EUROPEISKA KOMMISSIONEN
Strasbourg den 18.4.2023
COM(2023) 207 final
MEDDELANDE FRÅN KOMMISSIONEN TILL EUROPAPARLAMENTET OCH RÅDET
Minska kompetensbristen på cybersäkerhetsområdet för att främja EU:s konkurrenskraft, tillväxt och resiliens
(EU-akademin för cyberkompetens)
Minska kompetensbristen på cybersäkerhetsområdet för att främja EU:s konkurrenskraft, tillväxt och resiliens (EU-akademin för cyberkompetens)
1.Ett akut behov av att minska riskerna genom att komma till rätta med kompetensbristen på cybersäkerhetsområdet
Cybersäkerheten är inte bara en del av medborgarnas, företagens och medlemsstaternas säkerhet. Den är också nödvändig för att säkerställa EU:s politiska stabilitet, stabiliteten i dess demokratier och vårt samhälles och våra företags välstånd. Hotbilden på cybersäkerhetsområdet har förändrats kraftigt de senaste åren och en oroande trend är att allt fler cyberattacker riktar sig mot militär och civil kritisk infrastruktur i EU. Fientliga aktörer får allt större kapacitet och det dyker upp nya hot, hybridhot och framväxande hot, såsom användningen av bottar och teknik som bygger på artificiell intelligens. I synnerhet orsakar fientliga aktörer som använder sig av utpressningsprogram företagen rutinmässigt stora skador, både ekonomiskt och i förlorat anseende.
Ett stort antal cybersäkerhetsincidenter har också varit riktade mot offentlig förvaltning och regeringar i medlemsstaterna samt mot EU:s institutioner, organ och byråer. Finanssektorn och hälso- och sjukvårdssektorn, som båda utgör samhällets och ekonomins ryggrad, har också konsekvent varit föremål för incidenter. De geopolitiska spänningarna till följd av Rysslands anfallskrig mot Ukraina har ökat cybersäkerhetshotet och riskerar att destabilisera vårt samhälle. EU:s säkerhet kan inte garanteras utan EU:s mest värdefulla tillgång: människorna. EU har ett akut behov av yrkesverksamma personer med färdigheter och kompetens att förebygga, upptäcka, avskräcka och försvara EU, inbegripet dess mest kritiska infrastruktur, mot cyberattacker och säkerställa dess resiliens.
Kompetensbristen på cybersäkerhetsområdet hämmar också Europas konkurrenskraft och tillväxt, som i hög grad är beroende av utvecklingen och användningen av strategisk digital teknik (t.ex. artificiell intelligens, 5G och molntjänster). Det behövs kvalificerad arbetskraft inom cybersäkerhet för att EU ska kunna fortsätta att tillhandahålla viktig avancerad teknik i en global miljö.
För att ha beredskap för och kunna hantera denna föränderliga hotbild och främja EU:s konkurrenskraft har EU:s cybersäkerhetspolitik gjort betydande framsteg under de senaste åren. Detta har lett till att det har antagits ett antal initiativ, såsom EU:s strategi för cybersäkerhet för ett digitalt decennium, det reviderade direktivet om säkerhet i nätverks- och informationssystem (NIS 2-direktivet), EU:s sektorslagstiftning för cybersäkerhet, EU:s politik för cyberförsvar, och det förslag till cybersolidaritetsakt som kommissionen lägger fram tillsammans med detta meddelande. Men utan den kvalificerade personal som behövs för att genomföra dem kommer målen med dessa rättsakter inte att nås. Även om allmänhetens grundläggande kunskaper i cybersäkerhet är en fråga som hanteras inom ramen för de initiativ som ska stödja utvecklingen av de allmänna färdigheter som behövs för att delta i samhället är en kompetent arbetsstyrka avgörande,, både inom den offentliga och den privata sektorn, på nationell nivå och EU-nivå, inbegripet i standardiseringsorganisationer, för att uppfylla dessa rättsliga och politiska krav på cybersäkerhet.
EU:s säkerhet och konkurrenskraft är därför beroende av att ha en kvalificerad arbetsstyrka inom cybersäkerhet. EU står dock inför en mycket stor brist på kvalificerad cybersäkerhetspersonal, vilket innebär att EU, dess medlemsstater, företag och medborgare riskerar att bli föremål för cybersäkerhetsincidenter. 2022 saknades mellan 260 000och 500 000 yrkespersoner inom cybersäkerhet i EU, samtidigt som EU:s personalbehov på cybersäkerhetsområdet uppskattades till 883 000 personer, vilket tyder på en bristande överensstämmelse mellan den kompetens som finns och den som behövs på arbetsmarknaden. Arbetsstyrkan inom cybersäkerhet drabbas dessutom av missuppfattningen om dess tekniska image och den har fortfarande problem att locka till sig kvinnor, som utgör 20 % av de personer som utexamineras inom cybersäkerhet och 19 % av de specialister som finns inom informations- och kommunikationsteknik (IKT). För att komma till rätta med detta har EU i sitt policyprogram för det digitala decenniet 2030 fastställt målet att utöka arbetsstyrkan inom IKT med 20 miljoner personer fram till 2030 och samtidigt uppnå en jämnare könsfördelning. Dessutom kräver genomförandet av EU:s nya politik en tillräckligt kvalificerad och tillräckligt stor arbetsstyrka. Till exempel lyfte över 42 % av de högre it-cheferna inom sektorn för finansiella tjänster fram bristen på kompetens och expertis inom cybersäkerhet som en viktig utmaning för deras verksamhet när det gäller cyberförsvar och incidenthantering, vid en tidpunkt då de kommer att behöva genomföra sektorsspecifik cybersäkerhetslagstiftning såsom förordningen om digital operativ motståndskraft för finanssektorn (DORA).
