EUROPOS KOMISIJA

Briuselis, 2016 07 05

COM(2016) 410 final

KOMISIJOS KOMUNIKATAS EUROPOS PARLAMENTUI, TARYBAI, EUROPOS EKONOMIKOS IR SOCIALINIŲ REIKALŲ KOMITETUI IR REGIONŲ KOMITETUI

Europos kibernetinio atsparumo sistemos stiprinimas

ir kibernetinio saugumo pramonės konkurencingumo ir novatoriškumo skatinimas

1. Įvadas / bendrosios aplinkybės

Kibernetinio saugumo incidentai kasdien pridaro didelės ekonominės žalos Europos įmonėms ir visai ekonomikai. Tokie incidentai griauna piliečių bei įmonių pasitikėjimą skaitmenine visuomene. Dėl komercinės prekybos paslapčių, verslo informacijos ir asmens duomenų vagysčių ir dėl paslaugų, įskaitant esmines paslaugas, bei infrastruktūros veikimo sutrikdymų kasmet patiriama šimtai milijardų eurų nuostolių 1 . Šie incidentai taip pat gali turėti padarinių pagrindinėms piliečių teisėms ir visai visuomenei.

Pagrindinės Europos Sąjungos politikos priemonės, kuriomis reaguojama į šiuos kibernetinio saugumo uždavinius, kol kas yra 2013 m. Europos Sąjungos kibernetinio saugumo strategija 2 (ES kibernetinio saugumo strategija) ir pagal ją netrukus priimsima pagrindinė priemonė – Tinklų ir informacijos saugumo (TIS) direktyva 3 , taip pat Direktyva 2013/40/ES dėl atakų prieš informacines sistemas. Be to, ES taip pat veikia specializuoti subjektai, kaip antai Europos Sąjungos tinklų ir informacijos apsaugos agentūra (ENISA), Europolo Europos kovos su elektroniniu nusikalstamumu centras (EC3) ir Kompiuterinių incidentų tyrimo tarnyba (ES CERT). Neseniai imtasi ir sektorinių iniciatyvų (pavyzdžiui, energetikos ir transporto srityje), kuriomis siekiama padidinti kibernetinį saugumą įvairiuose ypatingos svarbos sektoriuose.

Nepaisant šių teigiamų rezultatų, ES išlieka neatspari kibernetiniams incidentams. Tai gali kenkti bendrajai skaitmeninei rinkai ir visam ekonominiam bei socialiniam gyvenimui. Šie incidentai gali veikti ne tik ekonomiką. Hibridinių grėsmių 4 atveju kibernetinės atakos gali būti koordinuotai vykdomos kartu su kita veikla siekiant destabilizuoti padėtį šalyje ar sukelti sunkumų politinėms institucijoms.

Atsižvelgiant į tai, ES gali būti sunku suvaldyti plataus masto kibernetinį incidentą, vienu metu vykstantį keliose valstybėse narėse. Todėl Komisija, užtikrindama sąveiką su Komunikatu dėl kovos su mišriomis grėsmėmis ir Komunikatu dėl Europos saugumo darbotvarkės įgyvendinimo 5 , ieško būdų spręsti kintančios kibernetinio saugumo padėties klausimą ir įvertinti, kokių papildomų priemonių gali reikėti siekiant padidinti ES atsparumą kibernetinio saugumo srityje ir pagerinti reagavimą į incidentus.

Be to, Komisija sprendžia klausimą, susijusį su ES kibernetinio saugumo pramonės pajėgumais. Nors įvaldyti visą skaitmeninių technologijų vertės grandinę Europoje gali būti neįmanoma, būtina bent išlaikyti ir plėtoti tam tikrus esminius pajėgumus. Europos kibernetinio saugumo pramonė gali pasinaudoti galimybe siūlyti produktus ir paslaugas, kuriais užtikrinamas aukščiausias kibernetinio saugumo lygis, – tai gali tapti tvirtu konkurenciniu pranašumu. Numatoma, kad pasaulinė kibernetinio saugumo rinka bus vienas iš sparčiausiai augsiančių IRT sektoriaus segmentų 6 . Siekiant padėti ES tapti šios srities lydere, būtina formuoti stiprią duomenų, įskaitant asmens duomenis, saugumo kultūrą ir veiksmingai reaguoti į incidentus. Tai bus laikoma svariu argumentu investuoti ES, o tai padės įgyvendinti plataus užmojo Bendrosios skaitmeninės rinkos tikslus užtikrinti ekonomikos augimą ir darbo vietų kūrimą.

Norint pasiekti pirmiau nurodytus tikslus, būtinas tvirtas ryžtas, visų pirma turi būti:

i) intensyvinamas bendradarbiavimas, siekiant geriau pasirengti kibernetiniams incidentams ir juos valdyti.

Esami sutarti bendradarbiavimo mechanizmai turi būti stiprinami, kad ES taptų atsparesnė ir geriau pasirengusi, be kita ko, galimai visos Europos kibernetinio saugumo krizei. Šie bendradarbiavimo mechanizmai turėtų būti visapusiški ir apimti visą incidento ciklą, pradedant prevencija ir baigiant baudžiamuoju persekiojimu. Kad valstybės narės galėtų veiksmingai bendradarbiauti ir kad ypatingos svarbos operatoriai galėtų praktiškai įgyvendinti saugumo reikalavimus, taip pat reikės, kad kibernetinio saugumo pramonė pasiūlytų patikimų techninių sprendimų.

Kartu, siekiant užtikrinti ypatingos svarbos kibernetinių išteklių visoje ES atsparumą, bus būtina nuolat ieškoti tarpsektorinės sinergijos galimybių ir integruoti kibernetinio saugumo reikalavimus į visas susijusias ES politikos sritis. Komisija artimiausiu metu apsvarstys, ar reikia atnaujinti 2013 m. ES kibernetinio saugumo strategiją;

ii) sprendžiami uždaviniai, susiję su Europos bendrąja kibernetinio saugumo rinka.

