5.7.2021   

SV

Europeiska unionens officiella tidning

L 237/1


KOMMISSIONENS REKOMMENDATION (EU) 2021/1086

av den 23 juni 2021

om att bygga en gemensam cyberenhet

EUROPEISKA KOMMISSIONEN HAR ANTAGIT DENNA REKOMMENDATION

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 292, och

av följande skäl:

(1)

Cybersäkerhet är avgörande för en framgångsrik digital omvandling av ekonomin och samhället. EU är fast beslutet att investera mer än någonsin för att se till att medborgare, företag och myndigheter har förtroende för digitala verktyg.

(2)

Covid-19-pandemin har ökat betydelsen av konnektivitet och Europas beroende av stabila nät- och informationssystem och visat på behovet av att skydda hela försörjningskedjan. Tillförlitliga och säkra nät- och informationssystem är särskilt viktiga för enheter som befinner sig i frontlinjen i kampen mot pandemin, såsom sjukhus, sjukvårdsinrättningar och vaccintillverkare. Att samordna EU:s insatser för att förebygga, upptäcka, avskräcka, mildra och reagera på de kraftfullaste cyberangreppen mot sådana inrättningar skulle kunna förhindra förlust av människoliv och försök att undergräva EU:s förmåga att besegra pandemin på snabbast möjliga sätt. Om man stärker EU:s förmåga att motverka cyberangrepp på ett effektivt sätt bidrar det dessutom till att främja en global, öppen, stabil och säker cyberrymd.

(3)

Eftersom cybersäkerhetshoten är gränsöverskridande och med tanke på den ständiga ökningen av mer komplexa, genomgripande och riktade angrepp (1) bör relevanta cybersäkerhetsinstitutioner och cybersäkerhetsaktörer öka sin förmåga att reagera på sådana hot och angrepp genom att utnyttja befintliga resurser och samordna insatserna på ett bättre sätt. Alla berörda aktörer i EU måste vara beredda att reagera kollektivt och utbyta information på grundval av ett ”behov av att dela”, snarare än ”behov av att veta”.

(4)

Trots de stora framsteg som gjorts genom samarbete mellan medlemsstaterna i fråga om cybersäkerhet, särskilt genom samarbetsgruppen (samarbetsgruppen för nät- och informationssäkerhet) och nätverket av enheter för hantering av it-säkerhetsincidenter (CSIRT-enheter) som inrättats enligt Europaparlamentets och rådets direktiv (EU) 2016/1148 (2), finns det fortfarande ingen gemensam EU-plattform där information som samlats in i olika cybersäkerhetsgrupper kan utbytas på ett effektivt och säkert sätt och där operativ kapacitet kan samordnas och mobiliseras av relevanta aktörer. Till följd av detta riskerar cyberhot och cyberincidenter att hanteras i silor, vilket ger sämre effektivitet och ökad sårbarhet. Dessutom saknas en kanal på EU-nivå för tekniskt och operativt samarbete med den privata sektorn, både när det gäller informationsutbyte och stöd incidenthantering.

(5)

Befintliga ramar och strukturer samt de resurser och den expertis som finns i medlemsstaterna och i EU:s berörda institutioner, organ och byråer utgör en stark grund för ett kollektivt svar på cyberhot, cyberincidenter och cyberkriser (3). Denna befintliga struktur omfattar, på den operativa sidan, planen för samordnade insatser vid storskaliga cyberincidenter och cyberkriser (nedan kallat planen(4), CSIRT-nätverket och det europeiska kontaktnätverket för cyberkriser (5) (EU-CyCLONe) samt Europeiska it-brottscentrumet (EC3) och Europols gemensamma arbetsgrupp mot it-brottslighet (J-CAT) samt beredskapsprotokollet för EU:s brottsbekämpningsinsatser (EU LE ERP). Samarbetsgruppen för nät- och informationssäkerhet, EU:s underrättelse- och lägescentral (EU Intcen) och verktygslådan för cyberdiplomati (6) och it-försvarsrelaterade projekt som lanserats inom ramen för det permanenta strukturerade samarbetet (Pesco) (7) bidrar också till politiskt och operativt samarbete i olika cybersäkerhetsgrupper. Europeiska unionens cybersäkerhetsbyrå (Enisa) har genom sitt förstärkta mandat till uppgift att stödja operativt samarbete (8) när det gäller cybersäkerhet i nätverks- och informationssystem, användare av sådana system och andra personer som påverkas av cyberhot och cyberincidenter. Genom arrangemangen för integrerad politisk krishantering (IPCR), kan EU samordna sina politiska insatser vid större kriser, även i händelse av storskaliga cyberangrepp.

(6)

Det finns dock ännu ingen mekanism för att utnyttja befintliga resurser och tillhandahålla ömsesidigt bistånd i de cybergrupper som ansvarar för nät- och informationssystemens säkerhet, för att bekämpa it-brottslighet, för att bedriva cyberdiplomati och, i förekommande fall, för it-försvar i händelse av en kris. Det finns heller ingen övergripande mekanism på EU-nivå för tekniskt och operativt samarbete när det gäller situationsmedvetenhet, beredskap och insatser mellan alla grupper. Dessutom bör synergier med brottsbekämpande myndigheter och underrättelsetjänster uppnås genom Europol respektive Intcen.

(7)

Kommissionen, unionens höga representant för utrikes frågor och säkerhetspolitik (nedan kallad den höga representanten), medlemsstaterna och EU:s berörda institutioner, organ och byråer erkänner vikten av att analysera styrkor, svagheter, luckor och överlappningar i EU:s nuvarande cybersäkerhetsstruktur som byggts upp under de senaste åren. I samråd med medlemsstaterna har kommissionen, tillsammans med den höga representanten, utvecklat ett koncept för en gemensam cyberenhet som svar på denna analys och som ett viktigt inslag i strategin för säkerhetsunionen (9), den digitala strategin (10) och strategin för cybersäkerhet (11).

(8)

I krissituationer bör medlemsstaterna kunna förlita sig på EU:s solidaritet i form av samordnat bistånd, inbegripet från alla fyra cybergrupper, det vill säga civila, brottsbekämpande (12), diplomatiska och, där så är lämpligt, försvarsrelaterade. Graden av ingripande av deltagare från en eller flera grupper kan bero på arten av en storskalig incident eller kris och följaktligen på vilken typ av motåtgärder som kommer att krävas för att hantera den. Välutbildade experter och teknisk utrustning som ställs inför cyberhot, cyberincidenter och cyberkriser utgör väsentliga tillgångar som kan bidra till att undvika allvarliga skador och leda till en effektiv återhämtning. Därför kommer tydligt identifierad teknisk och operativ kapacitet, i första hand experter och utrustning, som är redo att sättas in i medlemsstaterna vid behov, att stå i centrum för den gemensamma cyberenheten. Inom den plattformen kommer deltagarna att ha en unik möjlighet att främja och samordna sådan kapacitet genom EU:s grupper för snabba insatser på cybersäkerhetsområdet, samtidigt som lämpliga synergier säkerställs med de redan befintliga cyberprojekt som genomförs inom Pesco-ramen.