Arbetsgivarna, som ogärna investerar i humankapital, utan hellre söker färdigutbildad och erfaren arbetskraft, bidrar också till att begränsa arbetsmarknaden. Denna brist drabbar alla typer av företag, inklusive små och medelstora företag, som utgör 99 % av alla företag i EU. Den innebär också stora svårigheter för offentliga förvaltningar som drabbas hårt och påverkas mest av cybersäkerhetsincidenter.
Det är därför angeläget att snarast minska EU:s kompetensbrist på cybersäkerhetsområdet, eftersom EU:s säkerhet och konkurrenskraft står på spel.
2.Bristen på synergier och samordnade åtgärder för att minska kompetensbristen på cybersäkerhetsområdet
Offentliga och privata aktörer har vidtagit en lång rad initiativ på såväl europeisk som nationell nivå för att komma till rätta med bristen på arbetskraft på cybersäkerhetsområdet. Dessa är dock spridda och har hittills inte nått en kritisk massa för att göra verklig skillnad.
Till att börja med finns det för närvarande en begränsad samsyn om sammansättningen av EU:s arbetsstyrka på cybersäkerhetsområdet och dess färdigheter, medan snarlika yrkesprofiler inom cybersäkerhet bör omfatta samma färdigheter. De berörda aktörernas låga användning av den gemensamma europeiska referensramen för cybersäkerhetspersonal innebär att det saknas ett kommunikationsverktyg mellan arbetsgivare, utbildare och beslutsfattare och att det inte går att mäta och bedöma de brister som finns på arbetsmarknaden för cybersäkerhet. Detta gör dessutom att det för dem som vill komma in i yrket inte utformas utbildningsplaner eller skapas karriärvägar som motsvarar de politiska behoven och marknadens behov. Kompetensutveckling och omskolning av arbetsstyrkan är i hög grad beroende av cybersäkerhetsutbildning och cybersäkerhetscertifikat som i regel tillhandahålls av privata leverantörer. Arbetsstyrkan har dock svårt att få en överblick över kvaliteten på den cybersäkerhetsutbildning som erbjuds och de tillhörande certifikat som utfärdas.
Medan utbildning och karriärvägar är nödvändiga för att förbättra arbetsmarknadens utbudssida underskattas i dag efterfrågesidans roll för utbildningen av arbetsstyrkan och anpassningen till dess utveckling är för närvarande underskattad. Privata och offentliga arbetsgivare saknar gemensamma forum och platser för att samla idéer om hur man bäst kan utbilda arbetsstyrkan och hur man bättre kan bedöma färdigheter, särskilt under rekryteringsprocessen. Även om de mest efterfrågade hårda färdigheterna är cybersäkerhetsrelaterade, såsom programvaruutveckling eller molntjänster, förbises generella färdigheter fortfarande i omotiverad utsträckning. Kritiskt tänkande och kritisk analys, problemlösning och self-management är kompetensområden som arbetsgivarna efterfrågar alltmer och som blir allt viktigare fram till 2025.
Det finns redan många offentliga och privata investeringsinitiativ för att höja kompetensen inom cybersäkerhet, och EU finansierar en lång rad projekt inom olika instrument. Den fortsatta bristen på kompetens i EU väcker dock frågor om deras synlighet och effekt och tyder på att de kanske inte systematiskt motsvarar marknadens behov, som snarast måste kartläggas på EU-nivå. Med flera finansieringskällor blir det också dubbelarbete, vilket innebär att man går miste om möjligheten att skala upp och åstadkomma verklig effekt. Dessutom kan de som behöver investeringen inte alltid fastställa vilka källor som är lämpligast för deras behov.
Olika aktörer har försökt att ta itu med den komplexa och mångfasetterade frågan om bristen på cybersäkerhetskompetens. Europeiska unionens cybersäkerhetsbyrå (Enisa) har utvecklat instrument för yrkesprofiler eller högre utbildning, Europeiska kompetenscentrumet för cybersäkerhet (ECCC) arbetar med cybersäkerhetskompetens i en särskild arbetsgrupp, Europeiska säkerhets- och försvarsakademin (Esfa) arbetar med den civila och militära personalens cybersäkerhetskompetens inom ramen den gemensamma säkerhets- och försvarspolitiken, privata organisationer försöker angripa frågan, och branschen för cybersäkerhetscertifiering håller på att utarbeta en färdplan och utbildningar för att komma till rätta med kompetensbristen. Medlemsstaterna försöker också att ta itu med frågan genom en rad olika initiativ, från lagstiftning till inrättande av akademier för cyberkompetens eller cybercampus, kompetenscentrum mot it-brottslighet eller genom offentlig-privata partnerskap. Ofta saknar alla dessa aktörers insatser dock samordning och synergier och de har inte lyckats göra någon betydande skillnad på arbetsmarknaden, vilket framgår av den ökande bristen på cybersäkerhetspersonal i EU. Det behövs också ökade synergier mellan olika cybergemenskaper eftersom den kompetens som krävs för att upprätthålla cybersäkerheten, bekämpa it-brottsligheten eller bygga upp cyberförsvarsåtgärder ofta är av liknande karaktär.
