseen viestintään eikä kyberturvallisuusalan työvoimapulaa ja osaamisvajeita pystytä mittaamaan ja arvioimaan. Se estää myös politiikka- ja markkinatarpeita vastaavien opetussuunnitelmien suunnittelun ja urapolkujen luomisen ammattiin haluaville. Työvoiman täydennys- ja uudelleenkoulutus perustuu laajalti kyberturvallisuuskoulutuksiin ja ‑sertifiointeihin, joita tarjoavat yleensä yksityiset palveluntarjoajat. Työntekijöiden on kuitenkin vaikea saada yleiskuva tarjottujen kyberturvallisuuskoulutusten ja niistä myönnettävien sertifikaattien laadusta.

Vaikka koulutus ja urapolkujen rakentaminen ovat välttämättömiä työmarkkinoiden tarjontapuolen parantamiseksi, kysyntäpuolen roolia työvoiman kouluttamisessa ja sen kehitykseen mukautumisessa on tällä hetkellä aliarvioitu. Toimialalla ja julkisilla työnantajilla ei ole yhteisiä foorumeita ja paikkoja, joissa voitaisiin koota yhteen ideoita siitä, miten työvoimaa voidaan kouluttaa parhaiten ja miten taitoja voidaan arvioida paremmin erityisesti rekrytointiprosessin aikana. Kysytyimpiä kovia taitoja saattavat olla kyberturvallisuuteen, kuten ohjelmistokehitykseen tai pilvipalveluihin 24 , liittyvät taidot 25 , mutta laaja-alaiset taidot jätetään edelleen perusteettomasti huomiotta. Kriittinen ajattelu ja analysointi, ongelmanratkaisu ja itsensä johtaminen ovat taitoja, joita työnantajat vaativat entistä useammin 26 ja joiden merkitys kasvaa kohti vuotta 2025 27 .

Kyberturvallisuustaitoja koskevia julkisia ja yksityisiä investointialoitteita on jo olemassa, ja EU rahoittaa hankkeita laajasti eri välineistä. 28 Jatkuva osaamisvaje EU:ssa herättää kuitenkin kysymyksiä niiden näkyvyydestä ja vaikutuksista ja viittaa siihen, että ne eivät välttämättä vastaa järjestelmällisesti markkinoiden tarpeisiin. Nämä tarpeet on kartoitettava kiireellisesti EU:n tasolla. Lisäksi se, että rahoituslähteitä on useita, johtaa päällekkäisyyksiin, jolloin menetetään mahdollisuus toiminnan laajentamiseen ja todellisten vaikutusten aikaan saamiseen. Ne, jotka tarvitsevat investointeja, eivät myöskään aina tunnista sitä, mitkä lähteet sopisivat parhaiten juuri niiden tarpeisiin.

Sidosryhmät ovat pyrkineet käsittelemään kyberturvallisuuteen liittyvää osaamisvajetta koskevaa monimutkaista ja monitahoista kysymystä. EU:n kyberturvallisuusvirasto (ENISA) on kehittänyt tehtäväprofiileihin tai korkea-asteen koulutukseen liittyviä välineitä 29 , Euroopan kyberturvallisuuden osaamiskeskus (ECCC) 30 käsittelee kyberturvallisuustaitoja erityisessä työryhmässä, Euroopan turvallisuus- ja puolustusakatemia (ETPA) käsittelee siviili- ja sotilastyöntekijöiden kyberturvallisuustaitoja yhteisen turvallisuus- ja puolustuspolitiikan 31 puitteissa, yksityiset organisaatiot yrittävät löytää ratkaisuja ongelmaan 32 ja kyberturvallisuuden sertifiointiala kehittää etenemissuunnitelmaa ja koulutusta osaamisvajeen poistamiseksi 33 . Jäsenvaltiot pyrkivät parantamaan tilannetta myös erilaisilla aloitteilla, jotka vaihtelevat sääntelyaloitteista 34 kyberturvallisuusakatemioiden 35 ja kyberkampusten 36 perustamiseen, kyberrikollisuuden torjunnan osaamiskeskuksiin 37 sekä julkisen ja yksityisen sektorin kumppanuuksiin 38 . Kaikkien näiden sidosryhmien työstä puuttuu kuitenkin usein koordinointi ja synergiat eikä siinä ole hyödynnetty kaikkia mahdollisuuksia työmarkkinoihin vaikuttamiseen, kuten kyberturvallisuusalan työvoimapula EU:ssa osoittaa. Myös kyberyhteisöjen välisiä synergioita on lisättävä, koska kyberturvallisuuden ylläpitämiseen, kyberrikollisuuden torjuntaan ja kyberpuolustuksen rakentamiseen tarvittavat taidot ovat usein samankaltaisia.

Lopuksi voidaan todeta, että EU:lla on tällä hetkellä rajalliset keinot arvioida kyberturvallisuusalan työmarkkinoiden ja työvoiman osaamisen tilaa ja kehitystä. Jäsenvaltiot ja EU:n toimielimet ja elimet käyttävät joko yksityisten tahojen keräämiä tietoja tai laajempia EU:n laajuisia tietoja, joita erityisesti Eurostat 39 ja Euroopan ammatillisen koulutuksen kehittämiskeskus (Cedefop) 40 ovat keränneet tieto- ja viestintätekniikan ammattilaisista. Toisin sanoen EU:lla on vain osittainen ja hajanainen kuva tarpeistaan, mikä estää sitä muodostamasta kattavaa näkemystä kyberturvallisuusalan työmarkkinoiden tilasta.

3.EU:n laajuinen koordinoitu vastaus: kyberturvallisuusakatemia

3.1.Tavoite

Kyberturvallisuustaitojen lisäämiseen ja työvoimapulan pienentämiseen liittyvään haasteeseen vastaamiseksi komissio esittää kyberturvallisuusakatemian perustamista. Euroopan komission puheenjohtaja ilmoitti perustamisaikeesta unionin tilaa vuonna 2022 koskevassa aiekirjeessään 41 , , 42 , ja se on myös osa Euroopan osaamisen teemavuotta.

Kyberturvallisuusakatemian, jäljempänä ’akatemia’, tavoitteena on muodostaa keskitetty ja synergioita luova tietopiste kyberturvallisuuteen liittyvän koulutustarjonnan sekä rahoitusmahdollisuuksien ja kyberturvallisuustaitojen kehittämistä tukevien yksittäisten toimien edistämiseksi. Akatemia luo sidosryhmien aloitteille laajemmat puitteet niin, että voidaan saavuttaa kriittinen massa, joka saa aikaan tarvittavat muutokset työmarkkinoilla, myös puolustuksen osalta. Toimet on määrä yhdenmukaistaa asettamalla niille yhteiset tavoitteet ja keskeiset suorituskykyindikaattorit, jotta niiden vaikuttavuus olisi mahdollisimman suuri.

Akatemian painopisteenä on kyberturvallisuusalan ammattilaisten osaamisen kehittäminen. Akatemian toiminta edistää EU:n kyberturvallisuuspolitiikan lisäksi myös koulutusta ja elinikäistä oppimista. Se täydentää kahta neuvoston suositusta, jotka liittyvät digitaaliseen koulutukseen ja digitaalisiin taitoihin ja joita komissio on ehdottanut samanaikaisesti tämän tiedonannon kanssa 43 .

Akatemia perustuu seuraavaan neljään pilariin: 1) tietämyksen tuottamisen edistäminen koulutuksen avulla kehittämällä kyberturvallisuuden tehtäväprofiileja ja niihin liittyviä taitoja koskeva yhteinen kehys, parantamalla eurooppalaista koulutustarjontaa tarpeiden täyttämiseksi, kehittämällä urapolkuja sekä tarjoamalla kyberturvallisuuskoulutuksille ja ‑sertifioinneille näkyvyyttä ja selkeyttä työvoiman tarjontapuolen parantamiseksi, 2) taitoihin liittyviin toimiin käytettävissä olevien rahoitusmahdollisuuksien paremman kanavoinnin ja näkyvyyden varmistaminen, jotta niillä olisi mahdollisimman suuri vaikutus, 3) sidosryhmien kehottaminen toteuttamaan toimia ja 4) indikaattoreiden määrittely markkinoiden kehityksen seuraamista ja toimien tehokkuuden arvioimista varten.