(9)

Den gemensamma cyberenheten tillhandahåller en virtuell och fysisk plattform och inget ytterligare fristående organ behöver inrättas. Cyberenhetens utformning bör inte påverka de nationella cybersäkerhetsmyndigheternas och de berörda unionsorganens befogenheter. Den gemensamma cyberenheten bör förankras i samförståndsavtal mellan dess deltagare. Den bör bygga vidare på och ge mervärde till befintliga strukturer, resurser och förmågor som en plattform för säkert och snabbt operativt och tekniskt samarbete mellan EU-organ och medlemsstaternas myndigheter. Den bör också sammanföra alla cybersäkerhetsgrupper, det vill säga civila, brottsbekämpande, diplomatiska och försvarsrelaterade. Deltagarna i plattformen bör antingen ha en operativ eller stödjande roll. De operativa deltagarna bör omfatta Enisa, Europol, incidenthanteringsorganisationen för EU:s institutioner, organ och byråer (CERT-EU), kommissionen, Europeiska utrikestjänsten (inklusive Intcen), CSIRT-nätverket och EU-CyCLONe. De stödjande deltagarna bör omfatta Europeiska försvarsbyrån (EDA), ordföranden för samarbetsgruppen för nät- och informationssäkerhet, ordföranden för rådets övergripande arbetsgrupp för cyberfrågor och en företrädare för relevanta Pesco-projekt (13). Eftersom medlemsstaterna har operativ kapacitet och kompetens för att reagera på storskaliga cyberhot, cyberincidenter och cyberkriser bör plattformens deltagare i första hand förlita sig på sin egen kapacitet, med hjälp av berörda unionsorgan, för att uppnå sina mål.

(10)

Den gemensamma cyberenheten bör ge ny kraft åt den process som inleddes 2017 med planen. Den bör omsätta strategin för planen i praktiken och fungera som ett avgörande steg mot en europeisk ram för hantering av cyberkriser där hot och risker identifieras, mildras och hanteras samordnat och i rätt tid. Genom att ta det steget bör den gemensamma cyberenheten bistå EU i fråga om att reagera på befintliga och kommande hot.

(11)

Genom att delta i den gemensamma cyberenheten bör operativa och stödjande deltagare kunna samarbeta med ett bredare spektrum av intressenter som en del av EU-ramen för hantering av cyberkriser. När deltagarna fullgör sina uppgifter inom ramen för sina mandat bör de kunna dra nytta av ökad beredskap och bredare situationsmedvetenhet som omfattar alla aspekter som rör cybersäkerhetshot och cyberincidenter, och dessutom kunna utnyttja ytterligare cybersäkerhetsexpertis. Deltagarna bör till exempel regelbundet delta i gruppöverskridande övningar, ges en väldefinierad roll i EU:s krishanteringsplan, öka sina åtgärders synlighet genom gemensam offentlig kommunikation och ingå operativa samarbetsavtal med den privata sektorn. Samtidigt bör bidrag till den gemensamma cyberenheten göra det möjligt för deltagarna att stärka befintliga nätverk, såsom CSIRT-nätverket och EU-CyCLONe, vilket kan ge dem säkra verktyg för informationsutbyte och bättre detektionskapacitet (dvs. säkerhetscentrum, SOC) och göra det möjligt för dem att utnyttja EU:s tillgängliga operativa kapacitet.

(12)

Deltagarna i den gemensamma cyberenheten bör fokusera på tekniskt och operativt samarbete, inbegripet gemensamma insatser. Deltagarna bör bidra till detta samarbete i den utsträckning som deras mandat tillåter. Samarbetet bör bygga vidare på och komplettera pågående arbete. Beroende på vilken typ av samarbete det gäller kan ytterligare deltagare delta.

(13)

Plattformen bör samla tekniska och operativa krishanteringsexperter från medlemsstaterna och EU-organ i syfte att samordna insatserna mot cyberhot, cyberincidenter och cyberkriser genom att utnyttja befintlig kapacitet och expertis. Experter som deltar i den gemensamma cyberenheten kommer att kunna övervaka och skydda en mycket bredare angreppsyta genom att använda både den fysiska och den virtuella plattformen. I detta syfte bör deltagarna samordna insatserna vid gränsöverskridande incidenter och kriser samt via plattformen tillhandahålla bistånd till länder som drabbats av incidenter.

(14)

Uppbyggnaden av den gemensamma cyberenheten kräver en stegvis process som drar nytta av och konsoliderar de befintliga ramar och strukturer som nämns i denna rekommendation, inbegripet de samarbetsmekanismer som inrättats inom ramen för medlemsstaternas fora (t.ex. CSIRT-nätverket, EU-CyCLONe, rådets övergripande arbetsgrupp för cyberfrågor, J-CAT och berörda Pesco-projekt) samt, från EU:s institutioners, organs och byråers sida, det strukturerade samarbetet mellan Enisa och Cert-EU och den interinstitutionella gruppen för informationsutbyte om cybersäkerhet. Ramar för hybridhot, civilskydd (14) och sektorsspecifika ramar (15) bör involveras på lämpligt sätt. På samma sätt bör en strukturerad koppling till IPCR (16) upprättas. Detta kommer att göra det möjligt att i krissituationer snabbt och effektivt överföra information till beslutsfattare på politisk nivå som samlats i rådet.

(15)

Inrättandet av den gemensamma cyberenheten bör därför ske genom en stegvis och öppen process som bör slutföras under de kommande två åren. Därför bör de mål som fastställs i denna rekommendation uppnås via en process i fyra steg enligt beskrivningen i bilagan till denna rekommendation. En förberedande process, som organiseras och stöds av Enisa, med operativa och stödjande deltagare på EU- och medlemsstatsnivå, bör inledas i de första två stegen och genomföras inom ramen för en arbetsgrupp som ska inrättas av kommissionen. Det förberedande arbetet bör vägledas av principerna om ömsesidigt engagemang, inkludering och skapande av konsensus. Alla deltagare bör engageras, för att möjliggöra att olika åsikter och ståndpunkter uttrycks och sträva efter att finna lösningar som vinner största möjliga stöd. Beroende på vilka behov som föreligger och baserat på väl motiverade förhållanden kan tidsplanen för de olika steg som anges i denna rekommendation anpassas.

(16)

I steg ett bör förberedelseprocessen inledas med att man fastställer relevant tillgänglig operativ kapacitet inom EU och inleder en bedömning av deltagarnas roller och ansvarsområden inom plattformen. Steg två bör omfatta utarbetandet av EU:s incident- och krishanteringsplan, i överensstämmelse med strategin (17) och beredskapsprotokollet för EU:s brottsbekämpningsinsatser, införandet av beredskaps- och situationsmedvetenhetsrelaterade åtgärder, i överensstämmelse med cybersäkerhetsakten och Europolförordningen (18), och slutförandet av bedömningen av deltagarnas roller och ansvarsområden inom plattformen. Arbetsgruppen bör lägga fram resultaten av denna bedömning för kommissionen och den höga representanten, som därefter kommer att dela resultaten med rådet. Kommissionen och den höga representanten bör arbeta tillsammans, i enlighet med sina respektive befogenheter, för att utarbeta en gemensam rapport på grundval av denna bedömning och uppmana rådet att godkänna rapporten genom rådets slutsatser.

