EUROPOS KOMISIJA
Strasbūras, 2023 04 18
COM(2023) 207 final
KOMISIJOS KOMUNIKATAS EUROPOS PARLAMENTUI IR TARYBAI
Kibernetinio saugumo srities talentų trūkumo problemos sprendimas siekiant didinti ES konkurencingumą ir atsparumą bei skatinti jos augimą
(Kibernetinio saugumo įgūdžių akademija)
Kibernetinio saugumo srities talentų trūkumo problemos sprendimas siekiant didinti ES konkurencingumą ir atsparumą bei skatinti jos augimą
(Kibernetinio saugumo įgūdžių akademija)
1.Neatidėliotinas poreikis sumažinti riziką sprendžiant kibernetinio saugumo įgūdžių trūkumo ir spragų problemą
Kibernetinis saugumas yra ne tik piliečių, įmonių ir valstybių narių saugumo dalis. Jis taip pat būtinas siekiant užtikrinti ES politinį stabilumą, jos demokratinių valstybių stabilumą bei mūsų visuomenės ir įmonių klestėjimą. Pastaraisiais metais grėsmių kibernetiniam saugumui situacija smarkiai pasikeitė ir išryškėjo nerimą kelianti tendencija – kad vis daugiau kibernetinių išpuolių yra nukreipta prieš karinę ir civilinę ypatingos svarbos infrastruktūrą ES. Priešiški subjektai stiprina savo pajėgumus ir atsiranda naujų, hibridinių ir besiformuojančių grėsmių, kaip antai robotų ir dirbtiniu intelektu pagrįstų technologijų naudojimas. Konkrečiai, priešiški subjektai, naudojantys išpirkos reikalavimo programinę įrangą, subjektams nuolat padaro daug finansinės žalos ir žalos reputacijai.
Daug kibernetinio saugumo incidentų taip pat buvo nukreipta prieš valstybių narių viešojo administravimo įstaigas ir vyriausybes, taip pat Europos institucijas, įstaigas ir agentūras (EUIBA). Kibernetiniai išpuoliai taip pat buvo nuolat vykdomi finansų ir sveikatos priežiūros sektoriuose, kurie yra visuomenės ir ekonomikos pagrindas. Dėl geopolitinės įtampos, susijusios su Rusijos agresijos karu prieš Ukrainą, grėsmė kibernetiniam saugumui padidėjo ir gali destabilizuoti mūsų visuomenę. ES saugumo negalima užtikrinti be didžiausio ES turto: jos žmonių. ES skubiai reikia specialistų, turinčių įgūdžių ir gebėjimų užkirsti kelią kibernetiniams išpuoliams, juos nustatyti, nuo jų atgrasyti ir nuo jų apginti ES, įskaitant jos reikšmingiausius ypatingos svarbos infrastruktūros objektus, bei užtikrinti ES atsparumą.
Dėl kibernetinio saugumo srities talentų trūkumo mažiau didėja Europos konkurencingumas ir augimas, kurie labai priklauso nuo strateginių skaitmeninių technologijų (pvz., dirbtinio intelekto, 5G ir debesijos) plėtros ir naudojimo. Kad ES galėtų toliau kurti pagrindines pažangiąsias technologijas pasauliniu mastu, reikia kvalifikuotų kibernetinio saugumo specialistų.
Siekiant pasiruošti šioms kintančioms grėsmėms ir į jas atsižvelgti, taip pat siekiant skatinti ES konkurencingumą, pastaraisiais metais ES kibernetinio saugumo politikos srityje buvo padaryta didelė pažanga, kurios rezultatas – priimtos kelios iniciatyvos, kaip antai Europos Sąjungos skaitmeninio dešimtmečio kibernetinio saugumo strategija, peržiūrėta Tinklų ir informacinių sistemų saugumo direktyva (TIS 2 direktyva), ES sektorių kibernetinio saugumo srities teisės aktai, ES kibernetinės gynybos politika, Kibernetinio atsparumo aktas ir Kibernetinio solidarumo aktas – pasiūlymą dėl jo Komisija teikia kartu su šiuo komunikatu. Tačiau šiais teisės aktais juose numatytų tikslų nebus pasiekta be kvalifikuotų darbuotojų, kurie galėtų šiuos teisės aktus įgyvendinti. Nors visuomenei stengiamasi suteikti pagrindinių žinių kibernetinio saugumo srityje pagal iniciatyvas, kuriomis siekiama ugdyti bendruosius įgūdžius, reikalingus gyvenimui visuomenėje, tačiau, siekiant įvykdyti tuos teisinius ir politikos reikalavimus kibernetinio saugumo srityje, būtini kvalifikuoti darbuotojai ir viešajame, ir privačiajame sektoriuose, įskaitant standartizacijos organizacijas, tiek nacionaliniu, tiek ES lygmeniu.
Taigi, ES saugumas ir konkurencingumas priklauso nuo kvalifikuotų kibernetinio saugumo specialistų. Tačiau ES patiria itin didelį kvalifikuotų kibernetinio saugumo specialistų trūkumą, todėl ES, jos valstybėms narėms, įmonėms ir piliečiams kyla kibernetinio saugumo incidentų rizika. 2022 m. Europos Sąjungoje trūko nuo 260 000iki 500 000, kibernetinio saugumo specialistų; buvo apskaičiuota, kad ES reikalinga 883 000 kibernetinio saugumo specialistų, o tai rodo, kad esami darbuotojų gebėjimai neatitinka darbo rinkai reikalingų gebėjimų. Kibernetinio saugumo specialistų skaičiui neigiamą poveikį taip pat daro klaidingas supratimas, susijęs su šios specialybės techniniu įvaizdžiu; į šią sritį toliau nepavyksta pritraukti moterų – jos sudaro 20 proc. kibernetinio saugumo studijų absolventų ir 19 proc. informacinių ir ryšių technologijų specialistų. Siekiant spręsti šią problemą Europos 2030 m. Skaitmeninio dešimtmečio politikos programoje nustatytas tikslas iki 2030 m. padidinti IRT specialistų skaičių iki 20 milijonų, kartu pasiekiant lyčių konvergenciją. Be to, naujai ES politikai įgyvendinti reikalingas pakankamas skaičius reikiamą kvalifikaciją turinčių darbuotojų. Pavyzdžiui, daugiau kaip 42 proc. aukštesniųjų IT vadovų finansinių paslaugų sektoriuje kibernetinio saugumo įgūdžių ir žinių trūkumą nurodė kaip pagrindinį sunkumą, su kuriuo jų verslas susidurs kibernetinio saugumo gynybos ir incidentų valdymo srityje tuo metu, kai jie turės įgyvendinti sektorių kibernetinio saugumo srities teisės aktus, kaip antai Skaitmeninės veiklos atsparumo aktą (DORA).