Akatemian toteuttamista tuetaan 10 miljoonan euron rahoituksella Digitaalinen Eurooppa ‑ohjelmasta 44 .

3.2.Akatemian hallinto

Akatemia voisi olla muodoltaan eurooppalaisen digitaalisen infrastruktuurin konsortio (EDIC) 45 ja se voisi tarjota infrastruktuurin, joka toimisi tiedeyhteisön, koulutuksen tarjoajien ja toimialan välistä yhteistyötä edistävänä keskitettynä tietopisteenä, jonka kautta EU:n kyberturvallisuusekosysteemin tarjonta- ja kysyntäpuolet voisivat kohdata ja saada koulutusta. Tämän välineen avulla jäsenvaltiot voisivat yhdessä pienentää kyberturvallisuuteen liittyvää osaamisvajetta ja tehdä tiivistä yhteistyötä komission, ENISAn ja Euroopan kyberturvallisuuden osaamiskeskuksen kanssa toimeksiantojensa ja toimivaltuuksiensa mukaisesti, ottaa mukaan kaikki asiaankuuluvat sidosryhmät ja myös ohjata eurooppalaisia, kansallisia ja yksityisiä investointeja yhteiseen tavoitteeseen. Tätä varten asianomaisia jäsenvaltioita kannustetaan toimittamaan komissiolle 30. toukokuuta 2023 mennessä ennakkoilmoitus tulevasta hakemuksestaan, joka koskee tällaista EDICiä. Tämä vapaaehtoinen ennakkoilmoitus antaisi komissiolle mahdollisuuden esittää varhaisia huomautuksia EDIC-hakemusluonnoksesta, mikä mahdollistaisi sen kehittämisen edelleen ja virallisen toimittamisen nopeammin. Komissio, joka toimii monikansallisten hankkeiden edistäjänä, helpottaa EDIC-hakemuksen valmistelua koko prosessin ajan ja jäsenvaltioiden pyytämässä laajuudessa. Kun komissio on antanut hakemuksesta myönteisen arvion ja digitaalisen vuosikymmenen ohjelmakomitea on hyväksynyt sen, komissio tekee päätöksen EDICin perustamisesta ja auttaa sen jälkeen koordinoimaan EDICin toteuttamista. 46

Tällä välin ja samanaikaisesti EDICin virallisen perustamisen kanssa komissio perustaa virtuaalisen keskitetyn tietopisteen täydentämällä komission digitaalitaitoja ja työpaikkoja käsittelevää foorumia 47 Euroopan kyberturvallisuusyhteisön tukihankkeen (ECCO) 48 tuella.

ENISA osallistuu akatemian täytäntöönpanoon viraston tavoitteiden mukaisesti 49 , erityisesti kyberturvallisuuskoulutuksessa avustamisen osalta, ja ottaen huomioon NIS 2 -direktiivin 50 mukaiset raportointivelvoitteensa. Euroopan kyberturvallisuuden osaamiskeskus toimii strategisen toimintaohjelmansa mukaisesti kyberturvallisuusakatemian täytäntöönpanon tukemiseksi. Euroopan kyberturvallisuuden osaamiskeskus panee täytäntöön Digitaalinen Eurooppa -ohjelman strategisen tavoitteen 3 (kyberturvallisuus). Se saa tukea komissiolta ja jäsenvaltioilta kansallisten koordinointikeskusten kautta. NIS 2 -direktiivillä 51 perustetulta yhteistyöryhmältä pyydetään tarvittaessa tukea. On myös välttämätöntä yhdistää voimat teollisuuden ja tiedemaailman kanssa, jotta voidaan saavuttaa akatemian tavoite pienentää kyberturvallisuuteen liittyvää osaamisvajetta.

4.Tietämyksen tuottaminen ja koulutus: EU:n yhteisen kyberturvallisuuskoulutusta koskevan lähestymistavan luominen

Kyberturvallisuusakatemian tietämyksen tuottamista ja koulutusta koskevan pilarin puitteissa kehitetään jäsennelty lähestymistapa, jonka selkeänä tavoitteena on lisätä kyberturvallisuusosaajien määrää EU:ssa, kohdentaa koulutus paremmin markkinoiden tarpeisiin ja tarjota näkyvyyttä urapoluista.

4.1.Puhutaan yhteistä kieltä: kyberturvallisuuden tehtäväprofiileja ja niihin liittyviä taitoja koskeva yhteinen lähestymistapa

ENISAssa on jo tehty töitä kyberturvallisuusammattilaisten tehtäväprofiilien määrittelemiseksi Euroopan kyberturvallisuustaitojen kehyksen 52 puitteissa. Tämän perusteella akatemian olisi määriteltävä ja arvioitava asiaankuuluvat taidot, seurattava taitoihin liittyvien vajeiden kehitystä ja annettava viitteitä uusista tarpeista. Kussakin Euroopan kyberturvallisuustaitojen kehyksen kyberturvallisuusroolissa profiilikuvauksen osatekijäksi 53 sisällytetään joukko eurooppalaisiin tietoteknisen osaamisen puitteisiin 54 sisältyviä soveltuvia taitoja.

ENISA tarkastelee siksi uudelleen Euroopan kyberturvallisuustaitojen kehystä ja pyrkii tunnistamaan kyberturvallisuusalan työvoiman taitojen kehittyvät tarpeet ja puutteet muun muassa kehittyneiden välineiden avulla (esimerkiksi tekoäly, massadata 55 ja tiedonlouhinta). Tätä ENISAn työtä ohjaa EDIC, sitten kun se on perustettu, ja Euroopan kyberturvallisuuden osaamiskeskus yhdessä kansallisten koordinointikeskusten, komission, ECCO-hankkeen ja markkinatoimijoiden kanssa. 56 ENISA ottaa kyberpuolustusalan henkilöstön osalta asianmukaisesti huomioon Euroopan turvallisuus- ja puolustusakatemian (ETPA) tekemän työn. Vastaavasti kyberrikollisuuden torjunnan osalta ENISA ottaa huomioon EU:n lainvalvontakoulutusviraston (CEPOL) ja Europolin toimet niiden laatiessa operatiivisia koulutustarpeita koskevan analyysin 57 kyberhyökkäyksistä.

Euroopan kyberturvallisuustaitojen kehystä täydennetään ja tarkastellaan säännöllisesti uudelleen akatemiassa kahden vuoden jaksoissa. Lisäksi komissio ja Euroopan ulkosuhdehallinto auttavat määrittelemään tarvittaessa eri sektorien erityisiä profiileja ja niihin liittyviä taitoja EU:n virastojen ja elinten, kuten ETPAn 58 , Europolin ja CEPOLin 59 , tuella.

Lisäksi luodaan yhteyksiä Euroopan solidaarisuusrahaston ja EU:n työllisyyspolitiikan asiaankuuluvien välineiden 60 välille. Erityisesti Euroopan kyberturvallisuustaitojen kehyksen tehtäväprofiilit ja niihin liittyvät taidot sisällytetään ESCO-luokitukseen. Tämä parantaa kyberturvallisuusalan ammattien ja taitojen luokittelua ja niiden välisiä yhteyksiä, helpottaa täydennys- ja uudelleenkoulutukseen hakeutumista ja tukee taitoihin perustuvaa työnhakijoiden ja työpaikkojen yhteensovittamista sekä rajatylittävää liikkuvuutta.

4.2.Yhteistyön edistäminen kyberturvallisuuden opetus- ja koulutusohjelmien suunnittelussa

Kun EDIC on perustettu, akatemian olisi saatava jäsenvaltioilta tukea, jotta siitä tulisi Euroopan kyberturvallisuuskoulutuksen suunnittelun ja toteutuksen vertailupaikka, jossa käsitellään taitoja, joista on eniten kysyntää. Sen olisi tarjottava aloittaville yrityksille ja pk-yrityksille sekä julkishallinnoille työpaikkakoulutus- ja harjoittelumahdollisuuksia kyberturvallisuusalan innovatiivisissa yrityksissä ja kyberturvallisuuden osaamiskeskuksissa. EDICin olisi tehtävä yhteistyötä kaikkien asiaankuuluvien sidosryhmien, myös toimialan, kanssa tällaisten koulutusten suunnittelemiseksi, ja käytettävä niiden perustana Digitaalinen Eurooppa ‑ohjelmasta rahoitettavan CyberSecPro-ohjelman 61 kaltaisia hankkeita. Ohjelmassa on mukana 17 korkeakoulua ja 13 turvallisuusyritystä 16 jäsenvaltiosta, ja sen tavoitteena on tulla kaikkien kyberturvallisuuden koulutusohjelmien parhaaksi käytännöksi.