Slutligen har EU i dag begränsade möjligheter att bedöma läget och utvecklingen på arbetsmarknaden för cybersäkerhet och arbetsstyrkans kompetens. Medlemsstaterna och EU:s institutioner, organ och byråer förlitar sig antingen på uppgifter som samlats in av privata företag eller på en bredare uppsättning uppgifter om IKT-personal som samlats in av EU, framförallt av Eurostat och Europeiskt centrum för utveckling av yrkesutbildning (Cedefop). EU har med andra ord en ofullständig och fragmenterad bild av sina behov, vilket hindrar unionen från att konsolidera en samlad vision om läget på arbetsmarknaden för cybersäkerhet.
3.En samordnad strategi för hela EU: EU-akademin för cyberkompetens
3.1.Målet
För att klara utmaningen att höja cybersäkerhetskompetensen och minska bristen på arbetsmarknaden föreslår kommissionen en EU-akademi för cyberkompetens, som Europeiska kommissionens ordförande tillkännagav i sin avsiktsförklaring om tillståndet i unionen 2022och i samband med Europaåret för kompetens.
Syftet med EU-akademin för cyberkompetens (nedan kallad akademin) är att skapa en gemensam kontaktpunkt och synergier för erbjudanden om cybersäkerhetsutbildning samt för finansieringsmöjligheter och särskilda åtgärder för att stödja kompetensutvecklingen inom cybersäkerhet. Den kommer att skala upp de olika aktörernas initiativ för att uppnå en kritisk massa som kommer att göra skillnad på arbetsmarknaden, även på försvarsområdet. Dessa verksamheter skulle anpassas efter gemensamma mål och centrala resultatindikatorer för att uppnå större genomslag.
Akademin kommer att fokusera på utbildning av yrkespersoner inom cybersäkerhet. Akademins verksamhet kommer att bidra till EU:s cybersäkerhetspolitik, men också till utbildning och livslångt lärande. Den kompletterar de två rådsrekommendationer om digital utbildning och digitala färdigheter som kommissionen föreslagit samtidigt som detta meddelande.
Akademin kommer att bygga på fyra pelare: 1. Genom utbildning främja kunskapsutvecklingen genom att arbeta med en gemensam ram för yrkesprofiler inom cybersäkerhet och tillhörande färdigheter, förbättra det europeiska utbildningsutbudet för att tillgodose behoven, skapa karriärvägar och skapa synlighet och tydlighet när det gäller cybersäkerhetsutbildning och certifiering för att förbättra arbetskraftens utbudssida. 2. Säkerställa en bättre kanalisering av och överblick över tillgängliga finansieringsmöjligheter för kompetensrelaterad verksamhet för att maximera deras effekt. 3. Uppmana berörda parter att vidta åtgärder. 4. Fastställa indikatorer för att övervaka marknadsutvecklingen och kunna bedöma åtgärdernas ändamålsenlighet.
Genomförandet av akademin kommer att stödjas med 10 miljoner euro från programmet för ett digitalt Europa.
3.2.Akademins styrning
För att tillhandahålla en infrastruktur som fungerar som en gemensam kontaktpunkt för att främja samarbete mellan den akademiska världen, utbildningsanordnare och näringslivet, där utbuds- och efterfrågesidorna i EU:s cybersäkerhetsekosystem kan mötas och utbildas, skulle akademin kunna ta formen av ett europeiskt konsortium för digital infrastruktur (Edic). Detta instrument skulle göra det möjligt för medlemsstaterna att tillsammans arbeta för att minska kompetensbristen inom cybersäkerhet och att nära samarbeta med kommissionen, Enisa och Europeiska kompetenscentrumet för cybersäkerhet (ECCC), i enlighet med deras mandat och kompetens, och att involvera alla berörda parter, men även styra europeiska, nationella och privata investeringar mot ett gemensamt mål. Därför uppmanas intresserade medlemsstater att senast den 30 maj 2023 lämna in en förhandsanmälan till kommissionen av deras framtida ansökan till ett sådant Edic-konsortium. Denna frivilliga förhandsanmälan skulle göra det möjligt för kommissionen att tidigt lämna synpunkter på utkastet till Edic-ansökan, och på så sätt göra det möjligt att vidareutveckla och formellt lämna in den på ett snabbare sätt. Kommissionen kommer under hela processen och i den utsträckning medlemsstaterna begär det att fungera som en projektaccelerator för flera länder och på så sätt underlätta utarbetandet av Edic-ansökan. Därefter, när ansökan fått en positiv bedömning av kommissionen och godkänts av kommittén för policyprogrammet för det digitala decenniet, kommer kommissionen att fatta ett beslut om inrättande av Edic-konsortiet och därefter hjälpa till att samordna konsortiets genomförande.
Under tiden, och medan Edic-konsortiet formellt håller på att inrättas, kommer kommissionen att inrätta en virtuell gemensam kontaktpunkt genom att stärka kommissionens plattform för digital kompetens och digitala arbetstillfällen med stöd av projektet European Cybersecurity Community Support (ECCO)
.
