5.7.2021   

HR

Službeni list Europske unije

L 237/1


PREPORUKA KOMISIJE (EU) 2021/1086

оd 23. lipnja 2021.

o uspostavljanju Zajedničke jedinice za kibersigurnost

EUROPSKA KOMISIJA,

uzimajući u obzir Ugovor o funkcioniranju Europske unije, a posebno njegov članak 292.,

budući da:

(1)

Kibersigurnost je presudna za uspjeh digitalne transformacije gospodarstva i društva. EU se obvezao na dosad nezabilježena ulaganja kako bi se pridobilo povjerenje građana, poduzeća i javnih tijela u digitalne alate.

(2)

Pandemija bolesti COVID-19 povećala je važnost povezivosti i ovisnost Europe o stabilnoj mreži i informacijskim sustavima te je pokazala da je potrebno štititi cijeli opskrbni lanac. Pouzdani i sigurni mrežni i informacijski sustavi posebno su važni subjektima koja predvode borbu protiv pandemije, kao što su bolnice, medicinske agencije i proizvođači cjepiva. Koordiniranjem napora koji se u EU-u ulažu da bi se spriječilo, otkrilo, obeshrabrilo, odvratilo, ublažilo i odgovorilo na najteže kibernapade na takve subjekte mogli bi se spriječiti gubitak života i pokušaji da se naruši EU-ova sposobnost da na najbrži mogući način porazi pandemiju. Nadalje, jačanjem sposobnosti EU-a za borbu protiv kibernapada učinkovito se doprinosi unapređenju globalnog, otvorenog, stabilnog i sigurnog kiberprostora.

(3)

Zbog prekogranične prirode kibersigurnosnih prijetnji i kontinuiranog porasta složenijih, općih i ciljanih napada (1) relevantne institucije i akteri za kibersigurnost trebali bi povećati sposobnost odgovora na takve prijetnje i napade iskorištavanjem postojećih resursa i boljom koordinacijom napora. Svi relevantni akteri u EU-u moraju biti spremni zajednički reagirati i razmjenjivati informacije vodeći se načelom potrebe za dijeljenjem, a ne čuvanjem tajnosti.

(4)

Premda je u području kibersigurnosti ostvaren velik napredak zahvaljujući suradnji država članica, ponajviše u okviru Skupine za suradnju za sigurnost mrežnih i informacijskih sustava („Skupina za suradnju za NIS”) i mreže timova za odgovor na računalne sigurnosne incidente (CSIRT) uspostavljenih na temelju Direktive (EU) 2016/1148 Europskog parlamenta i Vijeća (2), još ne postoji jedinstvena platforma EU-a na kojoj bi se informacije prikupljene u različitim zajednicama za kibersigurnost mogle razmjenjivati učinkovito i sigurno te na kojoj bi relevantni akteri mogli koordinirati i mobilizirati operativne kapacitete. Zbog toga postoji rizik da će se kiberprijetnje i kiberincidenti suzbijati u odvojenim sustavima, odnosno s ograničenom učinkovitošću i većom ranjivošću. Nadalje, nedostaje kanal na razini EU-a za tehničku i operativnu suradnju s privatnim sektorom, i kad je riječ o razmjeni informacija i kad je riječ o potpori za odgovor na incidente.

(5)

Postojeći okviri, strukture te resursi i stručno znanje dostupni u državama članicama i relevantnim institucijama, tijelima i agencijama EU-a čvrst su temelj za zajednički odgovor na kibersigurnosne prijetnje, incidente i krize (3). Ta postojeća arhitektura obuhvaća, na operativnoj strani, Plan za koordinirani odgovor na kiberincidente i kiberkrize velikih razmjera („Plan”) (4), mrežu CSIRT-ova i Europsku mrežu organizacija za vezu za kiberkrize („EU CyCLONe”) (5), Europski centar za kiberkriminalitet („EC3”) i Zajedničku radnu skupinu za kiberkriminalitet („J-CAT”) u okviru Agencije Europske unije za suradnju tijela za izvršavanje zakonodavstva („Europol”) i Protokol EU-a za odgovor tijela kaznenog progona na krizne situacije („EU LE ERP”). Skupina za suradnju za NIS, Obavještajni i situacijski centar EU-a („EU INTCEN”) te alati za kiberdiplomaciju (6) i projekti povezani s kiberobranom u okviru Stalne strukturirane suradnje (PESCO) (7) također doprinose političkoj i operativnoj suradnji u različitim zajednicama u području kibersigurnosti. Europska agencija za kibersigurnost („ENISA”) zadužena je, na temelju ojačanog mandata, za potporu operativnoj suradnji (8) za kibersigurnost mrežnih i informacijskih sustava, korisnika takvih sustava i drugih osoba pogođenih kiberprijetnjama i kiberincidentima. Putem mehanizama za integrirani politički odgovor na krizu (IPCR) EU može koordinirati svoj politički odgovor na velike krize, među ostalim u slučaju kibernapada velikih razmjera.

(6)

Još, međutim, ne postoji mehanizam za iskorištavanje postojećih resursa i pružanje uzajamne pomoći među zajednicama nadležnima za sigurnost mrežnih i informacijskih sustava, suzbijanje kiberkriminaliteta, kiberdiplomaciju i, prema potrebi, kiberobranu u slučaju krize. Ne postoji ni sveobuhvatan mehanizam na razini EU-a za tehničku i operativnu suradnju svih zajednica u pogledu informiranosti o stanju, pripravnosti i odgovora. Uz to, sinergije sa zajednicama tijela kaznenog progona i obavještajnim zajednicama trebalo bi postići preko Europola odnosno INTCEN-a.

(7)

Komisija, Visoki predstavnik Unije za vanjske poslove i sigurnosnu politiku (Visoki predstavnik), države članice i relevantne institucije, tijela i agencije EU-a prepoznaju važnost analize prednosti, nedostataka, praznina i preklapanja postojeće arhitekture kibersigurnosti EU-a, izgrađene posljednjih godina. Kao odgovor na tu analizu i kao važan element strategije za sigurnosnu uniju (9), digitalne strategije (10) i strategije za kibersigurnost (11), Komisija je, savjetujući se s državama članicama i uz doprinos Visokog predstavnika, razradila koncept Zajedničke jedinice za kibersigurnost.

(8)

U kriznim bi se situacijama države članice trebale moći osloniti na solidarnost EU-a u obliku koordinirane pomoći, među ostalim iz svih četiriju zajednica za kibersigurnost, tj. civilne, zajednice tijela kaznenog progona (12), diplomatske i, prema potrebi, obrambene. Stupanj intervencije sudionika iz jedne ili više zajednica može ovisiti o prirodi incidenta ili krize velikih razmjera a stoga i o vrsti protumjera koje će biti potrebne za odgovor na incident ili krizu. Dobro osposobljeni stručnjaci i tehnička oprema bitni su resursi koji mogu pridonijeti da se izbjegne velika šteta i mogu omogućiti potpun oporavak kad se dogode kiberprijetnje, kiberincidenti ili kiberkrize. Zato će jasno utvrđeni tehnički i operativni kapaciteti, ponajprije stručnjaci i oprema, koje države članice mogu angažirati u slučaju potrebe biti okosnica Zajedničke jedinice za kibersigurnost. Sudionici te platforme bit će u jedinstvenom položaju da razvijaju i koordiniraju takve kapacitete putem timova EU-a za brzu reakciju u području kibersigurnosti, a pritom će se postići odgovarajuće sinergije s postojećim projektima kibersigurnosti u okviru PESCO-a.