(17)

Efter detta godkännande kommer den gemensamma cyberenheten att tas i drift i syfte att slutföra de två återstående stegen i processen. I steg tre bör deltagarna kunna placera ut EU:s snabbinsatsgrupper inom den gemensamma cyberenheten, i linje med de förfaranden som fastställs i EU:s incident- och krishanteringsplan, genom att utnyttja både den fysiska och den virtuella plattformen och bidra till olika aspekter av incidenthantering (från offentlig kommunikation till återhämtning i efterhand). Slutligen, i steg fyra kommer aktörerna inom den privata sektorn, inbegripet både användare och leverantörer av cybersäkerhetslösningar och cybersäkerhetstjänster, att uppmanas att bidra till plattformen, vilket kommer göra det möjligt för deltagarna att förbättra informationsutbytet och förbättra EU:s samordnade reaktion på cyberhot och cyberincidenter.

(18)

I slutet av fyrstegsprocessen bör deltagarna utarbeta en verksamhetsrapport om de framsteg som gjorts i genomförandet av de fyra steg som anges i rekommendationen, med en beskrivning av resultat och utmaningar, vilken bör läggas fram för kommissionen och den höga representanten. På grundval av denna rapport bör kommissionen och den höga representanten göra en bedömning av dessa resultat och dra slutsatser när det gäller den gemensamma enhetens framtid.

(19)

Kommissionen, Enisa, Europol och CERT-EU bör ge administrativt, finansiellt och tekniskt stöd till den gemensamma cyberenheten som anges i avsnitt IV i denna rekommendation, med förbehåll för tillgängliga budgetmedel och personalresurser. Förstärkningen av EU:s berörda institutioners, organs och byråers operativa cybersäkerhetskapacitet kommer att vara avgörande för att säkerställa effektivt utarbetande av och hållbarhet för den gemensamma cyberenheten. Kommissionen avser att säkerställa att den kommande förordningen om gemensamma bindande regler för cybersäkerhet för EU:s institutioner, organ och byråer (oktober 2021) utgör rättsliga grund för detta bidrag när det gäller CERT-EU.

(20)

Enisa har, med tanke på sitt förstärkta mandat enligt förordning (EU) 2019/881 (cybersäkerhetsakten), en unik möjlighet att organisera och stödja förberedelserna av den gemensamma cyberenheten och bidra till dess operativa genomförande. I linje med bestämmelserna i cybersäkerhetsakten håller Enisa för närvarande på att inrätta ett Brysselkontor för att stödja sitt strukturerade samarbete med CERT-EU. Det strukturerade samarbetet, inbegripet angränsande kontor, utgör en användbar ram för att underlätta inrättandet av den gemensamma cyberenheten, inbegripet inrättandet av dess fysiska arbetsutrymme som vid behov bör göras tillgängligt för deltagare samt för personal från EU:s övriga berörda institutioner, organ och byråer. Den fysiska plattformen bör kombineras med en virtuell plattform bestående av verktyg för samarbete och säkert informationsutbyte. Verktygen kommer att utnyttja den stora mängd information som samlas in genom den europeiska cyberskölden (19), inbegripet säkerhetscentrumen (SOC) och centrumen för informationsutbyte och analys (ISAC).

(21)

I beredskapsprotokollet för EU:s brottsbekämpningsinsatser för stora gränsöverskridande cyberangrepp, som antogs av rådet 2018, ges en central roll åt Europols europeiska it-brottscentrum (EC3) (20) som en del av planens ram. Protokollet gör det möjligt för EU:s brottsbekämpande myndigheter att reagera på storskaliga gränsöverskridande angrepp som misstänks vara skadliga dygnet runt alla dagar i veckan genom snabba insatser och bedömningar samt ett säkert och snabbt utbyte av viktig information för en effektiv samordning av insatserna vid gränsöverskridande incidenter. I protokollet vidareutvecklas samarbetet med andra EU-institutioner och EU-omfattande krisprotokoll samt krissamarbetet med den privata sektorn. De brottsbekämpande myndigheterna bör, vid behov med stöd av Europol, bidra till den gemensamma cyberenheten genom att vidta nödvändiga åtgärder inom alla etapper av utredningen, i enlighet med kraven i den straffrättsliga ramen och de tillämpliga förfarandena för elektronisk bevishantering. Europol har tillhandahållit operativt stöd och underlättat operativt samarbete mot cyberhot sedan EC3 startades 2013. Europol bör stödja plattformen i enlighet med sitt mandat och det underrättelsestyrda polisarbetet, samtidigt som den utnyttjar alla typer av intern expertis och interna produkter, verktyg och tjänster av relevans för incident- eller krishanteringen.

(22)

Enligt direktiv 2013/40/EU om angrepp mot informationssystem ska medlemsstaterna också se till att de har en operativ nationell kontaktpunkt som kan nås dygnet runt alla dagar i veckan för utbyte av uppgifter om de brott som fastställs i det direktivet. Nätet med operativa nationella kontaktpunkter bör också bidra till den gemensamma cyberenheten genom att säkerställa deltagande av medlemsstaternas brottsbekämpande myndigheter när så är lämpligt.

(23)

EU:s grupp för cyberdiplomati bidrar till att främja och skydda en global, öppen, stabil och säker cyberrymd och till att förebygga, avskräcka från och reagera på skadlig cyberverksamhet i detta avseende. EU inrättade 2017 en ram för en gemensam diplomatisk respons från EU mot skadlig cyberverksamhet (nedan kallad verktygslåda för cyberdiplomati). Denna ram är en del av EU:s bredare politik för cyberdiplomati. Den bidrar till konfliktförebyggande och ökad stabilitet i de internationella förbindelserna. Den gör det möjligt för EU och medlemsstaterna att, i samarbete med internationella partner där så är lämpligt, använda alla åtgärder inom den gemensamma utrikes- och säkerhetspolitiken (Gusp), i enlighet med respektive förfaranden för att uppnå dem, för att främja samarbete, mildra hot och påverka nuvarande och eventuella framtida skadliga beteenden i cyberrymden. Cyperdiplomatigruppen bör samarbeta inom ramen för den gemensamma cyberenheten genom att använda och tillhandahålla stöd med användning av hela spektrumet av diplomatiska åtgärder, särskilt när det gäller kommunikation till allmänheten, stödja gemensam situationsmedvetenhet och engagemang med tredjeländer i händelse av en kris.

(24)

I linje med planens ram bör den höga representanten, bland annat genom Intcen, bidra till den gemensamma cyberenheten genom att tillhandahålla kontinuerlig underrättelsebaserad gemensam situationsmedvetenhet om befintliga och framväxande hot, inbegripet nödvändig strategisk situationsmedvetenhet om ett visst evenemang.

(25)

Inom gruppen för cyberförsvar strävar EU och medlemsstaterna efter att stärka cyberförsvarskapaciteten och ytterligare öka synergierna, samordningen och samarbetet mellan EU:s berörda institutioner, organ och byråer samt med och mellan medlemsstaterna, bland annat när det gäller uppdrag och insatser inom ramen för den gemensamma säkerhets- och försvarspolitiken (GSFP). Gruppen fungerar på grundval av en mellanstatlig styrning på EU-nivå, på nationella militära ledningsstrukturer, och på militära kapaciteter och resurser eller kapaciteter och resurser med dubbla användningsområden. Med tanke på dess skilda karaktär bör särskilda gränssnitt med den gemensamma cyberenheten byggas för att möjliggöra informationsutbyte med cyberförsvarsgruppen (21).