Akatemia tekee yhteistyötä kaikkien asiaankuuluvien sidosryhmien kanssa houkutellakseen nuoria kyberturvallisuusuralle. Digitaalisten taitojen koulutustarjonnan parantamisesta annetun neuvoston suositusehdotuksen mukaisesti jäsenvaltioiden olisi otettava käyttöön ja vahvistettava toimenpiteitä erikoistuneiden opettajien ja kouluttajien rekrytoimiseksi ja kouluttamiseksi sekä helpotettava kyberturvallisuustaitojen hankkimista muun muassa oppisopimuspaikkojen avulla. Lisäksi olisi kannustettava siihen, että kyberturvallisuus sisällytetään koulutusohjelmiin – varmistaen samalla, että ohjelmat ovat riittävän hyvin hyödynnettävissä. Tässä yhteydessä tulisi kehittää oppisopimuspaikkojen ja harjoittelupaikkojen tarjontaa, edistää innovatiivisia lähestymistapoja, kuten hyötypelejä ja yhteisiä simulaatioalustoja, järjestää kyberturvallisuuteen liittyvien tehtävien tutustumisviikkoja ja esitellä muita kuin teknisiä alaan liittyviä tehtäviä. Lisäksi olisi tuettava vaikeasti tavoitettavien ryhmien, kuten vammaisten nuorten, syrjäisillä alueilla tai maaseudulla asuvien ja muiden vähemmistöryhmien, osallistumista näihin kyberturvallisuuden oppimismahdollisuuksiin.

Komissio jatkaa mikrotutkintojen, ammatillisen koulutuksen ja koulutusohjelmien kehittämisen tukemista. Erasmus+ -ohjelmasta rahoitetaan edelleen erityisesti yhteisiä kandi- ja maisteriohjelmia, yhteisiä kursseja ja moduuleja, jotka voivat johtaa mikrotutkintoihin, ja kaikkiin aiheisiin, myös kyberturvallisuuteen, liittyviä monimuotoisia intensiiviohjelmia 62 . Eurooppalaiset yliopistot -aloitteen 63 ja ammatillisen koulutuksen huippuyksiköiden 64 käyttöönottoa tuetaan myös korkeakoulutuksen ja asiaankuuluvien ammatillisten oppilaitosten välisen yhteistyön lisäämiseksi kaikkialla Euroopassa. Tätä syvemmän yhteistyön tavoitetta tuetaan EU:n rahoitusohjelmilla, kuten Erasmus+ -ohjelmalla ja Digitaalinen Eurooppa -ohjelmalla, samoin kuin henkilökohtaisten oppimistilien kehittämiseen 65 tarkoitetuilla EU:n varoilla.

Kansallisia koordinointikeskuksia kehotetaan tutkimaan kyberkampusten perustamista jäsenvaltioissa tiedeyhteisöjen ja kyberturvallisuusalan taitokoulutusten tarjoajien sekä yksityisen ja julkisen sektorin työnantajien välisen yhteistyön helpottamiseksi kansallisella tasolla ja julkisen ja yksityisen sektorin välisten synergioiden edistämiseksi. Kyberkampusten tarkoituksena on tarjota kyberturvallisuusyhteisölle kansallisen tason osaamiskeskittymiä, ja akatemian tarkoituksena on auttaa niitä verkostoitumaan ja koordinoimaan toimintaansa jatkossa.

ENISA parantaa myös kyberturvallisuuskoulutustarjontaansa yhdenmukaistamalla kurssiluettelonsa 66 Euroopan kyberturvallisuustaitojen kehyksen profiilien kanssa ja laatimalla profiilikohtaisia koulutusmoduuleja, jotka voivat parantaa jäsenvaltioiden koulutustarjontaa. ENISA laajentaa myös kouluttajien koulutusohjelmaansa 67 , joka on tarkoitettu EU:n toimielinten ja elinten sekä jäsenvaltioiden viranomaisten ja julkisten ja yksityisten kriittisten toimijoiden ammatillisiin tarpeisiin NIS 2 -direktiivin soveltamisalalla.

Lisäksi muut EU:n virastot ja elimet vahvistavat kyberturvallisuuskoulutustarjontaansa. Esimerkiksi EU:n kyberpuolustuspolitiikan täytäntöönpanon osalta ETPA kehittää uusia kyberturvallisuuskursseja ja yhdenmukaistaa joitakin nykyisiä kurssejaan Euroopan kyberturvallisuustaitojen kehyksen kanssa. Nämä kurssit johtavat oppimistulosten sertifiointiin. 68 ETPA tutkii yhteistyössä komission kanssa mahdollisuutta sisällyttää sertifikaatteja eurooppalaiseen digitaalisen identiteetin lompakkoon. ETPA tutkii edelleen mahdollisia taitojen arviointimekanismeja, joiden perusteella sertifikaatit myönnetään. Vastaavasti kyberrikollisuuden torjunnassa pyritään tiiviisiin yhteyksiin CEPOLin kyberrikollisuusakatemian 69 kanssa, jotta voidaan edistää synergioita ja täydentävyyttä koulutusohjelmien suunnittelussa ja täytäntöönpanossa.

4.3.Synergioiden luominen ja kyberturvallisuuskoulutusten ja -sertifioinnin näkyvyyden lisääminen kaikissa jäsenvaltioissa

Akatemian on tarkoitus lisätä koulutuksen ja sertifioinnin näkyvyyttä ja synergioita. Tämä hyödyttää siviilihallinnon, puolustusalan, lainvalvonnan ja diplomatian alan kyberyhteisöjä, koska kaikki niistä tarvitsevat usein samaa asiantuntemusta, joka perustuu samanlaisiin opetussuunnitelmiin ja oppimistuloksiin.

Akatemian on määrä tarjota keskitetty tietopiste kyberturvallisuusurasta kiinnostuneille. Lyhyellä aikavälillä tämä toteutetaan täydentämällä komission digitaalitaitoja ja työpaikkoja käsittelevää foorumia ECCO-hankkeen tuella. Olemassa oleviin välineisiin kytketään erityinen kyberturvallisuusuria koskeva osio. Tietoa annetaan niin korkeakouluohjelmista ja muista koulutusmahdollisuuksista, mukaan lukien mikrotutkintoihin johtavat kurssit ja ammatilliset koulutusohjelmat, kuin työtarjouksistakin. Tämä toteutetaan ohjaamalla käyttäjä käynnissä olevaa työtä ja aloitteita, kuten ENISAn aloitteita, koskevaan tietoon, tai integroimalla tällainen tieto osaksi alustaa. ENISA on tehnyt yhteistyössä tiedemaailman kanssa kartoituksen oppilaitoksista, jotka tarjoavat kyberturvallisuusohjelmia. Tätä tehostetaan edelleen kansallisten koordinointikeskusten tuella. Lisäksi ENISA kehittää ja yhtenäistää kansallisten koordinointikeskusten, komission ja ECCO-hankkeen tuella kaksi olemassa olevan julkisen ja yksityisen sektorin koulutuksen ja kyberturvallisuussertifikaattien tietovarastoa yhteistyössä sertifiointia antavien yksiköiden kanssa ja hyödyntäen myös muita asiaankuuluvia aloitteita 70 . Ne sisällytetään myös digitaalitaitoja ja työpaikkoja käsittelevän foorumin keskitettyyn tietopisteeseen. Tämä työ hyödyttää myös kansallisia koordinointikeskuksia, joiden tehtävänä on erityisesti edistää ja levittää kyberturvallisuuskoulutusohjelmia. 71

Ammattilaisille on myös annettava takeet siitä, että koulutukset, joihin he osallistuvat, ovat laadultaan vaaditun tasoisia. ENISA kehittää pilottihankkeen, jossa tarkastellaan kyberturvallisuustaitoja koskevan eurooppalaisen todistusjärjestelmän perustamista.