(9)

Zajednička jedinica za kibersigurnost istodobno je virtualna i fizička platformu te ne iziskuje osnivanje dodatnog samostalnog tijela. Njezin ustroj ne bi trebao utjecati na nadležnosti i ovlasti nacionalnih tijela za kibersigurnost i relevantnih subjekata Unije. Zajednička jedinica za kibersigurnost trebala bi imati uporište u memorandumima o razumijevanju među sudionicima. Kao platforma za sigurnu i brzu operativnu i tehničku suradnju među subjektima EU-a i tijelima država članica trebala bi se oslanjati na postojeće strukture, resurse i kapacitete te im dodati vrijednost. Također bi trebala okupiti sve zajednice za kibersigurnost, tj. civilnu, zajednicu tijela kaznenog progona, diplomatsku i obrambenu. Sudionici platforme trebali bi imati operativnu ili potpornu ulogu. Među operativnim sudionicima trebali bi biti ENISA, Europol, tim za hitne računalne intervencije za institucije, tijela i agencije EU-a („CERT-EU”), Komisija, Europska službu za vanjsko djelovanje („ESVD”) (uključujući INTCEN), mreža CSIRT-ova i EU-CyCLONe. Potporni sudionici trebali bi obuhvaćati Europsku obrambenu agenciju („EDA”), predsjednika Skupine za suradnju za NIS, predsjednika Horizontalne radne skupine Vijeća za kiberpitanja i jednog predstavnika relevantnih projekata u okviru PESCO-a (13). Budući da države članice imaju operativne sposobnosti i kompetencije za odgovor na kiberprijetnje, kiberincidente i kiberkrize velikih razmjera, sudionici platforme trebali bi se za postizanje svojih ciljeva ponajprije oslanjati na vlastite kapacitete, uz pomoć relevantnih subjekata Unije.

(10)

Zajednička jedinica za kibersigurnost trebala bi dati nov poticaj procesu koji je započet Planom 2017. Trebala bi dodatno operacionalizirati strukturu Plana i biti odlučan korak prema europskom okviru za upravljanje kiberkrizama u kojem se prijetnje i rizici utvrđuju, smanjuju i suzbijaju koordinirano i na vrijeme. Zatim bi trebala pomagati EU-u da odgovori na trenutačne i predstojeće prijetnje.

(11)

Sudjelovanje u Zajedničkoj jedinici za kibersigurnost trebalo bi operativnim i potpornim sudionicima omogućiti suradnju sa širim krugom dionika unutar okvira EU-a za odgovor na kiberkrize. Sudionici bi u obavljanju funkcija u granicama svojih ovlasti trebali imati koristi od veće pripravnosti i šire informiranosti o stanju u svim aspektima povezanima s kiberprijetnjama i kiberincidentima te od dodatnog stručnog znanja o kibersigurnosti. Primjerice, sudionici bi trebali redovito sudjelovati u vježbama u koje je uključeno više zajednica, dobiti jasno definiranu ulogu u planu EU-a za odgovor na krize, povećati vidljivost svojih aktivnosti zajedničkom javnom komunikacijom i sklopiti sporazume o operativnoj suradnji s privatnim sektorom. Doprinos Zajedničkoj jedinici za kibersigurnost trebao bi pak omogućiti sudionicima da ojačaju postojeće mreže, kao što su mreža CSIRT-ova i EU CyCLONe, dajući im alate za sigurnu razmjenu informacija i bolje sposobnosti otkrivanja (tj. sigurnosne operativne centre, „SOC”) i omogućujući im da iskoriste raspoložive operativne kapacitete EU-a.

(12)

Sudionici Zajedničke jedinice za kibersigurnost trebali bi se usredotočiti na tehničku i operativnu suradnju, uključujući zajedničke operacije. Sudionici bi trebali doprinositi takvoj suradnji u mjeri u kojoj im to dopuštaju njihove ovlasti. Suradnja bi se trebala temeljiti na aktualnim aktivnostima i trebala bi im doprinositi. Ovisno o vrsti suradnje, mogu sudjelovati i dodatni sudionici.

(13)

Platforma bi trebala okupiti stručnjake za tehničko i operativno upravljanje krizama iz država članica i subjekata EU-a s ciljem da se odgovori na kiberprijetnje, kiberincidente i kiberkrize koordiniraju iskorištavanjem postojećih kapaciteta i stručnog znanja. Stručnjaci koji sudjeluju u Zajedničkoj jedinici za kibersigurnost moći će korištenjem fizičkog i virtualnog vida platforme pratiti i štititi mnogo veći prostor za napade. Radi toga bi sudionici trebali koordinirati napore u slučaju prekograničnih incidenata i kriza, kao i pružanje pomoći zemljama pogođenima incidentima putem platforme.

(14)

Da bi se uspostavila Zajednička jedinica za kibersigurnost, potrebno je postupno u korištenje uvoditi i konsolidirati postojeće okvire i strukture navedene u ovoj Preporuci, uključujući mehanizme suradnje uspostavljene u okviru forumâ pod vodstvom država članica (npr. mreža CSIRT-ova, EU CyCLONe, Horizontalna radna skupina Vijeća za kiberpitanja, J-CAT i relevantni projekti PESCO-a) te, na strani institucija, tijela i agencija EU-a, strukturiranu suradnju ENISA-e i CERT-EU-a te međuinstitucijsku skupinu za razmjenu informacija o kibersigurnosti. Trebalo bi primjereno uključiti okvire za hibridne prijetnje, civilnu zaštitu (14) i pojedine sektore (15). Slično tome, trebalo bi uspostaviti strukturiranu vezu s IPCR-om (16). To će omogućiti brzo i učinkovito prenošenje informacija u slučaju krize donositeljima odluka na političkoj razini okupljenima u Vijeću.

(15)

Uspostavljanje Zajedničke jedinice za kibersigurnost trebalo bi stoga biti postupno i transparentno te dovršeno u iduće dvije godine. Zbog toga bi ciljeve utvrđene u ovoj Preporuci trebalo ostvariti postupkom od četiri koraka, kako je opisano u Prilogu ovoj Preporuci. U prva bi dva koraka trebalo pokrenuti pripremni postupak koji bi organizirala i podržala ENISA i u koji bi bili uključeni operativni i potporni sudionici na razini EU-a i država članica, a odvijao bi se u okviru radne skupine koju će osnovati Komisija. U pripremnom radu trebalo bi se voditi načelima uzajamnog angažmana, uključivosti i postizanja konsenzusa. Trebalo bi poticati angažman svih sudionika kako bi se omogućilo izražavanje različitih pogleda i mišljenja te pronalaženje rješenja s najširom mogućom potporom. Rokovi za različite korake navedeni u ovoj Preporuci mogu se prilagoditi ovisno o potrebama i u opravdanim uvjetima.

(16)

Kako je navedeno u prvom koraku, pripremni postupak trebao bi početi utvrđivanjem relevantnih raspoloživih operativnih kapaciteta EU-a i pokretanjem procjene uloga i odgovornosti sudionika unutar platforme. Drugi bi korak trebao uključivati izradu plana EU-a za odgovor na incidente i krize, u skladu s Planom (17) i Protokolom EU-a za odgovor tijela kaznenog progona na hitne situacije, pokretanje aktivnosti za pripravnost i informiranost o stanju, u skladu s Aktom o kibersigurnosti i Uredbom o Europolu (18), te završetak procjene uloga i odgovornosti sudionika unutar platforme. Radna skupina trebala bi izložiti rezultate te procjene Komisiji i Visokom predstavniku, koji će ih zatim proslijediti Vijeću. Komisija i Visoki predstavnik trebali bi u suradnji, u skladu sa svojim nadležnostima, sastaviti zajedničko izvješće na temelju te procjene i pozvati Vijeće da to izvješće potvrdi u zaključcima Vijeća.