Prie darbo rinkos suvaržymo taip pat prisideda darbdavių nenoras investuoti į žmogiškąjį kapitalą: jie ieško jau parengtų ir patyrusių darbuotojų. Šis trūkumas turi įtakos visų rūšių įmonėms, įskaitant mažąsias ir vidutines įmones (MVĮ), sudarančias 99 proc. visų ES įmonių. Didelių sunkumų kyla ir viešojo administravimo įstaigoms, kuriose kibernetinio saugumo incidentai pasitaiko dažniausiai ir turi didžiausią poveikį.
Todėl ES profesionalių kibernetinio saugumo srities talentų trūkumo problema turi būti sprendžiama skubos tvarka, nes kyla pavojus ES saugumui ir konkurencingumui.
2.Sinergijos ir suderintų veiksmų siekiant spręsti kibernetinio saugumo įgūdžių trūkumo problemą stoka
Europos ir nacionaliniu lygmeniu sėkmingai įgyvendinama nemažai viešųjų ir privačiųjų subjektų iniciatyvų, skirtų kibernetinio saugumo darbo rinkos trūkumų problemai spręsti. Tačiau jos yra pabiros ir iki šiol nepasiekė tokio lygio, kad padėtis tikrai pasikeistų.
Pirma, šiuo metu bendras supratimas apie ES kibernetinio saugumo darbo jėgos sudėtį ir susijusius įgūdžius yra ribotos, nors panašių kibernetinio saugumo srities pareigybių aprašymuose turėtų būti numatyti vienodi įgūdžiai. Kadangi susiję subjektai mažai naudojasi bendra Europos kibernetinio saugumo specialistų orientacine sistema, nėra priemonės, kuri padėtų bendrauti darbdaviams, pedagogams ir politikos formuotojams, ir nėra galimybių atlikti matavimus ir įvertinti kibernetinio saugumo darbo rinkos trūkumus. Tai taip pat trukdo rengti švietimo bei mokymo programas ir kurti karjeros galimybes, atitinkančias politiką ir su asmenimis, norinčiais užsiimti šia profesija, susijusius rinkos poreikius. Darbuotojų kvalifikacijos kėlimas ir perkvalifikavimas dažnai vykdomas pasitelkiant kibernetinio saugumo mokymus ir sertifikatus, kuriuos paprastai teikia privatūs teikėjai. Tačiau darbuotojams sunku susidaryti bendrą įspūdį apie kibernetinio saugumo mokymų ir išduodamų susijusių sertifikatų kokybę.
Nors švietimas, mokymas ir karjeros galimybių formavimas yra būtini siekiant gerinti pasiūlą darbo rinkoje, šiuo metu nepakankamai įvertinamas paklausos vaidmuo rengiant savo darbo jėgą ir prisitaikant prie jos pokyčių. Privataus ir viešojo sektoriaus darbdaviams trūksta bendrų forumų ir vietų, kuriose jie galėtų telkti idėjas, kaip geriausiai parengti darbuotojus, ir spręsti, kaip geriau įvertinti įgūdžius, ypač darbuotojų atrankos proceso metu. Paklausiausi dalykiniai įgūdžiai yra susiję su kibernetiniu saugumu, kaip antai programinės įrangos kūrimo ar debesų kompiuterijos įgūdžiai, tačiau vis dar nepagrįstai neatsižvelgiama į universaliuosius įgūdžius. Darbdaviai dažniau reikalauja kritinio mąstymo ir analizės, problemų sprendimo ir savarankiško sprendimų priėmimo įgūdžių ir artėjant 2025 m. šie įgūdžiai darosi vis svarbesni.
Jau yra daug viešų ir privačių investicijų į kibernetinio saugumo įgūdžių tobulinimą iniciatyvų, o ES plačiai finansuoja projektus pagal įvairias priemones. Tačiau ES toliau susiduriant su kvalifikuotų darbuotojų trūkumo problema kyla klausimų dėl jų matomumo bei poveikio ir galima spręsti, kad šios iniciatyvos sistemingai nepatenkina rinkos poreikių – juos reikia nedelsiant išanalizuoti ES lygmeniu. Be to, kai finansavimo šaltiniai yra keli, tada dubliuojami veiksmai ir praleidžiama proga didinti veiklos mastą ir daryti realų poveikį. Be to, tie, kuriems reikalingos investicijos, ne visada gali nustatyti jų poreikius labiausiai atitinkančius šaltinius.
Suinteresuotieji subjektai bando spręsti sudėtingą ir įvairialypę kibernetinio saugumo įgūdžių trūkumo problemą. ES kibernetinio saugumo agentūra (ENISA) kuria priemones, susijusias su pareigybių aprašymais ar aukštuoju išsilavinimu, Europos kibernetinio saugumo pramonės, technologijų ir mokslinių tyrimų kompetencijos centras (ECCC) kibernetinio saugumo įgūdžius aptaria specialioje darbo grupėje, Europos saugumo ir gynybos koledžas (ESGK) dirba tobulindamas civilinės ir karinės srities darbuotojų kibernetinio saugumo įgūdžius bendros saugumo ir gynybos politikos kontekste, problemą bando spręsti privačios organizacijos, kibernetinio saugumo sertifikavimo sektorius kuria veiksmų gaires ir mokymus įgūdžių trūkumo problemai spręsti. Valstybės narės taip pat bando keisti situaciją įgyvendindamos įvairias iniciatyvas, tokias kaip reglamentavimo iniciatyvos, kibernetinių įgūdžių akademijų ar kibernetinio saugumo mokymo centrų, kibernetinių nusikaltimų kompetencijos centrų steigimas, viešojo ir privačiojo sektorių partnerystės. Tačiau visų šių suinteresuotųjų subjektų darbas dažnai nepakankamai koordinuojamas ir stokoja sinergijos, be to, neišnaudojamas jo potencialas reikšmingai pakeisti darbo rinką, kaip matyti iš vis didėjančio kibernetinio saugumo specialistų trūkumo ES. Taip pat reikia stiprinti kibernetinių bendruomenių sąveiką, nes įgūdžiai, reikalingi kibernetiniam saugumui užtikrinti, kovai su kibernetiniais nusikaltimais ar kibernetinei gynybai stiprinti, dažnai yra panašūs.