Lisäksi taitojen ja koulutuksen tunnistaminen ja niiden liittäminen tehtäväprofiiliin on olennaista, mutta on myös tärkeää varmistaa, että kyberturvallisuuspalvelujen ohella tarjotaan tarvittavaa osaamista, asiantuntemusta ja kokemusta. Tämä koskee erityisesti tietoturvapalveluntarjoajia muun muassa poikkeamanhallinnassa, tunkeutumisenestotestauksessa, turvallisuusauditoinneissa ja konsultoinnissa. NIS 2 ‑direktiivissä ja kybersolidaarisuussäädöksessä säädetään tällaisten tietoturvapalveluntarjoajien erityistehtävistä. Siksi komissio ehdottaa myös kohdennettua muutosta kyberturvallisuussäädökseen 72 , jotta EU:n tasolla voidaan ottaa käyttöön tietoturvapalvelujen sertifiointijärjestelmiä. Kyseisillä sertifiointijärjestelmillä olisi pyrittävä muun muassa varmistamaan, että näitä palveluja tarjoaa henkilöstö, jolla on erittäin korkea tekninen tietämys ja osaaminen asiaankuuluvilla aloilla.

Mikrotutkintojen laadunvarmistus- ja tunnustamismekanismit 73 helpottavat oppimistulosten läpinäkyvyyttä, vertailukelpoisuutta ja siirrettävyyttä. Eurooppalaisesta lähestymistavasta pieniin osaamiskokonaisuuksiin annetun neuvoston suosituksen 74 mukaisesti jäsenvaltioita kannustetaan sisällyttämään kyberturvallisuuden mikrotutkintoja kansallisiin tutkintokehyksiinsä. Näin ne voisivat yhdistää kyberturvallisuuden mikrotutkinnot eurooppalaiseen tutkintojen viitekehykseen 75 . Eurooppalaista digitaalista opintotodistusta koskevan infrastruktuurin avulla voidaan antaa digitaalisesti allekirjoitettuja todistuksia kyberturvallisuuspätevyydestä ja mikrotutkinnoista. Ne sisältävät runsaasti tietoa muun muassa kyberturvallisuuden oppimistuloksista, ja ne voidaan tallentaa tulevaan eurooppalaiseen digitaalisen identiteetin lompakkoon 76 .

Akatemian toimet

Jäsenvaltiot ja toimiala

·Varmistetaan tuki kyberturvallisuusoppimisen mikrotutkintojen kehittämiselle ja tunnustamiselle eurooppalaisesta lähestymistavasta pieniin osaamiskokonaisuuksiin annetun neuvoston suosituksen mukaisesti.

·Sisällytetään kyberturvallisuustutkinnot, myös mikrotutkinnot, kansallisiin tutkintokehyksiin.

·Tarjotaan työssäoppimismahdollisuuksia oppisopimuskoulutuksella henkilöille, jotka osallistuvat kyberturvallisuustaitojen kehittämisaloitteisiin.

Komissio

·Luodaan lyhyellä aikavälillä keskitetty tietopiste kyberturvallisuusohjelmille, olemassa oleville koulutuksille ja kyberturvallisuussertifioinneille digitaalitaitoja ja työpaikkoja käsittelevän foorumin kautta vuoden 2023 loppuun mennessä.

·Ehdotetaan muutosta kyberturvallisuussäädökseen, jotta tietoturvapalveluntarjoajat voidaan sertifioida 18. huhtikuuta 2023 alkaen.

EU:n elimet ja virastot

·Perustetaan Euroopan kyberturvallisuustaitojen kehys yhteisenä lähestymistapana kyberturvallisuuden tehtäväprofiileihin ja niihin liittyviin taitoihin vuoden 2023 loppuun mennessä.

·ENISA käynnistää pilottihankkeen kyberturvallisuustaitoja koskevan eurooppalaisen todistusjärjestelmän perustamisesta vuoden 2023 toisella neljänneksellä.

·ENISA tarkistaa kurssiluettelonsa ja avaa kouluttajien koulutusohjelmansa julkisille ja yksityisille kriittisille toimijoille vuoden 2023 loppuun mennessä.

·Saatetaan päätökseen ETPAn opetussuunnitelmien yhdenmukaistaminen Euroopan kyberturvallisuustaitojen kehyksen kanssa vuoden 2023 puoliväliin mennessä.

5.Sidosryhmien osallistuminen: sitoutuminen kyberturvallisuuteen liittyvän osaamisvajeen pienentämiseen

Kyberturvallisuuteen liittyvän osaamisvajeen pienentämiseksi akatemiassa kehitetään koordinoitu lähestymistapa sidosryhmien osallistumiseen. Tavoitteena on maksimoida kyberturvallisuuteen liittyvän osaamisvajeen supistamiseen tähtäävien eri sidosryhmien sitoumusten näkyvyys ja vaikutus.

Komissio kehottaa sidosryhmiä sitoutumaan työntekijöiden täydennys- ja uudelleenkoulutukseen konkreettisilla toimilla, jotka perustuvat mahdollisimman pitkälti havaittuun kyberturvallisuuden osaamisvajeeseen. Tällaisista sidosryhmien kyberturvallisuussitoumuksista olisi raportoitava digitaalitaitoja ja työpaikkoja käsittelevällä foorumilla samalla tavalla kuin muista foorumilla jo näkyvistä digitaalisista sitoumuksista. Komissio kannustaa lisäksi sidosryhmiä antamaan foorumilla kyberturvallisuussitoumuksen siitä, että ne liittyvät osaamissopimuksen mukaiseen digitaaliseen laajamittaiseen kumppanuuteen 77 . Digitaalista laajamittaista kumppanuutta koskevien kyberturvallisuussitoumusten esittämiseen digitaalitaitoja ja työpaikkoja käsittelevällä foorumilla kannustetaan. Myös digitaalitaitoja ja työpaikkoja käsittelevän foorumin puitteissa tehdyistä sitoumuksista kannustetaan raportoimaan digitaalista laajamittaista kumppanuutta koskevan osaamissopimuksen mukaisesti.

Komissio kehottaa lisäksi jäsenvaltioita jatkamaan naisia ja digitalisaatiota koskevan julistuksen täytäntöönpanoa edistäviä toimia 78 , joilla naisia kannustetaan toimimaan aktiivisesti ja näkyvästi digitaaliteknologian alalla, ja tasoittamaan sukupuolieroja kyberturvallisuustehtävissä. Komissio myös kannustaa jäsenvaltioita kehittämään synergioita Euroopan sosiaalirahasto+ (ESR+) -ohjelmiensa kanssa sukupuolten tasa-arvotavoitteen tukemiseksi työmarkkinoille osallistumisessa 79 , esimerkiksi perustamalla tyttöjen ja naisten mentorointiohjelmia. Ne voivat helpottaa roolimallien luomista tyttöjen houkuttelemiseksi kyberturvallisuusalan ammatteihin ja samalla torjua sukupuoleen liittyviä stereotypioita. Näin myös kannustetaan naisia täydennys- ja uudelleenkoulutukseen ja edistetään sellaisen yhteisön kehittämistä, joka voi tukea naisia kyberturvallisuusalan työmarkkinoille pääsyssä tai edistää sitä.

Jäsenvaltioiden olisi osana kansallisia kyberturvallisuusstrategioitaan toteutettava erityistoimenpiteitä kyberturvallisuuteen liittyvän osaamisvajeen pienentämiseksi 80 , taitopuutteiden poistamista edistävien toimien tunnistamiseksi ja ohjaamiseksi paremmin ja viime kädessä niiden NIS 2 -direktiivin mukaisten velvoitteiden asianmukaisen täytäntöönpanon varmistamiseksi.

