Komisija i Visoki predstavnik Unije za vanjske poslove i sigurnosnu politiku predstavili su u srijedu, 16. prosinca, novu strategiju kibernetičke sigurnosti EU-a. Kao ključna sastavnica izgradnje digitalne budućnosti Europe, europskog plana oporavka i strategije EU-a za sigurnosnu uniju ova će strategija ojačati kolektivnu otpornost Europe na kiberprijetnje i osigurati da svi građani i poduzeća mogu u potpunosti iskoristiti vjerodostojne i pouzdane usluge i digitalne alate. Bez obzira na to je li riječ o povezanim uređajima, elektroenergetskoj mreži ili bankama, zrakoplovima, javnoj upravi i bolnicama kojima se Europljani služe ili im trebaju njihove usluge, europski građani zaslužuju da to čine uz jamstvo sigurnosti od kiberprijetnji.
Kibersigurnost je jedan od glavnih prioriteta Komisije i temelj digitalne i povezane Europe. Sve veći broj kibernapada tijekom krize uzrokovane koronavirusom pokazao je koliko je važno zaštititi bolnice, istraživačke centre i drugu infrastrukturu. U tom području treba odlučno djelovati kako bi gospodarstvo i društvo EU-a bili otporni na buduće promjene.
U zajedničkoj izjavi naglašava se snažna interno-eksterna povezanost kibersigurnosti i ravnoteža između tehnološke suverenosti i potrebe za međunarodnom suradnjom.
Nova Strategija kibernetičke sigurnosti pokriva pet domena politike s više od 20 konkretnih prijedloga koji doprinose jačoj Europi u kibernetičkom prostoru, uključujući:
- Poboljšanje međunarodne sigurnosti kako bi se pridonijelo odgovornom ponašanju države u kibernetičkom prostoru;
- Jačanje EU alata za internetsku diplomaciju kako bi se spriječilo, odvratilo i odgovorilo na kibernetičke napade;
- Pojačavanje koordinacije i suradnje u obrani od kinernetičkih napada i izgradnja sustava za obranu od kibernetičkih napada;
- Jačanje i širenje međunarodnih partnerstava i suradnje s međunarodnim organizacijama, zemljama partnerima i civilnim društvom, akademskom zajednicom i privatnim sektorom;
- Povećavanje opsega, razmjera, djelotvornosti i učinkovitosti kibernetičkih kapaciteta EU-a.
Integracija kibersigurnosti u opskrbne lance
Novom strategijom kibernetičke sigurnosti predlaže se integracija kibersigurnosti u svaki element opskrbnog lanca i daljnje povezivanje aktivnosti i resursa EU-a u četirima zajednicama kibersigurnosti – unutarnjem tržištu, izvršavanju zakonodavstva, diplomaciji i obrani. Strategija se temelji na Komunikaciji Komisije “Izgradnja digitalne budućnosti Europe” i strategiji EU-a za sigurnosnu uniju te na mnogim zakonodavnim aktima, mjerama i inicijativama koje je EU proveo radi jačanja kapaciteta kibersigurnosti i otpornosti Europe na kiberprijetnje. To uključuje strategiju kibernetičke sigurnosti iz 2013., koja je revidirana 2017., i Komisijin Europski program sigurnosti za razdoblje 2015. – 2020. U strategiji se uzima u obzir i povezanost unutarnje i vanjske sigurnosti, posebno u okviru zajedničke vanjske i sigurnosne politike.
Nova strategija kibernetičke sigurnosti trebala bi Uniji omogućuti da učvrsti svoje vodstvo u području međunarodnih normi i standarda u kiberprostoru te ojača suradnju s partnerima diljem svijeta u cilju promicanja globalnog, otvorenog, stabilnog i sigurnog kiberprostora koji se temelji na vladavini prava, ljudskim pravima, temeljnim slobodama i demokratskim vrijednostima.