Galiausiai, šiandien ES turi ribotas galimybes įvertinti kibernetinio saugumo darbo rinkos padėtį bei pokyčius ir jos darbuotojų įgūdžius. Valstybės narės ir Europos institucijos, įstaigos ir agentūros remiasi privačių subjektų surinktais duomenimis arba platesniu ES mastu, visų pirma Eurostato ir Europos profesinio mokymo plėtros centro (CEDEFOP), surinktu duomenų apie IRT specialistus rinkiniu. Kitaip tariant, ES turimas poreikių vaizdas yra dalinis ir fragmentiškas, o tai trukdo suformuoti bendrą vaizdą apie kibernetinio saugumo rinkos padėtį.
3.Koordinuotas ES atsakas: Kibernetinio saugumo įgūdžių akademija
3.1.Tikslas
Siekdama spręsti kibernetinio saugumo įgūdžių problemą ir pašalinti darbo rinkos trūkumus, taip pat atsižvelgdama į Europos įgūdžių metus, Komisija siūlo įsteigti Kibernetinio saugumo įgūdžių akademiją, kaip pranešimo apie Sąjungos padėtį 2022 m. ketinimų rašte yra skelbusi Europos Komisijos pirmininkė.
Kibernetinio saugumo įgūdžių akademijos (toliau – Akademija) tikslas yra sukurti bendrą prieigos ir sinergijos punktą, kur būtų galima sužinoti švietimo ir mokymo kibernetinio saugumo srityje pasiūlymus, finansavimo galimybes ir konkrečius kibernetinio saugumo įgūdžių ugdymą remiančius veiksmus. Taip bus išplėstos suinteresuotųjų subjektų iniciatyvos, kad jos pasiektų tokį lygį, jog turėtų poveikį darbo rinkai, be kita ko, gynybos srityje. Siekiant didesnio poveikio ši veikla orientuojama į bendrus tikslus ir pagrindinius veiklos rezultatų rodiklius.
Akademijos prioritetas bus kibernetinio saugumo specialistų įgūdžių ugdymas. Akademijos veikla praturtins ne tik ES kibernetinio saugumo, bet ir švietimo ir mokymosi visą gyvenimą srityse politiką. Ji papildo dvi Tarybos rekomendacijas, susijusias su skaitmeniniu švietimu ir įgūdžiais; pasiūlymus dėl šių rekomendacijų Komisija teikia tuo pačiu metu, kaip ir šį komunikatą.
Akademija remsis keturiais veiklos ramsčiais: 1) skatins kurti žinias švietimo ir mokymo būdais, kuriant bendrą kibernetinio saugumo specialistų vaidmenų profilių ir susijusių įgūdžių sistemą, didinant Europos švietimo ir mokymo pasiūlą, kad ji atitiktų poreikius, kuriant karjeros galimybes ir užtikrinant kibernetinio saugumo mokymų ir sertifikatų matomumą ir aiškumą, kad būtų augtų darbo jėgos pasiūla; 2) užtikrins geresnį turimų su įgūdžiais susijusios veiklos finansavimo galimybių orientavimą ir matomumą, siekiant kuo labiau padidinti jų poveikį; 3) ragins suinteresuotuosius subjektus imtis veiksmų ir 4) nustatys rinkos raidos stebėsenos ir gebėjimo įvertinti savo veiksmų efektyvumą rodiklius.
Akademijai įsteigti bus skirtas 10 mln. EUR finansavimas pagal Skaitmeninės Europos programą.
3.2.Akademijos valdymas
Galiausiai, siekiant sukurti infrastruktūrą, kuri būtų naudojama kaip bendras prieigos punktas, skirtas bendruomenės, mokymo paslaugų teikėjų ir pramonės atstovų bendradarbiavimui stiprinti, kuriame ES kibernetinio saugumo ekosistemos tiekėjai ir vartotojai galėtų susitikti ir mokytis, Akademija galėtų būtų įsteigta kaip Europos skaitmeninės infrastruktūros konsorciumas (ESIK). Ši priemonė leistų valstybėms narėms kartu siekti pašalinti kibernetinio saugumo įgūdžių trūkumą, taip pat glaudžiai bendradarbiauti su Komisija, ENISA ir ECCC, atsižvelgiant į jų įgaliojimus ir kompetenciją, bei sutelkti visus suinteresuotuosius subjektus, taip pat tiesiogines Europos, nacionalines ir privačias investicijas bendram tikslui. Šiuo tikslu suinteresuotos valstybės narės raginamos iki 2023 m. gegužės 30 d. pateikti Komisijai išankstinį pranešimą, ar ateityje jos teiks paraišką dėl tokio ESIK. Tokie savanoriški išankstiniai pranešimai leistų Komisijai anksti pateikti pastabas dėl ESIK paraiškos projekto, kad paspartėtų tolesnio projekto tobulinimo ir oficialaus pateikimo procesas. Viso proceso metu ir tiek, kiek prašys valstybės narės, Komisija padės rengti ESIK paraišką, veikdama kaip daugiašalio projekto spartintoja. Paraiškai gavus teigiamą Komisijos įvertinimą ir Skaitmeninio dešimtmečio programos komiteto patvirtinimą, Komisija priimtų sprendimą, kuriuo įsteigiamas ESIK, o tada padėtų koordinuoti ESIK įgyvendinimą.
Tuo metu, kol bus oficialiai įsteigtas ESIK, Komisija, sukurs virtualų bendrą prieigos punktą, patobulindama jai priklausančią Skaitmeninių įgūdžių ir užimtumo platformą, tam panaudodama Paramos Europos kibernetinio saugumo bendruomenei projektą
.
