PRILOGA

Načrt za usklajen odziv na velike čezmejne kibernetske incidente in krize

UVOD

Ta načrt se uporablja za kibernetske incidente, ki povzročijo prevelike motnje, da bi jih lahko prizadeta država članica obvladala sama, ali prizadenejo vsaj dve državi članici ali instituciji EU tako obsežno in s tako občutnim tehničnim ali političnim učinkom, da zahtevajo pravočasno politično usklajevanje in odziv na politični ravni Unije.

Tako veliki kibernetski incidenti se štejejo za kibernetsko „krizo“.

V primeru vseevropske krize, povezane s kibernetiko, usklajevanje odziva na politični ravni Unije vodi Svet z uporabo enotnih ureditev EU za politično odzivanje na krize (IPCR).

Znotraj komisije bo usklajevanje potekalo po sistemu hitrega obveščanja ARGUS.

Če bo imela kriza znaten vpliv na zunanjo ali skupno varnostno in obrambno politiko (SVOP), se aktivira mehanizem ESZD za krizno odzivanje.

V načrtu je opisano, kako bi morali ti uveljavljeni mehanizmi za krizno upravljanje polno izkoristiti obstoječe subjekte kibernetske varnosti na ravni EU in mehanizme za sodelovanje med državami članicami.

Pri tem načrt upošteva sklop vodilnih načel (sorazmernost, subsidiarnost, dopolnjevanje in zaupnost informacij) ter predstavlja glavne cilje sodelovanja (učinkovit odziv, skupno situacijsko zavedanje, sporočila za komuniciranje z javnostjo) na treh ravneh (strateško-politični, operativni in tehnični), mehanizme in vpletene akterje ter dejavnosti za doseganje navedenih glavnih ciljev.

Načrt ne zajema celotnega življenjskega cikla kriznega upravljanja (preprečevanje/blaženje, pripravljenost, odzivanje, obnova), temveč se osredotoča na odzivanje. Kljub temu obravnava tudi nekatere dejavnosti, zlasti dejavnosti, povezane s skupnim situacijskim zavedanjem.

Pomembno je tudi poudariti, da so lahko kibernetski incidenti vzrok ali del širše krize, ki vpliva tudi na druge sektorje. Ker bo verjetno večina kibernetskih kriz vplivala na fizični svet, mora vsak ustrezen odziv temeljiti tako na kibernetskih kot nekibernetskih blažilnih dejavnostih. Dejavnosti kibernetskega kriznega odzivanja bi morale biti usklajene z drugimi mehanizmi za krizno upravljanje na ravni EU ter na nacionalni ali sektorski ravni.

Načrt tudi ne nadomešča obstoječih mehanizmov, ureditev ali instrumentov v posameznih sektorjih ali posameznih politikah, kot na primer tisti, ki je bil vzpostavljen za evropski program globalnega satelitskega navigacijskega sistema (GNSS) (1), in ne bi smel posegati vanje.

Vodilna načela

Pri prizadevanju za cilje, opredeljevanju potrebnih dejavnosti ter dodeljevanju vlog in odgovornosti ustreznim akterjem ali mehanizmom so bila uporabljena naslednja vodilna načela, ki jih je treba upoštevati tudi pri pripravi prihodnjih izvedbenih smernic.

Sorazmernost: Velika večina kibernetskih incidentov, ki prizadene države članice, ne pomeni nacionalne „krize“, še manj pa evropske. Temelj za sodelovanje med državami članicami pri odzivanju na take incidente je mreža skupin za odzivanje na incidente na področju računalniške varnosti (skupin CSIRT), ki so bile vzpostavljene z direktivo o varnosti omrežij in informacij (2). Nacionalne skupine CSIRT prostovoljno, dnevno in v skladu s standardnimi operativnimi postopki (SOP) mreže skupin CSIRT sodelujejo in izmenjujejo informacije, med drugim po potrebi kot odziv na kibernetske incidente, ki prizadenejo eno ali več držav članic. Načrt bi moral zato te standardne operativne postopke popolnoma izkoristiti, v njih pa bi se morale odražati vse dodatne naloge, povezane s kibernetsko krizo.

Subsidiarnost: Načelo subsidiarnosti je ključno. Glavno odgovornost za odzivanje ob velikih kibernetskih incidentih ali krizah imajo prizadete države članice. Pomembno vlogo pa imajo tudi Komisija, Evropska služba za zunanje delovanje in druge institucije, uradi, agencije in organi EU. To vlogo jasno določajo ureditve IPCR, izhaja pa tudi iz prava Unije ali enostavno iz dejstva, da lahko kibernetski incidenti in krize prizadenejo vsa področja gospodarske dejavnosti znotraj enotnega trga, varnost in mednarodne odnose Unije, pa tudi same institucije EU.

Dopolnjevanje: Načrt v celoti upošteva obstoječe mehanizme za krizno upravljanje na ravni EU (enotne ureditve EU za politično odzivanje na krize (IPCR), sistem ARGUS in mehanizem ESZD za krizno odzivanje), vanje vključuje nove strukture in mehanizme iz direktive o varnosti omrežij in informacij (mrežo skupin CSIRT) ter relevantne agencije in organe (Agencijo Evropske unije za varnost omrežij in informacij (ENISA), Evropski center za boj proti kibernetski kriminaliteti pri Europolu (Europol/EC3), Obveščevalni in situacijski center EU (INTCEN), Obveščevalni direktorat Vojaškega štaba EU (EUMS INT) ter situacijsko sobo (SITROOM) znotraj INTCEN, ki skupaj delujejo kot SIAC (enotna zmogljivost za analize obveščevalnih podatkov); hibridno fuzijsko celico EU (s sedežem v INTCEN) ter skupino za odzivanje na računalniške grožnje za evropske institucije, organe in agencije (CERT-EU)). Pri tem bi moral načrt zagotoviti tudi, da se pri interakciji in sodelovanju čim bolj dopolnjujejo, njihove naloge pa čim manj prekrivajo.

Zaupnost informacij: Vse izmenjave informacij v okviru načrta morajo spoštovati veljavna pravila o varnosti (3), varstvu osebnih podatkov in semaforski protokol (4). Za izmenjavo tajnih podatkov se ne glede na uporabljeno razvrstitveno shemo uporabijo razpoložljiva potrjena orodja (5). Pri obdelavi osebnih podatkov bodo upoštevani veljavni predpisi EU, zlasti Splošna uredba o varstvu podatkov (6), Direktiva o zasebnosti in elektronskih komunikacijah (7) ter uredba (8)„o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov“.

Glavni cilji

Sodelovanje na podlagi načrta sledi prej navedenemu pristopu na treh ravneh: politični, operativni in tehnični. Na vsaki ravni lahko sodelovanje vključuje izmenjavo informacij ter skupne ukrepe, njegov namen pa je doseči glavne cilje iz nadaljevanja.

—

Omogočanje učinkovitega odziva: Odziv je lahko različen: od opredeljevanja tehničnih ukrepov, pri čemer morata vsaj dva subjekta skupaj preiskovati tehnične vzroke incidenta (npr. analiza zlonamerne programske opreme), ali načinov, kako lahko organizacije ocenijo, ali so bile prizadete (npr. kazalniki ogroženosti), do sprejemanja operativnih odločitev o uporabi takih tehničnih ukrepov ter odločanja na politični ravni o sprožitvi drugih instrumentov, kot so diplomatski odziv EU na zlonamerne kibernetske dejavnosti („orodje za kibernetsko diplomacijo“) ali operativni protokol EU za preprečevanje hibridnih groženj, odvisno od incidenta.

—

Skupno situacijsko zavedanje: Za usklajen odziv je bistveno, da vse relevantne zainteresirane strani na vseh treh ravneh (tehnični, operativni in politični) dovolj dobro razumejo dogodke, ko ti potekajo. Situacijsko zavedanje lahko vključuje tehnološke elemente o vzrokih ter učinek in izvor incidenta. Ker lahko kibernetski incidenti prizadenejo vrsto različnih sektorjev (finančni, energetski, prometni, zdravstveni sektor in druge), je nujno, da ustrezne informacije v primerni obliki pravočasno dosežejo vse relevantne zainteresirane strani.