Bendrosios skaitmeninės rinkos (BSR) strategijoje 7 pripažinta, kad sparčiai kintančioje technologijų ir interneto tinklų saugumo sprendimų srityje vis dar esama konkrečių trūkumų. Kartu rinkos tyrimų rezultatai rodo, kad kibernetinio saugumo produktų tiekimo ir paslaugų teikimo atžvilgiu ES vidaus rinka tebėra geografiškai susiskaidžiusi 8 . Šiame komunikate nustatomos kelios į rinką orientuotos politikos priemonės, kuriomis siekiama šalinti šiuos bendrosios rinkos trūkumus ir spręsti susijusius uždavinius;

iii) pramonės pajėgumų kibernetinio saugumo srityje stiprinimas.

ES kibernetinio saugumo strategijoje ir BSR strategijoje Komisija įsipareigojo skatinti ES kibernetinio saugumo pramonę tiekti daugiau produktų ir teikti daugiau paslaugų. Todėl Komisija taip pat priima sprendimą, kuriuo sudaromos sąlygos sukurti kibernetinio saugumo sutartinę viešojo ir privačiojo sektorių partnerystę (sVPSP), kuria bus siekiama skatinti pažangius Europos kibernetinio saugumo srities mokslinius tyrimus ir inovacijas siekiant didinti konkurencingumą.

2. Bendradarbiavimo gerinimas, žinių gausinimas ir pajėgumų didinimas

ES kibernetinio saugumo strategija ir ypač būsima TIS direktyva 9 bus sudarytos sąlygos geresniam valstybių narių bendradarbiavimui ES lygmeniu. Bus labai svarbu direktyvą įgyvendinti sparčiai ir veiksmingai, atsižvelgiant į tai, kad ekonominis ir socialinis gyvenimas tampa vis labiau skaitmeninis (taip pat turint omenyje debesiją, daiktų internetą ir mašinų sąveiką), daugėja kompiuterių tarpvalstybinių ryšių ir sparčia kinta su kibernetinėmis grėsmėmis susijusi padėtis 10 . Šiomis aplinkybėmis ES turi pasirengti galimai plataus masto kibernetinei krizei 11 , be kita ko, pavyzdžiui, vienalaikėms atakoms prieš ypatingos svarbos informacines sistemas keliose valstybėse narėse 12 .

Todėl bendradarbiauti ES lygmeniu yra labai svarbu siekiant valdyti tiek mažesnio masto, tačiau galinčius išplisti kibernetinius incidentus, tiek galimas plataus masto kibernetines atakas keliose valstybėse narėse. ES turi integruoti kibernetinius aspektus į esamus krizių valdymo mechanizmus. Ji taip pat turi užtikrinti, kad veiktų sektorių ir valstybių narių veiksmingo bendradarbiavimo ir spartaus keitimosi informacija mechanizmai, būtini, kad būtų galima reaguoti į tokius incidentus ir juos suvaldyti. Be to, šie mechanizmai turi veikti kaip darni sistema, taip padėdami kovoti su terorizmu, organizuotu nusikalstamumu ir kibernetiniais nusikaltimais. Tai taip pat pagerintų ES galimybes derinti veiksmus su savo tarptautiniais partneriais, siekiant veiksmingai reaguoti į pasaulines grėsmes ir incidentus.

2.1. Kuo geresnis naudojimasis TIS bendradarbiavimo mechanizmais ir perėjimas prie ENISA 2.0

Svarbią nacionalinių pajėgumų, kuriuos reikalaujama užtikrinti TIS direktyva, dalį sudaro Reagavimo į kompiuterinius saugumo incidentus tarnybos (CSIRT), atsakingos už greitą reagavimą į kibernetines grėsmes ir kibernetinius incidentus. Jos sudarys CSIRT tinklą, kurio tikslas – skatinti veiksmingą operatyvinį bendradarbiavimą konkrečių kibernetinio saugumo incidentų atveju ir keitimąsi informacija apie riziką. Be to, šia direktyva bus sukurta Bendradarbiavimo grupė, kurios užduotis bus remti ir lengvinti strateginį valstybių narių bendradarbiavimą ir didinti jų tarpusavio pasitikėjimą.

Atsižvelgdama į kibernetinių grėsmių pobūdį ir gausą, Komisija ragina valstybes nares kuo geriau naudotis TIS bendradarbiavimo mechanizmais ir stiprinti tarpvalstybinį bendradarbiavimą, susijusį su pasirengimu plataus masto kibernetiniams incidentams. Plėtojant tokį papildomą bendradarbiavimą, kurio tikslas – pasirengti dideliam kibernetiniam incidentui, būtų naudinga nustatyti suderintą bendradarbiavimo krizės atveju metodą, apimantį įvairius kibernetinės ekosistemos elementus. Toks metodas galėtų būti išdėstytas veiksmų plane, kuriuo taip pat turėtų būti užtikrinta sąveika ir derėjimas su esamais krizių valdymo mechanizmais 13 . Vėliau šis veiksmų planas turėtų būti reguliariai išbandomas kibernetinių ir kitokių krizių valdymo pratybose. Jame būtų numatytas ES lygmens įstaigų, kaip antai ENISA, ES CERT ir Europolo Europos kovos su elektroniniu nusikalstamumu centro (EC3), vaidmuo ir naudotinos CSIRT tinklo parengtos priemonės. 2017 m. pirmoje pusėje Komisija pateiks tokį bendradarbiavimo veiksmų planą svarstyti Bendradarbiavimo grupei, CSIRT tinklui ir kitoms susijusioms suinteresuotosioms šalims.

