This document is an excerpt from the EUR-Lex website
Document 52013JC0001
JOINT COMMUNICATION TO THE EUROPEAN PARLIAMENT, THE COUNCIL, THE EUROPEAN ECONOMIC AND SOCIAL COMMITTEE AND THE COMMITTEE OF THE REGIONS Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace
GEMENSAMT MEDDELANDE TILL EUROPAPARLAMENTET, RÅDET, EUROPEISKA EKONOMISKA OCH SOCIALA KOMMITTÉN SAMT REGIONKOMMITTÉN EU:s strategi för cybersäkerhet: En öppen, säker och trygg cyberrymd
GEMENSAMT MEDDELANDE TILL EUROPAPARLAMENTET, RÅDET, EUROPEISKA EKONOMISKA OCH SOCIALA KOMMITTÉN SAMT REGIONKOMMITTÉN EU:s strategi för cybersäkerhet: En öppen, säker och trygg cyberrymd
/* JOIN/2013/01 final */
GEMENSAMT MEDDELANDE TILL EUROPAPARLAMENTET, RÅDET, EUROPEISKA EKONOMISKA OCH SOCIALA KOMMITTÉN SAMT REGIONKOMMITTÉN EU:s strategi för cybersäkerhet: En öppen, säker och trygg cyberrymd /* JOIN/2013/01 final */
GEMENSAMT MEDDELANDE TILL
EUROPAPARLAMENTET, RÅDET, EUROPEISKA EKONOMISKA OCH SOCIALA KOMMITTÉN SAMT
REGIONKOMMITTÉN EU:s strategi för cybersäkerhet: En öppen, säker och trygg cyberrymd 1. Inledning 1.1. Bakgrund Under de senaste två decennierna har internet
och cyberrymden haft en mycket stor inverkan på alla delar av samhället. Vår
vardag, våra grundläggande rättigheter, vår sociala samverkan och våra
ekonomier är beroende av att informations- och kommunikationstekniken fungerar.
En öppen och fri cyberrymd har gynnat den politiska och sociala integrationen
över hela världen. Den har rivit murar mellan länder, samhällen och medborgare
genom att göra det möjligt att interagera och dela information och tankar med
andra över hela världen. Den har fungerat som ett forum för yttrandefrihet och
utövandet av grundläggande rättigheter, och hjälpt människor i deras strävan
efter demokratiska och mer rättvisa samhällen. Det mest talande exemplet är den
arabiska våren. För att cyberrymden även fortsättningsvis ska vara
öppen och fri bör samma normer, principer och värden som EU värnar om utanför
internet även gälla på internet. Grundläggande rättigheter, demokrati och
rättsstatsprincipen måste skyddas i cyberrymden. Vår
frihet och välfärd är i allt högre utsträckning beroende av ett starkt och
innovativt internet som fortsätter att blomstra om den privata sektorn bidrar
med innovation och det civila samhället främjar dess tillväxt. Det krävs
emellertid även säkerhet och trygghet på internet. Cyberrymden måste skyddas
från incidenter, skadliga aktiviteter och missbruk. Myndigheterna har en viktig
roll när det gäller att garantera en fri och säker cyberrymd. Myndigheterna har
flera uppgifter: Att värna om tillgängligheten och öppenheten, respektera och
skydda de grundläggande rättigheterna och upprätthålla tillförlitlighet och
interoperabilitet på internet. Eftersom den privata sektorn äger och använder
sig av så stora delar av cyberrymden måste emellertid även dess ledande roll
beaktas om detta ska lyckas. Informations- och kommunikationstekniken har
kommit att bli själva ryggraden för vår ekonomiska tillväxt och är en mycket
viktig resurs som alla ekonomiska sektorer är beroende av. Den utgör grunden
för de komplexa system som ser till att våra ekonomier är igång i viktiga
sektorer såsom finans, hälsa, energi och transport. Många verksamhetsmodeller
är beroende av oavbruten tillgänglighet på internet och av att
informationssystemen fungerar friktionsfritt. Genom att fullborda den digitala inre marknaden
kan Europa öka sin BNP med nästan 500 miljarder euro om året[1], dvs. i genomsnitt 1 000
euro per person. För att ny teknik såsom e-betalningar, molnbaserade
datortjänster och kommunikation från maskin till maskin ska kunna ta fart[2] måste medborgarna lita på den.
Dessvärre visar en Eurobarometerundersökning från 2012[3] att nästan en tredjedel av
européerna inte vågar använda internet för bankärenden eller köp. En
överväldigande majoritet uppgav även att de undviker att uppge personuppgifter
på internet eftersom de oroar sig för säkerheten. Inom EU har en av tio
internetanvändare redan drabbats av internetbedrägeri. Under de senaste åren har det blivit alltmer
tydligt att samtidigt som den digitala världen innebär enorma fördelar så är
den även sårbar. Såväl avsiktliga som oavsiktliga incidenter i fråga om
cybersäkerhet[4]
ökar i en oroväckande takt och kan störa tillhandahållandet av nödvändiga
tjänster som vi tar för givet, exempelvis vatten, hälso- och sjukvård,
elektricitet och mobila tjänster. Hot kan ha olika ursprung – de kan vara
brottsliga eller politiskt motiverade angrepp eller angrepp som stöds av
terrorister eller är statsunderstödda eller utgöras av naturkatastrofer och
oavsiktliga misstag. EU:s ekonomi har redan nu drabbats av
aktiviteter kopplade till cyberbrottslighet[5]
mot den privata sektorn och enskilda individer. Cyberbrottslingar använder sig
av alltmer avancerade metoder för att ta sig in i informationssystem där de
stjäl viktiga uppgifter eller bedriver utpressning mot företag. Ökningen av
ekonomiskt spionage och statsunderstödda aktiviteter inom cyberrymden utgör en
ny kategori av hot för myndigheter och företag inom EU. I länder utanför EU kan myndigheterna även
missbruka cyberrymden för att övervaka och kontrollera sina medborgare. EU kan
hantera detta genom att främja friheten och garantera respekten av de
grundläggande rättigheterna på internet. Dessa faktorer förklarar varför regeringar
världen över har börjat utveckla strategier för cybersäkerhet och betrakta
cybersäkerhet som en allt viktigare internationell fråga. Nu är tiden inne för
EU att öka sina insatser på detta område. I det förslag till en strategi för
cybersäkerhet för EU som kommissionen och Europeiska unionens höga representant
för utrikes frågor och säkerhetspolitik har lagt fram beskrivs EU:s vision på
detta område. Roller och ansvarsområden tydliggörs och nödvändiga åtgärder som
baseras på ett starkt och effektivt skydd och främjande av medborgarnas
rättigheter fastställs för att göra EU:s internetmiljö till den säkraste i
världen. 1.2. Principer för cybersäkerhet Ett mångsidigt internet utan gränser har blivit
ett av de mest kraftfulla instrumenten för globala framsteg utan tillsyn eller
regleringar. Den privata sektorn bör även fortsättningsvis ha en ledande roll
när det gäller uppbyggnaden och den dagliga hanteringen av internet, men
samtidigt har kraven på insyn, ansvarsskyldighet och säkerhet ökat och blivit
alltmer tydliga. I den här strategin tydliggörs de principer som bör styra
riktlinjerna för cybersäkerhet inom EU och internationellt. EU:s kärnvärden är lika viktiga i den
digitala världen som i den fysiska världen Samma lagar och normer som gäller på andra
områden av våra dagliga liv gäller även i cyberrymden. Att skydda grundläggande rättigheter,
yttrandefrihet, personuppgifter och sekretess Cybersäkerheten måste baseras på grundläggande
rättigheter och friheter för att vara effektiv, i enlighet med Europeiska
unionens stadga om de grundläggande rättigheterna och EU:s kärnvärden. På samma
sätt kan inte enskilda individers rättigheter skyddas utan säkra nät och
system. Informationsdelning som sker i syfte att skydda cybersäkerheten, när
personuppgifter äventyras, måste ske i enlighet med EU:s dataskyddslagstiftning
och individers rättigheter på detta område måste respekteras till fullo. Tillgänglighet för alla Begränsad tillgänglighet eller total avsaknad av
tillgänglighet och digital analfabetism utgör stora nackdelar för medborgarna
med tanke på hur mycket den digitala världen präglar vårt samhälle. Alla bör ha
tillgång till internet och till ett obehindrat informationsflöde. Integriteten
och säkerheten på internet måste garanteras för att säker tillgång för alla ska
bli möjlig. Demokratisk och effektiv styrning av flera
intressenter Den digitala världen styrs inte av en enda enhet.