—

Strinjanje o ključnih sporočilih za komuniciranje z javnostjo (9): Krizno komuniciranje ima pomembno vlogo pri blaženju negativnih učinkov kibernetskih incidentov in kriz, lahko pa se uporabi tudi za vplivanje na ravnanje (morebitnih) napadalcev. Z ustreznim sporočilom je mogoče tudi jasno sporočiti verjetne posledice diplomatskega odziva in s tem vplivati na ravnanje napadalcev. Usklajevanje komuniciranja z javnostjo za blaženje negativnih učinkov kibernetskih incidentov in kriz ter komuniciranje z javnostjo za vplivanje na napadalca je nujno za učinkovit politični odziv. Pri kibernetski varnosti je nadvse pomembno razširjanje pravilnih konkretnih informacij o tem, kako lahko javnost ublaži učinke incidenta (npr. z namestitvijo programskih popravkov, sprejetjem dopolnilnih ukrepov v izogib grožnji itd.).

SODELOVANJE MED DRžAVAMI ČLANICAMI TER MED DRžAVAMI ČLANICAMI IN AKTERJI EU NA TEHNIČNI, OPERATIVNI IN STRATEŠKO-POLITIČNI RAVNI

Učinkovit odziv na velike kibernetske incidente ali krize na ravni EU je odvisen od učinkovitega tehničnega, operativnega in strateško-političnega sodelovanja.

Na vsaki ravni bi morali vpleteni akterji izvajati posebne dejavnosti za doseganje treh glavnih ciljev:

—	usklajen odziv,

—	skupno situacijsko zavedanje in

—	komuniciranje z javnostjo.

Ves čas incidenta ali krize se bo s sodelovanjem na nižjih ravneh opozarjalo, informiralo in podpiralo sodelovanje na višjih ravneh, višje ravni pa bodo za nižje ravni pripravile smernice (10) in sprejele odločitve, kakor bo primerno.

Sodelovanje na tehnični ravni

Področje dejavnosti:

—	obvladovanje incidentov (11) med kibernetsko krizo;

—	spremljanje in nadzor incidenta, vključno s stalno analizo nevarnosti in tveganja.

Potencialni akterji

Na tehnični ravni je v načrtu osrednji mehanizem za sodelovanje mreža skupin CSIRT, ki ji predseduje predsedstvo, za njen sekretariat pa skrbi ENISA.

—	Države članice: — pristojni organi in enotne kontaktne točke, ustanovljene z direktivo o varnosti omrežij in informacij, — skupine CSIRT,

—	organi/uradi/agencije EU: — ENISA, — Europol/EC3, — CERT-EU,

—

Evropska komisija: — ERCC (24-urna operativna služba GD za humanitarno pomoč in civilno zaščito (ECHO)) in imenovana vodilna služba (ki se glede na naravo posameznega incidenta izbere med GD za komunikacijska omrežja, vsebine in tehnologijo (CNECT) ter GD za migracije in notranje zadeve (HOME)), Generalni sekretariat (sekretariat sistema ARGUS), GD za človeške vire in varnost (HR) (Direktorat za varnost), GD za informatiko (DIGIT) (Operacije za varnost IT); — za druge agencije EU (12) ustrezni matični GD pri Komisiji ali ESZD (prva kontaktna točka),

—	ESZD: — SIAC (enotna zmogljivost za analize obveščevalnih podatkov: EU INTCEN in EUMS INT), — situacijska soba EU ter geografsko in tematsko določena služba, — hibridna fuzijska celica EU (del EU INTCEN – kibernetska varnost v hibridnih razmerah).

Skupno situacijsko zavedanje

—

Kot del rednega sodelovanja na tehnični ravni za podporo situacijskemu zavedanju v Uniji bi morala ENISA redno pripravljati tehnično poročilo o stanju na področju kibernetske varnosti v EU glede incidentov in groženj, ki bi temeljilo na javno dostopnih informacijah, lastnih analizah ter poročilih, ki ji jih pošljejo skupine CSIRT držav članic (prostovoljno) ali enotne kontaktne točke iz direktive o varnosti omrežij in informacij, Evropski center za boj proti kibernetski kriminaliteti (EC3) pri Europolu in skupina CERT-EU ter, kjer je to ustrezno, Obveščevalni in situacijski center Evropske unije (INTCEN) pri Evropski službi za zunanje delovanje (ESZD). Poročilo bi moralo biti dostopno tudi ustreznim telesom Sveta, Komisiji, visokemu predstavniku in podpredsedniku ter mreži skupin CSIRT.

—

V primeru večjih incidentov predsednik mreže skupin CSIRT ob pomoči agencije ENISA pripravi poročilo o stanju v zvezi s kibernetskim incidentom v EU (13), ki se prek skupine CSIRT šestmesečnega predsedstva predstavi predsedstvu, Komisiji in visokemu predstavniku Unije za zunanje zadeve in varnostno politiko ter podpredsedniku Komisije.

—	Vse ostale agencije EU poročajo svojim matičnim generalnim direktoratom, ki potem poročajo vodilni službi Komisije.

—	CERT-EU pripravlja tehnična poročila za mrežo skupin CSIRT, institucije in agencije EU (po potrebi) ter sistem ARGUS (če je aktiviran).

—	Europol/EC3  (14) in CERT-EU za mrežo skupin CSIRT pripravlja strokovne forenzične analize tehničnih izdelkov in druge tehnične informacije.

—	SIAC ESZD: hibridna fuzijska celica EU v imenu INTCEN poroča ustreznim oddelkom ESZD.

Odziv:

—	Mreža skupin CSIRT izmenjuje tehnične podrobnosti in analize incidentov, kot so naslovi IP, kazalniki ogroženosti (15) itd. Te informacije bi morali biti agenciji ENISA na voljo brez nepotrebnega odlašanja in ne pozneje kot v 24 urah od takrat, ko je incident odkrit.

—	V skladu s standardnimi operativnimi postopki mreže skupin CSIRT člani mreže sodelujejo pri svojih prizadevanjih za analizo razpoložljivih tehničnih elementov in drugih tehničnih informacij o incidentu, da bi ugotovili vzrok in možne tehnične blažilne ukrepe.

—	Agencija ENISA skupinam CSIRT v skladu s svojim mandatom (16) pomaga pri njihovih tehničnih dejavnosti, pri čemer se opira na svoje strokovno znanje in izkušnje.

—	Skupine CSIRT v državah članicah usklajujejo svoje tehnične odzivne dejavnosti ob pomoči agencije ENISA in Komisije.

—	SIAC ESZD: hibridna fuzijska celica EU v imenu INTCEN sproži postopek zbiranja dokazov in zbere prve podatke.

Komuniciranje z javnostjo:

—	Skupine CSIRT pripravljajo tehnična priporočila (17) in opozorila na ranljivost (18) ter jih razširjajo v ustreznih skupnostih in javnosti po postopkih za avtorizacijo, ki veljajo v posameznem primeru.

—	ENISA olajšuje pripravo in razširjanje skupnih obvestil mreže skupin CSIRT.

—	ENISA usklajuje svoje dejavnosti komuniciranja z javnostjo z mrežo skupin CSIRT in Službo Komisije za stike z javnostjo.

—	ENISA in EC3 usklajujeta svoje dejavnosti komuniciranja z javnostjo na podlagi skupnega situacijskega zavedanja, o katerem so se dogovorile države članice. Oba usklajujeta svoje dejavnosti komuniciranja z javnostjo s Službo Komisije za stike z javnostjo.

—	Če se kriza dotika zunanje ali skupne varnostne in obrambne politike (SVOP), bi bilo treba komuniciranje z javnostjo usklajevati s službo tiskovnega predstavnika ESZD ter visokega predstavnika in podpredsednika.

Sodelovanje na operativni ravni

Področje dejavnosti:

—	Priprava odločanja na politični ravni.

—	Usklajevanje upravljanja kibernetske krize (kot je primerno).

—	Ocena posledic in vpliva na ravni EU in predlaganje možnih blažilnih ukrepov.

Potencialni akterji

—	Države članice: — pristojni organi in enotne kontaktne točke, ustanovljene z direktivo o varnosti omrežij in informacij, — skupine CSIRT, agencije za kibernetsko varnost, — drugi nacionalni sektorski organi (v primeru večsektorskih incidentov ali krize),

—	organi/uradi/agencije EU: — ENISA, — Europol/EC3, — CERT-EU,

—	Evropska komisija: — (namestnik) generalnega sekretarja (SG) (sistem ARGUS), — GD CNECT/HOME, — Varnostni organ Komisije, — drugi generalni direktorati (v primeru večsektorskih incidentov ali krize),

—	ESZD: — generalni sekretar (ali njegov namestnik) za krizno odzivanje in SIAC (EU INTCEN in EUMS INT), — hibridna fuzijska celica EU,

—	Svet: — predsedstvo (predsednik Horizontalne delovne skupine za kibernetska vprašanja ali Coreper (19)) ob podpori generalnega sekretariata Sveta ali PVO (20) in ureditve IPCR, če je ta aktivirana.