Šiuo metu kibernetinio saugumo srities teorinės ir praktinės žinios ES lygmeniu kaupiamos tik paskirai ir nesistemingai. Siekiant sustiprinti TIS bendradarbiavimo mechanizmus, informacija turėtų būti kaupiama informacijos centre, kad pateikusios prašymą ją lengvai galėtų gauti visos valstybės narės. Šis centras taptų pagrindine priemone, suteikiančia ES institucijoms ir valstybėms narėms galimybę tinkamai keistis informacija. Lengvesnė prieiga prie geriau susistemintos informacijos apie kibernetiniam saugumui kylančią riziką ir galimas taisomąsias priemones turėtų padėti valstybėms narėms padidinti savo pajėgumą ir suderinti savo veiklos metodus, o tai padidintų bendrą atsparumą atakoms. Padedama ENISA bei ES CERT ir naudodamasi savo Jungtinio tyrimų centro praktinėmis žiniomis, Komisija sudarys palankesnes sąlygas sukurti šį informacijos centrą ir užtikrins jo tvarumą.

Be to, ES lygmeniu turėtų būti sukurta kibernetinio saugumo aukšto lygio patariamoji grupė 14 , kurią sudarytų pramonei, akademinei bendruomenei, pilietinei visuomenei ir kitoms susijusioms organizacijoms atstovaujantys ekspertai ir sprendimus priimantys asmenys. Ši grupė suteiktų Komisijai galimybę atvirai ir skaidriai gauti išorės ekspertų žinių ir informacijos, svarbių formuojant kibernetinio saugumo strategijos politiką ir numatant galimus reguliavimo ar kitus viešosios politikos veiksmus. Ji papildytų kitas kibernetinio saugumo struktūras 15 ir užmegztų su jomis ryšius.

Be to, Komisija turi iki 2018 m. birželio 20 d. įvertinti ENISA veiklą ir, jei reikėtų pakeisti arba atnaujinti ENISA įgaliojimus, padaryti tai iki 2020 m. birželio 19 d. 16 . Atsižvelgdama į dabartinę kibernetinio saugumo padėtį, Komisija siekia vertinimą paspartinti ir, atsižvelgdama į jo rezultatus, pateikti pasiūlymą kuo anksčiau.

Vertindama galimą poreikį pakeisti ENISA įgaliojimus, Komisija atsižvelgs į pirmiau aprašytus kibernetinio saugumo uždavinius ir į bendras pastangas intensyvinti bendradarbiavimą ir keitimąsi žiniomis. Šis procesas suteiks galimybę apsvarstyti, kaip būtų galima sustiprinti Agentūros gebėjimus ir pajėgumą tvariai padėti valstybėms narėms užtikrinti atsparumą kibernetinio saugumo srityje. Svarstant ENISA įgaliojimus, reikėtų atsižvelgti ir į TIS direktyvoje nustatytas naujas Agentūros pareigas, naujus politikos tikslus remti kibernetinio saugumo pramonę (BSR strategija ir visų pirma cPPP), poreikių apsaugoti ypatingos svarbos sektorius raidą ir naujus su tarpvalstybiniais incidentais susijusius uždavinius, įskaitant būtinybę koordinuotai reaguoti į kibernetines krizes.

2.2. Su kibernetiniu saugumu susijusio švietimo, mokymo ir pratybų veiklos intensyvinimas

Tinkami įgūdžiai ir mokymas, susiję tiek su kibernetinio saugumo incidentų prevencija, tiek su jų poveikio valdymu ir mažinimu, yra vieni iš pagrindinių aspektų siekiant užtikrinti atsparumą kibernetinio saugumo srityje.

Šiuo metu svarbų vaidmenį padedant stiprinti pajėgumus, be kita ko, kibernetinių nusikaltimų tyrimo, bendradarbiaudami atlieka ENISA, Europos mokymo ir švietimo elektroninių nusikaltimų srityje grupė (ECTEG), Europolo Europos kovos su elektroniniu nusikalstamumu centras ir Europos policijos koledžas (CEPOL) – jie rengia žinynus ir organizuoja mokymus bei kibernetinio saugumo pratybas.

Kita vertus, kibernetinė erdvė yra sparčiai kintanti sritis, kurioje labai svarbūs dvejopo naudojimo pajėgumai. Todėl siekiant didinti ES atsparumą ir stiprinti jos pajėgumą reaguoti į incidentus, būtina plėtoti civilinio ir karinio sektorių bendradarbiavimą ir sinergiją mokymo ir pratybų srityje.

Atsižvelgdamos į šį poreikį ir imdamosi tolesnių veiksmų pagal priimsimą TIS direktyvą ir patvirtintą ES kibernetinės gynybos politikos sistemą 17 , Komisijos tarnybos, bendradarbiaudamos su valstybėmis narėmis, Europos išorės veiksmų tarnyba (EIVS), ENISA ir kitomis susijusiomis ES įstaigomis 18 , sieks sukurti su kibernetiniu saugumu susijusio švietimo, pratybų ir mokymo platformą, kuria bus skatinama civilinio ir gynybos srities mokymo sinergija.

2.3. Atsižvelgimas į sektorių tarpusavio priklausomybę ir pagrindinės viešųjų tinklų infrastruktūros atsparumo didinimas

Svarbus veiksnys, į kurį reikia atsižvelgti vertinant plataus masto kibernetinio incidento riziką ir poveikį, yra šalių ir sektorių tarpusavio priklausomybės laipsnis. Sunkus kibernetinis incidentas viename sektoriuje arba vienoje iš valstybių narių gali tiesiogiai arba netiesiogiai paveikti kitus sektorius ar kitas valstybes nares arba į juos išplisti.

Tarpvalstybinis ir tarpsektorinis bendradarbiavimas sudaro palankesnes sąlygas keistis informacija bei praktinėmis žiniomis ir taip pagerinti parengtį ir padidinti atsparumą. Įgyvendindama Europos programą dėl ypatingos svarbos infrastruktūros objektų apsaugos 19 , Komisija rėmė įvairiuose sektoriuose vykdytą veiklą, kuria siekta geriau suprasti tarpusavio priklausomybės ryšius.