ENISA prisidės prie Akademijos įgyvendinimo vadovaudamasi agentūros tikslais, visų pirma susijusiais su pagalba kibernetinio saugumo švietimo ir mokymo srityje, ir atsižvelgdama į savo ataskaitų teikimo įpareigojimus pagal TIS 2 direktyvą. ECCC rems Kibernetinio saugumo įgūdžių akademijos įgyvendinimą veikdamas pagal savo strateginę darbotvarkę. Konkrečiai, ECCC įgyvendins Skaitmeninės Europos programos 3 strateginį tikslą (kibernetinis saugumas). Per nacionalinius koordinavimo centrus (NKC) jam padės Komisija ir valstybės narės. Prireikus bus pasitelkiama Bendradarbiavimo grupė, įsteigta pagal TIS 2 direktyvą. Galiausiai, norint pasiekti Akademijos tikslą išspręsti kibernetinio saugumo įgūdžių trūkumo problemą, reikės suvienyti jėgas su pramonės ir akademinės bendruomenės atstovais.
4.Žinių kūrimas ir mokymas: bendro ES požiūrio į mokymą kibernetinio saugumo srityje nustatymas
Pagal Kibernetinio saugumo įgūdžių akademijos žinių kūrimo ir mokymo veiklos kryptį bus suformuotas struktūrinis požiūris, turintis aiškų tikslą padidinti Sąjungoje asmenų, turinčių kibernetinio saugumo įgūdžių, skaičių, geriau pritaikyti mokymą rinkos poreikiams ir užtikrinti karjeros galimybių matomumą.
4.1.Vienodai apibūdinti: bendras požiūris į kibernetinio saugumo specialistų vaidmenų profilius ir susijusius įgūdžius
ENISA jau atliko nemažai darbo apibrėždama kibernetinio saugumo specialistų vaidmenų profilius pagal Europos kibernetinio saugumo įgūdžių sistemą (ECSF). Tas darbas turėtų būti pagrindu Akademijai apibrėžiant ir vertinant atitinkamus įgūdžius, stebint įgūdžių trūkumo pokyčius ir teikiant informaciją apie naujus poreikius. Į kiekvieno ECSF kibernetinio saugumo specialisto vaidmens profilio aprašymą yra įtraukti taikytini gebėjimai, nurodyti Europos e. kompetencijos sistemoje.
Todėl ENISA peržiūrės ECSF ir nustatys kintančius kibernetinio saugumo darbuotojų įgūdžių poreikius ir spragas, be kita ko, taikydama pažangias priemones (pvz., dirbtinį intelektą, didžiuosius duomenis, duomenų gavybą). Šiuo tikslu ENISA dirbs vadovaujant ESIK, kai jis bus įsteigtas, ir Europos kibernetinio saugumo pramonės, technologijų ir mokslinių tyrimų kompetencijos centrui, kartu su nacionaliniais koordinavimo centrais, Komisija, ECCO projekto atstovais ir rinkos dalyviais. Kibernetinės gynybos darbuotojų klausimu ENISA deramai atsižvelgs į ESGK atliktą darbą. Be to, kovos su kibernetiniais nusikaltimais srityje ENISA atsižvelgs į ES teisėsaugos mokymo agentūros (CEPOL) ir Europolo veiklą rengiant su kibernetiniais išpuoliais susijusią operacinio rengimo poreikių analizę.
ECSF bus reguliariai papildoma ir peržiūrima Akademijoje kas dvejus metus. Be to, Komisija ir Europos išorės veiksmų tarnyba, remiamos ES agentūrų ir įstaigų, tokių kaip ESGK, Europolo ir CEPOL, pagal poreikį padės apibrėžti sektoriams skirtus konkrečius profilius ir susijusius įgūdžius.
Taip pat bus nustatyti ryšiai tarp ECSF ir atitinkamų ES užimtumo politikos priemonių. Konkrečiai, ECSF pareigybių aprašymai ir susiję įgūdžiai bus įtraukti į ESCO klasifikaciją. Taip bus patikslinta kibernetinio saugumo srities profesijų ir įgūdžių klasifikacija ir sąsajos tarp jų, todėl asmenims bus paprasčiau kelti kvalifikaciją ir persikvalifikuoti, taip pat bus remiamas darbo jėgos pasiūlos ir paklausos derinimas atsižvelgiant į įgūdžius ir tarpvalstybinis judumas.
4.2.Bendradarbiavimo kuriant kibernetinio saugumo švietimo ir mokymo programas skatinimas
Įsteigus ESIK, Akademija turėtų gauti valstybių narių paramą, kad ji taptų į paklausiausius įgūdžius orientuota pavyzdine kibernetinio saugumo mokymo kūrimo ir teikimo vieta Europoje, startuoliams, MVĮ ir viešojo administravimo įstaigoms teikiančia mokymo darbo vietoje ir mokomosios praktikos galimybes novatoriškose kibernetinio saugumo įmonėse ir kibernetinio saugumo kompetencijos centruose. ESIK, rengdamas tokį mokymą, turėtų bendradarbiauti su visais suinteresuotaisiais subjektais, įskaitant pramonės atstovus, ir remtis projektais, kaip antai Skaitmeninės Europos programos lėšomis finansuojamu „CyberSecPro“, į kurį įsitraukusios 17 aukštojo mokslo institucijų ir 13 saugumo bendrovių iš 16 valstybių narių siekia kartu formuoti visų kibernetinio saugumo mokymo programų geriausią patirtį.