(17)

Nakon te potvrde Zajednička jedinica za kibersigurnost će profunkcionirati kako bi se dovršila preostala dva koraka postupka. U okviru trećeg koraka sudionici bi trebali moći angažirati timove EU-a za brzu reakciju unutar Zajedničke jedinice za kibersigurnost u skladu s postupcima utvrđenima u planu EU-a za odgovor na incidente i krize, pri čemu bi koristili fizički i virtualni vid platforme te doprinosili raznim aspektima odgovora na incidente (od javne komunikacije do ex post oporavka). Naposljetku, u četvrtom koraku dionici iz privatnog sektora, uključujući korisnike i pružatelje rješenja i usluga u području kibersigurnosti, bit će pozvani da doprinesu platformi, što će sudionicima omogućiti da unaprijede razmjenu informacija i poboljšaju koordinirani odgovor EU-a na kiberprijetnje i kiberincidente.

(18)

Do kraja procesa sudionici bi trebali sastaviti izvješće o napretku provedbe ta četiri koraka iz Preporuke s opisom ostvarenih rezultata i problema koji su se pojavili te bi ga trebali predstaviti Komisiji i Visokom predstavniku. Na temelju tog izvješća Komisija i Visoki predstavnik trebali bi procijeniti te rezultate i donijeti zaključke o budućem radu Zajedničke jedinice za kibersigurnost.

(19)

Komisija, ENISA, Europol i CERT-EU trebali bi pružati administrativnu, financijsku i tehničku potporu Zajedničkoj jedinici za kibersigurnost kako je utvrđeno u odjeljku IV. ove Preporuke, ovisno o proračunu i raspoloživosti ljudskih resursa. Povećanje operativnih kapaciteta relevantnih institucija, tijela i agencija EU-a u području kibersigurnosti bit će ključno za uspješnu pripremu i održivost Zajedničke jedinice za kibersigurnost. Komisija namjerava da buduća uredba o zajedničkim obvezujućim pravilima o kibersigurnosti za institucije, tijela i agencije EU-a (listopad 2021.) bude pravna osnova tog doprinosa u slučaju CERT-EU-a.

(20)

S obzirom na to da joj je Uredbom (EU) 2019/881 („Akt o kibersigurnosti”) proširen mandat, ENISA je u jedinstvenom položaju da organizira i podupire pripremu Zajedničke jedinice za kibersigurnost te da doprinese njezinoj operacionalizaciji. U skladu s odredbama Akta o kibersigurnosti ENISA trenutačno osniva ured u Bruxellesu kao potporu strukturiranoj suradnji s CERT-EU-om. Ta strukturirana suradnja, uključujući susjedne urede, koristan je okvir za olakšavanje stvaranja Zajedničke jedinice za kibersigurnost, uključujući organiziranje njezina fizičkog prostora koji bi trebao biti na raspolaganju sudionicima u slučaju potrebe, kao i osoblju iz drugih relevantnih institucija, tijela i agencija EU-a. Fizičku platformu trebalo bi kombinirati s virtualnom platformom koja se sastoji od alata za suradnju i sigurnu razmjenu informacija. Tim će se alatima iskoristiti obilje informacija prikupljenih u okviru europskog kiberštita (19), što uključuje centre za sigurnosne operacije („SOC”) i centre za razmjenu i analizu informacija („ISAC”).

(21)

Protokol EU-a za odgovor tijelâ kaznenog progona na krizne situacije zbog velikih prekograničnih napada, koji je Vijeće donijelo 2018., daje središnju ulogu Europolovu Europskom centru za kiberkriminalitet („EC3”) (20) kao dijelu okvira Plana. Taj Protokol omogućuje tijelima kaznenog progona u EU-u da u svakom trenutku brzom reakcijom i procjenom odgovore na prekogranične napade velikih razmjera za koje se sumnja da su zlonamjerne prirode te im omogućuje sigurnu i pravodobnu razmjenu ključnih informacija za uspješnu koordinaciju odgovora na prekogranične incidente. U Protokolu je dodatno razrađena suradnja s drugim institucijama EU-a i protokolima za krizne situacije u EU-u, kao i suradnja u kriznim situacijama s privatnim sektorom. Zajednica tijela kaznenog progona, prema potrebi uz potporu Europola, trebala bi doprinijeti Zajedničkoj jedinici za kibersigurnost poduzimanjem potrebnih koraka u cijelom istražnom ciklusu, u skladu sa zahtjevima okvira kaznenog pravosuđa i primjenjivim postupcima elektroničke obrade dokaza. Europol pruža operativnu potporu i olakšava operativnu suradnju u borbi protiv kiberprijetnji od osnivanja centra EC3 u 2013. Europol bi trebao podupirati platformu u skladu sa svojim mandatom i pristupom u policijskom radu koji se temelji na obavještajnim podacima te pritom koristiti sve vrste internog stručnog znanja, proizvoda, alata i usluge relevantne za odgovor na incident ili krizu.

(22)

Direktivom 2013/40/EU o napadima na informacijske sustave od država članica zahtijeva se i da se pobrinu da imaju operativnu nacionalnu kontaktnu točku koja je na raspolaganju u svakom trenutku za potrebe razmjene informacija o kaznenim djelima utvrđenima u toj direktivi. Mreža operativnih nacionalnih kontaktnih točaka također bi trebala doprinositi Zajedničkoj jedinici za kibersigurnost osiguravanjem, prema potrebi, uključenosti tijela kaznenog progona država članica.

(23)

Zajednica EU-a za kiberdiplomaciju doprinosi promicanju i zaštiti globalnog, otvorenog, stabilnog i sigurnog kiberprostora, kao i sprečavanju i odvraćanju od zlonamjernih kiberaktivnosti u tom pogledu te odgovaranju na njih. EU je 2017. uspostavio okvir za zajednički diplomatski odgovor EU-a na zlonamjerne kiberaktivnosti („alati za kiberdiplomaciju”). Taj je okvir dio šire politike kiberdiplomacije EU-a. Doprinosi sprečavanju sukoba i većoj stabilnosti u međunarodnim odnosima. EU-u i državama članicama, prema potrebi u suradnji s međunarodnim partnerima, omogućuje primjenu svih mjera zajedničke vanjske i sigurnosne politike („ZVSP”), u skladu s odgovarajućim postupcima njihove provedbe, radi poticanja suradnje, ublažavanja prijetnji i utjecaja na sadašnje i potencijalno zlonamjerno ponašanje u kiberprostoru. Zajednica za kiberdiplomaciju trebala bi surađivati u okviru Zajedničke jedinice za kibersigurnost korištenjem i pružanjem potpore u primjeni cijelog skupa diplomatskih mjera, osobito kad je riječ o komunikaciji s javnošću, podupiranju zajedničke informiranosti o stanju i suradnji s trećim zemljama u slučaju krize.

(24)

U skladu s okvirom Plana Visoki predstavnik, među ostalim putem INTCEN-a, trebao bi doprinositi Zajedničkoj jedinici za kibersigurnost osiguravanjem stalne zajedničke informiranosti o stanju postojećih i novih prijetnji na temelju obavještajnih podataka, uključujući potrebnu stratešku informiranost o stanju bilo kojeg događaja.

(25)

U okviru zajednice za kiberobranu EU i države članice nastoje ojačati sposobnosti kiberobrane i unaprijediti daljnje sinergije, koordinaciju i suradnju među relevantnim institucijama, tijelima i agencijama EU-a, kao i s državama članicama i među njima, među ostalim u pogledu misija i operacija zajedničke sigurnosne i obrambene politike („ZSOP”). Funkcije te zajednice temelje se na međuvladinom upravljanju na razini EU-a, nacionalnim vojnim zapovjednim strukturama te vojnim ili dvonamjenskim kapacitetima i resursima. Budući da je priroda zajednice za kiberobranu drukčija, trebalo bi uspostaviti posebne veze za razmjenu informacija sa Zajedničkom jedinicom za kibersigurnost (21).