Kita būtina sąlyga siekiant valdyti tarpsektorinę riziką yra kiekvieno atskiro sektoriaus gebėjimas nustatyti kibernetinius incidentus, jiems pasirengti ir į juos reaguoti. Komisija įvertins riziką, kylančią dėl kibernetinių incidentų labai vienas nuo kito priklausančiuose sektoriuose vienoje ar keliose šalyse, visų pirma sektoriuose, kuriems taikoma TIS direktyva, kartu atsižvelgdama į pokyčius tarptautinėje arenoje 20 . Atlikusi šį vertinimą, Komisija apsvarstys, ar reikia parengti tokiems ypatingos svarbos sektoriams skirtų papildomų konkrečių taisyklių ir (arba) gairių dėl pasirengimo valdyti kibernetinę riziką.

Europos lygmeniu labai svarbų vaidmenį užtikrinant parengtį kibernetiniams incidentams ir į juos reaguojant gali atlikti sektoriniai keitimosi informacija ir jos analizės centrai 21 ir atitinkami CSIRT. Siekiant užtikrinti veiksmingą keitimąsi informacija apie kylančias grėsmes ir sudaryti palankesnes sąlygas reaguoti į kibernetinius incidentus, keitimosi informacija ir jos analizės centrai turėtų būti skatinami bendradarbiauti su TIS direktyvoje numatytu CSIRT tinklu, Europolo Europos kovos su elektroniniu nusikalstamumu centru, ES CERT ir kitomis susijusiomis teisėsaugos įstaigomis.

Kad suinteresuotosios šalys galėtų tarpusavyje ir su valdžios institucijomis keistis informacija visais kibernetinės rizikos ciklo etapais, šio proceso dalyviai turi būti tikri, kad už tai jiems negrės atsakomybė. Komisija atkreipė dėmesį į tai, kad įmonėms kyla nemažai tokių nuogąstavimų, ir dėl to jos nesikeičia vertinga informacija apie grėsmes su kitomis įmonėmis, kitais sektoriais ar valdžios institucijomis, ypač tarpvalstybiniu mastu. Komisija sieks spręsti šį klausimą ir išsklaidyti tokius nuogąstavimus, kad būtų geriau keičiamasi informacija apie kibernetines grėsmes.

Siekiant skatinti įmones pranešti apie kibernetines prekybos paslapčių vagystes, taip pat labai svarbu sukurti patikimus pranešimo kanalus, kuriais būtų užtikrintas konfidencialumas. Tai suteiktų galimybę stebėti ir vertinti žalą, kurią patiria Europos pramonė (dėl šios žalos taip pat sumažėja pardavimo apimtis ir prarandama darbo vietų) ir mokslinių tyrimų įstaigos. Be to, tai padėtų parengti tinkamas atsakomąsias politikos priemones. Padedama ENISA, Europos Sąjungos intelektinės nuosavybės tarnybos (EUIPO) ir Europolo EC3 ir palaikydama dialogą su privačiojo sektoriaus suinteresuotosiomis šalimis, Komisija sukurs patikimus savanoriško pranešimo apie kibernetines prekybos paslapčių vagystes kanalus. Tai turėtų suteikti galimybę ES lygmeniu kaupti anonimizuotus suvestinius duomenis. Šiais duomenimis gali būti dalijamasi su valstybėms narėmis, kad jos galėtų jais remdamosi numatyti diplomatinius ir informuotumo didinimo veiksmus, kurių tikslas – padėti apsaugoti ES nematerialųjį turtą nuo kibernetinių atakų.

Siekdama padėti didinti sektorių kibernetinį saugumą, Komisija taip pat skatins įtraukti kibernetinio saugumo aspektą į formuojamą įvairią ES sektorių politiką, aktualią kibernetiniam saugumui.

Galiausiai ne mažiau svarbus yra ir valdžios institucijų vaidmuo – jos turi tikrinti pagrindinės interneto infrastruktūros vientisumą, kad nustatytų problemas, informuoti apie jas už tuos tinklus atsakingą subjektą ir prireikus padėti spręsti pažeidžiamumo problemas. Reguliarioms viešųjų tinklų infrastruktūros patikroms atlikti nacionalinės reguliavimo institucijos galėtų naudoti CSIRT pajėgumus. Po tokių patikrų jos galėtų raginti operatorius ištaisyti per jas nustatytus trūkumus arba spręsti per jas nustatytas pažeidžiamumo problemas.

Todėl Komisija išnagrinės, kokios teisinės ir organizacinės sąlygos yra būtinos, kad nacionalinės reguliavimo institucijos, bendradarbiaudamos su nacionalinėmis kibernetinio saugumo institucijomis, galėtų prašyti CSIRT atlikti reguliarias viešųjų tinklų infrastruktūros pažeidžiamumo patikras. Nacionalinės CSIRT turėtų būti raginamos bendradarbiauti CSIRT tinkle, kad nustatytų geriausią tinklų stebėjimo praktiką ir taip sudarytų palankesnes sąlygas užtikrinti plataus masto incidentų prevenciją.

3. Uždavinių, susijusių su Europos bendrąja kibernetinio saugumo rinka, sprendimas

Europai reikia kokybiškų, įperkamų ir sąveikių kibernetinio saugumo produktų ir sprendimų. Tačiau IRT saugumo produktų ir paslaugų tiekimas ir teikimas bendrojoje rinkoje tebėra labai netolygus geografiniu atžvilgiu. Viena vertus, tai apsunkina Europos įmonių galimybes konkuruoti nacionaliniu, Europos ir pasauliniu lygmenimis. Kita vertus, dėl to piliečiai ir įmonės turi mažiau galimybių rinktis iš perspektyvių ir tinkamų naudoti kibernetinio saugumo technologijų 22 .

Kibernetinio saugumo pramonės plėtrą Europoje daugiausia lėmė paklausa nacionalinių vyriausybių sektoriuje, įskaitant gynybos sektorių. Dauguma Europos gynybos srities rangovų sukūrė kibernetinio saugumo padalinius 23 . Kartu atsirado daugybė novatoriškų MVĮ tiek specializuotose ir (arba) nišinėse rinkose (pavyzdžiui, kriptografijos sistemų), tiek išsivysčiusiose rinkose, kuriose atsirado naujų verslo modelių (pavyzdžiui, antivirusinės programinės įrangos).