Akademija bendradarbiaus su visais susijusiais suinteresuotaisiais subjektais siekdama paskatinti jaunimą pradėti karjerą kibernetinio saugumo srityje. Atsižvelgdamos į pasiūlymą dėl Tarybos rekomendacijos dėl skaitmeninių įgūdžių ugdymo švietimo ir mokymo srityje gerinimo, valstybės narės turėtų priimti ir sustiprinti mokytojams ir dėstytojams specialistams įdarbinti ir mokyti skirtas priemones, taip pat palengvinti kibernetinio saugumo įgūdžių įgijimą, be kita ko, per pameistrystę. Turėtų būti skatinama įtraukti kibernetinį saugumą į švietimo ir mokymo programas, kartu užtikrinant jų prieinamumą, kurti pameistrystės ir stažuočių pasiūlą, skatinti novatoriškus metodus, įskaitant, pavyzdžiui, rimtuosius žaidimus ir bendras imitavimo platformas, organizuoti kibernetinio saugumo specialistų darbo išbandymo savaites, paaiškinti netechninių vaidmenų profilius. Taip pat turėtų būti remiamas sunkiai pasiekiamų grupių, pavyzdžiui, neįgalių jaunuolių, gyvenančių atokiose ar kaimo vietovėse, ir kitų mažumų grupių, naudojimasis šiomis kibernetinio saugumo mokymosi galimybėmis.
Komisija toliau teiks paramą mikrokredencialų, profesinio mokymo ir mokymo programų rengimui. Konkrečiai, pagal programą „Erasmus+“ toliau bus finansuojamos jungtinės bakalauro ir magistrantūros programos, jungtiniai kursai ar moduliai, kurie leistų gauti mikrokredencialų, ir mišrios intensyvios programos visomis temomis, įskaitant kibernetinį saugumą. Taip pat bus remiamas tolesnis Europos universitetų iniciatyvos ir profesinės kompetencijos centrų įgyvendinimas siekiant skatinti glaudesnį aukštojo mokslo, atitinkamo profesinio rengimo ir mokymo institucijų bendradarbiavimą Europoje. Šis glaudesnio bendradarbiavimo tikslas bus remiamas pagal ES finansavimo programas, įskaitant „Erasmus+“ ir Skaitmeninės Europos programą, taip pat ES lėšomis, skirtomis individualiųjų mokymosi sąskaitų kūrimui.
Siekiant palengvinti akademinės bendruomenės ir kibernetinio saugumo įgūdžių mokymo paslaugų teikėjų ir privačiojo ir viešojo sektorių darbdavių bendradarbiavimą nacionaliniu lygmeniu ir skatinti viešojo ir privačiojo sektorių sinergiją, nacionaliniai koordinavimo centrai raginami įvertinti galimybę valstybėse narėse steigti kibernetinio saugumo mokymo centrus . Kibernetinio saugumo mokymo centrų tikslas būtų nacionaliniu lygmeniu rodyti pavyzdį kibernetinio saugumo bendruomenei, o Akademija padėtų jiems plėsti tinklaveiką ir toliau koordinuoti veiklą.
ENISA taip pat gerins savo kibernetinio saugumo mokymo pasiūlą, suderindama savo kursų katalogą su ECSF profiliais ir rengdama kiekvienam profiliui skirtus mokymo modulius, o tai gali pagerinti valstybių narių mokymo pasiūlą. ENISA taip pat išplės savo mokytojų mokymo programą, atsižvelgdama į ES institucijų, įstaigų, organų ir agentūrų, valstybių narių valdžios institucijų ir viešųjų ir privačių ypatingos svarbos operatorių, kuriems taikoma TIS 2 direktyva, profesinius poreikius.
Be to, savo kibernetinio saugumo mokymo pasiūlą plės kitos ES agentūros ir įstaigos. Pavyzdžiui, įgyvendinant ES kibernetinės gynybos politiką, ESGK parengs naują kibernetinio saugumo kursų grupę, o kai kuriuos dabartinius kursus suderins su ECSF. Išklausius šiuos kursus bus galima sertifikuoti mokymosi rezultatus. ESGK, bendradarbiaudamas su Komisija, įvertins galimybę įtraukti sertifikatus į ES e. ID dėklę. ESGK taip pat įvertins galimybę vertinti įgūdžių mechanizmus, pagal kuriuos bus išduodami sertifikatai. Kovos su kibernetiniais nusikaltimais srityje taip pat bus siekiama glaudžiai bendradarbiauti su CEPOL Kovos su kibernetiniais nusikaltimais akademija, kad būtų mokymo programas rengiantys ir įgyvendinantys subjektai pasiektų sinergiją ir vieni kitus papildytų.
4.3.Kibernetinio saugumo mokymo ir sertifikavimo sinergijos kūrimas ir matomumo užtikrinimas valstybėse narėse
Akademija turėtų spręsti mokymo ir sertifikavimo matomumo ir sinergijos klausimą. Tai būtų naudinga civilinėms, gynybos, teisėsaugos ir diplomatinėms kibernetinėms bendruomenėms, nes daugeliu atvejų visuose sektoriuose reikalinga vienoda kvalifikacija, įgyta pagal panašias mokymo programas ir mokymosi rezultatus.
Akademija suteiktų bendrą prieigos punktą asmenims, kuriuos domina karjera kibernetinio saugumo srityje. Artimiausiu metu tai bus daroma tobulinant Komisijos Skaitmeninių įgūdžių ir užimtumo platformą, tam pasinaudojant ECCO projektu. Specialiame kibernetinio saugumo karjeros skyriuje bus pateiktos nuorodos į esamas priemones – aukštojo mokslo programas, mokymo galimybes, įskaitant kursus, kurių metu galima gauti mikrokredencialų, ir profesinio rengimo ir mokymo programas, taip pat darbo pasiūlymus. Tai bus pasiekta platformoje nurodant arba į ją integruojant vykstantį darbą ir iniciatyvas, kaip antai tuos, kuriuos vykdo ENISA, kuri, bendradarbiaudama su akademine bendruomene, sudarė švietimo institucijų, kuriose teikiamos kibernetinio saugumo programos, sąvadą. Ji bus toliau tobulinama padedant nacionaliniams koordinavimo centrams. Be to, ENISA, padedama nacionalinių koordinavimo centrų, Komisijos ir ECCO projekto, ir bendradarbiaudama su sertifikatus išduodančiais subjektais, taip pat remdamasi kitomis susijusiomis iniciatyvomis, sukurs ir konsoliduos dvi esamų viešojo ir privačiojo sektorių mokymų ir kibernetinio saugumo sertifikatų duomenų saugyklas. Jos taip pat bus įtrauktos į Skaitmeninių įgūdžių ir užimtumo platformos bendrą prieigos punktą. Šis darbas taip pat bus naudingas nacionaliniams koordinavimo centrams, kurių užduotis visų pirma yra propaguoti ir skleisti kibernetinio saugumo švietimo programas.