Situacijsko zavedanje:

—	Podpora izdelavi političnih/strateških poročil o stanju (npr. ISAA ob aktiviranju ureditve IPCR).

—	Horizontalna delovna skupina Sveta za kibernetska vprašanja pripravlja seje Coreper ali PVO, kot je primerno.

—

Ob aktivaciji IPCR: — predsedstvo lahko skliče okrogle mize v podporo pripravi za Coreper ali PVO, pri tem vključi ustrezne zainteresirane strani iz držav članic, institucij, agencij in tretjih strani, kot so države nečlanice EU in mednarodne organizacije. To so krizna srečanja za ugotovitev ozkih grl in pripravo predlogov ukrepov za medsektorska vprašanja; — vodilne službe Komisije ali ESZD, pod katerim vodstvom je ISAA, pripravi poročilo ISAA s prispevki ENISA, mreže skupin CSIRT, Europol/EC3, EUMS, INT, INTCEN in vseh drugih ustreznih akterjev. Poročilo ISAA je ocena na ravni vse EU, ki sloni na korelaciji med tehničnimi incidenti in oceno krize (analiza ogroženosti, ocena tveganja, netehnične posledice in učinki, nekibernetski vidiki incidenta ali krize itd.) in je prilagojena potrebam na operativni in politični ravni.

—	Ob aktivaciji ARGUS: — CERT-EU in EC3 (21) neposredno prispevata k izmenjavi informacij znotraj Komisije.

—	Ob aktivaciji mehanizma ESZD za krizno odzivanje: — bo SIAC okrepil zbiranje informacij in združevanje informacij iz vseh virov ter pripravil analizo in oceno incidenta.

Odziv (na zahtevo politične ravni):

—	Čezmejno sodelovanje z enotno kontaktno točko in nacionalnimi pristojnimi organi (direktiva o varnosti omrežij in informacij) za zmanjšanje posledic in učinkov.

—	Aktiviranje vseh tehničnih blažilnih ukrepov in usklajevanje tehničnih zmogljivosti, potrebnih za ustavitev ali zmanjšanje posledic napadov na ciljne informacijske sisteme.

—	Sodelovanje, in če je bilo tako odločeno, usklajevanje tehničnih zmogljivosti za skupen ali sodelovalen odziv v skladu s standardnimi operativnimi postopki mreže skupin CSIRT .

—	Ocena potrebe po sodelovanju z relevantnimi tretjimi stranmi.

—	Odločanje v sistemu ARGUS (če je aktiviran).

—	Priprava sklepov in usklajevanje na podlagi ureditve IPCR (če je aktivirana).

—	Podpora odločanju ESZD prek mehanizma ESZD za krizno odzivanje (če je aktiviran), tudi za stike s tretjimi državami in mednarodnimi organizacijami ter kateri koli ukrep, katerega cilj je varovanje misij in operacij SVOP ter delegacij EU.

Komuniciranje z javnostjo:

—	Dogovor glede javnih sporočil o incidentu.

—	Če se kriza dotika zunanje ali skupne varnostne in obrambne politike (SVOP), bi bilo treba komuniciranje z javnostjo uskladiti s službo tiskovnega predstavnika ESZD ter visokega predstavnika in podpredsednika.

Sodelovanje na strateški/politični ravni

Potencialni akterji:

—	za države članice: ministri, pristojni za kibernetsko varnost,

—	za Evropski svet: predsednik,

—	za Svet: šestmesečno predsedstvo,

—	za ukrepe iz „kibernetske diplomatske orodjarne“: PVO in Horizontalna delovna skupina,

—	za Evropsko komisijo: predsednik ali pooblaščeni podpredsednik/komisar,

—	visoki predstavnik Unije za zunanje zadeve in varnostno politiko ter podpredsednik Komisije.

Področje dejavnosti: Strateško in politično upravljanje kibernetskih in nekibernetskih vidikov krize, vključno z ukrepi iz okvira za skupni diplomatski odziv EU na zlonamerne kibernetske dejavnosti.

Skupno situacijsko zavedanje:

—	Opredelitev učinkov motenj, ki jih je kriza povzročila na delovanje Unije.

Odziv:

—	Aktiviranje dodatnih mehanizmov/instrumentov za krizno upravljanje je odvisno od vrste in učinka incidenta. Ti lahko na primer vključujejo mehanizem na področju civilne zaščite.

—	Sprejemanje ukrepov iz okvira za skupni diplomatski odziv EU na zlonamerne kibernetske dejavnosti.

—	Dajanje nujne pomoči prizadetim državam članicam, na primer aktiviranje sklada za nujno odzivanje na kibernetske grožnje (22), ko bo na voljo.

—	Sodelovanje in usklajevanje z mednarodnimi organizacijami, kadar je to primerno, kot so Združeni narodi (ZN), Organizacija za varnost in sodelovanje v Evropi (OVSE) in zlasti Nato.

—	Ocena posledic za nacionalno varnost in obrambo.

Komuniciranje z javnostjo:

Določitev skupne strategije komuniciranja z javnostjo.

ODZIV, USKLAJEVAN NA RAVNI EU Z DRŽAVAMI ČLANICAMI V OKVIRU UREDITVE IPCR

V skladu z načelom dopolnjevanja na ravni EU ta oddelek uvaja in obravnava zlasti glavni cilj ter odgovornosti in dejavnosti organov držav članic, mreže skupin CSIRT, ENISA, CERT-EU, Europola/EC3, INTCEN, hibridne fuzijske celice EU in Horizontalne delovne skupine Sveta o kibernetskih vprašanjih v postopku IPCR. Pričakuje se, da akterji ravnajo v skladu z uveljavljenimi postopki na ravni EU ali nacionalni ravni.

Bistveno je omeniti, da se, kot kaže slika 1, dejavnosti na nacionalni ravni in sodelovanje v mreži skupin CSIRT (kadar je to potrebno) izvajajo čez ves incident/krizo po načelih subsidiarnosti in sorazmernosti, ne glede na aktivacijo mehanizmov EU za krizno upravljanje.

Slika 1

Odziv na kibernetske incidente/krize na ravni EU

Vse dejavnosti, ki so opisane v nadaljevanju, se izvajajo v skladu s standardnimi operativnimi postopki/pravili pri zadevnih mehanizmih za sodelovanje ter v skladu z mandati in pristojnostmi posameznih akterjev in institucij. Navedeni postopki/pravila se po potrebi nekoliko dopolnijo ali spremenijo za dosego čim boljšega sodelovanja in učinkovitega odziva na velike kibernetske incidente ali krize.

Med posameznim incidentom morda ne bo treba ukrepati vsem akterjem, predstavljenim v nadaljevanju. Kljub temu bi bilo v načrtih in ustreznih standardnih operativnih postopkih mehanizmov za sodelovanje treba predvideti njihovo morebitno udeležbo.

Glede na različne stopnje vpliva na družbo, ki ga lahko ima kibernetski incident ali kriza, bosta velika prožnost pri udeležbi sektorskih akterjev na vseh ravneh in vsak ustrezen odziv slonela na kibernetskih in nekibernetskih blažilnih dejavnostih.

Krizno upravljanje kibernetske varnosti – vključevanje kibernetske varnosti v postopek IPCR

Ureditev IPCR iz standardnih operativnih postopkov za IPCR (23) sledi zaporedju korakov, opisanem v nadaljevanju (uporaba posameznega koraka bo odvisna od razmer).

Pri vsakem koraku so navedene dejavnosti in akterji, ki so specifični za kibernetsko varnost. Za lažje branje je pri vsakem koraku navedeno besedilo iz standardnih operativnih postopkov IPCR, ki mu sledijo dejavnosti, ki so specifične za načrt. Ta pristop po korakih omogoča tudi, da se pri potrebnih zmogljivostih in postopkih jasno opredelijo obstoječe vrzeli, ki ovirajo učinkovit odziv na kibernetske krize.

Slika 2 (spodaj (24)) je grafični prikaz postopka IPCR, pri čemer so novi uvedeni elementi označeni z modro.