(26)

Det permanenta strukturerade samarbetet (Pesco) är en rättslig ram som infördes genom Lissabonfördraget (22) och inrättades 2017 inom unionen. Ett strukturerat samarbete ledde till inrättandet av ett antal Pesco-projekt på cyberområdet, vilket bidrog till fullgörandet av åtagande 11 (23) att ”säkerställa allt större ansträngningar inom it-försvarssamarbetet, i fråga om t.ex. informationsutbyte, utbildning och operativt stöd”. EEAS, inbegripet EU:s militära stab och EDA, bildar Pesco-sekretariatet, som är en gemensam kontaktpunkt inom unionen för alla Pesco-frågor, inbegripet stödjande och samordnande funktioner i samband med Pesco-projekt (till exempel bedömning av nya projektförslag och utarbetande av lägesrapporter för projekt). Företrädare för relevanta Pesco-projekt bör stödja den gemensamma cyberenheten, särskilt när det gäller situationsmedvetenhet och beredskap.

(27)

Genom den gemensamma cyberenheten bör deltagarna på lämpligt sätt integrera intressenter från den privata sektorn, både leverantörer och användare av lösningar och tjänster inom cybersäkerhet, för att stödja den europeiska ramen för hantering av cybersäkerhetskriser, med vederbörlig hänsyn till den rättsliga ramen för datadelning och informationssäkerhet. Cybersäkerhetsleverantörerna bör bidra till initiativet genom att utbyta underrättelser om hot och tillhandahålla experter på hantering av cybersäkerhetsincidenter för att snabbt utöka enhetens kapacitet att reagera på storskaliga angrepp och kriser. Användarna av produkter och tjänster på cybersäkerhetsområdet, främst de som omfattas av NIS-direktivet, bör kunna söka hjälp och rådgivning via strukturerade kanaler (som för närvarande ej existerar) kopplade till informations- och analyscentraler (24) på EU-nivå. Plattformen skulle också kunna bidra till att stärka samarbetet med internationella partner.

(28)

Att utveckla och upprätthålla situationsmedvetenhet kräver spjutspetskapacitet att upptäcka och förebygga intrång. Den gemensamma cyberenheten bör förlita sig på ett toppmodernt nätverk som kan analysera skadliga hot och incidenter som kan påverka viktiga kommunikations- och informationssystem i hela unionen. Detta innebär att bland annat kunskap om hot extraherad från kommunikationsnätverk övervakade av nationella, sektoriella och gränsöverskridande säkerhetscentrum bör bidra till den gemensamma cyberenheten för att förbättra deltagarnas bedömning av EU:s hotbild.

(29)

För att stödja utbytet av operativ information, som eventuellt inbegriper konfidentiellt material, bör plattformen förlita sig på tillräckligt säkra kommunikationskanaler. Sådana kanaler skulle också kunna bygga på befintlig infrastruktur, såsom den nätapplikation för säkert informationsutbyte (Siena) som används av Europol och de brottsbekämpande myndigheterna. Såsom anges i strategin för cybersäkerhet bör verktyg som används av EU:s institutioner, organ och byråer följa de regler om informationssäkerhet som kommissionen inom kort kommer att föreslå.

(30)

Kommissionen kommer, främst genom programmet för ett digitalt Europa, att stödja de investeringar som krävs för att inrätta den fysiska och virtuella plattformen och upprätta och upprätthålla säkra kommunikationskanaler och utbildningskapacitet samt utveckla och sätta in detektionskapacitet. Dessutom skulle Europeiska försvarsfonden kunna bidra till finansieringen av viktig cyberförsvarsteknik och it-försvarskapacitet som skulle stärka den nationella cyberförsvarsberedskapen.

HÄRIGENOM REKOMMENDERAS FÖLJANDE.

I.   SYFTET MED REKOMMENDATIONEN

1.

Syftet med denna rekommendation är att identifiera de åtgärder som krävs för att samordna EU:s insatser för att förebygga, upptäcka, avskräcka från, motverka, mildra och reagera på storskaliga cyberincidenter och cyberkriser genom en gemensam cyberenhet. För att göra detta fastställs i denna rekommendation också den process, de milstolpar och den tidsplan som medlemsstaterna och EU:s berörda institutioner, organ och byråer bör följa i samband med inrättandet och utvecklingen av plattformen.

2.

Medlemsstaterna och EU:s berörda institutioner, organ och byråer bör säkerställa att de vid storskaliga cyberincidenter och cyberkriser samordnar sina insatser via en gemensam cyberenhet som möjliggör ömsesidigt bistånd (25) genom expertis från medlemsstaternas myndigheter och EU:s berörda institutioner, organ och byråer. Den gemensamma cyberenheten bör också göra det möjligt för deltagare att samarbeta med den privata sektorn.

II.   DEFINITIONER

3.

I denna rekommendation gäller följande definitioner:

a)

EU:s incident- och krishanteringsplan för cybersäkerhet: en sammanställning av roller, metoder och förfaranden som leder till fullbordandet av den EU-ram för hantering av cyberkriser som beskrivs i punkt 1 i kommissionens rekommendation av den 13 september 2017 om samordnade insatser vid storskaliga cyberincidenter och cyberkriser (nedan kallad planen).

b)

cybersäkerhetsgrupper: samarbetsgrupper inom det civila samhället, brottsbekämpning, diplomati och försvar som företräder både medlemsstaterna och EU:s berörda institutioner, organ och byråer och som utbyter information i syfte att uppnå gemensamma mål, intressen och uppdrag när det gäller cybersäkerhet.

c)

deltagare i den privata sektorn: företrädare för enheter i den privata sektorn som tillhandahåller eller använder cybersäkerhetslösningar (26) och cybersäkerhetstjänster (27).

d)

storskalig incident: incident enligt definitionen i artikel 4.7 i direktiv (EU) 2016/1148 med betydande konsekvenser i minst två medlemsstater.

e)

integrerad lägesrapport om cybersäkerheten i EU: en rapport som samlar in synpunkter från deltagarna i den gemensamma cyberenheten, som bygger på den tekniska lägesrapporten om cybersäkerheten i EU enligt artikel 7.6 i förordning (EU) 2019/881.

f)

EU:s snabbinsatsteam för cybersäkerhet: ett team bestående av erkända experter inom cybersäkerhet, främst från medlemsstaternas CSIRT-enheter, med stöd från Enisa, CERT-EU och Europol, som är redo att på distans bistå deltagare som drabbas av storskaliga incidenter och kriser.

g)

samförståndsavtal: ett avtal mellan deltagarna om nödvändiga samarbetsformer, inbegripet en definition av de tillgångar och förfaranden som krävs för att inrätta och mobilisera EU-snabbinsatsteamen för cybersäkerhet, samt för att möjliggöra ömsesidigt bistånd.

III.   MÅLET FÖR DEN GEMENSAMMA CYBERENHETEN

4.