Specialistai taip pat turi būti užtikrinti, kad mokymai, kuriuose jie dalyvauja, yra reikiamos kokybės. Šiuo klausimu ENISA parengs bandomąjį projektą, pagal kurį bus apsvarstyta galimybė nustatyti Europos kibernetinių įgūdžių atestavimo sistemą.
Be to, nors būtina nustatyti įgūdžius ir mokymus ir susieti juos su pareigybių aprašymais, tačiau taip pat svarbu užtikrinti, kad kibernetinio saugumo paslaugos būtų teikiamos turint reikiamą kompetenciją, kvalifikaciją ir patirtį. Tai ypač taikoma valdomiems saugumo paslaugų teikėjams, kurie teikia paslaugas tokiose srityse kaip reagavimas į incidentus, skverbimosi testavimas, saugumo auditai ir konsultacijos. TIS 2 direktyvoje ir pasiūlyme dėl Kibernetinio solidarumo akto nustatytos konkrečios tokių valdomų saugumo paslaugų teikėjų užduotys. Todėl Komisija taip pat siūlo tikslinį Kibernetinio saugumo akto pakeitimą, kad būtų galima ES lygmeniu taikyti valdomų saugumo paslaugų sertifikavimo schemas. Tokiomis sertifikavimo schemomis turėtų būti siekiama, be kita ko, užtikrinti, kad šias paslaugas teiktų darbuotojai, turintys itin aukšto lygio techninių žinių ir kompetencijos atitinkamose srityse.
Mikrokredencialų kokybės užtikrinimo ir pripažinimo mechanizmai padeda užtikrinti mokymosi rezultatų skaidrumą, palyginamumą ir perkeliamumą. Pagal Tarybos rekomendaciją dėl europinio požiūrio į mikrokredencialus valstybės narės raginamos įtraukti kibernetinio saugumo mikrokredencialus į savo nacionalines kvalifikacijų sandaras. Tai leistų joms susieti kibernetinio saugumo mikrokredencialus su Europos kvalifikacijų sandara. Naudojantis Europos skaitmeninių mokymosi kredencialų infrastruktūra gali būti išduodamos skaitmeniniu būdu pasirašytos asmenų kibernetinio saugumo kvalifikacijos ir mikrokredencialai. Juose pateikiama daug duomenų, įskaitant duomenis apie mokymosi rezultatus kibernetinio saugumo srityje, ir jie gali būti saugomi būsimoje ES e. ID skaitmeninėje dėklėje.
Veiksmai įgyvendinant Akademiją
Valstybės narės ir pramonės atstovai
·Užtikrins paramą kibernetinio saugumo srities mokymosi mikrokredencialų kūrimui ir pripažinimui pagal Tarybos rekomendaciją dėl europinio požiūrio į mikrokredencialus.
·Į nacionalines kvalifikacijų sandaras įtrauks kibernetinio saugumo kvalifikacijas, įskaitant mikrokredencialus.
·Teiks mokymosi darbo vietoje galimybes pameistrystės praktikos forma asmenims, dalyvaujantiems kibernetinio saugumo įgūdžių ugdymo iniciatyvose.
Komisija
·Trumpuoju laikotarpiu, iki 2023 m. pabaigos, sukurs bendrą prieigos punktą, skirtą kibernetinio saugumo programoms, esamiems mokymams ir kibernetinio saugumo sertifikatams, prieinamą per Skaitmeninių įgūdžių ir užimtumo platformą.
·2023 m. balandžio 18 d. pateiks pasiūlymą dėl Kibernetinio saugumo akto pakeitimo, kad būtų sudarytos sąlygos sertifikuoti valdomus saugumo paslaugų teikėjus.
ES įstaigos ir agentūros
·Iki 2023 m. pabaigos sukurs ECSF kaip bendrą požiūrį į kibernetinio saugumo specialistų vaidmenų profilius ir susijusius įgūdžius.
·ENISA – 2023 m. antrą ketvirtį pradės kurti bandomąjį projektą, pagal kurį būtų sukurta Europos kibernetinių įgūdžių atestavimo sistema.
·ENISA – iki 2023 m. pabaigos peržiūrės savo kursų katalogą ir atvers savo mokytojų mokymo programą viešiesiems ir privatiesiems ypatingos svarbos operatoriams.
·Iki 2023 m. vidurio baigs derinti ESGK mokymo programas su ECSF.
|
5.Suinteresuotųjų subjektų dalyvavimas: įsipareigojimas šalinti kibernetinio saugumo įgūdžių trūkumą
Akademijoje bus formuojamas koordinuotas požiūris į suinteresuotųjų subjektų dalyvavimą siekiant spręsti kibernetinio saugumo įgūdžių trūkumo problemą. Bus siekiama kuo labiau padidinti įvairių suinteresuotųjų subjektų įsipareigojimų, kuriais siekiama sumažinti kibernetinio saugumo įgūdžių trūkumą, matomumą ir poveikį.
Komisija ragina suinteresuotuosius subjektus prisiimti konkrečius įsipareigojimus specialiais veiksmais kelti ir keisti darbuotojų kvalifikaciją, kuo labiau atsižvelgiant į nustatytą kibernetinio saugumo įgūdžių trūkumą. Apie tokius suinteresuotųjų subjektų įsipareigojimus dėl kibernetinio saugumo turėtų būti pranešta Skaitmeninių įgūdžių ir užimtumo platformoje, panašiai kaip ir kitų platformoje jau rodomų skaitmeninių įsipareigojimų atveju. Komisija taip pat ragina suinteresuotuosius subjektus, Platformoje prisiimančius įsipareigojimus dėl kibernetinio saugumo, prisijungti prie Plataus masto skaitmeninės partnerystės pagal Įgūdžių paktą. Įsipareigojimus dėl kibernetinio saugumo, prisiimtus pagal Plataus masto skaitmeninę partnerystę, skatinama pateikti Skaitmeninių įgūdžių ir užimtumo platformoje. Be to, apie Skaitmeninių įgūdžių ir užimtumo platformoje prisiimtus įsipareigojimus skatinama pranešti pagal Plataus masto skaitmeninę partnerystę pagal Įgūdžių paktą.