Tačiau įmonėms sunku plėstis už savo šalies rinkos ribų. Pagrindinis veiksnys, aiškiai nurodytas visose Komisijos rengtose konsultacijose, yra pasitikėjimo tarpvalstybiniu mastu siūlomais sprendimais stoka 24 . Todėl daug viešųjų pirkimų tebevyksta konkrečioje valstybėje narėje, ir daugeliui įmonių labai sunku užsitikrinti masto ekonomiją, kuri suteiktų joms galimybę būti konkurencingesnėms tiek vidaus rinkoje, tiek pasaulyje.

Kiti bendrąją kibernetinio saugumo rinką neigiamai veikiantys trūkumai, be kita ko, yra sąveikių sprendimų (techninių standartų), metodų (procesų standartų) ir ES masto sertifikavimo mechanizmų stoka. Atsižvelgiant į tai, kibernetinis saugumas buvo nurodytas kaip vienas iš Bendrajai skaitmeninei rinkai skirtos IRT standartizacijos prioritetų 25 .

Dėl ribotų augimo bendrojoje rinkoje perspektyvų kibernetinio saugumo įmonės labai dažnai jungiasi su ne Europos investuotojais arba yra jų įsigyjamos 26 . Nors ši tendencija rodo Europos verslininkų gebėjimą diegti inovacijas kibernetinio saugumo srityje, dėl jos taip pat kyla pavojus Europai prarasti praktinę patirtį bei žinias ir protų nutekėjimo pavojus.

Būtina skubiai imtis veiksmų siekiant paskatinti kurti labiau integruotą bendrąją kibernetinio saugumo produktų ir paslaugų rinką ir taip sudaryti palankesnes sąlygas naudotis praktiškesniais ir įperkamesniais sprendimais.

Kliūtys, trukdančios Europos pramonės ir instituciniams subjektams pasitikėti vieni kitais, gali būti įveiktos skatinant bendradarbiavimą ankstyvuoju inovacijų ciklo etapu tarp pačių kibernetinio saugumo pramonės subjektų, tarp tiekėjų ir pirkėjų ir tarp skirtingų sektorių, įtraukiant į procesą įmones, kurios jau naudojasi arba, tikėtina, ims naudotis kibernetinio saugumo sprendimais.

Kartu vis didesnę svarbą Europoje įgyja dvejopo naudojimo produktų, paslaugų ir technologijų kūrimas. Vis daugiau sprendimų iš civilinės rinkos patenka į gynybos rinką 27 . Būsimame Europos gynybos veiksmų plane Komisija ketina nustatyti priemones, kuriomis būtų toliau Europos lygmeniu skatinama civilinio ir karinio sektorių sinergija.

3.1. Sertifikavimas ir ženklinimas

Sertifikavimas labai svarbus didinant pasitikėjimą produktais ir paslaugomis ir jų saugumą. Tai pasakytina ir apie tas naujas sistemas, kurioms intensyviai naudojamos skaitmeninės technologijos ir kurioms būtinas aukštas saugumo lygis. Tokių sistemų pavyzdžiai: susietieji automatizuoti automobiliai, elektroninės sveikatos priežiūros sistemos, pramoninės automatizacijos valdymo sistemos ar pažangieji elektros energijos tinklai.

Jau imamasi nacionalinių iniciatyvų, kuriomis siekiama tradicinės infrastruktūros IRT komponentams nustatyti aukšto lygio kibernetinio saugumo reikalavimus, be kita ko, sertifikavimo reikalavimus. Nors šios iniciatyvos svarbios, dėl jų gali būti suskaidyta bendroji rinka ir kilti sąveikumo problemų. Veiksmingos IRT produktų saugumo sertifikavimo sistemos taikomos vos keliose valstybėse narėse 28 . Todėl IRT pardavėjui, norinčiam parduoti savo produktus keliose valstybėse narėse, gali tekti dalyvauti keliose sertifikavimo procedūrose. Blogiausiu atveju IRT produktas ar paslauga, sukurti taip, kad atitiktų kibernetinio saugumo reikalavimus vienoje valstybėje narėje, negali būti pateikti kitos valstybės narės rinkai.

Kad būtų sukurta veikianti bendroji kibernetinio saugumo rinka, galima IRT produktų ir paslaugų saugumo sertifikavimo sistema turėtų būti siekiama šių tikslų: i) ji turėtų būti taikoma įvairioms IRT sistemoms, produktams ir paslaugoms; ii) turėtų būti užtikrinta, kad ji būtų taikoma visose 28 valstybėse narėse; iii) ji turėtų apimti visus kibernetinio saugumo lygius. Kartu ja turėtų būti atsižvelgiama į pokyčius tarptautinėje arenoje.

Šiuo tikslu Komisija sukurs specialią IRT produktų ir paslaugų saugumo sertifikavimo darbo grupę, kurią sudarys valstybių narių ir pramonės ekspertai. Jos tikslas bus, bendradarbiaujant su ENISA ir Jungtiniu tyrimų centru, iki 2016 m. pabaigos parengti veiksmų gaires, kuriose bus išnagrinėta galimybė iki 2017 m. pabaigos parengti pasiūlymą dėl tokios europinės IRT saugumo sertifikavimo sistemos. Šiame kontekste Komisija taip pat atsižvelgs į Reglamentą (EB) Nr. 2008/765 ir į sertifikavimo nuostatas, pateiktas Bendrajame duomenų apsaugos reglamente 2016/679 29 .