För närvarande finns det flera aktörer, varav många är kommersiella och
icke-statliga enheter, som arbetar med den dagliga hanteringen av resurser,
protokoll och standarder på internet och med den framtida utvecklingen av
internet. EU bekräftar återigen hur viktiga alla aktörer är i den nuvarande
modellen för styrning av internet och stöder strategin för styrning av flera
intressenter[6].
Ett gemensamt ansvar för att garantera
säkerheten Det ökade beroendet av informations- och
kommunikationsteknik på alla områden har lett till sårbarheter som måste
identifieras för att därefter noggrant analyseras, åtgärdas eller minskas. Alla
relevanta aktörer, oavsett om det rör sig om offentliga myndigheter, den
privata sektorn eller enskilda medborgare, måste erkänna detta gemensamma
ansvar, vidta åtgärder för att skydda sig själva och om nödvändigt genomföra en
samordnad svarsinsats för att stärka cybersäkerheten. 2. Strategiska prioriteringar och åtgärder EU måste värna om en internetmiljö som erbjuder
största möjliga frihet och säkerhet för att gynna alla. Samtidigt som man i
strategin erkänner att det främst är medlemsstaternas uppgift att ta itu med
säkerhetsutmaningar i cyberrymden föreslås det även specifika åtgärder som kan
förbättra EU:s resultat på området. Dessa åtgärder är både kort- och
långsiktiga, de omfattar en rad politiska instrument[7] och olika typer av aktörer,
oavsett om det handlar om EU-institutioner, medlemsstater eller branschen. Den vision som presenteras i den här strategin
består av fem strategiska prioriteringar för att anta utmaningarna ovan: ·
Att uppnå cyberberedskap. ·
Att drastiskt minska cyberbrottsligheten. ·
Att utforma en policy för cyberförsvar och
funktioner kopplade till den gemensamma säkerhets- och försvarspolitiken
(GSFP). ·
Att utveckla industriresurser och teknologiska
resurser för cybersäkerhet. ·
Att upprätta en sammanhängande internationell
policy för cybersäkerhet för EU och främja EU:s kärnvärden. 2.1. Att uppnå cyberberedskap För att främja cyberberedskap inom EU måste både
offentliga myndigheter och den privata sektorn utveckla kapacitet och samarbeta
effektivt. Genom att bygga vidare på de positiva resultat som uppnåtts hittills[8] kan ytterligare EU-åtgärder
framför allt vara till hjälp när det gäller att bekämpa cyberrisker och hot som
har en gränsöverskridande dimension, och bidra till en samordnad svarsåtgärd
vid nödsituationer. Detta kommer på ett tydligt sätt att främja en
välfungerande inre marknad och öka EU:s inre säkerhet. Europa kommer att förbli sårbart om inte omfattande
insatser genomförs för att öka den offentliga och privata kapaciteten och
tillföra resurser och processer för att förebygga, upptäcka och hantera
incidenter gällande cybersäkerhet. Därför har kommissionen utformat en politik
för nät- och informationssäkerhet[9].
Europeiska byrån för nät- och informationssäkerhet (Enisa) upprättades
2004[10]
och för närvarande är rådet och parlamentet i färd med att förhandla fram en ny
förordning för att stärka Enisa och modernisera dess uppdrag[11]. Dessutom innebär ramdirektivet
om elektronisk kommunikation[12]
att leverantörer av elektronisk kommunikation måste hantera riskerna mot
deras nät på ett lämpligt sätt och rapportera allvarliga brott mot säkerheten.
EU:s dataskyddslagstiftning[13]
innebär att de dataregisteransvariga måste garantera att dataskyddskrav
efterlevs och säkerhetsåtgärder genomförs. När det gäller
e-kommunikationstjänster som är tillgängliga för allmänheten måste de
dataregisteransvariga rapportera personuppgiftsöverträdelser till de behöriga
nationella myndigheterna. Trots att framsteg har gjorts genom frivilliga
åtaganden är skillnaderna inom EU fortfarande mycket stora, framför allt när
det gäller nationell kapacitet, samordning vid gränsöverskridande incidenter
och engagemang och beredskap inom den privata sektorn. Denna strategi åtföljs
av ett förslag till lagstiftning om att i synnerhet göra följande: ·
Upprätta gemensamma minimikrav för nät- och
informationssäkerhet på nationell nivå som innebär att medlemsstaterna måste
utse nationella behöriga myndigheter för nät- och informationssäkerhet,
upprätta en välfungerande organisation för incidenthantering och anta en
strategi för nät- och informationssäkerhet och en nationell samarbetsplan för
nät- och informationssäkerhet. Kapacitetsskapande och samordning påverkar även
EU-institutionerna. Under 2012 upprättades en permanent organisation för
incidenthantering som ansvarar för säkerheten i it-systemen hos EU:s
institutioner, byråer och organ (Cert-EU). ·
Inrätta samordnade mekanismer för att förebygga,
upptäcka, lindra och hantera hot, och på så sätt möjliggöra informationsdelning
och ömsesidigt stöd mellan de behöriga myndigheter som ansvarar för nät- och
informationssäkerhet. Nationella behöriga myndigheter som ansvarar för nät- och
informationssäkerhet kommer att ombes garantera EU-omfattande samarbete,
framför allt utifrån en samarbetsplan avseende nät- och informationssäkerhet
för EU för att hantera cyberincidenter med gränsöverskridande dimension. Det
här samarbetet kommer även att bygga på de framsteg som görs inom ramen för
EU-forumet för medlemsstaterna (EFMS)[14],
där man har genomfört produktiva diskussioner och samtal om offentlig politik
för nät- och informationssäkerhet och kan införas i samarbetsmekanismen när en
sådan har inrättats. ·
Förbättra beredskap och engagemang inom den privata
sektorn. Eftersom den stora majoriteten nät- och informationssystem ägs och
drivs av privata aktörer måste engagemanget inom den privata sektorn när det
gäller att främja cybersäkerhet förbättras. Den privata sektorn bör utveckla
egen kapacitet för cyberberedskap på teknisk nivå och dela bästa praxis mellan
sektorer. Den offentliga sektorn bör också få ta del av de redskap som
utvecklas av branschen för att hantera incidenter, upptäcka orsaker och
genomföra kriminaltekniska undersökningar. Privata aktörer saknar emellertid fortfarande
effektiva incitament när det gäller att tillhandahålla tillförlitliga uppgifter
om förekomsten och effekterna av incidenter i fråga om nät- och
informationssäkerhet, anamma en riskhanteringskultur eller investera i
säkerhetslösningar. Syftet med den föreslagna lagstiftningen är därför att se
till att aktörer på ett antal nyckelområden (närmare bestämt inom energi-,
transport- och banknäringen, på börsen, hos leverantörerna av viktiga internettjänster
samt de offentliga förvaltningarna) bedömer de risker i fråga om cybersäkerhet
som de möter och ser till att nät- och informationssystem är tillförlitliga och
motståndskraftiga genom lämplig riskhantering och delar sin information med de
nationella behöriga myndigheter som ansvarar för nät- och
informationssäkerheten. Anammandet av en kultur för cybersäkerhet skulle
förbättra affärsmöjligheterna och konkurrenskraften inom den privata sektorn,
vilket skulle göra cybersäkerheten till ett försäljningsargument. Dessa enheter skulle vara tvungna att till de
behöriga nationella myndigheter som ansvarar för nät- och informationssäkerhet
rapportera incidenter med stora effekter på kontinuiteten i kärntjänster och
tillhandahållandet av varor som är beroende av nät- och informationssystem. Nationella behöriga myndigheter som ansvarar för
nät- och informationssäkerhet bör samarbeta och utbyta information med andra
regleringsorgan, och då framför allt myndigheter med ansvar för