Nadalje, Komisija iznosi prijedloge za rješavanje pitanja kiberotpornosti i fizičke otpornosti ključnih subjekata i mreža: Direktiva o mjerama za visoku zajedničku razinu kibersigurnosti u cijeloj Uniji (revidirana Direktiva NIS ili „NIS 2”) i nova Direktiva o otpornosti ključnih subjekata. Te direktive obuhvaćaju brojne sektore, a cilj im je usklađeno i komplementarno rješavanje postojećih i budućih rizika na internetu i izvan njega, od kibernapada do kriminala ili prirodnih katastrofa.
Povjerenje i sigurnost u središtu digitalnog desetljeća EU-a
Novom strategijom za kibersigurnost nastoji se zaštititi globalni i otvoreni internet te istodobno ponuditi zaštitne mjere kako bi se zajamčila sigurnost, ali i zaštitile europske vrijednosti i temeljna prava svih građana. Nadovezujući se na postignuća iz proteklih mjeseci i godina, strategija sadržava konkretne prijedloge za regulatorne, ulagačke i političke inicijative u trima područjima djelovanja EU-a:
Otpornost, tehnološka suverenost i vodstvo
U okviru ovog područja djelovanja Komisija predlaže reformu pravilâ o sigurnosti mrežnih i informacijskih sustava na temelju Direktive o mjerama za visoku zajedničku razinu kibersigurnosti u cijeloj Uniji (revidirana Direktiva NIS ili „NIS 2”) kako bi se povećala razina kiberotpornosti ključnih javnih i privatnih sektora: bolnice, energetske mreže, željeznice, ali i podatkovni centri, javne uprave, istraživački laboratoriji i proizvodnja ključnih medicinskih proizvoda i lijekova te ostala ključna infrastruktura i usluge moraju ostati nepropusni u prijetećem okruženju koje se sve brže mijenja i sve je složenije.
Komisija također preporučuje izgradnju mreže centara za sigurnosne operacije diljem EU-a uz potporu umjetne inteligencije kao pravog EU-ovog “kibernetičkog sigurnosnog štita”, koji će moći dovoljno rano uočiti naznake kibernapada i omogućiti proaktivno djelovanje prije nastanka štete. Dodatne mjere uključivat će namjensku potporu malim i srednjim poduzećima (MSP-ovi) u okviru digitalnoinovacijskih centara te povećane napore za usavršavanje radne snage, privlačenje i zadržavanje najnadarenijih kandidata u području kibersigurnosti te ulaganja u otvorena i konkurentna istraživanja i inovacije koji se temelje na izvrsnosti.
Izgradnja operativnih kapaciteta za sprečavanje, odvraćanje i odgovor
Komisija u okviru progresivnog i uključivog procesa s državama članicama priprema novu zajedničku jedinicu za kibersigurnost radi jačanja suradnje između tijela EU-a i tijela država članica odgovornih za sprečavanje kibernetičkih napada, odvraćanje od njih i odgovaranje na njih, uključujući civilne, diplomatske i kiberobrambene zajednice te zajednice za izvršavanje zakonodavstva Visoki predstavnik iznosi prijedloge za jačanje alata EU-a za kiberdiplomaciju kako bi se spriječile, obeshrabrile i odvratile zlonamjerne kiberaktivnosti te djelotvorno odgovorilo na njih, posebno one koje utječu na našu ključnu infrastrukturu, lance opskrbe, demokratske institucije i procese.
Unija će također nastojati dodatno poboljšati suradnju u području kiberobrane i razviti najsuvremenije kapacitete za kiberobranu, nadovezujući se na rad Europske obrambene agencije i potičući države članice da u potpunosti iskoriste stalnu strukturiranu suradnju i Europski fond za obranu.