(26)

Stalna strukturirana suradnja pravni je okvir uveden Ugovorom iz Lisabona (22) i uspostavljen 2017. u okviru Unije. Strukturirana suradnja omogućila je pokretanje nekoliko projekata PESCO-a u području kibersigurnosti, doprinijevši tako ispunjenju 11. obveze (23) da se „pojačaju aktivnosti u suradnji u području kiberobrane, primjerice razmjena informacija, osposobljavanje i operativna potpora”. ESVD, uključujući Vojni stožer EU-a i EDA-u, čini tajništvo PESCO-a, koje je jedinstvena kontaktna točka unutar okvira Unije za sva pitanja povezana s PESCO-om, uključujući potporne i koordinacijske funkcije za projekte u okviru PESCO-a (npr. procjena novih prijedloga projekata, priprema izvješća o napretku projekata itd.). Predstavnici relevantnih projekata u okviru PESCO-a trebali bi podupirati Zajedničku jedinicu za kibersigurnost, osobito u pogledu informiranosti o stanju i pripravnosti.

(27)

Sudionici bi preko Zajedničke jedinice za kibersigurnost trebali na odgovarajući način uključiti dionike iz privatnog sektora, među njima i pružatelje i korisnike rješenja i usluga za kibersigurnost, da budu potpora europskom okviru za upravljanje kiberkrizama, pri čemu treba poštovati pravni okvir za razmjenu podataka i sigurnost informacija. Kako bi se kapacitet Jedinice za odgovor na napade i krize velikih razmjera mogao brzo povećati, pružatelji usluga i rješenja za kibersigurnost inicijativi bi trebali doprinositi tako da dijele saznanja o prijetnjama i stavljaju na raspolaganje interventne stručnjake za kiberincidente. Korisnici proizvoda i usluga kibersigurnosti, ponajprije oni obuhvaćeni područjem primjene Direktive NIS, trebali bi moći tražiti pomoć i savjete putem strukturiranih kanala povezanih s ISAC-ovima na razini EU-a, a koji trenutačno ne postoje (24). Platforma bi mogla doprinijeti i jačanju suradnje s međunarodnim partnerima.

(28)

Razvoj i održavanje informiranosti o stanju zahtijeva vrhunske sposobnosti otkrivanja i prevencije upada. Zajednička jedinica za kibersigurnost trebala bi se oslanjati na najsuvremeniju mrežu koja je sposobna analizirati zlonamjerne prijetnje i incidente koji mogu utjecati na ključne komunikacijske i informacijske sustave u Uniji. To znači da bi se, uz informacije iz ostalih izvora, saznanja o prijetnjama dobivena iz komunikacijskih mreža koje prate nacionalni, sektorski i prekogranični SOC-ovi trebala slati Zajedničkoj jedinici za kibersigurnost kako bi sudionici mogli bolje procijeniti prijetnje u EU-u.

(29)

Radi potpore razmjeni operativnih informacija, možda i povjerljivog materijala, platforma bi se trebala oslanjati na odgovarajuće sigurne komunikacijske kanale. Takvi bi se kanali mogli temeljiti i na postojećoj infrastrukturi, kao što je mrežna aplikacija za sigurnu razmjenu informacija („SIENA”) koju koriste Europol i zajednica tijela kaznenog progona. Kako je najavljeno u strategiji za kibersigurnost, alati kojima se koriste institucije, tijela i agencije EU-a trebali bi poštovati pravila o sigurnosti informacija koja će Komisija uskoro predložiti.

(30)

Komisija će, prije svega u okviru programa Digitalna Europa, podupirati potrebna ulaganja za uspostavu fizičke i virtualne platforme te izgradnju i održavanje sigurnih komunikacijskih kanala i kapaciteta za osposobljavanje, kao i razvoj i angažiranje kapaciteta za otkrivanje. Uz to, Europski fond za obranu mogao bi pomoći u financiranju ključnih tehnologija i kapaciteta kiberobrane, čime bi se ojačala nacionalna pripravnost za kiberobranu.

DONIJELA JE OVU PREPORUKU:

I.   SVRHA PREPORUKE

(1)

Svrha je ove Preporuke utvrditi mjere potrebne za koordiniranje napora EU-a za sprečavanje, otkrivanje, obeshrabrivanje, odvraćanje od, ublažavanje i odgovaranje na kiberincidente i kiberkrize velikih razmjera u okviru Zajedničke jedinice za kibersigurnost. Radi toga se u ovoj Preporuci definiraju i procesi, etape i rokovi za uspostavljanje i razvoj te platforme kojih bi se države članice i relevantne institucije, tijela i agencije EU-a trebale pridržavati.

(2)

Države članice i relevantne institucije, tijela i agencije EU-a trebale bi se pobrinuti da u slučaju kibersigurnosnih incidenata i kriza velikih razmjera koordiniraju svoje napore u okviru Zajedničke jedinice za kibersigurnost, koja omogućuje pružanje stručne uzajamne pomoći (25) iz nadležnih tijela država članica i relevantnih institucija, tijela i agencija EU-a. Zajednička jedinica za kibersigurnost sudionicima bi trebala omogućavati i uspostavljanje suradnje s privatnim sektorom.

II.   DEFINICIJE

(3)

Za potrebe ove Preporuke:

(a)

„plan EU-a za odgovor na kiberincidente i kiberkrize” znači skup uloga, modaliteta i postupaka na temelju kojih će se dovršiti okvir EU-a za odgovor na kiberkrize opisan u točki 1. Preporuke Komisije od 13. rujna 2017. o koordiniranom odgovoru na kiberincidente i kiberkrize velikih razmjera („Plan”);

(b)

„zajednice za kibersigurnost” znači suradničke civilne, diplomatske i obrambene skupine te skupine tijela kaznenog progona u kojima su zastupljene države članice i relevantne institucije, tijela i agencije EU-a i koje razmjenjuju informacije radi ostvarivanja zajedničkih ciljeva, interesa i misija povezanih s kibersigurnošću;

(c)

„sudionici iz privatnog sektora” znači predstavnici subjekata iz privatnog sektora koji pružaju ili upotrebljavaju rješenja (26) i usluge (27) u području kibersigurnosti;

(d)

„incident velikih razmjera” znači incident kako je definiran u članku 4. stavku 7. Direktive (EU) 2016/1148 sa znatnim posljedicama u najmanje dvije države članice;

(e)

„integrirano izvješće o stanju kibersigurnosti u EU-u” znači izvješće u kojem su objedinjene informacije od sudionika Zajedničke jedinice za kibersigurnost i koje se temelji na tehničkom izvješću o stanju kibersigurnosti u EU-u definiranom u članku 7. stavku 6. Uredbe (EU) 2019/881;

(f)

„tim EU-a za brzu reakciju u području kibersigurnosti” znači tim sastavljen od priznatih stručnjaka za kibersigurnost, ponajprije iz CSIRT-ova država članica, uz potporu ENISA-e, CERT-EU-a i Europola, koji je spreman na daljinu pomoći sudionicima pogođenima incidentima i krizama velikih razmjera;

(g)

„memorandum o razumijevanju” znači sporazum među sudionicima kojim se utvrđuju potrebni načini suradnje, uključujući definiciju sredstava i postupaka potrebnih za uspostavu i mobilizaciju timova EU-a za brzu reakciju u području kibersigurnosti te za omogućavanje uzajamne pomoći.

III.   CILJ ZAJEDNIČKE JEDINICE ZA KIBERSIGURNOST

(4)

Države članice i relevantne institucije, tijela i agencije EU-a trebale bi osigurati koordiniran odgovor i oporavak na razini EU-a u slučaju kiberincidenata i kiberkriza velikih razmjera. Konkretno, takav bi odgovor trebali osigurati operativni sudionici, osobito ENISA; Europol, CERT-EU, Komisija, ESVD (uključujući INTCEN), mreža CSIRT-ova, EU-CyCLONe, i potporni sudionici, posebice predsjednik Skupine za suradnju za NIS, predsjednik Horizontalne radne skupine Vijeća za kiberpitanja, Europska obrambena agencija i jedan predstavnik relevantnih projekata u okviru PESCO-a (28). Operativni sudionici trebali bi moći brzo i djelotvorno mobilizirati operativne resurse za uzajamnu pomoć u okviru Zajedničke jedinice za kibersigurnost. Radi toga bi mehanizme uzajamne pomoći unutar Zajedničke jedinice za kibersigurnost trebalo koordinirati na zahtjev jedne ili više država članica.