personuppgiftsskydd. Nationella behöriga myndigheter som ansvarar för nät- och
informationssäkerhet bör även rapportera incidenter som misstänks vara av
allvarlig brottslig karaktär till brottsbekämpande myndigheter. De bör dessutom
regelbundet offentliggöra icke sekretessbelagd information om pågående tidiga
varningar för incidenter och risker och samordnade åtgärder på en särskild
webbplats. De rättsliga skyldigheterna bör vare sig ersätta eller förebygga det
informella och frivilliga samarbete, även mellan den offentliga och privata sektorn,
som sker i syfte att förbättra säkerheten och utbyta information och bästa
praxis. Framför allt är det offentligt-privata EU-partnerskapet för
motståndskraft (EP3R[15])
en viktig plattform på EU-nivå som bör vidareutvecklas. Fonden för ett sammanlänkat Europa[16] ska tillhandahålla ekonomiskt
stöd för viktig infrastruktur och samordna medlemsstaternas kapacitet i fråga
om nät- och informationssäkerhet och på så sätt göra det lättare att samarbeta
inom EU. Slutligen är övningar med cyberincidenter på
EU-nivå nödvändiga för att simulera samarbete mellan medlemsstaterna och den
privata sektorn. Den första övningen med medlemsstaterna genomfördes 2010
(Cyber Europe 2010) och en andra övning där även den privata sektorn deltog
ägde rum i oktober 2012 (Cyber Europe 2012). En skrivbordsövning mellan EU och
USA genomfördes i november 2011 (Cyber Atlantic 2011). Fler övningar är
inplanerade för de kommande åren, bl.a. med internationella samarbetspartner. Kommissionen kommer att göra följande: · Fortsätta med den verksamhet som genomförs av det gemensamma forskningscentret i samarbete med medlemsstaternas myndigheter och viktiga ägare till och användare av infrastruktur för att identifiera sårbarheter i fråga om nät- och informationssäkerhet i kritisk infrastruktur inom EU och främja utvecklingen av motståndskraftiga system. · Starta ett EU-finansierat pilotprojekt[17] i början av 2013 för att bekämpa botnät och skadlig programvara, erbjuda en ram för samordning och samarbete mellan EU:s medlemsstater och organisationer inom den privata sektorn, såsom internetleverantörer och internationella samarbetspartner. Kommissionen uppmanar Enisa att göra följande: · Hjälpa medlemsstaterna att utarbeta stark nationell kapacitet för cyberberedskap, framför allt genom att bygga upp sakkunskaper när det gäller säkerhet och beredskap inom industriella styrsystem, transport och energiinfrastruktur. · Under 2013 undersöka genomförbarheten för CSIRT för industriella styrsystem (ICS-CSIRT) för EU. · Fortsätta stödja medlemsstaterna och EU-institutionerna i genomförandet av regelbundna övningar med it-incidenter på EU-nivå som även ger praktiska förutsättningar för EU:s deltagande i internationella övningar med it-incidenter. Kommissionen uppmanar Europaparlamentet och rådet att göra följande: · Snabbt anta förslaget till direktiv om en nät- och informationssäkerhet på hög nivå inom unionen, hantera nationell kapacitet och beredskap, samarbete på EU-nivå, använda riskhanteringsrutiner och informationsdelning om nät- och informationssäkerhet. Kommissionen uppmanar branschen att göra följande: · Ta en ledande roll när det gäller att investera i en hög cybersäkerhet och utveckla bästa praxis och informationsdelning på sektorsnivå och med offentliga myndigheter i syfte att garantera ett starkt och effektivt skydd av tillgångar och individer, framför allt genom offentlig-privata partnerskap som EP3R och Trust in Digital Life (TDL)[18]. Öka medvetenheten Att garantera cybersäkerheten är ett gemensamt
ansvar. Slutanvändarna spelar en avgörande roll när det gäller säkerheten i
nät- och informationssystem. De måste vara medvetna om de risker de ställs
inför på internet och få möjlighet att vidta enkla åtgärder för att skydda sig.
Flera initiativ har utvecklats de senaste åren
och dessa bör fortsätta. Framför allt Enisa har arbetat för att öka
medvetenheten genom att offentliggöra rapporter, organisera expertseminarier
och utveckla offentlig-privata partnerskap. Europol, Eurojust och nationella
dataskyddsmyndigheter är också aktiva när det gäller att öka medvetenheten. I
oktober 2012 genomförde Enisa tillsammans med några medlemsstater en europeisk
månad för cybersäkerhet. Att öka medvetenheten är en av de frågor som EU:s och
USA:s arbetsgrupp för cybersäkerhet och cyberbrottslighet[19] prioriterar. Frågan är även
mycket viktig inom programmet för ett säkrare internet[20] (som är inriktat på säkerhet
för barn på internet). Kommissionen uppmanar Enisa att göra följande: · Under 2013 föreslå att ett körkort för nät- och informationssäkerhet införs som ett frivilligt certifieringsprogram för att främja bättre kunskaper och kompetens hos datatekniker (t.ex. webbplatsadministratörer). Kommissionen kommer att göra följande: · Med hjälp av Enisa anordna ett mästerskap i cybersäkerhet under 2014, där universitetsstudenter tävlar mot varandra genom att föreslå lösningar inom nät- och informationssäkerhet. Kommissionen uppmanar medlemsstaterna[21] att göra följande: · Anordna en årlig månad för cybersäkerhet med hjälp av Enisa och den privata sektorn från 2013 och framåt. Målet ska vara att öka medvetenheten hos slutanvändare. En samordnad månad för cybersäkerhet för EU och USA kommer att anordnas med början år 2014. · Öka de nationella insatserna när det gäller utbildning inom nät- och informationssäkerhet genom att införa följande: Utbildning om nät- och informationssäkerhet i skolor till år 2014, utbildning om nät- och informationssäkerhet och säker programvaruutveckling och personuppgiftsskydd för personer som studerar datavetenskap och systemvetenskap och grundläggande utbildning inom nät- och informationssäkerhet för personal som arbetar inom offentlig förvaltning. Kommissionen uppmanar branschen att göra följande: · Främja medvetenheten på alla nivåer när det gäller cybersäkerhet både inom affärsvärlden och i kontakten med kunderna. Framför allt bör branschen främja metoder för att göra verkställande direktörer och styrelser mer ansvariga för att garantera cybersäkerhet. 2.2. Drastiskt minska
cyberbrottsligheten Ju mer digital den värld vi lever i blir desto
fler blir exploateringsmöjligheterna för cyberbrottslingarna.
Cyberbrottsligheten är en av de snabbast växande brottsformerna och fler än en
miljon människor världen över drabbas av den varje dag. Cyberbrottslingar och
nätverk av cyberbrott blir allt mer avancerade och vi måste ha rätt operativa
verktyg och kapacitet för att hantera dem. Cyberbrott är förknippade med hög
vinst och låga risker, och brottslingar utnyttjar ofta anonymiteten på
webbplatsdomäner. Cyberbrottsligheten känner inga gränser. Den globala
räckvidden för internet innebär att brottsbekämpande myndigheter måste anta en
samordnad och samarbetsinriktad gränsöverskridande strategi för att ta itu med
det här växande hotet. Stark och effektiv lagstiftning. EU och medlemsstaterna behöver stark och
effektiv lagstiftning för att ta itu med cyberbrottsligheten. Europarådets
konvention om cyberbrottslighet, även kallad Budapestkonventionen, är en
bindande internationell överenskommelse som utgör en effektiv ram för
antagandet av nationell lagstiftning. EU har redan antagit lagstiftning om
cyberbrottslighet, däribland ett direktiv om bekämpande av sexuell exploatering
av barn på internet och barnpornografi[22].