Slika 2

Elementi v IPCR, specifični za kibernetsko varnost

Opomba: Zaradi narave hibridnih groženj na kibernetskem področju, ki so zasnovane tako, da ostanejo pod pragom prepoznavne krize, mora EU izvajati ukrepe za preprečevanje in pripravljenost. Hibridni fuzijski celici EU je dana naloga, da hitro analizira relevantne incidente in obvesti ustrezne usklajevalne strukture. Redno poročanje iz fuzijske celice lahko prispeva k obveščenosti pri sektorskem oblikovanju politik za izboljšanje pripravljenosti.

—

Korak 1 – Redno sektorsko spremljanje in opozarjanje: obstoječa, redna sektorska poročila o stanju in opozorila predsedstvo Sveta oskrbujejo s podatki o razvijajoči se krizi in njenem mogočem poteku; — Opredeljene vrzeli: Trenutno ni rednih in usklajevanih poročil o stanju in opozoril na področju kibernetske varnosti v zvezi s kibernetskimi incidenti (in grožnjami) na ravni EU. — Načrt: Spremljanje stanja in poročanje o njem na področju kibernetske varnosti v EU — Redno tehnično poročilo o stanju na področju kibernetske varnosti v EU glede kibernetskih incidentov in groženj bo pripravila ENISA na podlagi javno dostopnih informacij, lastnih analiz ter poročil, ki ji jih pošljejo skupine CSIRT v državah članicah (prostovoljno) ali enotne kontaktne točke iz direktive o varnosti omrežij in informacij, Evropski center za boj proti kibernetski kriminaliteti (EC3) pri Europolu, CERT-EU ter Obveščevalni in situacijski center Evropske unije (INTCEN) pri Evropski službi za zunanje delovanje (ESZD). Poročilo bi moralo biti dostopno tudi ustreznim telesom Sveta, Komisije in mreže skupin CSIRT. — V imenu SIAC bi morala hibridna fuzijska celica EU sestaviti operativno poročilo o stanju na področju kibernetske varnosti v EU. Navedeno poročilo podpira tudi okvir za skupni diplomatski odziv EU na zlonamerne kibernetske dejavnosti. — Obe poročili se širita med zainteresiranimi stranmi v EU in na nacionalni ravni, kar prispeva k njihovemu situacijskemu zavedanju, omogoča ozaveščeno sprejemanje odločitev in olajšuje čezmejno regionalno sodelovanje.

Po odkritju incidenta

—

Korak 2 – Analiza in svetovanje: na podlagi dostopnega spremljanja in opozarjanja se službe Komisije, ESZD in generalni sekretariat Sveta sproti medsebojno obveščajo o mogočem razvoju dogodkov, da so pripravljeni svetovati predsedstvu pri morebitni aktivaciji (v celoti ali v načinu izmenjave informaciji) IPCR; — Načrt: — Za Komisijo: GD CNECT, GD HOME, DG HR.DS in DG DIGIT s podporo ENISA, EC3 in CERT-EU. — ESZD. Na podlagi dela situacijske sobe in obveščevalnih virov hibridna fuzijska celica EU omogoča situacijsko zavedanje o dejanskih in morebitnih hibridnih grožnjah, ki zadevajo EU in njene partnerice, vključno s kibernetskimi grožnjami. Ko analiza in ocena hibridne fuzijske celice EU kažeta na obstoj morebitnih groženj, usmerjenih proti državi članici, partnerski državi ali organizaciji, bo zato INTCEN (na prvi stopnji) obvestil operativno raven po uveljavljenih postopkih. Operativna raven bo nato pripravila priporočila za politično strateško raven, vključno z morebitno aktivacijo ukrepov kriznega upravljanja v načinu spremljanja (npr. mehanizem za krizno odzivanje ESZD ali stran za spremljanje IPCR). — Predsednik mreže skupin CSIRT ob podpori ENISA pripravi poročilo o stanju v zvezi s kibernetskim incidentom v EU (25), ki se prek skupine CSIRT šestmesečnega predsedstva predloži predsedstvu, Komisiji in visokemu predstavniku Unije za zunanje zadeve in varnostno politiko.

—

Korak 3 – Ocena/odločitev o aktivaciji IPCR: predsedstvo oceni potrebo po političnem usklajevanju, izmenjavi informacij ali odločanju na ravni EU. V ta namen lahko predsedstvo skliče neuradno okroglo mizo. Predsedstvo opravi začetno opredelitev področij, ki zahtevajo udeležbo Coreperja ali Sveta. Ta bo podlaga za smernice za izdelavo poročil o celovitem situacijskem zavedanju in analizi (ISAA). Predsedstvo bo glede na značilnosti krize, njene mogoče posledice in z njo povezane politične potrebe odločilo o primernosti sklicanja sej zadevnih delovnih skupin Sveta in/ali Coreperja in/ali PVO. — Načrt: — Udeleženci okrogle mize: — službe Komisije in ESZD bodo predsedstvu svetovale na svojih področjih pristojnosti; — predstavniki držav članic v Horizontalni delovni skupini za kibernetska vprašanja ob podpori strokovnjakov iz držav članic (skupine CSIRT, organi, pristojni za kibernetsko varnost, drugi); — politične/strateške smernice za poročila ISAA na podlagi najnovejšega poročila o stanju v zvezi s kibernetskim incidentom v EU in dodatnih informacij, ki so jih sporočili udeleženci okrogle mize; — ustrezne delovne skupine in odbori: — Horizontalna delovna skupina za kibernetska vprašanja. Komisija, ESZD in generalni sekretariat Sveta ob polnem soglasju in sodelovanju s predsedstvom lahko sklenejo aktivirati IPCR v načinu za izmenjavo informacij z ustvaritvijo krizne strani, tako da pripravijo teren za morebitno popolno aktiviranje.

—

Korak 4 – Aktiviranje/zbiranje in izmenjava informacij IPCR: po aktiviranju (bodisi v načinu za izmenjavo informacij ali v celoti) se ustvari krizna stran na spletni platformi IPCR, da se omogočijo posebne izmenjave informacij, usmerjene v vidike, ki prispevajo k poročilom ISAA in pripravi razprave na politični ravni. Vodilna služba ISAA (ena od služb Komisije ali ESZD) bo izbrana glede na okoliščine v posameznem primeru.

—

Korak 5 – oblikovanje ISAA: izdelava poročil ISAA se bo začela. Komisija/ESZD bo izdala poročila ISAA, kot je opisano v standardnih operativnih postopkih za ISAA, in bo lahko dodatno spodbujala izmenjavo informacij na spletni platformi IPCR ali izdala posebne zahteve po informacijah. Poročila ISAA bodo po meri potreb na politični ravni (tj. Coreperja ali Sveta), kot je opredelilo predsedstvo in je določeno v njegovih smernicah, s čimer bosta omogočena strateški pregled situacije in ozaveščena razprava o točkah dnevnega reda, ki ga določi predsedstvo. V skladu s standardnimi operativnimi postopki za ISAA narava kibernetske krize določi, ali poročilo ISAA pripravi ena od služb Komisije (GD CNECT, GD HOME) ali ESZD. Po aktiviranju IPCR bo predsedstvo začrtalo posebna področja pozornosti za ISAA, da bi to bilo v podporo političnemu usklajevanju in/ali postopku odločanja v Svetu. Predsedstvo bo določilo tudi rok za poročilo po posvetovanju s službama Komisije/ESZD. — Načrt: — Poročilo ISAA vsebuje prispevke iz relevantnih služb, vključno z: — mrežo skupin CSIRT v obliki poročila o stanju v zvezi s kibernetskim incidentom v EU; — EC3, situacijsko sobo, hibridno fuzijsko celico EU, CERT-EU. Hibridna fuzijska celica EU bo podpirala vodilno službo ISAA in okroglo mizo IPCR ter jima pošiljala prispevke, kot bo primerno; — sektorske agencije in organi EU, odvisno od prizadetih sektorjev; — organi držav članic (razen skupin CSIRT). — Zbiranje podatkov za ISAA (26): — Komisija in agencije EU: sistem IT ARGUS bo poskrbel za notranje hrbtenično omrežje za ISAA. Agencije EU bodo pošiljale prispevke svojim odgovornim generalnim direktoratom, ki nato vnašajo relevantne informacije v ARGUS. Službe Komisije in agencije bodo zbirale informacije iz obstoječih sektorskih omrežij z državami članicami in mednarodnimi organizacijami ter iz drugih relevantnih virov. — Za ESZD: situacijska soba EU, ki jo podpirajo drugi ustrezni oddelki ESZD, bo poskrbela za notranje hrbtenično omrežje in enotno kontaktno točko za ISAA. ESZD bo zbirala informacije iz tretjih držav in relevantnih mednarodnih organizacij.