Medlemsstaterna och EU:s berörda institutioner, organ och byråer ska säkerställa samordnade EU-insatser vid och återhämtning från storskaliga cyberincidenter och cyberkriser. Sådana insatser bör i synnerhet säkerställas mellan operativa deltagare, särskilt Enisa, Europol, CERT-EU, kommissionen, Europeiska utrikestjänsten (inklusive Intcen), CSIRT-nätverket, EU-CyCLONe, och stödjande deltagare, särskilt ordföranden för samarbetsgruppen för nät- och informationssäkerhet, ordföranden för rådets övergripande arbetsgrupp för cyberfrågor, Europeiska försvarsbyrån och en företrädare för de relevanta Pesco-projekten (28). De operativa deltagarna bör ha möjlighet att snabbt och effektivt mobilisera operativa resurser för ömsesidigt bistånd inom den gemensamma cyberenheten. I detta syfte bör mekanismerna för ömsesidigt bistånd inom den gemensamma cyberenheten samordnas på begäran av en eller flera medlemsstater.

5.

För att kunna tillhandahålla effektiva samordnade insatser, bör de operativa och stödjande deltagare som förtecknas i punkt 4 ha möjlighet att dela bra praxis, ta hänsyn utnyttja kontinuerlig delad situationsmedvetenhet och säkerställa nödvändig beredskap i den utsträckning som deras mandat medger det. De deltagarna bör ta hänsyn till befintliga processer och expertisen hos de olika cybersäkerhetsgrupperna.

IV.   HUR DEN GEMENSAMMA CYBERENHETEN SKA FUNGERA

6.

Medlemsstaterna och de EU:s berörda institutioner, organ och byråer bör, genom att bygga på Enisas bidrag i enlighet med artikel 7.7 i förordning (EU) 2019/881, säkerställa en samordnad insats vid och återhämtning från storskaliga cyberincidenter och cyberkriser genom

a)

Inrättande, utbildning, testning och samordnat införande av EU:s snabbinsatsteam för cybersäkerhet som utnyttjar artikel 7.4 i förordning (EU) 2019/881 och artiklarna 3 och 4 i förordning (EU) 2016/794.

b)

Det samordnade införandet av en virtuell och fysisk plattform, som ska fungera som hävstång för det strukturerade samarbetet mellan Enisa och CERT-EU enligt artikel 7.4 i förordning (EU) 2019/881, som bör fungera som en stödinfrastruktur för tekniskt och operativt samarbete mellan deltagarna och samla relevant personal och andra resurser från deltagarna.

c)

Inrättande och underhåll av en förteckning över operativ och teknisk kapacitet som finns tillgänglig i EU i alla cybersäkerhetsgrupper (29) i unionen som är redo att tas i bruk vid storskaliga cyberincidenter eller cyberkriser.

d)

Rapporteringen till kommissionen och den höga representanten om de vunna erfarenheterna från operativt samarbete på cybersäkerhetsområdet inom och mellan cybersäkerhetgrupper.

7.

I detta syfte bör medlemsstaterna och EU:s berörda institutioner, organ och byråer, i enlighet med artikel 7 i förordning (EU) nr 2019/881 och artikel 3 i förordning (EU) nr 2016/794, säkerställa att det gemensamma cyberenheten ger kontinuerlig delad situationsmedvetenhet mot kriser som möjliggörs av informationsteknik mellan cybersäkerhetgrupper i inom dessa grupper, enligt målen i artikel 7 i förordning (EU) 2019/881 och artikel 3 i förordning (EU) 2016/794. För att åstadkomma det bör medlemsstaterna och EU:s berörda institutioner, organ och byråer, i enlighet med förordning (EU) 2019/881 och förordning (EU) 2016/794 möjliggöra genomförandet av följande stödinsatser:

a)

Utvecklingen av den integrerade lägesrapporten om cybersäkerheten i EU genom insamling och analys av all relevant information och underrättelser om hot.

b)

Användning av lämpliga och säkra verktyg, i enlighet med artikel 7.1 i förordning (EU) nr 2019/881, för snabbt informationsutbyte mellan deltagare och med andra enheter.

c)

Det utbyte av information och sakkunskap som krävs för att förbereda unionen för att hantera storskaliga incidenter och kriser som möjliggörs av cyberteknik, med stöd av Enisa i enlighet med artikel 7.2 i förordning (EU) 2019/881.

d)

Antagande och testning av nationella incident- och krishanteringsplaner för cybersäkerhet (30) i enlighet med artike7.2, 7.5 och 7.7 i förordning (EU) 2019/881.

e)

Utveckling, förvaltning och testning, bland annat genom gemensamma övningar och utbildningar, av EU:s incident- och krishanteringsplan för cybersäkerhet, i enlighet med rekommendationen i planen och på grundval av artikel 7.3 i kommissionens förslag till reviderat direktiv (EU) 2016/1148 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen (31).

f)

Deltagarnas hjälp med att ingå avtal om informationsutbyte, liksom avtal om operativt samarbete med enheter i den privata sektorn som bland annat tillhandahåller tjänster för underrättelser om hot och incidenthanteringstjänster, med stöd av Enisa i enlighet med artikel 7.1 i förordning (EU) 2019/881.

g)

Upprättande av strukturerade synergier med nationell, sektoriell och gränsöverskridande övervaknings- och spårningskapacitet, särskilt med centrum för säkerhetsoperationer.

h)

Stöd från deltagare i hantering av storskaliga incidenter och kriser, i linje med Enisas stödjande roll enligt artikel 7 i förordning (EU) nr 2019/881. Detta inbegriper att bidra till gemensam situationsmedvetenhet, stödja diplomatiska insatser, politisk tilldelning och tilldelning i samband med brottsutredningar, bland annat genom Europol (32), anpassa den offentliga kommunikationen och underlätta incidenthantering.

8.

För att implementera punkterna 6 och 7 bör medlemsstaterna och de EU:s berörda institutioner, organ och byråer säkerställa följande:

a)

Fastställa den gemensamma cyberenhetens organisatoriska aspekter och roller och ansvarsområden för operativa och stödjande deltagare inom plattformen, så att plattformen kan fungera effektivt i enlighet med de aspekter och principer som anges i bilagan till denna rekommendation.

b)

Ingåendet av samförståndsavtal om nödvändiga samarbetsformer mellan de deltagare som avses i punkt 4.

9.

I enlighet med artikel 7 i förordning (EU) 2019/881 bör Enisa ombesörja samordning och stöd för medlemsstaterna och EU:s berörda institutioner, organ och byråer, inom den gemensamma cyberenheten, bland annat genom att agera som sekretariat, anordna möten och bidra till genomförandet av åtgärder både på medlemsstatsnivå och på EU-nivå. Enisa bör inrätta både en säker virtuell plattform och ett fysiskt utrymme för möten och underlätta de nödvändiga genomförandeåtgärderna.

V.   BYGGA DEN GEMENSAMMA CYBERENHETEN

10.

Medlemsstaterna och EU:s berörda institutioner, organ och byråer bör se till att den gemensamma cyberenheten går in i driftsfasen från och med den 30 juni 2022. Vid den tidpunkten bör operativa deltagare ställa operativ kapacitet och experter till förfogande som kan utgöra grunden för EU:s snabbinsatsgrupper för cybersäkerhet. Planerna för en fysisk och virtuell plattform bör vara långt framskridna.

11.