EU kommer även inom kort enas om ett direktiv om angrepp mot
informationssystem, framför allt genom användning av botnät. Kommissionen kommer att göra följande: · Se till att direktiven om cyberbrottslighet införlivas och genomförs snabbt. · Uppmana de medlemsstater som ännu inte har ratificerat Europarådets Budapestkonvention om cyberbrottslighet att göra det och att så snart som möjligt genomföra dess bestämmelser. Ökad operativ kapacitet för att bekämpa
cyberbrottslighet Utvecklingen av teknik inom cyberbrottslighet
har ökat snabbt. De brottsbekämpande organen kan inte bekämpa cyberbrottslighet
med omoderna operativa verktyg. För närvarande har inte alla EU-medlemsstater
den operativa kapacitet de behöver för att effektivt kunna ta itu med
cyberbrottsligheten. Alla medlemsstater behöver effektiva nationella enheter
för cyberbrottslighet. Kommissionen kommer att göra följande: · Genom sina finansieringsprogram[23] hjälpa medlemsstaterna att upptäcka brister och stärka sin kapacitet för att undersöka och bekämpa cyberbrottslighet. Kommissionen kommer även stödja de organ som arbetar för att stärka kopplingen mellan forskningsvärlden/den akademiska världen, brottsbekämpande myndigheter och den privata sektorn så att deras samarbete i högre grad liknar det arbete som de kommissionsfinansierade kompetenscentrum för cyberbrottslighet som redan har inrättats i vissa medlemsstater bedriver. · Tillsammans med medlemsstaterna samordna insatser för att fastställa bästa praxis och bästa tillgängliga teknik, bland annat med stöd av gemensamma forskningscenter för att bekämpa cyberbrottslighet (t.ex. när det gäller utveckling och användning av kriminaltekniska verktyg eller hotanalys). · Inleda ett nära samarbete med Europeiska centrumet mot it-brottslighet (EC3), inom Europol och med Eurojust för att anpassa politiska strategier med bästa praxis på den operativa sidan. Förbättrad samordning på EU-nivå EU kan komplettera medlemsstaternas arbete genom
att underlätta en samordnad och samarbetsinriktad strategi där brottsbekämpande
myndigheter och rättsliga myndigheter förenas med offentliga och privata
intressenter inom och utanför EU. Kommissionen kommer att göra följande: · Stödja det nystartade Europeiska centrumet mot it-brottslighet (EC3) som en central punkt i kampen mot it-brottslighet. EC3 bistår med analys och kunskap, stöder utredningar, tillhandahåller kriminalteknik på hög nivå, främjar samarbete, skapar kanaler för att dela information mellan medlemsstaternas behöriga myndigheter, den privata sektorn och andra intressenter och för de brottsbekämpande myndigheternas talan[24]. · Främja insatser för att öka ansvaret hos domänregistratorer och garantera att information om webbplatsägande är korrekt, framför allt utifrån rekommendationerna för brottsbekämpning för Internet Corporation for Assigned Names and Numbers (ICANN) i enlighet med EU:s lagstiftning, däribland reglerna om uppgiftsskydd. · Bygga vidare på ny lagstiftning för att fortsätta stärka EU:s insatser när det gäller att ta itu med sexuella övergrepp mot barn på internet. Kommissionen har antagit en EU-strategi för ett bättre internet för barn[25] och har tillsammans med både EU-länder och icke-EU-länder startat en global allians för att motverka sexuella övergrepp mot barn på internet[26]. Alliansen är ett redskap för att genomföra ytterligare åtgärder från medlemsstaterna med stöd av kommissionen och EC3. Kommissionen uppmanar Europol (EC3) att göra följande: · Först koncentrera sitt analytiska och operativa stöd till medlemsstaternas utredningar av cyberbrottslighet, för att hjälpa till att komma tillrätta med nätverk för cyberbrottslighet, framför allt när det gäller sexuella övergrepp mot barn, betalningsbedrägerier, botnät och intrång. · Regelbundet upprätta strategiska och operativa rapporter om kommande trender och hot för att fastställa prioriteringar och skräddarsy de insatser som särskilda team specialiserade på cyberbrottslighet genomför i medlemsstaterna. Kommissionen uppmanar Europeiska polisbyrån (Cepol) att i samarbete med Europol göra följande: · Samordna utformningen och planeringen av utbildning för att förse de brottsbekämpande myndigheterna med den kunskap och expertis som krävs för att effektivt ta itu med cyberbrottslighet. Kommissionen uppmanar Eurojust att göra följande: · Fastställa de huvudsakliga hindren mot rättsligt samarbete i utredningar av cyberbrottslighet och mot samordning mellan medlemsstaterna samt med tredjeländer och stödja utredning av och åtal mot cyberbrottslighet, på såväl operativ som strategisk nivå samt utbildning på området. Kommissionen uppmanar Eurojust och Europol (EC3) att göra följande: · Inleda ett nära samarbete, bl.a. genom informationsutbyte för att öka sin effektivitet när det gäller att bekämpa cyberbrottslighet, i enlighet med deras respektive mandat och behörighet. · 2.3. Utforma en politik för
cyberförsvar och funktioner kopplade till den gemensamma säkerhets- och
försvarspolitiken (GSFP) Insatser i fråga om cybersäkerhet inom EU
omfattar även dimensionen för cyberförsvar. För att öka beredskapen i de
kommunikations- och informationssystem som används för att stödja
medlemsstaternas försvarsintressen och nationella säkerhetsintressen bör
kapacitetsutvecklingen i fråga om cyberförsvar vara koncentrerad på att
upptäcka, åtgärda och återhämta sig från avancerade cyberhot. Med tanke på att hoten är mångfacetterade bör
samverkan mellan civila och militära strategier när det gäller att skydda
viktiga it-tillgångar förbättras. Dessa insatser bör stödjas av forskning och
utveckling, och tätare samarbete mellan regeringar, den privata sektorn och den
akademiska världen inom EU. För att undvika dubbelarbete kommer EU att utforska
möjligheter för EU och Nato att samordna sina insatser när det gäller att höja
beredskapen för kritisk infrastruktur i fråga om myndigheter, försvar och annan
information som medlemmar av båda organisationerna är beroende av. Den
höga representanten kommer att fokusera på och uppmana medlemsstaterna och
Europeiska försvarsbyrån att samarbeta när det gäller följande viktiga
insatser: ·
Bedöma de operativa kraven för EU:s cyberförsvar
och främja utvecklingen av EU:s kapacitet när det gäller cyberförsvar och
teknik för att ta itu med alla aspekter av kapacitetsutveckling – däribland
undervisning, ledarskap, organisation, personal, utbildning, teknik,
infrastruktur, logistik och interoperabilitet. ·
Utveckla en ram för EU:s politik när det gäller
cyberförsvar för att skydda nät vid uppdrag och verksamhet inom GSFP, däribland
dynamisk riskhantering, förbättrad hotanalys och informationsdelning. Förbättra
utbildning för cyberförsvar och övningsmöjligheter för militären inom EU och
multinationellt, bl.a. genom att införa aspekter av cyberförsvar i befintliga
kursplaner. ·
Främja dialog och samordning mellan civila och
militära aktörer inom EU – med särskild tonvikt på utbyte av god praxis,
informationsutbyte och tidig varning, incidenthantering, riskbedömning,
kunskapshöjande insatser och upprättande av cybersäkerhet som prioriteringar. ·
Skapa en dialog med internationella
samarbetspartner, däribland Nato, andra internationella organisationer och
multinationella kompetenscentrum för att garantera ett effektivt försvar,
fastställa samarbetsområden och undvika dubbelarbete. 2.4. Utveckla branschresurser och
tekniska resurser för cybersäkerhet Europa har fantastiska resurser när det gäller
forskning och utveckling, men många av de globala ledare som tillhandahåller
innovativa IKT-produkter och tjänster finns utanför EU. Det finns en risk för
att Europa inte bara blir alltför beroende av IKT som produceras på annan
plats, utan även av säkerhetslösningar som utvecklats utanför dess gränser. Det
är avgörande att se till att maskinvaru- och programvarukomponenter som
tillverkas inom EU och i tredjeländer som används i kritiska tjänster och
infrastruktur, och allt mer i mobila enheter, är tillförlitliga, säkra och
garanterar skydd av personuppgifter. Främja en inre marknad för
cybersäkerhetsprodukter En hög nivå av säkerhet kan endast garanteras om
alla aktörer i värdekedjan (t.ex. tillverkare av utrustning,
programvaruutvecklare och leverantörer av tjänster till informationssamhället)
gör säkerheten till en prioritering. Det förefaller[27] emellertid som om många aktörer
fortfarande betraktar säkerhet som ytterligare en börda och efterfrågan på
säkerhetslösningar är begränsad. Det krävs lämpliga krav när det gäller