—

Korak 6 – Priprava neformalne okrogle mize predsedstva: predsedstvo bo ob podpori generalnega sekretariata Sveta določilo rok, dnevni red, udeležence in pričakovani izid (mogoče dosežke) neformalne okrogle mize predsedstva. Generalni sekretariat Sveta bo prenašal relevantne informacije na spletno platformo IPCR v imenu predsedstva in izdal obvestilo o okrogli mizi.

—

Korak 7 – Okrogla miza predsedstva/pripravljalni ukrepi za politično usklajevanje/odločanje EU: predsedstvo bo sklicalo neformalno okroglo mizo za pregled stanja ter pripravo in pregled zadev, ki bodo predložene v pozornost Coreperja ali Sveta. Neformalna okrogla miza predsedstva bo tudi forum za razvoj, pregled in razpravo o vseh predlogih za ukrepanje, ki bodo predloženi Coreperju/Svetu. — Načrt: — Horizontalna delovna skupina Sveta za kibernetska vprašanja bi morala pripravljati PVO ali Coreper.

—

Korak 8 – Politično usklajevanje in odločanje v Coreperju/Svetu: Rezultati sej Coreperja/Sveta vključujejo usklajevanje odzivnih dejavnosti na vseh ravneh, odločitve o izrednih ukrepih, politične izjave itd. Te odločitve pomenijo tudi posodobljene politične/strateške smernice za nadaljnjo izdelavo poročil ISAA. — Načrt: — Politična odločitev za usklajevanje odziva na kibernetsko krizo se uresniči z dejavnostmi (ki jih izvajajo ustrezni akterji), ki so že opisane v oddelku 1 „Sodelovanje na strateški/politični, operativni in tehnični ravni“ za Odziv in Komuniciranje z javnostjo. — Oblikovanje ISAA se nadaljuje na podlagi sodelovanja na tehnični, operativni in politični/strateški ravni za Situacijsko zavedanje, ki je tudi že opisano v oddelku 1.

—

Korak 9 – Spremljanje učinka: vodilna služba ISAA bo ob podpori vseh, ki prispevajo k ISAA, priskrbela informacije o razvoju krize in učinku sprejete politične odločitve. Ta tok povratnih informacij bo podprl razvijajoči se potek ter odločitev predsedstva o nadaljnji udeležbi politične ravni EU ali postopnem zmanjšanju IPCR.

—

Korak 10 – Postopna opustitev: z istim postopkom kot pri aktivaciji predsedstvo lahko skliče neformalno okroglo mizo za oceno primernosti za ohranitev IPCR v aktivnem stanju ali ne. Predsedstvo lahko odloči zapreti ali spustiti raven aktiviranosti. — Načrt: — ENISA se lahko pozove, naj v skladu z določbami svojega mandata prispeva k naknadni tehnični preiskavi incidenta ali jo izvede.

---

(1)  Sklep 2014/496/SZVP.

(2)  Direktiva (EU) 2016/1148.

(3)  Sklep Komisije (EU, Euratom) 2015/443 z dne 13. marca 2015 o varnosti v Komisiji (UL L 72, 17.3.2015, str. 41) in Sklep Komisije (EU, Euratom) 2015/444 z dne 13. marca 2015 o varnostnih predpisih za varovanje tajnih podatkov EU (UL L 72, 17.3.2015, str. 53); Sklep visokega predstavnika Unije za zunanje zadeve in varnostno politiko z dne 19. aprila 2013 o varnostnih pravilih za Evropsko službo za zunanje delovanje (UL C 190, 29.6.2013, str. 1); Sklep Sveta 2013/488/EU z dne 23. septembra 2013 o varnostnih predpisih za varovanje tajnih podatkov EU (UL L 274, 15.10.2013, str. 1).

(4)  https://www.first.org/tlp/.

(5)  Junija 2016 so ti kanali prenosa vključevali CIMS (sistem za upravljanje tajnih podatkov), ACID (šifrirni algoritem), RUE (zaščiten sistem za ustvarjanje, izmenjavo in hrambo dokumentov z oznako RESTREINT UE/EU RESTRICTED) ter SOLAN. Drugi načini za prenašanje tajnih podatkov vključujejo PGP ali S/MIME.

(6)  Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL L 119, 4.5.2016, str. 1).

(7)  Direktiva 2002/58/ES Evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (Direktiva o zasebnosti in elektronskih komunikacijah) (UL L 201, 31.7.2002, str. 37).

(8)  Uredba (ES) št. 45/2001 evropskega parlamenta in Sveta z dne 18. decembra 2000 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah in organih Skupnosti in o prostem pretoku takih podatkov (UL L 8, 12.1.2001, str. 1) – v reviziji.

(9)  Na tem mestu je pomembno poudariti, da se komuniciranje z javnostjo lahko nanaša tako na obveščanje splošne javnosti o incidentu kot na sporočanje bolj tehničnih in operativnih informacij kritičnim sektorjem in/ali prizadetim subjektom. To lahko zahteva uporabo zaupnih načinov razširjanja informacij in posebnih tehničnih orodij/platform. V obeh primerih je komuniciranje z izvajalci in širšo javnostjo znotraj katere koli države članice v pristojnosti posamezne države članice in njena odgovornost. Zato imajo po načelu subsidiarnosti, ki je bilo že predstavljeno, države članice in nacionalne skupine CSIRT končno odgovornost za informacije, ki se razširjajo na njihovem ozemlju oziroma sporočajo njihovim partnerjem.

(10)  „Dovoljenja za delovanje“ – med kibernetsko krizo je hiter odziv izjemno pomemben za določanje ustreznih blažilnih ukrepov. Da bi omogočili hiter odziv, lahko ena država članica drugi državi članici prostovoljno izda „dovoljenje za delovanje“, s čimer ji dovoli takojšnje ukrepanje brez posvetovanja z višjimi ravnmi ali institucijami EU ter brez uporabe vseh običajno zahtevanih uradnih poti, če tega posamezen incident ne zahteva (npr. skupini CSIRT bi moralo biti dovoljeno, da dragocene informacije posreduje skupini CSIRT v drugi državi članici tudi brez posvetovanja z višjimi ravnmi).

(11)  „Obvladovanje incidentov“ pomeni vse postopke, ki podpirajo odkrivanje, analizo in zajezitev incidenta ter odzivanje nanj.

(12)  Glede na naravo incidenta in njegov učinek na različne sektorje dejavnosti (finančni, prometni, energetski, zdravstveni itd. sektor) bodo sodelovale ustrezne agencije ali organi EU.

(13)  Poročilo o stanju v zvezi s kibernetskim incidentom v EU je skupek nacionalnih poročil nacionalnih skupin CSIRT. Oblika poročila bi morala biti opisana v standardnih operativnih postopkih mreže skupin CSIRT.

(14)  Pod pogoji in po postopkih iz pravnega okvira EC3.

(15)  „Kazalnik ogroženosti“ (Indicator of Compromise (IOC)) je v računalniški forenziki element, zaznan na mreži ali v operacijskem sistemu, ki z veliko verjetnostjo kaže na računalniški vdor. Tipični kazalniki kompromitiranosti so virusni podpisi in naslovi IP, zgoščevalni algoritem MD5 datoteke z zlonamerno programsko opremo ali naslovi URL ali imena domen strežnikov za nadzor in vodenje botnetov.

(16)  Predlog uredbe o evropski agenciji za kibernetsko varnost ENISA in razveljavitvi Uredbe (EU) 526/2013 ter certificiranju informacijske in komunikacijske tehnologije na področju kibernetske varnosti (uredba o kibernetski varnosti) z dne 13. septembra 2017.

(17)  Tehnični nasveti v zvezi z vzroki za incident ter morebitnimi blažilnimi ukrepi.

(18)  Informacije o tehnični ranljivosti, izrabljeni za negativno vplivanje na informacijske sisteme.

(19)  Odbor stalnih predstavnikov ali Coreper (člen 240 Pogodbe o delovanju Evropske unije – PDEU) je odgovoren za pripravo dela Sveta Evropske unije.

(20)  Politični in varnostni odbor je odbor Sveta Evropske unije, ki obravnava skupne zunanje in varnostne politike (SZVP) iz člena 38 Pogodbe o Evropski uniji.