Enisa kommer att bidra till genomförandet av akademin i enlighet med byråns mål, särskilt när det gäller stöd till cybersäkerhetsutbildning, och med beaktande av dess rapporteringsskyldigheter enligt NIS 2-direktivet. ECCC kommer att arbeta i enlighet med sin strategiska agenda för att stödja genomförandet av EU-akademin för cyberkompetens. ECCC kommer framför allt att genomföra strategiskt mål 3 (cybersäkerhet) i programmet för ett digitalt Europa. Det kommer att få stöd från kommissionen och medlemsstaterna genom de nationella samordningscentrumen. Den samarbetsgrupp som inrättats enligt NIS 2-direktivet kommer att tillkallas när det är lämpligt. Slutligen kommer samarbete med näringslivet och den akademiska världen att vara en förutsättning för att nå akademins mål att minska kompetensbristen inom cybersäkerhet.
4.Kunskapsutveckling och utbildning: fastställa en gemensam EU-strategi för cybersäkerhetsutbildning
Inom ramen för akademins pelare för kunskapsutveckling och utbildning kommer en strukturerad strategi att utvecklas med det tydliga målet att utöka antalet personer med cybersäkerhetskompetens i EU, bättre anpassa utbildningen efter marknadens behov och synliggöra karriärvägar.
4.1.Att tala samma språk: en gemensam strategi för yrkesprofiler inom cybersäkerhet och tillhörande färdigheter
Enisa har redan inlett arbetet med att fastställa yrkesprofiler för personer som arbetar med cybersäkerhet inom ramen för den europeiska kompetensramen för cybersäkerhet. Akademin bör utgå från dessa för att fastställa och bedöma relevanta färdigheter, övervaka kompetensbristens utveckling och ta fram indikationer för de nya behoven. För varje cybersäkerhetsroll i kompetensramen ingår en uppsättning tillämpliga europeiska e-kompetensramar som en del av profilbeskrivningen.
Enisa kommer därför att se över den europeiska kompetensramen för cybersäkerhet och identifiera framväxande kompetensbehov och kompetensbrister i arbetsstyrkan inom cybersäkerhet, bland annat med hjälp av avancerade verktyg (t.ex. artificiell intelligens, stordata, datautvinning). Därför kommer Enisa att arbeta under ledning av Edic-konsortiet, när det har inrättats, ECCC, tillsammans med nationella samordningscentrum, kommissionen, ECCO-projektet och marknadsaktörer. När det gäller arbetsstyrkan inom cyberförsvar kommer Enisa att ta vederbörlig hänsyn till Esfas arbete. På samma sätt kommer Enisa, när det gäller att bekämpa it-brottslighet, att ta hänsyn till det arbete som bedrivs av Europeiska unionens byrå för utbildning av tjänstemän inom brottsbekämpning (Cepol) och Europol för att inrätta en operativ behovsanalys för cyberattacker.
Den europeiska kompetensramen för cybersäkerhet kommer under akademins ledning att regelbundet kompletteras och ses över under en tvåårscykel. Dessutom kommer kommissionen och Europeiska utrikestjänsten att bidra till att fastställa specifika profiler och tillhörande färdigheter för olika sektorer efter behov, med stöd av EU:s byråer och organ, såsom Esfa, Europol och Cepol.
Förbindelser kommer också att upprättas mellan den europeiska kompetensramen för cybersäkerhet och relevanta instrument inom EU:s sysselsättningspolitik. I synnerhet kommer kompetensramens yrkesprofiler och tillhörande färdigheter att integreras i Esco-klassificeringen. Detta kommer att förbättra klassificeringen av och kopplingarna mellan yrken och färdigheter på cybersäkerhetsområdet, vilket gör det lättare för människor att vidareutbilda och omskola sig och stöder kompetensbaserad jobbmatchning och gränsöverskridande rörlighet.
4.2.Främja samarbete för att utforma läroplaner för cybersäkerhetsutbildning
När Edic-konsortierna har inrättats bör medlemsstaterna hjälpa akademin att bli Europas referensplats för utformning och tillhandahållande av cybersäkerhetsutbildningar i de mest efterfrågade färdigheterna. Akademin bör erbjuda nystartade företag och små och medelstora företag samt offentliga förvaltningar arbetsplatsanknuten utbildning och praktikmöjligheter på innovativa företag inom cybersäkerhet och kompetenscentrum för cybersäkerhet. Edic-konsortiet bör samarbeta med alla berörda parter, inbegripet näringslivet, för att utforma sådana utbildningar. De bör bygga vidare på projekt som CyberSecPro, som finansieras av programmet för ett digitalt Europa och som består av 17 högre utbildningsanstalter och 13 säkerhetsföretag från 16 medlemsstater, som tillsammans vill skapa bästa praxis för alla utbildningsprogram inom cybersäkerhet.