resultat inom cybersäkerhet inom hela värdekedjan för IKT-produkter som används
i Europa. Den privata sektorn behöver incitament för att garantera en hög nivå
av cybersäkerhet. Exempelvis kommer märkning som anger att cybersäkerheten är
hög göra det möjligt för företag med goda resultat och meriter när det gäller
cybersäkerhet att göra detta till ett försäljningsargument och få en
konkurrensfördel. Dessutom skulle de skyldigheter som anges i förslaget till
direktiv om nät- och informationssäkerhet påtagligt bidra till att öka
verksamhetens konkurrenskraft i de sektorer som omfattas. En efterfrågan på hela den europeiska marknaden
av mycket säkra produkter bör också stimuleras. För det första är syftet med
den här strategin att öka samarbetet och insynen i säkerhet när det gäller
IKT-produkter. Den uppmanar till ett upprättande av en plattform där relevanta
offentliga och privata intressenter i Europa sammanförs för att fastställa god
praxis i fråga om cybersäkerhet inom hela värdekedjan och skapa gynnsamma
marknadsvillkor för utveckling och antagande av säkra IKT-lösningar. En viktig
prioritering bör vara att skapa incitament för att utföra lämplig riskhantering
och anta säkerhetsstandarder och lösningar, samt eventuellt upprätta frivilliga
certifieringssystem inom EU som bygger på befintliga system inom EU och
internationellt. Kommissionen kommer att främja antagandet av sammanhängande
strategier bland medlemsstaterna för att undvika att skillnader orsakar lokala
nackdelar för företag. För det andra kommer kommissionen stödja
utvecklingen av säkerhetsstandarder och bistå med EU-omfattande frivilliga
certifieringssystem när det gäller molnbaserade datortjänster samtidigt som man
tar vederbörlig hänsyn till behovet av att garantera uppgiftsskydd. Arbetet
kommer att vara inriktat på säkerheten i leveranskedjan, framför allt i viktiga
ekonomiska sektorer (industriella styrsystem samt energi- och
transportinfrastruktur) och bör bygga vidare på det pågående
standardiseringsarbete som europeiska standardiseringsorganisationer (CEN,
CENELEC och ETSI)[28]
samt Cybersecurity Coordination Group (CSCG) utför samt på sakkunskaperna hos
Enisa, kommissionen och andra relevanta aktörer. Kommissionen kommer att göra följande: · Under 2013 lansera en offentlig-privat plattform för lösningar när det gäller nät- och informationssäkerhet för att utveckla incitament för antagandet av säkra IKT-lösningar och användningen av goda resultat när det gäller cybersäkerhet för IKT-produkter som används i Europa. · Under 2014 föreslå rekommendationer för att garantera cybersäkerhet inom hela IKT-värdekedjan som utgår från det arbete som utförs inom ramen för plattformen. · Undersöka hur viktiga leverantörer av IKT-maskinvara och programvara kan informera nationella behöriga myndigheter om identifierade sårbarheter som kan ha påtagliga effekter på säkerheten. Kommissionen uppmanar Enisa att göra följande: · I samarbete med relevanta nationella behöriga myndigheter, relevanta intressenter, internationella och europeiska standardiseringsorgan och Europeiska kommissionens gemensamma forskningscenter utarbeta tekniska riktlinjer och rekommendationer för antagandet av standarder och god praxis i fråga om nät- och informationssäkerhet i den offentliga och privata sektorn. Kommissionen uppmanar offentliga och privata intressenter att göra följande: · Stimulera utvecklingen och antagandet av branschledda säkerhetsstandarder, tekniska normer och principer för security-by-design och privacy-by-design hos tillverkare av IKT-produkter och tjänsteleverantörer, däribland molnleverantörer. Ny programvara och maskinvara bör utrustas med starkare inbyggda och användarvänliga säkerhetsfunktioner. · Utveckla branschledda standarder för företagens resultat när det gäller cybersäkerhet och förbättra den information som är tillgänglig för allmänheten genom att utveckla säkerhetsmärkning eller kvalitetsmärken som hjälper kunden att navigera på marknaden. Främja investeringar i forskning och
utveckling samt innovation Forskning och utveckling kan gynna en stark
branschpolitik, främja en tillförlitlig europeisk IKT-bransch, stimulera den
inre marknaden och minska beroendet av utländsk teknik. Forskning och
utveckling bör leda till att de brister som finns när det gäller IKT-säkerhet
åtgärdas, förbereda systemen för kommande säkerhetsutmaningar, beakta de
ständigt förändrade användarbehoven och utnyttja fördelarna med teknik med
dubbla användningsområden. Man bör även fortsätta att stödja utvecklingen av
kryptografi. Detta måste kompletteras av insatser för att omvandla resultaten
av forskning och utveckling till kommersiella lösningar genom att
tillhandahålla nödvändiga incitament och inrätta lämpliga politiska villkor. EU bör göra så mycket som möjligt av Horisont
2020[29]–ramprogrammet
för forskning och innovation som kommer att inledas 2014. Kommissionens förslag
omfattar särskilda mål som gäller tillförlitlig IKT och bekämpande av cyberbrottslighet
i linje med denna strategi. Horisont 2020 kommer att stödja säkerhetsforskning
som är kopplad till IKT-teknik som är under utveckling, tillhandahålla
lösningar för obrutna och säkra IKT-system, tjänster och applikationer,
tillhandahålla incitament för genomförande och antagande av befintliga
lösningar och hantera interoperabilitet inom nät- och informationssystem.
Särskild uppmärksamhet kommer att ägnas åt att på EU-nivå optimera och på ett
bättre sätt samordna olika finansieringsprogram (Horisont 2020, Fonden för inre
säkerhet, forskning som bedrivs av Europeiska försvarsbyrån, däribland
europeiskt ramsamarbete). Kommissionen kommer att göra följande: · Använda Horisont 2020 för att ta itu med en rad frågor som rör IKT, sekretess och säkerhet, från forskning och utveckling till innovation och införande. Inom Horisont 2020 kommer dessutom verktyg och instrument för att bekämpa kriminell verksamhet och terrorism som riktas mot cybermiljön att främjas. · Upprätta mekanismer för bättre samordning av EU-institutionernas och medlemsstaternas forskningsdagordningar och uppmuntra medlemsstaterna att investera mer i forskning och utveckling. Kommissionen uppmanar medlemsstaterna att göra följande: · Till slutet av 2013 utveckla god praxis för att utnyttja offentliga förvaltningars köpkraft (exempelvis via offentlig upphandling) för att stimulera utveckling och införande av säkerhetsfunktioner i IKT-relaterade produkter och tjänster. · Främja tidigt engagemang från branschen och den akademiska världen i utvecklingen och samordningen av lösningar. Detta bör ske genom användning av Europas industriella bas och tekniska innovationer inom forskning och utveckling och samordning mellan civila och militära organisationers forskningsdagordningar. Kommissionen uppmanar Europol och Enisa att göra följande: · Fastställa trender och behov när det gäller mönster i fråga om cyberbrottslighet och cybersäkerhet för att utveckla lämpliga digitala kriminaltekniska verktyg och teknik. Kommissionen uppmanar offentliga och privata intressenter att göra följande: · Tillsammans med försäkringsbranschen ta fram harmoniserade parametrar för att beräkna riskpremier som gör det möjligt för företag som har investerat i säkerheten att gynnas av lägre riskpremier. 2.5. Upprätta en enhetlig internationell
politik för cybersäkerhet för EU och främja EU:s kärnvärden Att bevara en öppen, fri och säker cyberrymd är
en global utmaning som EU bör anta tillsammans med berörda internationella
partner och organisationer, den privata sektorn och det civila samhället. I sin internationella politik för cyberrymden
kommer EU att sträva efter att främja öppenheten och friheten på internet samt
uppmuntra insatser för att utveckla beteendenormer och tillämpa befintliga
internationella lagar i cyberrymden. EU kommer även att arbeta för att komma
tillrätta med de digitala klyftorna och aktivt delta i internationella insatser
för att bygga upp kapacitet när det gäller cybersäkerheten. EU:s
internationella engagemang i cyberfrågor präglas av EU:s kärnvärden mänsklig värdighet,
frihet, demokrati, jämlikhet, rättsstatsprincipen och respekten för de
grundläggande rättigheterna. Integrera frågor kopplade till cyberrymden i
EU:s yttre förbindelser och den gemensamma utrikes- och säkerhetspolitiken Kommissionen, den höga representanten och
medlemsstaterna bör utforma en enhetlig internationell cyberpolitik för EU, där
målet är ökat engagemang och starkare förbindelser med viktiga internationella
partner och organisationer samt med det civila samhället och den privata sektorn.