Jotkin jäsenvaltiot hyödyntävät siviili-, puolustus- ja lainvalvonta-aloitteiden välisiä synergioita. Esimerkiksi työvoiman lisääminen hyödyntämällä kansallista asevelvollisuutta tai kyberreserviläisiä, jotka ovat asevoimien kyberturvallisuustehtävissä toimivia sotilaskoulutuksen saaneita kansalaisia 81 , antaa väestölle ja erityisesti nuorille aikuisille mahdollisuuden parantaa kyberturvallisuus- ja kyberpuolustustaitojaan. Sama koskee kyberrikollisuuden torjuntaa, koska yleisten kyberturvallisuustoimien ja lainvalvontatoimien välillä on kyberhäiriötilanteiden torjunnassa monia samankaltaisuuksia. Komissio kannustaa jäsenvaltioita keskustelemaan tällaisista aloitteista ja kehottaa niitä arvioimaan, miten ammattitaitoinen työvoima voi parhaiten palvella sekä puolustus- että siviilialan kyberturvallisuusyhteisöjä.

Komissio pohtii ehdotuksia siitä, miten EU:n toimielinten ja elinten tarpeiden arvioinnissa havaitut nykyiset ja ennakoidut puutteet korjataan. Se kannustaa henkilöstöä hyödyntämään erityisesti EU:n ja Yhdysvaltojen välisen vuoropuhelun puitteissa perustettua tulevaa EU:n ja Yhdysvaltojen kyberturvallisuuden stipendiaattiohjelmaa.

Akatemian toimet

Toimiala

·Ehdotetaan erityisiä kyberturvallisuussitoumuksia digitaalitaitoja ja työpaikkoja käsittelevällä foorumilla 18. huhtikuuta 2023 alkaen.

Jäsenvaltiot

· Sisällytetään kansallisiin kyberturvallisuusstrategioihin erityisiä toimenpiteitä kyberturvallisuuteen liittyvän osaamisvajeen pienentämiseksi.

Jäsenvaltiot ja toimiala

·Pannaan täytäntöön naisten digitaalinen julistus ja pyritään saavuttamaan kyberturvallisuustehtävien sukupuolierojen tasoittaminen vuoteen 2030 mennessä.

6.Rahoitus: luodaan synergioita kyberturvallisuustaitojen kehittämiseen käytettyjen varojen vaikutuksen maksimoimiseksi

Akatemian avulla kyberturvallisuustaitoihin tehtävien investointien vaikutus maksimoidaan tarjoamalla yhteinen tietopiste, helpottamalla varojen parempaa kanavointia markkinoiden tarpeisiin ja tehostamalla rahoituksen käyttöä, helpottamalla synergioita eri välineiden välillä sekä välttämällä päällekkäisiä toimia. 82

6.1. Varojen sovittaminen tarpeisiin

Akatemian avulla Euroopan kyberturvallisuuden osaamiskeskus kerää komission, ECCO-hankkeen ja kansallisten koordinointikeskusten tuella tietoja siitä, miten kyberturvallisuustaitoja rahoitetaan EU:n varoilla, ja arvioi, miten EU:n varoilla tuetaan kyberturvallisuuteen liittyvän osaamisvajeen kaventamista. Euroopan kyberturvallisuuden osaamiskeskus ottaa nämä kootut tiedot huomioon ja pyrkii varmistamaan, että EU:n varat kanavoidaan paremmin tunnistettuihin tarpeisiin. Se rahoittaa toimia, joilla korjataan kyberturvallisuusalan pahimmat työvoimapuutteet, myös kyberturvallisuuspolitiikan tarpeiden täytäntöönpanoon liittyvät puutteet.

6.2. Kyberturvallisuustaitoja koskevien käytettävissä olevien varojen ja kumppanuusaloitteiden näkyvyyden lisääminen

Digitaalitaitoja ja työpaikkoja käsittelevästä foorumista tulee lyhyellä aikavälillä sidosryhmien keskitetty tietopiste, jossa on saatavilla kaikki tiedot kyberturvallisuustaitojen rahoitusmahdollisuuksista.

EU investoi ihmisiin ja heidän taitoihinsa ja käyttää kumppanuuksia erityisesti toimialan kanssa täydennys- ja uudelleenkoulutustoimien käynnistämiseksi useiden Euroopan osaamisohjelmassa 83 määriteltyjen välineiden, erityisesti osaamissopimuksen 84 ja digitaalisen koulutuksen toimintaohjelman 85 , avulla. Digitaalinen Eurooppa -ohjelmasta rahoitetaan kyberturvallisuustaitoihin liittyviä mahdollisuuksia etenkin monikansallisten hankealoitteiden kautta. Niillä täydennetään Horisontti Eurooppa -puiteohjelman tarjoamaa tukea kyberturvallisuuden tutkimukseen ja innovatiivisiin teknologisiin ratkaisuihin. Euroopan puolustusrahasto 86 rahoittaa tutkimusta ja teknologian kehittämistä tehokkaiden kybertoimien toteuttamiseksi, mukaan lukien koulutukset ja harjoitukset. 87 Erasmus+ ‑ohjelmasta tuetaan edelleen tällaisia aloitteita muun muassa monimuotoisten intensiivikurssien ja yhteistyöhankkeiden avulla.

Jäsenvaltioita kannustetaan käyttämään suoraan hallinnoimiaan EU:n varoja kyberturvallisuustaitojen ja -työpaikkojen tukemiseksi. Koheesiopolitiikan rahastoihin, kuten Euroopan aluekehitysrahastoon (EAKR) ja ESR+:aan, liittyy tältä osin merkittäviä synergiamahdollisuuksia. 88 Elpymis- ja palautumistukivälineen 89 ja InvestEU:n 90 puitteissa toteutettavien toimien soveltamisalaan sisältyy muita keskeisiä akatemian tavoitteiden saavuttamista täydentäviä tekijöitä.

Akatemian toimet

Eurooppalainen kyberturvallisuuden osaamiskeskus ja ENISA

·Kartoitetaan olemassa oleva kyberturvallisuustaitoihin kohdistettu EU:n rahoitus suhteessa markkinoiden tarpeisiin, arvioidaan sen vaikuttavuutta ja määritetään rahoituksen painopisteet vuoden 2024 loppuun mennessä.

Komissio

·Perustetaan digitaalitaitoja ja työpaikkoja käsittelevälle foorumille keskitetty tietopiste kyberturvallisuustaitojen rahoitusmahdollisuuksia varten vuoden 2023 loppuun mennessä.

7.Edistymisen mittaaminen: sisäänrakennettu selontekovelvollisuus

Akatemiassa kehitetään menetelmä, jonka avulla voidaan mitata edistymistä kyberturvallisuuteen liittyvän osaamisvajeen pienentämisessä.

7.1.Kyberturvallisuusindikaattoreiden määrittäminen kyberturvallisuuden työmarkkinoiden kehityksen seuraamiseksi

Digitaalitalouden ja -yhteiskunnan indeksi (DESI-indeksi) on yhteenveto Euroopan digitaalisen suorituskyvyn indikaattoreista, ja sillä seurataan edistystä EU:n jäsenvaltioissa. ENISA kehittää kyberturvallisuusakatemian puitteissa yhteistyössä komission ja verkko- ja tietoturva-alan yhteistyöryhmän kanssa 91 indikaattoreita, myös sukupuoleen liittyviä indikaattoreita, joiden avulla seurataan, miten EU:n jäsenvaltioissa on edistytty kyberturvallisuusalan ammattilaisten määrän lisäämisessä. ENISA kuulee asiassa myös asiaankuuluvia markkinatoimijoita ja kansallisia koordinointikeskuksia. ENISA hyödyntää DESI-menetelmää 92 ja varmistaa, että indikaattorit ovat tieto- ja viestintätekniikan ammattilaisia ja sukupuolierojen tasoittamista tieto- ja viestintätekniikan alalla koskevien Euroopan digitaalisten tavoitteiden mukaisia. Sen jälkeen komissio pyrkii sisällyttämään nämä indikaattorit DESI-indeksiin, jolloin kyberturvallisuustaitojen ja työmarkkinoiden tilaa voidaan seurata vuosittain.

7.2.Tietojen kerääminen ja raportointi

ENISA kerää tietoja indikaattoreista ECCO-hankkeen ja kansallisten koordinointikeskusten tuella. Kerättyjen tietojen perusteella ENISA laatii vuosittain raportin, jota hyödynnetään digitaalisen vuosikymmenen tilaa koskevassa kertomuksessa 93 . Kertomusta puolestaan hyödynnetään yhdessä DESI-raportin kanssa eurooppalaisen ohjausjakson maakohtaisissa analyyseissä ja suosituksissa 94 . Kyberturvallisuustaitoja koskevat indikaattorit tukevat myös ENISAn kyberturvallisuuden tilasta EU:ssa kahden vuoden välein annettavaa kertomusta, josta säädetään NIS 2 -direktiivissä ja joka kattaa kyberturvallisuusvalmiudet, kyberturvallisuustietoisuuden ja kyberhygienian kaikkialla EU:ssa.