(5)

Da bi koordinirani odgovor bio uspješan, operativni i potporni sudionici iz točke 4. trebali bi moći razmjenjivati primjere dobre prakse, osloniti se na kontinuiranu zajedničku informiranost o stanju te postići potrebnu pripravnost u mjeri u kojoj im to omogućuju njihovi mandati. Ti bi sudionici trebali uzimati u obzir postojeće procese i stručnost različitih zajednica za kibersigurnost.

IV.   DEFINIRANJE RADA ZAJEDNIČKE JEDINICE ZA KIBERSIGURNOST

(6)

Države članice i relevantne institucije, tijela i agencije EU-a trebale bi, na temelju doprinosa ENISA-e u skladu s člankom 7. stavkom 7. Uredbe (EU) 2019/881, osigurati koordinirani odgovor i oporavak u slučaju incidenata i kriza velikih razmjera na sljedeće načine:

(a)

osnivanjem, osposobljavanjem, iskušavanjem i koordiniranim angažiranjem timova EU-a za brzu reakciju u području kibersigurnosti, pri čemu maksimalno koriste doprinose na temelju odredbi članka 7. stavka 4. Uredbe (EU) 2019/881 i članaka 3. i 4. Uredbe (EU) 2016/794;

(b)

koordiniranim uvođenjem virtualne i fizičke platforme, uz pomoć strukturirane suradnje ENISA-e i CERT-EU-a utvrđene u članku 7. stavku 4. Uredbe (EU) 2019/881, koja bi trebala služiti kao potporna infrastruktura za tehničku i operativnu suradnju sudionika te okupljati relevantno osoblje i druge resurse sudionika;

(c)

izradom i održavanjem popisa raspoloživih operativnih i tehničkih kapaciteta EU-a u svim zajednicama za kibersigurnost (29) koji su spremni za angažiranje u slučaju kiberincidenata ili kiberkriza velikih razmjera;

(d)

izvješćivanjem Komisije i Visokog predstavnika o iskustvu stečenom u aktivnostima operativne suradnje u području kibersigurnosti unutar zajednica za kibersigurnost i među njima.

(7)

Države članice i relevantne institucije, tijela i agencije EU-a trebale bi se pobrinuti da Zajednička jedinica za kibersigurnost omogućuje kontinuiranu zajedničku informiranost o stanju i pripravnost za kiberkrize u svim zajednicama za kibersigurnost, kao i onim zajednicama koje ostvaruju ciljeve iz članka 7. Uredbe (EU) 2019/881 i članka 3. Uredbe (EU) 2016/794. Radi toga bi države članice i relevantne institucije, tijela i agencije EU-a trebale omogućiti, u skladu s uredbama (EU) 2019/881 i (EU) 2016/794, sljedeće potporne aktivnosti:

(a)

izradu integriranog izvješća o stanju kibersigurnosti u EU-u prikupljanjem i analizom svih relevantnih informacija i saznanja o prijetnjama;

(b)

korištenje odgovarajućih i sigurnih alata, u skladu s člankom 7. stavkom 1. Uredbe (EU) 2019/881, za brzu razmjenu informacija među sudionicima i s drugim subjektima;

(c)

razmjenu informacija i stručnog znanja potrebnih za pripremu Unije za upravljanje kiberincidentima i kiberkrizama velikih razmjera uz potporu ENISA-e, kako je utvrđeno u članku 7. stavku 2. Uredbe (EU) 2019/881;

(d)

donošenje i testiranje nacionalnih planova za odgovor na kiberincidente i kiberkrize (30) u skladu s člankom 7. stavcima 2., 5. i 7. Uredbe (EU) 2019/881;

(e)

izradu, upravljanje i testiranje, među ostalim vježbama i osposobljavanjem u kojem sudjeluje više zajednica, plana EU-a za odgovor na kiberincidente i kiberkrize, u skladu s preporukom iz Plana i na temelju članka 7. stavka 3. Komisijina prijedloga revidirane Direktive (EU) 2016/1148 o mjerama za visoku zajedničku razinu kibersigurnosti širom Unije (31);

(f)

pomoć sudionicima u sklapanju sporazuma o razmjeni informacija i sporazuma o operativnoj suradnji sa subjektima iz privatnog sektora koji pružaju, među ostalim, usluge informiranja o prijetnjama i odgovaranja na incidente, uz potporu ENISA-e kako je utvrđeno u članku 7. stavku 1. Uredbe (EU) 2019/881;

(g)

uspostava strukturiranih sinergija s nacionalnim, sektorskim i prekograničnim kapacitetima za praćenje i otkrivanje, posebno s operativnim centrima za sigurnost;

(h)

pomoć sudionicima u upravljanju incidentima i krizama velikih razmjera, u skladu s potpornom ulogom ENISA-e utvrđenom u članku 7. Uredbe (EU) 2019/881. To uključuje davanje doprinosa zajedničkoj informiranosti o stanju, pomoć u diplomatskom djelovanju i utvrđivanju političke odgovornosti za incidente i počinitelja incidenata u kontekstu kaznenih istraga, među ostalim preko Europola (32), usklađivanje komunikacije s javnošću i olakšavanje oporavka od incidenata.

(8)

Radi provedbe točaka 6. i 7. države članice i relevantne institucije, tijela i agencije EU-a trebale bi se pobrinuti za:

(a)

definiranje organizacijskih aspekata Zajedničke jedinice za kibersigurnost te uloga i odgovornosti operativnih i potpornih sudionika u okviru platforme, što će omogućiti uspješno funkcioniranje platforme u skladu s aspektima i načelima navedenima u Prilogu ovoj Preporuci;

(b)

sklapanje memoranduma o razumijevanju kojima se utvrđuju potrebni načini suradnje među sudionicima iz točke 4.

(9)

U skladu s člankom 7. Uredbe (EU) 2019/881 ENISA bi trebala osigurati koordinaciju i potporu državama članicama i relevantnim institucijama, tijelima i agencijama EU-a u okviru Zajedničke jedinice za kibersigurnost, među ostalim djelujući kao tajništvo, organiziranjem sastanaka i doprinosom provedbi mjera na razini država članica i EU-a. ENISA bi trebala uspostaviti sigurnu virtualnu platformu i osigurati fizički prostor za održavanje sastanka i lakšu provedbu potrebnih mjera.

V.   USPOSTAVLJANJE ZAJEDNIČKE JEDINICE ZA KIBERSIGURNOST

(10)

Države članice i relevantne institucije, tijela i agencije EU-a trebale bi se pobrinuti da Zajednička jedinica za kibersigurnost uđe u operativnu fazu od 30. lipnja 2022. Do tog trenutka operativni sudionici trebali bi staviti na raspolaganje operativne kapacitete i stručnjake koji mogu biti temelj timova EU-a za brzu reakciju u području kibersigurnosti. Planovi za fizičku i virtualnu platformu dotad bi trebali biti u poodmakloj fazi.

(11)

Države članice i relevantne institucije, tijela i agencije EU-a trebale bi doprinijeti funkcioniranju Zajedničke jedinice za kibersigurnost i pobrinuti se da njezina operacionalizacija bude dovršena do 30. lipnja 2023. To bi trebalo postići u četiri uzastopna koraka kojima će se dovršiti sljedeće aktivnosti:

(a)

prvi korak – procjena organizacijskih aspekata Zajedničke jedinice za kibersigurnost i utvrđivanje raspoloživih operativnih kapaciteta EU-a – do 31. prosinca 2021.;

(b)

drugi korak – priprema planova za odgovor na incidente i krize te uvođenje zajedničkih aktivnosti pripravnosti – do 30. lipnja 2022;

(c)

treći korak – operacionalizacija Zajedničke jedinice za kibersigurnost – do 31. prosinca 2022.;

(d)

četvrti korak – proširenje suradnje u okviru Zajedničke jedinice za kibersigurnost na privatne subjekte i izvješćivanje o ostvarenom napretku – do 30. lipnja 2023.;

Detaljnije mjere koje treba poduzeti u okviru četiri uzastopna koraka navedene su u Prilogu ovoj Preporuci.