Akademin kommer att samarbeta med alla berörda parter för att locka de unga generationerna till en karriär inom cybersäkerhet. I enlighet med förslaget till rådets rekommendation om att förbättra utbudet av digitala färdigheter i utbildningen bör medlemsstaterna införa och stärka åtgärder för att rekrytera och utbilda specialiserade lärare och utbildare och göra det lättare att förvärva cyberkompetens, bland annat genom lärlingsutbildningar. De bör uppmuntra åtgärder för att integrera cybersäkerhet i utbildningsprogram, och samtidigt säkerställa deras tillgänglighet, utveckla utbudet av lärlingsutbildningar och praktikplatser, främja innovativa strategier, till exempel seriösa spel och gemensamma simuleringsplattformar, anordna prova-på-veckor i cybersäkerhetstjänster och förklara de icke-tekniska yrkesprofilerna. De bör även underlätta för grupper som är svåra att nå, såsom ungdomar med funktionsnedsättning, som bor i avlägsna områden eller landsbygdsområden och ungdomar som tillhör andra minoritetsgrupper, att delta i dessa cybersäkerhetsutbildningar.
Kommissionen kommer även i fortsättningen att stödja utvecklingen av mikromeriter och yrkesutbildningsprogram. Till exempel kommer gemensamma kandidat- och masterexamina, gemensamma kurser eller moduler som kan leda till mikromeriter och blandade intensivprogram i alla ämnen, inbegripet cybersäkerhet, att fortsätta att finansieras inom ramen för Erasmus+. Det fortsatta genomförandet av initiativet Europauniversitet och yrkeskunskapscentrum kommer också att stödjas för att uppmuntra till ökat samarbete mellan högre utbildningsanstalter och relevanta yrkesutbildningsanstalter i hela Europa. Detta mål om ett fördjupat samarbete kommer att stödjas inom ramen för EU:s finansieringsprogram, däribland Erasmus+ och programmet för ett digitalt Europa, liksom med EU-medel för utveckling av individuella utbildningskonton.
För att göra det lättare för den akademiska världen och anordnare av cybersäkerhetsutbildning på nationell nivå att samarbeta med arbetsgivare inom den privata och den offentliga sektorn och främja synergier mellan den offentliga och den privata sektorn uppmanas de nationella samordningscentrumen att undersöka möjligheterna att inrätta cybercampus i medlemsstaterna. Syftet med cybercampus skulle vara att fungera som kompetenscentrum på nationell nivå för cybersäkerhetsgemenskapen, och akademin skulle underlätta deras nätverksbyggande och främja samordning av deras verksamheter.
Enisa kommer att förbättra sitt utbud av cybersäkerhetsutbildningar genom att anpassa sin kurskatalog till den europeiska kompetensramens profiler och utarbeta utbildningsmoduler för olika profiler, vilket kan förbättra medlemsstaternas utbildningsutbud. Enisa kommer också att utöka sitt instruktörsutbildningsprogram för att tillgodose de yrkesmässiga behov som EU:s institutioner, organ och byråer samt medlemsstaternas offentliga myndigheter och offentliga och privata kritiska operatörer har inom ramen för NIS 2-direktivet.
Dessutom kommer andra EU-byråer och EU-organ att stärka sitt utbud av cybersäkerhetsutbildningar. Vid genomförandet av EU:s politik för cyberförsvar kommer Esfa till exempel att utveckla en ny uppsättning cybersäkerhetskurser och anpassa vissa av sina nuvarande kurser till den europeiska kompetensramen. Dessa kurser kommer att leda till certifiering av läranderesultaten. Esfa kommer i samarbete med kommissionen att undersöka möjligheten att integrera certifikat i EUeID-plånboken. Esfa kommer även att undersöka möjliga kompetensbedömningsmekanismer, som kommer att användas vid utfärdande av certifikat. När det gäller bekämpandet av cyberbrottslighet kommer man också att verka för nära band till Cepols akademi mot cyberbrottslighet, för att främja synergier och komplementaritet i utformningen och genomförandet av läroplaner.
4.3.Skapa synergier och synliggöra cybersäkerhetsutbildningar och cybersäkerhetscertifiering i medlemsstaterna
Akademin bör ta upp frågan om synlighet och synergier när det gäller utbildning och certifiering. Detta skulle gynna de civila, försvarsrelaterade, brottsbekämpande och diplomatiska cybergemenskaperna, eftersom alla sektorer i många fall behöver samma sakkunskap, baserad på liknande läroplaner och läranderesultat.
Akademin skulle tillhandahålla en gemensam kontaktpunkt för dem som är intresserade av en cybersäkerhetskarriär. På kort sikt kommer detta att göras genom att stärka kommissionens plattform för digital kompetens och digitala arbetstillfällen med stöd av ECCO-projektet. En särskild sektion om cybersäkerhetskarriärer kommer att kopplas ihop med befintliga verktyg, från högre utbildningsprogram till andra lärandemöjligheter, inklusive kurser som leder till mikromeriter och yrkesutbildningsprogram som leder till jobberbjudanden. Man kommer att uppnå detta genom att hänvisa till eller integrera pågående insatser och initiativ i plattformen, till exempel Enisas, som i samarbete med den akademiska världen har gjort en kartläggning av utbildningsinstitutioner som tillhandahåller cybersäkerhetsprogram. Detta kommer att förbättras ytterligare med stöd av de nationella samordningscentrumen. Dessutom kommer två register över befintliga utbildningar från den offentliga och den privata sektorn och cybersäkerhetscertifieringar att utvecklas och konsolideras av Enisa med stöd av nationella samordningscentrum, kommissionen och ECCO-projektet, och i samarbete med enheter som utfärdar certifieringar och även bygger vidare på andra relevanta initiativ. Dessa kommer också att integreras i den gemensamma kontaktpunkten för plattformen för digital kompetens och digitala arbetstillfällen. Detta arbete kommer också att gynna de nationella samordningscentrumen, vars uppgift särskilt är att främja och sprida utbildningsprogram om cybersäkerhet.