(21)  Pod pogoji in po postopkih iz pravnega okvira EC3.

(22)  Sklad za nujno odzivanje na kibernetske grožnje je predlagan ukrep iz Sporočila Komisije: „Odpornost, odvračanje in obramba: okrepitev kibernetske varnosti za EU“ (Resilience, Deterrence and Defence: Building strong cybersecurity for the EU), JOIN(2017) 450/1.

(23)  Iz dokumenta 12607/15 – „Standardni operativni postopki IPCR“, ki ga je sprejela Skupina prijateljev predsedstva in s katerim se je Coreper seznanil oktobra 2015.

(24)  Večja različica slike je v Dodatku.

(25)  Poročilo o stanju v zvezi s kibernetskim incidentom v EU je skupek nacionalnih poročil nacionalnih skupin CSIRT. Oblika poročila bi morala biti opisana v standardnih operativnih postopkih mreže skupin CSIRT.

(26)  Standardni operativni postopki za ISAA

DODATEK

1.   KRIZNO UPRAVLJANJE, MEHANIZMI ZA SODELOVANJE IN AKTERJI NA RAVNI EU

Mehanizmi za krizno upravljanje

Enotne ureditve EU za politično odzivanje na krize (IPCR): enotne ureditve EU za politično odzivanje na krize (IPCR), ki jih je Svet odobril 25. junija 2013 (1), so bile oblikovane za olajšanje pravočasnega usklajevanja in odziva na politični ravni EU v primeru večje krize. Ureditve IPCR prav tako podpirajo usklajevanje odziva na politični ravni pri uveljavitvi solidarnostne klavzule (člen 222 PDEU), kot je opredeljeno v Sklepu Sveta 2014/415/EU o načinu izvajanja solidarnostne klavzule s strani Unije, sprejetem 24. junija 2014. Standardni operativni postopki IPCR (2) (SOP) določajo postopek aktivacije in nadaljnje ukrepe, ki jih je treba sprejeti.

ARGUS: Sistem za krizno usklajevanje, ki ga je leta 2005 vzpostavila Evropska komisija, da v primeru večje večsektorske krize zagotovi poseben postopek usklajevanja. Podpira ga splošni sistem hitrega obveščanja (orodje IT) z istim imenom. ARGUS predvideva dve fazi, pri čemer se v fazi II (v primeru večje večsektorske krize) sprožijo zasedanja Odbora za krizno usklajevanje (CCC) pod vodstvom predsednika Komisije ali komisarja oziroma komisarke, ki mu oziroma ji je bila podeljena odgovornost. Odbor CCC združuje predstavnike zadevnih generalnih direktoratov Komisije, kabinetov in drugih služb EU zaradi vodenja in usklajevanja odziva Komisije na krizo. Odbor CCC, ki mu predseduje namestnik generalnega sekretarja, oceni stanje, preuči možnosti in sprejme odločitve o ukrepih, kar zadeva orodja in instrumente EU, za katere je odgovorna Komisija, ter zagotovi, da se odločitve izvajajo (3)  (4).

Mehanizem ESZD za krizno odzivanje: Mehanizem ESZD za krizno odzivanje je strukturirani sistem za odziv ESZD na krize in izredne razmere, ki so zunanjega značaja ali pa imajo pomembno zunanjo dimenzijo, vključno s hibridnimi grožnjami, ki bi lahko vplivale ali dejansko vplivajo na interese EU ali držav članic. Z zagotovljenim sodelovanjem predstavnikov Komisije in sekretariata Sveta na njegovih zasedanjih, mehanizem za krizno odzivanje spodbuja sinergije med diplomatskimi, varnostnimi in obrambnimi prizadevanji s finančnimi in trgovinskimi instrumenti ter instrumenti sodelovanja, ki jih upravlja Komisija. Krizna celica se lahko aktivira za čas trajanja krize.

Mehanizmi za sodelovanje

Mreža skupin CSIRT: mreža skupin za odzivanje na incidente na področju računalniške varnosti združuje v vse nacionalne in vladne skupine CSIRT in CERT-EU. Namen mreže je zagotoviti in okrepiti izmenjavo informacij med skupinami CSIRT o grožnjah ter incidentih na področju kibernetske varnosti ter sodelovanje pri odzivanju na takšne incidente in krize.

Horizontalna delovna skupina Sveta za kibernetska vprašanja: delovna skupina je bila oblikovana, da zagotovi strateško in horizontalno usklajevanje vprašanj kibernetske politike v Svetu, vključena pa je lahko v zakonodajne in nezakonodajne aktivnosti.

Akterji

ENISA: Agencija Evropske unije za varnost omrežij in informacij je bila ustanovljena leta 2004. Agencija tesno sodeluje z državami članicami in zasebnim sektorjem, da pripravi nasvete in rešitve glede zadev, kot so vseevropske vaje na področju kibernetske varnosti, razvoj nacionalnih strategij za kibernetsko varnost, sodelovanje skupin CSIRT in krepitev zmogljivosti. ENISA neposredno sodeluje s skupinami CSIRT v celotni EU in je tudi sekretariat mreže skupin CSIRT.

ERCC: Center za usklajevanje nujnega odziva pri Komisiji (pod Generalnim direktoratom za evropsko civilno zaščito in evropske operacije humanitarne pomoči – DG ECHO) neprekinjeno podpira in usklajuje širok nabor ukrepov za preprečevanje, pripravljenost in odziv. Ustanovljen je bil leta 2013, deluje pa kot Komisijino vozlišče za krizno odzivanje (v povezavi z drugimi kriznimi središči EU) in tudi kot osrednja kontaktna točka IPCR, ki je na voljo neprekinjeno.

Europol/EC3: Evropski center za boj proti kibernetski kriminaliteti (EC3) pri Europolu, ustanovljen leta 2013, podpira kazenski pregon kibernetske kriminalitete v EU. EC3 nudi operativno in analitično podporo preiskavam v državah članicah in deluje kot osrednje vozlišče za informacije o kriminaliteti ter podpira obveščevalne dejavnosti in preiskave v državah članicah, in sicer z operativno analizo, usklajevanjem in strokovnim znanjem kot tudi z visoko specializiranimi podpornimi zmogljivostmi za tehnično in digitalno forenziko.

CERT-EU: skupina za odzivanje na računalniške grožnje za evropske institucije, organe in agencije je pooblaščena za izboljšanje zaščite institucij, organov in agencij EU pred kibernetskimi grožnjami. Je članica mreže skupin CSIRT. CERT-EU ima sklenjene tehnične sporazume o izmenjavi informacij o kibernetskih grožnjah z zmogljivostmi NATO CIRC, nekaterimi tretjimi državami in glavnimi komercialnimi akterji na področju kibernetske varnosti.

Obveščevalna skupnost EU je sestavljena iz Obveščevalnega in situacijskega centra EU (INTCEN) ter Obveščevalnega direktorata Vojaškega štaba EU (EUMS INT) v okviru ureditve SIAC, tj. enotne zmogljivosti za analizo obveščevalnih podatkov. Poslanstvo SIAC je visokemu predstavniku Unije za zunanje zadeve in varnostno politiko ter Evropski službi za zunanje delovanje (ESZD) zagotavljati obveščevalne analize, zgodnje opozarjanje in situacijsko zavedanje. SIAC svoje storitve nudi različnim nosilcem odločanja v EU na področju skupne zunanje in varnostne politike (SZVP), skupne varnostne in obrambne politike (SVOP) ter protiterorizma (PT) kot tudi državam članicam. EU INTCEN in EUMS INT nista operativni agenciji in nimata zmogljivosti za zbiranje informacij. Operativna obveščevalna raven je odgovornost držav članic. SIAC se ukvarja samo s strateško analizo.

Hibridna fuzijska celica EU: skupno sporočilo o preprečevanju hibridnih groženj iz aprila 2016 določa hibridno fuzijsko celico EU (EU HFC) kot osrednjo točko za vse analize virov hibridnih groženj v EU: njen mandat je Komisija odobrila decembra 2016 na podlagi posvetovanja med službami. Hibridna fuzijska celica EU, ki se nahaja v centru INTCEN, je del zmogljivosti SIAC in zato deluje skupaj s štabom EUMS INT ter ima stalnega vojaškega člana. Hibridno pomeni namerno uporabo, s strani državnega ali nedržavnega akterja, kombinacije različnih tajnih/odkritih, vojaških/civilnih orodij in vzvodov, kot so kibernetski napadi, dezinformacijske kampanje, vohunjenje, ekonomski pritisk, uporaba nadomestnih sil ali druge subverzivne aktivnosti. EU HFC deluje s široko mrežo kontaktnih točk znotraj Komisije in držav članic, da zagotovi celosten odziv/pristop celotne vlade, ki je potreben za boj proti različnim izzivom.