EU:s samråd med internationella partner i cyberfrågor bör utformas, samordnas
och genomföras för att tillföra mervärde till de befintliga bilaterala
dialogerna mellan EU-medlemsstater och tredjeländer. EU kommer återigen att
betona dialogen med tredjeländer och i synnerhet med likasinnade partner som
delar EU:s värden. Man kommer att arbeta för att uppnå en hög nivå dataskydd,
bland annat när det gäller överföring av personuppgifter till tredjeland. För
att ta itu med globala utmaningar i cyberrymden kommer EU att sträva efter ett
närmare samarbete med organisationer som är aktiva på det här området, såsom
Europarådet, OECD, FN, OSSE, Nato, AU, Asean och OAS. På bilateral nivå är
samarbetet med USA särskilt viktigt och kommer att vidareutvecklas, framför inom
ramen för EU:s och USA:s arbetsgrupp för cybersäkerhet och cyberbrottslighet. En av de viktigaste delarna av EU:s
internationella cyberpolitik kommer att vara att främja cyberrymden som ett
område för frihet och grundläggande rättigheter. Att öka tillgången till
internet bör gynna demokratiska reformer världen över. Ökad global
konnektivitet bör inte åtföljas av censur eller massövervakning. EU bör främja
företagens sociala ansvar[30],
och lansera internationella initiativ för att förbättra den globala samordningen
på detta område. Ansvaret för en säkrare cyberrymd vilar på alla
aktörer i det globala informationssamhället, såväl medborgare som myndigheter.
EU stöder insatserna för att definiera beteendenormer i cyberrymden som alla
intressenter bör följa. På samma sätt som EU förväntar sig att medborgarna ska
respektera medborgerliga skyldigheter, socialt ansvar och lagar på internet bör
även länder följa normer och lagstiftning. När det gäller internationell
säkerhet uppmanar EU utvecklingen av förtroendeskapande åtgärder inom
cybersäkerhet för att öka insynen och minska risken för missförstånd när det
gäller länders agerande. EU anser inte att det krävs nya internationella
rättsliga instrument för cyberfrågor. De rättsliga skyldigheterna i Internationella konventionen
om medborgerliga och politiska rättigheter, Europeiska konventionen om skydd
för de mänskliga rättigheterna och EU:s stadga om de grundläggande
rättigheterna bör också respekteras på internet. EU kommer att fokusera på hur
dessa åtgärder även ska följas i cyberrymden. När det gäller åtgärder mot cyberbrottslighet är
Budapestkonventionen ett instrument som tredjeländer fritt kan ansluta sig
till. Den står som modell för nationell lagstiftning om cyberbrottslighet och
utgör underlag för internationellt samarbete på detta område. Om väpnade konflikter sträcker sig ända ut i
cyberrymden tillämpas internationell humanitär rätt och eventuellt
människorättslagstiftning. Att utveckla kapacitetsskapande i fråga om
cybersäkerhet och motståndskraftig informationsinfrastruktur i tredjeländer Välfungerande infrastruktur som tillhandahåller
och underlättar kommunikationstjänster gynnas av ett ökat internationellt
samarbete. Detta omfattar utbyte av bästa praxis, informationsdelning,
gemensamma övningar för tidig varning och hantering av incidenter osv. EU
kommer att sträva mot detta mål genom att intensifiera de pågående
internationella ansträngningarna för att stärka samarbetet mellan myndigheter
och den privata sektorn när det gäller skydd av kritisk infrastruktur. Alla delar av världen har inte fått ta del av
internets positiva effekter, på grund av att det saknas öppen, säker,
driftskompatibel och tillförlitlig tillgång. Därför kommer EU fortsätta att
stödja ländernas ansträngningar att utveckla tillgång och användning av
internet för medborgarna, garantera dess integritet och säkerhet och effektivt
bekämpa cyberbrottsligheten. I samarbete med medlemsstaterna kommer kommissionen och den höga representanten att göra följande: · Arbeta för en enhetlig internationell cyberpolitik för EU för att öka engagemanget hos viktiga internationella partner och organisationer, integrera frågor kopplade till cyberrymden i den gemensamma utrikes- och säkerhetspolitiken och förbättra samordningen av globala cyberfrågor. · Stödja utvecklingen av beteendenormer och förtroendeskapande åtgärder inom cybersäkerhet. Främja en dialog om hur man tillämpar befintlig internationell lagstiftning i cyberrymden och främja Budapestkonventionen för att ta itu med cyberbrottslighet. · Stödja främjandet och skyddet av grundläggande rättigheter, däribland tillgång till information och yttrandefrihet med fokus på följande: a) ta fram nya offentliga riktlinjer för yttrandefrihet på och utanför internet, b) övervaka exporten av produkter eller tjänster som kan användas för censur eller massövervakning på internet, c) utveckla åtgärder och redskap för att öka tillgången till internet, öppenheten och beredskapen när det gäller att ta itu med censur eller massövervakning genom kommunikationsteknik, d) ge intressenterna möjlighet att använda kommunikationsteknik för att främja grundläggande rättigheter. · Samarbeta med internationella partner och organisationer, den privata sektorn och det civila samhället i syfte att stödja globalt kapacitetsskapande i tredjeländer för att förbättra tillgången till information och till ett öppet internet, förhindra och bekämpa cyberhot, däribland tillbud, cyberbrottslighet och cyberterrorism och utveckla givarsamordning för att styra kapacitetsskapande insatser. · Utnyttja EU:s olika stödinstrument för kapacitetsskapande när det gäller cybersäkerhet, bl.a. bistå vid utbildning av brottsbekämpande myndigheter, rättslig och teknisk personal för att ta itu med cyberhot samt upprättandet av relevant nationell politik, strategier och institutioner i tredjeländer. · Öka den politiska samordningen och informationsdelningen genom de internationella näten för skydd av kritisk infrastruktur såsom Meridian, samarbete mellan behöriga myndigheter som ansvarar för nät- och informationssäkerhet och andra. 3. Roller och ansvarsområden Cyberincidenter känner inga gränser i vår
uppkopplade digitala ekonomi och vårt digitala samhälle. Alla aktörer, behöriga
myndigheter som ansvarar för nät- och informationssäkerhet, organisationer för
incidenthantering, brottsbekämpande myndigheter och branschen måste ta ansvar
både nationellt och på EU-nivå och samarbeta för att stärka cybersäkerheten.