Det är också nödvändigt att ge yrkesutövarna garantier för att den utbildning de genomför är av erforderlig kvalitet. Här kommer Enisa att utveckla ett pilotprojekt för att undersöka möjligheterna att inrätta ett europeiskt certifieringssystem för cybersäkerhetskompetens.
Dessutom är det mycket viktigt att identifiera färdigheter och utbildningar och koppla dem till en yrkesprofil. Det är dock också viktigt att säkerställa att cybersäkerhetstjänsterna förses med den kompetens, sakkunskap och erfarenhet som krävs. Detta gäller särskilt leverantörer av förvaltade säkerhetstjänster på områden som incidenthantering, penetrationstester, säkerhetsrevisioner och konsulttjänster. I NIS 2-direktivet och förslaget till cybersolidaritetsakt fastställs särskilda uppgifter för sådana leverantörer av förvaltade säkerhetstjänster. Därför föreslår kommissionen också en riktad ändring av cybersäkerhetsförordningen för att möjliggöra certifieringssystem för förvaltade säkerhetstjänster på EU-nivå. Sådana certifieringssystem bör bland annat syfta till att säkerställa att dessa tjänster tillhandahålls av personal med mycket hög teknisk kunskap och kompetens på de relevanta områdena.
Mekanismer för kvalitetssäkring och erkännande av mikromeriter bidrar till att göra läranderesultaten tydliga, jämförbara och överförbara. I enlighet med rådets rekommendation om en europeisk strategi för mikromeriter uppmanas medlemsstaterna att inkludera mikromeriter för cybersäkerhet i sina nationella referensramar för kvalifikationer. På så sätt skulle de kunna koppla mikromeriterna för cybersäkerhet till den europeiska referensramen för kvalifikationer. Det finns en infrastruktur för europeiska digitala lärandeintyg för att utfärda digitalt signerade cybersäkerhetskvalifikationer och mikromeriter för enskilda personer. Dessa är rika på data om bland annat läranderesultat inom cybersäkerhet, och kan lagras i den framtida digitala plånboken EUeID.
Åtgärder inom akademin
Medlemsstaterna och näringslivet
·Säkerställa stöd för utveckling och erkännande av mikromeriter för lärande inom cybersäkerhet, i enlighet med rådets rekommendation om en europeisk strategi för mikromeriter.
·Inkludera cybersäkerhetskvalifikationer, inklusive mikromeriter i de nationella referensramarna för kvalifikationer.
·Ge möjlighet till arbetsplatsanknuten utbildning genom lärlingsutbildningar för personer som genomgår initiativ för kompetensutveckling inom cybersäkerhet.
Kommissionen
·På kort sikt skapa en gemensam kontaktpunkt för cybersäkerhetsprogram, befintliga utbildningar och cybersäkerhetscertifiering via plattformen för digital kompetens och digitala arbetstillfällen senast i slutet av 2023.
·Lägga fram ett förslag till ändring av förordningen om cybersäkerhet för att möjliggöra certifiering av leverantörer av förvaltade säkerhetstjänster den 18 april 2023.
EU:s organ och byråer
·Inrätta den europeiska kompetensramen för cybersäkerhet som en gemensam strategi för yrkesprofiler inom cybersäkerhet och tillhörande färdigheter senast i slutet av 2023.
·Enisa ska börja utveckla ett pilotprojekt om att införa ett europeiskt certifieringssystem för cybersäkerhetskompetens under andra kvartalet 2023.
·Enisa ska se över sin kurskatalog och inleda sitt instruktörsutbildningsprogram för offentliga och privata kritiska operatörer senast i slutet av 2023.
·Slutföra anpassningen av Esfas kursplaner till den europeiska kompetensramen för cybersäkerhet senast i mitten av 2023.
|
5.Berörda parters deltagande: åtaganden för att minska kompetensbristen inom cybersäkerhet
Inom ramen för akademin kommer en samordnad strategi för berörda parters deltagande att utvecklas för att komma till rätta med kompetensbristen inom cybersäkerhet. Syftet kommer att vara att maximera synligheten och effekterna av de olika aktörernas åtaganden för att minska kompetensbristen inom cybersäkerhet.
Kommissionen uppmanar berörda parter att göra konkreta åtaganden i form av utfästelser om att kompetensutveckla och omskola arbetstagarna genom riktade åtgärder, som i största möjliga utsträckning bygger på den identifierade kompetensbristen inom cybersäkerhet. Aktörernas utfästelser om cybersäkerhet bör rapporteras på plattformen för digital kompetens och digitala arbetstillfällen, i likhet med andra digitala utfästelser som redan visas på plattformen. Kommissionen uppmuntrar vidare de berörda parter som gör ett cybersäkerhetsåtagande på plattformen att ansluta sig till det digitala storskaliga partnerskapet inom pakten för kompetens. Den ser gärna att de cybersäkerhetsåtaganden som görs inom ramen för det digitala storskaliga partnerskapet läggs upp på plattformen för digital kompetens och digitala arbetstillfällen. På samma sätt ser den gärna att de åtaganden som görs inom ramen för plattformen för digital kompetens och digitala arbetstillfällen rapporteras inom ramen för kompetenspaktens digitala storskaliga partnerskap.