7.3.Kyberturvallisuuden keskeisten suorituskykyindikaattoreiden kehittäminen

ENISAn tavoitteena on poistaa Euroopan kyberturvallisuuteen liittyvä osaamisvaje tiiviissä yhteistyössä komission ja kansallisten koordinointikeskusten kanssa, ja siksi se ehdottaa komissiolle keskeisiä suorituskykyindikaattoreita, joiden kehittämisessä hyödynnetään digitaalinen vuosikymmen 2030 -ohjelman menetelmiä sekä alan kokemuksia. ENISA ottaa asianmukaisesti huomioon keskeiset suorituskykyindikaattorit, joita jäsenvaltiot ovat käyttäneet arvioidessaan kansallisia kyberturvallisuusstrategioitaan. 95

Akatemian toimet

ENISA

·Kehitetään kyberturvallisuustaitoja koskevat indikaattorit ja keskeiset suorituskykyindikaattorit vuoden 2023 loppuun mennessä.

·Kerätään tietoja indikaattoreista ja raportoidaan niistä. Ensimmäiset tiedot kerätään vuoteen 2025 mennessä.

Komissio

·Pyritään sisällyttämään kyberturvallisuutta koskevat indikaattorit DESI-indeksiin ja digitaalisen vuosikymmenen tilaa koskevaan kertomukseen.

8.Päätelmät

Tässä tiedonannossa luodaan perusta EU:n lähestymistavan uudistamiselle EU:n ammattilaisten kyberturvallisuustaitojen parantamiseksi. Tavoitteena on pienentää kyberturvallisuuteen liittyvää osaamisvajetta ja muodostaa EU:lle tarvittava työvoimapohja, jotta se voi reagoida jatkuvasti muuttuvaan uhkaympäristöön, panna täytäntöön EU:n politiikkoja, joilla pyritään suojaamaan EU:ta kyberhyökkäyksiltä, sekä parantaa liiketoimintamahdollisuuksia ja kilpailukykyä. Osaava kyberturvallisuushenkilöstö voi hyödyttää siviili-, puolustus-, diplomaatti- ja lainvalvontayhteisöjä ja auttaa luomaan niiden välille synergiaa.

Komissio kehottaa jäsenvaltioita ja kaikkia sidosryhmiä toteuttamaan kyberturvallisuusakatemian tavoitteet.

(1) ENISA Threat Landscape 2022 – ENISA (europa.eu) .

(2) Europol Internet Organised Crime Threat Assessment (IOCTA) 2021. Tällaisten toimijoiden toiminta perustuu kiristysohjelma palveluna -malliin. Vuotuiset kustannukset yrityksille olivat vuonna 2022 yli 18,4 miljardia euroa ( Cybereason 2022 -raportti kiristysohjelmien todellisista kustannuksista ).

(3) Ks. esimerkiksi Joint Publication by ENISA and CERT-EU, JP-23-01 – Sustained activity by specific threat actors, TLP:CLEAR, 15.2.2023 .

(4) Esimerkiksi Saksassa 1.6.2021–31.5.2022 ilmoitetuista sähköpostipetoksista 90 prosenttia oli rahoitusasioihin liittyvää verkkourkintaa tai rahoitusalan yrityksiä vastaan tehtyjä hyökkäyksiä, joihin liittyi 125 maassa yli 20 000 laitteeseen tarttunut virus, The State of IT Security in Germany in 2022, Bundesamt für Sicherheit in der Informationstechnik (BSI), 1.1.2023 .

(5) Esimerkiksi Ranskassa tehtiin julkisiin terveydenhuoltolaitoksiin, kuten Centre Hospitalier Sud Francilieniin, kiristysohjelmahyökkäyksiä, joissa uhkatoimija sai haltuunsa ja julkaisi 11 gigatavua henkilökohtaisia ja lääketieteellisiä tietoja sekä henkilöstöön liittyviä tietoja, Panorama de la cybermenace 2022, Agence nationale de la sécurité des systèmes d’information (ANSSI), tammikuu 2023 .

(6) ENISA Threat Landscape 2022.

(7) Ks. myös: CERT-EU – Russia’s war on Ukraine: one year of cyber operations (europa.eu) ; Venäjän kyberoperaatiot Ukrainaa vastaan: ulkoasiainedustajan EU:n puolesta antama julkilausuma, 10. toukokuuta 2022 ; ulkoasiainedustajan EU:n puolesta antama julkilausuma hakkereiden ja hakkeriryhmien haitallisista kybertoimista Venäjän Ukrainaa vastaan tekemän hyökkäyksen yhteydessä, 19. heinäkuuta 2022 .

(8) Yhteinen tiedonanto Euroopan parlamentille ja neuvostolle: EU:n kyberturvallisuusstrategia digitaaliselle vuosikymmenelle, JOIN(2020) 18 final .

(9) Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2555, annettu 14 päivänä joulukuuta 2022, toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi kaikkialla unionissa, asetuksen (EU) N:o 910/2014 ja direktiivin (EU) 2018/1972 muuttamisesta sekä direktiivin (EU) 2016/1148 kumoamisesta (NIS 2 -direktiivi) .

(10) Kuten rahoitusalaa koskeva Euroopan parlamentin ja neuvoston asetus (EU) 2022/2554, annettu 14 päivänä joulukuuta 2022, finanssialan digitaalisesta häiriönsietokyvystä ja asetusten (EY) N:o 1060/2009, (EU) N:o 648/2012, (EU) N:o 600/2014, (EU) N:o 909/2014 ja (EU) 2016/1011 muuttamisesta (DORA-asetus).

(11) Yhteinen tiedonanto Euroopan parlamentille ja neuvostolle: EU:n kyberturvallisuuspolitiikka, JOIN(2022) 49 final.

(12) Ehdotus Euroopan parlamentin ja neuvoston asetukseksi digitaalisia elementtejä sisältävien tuotteiden horisontaalisista kyberturvavaatimuksista ja asetuksen (EU) 2019/1020 muuttamisesta (COM(2022) 454 final) .

(13) Väestön yleisiä digitaalisia taitoja koskevia aloitteita: 80 prosenttia väestöstä saavuttaa digitaaliset perustaidot vuoteen 2030 mennessä, mikä on asetettu tavoitteeksi Euroopan sosiaalisten oikeuksien pilaria koskevassa toimintasuunnitelmassa ja digikompassissa, digitaalisen koulutuksen toimintasuunnitelmassa 2021–2027, digitaalisten taitojen puitekehyksessä ja ehdotuksessa neuvoston suositukseksi digitaalisten taitojen koulutustarjonnan parantamiseksi.

(14) (ISC)²: Assessing Cyber Skills on the basis of the ECSF, ENISAn webinaari, 16.2.2023 .

(15) Kuten Euroopan kyberturvallisuusjärjestö (ECSO) on todennut yhteisessä tiedonannossa Euroopan parlamentille ja neuvostolle: EU:n kyberturvallisuuspolitiikka, JOIN(2022) 49 final .

(16) (ISC)²: Assessing Cyber Skills on the basis of the ECSF, ENISAn webinaari, 16.2.2023 .

(17) Kyberturvallisuusalan korkeakoulutustietokanta (CyberHEAD) .

(18) Vain 19 prosenttia EU:n tieto- ja viestintätekniikan asiantuntijoista on naisia: Digital Economy and Society Index (DESI) 2022 | . Shaping Europe’s digital future (europa.eu) . Unionin kyberturvallisuusalan naispuolisesta työvoimasta ei ole saatavilla lukuja.

(19) Euroopan parlamentin ja neuvoston päätös (EU) 2022/2481, annettu 14 päivänä joulukuuta 2022, digitaalinen vuosikymmen 2030 -ohjelman perustamisesta , jossa perustetaan seuranta- ja yhteistyömekanismi vuoden 2030 digitaalisessa kompassissa asetettujen Euroopan digitaalisen muutoksen yhteisten tavoitteiden saavuttamiseksi myös taitojen alalla.