SITUACIJSKA SOBA EU: situacijska soba EU je del Obveščevalnega in situacijskega centra EU (INTCEN) ter ESZD zagotavlja operativne zmogljivosti, da zagotovi takojšen in učinkovit odziv na krize. Je civilno-vojaški organ v stalni pripravljenosti, ki neprekinjeno zagotavlja globalno spremljanje in situacijsko zavedanje.

Relevantni instrumenti

Okvir za skupni diplomatski odziv EU na zlonamerne kibernetske dejavnosti: okvir, sprejet junija 2017, je del pristopa EU h kibernetski diplomaciji, ki prispeva k preprečevanju konfliktov, odpravi groženj za kibernetsko varnost in večji stabilnosti v mednarodnih odnosih. Okvir v celoti izkorišča ukrepe skupne zunanje in varnostne politike, po potrebi vključno z restriktivnimi ukrepi. Uporaba ukrepov v tem okviru bi morala spodbujati sodelovanje, olajšati blaženje neposrednih in dolgoročnih groženj ter na dolgi rok vplivati na ravnanje odgovornih storilcev in morebitnih napadalcev.

2.   KOORDINIRANJE UPRAVLJANJA KIBERNETSKE KRIZE V OKVIRU IPCR – HORIZONTALNO UPRAVLJANJE IN POLITIČNA ESKALACIJA

Ureditve IPCR se lahko uporabijo (in so se že) za obravnavo tehničnih in operativnih vprašanj, vendar vedno s političnega/strateškega vidika.

V smislu eskalacije se ureditve IPCR lahko uporabijo glede na stopnjo krize, in sicer s prehodom z „načina spremljanja“ na „način izmenjave informacij“, ki je prva raven aktiviranja IPCR, in na „popolno aktivacijo IPCR“.

Odločitev za način popolne aktivacije je v pristojnosti rotirajočega predsedstva Sveta EU. Komisija, ESZD in generalni sekretariat Sveta lahko aktivirajo IPCR v način izmenjave informacij. Način spremljanja in način izmenjave informacij sprožita različne ravni izmenjave informacij, pri čemer način izmenjave informacij aktivira zahtevo po pripravi poročil ISAA. Popolna aktivacija k sklopu orodij doda okrogle mize IPCR, čemur se pridruži predsedstvo (običajno predsednik Coreperja II ali strokovnjak na ravni svetovalcev stalnih predstavništev, izjemoma pa so se okrogle mize organizirale na ministrski ravni).

Akterji

Predsedstvo (običajno predsednik Coreperja) ima vodilno vlogo

Za Evropski svet kabinet predsednika

Za Evropsko komisijo raven namestnika generalnega sekretarja/generalnih direktoratov in/ali strokovnjakov

Za ESZD raven namestnika generalnega sekretarja/izvršnega direktorja in/ali področnih strokovnjakov

Za generalni sekretariat Sveta kabinet generalnega sekretarja, ekipa IPCR in odgovorni generalni direktorati

Področje dejavnost: priprava splošne integrirane slike stanja in povečanje ozaveščenosti glede ozkih grl ali pomanjkljivosti na vsaki od treh ravni, zato da se obravnavajo na politični ravni, sprejemanje odločitev pri mizi, če sodijo v pristojnost udeležencev, ali priprava predlogov za ukrepanje za Coreper II in Svet.

Skupno situacijsko zavedanje:

(ni aktivno): ustvarijo se lahko strani v zvezi s spremljanjem IPCR, da se sledi poteku dogodkov, ki lahko eskalira v krizo s posledicami za EU;

(izmenjava informacij IPCR): vodstvo ISAA pripravi poročila na podlagi podatkov od služb Komisije, ESZD in držav članic (z uporabo vprašalnikov IPCR);

(polna aktivacija IPCR): poleg poročil ISAA neformalne okrogle mize IPCR združujejo različne zadevne akterje iz držav članic, Komisije, ESZD, relevantnih agencij itd. za razpravo o pomanjkljivostih in ozkih grlih.

Sodelovanje in odziv:

aktiviranje/sinhroniziranje dodatnih mehanizmov/instrumentov za krizno upravljanje, odvisno od vrste in učinka incidenta. Ti lahko obsegajo na primer mehanizem na področju civilne zaščite, okvir za skupni diplomatski odziv EU na zlonamerne kibernetske dejavnosti ali „skupni okvir o preprečevanju hibridnih groženj“.

Krizno komuniciranje:

predsedstvo lahko po posvetovanju z ustreznimi službami Komisije, generalnim sekretariatom Sveta in ESZD aktivira mrežo za krizno komuniciranje IPCR, da podpre oblikovanje enotnih sporočil ali preuči najučinkovitejša komunikacijska orodja.

3.   KRIZNO UPRAVLJANJE KIBERNETSKE VARNOSTI V SISTEMU ARGUS – IZMENJAVA INFORMACIJ ZNOTRAJ EVROPSKE KOMISIJE

Zaradi soočanja z nepričakovanimi krizami, ki so zahtevale ukrepanje na evropski ravni, tj. teroristični napadi v Madridu (marca 2004), cunami v jugovzhodni Aziji (decembra 2004) in teroristični napadi v Londonu (julija 2005), je Komisija leta 2005 vzpostavila sistem za usklajevanje ARGUS, ki ga podpira istoimenski sistem za hitro opozarjanje (5)  (6). Cilj je zagotoviti poseben postopek za krizno upravljanje v primeru večje večsektorske krize, da se omogoči izmenjava informacij v zvezi s krizo v realnem času in zagotovi hitro odločanje.

ARGUS opredeljuje dve fazi, odvisno od resnosti dogodka:

Faza I: se uporablja za „izmenjavo informacij“ med krizo omejenega obsega Primeri nedavnih dogodkov, o katerih se je poročalo v fazi I, so gozdni požari na Portugalskem in v Izraelu, napad v Berlinu leta 2016, poplave v Albaniji, hurikan Matthew na Haitiju in suša v Boliviji. Vsak GD lahko odpre dogodek faze I, ko presodi, da je položaj na njegovem področju dovolj resen, da upraviči izmenjavo informacij ali ima od nje koristi. Tako lahko na primer GD CNECT ali GD HOME lahko odpre dogodek faze I, ko presodi, da je kibernetski položaj na njegovem področju dovolj resen, da upraviči izmenjavo informacij ali ima od nje koristi.

Faza II: se sproži v primeru večje večsektorske krize ali predvidene ali neposredne nevarnosti za Unijo. Faza II sproži poseben postopek usklajevanja, ki Komisiji omogoči sprejemanje odločitev ter upravljanje hitrega, usklajenega in celostnega odziva, in sicer na najvišji ravni na svojem področju pristojnosti ter v sodelovanju z drugimi ustanovami. Faza II je predvidena za večjo večsektorsko krizo ali predvideno ali neposredno grožnjo takšne krize. Primeri dejanskih dogodkov iz faze II so migracijska/begunska kriza (od leta 2015), trojna katastrofa v Fukušimi (2011) in izbruh vulkana Eyjafjallajökull na Islandiji (2010). Fazo II aktivira predsednik na lastno pobudo ali na prošnjo člana Komisije. Predsednik lahko podeli politično odgovornost za odziv Komisije komisarju, odgovornemu za službo, ki jo trenutna kriza najbolj zadeva, ali pa se odloči, da sam prevzame odgovornost. Faza II predvideva izredna zasedanja Odbora za krizno usklajevanje (CCC). K zasedanju pozove predsednik ali komisar, ki mu je bila podeljena odgovornost. Zasedanja skliče generalni sekretar z informacijskim orodjem ARGUS. Odbor CCC je posebna operativna struktura za krizno upravljanje, ustanovljena za vodenje in usklajevanje Komisijinega odzivanja na krize, ki združuje predstavnike vseh zadevnih generalnih direktoratov Komisije, kabinetov in drugih služb EU. Odbor CCC, ki mu predseduje namestnik generalnega sekretarja, oceni stanje, preuči možnosti in sprejme odločitve ter zagotovi, da se odločitve in ukrepi izvajajo, hkrati pa zagotovi doslednost in skladnost odziva. Podporo odboru CCC zagotovi generalni sekretar.