Eftersom olika rättsliga system och jurisdiktioner kan vara inblandade är en av
de största utmaningarna för EU att tydliggöra roller och ansvarsområden för de
många aktörer som berörs. Med tanke på frågans komplexitet och de många
inblandade aktörerna är centraliserad övervakning på EU-nivå inte någon
lösning. Nationella myndigheter är de som är bäst lämpade att organisera
förebyggande och hantering av cyberincidenter och angrepp och ett upprättande
av kontakter och nätverk med den privata sektorn och allmänheten genom
etablerade ramar. Med tanke på att riskerna kan vara eller faktiskt är
gränslösa krävs det emellertid även engagemang på EU-nivå utöver en effektiv
nationell hantering. För att hantera cybersäkerhet på ett heltäckande sätt bör
verksamheten omfatta tre pelare – nät- och informationssäkerhet,
brottsbekämpning och försvar – som även fungerar inom olika rättsliga system. 3.1. Samordning mellan behöriga
myndigheter med ansvar för nät- och informationssäkerhet, organisationer för
incidenthantering, brottsbekämpande myndigheter och försvar Nationell nivå Medlemsstaterna bör antingen redan nu ha eller
genom den här strategin få strukturer för att ta itu med cyberberedskap,
cyberbrottslighet och försvar och de bör ha den kapacitet som krävs för att ta
itu med cyberincidenter. Med tanke på att flera enheter kan ha driftsansvar
över olika dimensioner av cybersäkerhet, och med tanke på vikten av att
engagera den privata sektorn bör samordningen mellan departement på nationell
nivå optimeras. Medlemsstaterna bör i sina nationella strategier för
cybersäkerhet fastställa roller och ansvarsområden för olika nationella
enheter. Informationsdelning mellan nationella enheter
och med den privata sektorn bör uppmuntras för att göra det möjligt för
medlemsstaterna och den privata sektorn att få en överblick över olika hot och
bättre kunskaper om nya trender och tekniker som används både för att begå
cyberangrepp och snabbare reagera på dem. Genom att upprätta nationella
samarbetsplaner för nät- och informationssäkerhet som ska aktiveras vid
cyberincidenter bör medlemstaterna tydligt kunna fördela roller och
ansvarsområden och optimera svarsåtgärder. EU-nivå På såväl nationell nivå som EU-nivå finns det
flera aktörer som hanterar cybersäkerhet. Framför allt Enisa, Europol/EC3 och
Europeiska försvarsbyrån är aktiva när det gäller nät- och
informationssäkerhet, brottsbekämpning och försvar. Dessa organ har styrelser
där medlemsstaterna är representerade och erbjuder plattformar för samordning
på EU-nivå. Samordning och samarbete uppmuntras hos Enisa,
Europol/EC3 och Europeiska försvarsbyrån på flera områden där de gemensamt är
engagerade, framför allt när det gäller trendanalys, riskbedömning, utbildning
och delande av bästa praxis. De bör samarbeta samtidigt som de var för sig
fortsätter att arbeta med det de är specialiserade på. Tillsammans
med Cert-EU, kommissionen och medlemsstaterna bör dessa myndigheter stödja
utvecklingen av en grupp tekniska och politiska experter på detta område. Informationskanaler för samordning och samarbete
kommer att kompletteras av mer strukturella kopplingar. EU:s militära personal
och Europeiska försvarsbyråns projektteam för cyberförsvar kan användas för
samordning inom försvar. Europol/EC3:s programstyrelse kommer bland annat att
samla Eurojust, Cepol, medlemsstaterna[31],
Enisa och kommissionen och ge dem möjlighet att dela sina särskilda sakkunskaper
och se till att EC3:s åtgärder utförs gemensamt, samt erkänna de
expertkunskaper som alla intressenter kan bidra med och respektera deras
mandat. Enisas nya mandat bör göra det möjligt att öka dess samarbete med
Europol och stärka kopplingen till branschintressenter. Det viktigaste av allt
är att kommissionens lagstiftningsförslag om nät- och informationssäkerhet
skulle leda till upprättandet av en samarbetsram via ett nätverk av nationella
behöriga myndigheter som ansvarar för nät- och informationssäkerhet och
hanterar informationsdelning mellan myndigheter som arbetar med nät- och
informationssäkerhet respektive brottsbekämpning. Internationellt Kommissionen och den höga representanten
genomför tillsammans med medlemsstaterna samordnade internationella åtgärder på
området cybersäkerhet. På så sätt upprätthåller de EU:s kärnvärden och främjar
en fredlig och öppen användning av cyberteknik. Kommissionen, den höga
representanten och medlemsstaterna engagerar sig i en politisk dialog med
internationella partner och med internationella organisationer såsom
Europarådet, OECD. OSSE, Nato och FN. 3.2. EU-stöd vid en större
cyberincident eller ett angrepp Större cyberincidenter eller angrepp påverkar
EU:s myndigheter, företag och individer. Som ett resultat av den här strategin,
och framför allt förslaget till direktiv om nät- och informationssäkerhet, bör
förebyggande, upptäckt och hantering av cyberincidenter förbättras och
medlemsstaterna och kommissionen bör hålla varandra informerade om större
cyberincidenter eller angrepp. Svarsmekanismerna ser emellertid annorlunda ut
beroende på incidentens karaktär, storlek och gränsöverskridande effekter. Om incidenten har en allvarlig inverkan på
affärsvärlden föreslås det i direktivet om nät- och informationssäkerhet att
nationella samarbetsplaner och planer på EU-nivå för nät- och
informationssäkerhet ska aktiveras, beroende på incidentens gränsöverskridande
karaktär. Nätverket av behöriga myndigheter med ansvar för nät- och
informationssäkerhet används i detta sammanhang för att dela information och
stöd. Detta skulle möjliggöra bevarande och/eller återställande av drabbade nät
och tjänster. Om incidenten förefaller vara kopplad till ett
brott bör Europol/EC3 informeras så att de – tillsammans med de brottsbekämpande
myndigheterna från de drabbade länderna – kan starta en utredning, spara
bevisen, identifiera förövarna och se till att de åtalas. Om incidenten förefaller vara relaterad till
cyberspionage eller ett statsunderstött angrepp, eller har konsekvenser för den
nationella säkerheten, ska nationella säkerhets- och försvarsmyndigheter varna
sina motparter om att de är under attack så att de kan försvara sig. Mekanismer
för tidig varning aktiveras sedan och om nödvändigt även krishantering eller
andra förfaranden. En särskilt allvarlig cyberincident eller ett angrepp kan
utgöra tillräckliga grunder för att en medlemsstat ska kunna åberopa EU:s
solidaritetsklausul (artikel 222 i fördraget om Europeiska unionens
funktionssätt). Om incidenten tycks ha äventyrat personuppgifter
bör de nationella dataskyddsmyndigheterna eller den nationella
regleringsmyndigheten involveras i enlighet med direktiv 2002/58/EG. Slutligen kommer hanteringen av cyberincidenter
och angrepp gynnas av kontaktnät och stöd från internationella partner. Detta
kan inbegripa teknisk begränsning, brottsutredningar eller aktivering av
svarsmekanismer för krishantering. 4. Slutsatser och uppföljning I det här förslaget till strategi för
cybersäkerhet för EU som kommissionen och den höga representanten för utrikes
frågor och säkerhetspolitik har lagt fram, beskrivs EU:s vision och de åtgärder
som krävs. Dessa baseras på ett starkt skydd och främjande av medborgarnas
rättigheter för att göra EU:s internetmiljö till den säkraste i världen.[32] Den här visionen kan endast förverkligas genom
ett partnerskap mellan många aktörer som tar ansvar och antar de utmaningar som
väntar. Därför uppmanar kommissionen och den höga
representanten rådet och Europaparlamentet att stödja strategin och hjälpa till
att genomföra de åtgärder som beskrivs. Starkt stöd och engagemang krävs även
från den privata sektorn och det civila samhället som är mycket viktiga för att
förbättra vår säkerhetsnivå och skydda medborgarnas rättigheter. Nu är tiden inne att agera. Kommissionen och den
höga representanten är fast beslutna att samarbeta med alla aktörer för att
uppnå den säkerhet som krävs i Europa. För att se till att strategin snabbt
genomförs och utvärderas när det gäller möjlig utveckling kommer de att samla
alla berörda parter till en högnivåkonferens och utvärdera framstegen inom ett
år. [1] http://www.epc.eu/dsm/2/Study_by_Copenhagen.pdf [2] Exempelvis
växter som är utrustade med sensorer för att kommunicera
med sprinklersystemet och meddela när det är dags att bli vattnade. [3] 2012 Särskild Eurobarometer 390 om cybersäkerhet. [4] Cybersäkerhet omfattar de skydd och åtgärder som kan
användas för att skydda cyberrymden, både på det civila och militära området,
från hot som är förknippade med eller som kan skada nät och informationsinfrastruktur.