(20) S-RM Cyber Security Insights Report 2022 .

(21) Cybersecurity Skills Development in the EU, ENISA, joulukuu 2019 .

(22) Pk-yrityksen määritelmä (europa.eu) .

(23) ENISA Threat Landscape 2022 – ENISA (europa.eu) .

(24)

ISACA State of Cyber Security 2022 infographic

(25)

LinkedIn 2023 Most In-Demand Skills: Learn the Skills Companies Need Most .

(26) Esimerkiksi Cedefopin väline: Skills-OVATE | CEDEFOP (europa.eu) .

(27) The Future of Jobs Report, lokakuu 2020, World Economic Forum .

(28) Esimerkiksi Cybersecurity Skills Alliance – New Vision for Europe – REWIRE-hanke (rahoitus Erasmus+ -ohjelmasta); kyberturvallisuuden osaamiskeskusta tukevat hankkeet ( ECHO , CONCORDIA , CyberSec4Europe , SPARTA (rahoitus Horisontti 2020 -ohjelmasta) ja Cybersecpro-hanke (rahoitus Digitaalinen Eurooppa -ohjelmasta).

(29) Erityisesti: European Cybersecurity Skills Framework (ECSF) ; CYBERHEAD – Cybersecurity Higher Education Database ; Cyber Exercise Platform (CEP) ; European Cyber Security Challenge -tapahtuma ; Euroopan kyberturvallisuuskuukausi .

(30) Euroopan parlamentin ja neuvoston asetus (EU) 2021/887, annettu 20 päivänä toukokuuta 2021, Euroopan kyberturvallisuuden teollisuus-, teknologia- ja tutkimusosaamiskeskuksen ja kansallisten koordinointikeskusten verkoston perustamisesta .

(31) Erityisesti Cyber education, training, exercise and evaluation (ETEE) platform .

(32) Esimerkiksi Euroopan kyberturvallisuusjärjestön (ECSO) työryhmä 5, joka käsittelee aihetta ”Education, training, awareness, cyber ranges, human factors”, DIGITALEUROPE -organisaatio.

(33) Esimerkiksi SANS Institute , (ISC)² ja ISACA.

(34) Esimerkiksi kansallisissa koulutus- tai kyberturvallisuusstrategioissa.

(35) Esimerkiksi Portugalin C-Academy .

(36) Esimerkiksi Ranskan Cyber Campus .

(37) Esimerkiksi Liettuan kyberrikollisuuden torjunnan osaamiskeskus ”Lithuanian Cybercrime Centre of Excellence for Training, Research & Education” ( L3CE ).

(38) Esimerkiksi Microsoftin kyberturvallisuusalan osaamisaloite .

(39) ICT specialists in employment – Statistics Explained (europa.eu) .

(40) Esimerkiksi Cedefopin väline: Skills-OVATE | CEDEFOP (europa.eu) .

(41) Euroopan unionin tilaa 2022 koskeva aiekirje puhemies Roberta Metsolalle ja pääministeri Petr Fialalle .

(42) Yhteinen tiedonanto Euroopan parlamentille ja neuvostolle: EU:n kyberturvallisuuspolitiikka, JOIN(2022) 49 final .

(43) Ehdotukset neuvoston suosituksiksi menestyksekkään digitaalisen koulutuksen keskeisistä mahdollistavista tekijöistä ja digitaalisten taitojen tarjonnan parantamisesta koulutuksessa.

(44) Euroopan parlamentin ja neuvoston asetus (EU) 2021/694, annettu 29 päivänä huhtikuuta 2021, Digitaalinen Eurooppa ‑ohjelman perustamisesta ja päätöksen (EU) 2015/2240 kumoamisesta .

(45) EDICit perustettiin Euroopan parlamentin ja neuvoston päätöksellä (EU) 2022/2481, annettu 14 päivänä joulukuuta 2022, digitaalinen vuosikymmen 2030 -ohjelman perustamisesta , 13 artikla ja sitä seuraavat artiklat.

(46) Ks. edellinen alaviite, 12 artikla.

(47) Home | Digital Skills and Jobs Platform (europa.eu) .

(48) Ks. European Cybersecurity Competence Centre and Network: new EU-funded project to support the Cyber Community (europa.eu) . Euroopan komissio allekirjoitti joulukuussa 2022 kolmen miljoonan euron sopimuksen EU:n kyberyhteisön tukemiseksi Euroopan kyberturvallisuuden osaamiskeskuksen puitteissa. Tällä hankkeella edistetään yhteisön tavoitteita ja valmiuksien kehittämistä kyberturvallisuuden tutkimuksen, innovoinnin, käyttöönoton ja teollisen perustan osalta.

(49) ”ENISA tukee valmiuksien kehittämistä ja varautumista kaikkialla unionissa avustamalla unionin toimielimiä, elimiä, virastoja ja virastoja sekä jäsenvaltioita sekä julkisia ja yksityisiä sidosryhmiä (...) taitojen ja osaamisen kehittämiseksi kyberturvallisuuden alalla.” Kyberturvallisuusasetuksen 4 artiklan 3 kohta.

(50) NIS 2 -direktiivin 18 artikla.

(51) Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2555, annettu 14 päivänä joulukuuta 2022, toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi kaikkialla unionissa, asetuksen (EU) N:o 910/2014 ja direktiivin (EU) 2018/1972 muuttamisesta sekä direktiivin (EU) 2016/1148 kumoamisesta (NIS 2 -direktiivi) .

(52) European Cybersecurity Skills Framework (ECSF) – ENISA (europa.eu) Euroopan kyberturvallisuustaitojen kehys tukee Euroopan kyberturvallisuusammattilaisten rooleihin liittyvien tehtävien, osaamisen, taitojen ja tietämyksen tunnistamista ja ilmaisemista. Siinä esitetään yhteenveto kaikista kyberturvallisuuteen liittyvistä tehtävistä profiileina, joita analysoidaan yksityiskohtaisesti niiden vastuiden, taitojen, synergioiden ja keskinäisten riippuvuuksien mukaan.

(53) Ks. tältä osin User Manual – European Cybersecurity Skills Framework (ECSF) – syyskuu 2022 .

(54) European e-Competence Framework (e-CF) | Esco (europa.eu) Eurooppalaiset tietoteknisen osaamisen puitteet tarjoavat johdonmukaisia yhteyksiä ICT-pätevyyksien ja muiden alan kannalta olennaisten puitteiden, kuten DigCompin , yhteydessä.

(55) Ks. esimerkiksi Cedefopin kehittämä Skills-OVATE .

(56) Virasto hyödyntää edelleen muiden EU:n rahoittamien hankkeiden (esim. REWIRE , Data Space For Skills (DS4S) , CyberSecPro ja Concordia) tuloksia ja menetelmiä, jotka perustuvat vastaaviin aloitteisiin (esim. ”Building a Skilled Cyber Security Workforce in Five Countries: Insights from Australia, Canada, New Zealand, United Kingdom and United States”, OECD:n raportti, julkaistu 21.3.2023), sen varmistamiseksi, että tulevaisuudessa on käytössä ajan tasalla oleva visio tarpeista ympäristössä, jossa kysyntä kasvaa jatkuvasti.

(57) CEPOL Operational Training Needs Assessment (OTNA) .

(58) Ks. tämän osalta yhteinen tiedonanto Euroopan parlamentille ja neuvostolle: EU:n kyberturvallisuuspolitiikka, JOIN(2022) 49 final .

(59) Tässä yhteydessä kiinnitetään huomiota parhaillaan kehitteillä olevaan tietoverkkorikollisuuden koulutuksen osaamiskehystä (TCF) koskevaan työhön.

(60) Esimerkiksi eurooppalainen taito-, osaamis-, tutkinto- ja ammattiluokitus ( ESCO ), Europass ja eurooppalainen työllisyyspalvelujen yhteistyöverkosto ( EURES ).