Vykdant šį procesą, be kita ko, bus surengtos plataus masto viešos konsultacijos ir atliktas poveikio vertinimas. Taip Komisija galės išnagrinėti įvairias IRT produktų ir paslaugų sertifikavimo sistemos sukūrimo galimybes. Komisija taip pat išnagrinės IRT saugumo sertifikavimo galimybes infrastruktūros sektoriuose (pavyzdžiui, aviacijos, geležinkelių ir automobilių pramonės) ir galimybes sertifikuoti IRT saugumą taikant konkrečius parengtų naudoti technologijų (pavyzdžiui, pramoninės automatizacijos valdymo sistemų 30 , daiktų interneto, debesijos) sertifikavimo ir patvirtinimo mechanizmus. Ji taip pat sieks pirmiau minėta europine IRT saugumo sertifikavimo sistema pašalinti nustatytus trūkumus.

Sertifikavimo priemonės bus, kiek įmanoma, grindžiamos tarptautiniu mastu pripažintais standartais ir bus parengtos kartu su tarptautiniais partneriais.

Be to, Komisija išnagrinės galimybes kuo geriau integruoti IRT saugumo sertifikavimo klausimą į būsimus konkretiems sektoriams skirtus teisės aktus, susijusius ir su saugumo aspektais.

Be galimų reguliavimo priemonių, Komisija taip pat išnagrinės galimybę sukurti europinę, į prekybą orientuotą savanorišką ir paprastą IRT produktų saugumo ženklinimo sistemą. Ja bus papildyta sertifikavimo sistema siekiant suteikti daugiau aiškumo dėl komercinių produktų kibernetinio saugumo ir taip padidinti jų konkurencingumą bendrojoje rinkoje ir pasaulyje. Bus deramai atsižvelgta į vykdomas sektorines ir horizontaliąsias iniciatyvas, kurių tiek pasiūlos, tiek paklausos srityje ėmėsi pramonės subjektai.

Bus užtikrintas aktyvus viešojo administravimo įstaigų dalyvavimas, kad viešuosiuose pirkimuose būtų galima naudoti bendras specifikacijas ir sertifikavimo nuorodas. Komisija taip pat stebės ir teiks ataskaitas apie tai, kaip atitinkami sertifikavimo reikalavimai taikomi nacionalinio lygmens viešuosiuose pirkimuose, visų pirma konkretiems sektoriams (energetikos, transporto, sveikatos priežiūros, viešojo administravimo ir kt.) skirtų sistemų pirkimuose.

3.2. Investicijų į kibernetinį saugumą Europoje didinimas ir MVĮ rėmimas

Nors Europos kibernetinio saugumo sektoriuje diegiama daugybė inovacijų, ES vis dar nepakankamai įprasta investuoti į kibernetinį saugumą. Šioje srityje veikia daugybė novatoriškų MVĮ, bet jos dažnai negali tinkamai plėsti savo veiklos. Be kitų priežasčių, taip yra dėl to, kad jos neturi galimybės lengvai gauti finansavimo paramos ankstyvaisiais plėtros etapais. Įmonių galimybės pasinaudoti rizikos kapitalu Europoje taip pat ribotos, be to, jos neturi pakankamai lėšų rinkodarai, kad galėtų pasiekti didesnę auditoriją, arba lėšų, kurių reikia norint laikytis skirtingų standartizacijos ir atitikties reikalavimų.

Kartu kibernetinio saugumo rinkos dalyvių bendradarbiavimas yra gana fragmentiškas ir būtina dėti daugiau pastangų, kad būtų padidinta ekonominė koncentracija ir sukurtos naujos vertės grandinės 31 .

Siekiant padidinti investicijas į kibernetinį saugumą Europoje ir remti MVĮ, būtina pagerinti galimybes gauti finansavimą. Taip pat turi būti teikiama parama pasauliniu mastu konkurencingiems kibernetinio saugumo klasteriams ir kompetencijos centrams skaitmeniniam augimui palankiose regioninėse ekosistemose kurti. Ši parama turi būti susieta su pažangiosios specializacijos strategijų ir kitų ES priemonių įgyvendinimu, kad Europos kibernetinio saugumo pramonė galėtų geriau jomis pasinaudoti.

Komisija laikysis principo, pagal kurį, naudojantis esamomis priemonėmis ir kanalais, pavyzdžiui, Europos įmonių tinklu, bus siekiama kuo labiau padidinti kibernetinio saugumo bendruomenės informuotumą apie finansavimo galimybes (susijusias tiek su horizontaliosiomis priemonėmis, tiek su konkrečiais kvietimais teikti pasiūlymus 32 ) Europos, nacionaliniu ir regioniniu lygmenimis.

Be šių veiksmų, Komisija kartu su Europos investicijų banku (EIB) ir Europos investicijų fondu (EIF) išnagrinės, kaip būtų galima pagerinti galimybes gauti finansavimą. Jis gali būti teikiamas tokiomis priemonėmis, kaip investicijos į nuosavą kapitalą ir kvazinuosavą kapitalą, paskolos, garantijos projektams arba netiesioginės garantijos tarpininkams, pavyzdžiui, sukūrus Investavimo į kibernetinį saugumą platformą, finansuojamą iš Europos strateginių investicijų fondo lėšų 33 .

Be to, Komisija taip pat apsvarstytų galimybę kartu su suinteresuotomis valstybėmis narėmis ir regionais sukurti Kibernetinio saugumo pažangiosios specializacijos platformą 34 . Ji padėtų koordinuoti ir planuoti kibernetinio saugumo strategijas ir užtikrinti strateginį suinteresuotųjų šalių bendradarbiavimą regioninėse ekosistemose. Šis metodas taip pat turėtų padėti kibernetinio saugumo sektoriui pasinaudoti esamų Europos struktūrinių ir investicijų fondų teikiamomis galimybėmis.

Apskritai Komisija skatins laikytis principo saugumą užtikrinti projektuojant. Ji sieks užtikrinti, kad visais atvejais, kai bus daromos didelės skaitmeninį aspektą apimančios ir Europos lėšomis bendrai finansuojamos investicijos į infrastruktūrą, būtų nuosekliai atsižvelgiama į kibernetinio saugumo reikalavimus. Ji tai darys laipsniškai įtraukdama atitinkamus reikalavimus į viešųjų pirkimų ir programų taisykles.