Kommissionen uppmanar vidare medlemsstaterna att fortsätta sina ansträngningar för att genomföra förklaringen Women in Digital för att uppmuntra kvinnor att spela en aktiv och framträdande roll inom den digitala tekniksektorn och uppnå en jämnare könsfördelning i cybersäkerhetsyrken. Kommissionen uppmuntrar också medlemsstaterna att utveckla synergier med sina program inom Europeiska socialfonden+ (ESF+) för att ytterligare stödja jämställdhetsmålet när det gäller deltagande på arbetsmarknaden, till exempel genom att inrätta mentorprogram för flickor och kvinnor. Dessa kan underlätta skapandet av förebilder för att locka flickor till cybersäkerhetsyrken och samtidigt bekämpa könsstereotyper. Det främjar också kvinnors kompetensutveckling och omskolning och hjälper till att utveckla en gemenskap som kan hjälpa kvinnor att komma in på eller befordras på arbetsmarknaden inom cybersäkerhet.
Medlemsstaterna bör, som en del av sina nationella cybersäkerhetsstrategier, anta särskilda åtgärder i syfte att minska kompetensbristen inom cybersäkerhet, identifiera och bättre kanalisera insatser för att minska kompetensbristen och i slutändan säkerställa ett korrekt genomförande av sina skyldigheter enligt NIS 2-direktivet.
Vissa medlemsstater utnyttjar synergier mellan civila initiativ, försvarsinitiativ och initiativ för brottsbekämpning. Genom att till exempel utveckla arbetsstyrkan med hjälp av den nationella värnplikten, eller använda sig av cyberreservare, som är militärt utbildade medborgare som innehar cybersäkerhetstjänster inom försvarsmakten, kan befolkningen, särskilt unga vuxna, öka sin kompetens inom cybersäkerhet och cyberförsvar. Detsamma gäller kampen mot it-brottslighet, eftersom det finns många likheter mellan de allmänna cybersäkerhetsinsatserna och de brottsbekämpande åtgärderna vid hantering av cyberincidenter. Kommissionen uppmuntrar medlemsstaterna att diskutera sådana initiativ med varandra och uppmanar dem att bedöma hur en kvalificerad arbetsstyrka bäst kan verka inom både de försvarsrelaterade och civila cybersäkerhetsgemenskaperna.
Kommissionen kommer att överväga förslag på hur man kan komma till rätta med rådande och förväntade brister som den identifierat vid sin granskning av behoven vid EU:s institutioner, organ och byråer. Den kommer särskilt att uppmuntra personalen att utnyttja EU:s och Förenta staternas kommande cybersäkerhetsstipendium som inrättats inom ramen för dialogen mellan EU och Förenta staterna.
Åtgärder inom akademin
Näringslivet
·Föreslå specifika utfästelser om cybersäkerhet på plattformen för digital kompetens och digitala arbetstillfällen den 18 april 2023.
Medlemsstaterna
· I de nationella cybersäkerhetsstrategierna inkludera särskilda åtgärder för att minska kompetensbristen inom cybersäkerhet.
Medlemsstaterna och näringslivet
·Genomföra förklaringen Women in Digital och uppnå en jämnare könsfördelning i cybersäkerhetsyrken senast 2030.
|
6.Finansiering: skapa synergier för att maximera effekterna av satsningar på kompetensutveckling inom cybersäkerhet
Inom ramen för akademin kommer man att maximera effekterna av investeringar i cybersäkerhetskompetens genom att tillhandahålla en gemensam kontaktpunkt, möjliggöra en bättre kanalisering av medel för att tillgodose marknadens behov och integrera användningen av finansiering, för att möjliggöra synergier mellan olika instrument och samtidigt undvika dubbelarbete.
6.1. Matcha medel med behov
Inom ramen för akademin kommer ECCC, med stöd av kommissionen, ECCO-projektet och de nationella samordningscentrumen, att samla in information om hur EU-medel används för att finansiera cybersäkerhetskompetens och bedöma hur EU-medel hjälper till att minska kompetensbristen inom cybersäkerhet. Med beaktande av denna aggregerade information kommer ECCC att sträva efter en bättre kanalisering av EU-medel för att tillgodose de identifierade behoven. ECCC kommer att finansiera åtgärder för att komma till rätta med de mest akuta bristerna på arbetskraft på cybersäkerhetsområdet, inbegripet de som rör genomförandet av cybersäkerhetspolitiska behov.
6.2. Synliggöra tillgängliga medel och partnerskapsinitiativ för cybersäkerhetskompetens
På kort sikt kommer plattformen för digital kompetens och digitala arbetstillfällen att bli en gemensam kontaktpunkt för berörda parter, där all information om finansieringsmöjligheter för cybersäkerhetskompetens kommer att finnas tillgänglig.
EU investerar i människor och deras kompetens och använder partnerskap, t.ex. med näringslivet, för att mobilisera insatser för kompetensutveckling och omskolning inom ramen för flera instrument som fastställs i den europeiska kompetensagendan
, särskilt pakten för kompetens
och handlingsplanen för digital utbildning. Programmet för ett digitalt Europa finansierar kompetensmöjligheter inom cybersäkerhet, särskilt genom projektinitiativ som omfattar flera länder vilket tydligt kompletterar det stöd som Horisont Europa erbjuder för forskning och innovativa tekniska lösningar på cybersäkerhetsområdet. Europeiska försvarsfonden finansierar forskning och teknisk utveckling för att genomföra effektiva cyberinsatser, inbegripet utbildning och övningar. Erasmus+ kommer att fortsätta att stödja sådana initiativ, bland annat genom blandade intensivprogram och samarbetsprojekt.