(61) CyberSecPro tekee esimerkiksi analyysin yliopistoissa tarjottavista kyberturvallisuusalan ohjelmista, kursseista ja kesäkouluista sekä käytettävistä eurooppalaisen opintosuoritusten ja arvosanojen siirto- ja kertymisjärjestelmän (ECTS) arviointitaulukoista, varmistaa yli 530 harjoittelijan tavoitemäärän saavuttamisen kolmen vuoden aikana ja kouluttaa ulkopuolisia ihmisiä eri toimialoilta ja sektoreilta.

(62) Monimuotoisissa intensiiviohjelmissa verkko-opetus on yhdistetty lyhyeen fyysiseen liikkuvuusjaksoon.

(63) Eurooppalaiset yliopistot ‑aloite | Eurooppalainen koulutusalue (europa.eu) .

(64) Ammatillisen koulutuksen huippuyksiköt | Erasmus+ (europa.eu) .

(65) Neuvoston suosituksen, annettu 16 päivänä kesäkuuta 2022, henkilökohtaisista oppimistileistä mukaisesti.

(66) Training Courses – ENISA (europa.eu) .

(67) Train the trainer programme – ENISA (europa.eu) .

(68) Neuvoston päätöksen (YUTP) 2020/1515, annettu 19 päivänä lokakuuta 2020, Euroopan turvallisuus- ja puolustusakatemian perustamisesta sekä päätöksen (YUTP) 2016/2382 kumoamisesta 20 artiklan 4 kohdan mukaisesti.

(69) CEPOLin kyberrikollisuusakatemia perustettiin vuonna 2019 huipputason alustaksi, jolla parannetaan tietoverkkorikollisuutta koskevaa tietämystä ja kybervalmiuksia Euroopassa.

(70) Esimerkiksi lainvalvonta- ja oikeusviranomaisille tarkoitetut W4C Academy - Women4Cyber ja Global Cybercrime Certification project .

(71) ”1. Kansallisten koordinointikeskusten tehtävänä on (...) g) toimia yhdessä kansallisten viranomaisten kanssa, kun on kyse mahdollisesta osallistumisesta kyberturvallisuuden koulutusohjelmien edistämiseen ja levittämiseen, sanotun kuitenkaan rajoittamatta jäsenvaltioiden toimivaltaa koulutuksen osalta ja ottaen huomioon ENISAn asiaankuuluvat tehtävät”, ECCC-asetuksen 7 artiklan 1 kohdan g alakohta. Ks. myös tähän liittyvä johdanto-osan 28 kappale.

(72) Euroopan parlamentin ja neuvoston asetus (EU) 2019/881, annettu 17 päivänä huhtikuuta 2019, Euroopan unionin kyberturvallisuusvirasto ENISAsta ja tieto- ja viestintätekniikan kyberturvallisuussertifioinnista sekä asetuksen (EU) N:o 526/2013 kumoamisesta (kyberturvallisuusasetus) .

(73) Esimerkiksi oppimistulosten kirjaukset ja todistukset, joita ihmiset saavat suppeiden koulutusten perusteella.

(74) Neuvoston suositus eurooppalaisesta lähestymistavasta pieniin osaamiskokonaisuuksiin elinikäisen oppimisen ja työllistyvyyden tukemiseksi .

(75) Neuvoston suositus, annettu 22. toukokuuta 2017, eurooppalaisesta tutkintojen viitekehyksestä elinikäisen oppimisen edistämiseksi ja eurooppalaisen tutkintojen viitekehyksen perustamisesta elinikäisen oppimisen edistämiseksi 23 päivänä huhtikuuta 2008 annetun Euroopan parlamentin ja neuvoston suosituksen kumoamisesta .

(76) Ehdotus Euroopan parlamentin ja neuvoston asetukseksi asetuksen (EU) N:o 910/2014 muuttamisesta eurooppalaisen digitaalisen identiteetin kehyksen vahvistamisen osalta .

(77) New European Partnerships launched to deliver on the EU’s ambitions for the Digital Decade | Shaping Europe’s digital future (europa.eu) , joka muodostettiin osaamissopimuksen mukaisesti tieto- ja viestintätekniikan (ICT) vajeen pienentämiseksi.

(78) EU countries commit to boost participation of women in digital | Shaping Europe’s digital future (europa.eu) .

(79) Euroopan parlamentin ja neuvoston asetus (EU) 2021/1057, annettu 24 päivänä kesäkuuta 2021, Euroopan sosiaalirahasto plussan (ESR+) perustamisesta ja asetuksen (EU) N:o 1296/2013 kumoamisesta , 4 artiklan 1 kohdan c alakohta.

(80) NIS 2 -direktiivin 7 artiklan 2 kohdan f alakohta.

(81) Report – Cyber Conscription: Experience and Best Practice from Selected Countries, Martin Hurt and Tiia Sõmer, International Centre for Defence and Security, helmikuu 2021 .

(82) Funding opportunities (europa.eu) . Osaamissopimuksen tukipalvelu tarjoaa keskitetyn tietopisteen taitoihin liittyville rahoitustiedoille, myös digitaaliselle ekosysteemille. Sopimuksen tukipalvelut antavat yleistietoa rahoitusvälineistä, joita ei ole erityisesti kohdistettu kyberturvallisuustaitoihin mutta joiden työ akatemian olisi otettava huomioon päällekkäisyyksien välttämiseksi.

(83) Euroopan osaamisohjelma – Työllisyys, sosiaaliasiat ja osallisuus – Euroopan komissio (europa.eu) .

(84) EU:n rahoitusvälineet täydennys- ja uudelleenkoulutusta varten – Työllisyys, sosiaaliasiat ja osallisuus – Euroopan komissio (europa.eu) .

(85) Digitaalisen koulutuksen toimintaohjelma 2021–2027.

(86) Euroopan parlamentin ja neuvoston asetus (EU) 2021/697, annettu 29 päivänä huhtikuuta 2021, Euroopan puolustusrahaston perustamisesta ja asetuksen (EU) 2018/1092 kumoamisesta .

(87) Jäsenvaltiot ovat sitoutuneet yhteisiin koulutuksiin ja harjoituksiin esimerkiksi perustamalla pysyvän rakenteellisen yhteistyön (PRY) kyberkoulutus- ja -harjoitushankkeita, joita ovat esimerkiksi EU Cyber Academia and Innovation Hub (EU CAIH) ja Federated Cyber Ranges .

(88) Asetuksen (EU) 2021/1058 3 artiklan 1 kohta ja asetuksen (EU) 2021/1057 4 artiklan 1 kohdan g alakohta.

(89) Esimerkiksi Viron elpymis- ja palautumissuunnitelmassa esitetään digitaalisiin taitoihin kohdistettavia investointeja (10 miljoonaa euroa). Niihin sisältyvät muun muassa tieto- ja viestintätekniikan asiantuntijoiden saatavilla olevien koulutusten sisällön tarkistaminen, tieto- ja viestintätekniikan asiantuntijoiden täydennys- ja uudelleenkoulutuksen rahoittaminen sekä tieto- ja viestintätekniikan asiantuntijoiden tutkintojen viitekehyksen uudistamista koskevan pilottiohjelman kehittäminen.

(90) Sidosryhmät (esimerkiksi koulutuksen tarjoajat ja yritykset, jotka haluavat suunnitella tai parantaa kyberturvallisuuden koulutustoimiaan) voivat lähestyä InvestEU-neuvontakeskusta , joka tarjoaa teknistä tukea ja apua, mukaan lukien valmiuksien kehittäminen hankkeiden kehittäjille ja yhteisöille, ja etsiä tietoja InvestEU-portaalista .

(91) Hyödyntäen ja täydentäen menetelmiä, jotka ENISA kehittää kyberturvallisuuden tilasta unionissa joka toinen vuosi laatimaansa kertomusta varten NIS 2 -direktiivin 18 artiklan 3 kohdan mukaisesti.

(92) Ks. Digital Economy and Society Index (DESI) 2022 Methodological Note, saatavilla verkkosivustolla The Digital Economy and Society Index (DESI) | Shaping Europe’s digital future (europa.eu) .

(93) Euroopan parlamentin ja neuvoston päätös (EU) 2022/2481, annettu 14 päivänä joulukuuta 2022, digitaalinen vuosikymmen 2030 -ohjelman perustamisesta .

(94) Ks. edellinen alaviite, johdanto-osan 25 kappale.

(95) NIS 2 -direktiivin 7 artiklan 4 kohta.