(12)

U prva dva koraka ENISA bi trebala organizirati i podupirati pripremu Zajedničke jedinice za kibersigurnost. Službe Komisije trebale bi sazvati radnu skupinu koja okuplja operativne i potporne sudionike kako bi dovršile taj pripremni rad. Službe Komisije trebale bi imenovati predstavnika za supredsjednika radne skupine i kao supredsjednike još pozvati predstavnika kojeg imenuje Visoki predstavnik te predstavnika kojeg izaberu države članice, pri čemu prva dva navedena predstavnika točkama dnevnog reda doprinose u skladu sa svojim nadležnostima.

(13)

Do kraja drugog koraka radna skupina trebala bi završiti svoju procjenu organizacijskih aspekata Zajedničke jedinice za kibersigurnost te uloga i odgovornosti operativnih sudionika u okviru te platforme. Radna skupina trebala bi izložiti rezultate te procjene Komisiji i Visokom predstavniku. Komisija i Visoki predstavnik trebali bi zatim tu procjenu proslijediti Vijeću. Komisija i Visoki predstavnik trebali bi sastaviti zajedničko izvješće na temelju te procjene i pozvati Vijeće da to izvješće potvrdi u zaključcima Vijeća.

(14)

Zajednička jedinica za kibersigurnost trebala bi biti operativna od trećeg koraka.

(15)

ENISA i Komisija trebale bi osigurati da se postojeći resursi u okviru programa financiranja EU-a, ponajprije programa Digitalna Europa, upotrijebe, u skladu s primjenjivim pravilima, za uspostavu odgovarajućih programa rada, opremanje sudionika Zajedničke jedinice za kibersigurnost dodatnim kapacitetima za osposobljavanje, komunikacijskim kapacitetima i sigurnom infrastrukturom za dijeljenje informacija koja omogućuje razmjenu klasificiranih informacija među zajednicama.

VI.   PREISPITIVANJE

(16)

Države članice trebale bi surađivati s Komisijom i Visokim predstavnikom, u skladu s njihovim nadležnostima, kako bi do 30. lipnja 2025. ocijenile djelotvornost i učinkovitost Zajedničke jedinice za kibersigurnost s ciljem donošenja zaključaka o njezinoj budućnosti. Pri tom bi ocjenjivanju u obzir trebalo uzeti provedbu prethodno navedena četiri koraka.

Sastavljeno u Bruxellesu 23. lipnja 2021.

Za Komisiju

Thierry BRETON

Član Komisije


(1)  ENISA, Threat Landscape 2020 (Pregled prijetnji 2020.); Europol, Internet Organised Crime Threat Assessment (IOCTA) 2020 (Procjena prijetnje organiziranog kriminala na internetu (IOCTA) 2020.)

(2)  Direktiva (EU) 2016/1148 Europskog parlamenta i Vijeća od 6. srpnja 2016. o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije (SL L 194, 19.7.2016., str. 1.).

(3)  Europsku mrežu organizacija za vezu za kiberkrize (EU CyCLONe) osnovale su države članice kao odgovor na Preporuku o Planu. To je mreža nacionalnih stručnjaka za operativne poslove i upravljanje krizama za koju je Komisija predložila da se kodificira Direktivom o mjerama za visoku zajedničku razinu kibersigurnosti širom Unije i stavljanju izvan snage Direktive (EU) 2016/1148, COM(2020) 823 final, 2020/0359 (COD), predloženom u prosincu 2020.

(4)  Preporuka Komisije (EU) 2017/1584 оd 13. rujna 2017. o koordiniranom odgovoru na kiberincidente i kiberkrize velikih razmjera (SL L 239, 19.9.2017., str. 36.).

(5)  U ovoj se preporuci uzima u obzir izvješće o simulacijskoj vježbi na operativnoj razini za 2020. (Blue OLEx), a osobito sažetak predsjedatelja o strateškoj raspravi o politici o Zajedničkoj jedinici za kibersigurnost.

(6)  Zaključci Vijeća o okviru za zajednički diplomatski odgovor EU-a na zlonamjerne kiberaktivnosti („Alati za kiberdiplomaciju”) od 19. lipnja 2017. (9916/17).

(7)  U okviru PESCO-a to su projekt „Timovi za brz odgovor na kiberincidente i uzajamna pomoć u području kibersigurnosti”, koji koordinira Litva, te „Koordinacijski centar za kibernetičko i informacijsko područje”, koji koordinira Njemačka.

(8)  Člankom 7. Uredbe (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019. o ENISA-i (Agencija Europske unije za kibersigurnost) te o kibersigurnosnoj certifikaciji u području informacijske i komunikacijske tehnologije i stavljanju izvan snage Uredbe (EU) br. 526/2013 (Akt o kibersigurnosti) (SL L 151, 7.6.2019., str. 15.) od ENISA-e se zahtijeva da podupire operativnu suradnju među državama članicama, institucijama, tijelima, uredima i agencijama Unije te među dionicima. To obuhvaća potporu državama članicama u pogledu operativne suradnje unutar mreže CSIRT-ova, izradu redovitog detaljnog tehničkog izvješća o stanju kibersigurnosti u EU-u s obzirom na incidente i kiberprijetnje te doprinos zajedničkom odgovoru na razini Unije i država članica na prekogranične incidente ili krize velikih razmjera. Uz to, ENISA doprinosi aktivnostima osposobljavanja u suradnji s Europskom akademijom za sigurnost i obranu (EASO).

(9)  Komunikacija Komisije Europskom parlamentu, Europskom vijeću, Vijeću, Europskom gospodarskom i socijalnom odboru i Odboru regija: o strategiji EU-a za sigurnosnu uniju, COM(2020) 605 final.

(10)  Komunikacija Komisije Europskom parlamentu, Vijeću, Europskom gospodarskom i socijalnom odboru i Odboru regija: Izgradnja digitalne budućnosti Europe, COM(2020) 67 final.

(11)  Zajednička Komunikacija Europskom parlamentu i Vijeću: Strategija EU-a za kibersigurnost za digitalno desetljeće, JOIN(2020) 18 final.

(12)  Odnosi se i na pravosudnu suradnju.

(13)  Vidjeti bilješku 5. ESVD i EDA, u okviru svoje uloge tajništva PESCO-a, povezat će se s koordinatorima relevantnih projekata u okviru PESCO-a.

(14)  U tom bi kontekstu Zajednička jedinica za kibersigurnost trebala uspostaviti sinergije s Mehanizmom EU-a za civilnu zaštitu kako bi se poboljšala europska pripravnost i odgovor u slučaju višestrukih katastrofa i hitnih situacija koje uključuju element kibersigurnosti.

(15)  Primjerice, okvir za financijski sektor predviđen Uredbom (EU) 2021/xx Europskog parlamenta i Vijeća* [DORA].

(16)  Vidjeti uvodnu izjavu 5.

(17)  Vidjeti bilješku 3.

(18)  Uredba (EU) 2016/794 Europskog parlamenta i Vijeća od 11. svibnja 2016. o Agenciji Europske unije za suradnju tijela za izvršavanje zakonodavstva (Europol) te zamjeni i stavljanju izvan snage odluka Vijeća 2009/371/PUP, 2009/934/PUP, 2009/935/PUP, 2009/936/PUP i 2009/968/PUP (SL L 135, 24.5.2016., str. 53.).

(19)  JOIN(2020) 18 final, odjeljak 1.2.

(20)  Osnovan Uredbom (EU) 2016/794.