Målet med cybersäkerheten är att bevara tillgängligheten och integriteten i
näten och infrastrukturen och konfidentialiteten när det gäller informationen i
dessa. Begreppet cybersäkerhet omfattar även förebyggande åtgärder och åtgärder
för att bekämpa cyberbrottslighet. [5] Cyberbrottslighet avser en mängd olika brottsliga
aktiviteter där datorer och informationssystem används, antingen som verktyg
eller mål. Cyberbrottslighet omfattar traditionella brott (t.ex. bedrägeri,
förfalskning och identitetsstöld), innehållsrelaterade brott (t.ex. spridning
av barnpornografi eller uppmuntran till rashat på internet) och brott som är
unika för datorer och informationssystem (t.ex. angrepp mot informationssystem,
överbelastningsattacker och skadlig programvara). [6] Se
även KOM(2009) 277, Meddelande från kommissionen till Europaparlament och rådet
Förvaltning av Internet – framtida åtgärder. [7] Åtgärder kopplade till informationsdelning som berör
personuppgifter bör uppfylla EU:s dataskyddslagstiftning. [8] Se hänvisningar i detta meddelande samt i kommissionens
arbetsdokument om konsekvensanalys som åtföljer kommissionens förslag till
direktiv om nät- och informationssäkerhet, framför allt avsnitten 4.1.4, 5.2,
bilaga 2, bilaga 6 och bilaga 8. [9] År
2001 antog kommissionen meddelandet Nät- och
informationssäkerhet: Förslag till en europeisk strategi (KOM(2001) 298).
År 2006 antogs en strategi för ett säkert informationssamhälle
(KOM(2006) 251). Sedan 2009 har kommissionen även antagit en handlingsplan
och ett meddelande om skydd av kritisk infrastruktur
(KOM(2009) 149) som fick stöd i rådets resolution 2009/C 321/01 och
KOM(2011) 163 som fick stöd i rådets slutsatser 10299/11). [10] Förordning (EG) nr 460/2004. [11] KOM(2010) 521. De åtgärder som föreslås i den här
strategin omfattar inte ändringar av det befintliga eller framtida Enisas
mandat. [12] Artiklarna
13a och b i direktiv 2002/21/EG. [13] Artikel 17 i direktiv 95/46/EG, artikel 4 i direktiv
2002/58/EG. [14] EU-forumet för medlemsstaterna lanserades via KOM(2009) 149
som en plattform för att främja diskussioner mellan medlemsstaternas offentliga
myndigheter om god praxis i fråga om säkerhet och beredskap för kritisk
infrastruktur. [15] Det
offentligt-privata EU-partnerskapet för motståndskraft lanserades genom KOM(2009) 149.
Via denna plattform inleddes arbete samtidigt som samarbete främjades mellan
den offentliga och privata sektorn för att fastställa viktiga tillgångar,
resurser, funktioner, grundläggande krav för beredskap, samarbetsbehov och
mekanismer för att hantera omfattande störningar som påverkar elektronisk
kommunikation. [16] https://ec.europa.eu/digital-agenda/en/connecting-europe-facility.
Budgetrubrik 09.03.02 för Fonden för ett sammanlänkat Europa –
Telekommunikationsnät (för att främja samtrafik och interoperabilitet mellan
medlemstaternas nationella offentliga tjänster på nätet samt tillgång till
sådana nät). [17] Ramprogrammet
för konkurrenskraft och innovation – IKT-stödprogrammet – 2012-6, 325188 har en
övergripande budget på 15 miljoner euro, varav EU-finansieringen uppgår till
7,7 miljoner euro. [18] http://www.trustindigitallife.eu/ [19] Den
här arbetsgruppen, som inrättades vid toppmötet mellan EU och USA i november
2010 (MEMO/10/597), har fått i uppdrag att utveckla samarbetsstrategier i en
mängd frågor kopplade till cybersäkerhet och cyberbrottslighet. [20] Programmet
för ett säkrare internet finansierar ett nätverk av icke-statliga
organisationer som är aktiva på området barns välbefinnande på internet, ett
nätverk av brottsbekämpande organ som utbyter information och bästa praxis
kopplat till brottsligt utnyttjande av internet för att sprida material där
sexuella övergrepp mot barn begås och ett nätverk av forskare som sammanställer
information om användare, risker och konsekvenser av internetteknik för barns
liv. [21] Även med deltagande av relevanta nationella myndigheter,
däribland behöriga myndigheter som ansvarar för nät- och informationssäkerhet
och dataskyddsmyndigheter. [22] Direktiv 2011/93/EU om ersättande av rådets rambeslut
2004/68/RIF. [23] För 2013, inom ramen för
programmet Förebyggande och bekämpande av brott (Isec). Efter 2013 inom ramen
för Fonden för inre säkerhet (ett nytt instrument som ingår i den fleråriga
budgetramen). [24] Den 28 mars 2012 antog Europeiska kommissionen meddelandet
Brottsbekämpning i vår digitala tidsålder: inrättande av ett Europeiskt
centrum mot it-brottslighet. [25] COM(2012)
196 final. [26] Rådets
slutsatser om en global allians mot
sexuella övergrepp mot barn på internet (gemensamt uttalande från EU och USA)
av den 7 och 8 juni 2012 och förklaringen om lanseringen av den globala
alliansen mot sexuella övergrepp mot barn på internet (http://europa.eu/rapid/press-release_MEMO-12-944_en.htm).
[27] Se kommissionens
arbetsdokument om konsekvensanalys som åtföljer kommissionens förslag till
direktiv om nät- och informationssäkerhet, avsnitt 4.1.5.2. [28] I synnerhet inom ramen för standardiseringsmandatet M/490
för smarta nät och referensstrukturer. [29] Horisont
2020 är det finansieringsinstrument som används för att genomföra Innovationsunionen, ett flaggskeppsinitiativ som är en del
av Europa
2020 och vars syfte är att stärka Europas globala konkurrenskraft. EU:s nya
ramprogram för forskning och innovation, som kommer att pågå 2014–2020, kommer
att vara en del av satsningen på att skapa ny tillväxt och nya arbetstillfällen
i Europa. [30] En förnyad EU-strategi 2011–2014 för företagens sociala
ansvar, KOM(2011) 681 slutlig. [31] Via representationen inom EU:s arbetsgrupp om it-brottslighet som
består av cheferna för EU:s cyberbrottslighetsenheter i medlemsstaterna. [32] Finansieringen av strategin kommer att ske med de
planerade beloppen för varje relevant politikområde (Fonden för ett
sammanlänkat Europa, Horisont 2020, Fonden för inre säkerhet, den gemensamma
utrikes- och säkerhetspolitiken samt yttre samarbete, framför allt
Stabilitetsinstrumentet) i enlighet med beskrivningen i kommissionens förslag
till den fleråriga budgetramen för 2014–2020 (ska godkännas av
budgetmyndigheten och slutbeloppen i den antagna fleråriga budgetramen för
2014–2020). När det gäller behovet av att garantera övergripande kompatibilitet
med de poster som är tillgängliga för decentraliserade organ och taket för
decentraliserade organ i varje utgiftsrubrik i nästa fleråriga budgetram kommer
de organ (Cepol, Europeiska försvarsbyrån, Enisa, Eurojust och Europol/EC3) som
genom detta meddelande ombes ta sig an nya uppgifter uppmanas att göra det i
den mån organets faktiska kapacitet att ta upp växande resurser har fastställts
och alla möjligheter till omfördelning har identifierats.