4. Europos kibernetinio saugumo pramonės puoselėjimas ir jos plėtros skatinimas diegiant inovacijas. Kibernetinio saugumo sVPSP sukūrimas

Siekiant skatinti Europos kibernetinio saugumo pramonės konkurencingumą ir inovacijas, bus sudaryta sutartinė viešojo ir privačiojo sektorių partnerystė (sVPSP). sVPSP sutelks pramonės ir viešuosius išteklius – jie bus naudojami siekiant užtikrinti kompetenciją mokslinių tyrimų ir inovacijų srityje.

sVPSP tikslas – skatinti bendradarbiavimą ankstyvaisiais mokslinių tyrimų ir inovacijų proceso etapais ir taip didinti valstybių narių ir pramonės subjektų tarpusavio pasitikėjimą. Ja taip pat siekiama padėti glaudžiai susieti paklausos ir pasiūlos sektorius. Tai turėtų suteikti pramonės subjektams galimybę sužinoti, ko ateityje reikės galutiniams naudotojams ir sektoriams, kurie yra svarbūs kibernetinio saugumo sprendimų naudotojai (pavyzdžiui, energetikos, sveikatos priežiūros, transporto ir finansų sektoriai). Tai sudarys jiems palankesnes sąlygas kartu nustatyti bendrus jų sektoriams skirtus skaitmeninio saugumo, privatumo ir duomenų apsaugos reikalavimus.

Kibernetinio saugumo sVPSP taip pat padės kuo geriau pasinaudoti turimomis lėšomis. Tai bus pasiekta visų pirma labiau koordinuojant veiksmus su valstybėmis narėmis. Antra, dėmesys bus labiau sutelktas į keletą techninių prioritetų siekiant padėti kibernetinio saugumo pramonei padaryti technologinių proveržių ir įvaldyti pagrindines ateities kibernetinio saugumo technologijas. Šiame kontekste atvirojo kodo programinės įrangos ir atvirųjų standartų kūrimas gali padėti skatinti pasitikėjimą, skaidrumą ir radikalias inovacijas, todėl šiai veiklai taip pat turėtų būti skiriama dalis į šią sVPSP daromų investicijų.

Vykdant kibernetinio saugumo sVPSP veiklą, taip pat bus pasinaudota sąveika su kitais Europos projektais, visų pirma su tais, kuriais sprendžiami saugumo klausimai. Keli iš šių projektų: „Ateities gamyklos“, „Efektyviai energiją naudojantys pastatai“, 5G ir didžiųjų duomenų VPSP 36 , kitos sektorinės VPSP 37 ir daiktų interneto iniciatyva 38 . Be to, glaudžios sąsajos bus skatinamos Europos atvirojo mokslo debesijos iniciatyva ir Europos itin spartaus skaičiavimo naudojant kvantines kibernetines technologijas (pavyzdžiui, kvantinio raktų paskirstymo ir kvantinės kompiuterijos mokslinių tyrimų inovacijas) iniciatyva.

Kibernetinio saugumo sVPSP bus sukurta pagal 2014–2020 m. ES bendrąją mokslinių tyrimų ir inovacijų programą „Horizontas 2020“ 39 . Ja bus pritraukta lėšų, skirtų dviem programos veiklos kryptims: „Pirmavimas kuriant didelio poveikio ir pramonės technologijas“ ir „Visuomenės uždaviniai. Saugi visuomenė“. Bendras sVPSP biudžetas sieks 450 mln. EUR, o skirtų lėšų ir iš pramonės pritrauktų lėšų santykis bus 1:3. Kibernetinio saugumo klausimas turėtų būti sprendžiamas įgyvendinant ir kitą programoje „Horizontas 2020“ numatytą susijusią veiklą (pavyzdžiui, energetikos, transporto ir visuomenės sveikatos uždavinius ir su pažangumu susijusią veiklą). Kibernetinio saugumo srities veikla turėtų būti derinama su šia veikla. Tai padės įgyvendinti kibernetinio saugumo sVPSP tikslus. Nurodyta veikla taip pat turėtų būti derinama iš anksto – sektorinių strategijų rengimo etapu.

sVPSP veikla bus įgyvendinama skaidriai, taikant atviro ir lankstaus valdymo principus, pritaikytus prie sparčiai kintančios kibernetinio saugumo aplinkos. Ja bus atsižvelgta į valstybių narių poreikį apsvarstyti, kokį poveikį technologijų pokyčiai daro saugiam nacionalinės ir tarpvalstybinės infrastruktūros veikimui. Be to, kad būtų galima įgyvendinti partnerystės tikslus, turi būti užtikrintas tvarus jos veiklos rezultatyvumas kelerių metų laikotarpiu.

Įgyvendinti sVPSP veiklą padės Europos kibernetinio saugumo organizacija (ECSO) – jos sudėtis atspindės Europos kibernetinio saugumo rinkos įvairovę. Į veiklą taip pat bus įtrauktos nacionalinės, regioninės ir vietos viešojo administravimo įstaigos, mokslinių tyrimų centrai, akademinė bendruomenė ir kitos suinteresuotosios šalys.

5. Išvada

Šiame komunikate pristatomos priemonės, kuriomis siekiama sustiprinti Europos kibernetinio atsparumo sistemą ir skatinti Europos kibernetinio saugumo pramonės konkurencingumą ir novatoriškumą, kaip paskelbta ES kibernetinio saugumo strategijoje ir Bendrosios skaitmeninės rinkos strategijoje. Komisija ragina Europos Parlamentą ir Tarybą pritarti pristatomam metodui.

(1)

  „Net Losses: Estimating the Global Cost of Cybercrime Economic impact of cybercrime II“, Strateginių ir tarptautinių tyrimų centras, 2014 m. birželio mėn.

(2)

 JOIN(2013) 1.

(3)

COM(2013) 48.

(4)

JOIN(2016) 18.