(21)  Osobito putem zastupljenosti u ESVD-u, kako bi se omogućilo odgovarajuće sudjelovanje zajednice za kiberobranu, koja se temelji na dobrovoljnim nacionalnim doprinosima.

(22)  Članak 42. stavak 6., članak 46. i Protokol br. 10. priložen UEU-u.

(23)  Svaka država članica koja sudjeluje u PESCO-u preuzima 20 pojedinačnih obveza razvrstanih u pet ključnih područja utvrđenih u članku 2. Protokola br. 10 o PESCO-u priloženog Ugovoru o Europskoj uniji.

(24)  Dobri primjeri postojećih ISAC-ova koji bi mogli biti uključeni u takvo dijeljenje su Europski energetski ISAC (EE-ISAC) i Europski financijski institut ISAC (FI-ISAC).

(25)  U skladu s pristupom i načelima navedenima u Direktivi (EU) 2016/1148 i članku 222. UFEU-a. Ne dovodeći u pitanje članak 42. stavak 7. Ugovora o Europskoj uniji.

(26)  Uključujući prodavače softvera.

(27)  Uključujući saznanja o prijetnjama.

(28)  „Koordinacijski centar za kibernetičko i informacijsko područje” (CIDCC) i „Timovi za brz odgovor na kiberincidente i uzajamna pomoć u području kibersigurnosti” (CRRT).

(29)  Uključujući, prema potrebi, zajednicu za kiberobranu.

(30)  Predloženi u okviru članka 7 stavka 3 Direktive o mjerama za visoku zajedničku razinu kibersigurnosti širom Unije i stavljanju izvan snage Direktive (EU) 2016/1148, COM(2020) 823 final, 2020/0359 (COD).

(31)  COM(2020) 823 final

(32)  U skladu s Uredbom (EU) 2016/794.


PRILOG

Koraci za uspostavljanje Zajedničke jedinice za kibersigurnost

U ovom se Prilogu dodatno opisuju osnovne i potporne aktivnosti za uspostavu i operacionalizaciju Zajedničke jedinice za kibersigurnost.

1.   Prvi korak – procjena organizacijskih aspekata Zajedničke jedinice za kibersigurnost i utvrđivanje raspoloživih operativnih kapaciteta EU-a

OSNOVNE AKTIVNOSTI

Operativni sudionici Zajedničke jedinice za kibersigurnost, okupljeni u radnoj skupini koju osnuje Komisija i uz potporu ENISA-e, trebali bi prikupljati informacije o postojećim operativnim kapacitetima, uključujući popis raspoloživih priznatih stručnjaka i njihova relevantnog stručnog znanja, dostupne alate za rješavanje incidenata, funkcije i sredstva, dostupne portfelje osposobljavanja i vježbi te postojeće proizvode analize informacija i saznanja. Na temelju tih ulaznih podataka operativni sudionici trebali bi pripremiti popis raspoloživih operativnih kapaciteta EU-a spremnih za angažiranje u slučaju kiberincidenata ili kiberkriza, osobito unutar timova EU-a za brzu reakciju u području kibersigurnosti.

Radna skupina trebala bi pokrenuti procjenu organizacijskih aspekata Zajedničke jedinice za kibersigurnost te uloga i odgovornosti operativnih sudionika u okviru te platforme.

Kako bi se dobio pregled sposobnosti i dogovorili postupci, osnovne i, koliko je to moguće, potporne aktivnosti prvog koraka trebalo bi dovršiti do 31. prosinca 2021. [6 mjeseci nakon donošenja].

2.   Drugi korak – priprema planova za odgovor na incidente i krize te uvođenje zajedničkih aktivnosti pripravnosti

OSNOVNE AKTIVNOSTI

Operativni sudionici u radnoj skupini, uz savjetovanje s potpornim sudionicima, trebali bi pripremiti plan EU-a za odgovor na kiberincidente i kiberkrize na temelju nacionalnih planova za odgovor na kiberincidente i kiberkrize. Plan EU-a za odgovor na kiberincidente i kiberkrize trebao bi uključivati ciljeve pripravnosti EU-a, utvrđene postupke i kanale za sigurnu razmjenu informacija, uključujući načine postupanja s informacijama, te kriterije za aktiviranje mehanizma uzajamne pomoći na temelju dogovorenih načela za klasifikaciju incidenata i popisa raspoloživih kapaciteta EU-a.

Do kraja drugog koraka radna skupina trebala bi završiti procjenu organizacijskih aspekata Zajedničke jedinice za kibersigurnost te uloga i odgovornosti operativnih sudionika u okviru te platforme. Rezultate te procjene trebala bi izložiti Komisiji i Visokom predstavniku. Komisija i Visoki predstavnik trebali bi takvu procjenu proslijediti Vijeću. Komisija i Visoki predstavnik trebali bi u suradnji, u skladu sa svojim nadležnostima, sastaviti zajedničko izvješće na temelju te procjene i pozvati Vijeće da to izvješće potvrdi u zaključcima Vijeća.

POTPORNE AKTIVNOSTI

Plan EU-a za odgovor na kiberincidente i kiberkrize trebao bi se temeljiti na glavnim elementima nacionalnih planova za odgovor na kiberincidente i kiberkrize. U skladu s Komisijinim Prijedlogom direktive o mjerama za visoku zajedničku razinu kibersigurnosti širom Unije i stavljanju izvan snage Direktive (EU) 2016/1148 (1)države članice trebale bi donijeti nacionalne planove za odgovor na kiberincidente i kiberkrize. U nacionalnim planovima, koji bi mogli podlijegati istorazinskom ocjenjivanju, trebali bi se definirati ciljevi i modaliteti u upravljanju kiberincidentima i kiberkrizama velikih razmjera. U nacionalnim planovima trebalo bi ponajprije utvrditi sljedeće:

(a)

ciljeve mjera i aktivnosti za nacionalnu pripravnost;

(b)

uloge i odgovornosti nacionalnih nadležnih tijela na nacionalnoj razini;

(c)

postupke upravljanja krizom i kanale za razmjenu informacija;

(d)

mjere pripravnosti, uključujući vježbe i aktivnosti osposobljavanja;

(e)

relevantne javnih i privatne dionike i uključenu infrastrukture;

(f)

nacionalne postupke i dogovore između relevantnih nacionalnih vlasti i tijela, uključujući one nadležne za sve zajednice za kibersigurnost, kako bi se osiguralo učinkovito sudjelovanje država članica u koordiniranom upravljanju kiberincidentima i kiberkrizama velikih razmjera na razini EU-a te njihova potpora tom upravljanju.

Operativni sudionici trebali bi, na temelju doprinosa država članica i institucija, tijela i agencija EU-a provesti sljedeće potporne aktivnosti u okviru Zajedničke jedinice za kibersigurnost:

(a)

izraditi prvo integrirano izvješće EU-a o stanju na temelju nacionalnih planova za odgovor na kiberincidente i kiberkrize;

(b)

uspostaviti komunikacijske kapacitete i alate za sigurnu razmjenu informacija;

(c)

olakšati donošenje protokola za uzajamnu pomoć među sudionicima;

(d)

organizirati vježbe i osposobljavanja među zajednicama za stručnjake uvrštene na popis raspoloživih operativnih kapaciteta EU-a;

(e)

izraditi višegodišnji plan za koordinaciju vježbi.

Operativni sudionici trebali bi se prema potrebi savjetovati s potpornim sudionicima. ENISA bi trebala, uz potporu Komisije, Europola i CERT-EU-a, omogućiti razmjenu informacija uspostavom komunikacijskih kapaciteta i alata za sigurnu razmjenu informacija.

Kako bi se utvrdili potrebni planovi i počele provoditi zajedničke aktivnosti, osnovne i, koliko je to moguće, potporne aktivnosti drugog koraka trebalo bi dovršiti do 30. lipnja 2022. [šest mjeseci nakon završetka prvog koraka].