4.   MEHANIZEM ESZD ZA KRIZNO ODZIVANJE

Mehanizem ESZD za krizno odzivanje (CRM) se aktivira v resnih okoliščinah ali izrednih razmerah, ki se nanašajo na ali vključujejo zunanjo razsežnost EU. Mehanizem CRM aktivira namestnik generalnega sekretarja za krizno odzivanje po posvetovanju z visokim predstavnikom in podpredsednikom ali generalnim sekretarjem. Namestnik generalnega sekretarja za krizno odzivanje lahko aktivira mehanizem za krizno odzivanje na zahtevo visokega predstavnika in podpredsednika ali generalnega sekretarja ali drugega namestnika generalnega sekretarja ali izvršni direktor.

Mehanizem CRM prispeva k skladnosti kriznega odziva EU v okviru varnostne strategije. Še zlasti spodbuja sinergijo med diplomatskimi, varnostnimi in obrambnimi prizadevanji na eni strani ter finančnimi in trgovinskimi instrumenti ter instrumenti sodelovanja, ki jih upravlja Komisija, na drugi strani.

Mehanizem CRM je povezan s Komisijinim sistemom ARGUS in enotnimi ureditvami EU za politično odzivanje na krize (IPCR), da se izkoristijo sinergije v primeru sočasnega aktiviranja. Situacijska soba v ESZD deluje kot komunikacijsko vozlišče med ESZD in sistemi za krizno odzivanje v Svetu in na Komisiji.

Običajno je prvi ukrep, povezan z izvajanjem mehanizma CRM, sklic kriznega zasedanja višjih vodstev ESZD, Komisije in Sveta, ki jih kriza neposredno zadeva. Na kriznem zasedanju se ocenijo kratkoročni učinki krize in se lahko sprejmejo takojšnji ukrepi, aktivira se lahko krizna celica ali pa se skliče krizna platforma. Navedeni pristopi se lahko izvedejo v kakršnem koli zaporedju.

Krizna celica je prostor za ukrepe manjšega obsega, kjer se predstavniki ESZD, Komisije in Sveta, udeleženi v kriznem odzivanju, združijo, da bi neprekinjeno spremljali stanje in zagotovili podporo vodilnim nosilcem odločanja v ESZD. Ko se aktivira, je krizna celica operativna neprekinjeno.

Krizna platforma združuje ustrezne službe ESZD, Komisije in Sveta, da pripravijo oceno o srednjeročnih in dolgoročnih učinkih krize ter se dogovorijo o potrebnih ukrepih. Predseduje ji visoki predstavnik in podpredsednik ali generalni sekretar ali namestnik generalnega sekretarja za krizno odzivanje. Krizna platforma ocenjuje uspešnost ukrepov EU v krizni državi ali regiji, odloča o spremembah dodatnih ukrepov in preučuje predloge za ukrepe Sveta. Krizna platforma zaseda ad-hoc, zato ni aktivirana neprekinjeno.

Projektna skupina je sestavljena iz predstavnikov služb, udeleženih v odzivanju, in se lahko aktivira za spremljanje in olajšanje odziva EU. Ocenjuje učinek ukrepov EU, pripravlja politične dokumente in dokumente o možnostih, prispeva k pripravi političnega okvira za pristop h krizam, prispeva h komunikacijski strategiji ter sprejme vse ostale ureditve, ki lahko olajšajo odziv EU.

5.   REFERENČNI DOKUMENTI

Spodaj je seznam referenčnih dokumentov, ki so se upoštevali pri pripravi načrta:

—	Evropski okvir za sodelovanje pri kibernetskih krizah (The European Cyber Crises Cooperation Framework), različica 1, 17. oktober 2012.

—	Poročilo o sodelovanju med kibernetsko krizo in upravljanju (Report on Cyber Crisis Cooperation and Management), ENISA, 2014.

—	Informacije za odzivanje na varnostne incidente (Actionable Information for Security Incident Response), ENISA, 2014.

—	Splošne prakse kriznega upravljanja na ravni EU in njihova uporabnost za kibernetske krize (Common practices of EU-level crisis management and applicability to cyber crises), ENISA, 2015.

—	Strategije za odzivanje na incidente in sodelovanje pri kibernetskih krizah (Strategies for Incident Response and Cyber Crisis Cooperation), ENISA, 2016.

—	Standardni operativni postopki EU na področju kibernetske varnosti (EU Cyber Standard Operating Procedures), ENISA, 2016.

—	Priročnik s primeri dobre prakse za uporabo taksonomije pri preprečevanju in odkrivanju incidentov (A good practice guide of using taxonomies in incident prevention and detection), ENISA, 2017.

—	Sporočilo „Krepitev odpornosti evropskega sistema kibernetske varnosti ter spodbujanje konkurenčne in inovativne industrije kibernetske varnosti“, COM(2016) 410 final, 5. julij 2016.

—	Sklepi Sveta o krepitvi odpornosti evropskega sistema kibernetske varnosti ter spodbujanju konkurenčne in inovativne industrije kibernetske varnosti – Sklepi Sveta (15. november 2016), 14540/16.

—	Sklep Sveta 2014/415/EU z dne 24. junija 2014 o načinu izvajanja solidarnostne klavzule s strani Unije (UL L 192, 1.7.2014, str. 53).

—	Finalizacija procesa pregleda CCA: Postopki integriranega odzivanja EU na politične krize (IPCR), 10708/13, 7. junij 2013.

—	Celovito situacijsko zavedanje in analiza (ISAA) – Standardni operativni postopki (Integrated Situational Awareness and Analysis (ISAA) – Standard Operating Procedures), DS 1570/15, 22. oktober 2015.

—	Določbe Komisije o splošnem sistemu za hitro opozarjanje „ARGUS“, COM(2005) 662 final, 23. december 2005.

—	Sklep Komisije 2006/25/ES, Euratom z dne 23. decembra 2005 o spremembi njenega notranjega poslovnika (UL L 19, 24.1.2006, str. 20).

—	ARGUS Modus Operandi, Evropska komisija, 23. oktober 2013.

—	Sklepi Sveta o okviru za skupen diplomatski odziv EU na zlonamerne kibernetske dejavnosti („zbirka orodij za kibernetsko diplomacijo“), dokument št. 9916/17.

—	Operativni protokol EU za preprečevanje hibridnih groženj (EU Playbook), SWD(2016) 227.

—	Mehanizem ESZD za krizno odzivanje, 8. november 2016, Ares(2017)880661, skupni delovni dokument služb Operativni protokol EU za preprečevanje hibridnih groženj (EU Playbook), SWD(2016) 227 final, 5. julij 2016.

—	Skupno sporočilo Evropskemu parlamentu in Svetu: Skupni okvir o preprečevanju hibridnih groženj – odziv Evropske unije, JOIN/2016/018 final, 6. april 2016.

—	EEAS(2016) 1674 – delovni dokument Evropske službe za zunanje delovanje – Hibridna fuzijska celica EU – mandat (Working Document of the European External Action Service – EU Hybrid Fusion Cell – Terms of Reference).

6.   SPECIFIČNI ELEMENTI KIBERNETSKE VARNOSTI V POSTOPKU IPCR

---

(1)  10708/13 – „Finalizacija procesa pregleda CCA: Postopki integriranega odzivanja EU na politične krize“, odobreno s strani Sveta dne 24. junija 2013.

(2)  12607/15 – „Standardni operativni postopki IPCR“, sprejeti s strani Skupine prijateljev predsedstva in seznanitev Coreperja oktobra 2015.

(3)  Določbe Komisije o splošnem sistemu za hitro opozarjanje „ARGUS“, COM(2005) 662 final, 23. december 2005.

(4)  Sklep Komisije 2006/25/ES, Euratom z dne 23. decembra 2005 o spremembi njenega notranjega poslovnika (UL L 19, 24.1.2006, str. 20), o vzpostavitvi splošnega sistema za hitro opozarjanje „ARGUS“.

(5)  Evropska komisija, 23. december 2005, Sporočilo Komisije Evropskemu parlamentu, Svetu, Evropskemu ekonomsko-socialnemu odboru in Odboru regij: Določbe Komisije o splošnem sistemu za hitro opozarjanje „ARGUS“, COM(2005) 662 final.

(6)  Sklep 2006/25/ES/Euratom