Komisija taip pat ragina valstybes nares toliau dėti pastangas įgyvendinant deklaraciją „Moterys skaitmeninėje ekonomikoje“ siekiant paskatinti moteris imtis aktyvaus ir ryškaus vaidmens skaitmeninių technologijų sektoriuje ir užtikrinti lyčių konvergenciją darbo vietose kibernetinio saugumo srityje. Komisija taip pat ragina valstybes nares plėtoti sąveiką su savo „Europos socialinio fondo +“ (ESF+) programomis siekiant toliau remti lyčių lygybės darbo rinkoje tikslo įgyvendinimą, pavyzdžiui, parengiant mergaitėms ir moterims skirtas mentorystės programas. Jos gali padėti formuoti sektinus pavyzdžius siekiant paskatinti mergaites rinktis kibernetinio saugumo specialybes, kartu kovojant su lyčių stereotipais. Jos taip pat drąsina moteris kelti kvalifikaciją bei persikvalifikuoti ir skatina kurti bendruomenę, kuri galėtų padėti moterims patekti į kibernetinio saugumo darbo rinką arba kilti pareigose.
Valstybės narės, įgyvendindamos savo nacionalines kibernetinio saugumo strategijas, turėtų priimti konkrečias priemones, kuriomis būtų siekiama sumažinti kibernetinio saugumo įgūdžių trūkumą, nustatyti, kaip šalinti įgūdžių spragas, ir geriau nukreipti šias pastangas, ir galiausiai užtikrinti tinkamą savo įsipareigojimų pagal TIS 2 direktyvą įgyvendinimą.
Kai kurios valstybės narės naudojasi civilinių, gynybos ir teisėsaugos iniciatyvų sinergija. Pavyzdžiui, darbuotojų ugdymas pasitelkiant savo nacionalinę privalomąją karo tarnybą arba kibernetinio saugumo specialistus rezervininkus – karinį parengimą turinčius piliečius, užimančius kibernetinio saugumo pareigas ginkluotosiose pajėgose, sudaro sąlygas visuomenei, o ypač jaunimui ugdyti savo kibernetinio saugumo ir kibernetinės gynybos įgūdžius. Tas pats tinka ir kovos su kibernetiniais nusikaltimais srityje, nes tarp bendrų kibernetinio saugumo veiksmų ir teisėsaugos veiksmų reaguojant į kibernetinio saugumo incidentus yra daug panašumų. Komisija skatina valstybes nares diskutuoti apie tokias iniciatyvas ir įvertinti, kaip kvalifikuoti darbuotojai galėtų geriausiai pasitarnauti gynybos ir civilinėms kibernetinio saugumo bendruomenėms.
Komisija apsvarstys pasiūlymus, kaip pašalinti esamas ir numatomas spragas, nustatytas jai atliekant ES institucijų, įstaigų, organų ir agentūrų poreikių peržiūrą. Ji visų pirma skatins darbuotojus dalyvauti būsimoje ES ir Jungtinių Amerikos Valstijų (JAV) kibernetinio saugumo stažuotėje, įkurtoje ES ir JAV dialogo metu.
Veiksmai įgyvendinant Akademiją
Pramonės atstovai
·Nuo 2023 m. balandžio 18 d. pasiūlys konkrečius įsipareigojimus dėl kibernetinio saugumo Skaitmeninių įgūdžių ir užimtumo platformoje.
Valstybės narės
· Nacionalinėse kibernetinio saugumo strategijose numatys konkrečias priemones kibernetinio saugumo srities įgūdžių trūkumui mažinti.
Valstybės narės ir pramonės atstovai
·Iki 2030 m. įgyvendins deklaraciją „Moterys skaitmeninėje ekonomikoje“ ir pasieks lyčių konvergenciją kibernetinio saugumo darbo vietose.
|
6.Finansavimas. Sinergijos kūrimas siekiant kuo labiau padidinti kibernetinio saugumo įgūdžių ugdymo išlaidų poveikį
Įgyvendinant Akademiją investicijų į kibernetinio saugumo įgūdžius poveikis bus padidintas sukuriant bendrą prieigą, sudarant sąlygas geriau nukreipti lėšas pagal rinkos poreikius ir racionalizuojant finansavimo naudojimą, skatinant skirtingų priemonių sinergiją ir vengiant pastangų pasikartojimo.
6.1. Lėšų ir poreikių derinimas
Įgyvendinant Akademiją ECCC, remiamas Komisijos, ECCO projekto ir nacionalinių koordinavimo centrų, rinks informaciją apie tai, kaip ES lėšos naudojamos kibernetinio saugumo įgūdžių ugdymui finansuoti, ir vertins, kaip ES lėšomis remiamas kibernetinio saugumo įgūdžių trūkumo mažinimas. Atsižvelgdamas į šią apibendrintą informaciją, ECCC sieks užtikrinti, kad ES lėšos būtų geriau panaudojamos nustatytiems poreikiams patenkinti. Jis finansuos veiksmus, kuriais būtų šalinamos aktualiausios kibernetinio saugumo darbo jėgos spragos, įskaitant tas, kurios susijusios su kibernetinio saugumo politikos poreikių įgyvendinimu.
6.2. Turimų lėšų ir partnerystės iniciatyvų, skirtų kibernetinio saugumo įgūdžiams ugdyti, matomumo užtikrinimas
Trumpuoju laikotarpiu Skaitmeninių įgūdžių ir užimtumo platforma taps bendru prieigos punktu visiems suinteresuotiesiems subjektams, ir jame bus prieinama visa informacija apie kibernetinio saugumo įgūdžių ugdymo finansavimo galimybes.