3.   Treći korak – operacionalizacija Zajedničke jedinice za kibersigurnost

OSNOVNE AKTIVNOSTI

Nakon što Vijeće potvrdi zaključke Komisije o izvješću u okviru drugog koraka, operativni sudionici trebali bi koordinirati angažiranje timova EU-a za brzu reakciju u području kibersigurnosti u okviru Zajedničke jedinice za kibersigurnost i uspostaviti fizičku platformu koja timovima omogućuje provođenje tehničkih i operativnih aktivnosti. Na temelju pripremnog rada obavljenog u drugom koraku sudionici bi trebali dovršiti plan EU-a za odgovor na kiberincidente i kiberkrizu. Operativni sudionici trebali bi se pobrinuti da stručnjaci i kapaciteti uvršteni na popis raspoloživih operativnih kapaciteta EU-a budu na raspolaganju i spremni doprinijeti aktivnosti timova EU-a za brzu reakciju u području kibersigurnosti.

Kako bi se proveo plan EU-a za odgovor na kiberincidente i kiberkrize, sudionici bi trebali utvrditi godišnji program rada.

POTPORNE AKTIVNOSTI

Zajednica za kiberdiplomaciju može koristiti Zajedničku jedinicu za kibersigurnost za usklađivanje komunikacije s javnošću. Platforma može sudionicima omogućiti da doprinose utvrđivanju političke odgovornosti za incidente kao i odgovornosti unutar okvira kaznenog pravosuđa koji se primjenjuje na policijskoj i pravosudnoj razini. Usto, može pomagati u oporavku i omogućiti strukturirane sinergije s nacionalnim i prekograničnim kapacitetima za praćenje i otkrivanje.

Da bi se Zajednička jedinica za kibersigurnost operacionalizirala, osnovne i, koliko je to moguće, potporne aktivnosti trećeg koraka trebalo bi dovršiti do 31. prosinca 2022. [šest mjeseci nakon završetka drugog koraka].

4.   Četvrti korak – proširenje suradnje u okviru Zajedničke jedinice za kibersigurnost na privatne subjekte i izvješćivanje o ostvarenom napretku

OSNOVNE AKTIVNOSTI

Sudionici u Zajedničkoj jedinici za kibersigurnost trebali bi sastaviti izvješće o napretku provedbe četiri koraka utvrđena u Preporuci s opisom ostvarenih rezultata i problema koji su se pojavili. To bi izvješće trebalo sadržavati statističke podatke o aktivnostima operativne suradnje provedenima unutar ta četiri koraka. Izvješće bi trebalo podnijeti Komisiji i Visokom predstavniku.

POTPORNE AKTIVNOSTI

Kako bi timovima EU-a za brzu reakciju u području kibersigurnosti na raspolaganju bilo više informacija i kapaciteta, sudionici bi se trebali pobrinuti da Zajednička jedinica za kibersigurnost pomaže u sklapanju sporazuma o razmjeni informacija i operativnoj suradnji između sudionika i subjekata iz privatnog sektora koji pružaju, među ostalim, usluge informiranja o prijetnjama i odgovaranja na incidente. Trebali bi se pobrinuti i da se Zajednička jedinica za kibersigurnost, među ostalim aktivnostima, koristi za redoviti dijalog i razmjenu informacija o prijetnjama i slabim točkama s korisnicima rješenja za kibersigurnost, osobito onima obuhvaćenima područjem primjene Direktive NIS ili okupljenima u centrima za razmjenu i analizu informacija na razini EU-a (ISAC).

Države članice trebale bi pomagati subjektima koji djeluju na njihovu državnom području, posebno onima obuhvaćenima područjem primjene Direktive NIS, da imaju pristup javno-privatnim dijalozima s ISAC-ovima na razini EU-a i da im doprinose.

Kako bi se osiguralo primjereno sudjelovanje privatnog sektora, osnovne i, koliko je to moguće, potporne aktivnosti četvrtog koraka trebalo bi dovršiti do 30. lipnja 2023. [šest mjeseci nakon završetka trećeg koraka].

KAKO BRZO MOBILIZIRATI OPERATIVNE KAPACITETE EU-a

TKO PRUŽA KAPACITETE: Operativni sudionici

TKO UPRAVLJA KAPACITETIMA: Sudionici, u okviru Zajedničke jedinice za kibersigurnost, u skladu s dogovorenim ulogama i odgovornostima

Korak

Cilj

Zadaća

Osnovna aktivnost

Potporna aktivnost

1. korak – Definiranje

do 31. prosinca 2021. [šest mjeseci nakon donošenja]

PRIPRAVNOST

Identificirati kapacitete

Operativni sudionici sastavljaju popis raspoloživih operativnih kapaciteta EU-a.

 

2. korak –

Priprema

do 30. lipnja 2022. [šest mjeseci nakon završetka 1. koraka]

PRIPRAVNOST

Odrediti relevantne postupke i mehanizme za aktiviranje kapaciteta u slučaju potrebe

Operativni sudionici pripremaju plan EU-a za odgovor na kiberincidente i kiberkrize (okvir EU-a za odgovor na kiberkrize u okviru Plana) na temelju donesenih nacionalnih planova.

Operativni sudionici izrađuju integrirana izvješća EU-a o stanju na temelju tehničkog izvješća EU-a o stanju kibersigurnosti.

PRIPRAVNOST

Uvježbati kapacitete

 

Sudionici organiziraju zajedničke vježbe i osposobljavanja (među zajednicama).

Sudionici rade na višegodišnjem planu za koordinaciju vježbi.

 

INFORMIRANOST O STANJU

Uspostaviti alate za razmjenu informacija i zahtjeva za potporu

 

Sudionici razvijaju sigurnu i brzu razmjenu informacija.

ZAJEDNIČKA JEDINICA ZA KIBERSIGURNOST JE FUNKCIONALNA na temelju pripremnog rada sudionika u okviru radne skupine koju će osnovati Komisija

3. korak – Angažiranje

do 31. prosinca 2022. [šest mjeseci nakon završetka 2. koraka]

PRIPRAVNOST

Donijeti relevantne postupke, mehanizme i sklopiti memorandume razumijevanja za aktiviranje kapaciteta u slučaju potrebe

Operativni sudionici završavaju plan EU-a za odgovor na kiberincidente i kiberkrize i definiraju njegovu provedbu u godišnjim programima rada.

Sudionici podupiru uspostavu nacionalnih i prekograničnih kapaciteta za praćenje i otkrivanje, uključujući uspostavu sigurnosnih operativnih centara.

KOORDINIRANI ODGOVOR

Angažirati kapacitete u slučaju potrebe

Operativni sudionici koordiniraju operativne timove EU-a za brzu reakciju u području kibersigurnosti putem virtualno-fizičke platforme Zajedničke jedinice za kibersigurnost u Bruxellesu.

Sudionici koordiniraju komunikaciju s javnošću i doprinose utvrđivanju političke odgovornosti za incidente, kao i odgovornosti u kontekstu kaznenog pravosuđa.

4. korak – Proširenje i izvješće

do 30. lipnja 2023. [šest mjeseci nakon završetka 3. koraka]

INFORMIRANOST O STANJU

Postići prilagodljivost razmjerima novih potreba uključivanjem privatnog sektora

Sudionici podnose izvješće o ostvarenom napretku s opisom rezultata i problema te potkrijepljeno statističkim podacima.

Sudionici sklapaju sporazume o razmjeni informacija i sporazume o operativnoj suradnji s pružateljima u području kibersigurnosti.

KOORDINIRANI ODGOVOR

Sudionici sklapaju sporazume o razmjeni informacija s korisnicima kibersigurnosnih rješenja, prvenstveno subjektima obuhvaćenima područjem primjene Direktive NIS i u ISAC-ovima na razini EU-a.


(1)  COM(2020) 823 final, 2020/0359 (COD), Bruxelles, 16.12.2020.