Medlemsstaterna och EU:s berörda institutioner, organ och byråer bör bidra till den gemensamma cyberenhetens funktion och se till att dess operativa verksamhet är helt genomförd senast den 30 juni 2023. Detta bör göras genom följande fyra steg, som kommer att syfta till att slutföra följande verksamheter:

a)

Steg ett – Bedömning av den gemensamma cyberenhetens organisatoriska aspekter och identifiering av EU:s tillgängliga operativa kapacitet senast den 31 december 2021.

b)

Steg två – Att förbereda incident- och krishanteringsplaner och införa gemensamma beredskapsåtgärder senast den 30 juni 2022.

c)

Steg tre – Operativt genomförande av den gemensamma cyberenheten senast den 31 december 2022.

d)

Steg fyra – Utvidgande av samarbetet inom den gemensamma cyberenheten till privata enheter och rapportering om de framsteg som gjorts senast den 30 juni 2023.

Mer detaljerade åtgärder som ska vidtas inom ramen för de fyra successiva stegen anges i bilagan till denna rekommendation.

12.

Under de första två stegen bör Enisa organisera och stödja utarbetandet av den gemensamma cyberenheten. Kommissionens avdelningar bör sammankalla en arbetsgrupp som samlar operativa och stödjande deltagare för att slutföra detta förberedande arbete. Kommissionens avdelningar bör utse en företrädare till medordförande för arbetsgruppen och bjuda in en företrädare som nominerats av den höga representanten och var och en som bidrar till punkter på dagordningen i enlighet med sina respektive befogenheter att fungera som medordförande, och en företrädare som utses av medlemsstaterna.

13.

I slutet av steg två bör arbetsgruppen slutföra sin bedömning av de organisatoriska aspekterna av den gemensamma cyberenheten och de operativa deltagarnas roller och ansvarsområden inom den plattformen. Arbetsgruppen bör lägga fram resultaten av denna bedömning för kommissionen och den höga representanten. Kommissionen och den höga representanten bör sedan dela med sig av denna bedömning till rådet. Kommissionen och den höga representanten bör utarbeta en gemensam rapport på grundval av denna bedömning och uppmana rådet att godkänna rapporten genom rådets slutsatser.

14.

Den gemensamma cyberenheten bör vara operativ från och med steg tre.

15.

Enisa och kommissionen bör säkerställa användningen av befintliga resurser inom ramen för EU:s finansieringsprogram, främst programmet för ett digitalt Europa, i enlighet med de tillämpliga reglerna för inrättande av respektive arbetsprogram, för att utrusta deltagarna i den gemensamma cyberenheten med ytterligare utbildningskapacitet, kommunikationskapacitet och säker infrastruktur för informationsutbyte som möjliggör utbyte av säkerhetsskyddsklassificerade uppgifter, även mellan olika grupper.

VI.   ÖVERSYN

16.

Medlemsstaterna bör samarbeta med kommissionen och den höga representanten, i enlighet med sina respektive befogenheter, för att bedöma den gemensamma cyberenhetens effektivitet och ändamålsenlighet senast den 30 juni 2025 i syfte att dra slutsatser för framtiden för den gemensamma cyberenheten. Vid denna bedömning bör man beakta genomförandet av de fyra ovannämnda stegen.

Utfärdad i Bryssel den 23 juni 2021.

På kommissionens vägnar

Thierry BRETON

Ledamot av kommissionen


(1)  ENISA, 2020 Threat Landscape; Europol, hotbildsbedömningen av internetstödd organiserad brottslighet (Iocta), 2020

(2)  Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen (EUT L 194, 19.7.2016, s. 1).

(3)  Det europeiska kontaktnätverket för cyberkriser (EU CyCLONe) inrättades av medlemsstaterna som svar på rekommendationen i planen. Det är ett nätverk av nationella operativa experter och krishanteringsexperter som kommissionen föreslog skulle kodifieras genom direktivet om åtgärder för en hög gemensam nivå av cybersäkerhet i hela unionen och om upphävande av direktiv (EU) 2016/1148, COM (2020) 823 final, 2020/0359 (COD), som lades fram i december 2020.

(4)  Kommissionens rekommendation (EU) 2017/1584 av den 13 september 2017 om samordnade insatser vid storskaliga cyberincidenter och cyberkriser (EUT L 239, 19.9.2017, s. 36).

(5)  I denna rekommendation beaktas efterhandsrapporten om skrivbordsövningen för att kontrollera den operativa nivån (Blue OLEx) 2020 och i synnerhet ordförandens sammanfattning av diskussionen och strategier för den gemensamma cyberenheten.

(6)  Rådets slutsatser om en ram för en gemensam diplomatisk respons från EU mot skadlig it-verksamhet (nedan kallad verktygslåda för cyberdiplomati) från den 19 juni 2017 (9916/17).

(7)  I synnerhet Pesco-projekten ”snabbinsatsteam och ömsesidigt bistånd på området för cybersäkerhet” som Litauen samordnade och om ”Samordningscentrumet för cyber- och informationsområdet” Tyskland samordnade.

(8)  Enligt artikel 7 i Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten) (EUT L 151, 7.6.2019, s. 15) ska Enisa stödja operativt samarbete mellan medlemsstaterna, unionens institutioner, organ och byråer och mellan intressenter. Detta omfattar att stödja medlemsstaterna i fråga om det operativa samarbetet inom CSIRT-nätverket, regelbundet utarbeta en djupgående teknisk lägesrapport om cybersäkerheten i EU om incidenter och cyberhot och bidra till att utveckla en samarbetsinriktad respons, på unions- och medlemsstatsnivå, för att hantera storskaliga gränsöverskridande incidenter eller kriser. Dessutom bidrar Enisa till utbildningsverksamhet med Europeiska säkerhets- och försvarsakademin (Esfa).

(9)  Meddelande från kommissionen till Europaparlamentet, rådet, Europeiska ekonomiska och sociala kommittén samt Regionkommittén: Strategi för EU:s säkerhetsunion, COM/2020/605 final.

(10)  Meddelande från kommissionen till Europaparlamentet, rådet, Europeiska ekonomiska och sociala kommittén och Regionkommittén: Att forma EU:s digitala framtid COM/2020/67 final.

(11)  Gemensamt meddelande till Europaparlamentet och rådet: EU:s strategi för cybersäkerhet för ett digitalt decennium, JOIN/2020/18 final.

(12)  Även relevant för rättsligt samarbete.

(13)  Se fotnot 5. Europeiska utrikestjänsten och EDA kommer genom sin roll som Pesco-sekretariat att samarbeta med samordnarna för berörda Pesco-projekt.

(14)  I detta sammanhang bör den gemensamma cyberenheten skapa synergier med EU:s civilskyddsmekanism för att förbättra den europeiska beredskapen och insatserna vid multikatastrofer och nödsituationer som inbegriper ett cyberinslag.

(15)  Såsom den finansiella sektorn enligt Europaparlamentets och rådets förordning (EU) 2021/xx* [DORA].

(16)  Se skäl 5.

(17)  Se fotnot 3.

(18)  Europaparlamentets och rådets förordning (EU) 2016/794 av den 11 maj 2016 om Europeiska unionens byrå för samarbete inom brottsbekämpning (Europol) och om ersättande och upphävande av rådets beslut 2009/371/RIF, 2009/934/RIF, 2009/935/RIF, 2009/936/RIF och 2009/968/RIF (EUT L 135, 24.5.2016, s. 53).

(19)  JOIN/2020/18 final, avsnitt 1.2.

(20)  Inrättat genom förordning (EU) 2016/794.