ES investuoja į žmones ir jų įgūdžius ir pasitelkia partnerystes, ypač su pramonės atstovais, kad organizuotų kvalifikacijos kėlimo ir perkvalifikavimo veiksmus, naudodamasi keliomis priemonėmis, nustatytomis pagal Europos įgūdžių darbotvarkę
, visų pirma pagal Įgūdžių paktą
ir Skaitmeninio švietimo veiksmų planą. Pagal Skaitmeninės Europos programą finansuojamos kibernetinio saugumo įgūdžių galimybės, konkrečiai, įgyvendinant daugiašalių projektų iniciatyvas, aiškiai papildančias programos „Europos horizontas“ paramą moksliniams tyrimams ir novatoriškiems technologiniams sprendimams kibernetinio saugumo srityje. Europos gynybos fondas finansuoja mokslinius tyrimus ir technologijų plėtrą siekiant vykdyti veiksmingas kibernetines operacijas, įskaitant mokymus ir pratybas. Tokios iniciatyvos toliau bus remiamos pagal programą „Erasmus +“, be kita ko, vykdant mišriąsias intensyvias programas ir bendradarbiavimo projektus.
Valstybės narės raginamos sutelkti tiesiogiai valdomas ES lėšas kibernetinio saugumo įgūdžiams ir darbo vietoms remti. Sanglaudos politikos fondai, pavyzdžiui, Europos regioninės plėtros fondas (ERDF) ir ESF+, turi didelį potencialą užtikrinti sinergiją šiuo klausimu. Veiksmai pagal Ekonomikos gaivinimo ir atsparumo didinimo priemonę (RRF) ir programą „InvestEU“ svariai papildo pastangas įgyvendinti Akademijos tikslus.
Veiksmai įgyvendinant Akademiją
Europos kibernetinio saugumo kompetencijos centras ir ENISA
·Iki 2024 m. pabaigos susies esamą finansavimą, skirtą kibernetinio saugumo įgūdžiams, su rinkos poreikiais, įvertins veiksmingumą ir nustatys finansavimo prioritetus.
Komisija
·Iki 2023 m. pabaigos sukurs kibernetinio saugumo įgūdžių finansavimo galimybėms skirtą bendrą prieigos punktą Skaitmeninių įgūdžių ir užimtumo platformoje.
|
7.Pažangos vertinimas. Integruota atskaitomybė
Įgyvendinant Akademiją bus parengta metodika, pagal kurią bus galima įvertinti pažangą, padarytą siekiant panaikinti kibernetinio saugumo įgūdžių trūkumą.
7.1.Kibernetinio saugumo rodiklių nustatymas siekiant stebėti kibernetinio saugumo darbo rinkos raidą
Naudojant skaitmeninės ekonomikos ir visuomenės indeksą (DESI), apibendrinami Europos skaitmeninimo veiklos rodikliai ir stebima ES valstybių narių pažanga. Įgyvendinant Kibernetinio saugumo įgūdžių akademiją, ENISA, bendradarbiaudama su Komisija ir TIS bendradarbiavimo grupe ir konsultuodamasi su susijusiais rinkos dalyviais ir nacionaliniais koordinavimo centrais, parengs rodiklius, be kita ko, susijusius su lytimi, kad būtų galima sekti ES valstybėse narėse padarytą pažangą siekiant padidinti kibernetinio saugumo specialistų skaičių. ENISA remsis DESI metodika ir užtikrins, kad rodikliai atitiktų Europos skaitmeninius tikslus dėl IRT specialistų ir dėl lyčių konvergencijos užtikrinimo IRT srityje. Tada Komisija sieks įtraukti tokius rodiklius į DESI, kad būtų galima kasmet sekti kibernetinio saugumo įgūdžių ir darbo rinkos padėtį.
7.2.Duomenų rinkimas ir ataskaitų teikimas
ENISA, naudodamasi parama pagal ECCO projektą ir padedama nacionalinių koordinavimo centrų, rinks duomenis apie rodiklius. Remdamasi surinktais duomenimis ENISA parengs metinę ataskaitą, į kurią bus atsižvelgta rengiant Skaitmeninio dešimtmečio pažangos ataskaitą, o pastarąja kartu su DESI bus toliau remiamasi rengiant Europos semestro konkrečioms šalims skirtą analizę ir rekomendacijas. Be to, kibernetinio saugumo įgūdžių rodikliais ENISA naudosis, kas dvejus metus rengdama TIS 2 direktyvoje numatytą kibernetinio saugumo būklės Sąjungoje ataskaitą, kurioje bus aptariami kibernetinio saugumo pajėgumai, informuotumas apie jį ir su juo susiję įpročiai ES.
7.3.Kibernetinio saugumo pagrindinių veiklos rezultatų rodiklių (PVRR) rengimas
Siekdama pašalinti Europos kibernetinio saugumo srities talentų trūkumą, ENISA, glaudžiai bendradarbiaudama su Komisija ir nacionaliniais koordinavimo centrais, pasiūlys Komisijai PVRR, parengtus naudojant 2030 m. Skaitmeninio dešimtmečio politikos programos metodiką ir verslo patirtį. ENISA deramai atsižvelgs į PVRR, kuriuos valstybės narės naudoja savo nacionalinėms kibernetinio saugumo strategijoms įvertinti.
Veiksmai įgyvendinant Akademiją
ENISA
·Iki 2023 m. pabaigos parengs kibernetinio saugumo įgūdžių rodiklius ir PVRR.
·Surinks duomenis apie rodiklius ir apie juos praneš (pirmą kartą duomenys bus surinkti iki 2025 m.).
Komisija
·Dirbs siekdama įtraukti kibernetinio saugumo rodiklius į DESI ir Skaitmeninio dešimtmečio pažangos ataskaitą.
|
8.Išvada
Šiuo komunikatu numatytos pamatinės priemonės, padėsiančios pertvarkyti ES požiūrį į ES specialistų kibernetinio saugumo įgūdžių ugdymą. Siekiama sumažinti kibernetinio saugumo įgūdžių trūkumą ir aprūpinti ES reikiamais darbuotojais, kad ji galėtų reaguoti į nuolat kintančią grėsmių padėtį, įgyvendinti ES politiką, kuria siekiama apsaugoti ES nuo kibernetinių išpuolių, taip pat didinti verslo galimybes ir konkurencingumą. Kvalifikuota kibernetinio saugumo darbo jėga gali būti naudinga civilinėms, gynybos, diplomatinėms ir teisėsaugos bendruomenėms, ir palengvinti jų sinergiją.
Komisija ragina valstybes nares ir visus suinteresuotuosius subjektus įgyvendinti Kibernetinio saugumo įgūdžių akademijos užmojus.