Medlemsstaterna uppmanas att mobilisera de EU-medel som de direkt förvaltar för att stödja kompetens och arbetstillfällen inom cybersäkerhet. De sammanhållningspolitiska fonderna, t.ex. Europeiska regionala utvecklingsfonden (Eruf) och ESF+, innebär stora möjligheter för synergier. Faciliteten för återhämtning och resiliens och InvestEU omfattar ytterligare viktiga komplementära åtgärder för att nå akademins mål.
Åtgärder inom akademin
Europeiska kompetenscentrumet för cybersäkerhet och Enisa
·Kartlägga befintlig EU-finansiering för cybersäkerhetskompetens i förhållande till marknadens behov, bedöma ändamålsenligheten och fastställa finansieringsprioriteringar senast i slutet av 2024.
Kommissionen
·Skapa en gemensam kontaktpunkt för finansieringsmöjligheter för cybersäkerhetskompetens på plattformen för digital kompetens och digitala arbetstillfällen senast i slutet av 2023.
|
7.Mäta framstegen: inbyggd ansvarsskyldighet
Inom ramen för akademin kommer metoder att utvecklas som gör det möjligt att mäta de framsteg som görs för att minska kompetensbristen inom cybersäkerhet.
7.1.Fastställande av cybersäkerhetsindikatorer för att följa utvecklingen på arbetsmarknaden för cybersäkerhet
Indexet för digital ekonomi och digitalt samhälle (Desi) sammanfattar indikatorer om Europas digitala resultat och följer medlemsstaternas framsteg. Inom ramen för akademin för cyberkompetens kommer Enisa, i samarbete med kommissionen och samarbetsgruppen för nät- och informationssäkerhet, att ta fram indikatorer, bland annat när det gäller kön, för att följa de framsteg som görs i medlemsstaterna för att öka antalet yrkesverksamma inom cybersäkerhet, i samråd med berörda marknadsaktörer och de nationella samordningscentrumen. Enisa kommer att använda Desis metoder och se till att indikatorerna ligger i linje med Europas digitala mål för IKT-personal och för att uppnå en jämnare könsfördelning inom IKT. Kommissionen kommer sedan att arbeta för att integrera sådana indikatorer i Desi, vilket gör det möjligt att årligen följa upp läget på cyberkompetensområdet och arbetsmarknaden.
7.2.Insamling av uppgifter och rapportering
Enisa kommer att samla in uppgifter om indikatorerna med stöd av ECCO-projektet och de nationella samordningscentrumen. På grundval av de insamlade uppgifterna kommer Enisa att utarbeta en årlig rapport som kommer att bidra till lägesrapporten om det digitala decenniet, som tillsammans med Desi kommer att bidra ytterligare till den europeiska planeringsterminens landspecifika analyser och rekommendationer. Dessutom kommer indikatorerna för cybersäkerhetskompetens att bidra till den rapport som Enisa antar vartannat år om cybersäkerhetssituationen i EU i enlighet med NIS 2-direktivet, som omfattar cybersäkerhetskapacitet, cybersäkerhetsmedvetenhet och cyberhygien i hela EU.
7.3.Utarbetande av centrala resultatindikatorer för cybersäkerhet
I syfte att minska den europeiska kompetensbristen inom cybersäkerhet kommer Enisa, i nära samarbete med kommissionen och de nationella samordningscentrumen, att föreslå centrala resultatindikatorer för kommissionen, med utgångspunkt i metoderna från policyprogrammet för det digitala decenniet 2030 samt näringslivets erfarenheter. Enisa kommer att ta vederbörlig hänsyn till de centrala resultatindikatorer som medlemsstaterna använder för att bedöma sina nationella cybersäkerhetsstrategier.
Åtgärder inom akademin
Enisa
·Utarbeta indikatorer och centrala resultatindikatorer för cybersäkerhetskompetens senast i slutet av 2023.
·Samla in uppgifter om indikatorer och rapportera om dem, med en första insamling senast 2025.
Kommissionen
·Arbeta för att integrera cybersäkerhetsindikatorer i Desi och i lägesrapporten om det digitala decenniet.
|
8.Slutsats
Detta meddelande lägger grunden för en omarbetning av EU:s strategi för att öka cybersäkerhetskompetensen för yrkesverksamma i EU. Syftet är att minska den kompetensbrist som råder på cybersäkerhetsområdet och utrusta EU med den arbetskraft som krävs för att kunna hantera den ständigt föränderliga hotbilden, genomföra EU-politik som syftar till att skydda EU från cyberattacker, men också främja affärsmöjligheter och konkurrenskraft. En kvalificerad arbetsstyrka inom cybersäkerhet kan gynna de civila, försvarsrelaterade, diplomatiska och brottsbekämpande gemenskaperna och underlätta synergier dem emellan.
Kommissionen uppmanar medlemsländerna och alla berörda parter att förverkliga ambitionen med akademin för cyberkompetens.