(21)  Särskilt genom EEAS-representation, för att möjliggöra ett lämpligt deltagande av cyberförsvarsgemenskapen, som bygger på frivilliga nationella bidrag.

(22)  Artiklarna 42.6 och 46 och protokoll 10 i EU-fördraget.

(23)  Var och en av de medlemsstater som deltar i Pesco-samarbetet gör tjugo enskilda åtaganden, uppdelade på de fem nyckelområden som anges i artikel 2 i protokoll nr 10 om Pesco som är fogat till fördraget om Europeiska unionen.

(24)  Exempel på befintliga informations- och analyscentraler som skulle kunna delta i en sådan delning är informations- och analyscentralerna för europeisk energi (EE-ISAC) eller informations- och analyscentralerna för de europeiska finansinstituten (FI-ISAC).

(25)  I överensstämmelse med den strategi och de principer som anges i direktiv (EU) 2016/1148 och artikel 222 i EUF-fördraget, utan att det påverkar tillämpningen av artikel 42.7 i fördraget om Europeiska unionen.

(26)  Inklusive programvaruförsäljare.

(27)  Inklusive underrättelser om hot.

(28)  Samordningscentrum för cyber- och informationsområdet (CIDCC) och snabbinsatsteam och ömsesidigt bistånd på området för cybersäkerhet (CRRT).

(29)  Inbegripet, när så är lämpligt, cyberförsvarsgruppen.

(30)  Föreslagna enligt artikel 7.3 i direktivet om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, och om upphävande av direktiv (EU) 2016/1148, COM(2020) 823 final, 2020/0359 (COD).

(31)  COM(2020) 823 final.

(32)  Enligt förordning (EU) 2016/794.


BILAGA

Steg för att bygga upp den gemensamma cyberenheten

I denna bilaga beskrivs de centrala och stödjande åtgärder som krävs för att inrätta och genomföra den gemensamma cyberenheten.

1.   Steg 1 – Bedömning av den gemensamma cyberenhetens organisatoriska aspekter och identifiering av EU:s tillgängliga operativa kapacitet

CENTRALA ÅTGÄRDER

Operativa deltagare i den gemensamma cyberenheten, som samlats i en arbetsgrupp som inrättats av kommissionen och med stöd av Enisa, bör samla in information om befintlig operativ kapacitet, inklusive en förteckning över tillgängliga erkända yrkesutövare med angivande av deras relevanta sakkunskap, tillgängliga verktyg, funktioner och tillgångar för incidenthantering, tillgängliga utbildnings- och övningsportföljer samt befintliga produkter för information och underrättelseanalys. På grundval av detta bör operativa deltagare utarbeta en förteckning över tillgänglig operativ EU-kapacitet som är redo att sättas in vid cyberincidenter eller cyberkriser, särskilt genom EU:s snabbinsatsteam för cybersäkerhet.

Arbetsgruppen bör inleda en bedömning av de organisatoriska aspekterna av plattformen för den gemensamma cyberenheten och de operativa deltagarnas roller och ansvarsområden inom den plattformen.

För att få en överblick över kapaciteten och komma överens om förfaranden bör kärnåtgärder och, i möjligaste mån, stödåtgärder enligt steg ett slutföras senast den 31 december 2021 [6 månader efter antagandet].

2.   Steg 2 – Att förbereda incident- och krishanteringsplaner och införa gemensamma beredskapsåtgärder

CENTRALA ÅTGÄRDER

Operativa deltagare i arbetsgruppen bör, i samråd med stödjande deltagare, utarbeta EU:s incident- och krishanteringsplan för cybersäkerhet på grundval av de nationella planerna för cybersäkerhetsincidenter och krishantering. EU:s incident- och krishanteringsplan för cybersäkerhet bör innehålla mål för EU:s beredskap, fastställda förfaranden och säkra kanaler för informationsutbyte, inbegripet sätt att hantera information, samt kriterier för aktivering av mekanismen för ömsesidigt bistånd på grundval av en överenskommen klassificering av incidenter och på förteckningen över tillgänglig EU-kapacitet.

I slutet av steg två bör arbetsgruppen slutföra sin bedömning av de organisatoriska aspekterna av plattformen för den gemensamma cyberenheten och de operativa deltagarnas roller och ansvarsområden inom den plattformen. Arbetsgruppen bör lägga fram resultaten av denna bedömning för kommissionen och den höga representanten. Kommissionen och den höga representanten bör dela med sig av denna bedömning till rådet. Kommissionen och den höga representanten bör arbeta tillsammans, i enlighet med sina respektive befogenheter, för att utarbeta en gemensam rapport på grundval av denna bedömning och uppmana rådet att godkänna rapporten genom rådets slutsatser.

STÖDÅTGÄRDER

EU:s incident- och krishanteringsplan för cybersäkerhet bör bygga på de viktigaste inslagen i de nationella planerna för cybersäkerhetsincidenter och krishantering. I linje med kommissionens förslag till direktiv om åtgärder för en hög gemensam nivå av cybersäkerhet i hela unionen och om upphävande av direktiv 2016/1148/EU (1) bör medlemsstaterna anta nationella planer för cybersäkerhetsincidenter och krishantering. De nationella planerna, som eventuellt kan bli föremål för inbördes utvärdering, bör fastställa mål och former för hanteringen av storskaliga cyberincidenter och cyberkriser. De nationella planerna ska i synnerhet omfatta följande delar:

a)

Målen för nationella beredskapsåtgärder och beredskapsverksamheter.

b)

De nationella behöriga myndigheternas roller och ansvarsområden på nationell nivå.

c)

Nationella krishanteringsförfaranden och kanaler för informationsutbyte.

d)

Identifiering av beredskapsåtgärder, inbegripet övningar och utbildningsverksamhet.

e)

Identifiering av berörda offentliga och privata intressenter och involverad infrastruktur.

f)

Nationella förfaranden och arrangemang mellan relevanta nationella myndigheter och organ, inbegripet de som ansvarar för alla cybersamhällen, för att säkerställa medlemsstaternas faktiska deltagande i och stöd till en samordnad hantering av storskaliga cyberincidenter och cyberkriser på EU-nivå.

På grundval av synpunkter från medlemsstaterna och EU:s institutioner, organ och byråer bör de operativa deltagarna utföra följande stödåtgärder inom ramen för den gemensamma cyberenheten:

a)

Fastställa EU:s första integrerade lägesrapport som bygger på nationella planer för cybersäkerhetsincidenter och krishantering.

b)

Upprätta kommunikationskapacitet och säkra verktyg för informationsutbyte.

c)

Underlätta antagandet av protokoll för ömsesidigt bistånd mellan deltagarna.

d)

Anordna gruppöverskridande övningar och utbildning för experter som ingår i förteckningen över EU:s tillgängliga operativa kapacitet.

e)

Utarbeta en flerårig plan för att samordna övningar.

Vid behov bör operativa deltagare samråda med stödjande deltagare. Enisa bör, med stöd av kommissionen, Europol och CERT-EU, möjliggöra informationsutbyte genom att inrätta kommunikationskapacitet och säkra verktyg för informationsutbyte.

För att säkerställa att de nödvändiga planerna fastställs och att gemensamma verksamheter börjar genomföras, bör kärnåtgärder och, i möjligaste mån, stödåtgärder enligt steg två slutföras senast den 30 juni 2022 [6 månader efter slutet av steg 1] .