(5)

COM(2016) 230.

(6)

Žr. SWD(2016) 216.

(7)

COM(2015) 192.

(8)

Žr. SWD(2016) 216.

(9)

 TIS direktyvoje bus reikalaujama, kad valstybės narės nustatytų esminių paslaugų operatorius tokiose srityse, kaip energetika, transportas, finansai ir sveikatos priežiūra, ir pavestų jiems valdyti kibernetiniam saugumui kylančią riziką. Be to, jos turės užtikrinti, kad tinkamų priemonių tokiai rizikai valdyti imtųsi ir tam tikri skaitmeninių paslaugų teikėjai.

(10)

 Žr. SWD(2016) 216.

(11)

Žr., pavyzdžiui, ENISA ataskaitą „Common practices of EU-level crisis management and applicability to cyber crises“ (2016 m. balandžio mėn.).

(12)

Žr. SWD(2016) 216.

(13)

 Visų pirma Integruotu politinio atsako į krizes mechanizmu, įskaitant sprendimą dėl tvarkos, kuria Sąjunga įgyvendina solidarumo sąlygą (2014 m. liepos 24 d.), ir bendros saugumo ir gynybos politikos sprendimų priėmimo procesus.

(14)

 Komisijos ekspertų grupėms taikomos horizontaliosios taisyklės, nustatytos Komisijos sprendimu C(2016) 3301 .

(15)

Tokias kaip TIS platforma, kibernetinio saugumo sVPSP ir sektorinės platformos, pavyzdžiui, Energetikos ekspertų kibernetinio saugumo platforma (EECSP). Ji taip turėtų užmegzti ryšį su aukšto lygio apskrituoju stalu, apie kurį paskelbta Komunikate dėl Europos pramonės skaitmeninimo (COM(2016) 180).

(16)

Reglamentas (ES) Nr. 526/2013, kuriuo panaikinamas Reglamentas (EB) Nr. 460/2004.

(17)

Patvirtinta Europos Sąjungos Užsienio reikalų tarybos 2014 m. lapkričio 18 d., dok. 15585/14.

(18)

 Kaip antai, Europos saugumo ir gynybos koledžu, EC3, CEPOL ir Europos gynybos agentūra.

(19)

SWD(2013) 318.

(20)

Pavyzdžiui, į Europos aviacijos saugos agentūros priimtas kibernetinio saugumo veiksmų gaires ir į Tarptautinės civilinės aviacijos organizacijos bei Tarptautinės jūrų organizacijos darbą.

(21)

Žr., pavyzdžiui, informaciją apie Europos energetikos sektoriaus keitimosi informacija ir jos analizės centrą ( http://www.ee-isac.eu ).

(22)

Žr. SWD(2016) 216.

(23)

Žr. SWD(2016) 216.

(24)

Žr. SWD(2016) 215.

(25)

COM(2016) 176/2.

(26)

Žr. SWD(2016) 216.

(27)

 2013 m. dvejopo naudojimo prekių eksportas jau sudarė apie 20 proc. viso ES eksporto (pagal vertę). Į šį skaičių įeina ES vidaus prekyba.

(28)

Žr. SWD(2016) 216 pateikiamą informaciją apie Informacinių sistemų vyresniųjų pareigūnų grupės susitarimą (1992 m. kovo 31 d. Tarybos sprendimas 92/242/EEB) ir informaciją apie kitas esamas sistemas, pavyzdžiui, Jungtinėje Karalystėje taikomą sistemą „Commercial Product Assurance“ ir Prancūzijoje taikomą sistemą „Certification Sécuritaire de Premier Niveau“.

(29)

2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo numatyti tiek elgesio kodeksai, kuriais siekiama padėti tinkamai taikyti duomenų apsaugos taisykles, tiek sertifikavimo mechanizmai, apimantys visus duomenų apsaugos principus, įskaitant visų pirma tvarkomų asmens duomenų saugumo užtikrinimo principą.

(30)

Žr. informaciją apie ERNCIP teminę grupę „Pramoninių valdymo sistemų kibernetinis saugumas“, pateikiamą adresu https://erncip-project.jrc.ec.europa.eu/download-area/category/16-case-studies-for-industrial-automation-and-control-systems .

(31)

 Žr. SWD(2016) 216.

(32)

Žr., pavyzdžiui, 2016 m. kvietimą teikti pasiūlymus dėl kelių sektorių pagal Europos infrastruktūros tinklų priemonės programą ir 2016 m. kvietimus teikti su Klasterių tarptautinimo programa susijusius pasiūlymus pagal programą COSME.

(33)

 Pagal Europos strateginių investicijų fondo sistemą atskiri projektai gali būti remiami arba tiesiogiai, arba netiesiogiai per investavimo platformas. Tokios platformos gali padėti finansuoti mažesnius projektus ir sutelkti lėšas iš įvairių šaltinių, kad būtų sudarytos sąlygos diversifikuotoms geografinio ar teminio pobūdžio investicijoms.

(34)

 Žr. informaciją apie pažangiosios specializacijos priemones (RIS3) – http://s3platform.jrc.ec.europa.eu/ .

(35)

Pavyzdžiui, Europos įmonių tinklas ir Europos su gynyba susijusių regionų tinklas suteiks naujų galimybių regionams išnagrinėti tarpvalstybinio bendradarbiavimo dvejopo naudojimo produktų, įskaitant kibernetinio saugumo produktus, srityje galimybes ir naujų galimybių megzti ryšius MVĮ.

(36)

 5G infrastruktūros viešojo ir privačiojo sektorių partnerystė ir Didžiųjų duomenų vertės viešojo ir privačiojo sektorių partnerystė.

(37)

Pavyzdžiui, viešojo ir privačiojo sektorių partnerystės bendrosios įmonės SESAR ir „Shift to Rail“.

(38)

Daiktų interneto inovacijų aljansas (AIOTI).

(39)

  http://ec.europa.eu/programmes/horizon2020/en/official-documents .