3.   Steg 3 – Operativt genomförande av den gemensamma cyberenheten

CENTRALA ÅTGÄRDER

Efter rådets godkännande av kommissionens slutsatser om rapporten i steg två bör de operativa deltagarna samordna utplaceringen av EU:s snabbinsatsteam för cybersäkerhet inom den gemensamma cyberenheten och inrätta en fysisk plattform som gör det möjligt för teamen att utföra teknisk och operativ verksamhet. På grundval av det förberedande arbetet i steg två bör deltagarna färdigställa EU:s incident- och krishanteringsplan för cybersäkerhet. De operativa deltagarna bör se till att de experter och den kapacitet som finns med i förteckningen över EU:s tillgängliga operativa kapacitet finns tillgängliga och är redo att bidra till verksamheten i EU:s snabbinsatsteam för cybersäkerhet.

För att genomföra EU:s incident- och krishanteringsplan för cybersäkerhet bör deltagarna fastställa ett årligt arbetsprogram.

STÖDÅTGÄRDER

Den gemensamma cyberenheten kan användas av cyberdiplomatigruppen för att anpassa informationen till allmänheten. Plattformen kan göra det möjligt för deltagare att bidra till såväl politisk tilldelning som tilldelning inom det straffrättsliga ramverk som används på polis- och domstolsnivå. Dessutom kan det underlätta återhämtning och möjliggöra strukturerade synergier med nationell och gränsöverskridande övervaknings- och spårningskapacitet.

För att säkerställa att den gemensamma cyberenheten tas i drift bör kärnverksamheten och, i möjligaste mån, stödåtgärderna i steg tre vara slutförda senast den 31 december 2022 [6 månader efter utgången av steg 2].

4.   Steg 4 – Utvidgande av samarbetet inom den gemensamma cyberenheten till privata enheter och rapportering om de framsteg som gjorts

KÄRNÅTGÄRD

Deltagarna i den gemensamma cyberenheten bör utarbeta en verksamhetsrapport om de framsteg som gjorts i genomförandet av de fyra steg som anges i rekommendationen, med en beskrivning av resultat och utmaningar. Rapporten bör innehålla statistiska uppgifter om det operativa samarbete som genomförts under de fyra stegen. Rapporten bör överlämnas till kommissionen och den höga representanten.

STÖDÅTGÄRDER

För att utöka den kapacitet och information som finns tillgänglig för EU:s grupper för snabba insatser för cybersäkerhet bör deltagarna se till att den gemensamma cyberenheten bidrar till ingåendet av avtal om informationsutbyte och operativt samarbete mellan deltagare och aktörer i den privata sektorn som bland annat tillhandahåller tjänster för underrättelseverksamhet och incidenthantering. De bör också se till att den gemensamma cyberenheten bland annat stöder regelbunden dialog och informationsutbyte om hot och sårbarheter med användare av cybersäkerhetslösningar, främst sådana som omfattas av direktivet om nät- och informationssäkerhet eller som samlas in i centrumen för informationsutbyte och analys på EU-nivå.

Medlemsstaterna bör stödja enheter som är verksamma inom deras territorium, särskilt de som omfattas av direktivet om nät- och informationssäkerhet, när det gäller att få tillgång till och bidra till offentlig-privata dialoger med nationella rådgivande nämnder på EU-nivå.

För att garantera att den privata sektorn involveras på lämpligt sätt bör kärnåtgärder och, i möjligaste mån, stödåtgärder enligt steg fyra slutföras senast den 30 juni 2023 [6 månader efter slutet av steg 3].

HUR MAN SNABBT KAN MOBILISERA EU:s OPERATIVA KAPACITET

VEM TILLHANDAHÅLLER KAPACITET? Operativa deltagare

VEM FÖRVALTAR KAPACITETEN? Deltagare inom den gemensamma cyberenheten, i enlighet med överenskomna roller och ansvarsområden

Steg

Syfte

Uppgifter

Kärnåtgärd

Stödåtgärd

Steg 1 – Fastställa

Senast den 31 december 2021 [6 månader efter antagandet]

BEREDSKAP

Identifiera kapacitet

Operativa deltagare ska upprätta en förteckning över EU:s tillgängliga operativa kapacitet

 

Steg 2 -

Förbereda

senast den 30 juni 2022 [6 månader efter utgången av steg 1]

BEREDSKAP

Fastställa relevanta förfaranden och arrangemang för aktivering av kapacitet vid behov

Operativa deltagare ska utarbeta EU:s incident- och krishanteringsplan för cybersäkerhet (EU:s ram för hantering av cybersäkerhetskriser enligt planen), på grundval av antagna nationella planer

Operativa deltagare ska utarbeta EU:s integrerade lägesrapporter på grundval av EU:s rapport om den tekniska situationen för cybersäkerhet

BEREDSKAP

Övningskapacitet

 

Deltagare som anordnar gemensamma övningar och gemensam utbildning (tvärgruppsöverskridande)

Deltagarna ska arbeta med en flerårig plan för att samordna övningar

 

SITUATIONSMEDVETENHET

Inrätta verktyg för utbyte av information och begäran om stöd

 

Deltagarna ska utveckla ett säkert och snabbt informationsutbyte

DEN GEMENSAMMA CYBERENHETEN ÄR OPERATIV Baserad på det förberedande arbete som utförts av deltagarna i en arbetsgrupp som ska inrättas av kommissionen

Steg 3 – Införa

Senast den 31 december 2022 [6 månader efter utgången av steg 2

BEREDSKAP

Anta relevanta förfaranden, arrangemang och samförståndsavtal för att aktivera kapacitet vid behov

Operativa deltagare ska slutföra EU:s incident- och krishanteringsplan för cybersäkerhet och fastställa dess genomförande genom årliga arbetsprogram

Deltagare ska stödja inrättandet av nationella och gränsöverskridande övervaknings- och detektionskapacitet, inbegripet inrättandet av säkerhetscentrum

SAMORDNAD HANTERING AV ATTACKER

Sätta in kapacitet vid behov

Operativa deltagare ska samordna EU:s snabbinsatsteam för cybersäkerhet genom den virtuella och fysiska plattformen för den gemensamma cyberenheten i Bryssel

Deltagarna ska samordna kommunikationen med allmänheten och bidra till politisk tilldelning samt tilldelning inom ramen för straffrätten

Steg 4 – Utvidga och rapportera

Senast den 30 juni 2023 [6 månader efter utgången av steg 3]

SITUATIONSMEDVETENHET

Säkerställa skalbarhet genom att involvera den privata sektorn för att tillgodose framväxande behov

Deltagarna ska lämna in en verksamhetsrapport om de framsteg som gjorts, med en beskrivning av resultat och utmaningar med stöd av statistisk information

Deltagarna ska ingå avtal om informationsutbyte samt avtal om operativt samarbete med leverantörer av cybersäkerhet

SAMORDNAD HANTERING AV ATTACKER

Deltagarna ska ingå avtal om informationsutbyte med användare av cybersäkerhet, främst enheter som omfattas av direktivet om nät- och informationssäkerhet och EU-ISAC


(1)  COM (2020) 823 final – 2020/0359 (COD), Bryssel, 16.12.2020.