Unapređivanje globalnog i otvorenog kiberprostora povećanom suradnjom
Unija će pojačati suradnju s međunarodnim partnerima kako bi se osnažio uređeni globalni poredak, promicala međunarodna sigurnost i stabilnost u kiberprostoru te zaštitila ljudska prava i temeljne slobode na internetu. U suradnji s međunarodnim partnerima u Ujedinjenim narodima i ostalim relevantnim forumima unaprijedit će međunarodne norme i standarde koji odražavaju te temeljne Unijine vrijednosti. EU će dodatno ojačati svoje alate za kiberdiplomaciju i povećati napore u izgradnji kiberkapaciteta u trećim zemljama razvojem programa EU-a za izgradnju vanjskih kiberkapaciteta. Intenzivirat će se kiberdijalozi s trećim zemljama, regionalnim i međunarodnim organizacijama te širom zajednicom dionika. Kako bi promicao svoju viziju kibernetičkog prostora, EU će diljem svijeta uspostaviti i mrežu EU-a za kiberdiplomaciju.
Ulaganja u digitalnu tranziciju
Kibersigurnost kao prioritet uzeta je u obzir i u sljedećem dugoročnom proračunu EU-a (2021. – 2027.). U okviru programa Digitalna Europa EU će podupirati istraživanje, inovacije i infrastrukturu u području kibersigurnosti te kiberobranu i industriju kibersigurnosti EU-a. Osim toga, kao odgovor na krizu uzrokovanu koronavirusom, u kojoj je za vrijeme mjera ograničenja kretanja došlo do povećanih kibernapada, u okviru europskog plana oporavka osigurana su dodatna sredstva za ulaganja u kibersigurnost.
Uz program Digitalna Europa, EU podupire novu strategiju za kibersigurnost kroz program i Obzor Europa, ali i europski plan oporavka. Države članice potiču se da u potpunosti iskoriste Mehanizam EU-a za oporavak i otpornost kako bi ojačale kibersigurnost i izjednačile vlastita ulaganja s ulaganjima na razini EU-a. Cilj je ostvariti zajednička ulaganja EU-a, država članica i tog industrijskog sektora u iznosu od 4,5 milijardi eura, prije svega u okviru Centra za stručnost u području kibersigurnosti i Mreže koordinacijskih centara, te osigurati da velik dio sredstava dobiju MSP-ovi.
Komisija također nastoji ojačati industrijske i tehnološke kapacitete EU-a u području kibersigurnosti, među ostalim putem projekata koji se zajednički podupiru iz proračuna EU-a i nacionalnih proračuna. Unija ima jedinstvenu priliku udružiti svoje resurse kako bi povećala svoju stratešku autonomiju i svoj vodeći položaj u području kibernetičke sigurnosti proširila na cijeli digitalni lanac opskrbe (uključujući podatke i oblak, procesorske tehnologije sljedeće generacije, ultrasigurnu povezivost i mreže 6G), u skladu sa svojim vrijednostima i prioritetima.
Kiberotpornost i fizička otpornost mreža i informacijskih sustava
EU je već dugo svjestan potrebe za osiguravanjem otpornosti ključnih infrastruktura koje pružaju iznimno važne usluge za neometano funkcioniranje unutarnjeg tržišta te živote i egzistenciju europskih građana. Zbog toga je EU 2006. uspostavio Europski program za zaštitu kritične infrastrukture (EPCIP), a 2008. donio Direktivu o europskoj kritičnoj infrastrukturi (ECI), koja se primjenjuje na energetski i prometni sektor. Te su mjere poslije dopunjene raznim sektorskim i međusektorskim mjerama o posebnim aspektima kao što su prilagodba klimatskim promjenama, civilna zaštita ili izravna strana ulaganja.
Postojeće mjere na razini EU-a usmjerene na zaštitu ključnih usluga i infrastrukture od kiberprijetnji i fizičkih rizika potrebno je ažurirati. Kiberprijetnje se nastavljaju razvijati s obzirom na sve veću digitalizaciju i međusobnu povezanost. I fizički rizici postali su složeniji nakon donošenja pravila EU-a o kritičnoj infrastrukturi iz 2008. Ta pravila treba ažurirati tako da budu u skladu s logikom strategije EU-a za sigurnosnu uniju kako bi se prevladala lažna dihotomija između događaja na internetu i izvan njega, te prekinuo izolacijski pristup.
Kako bi se odgovorilo na sve veće prijetnje zbog digitalizacije i međusobne povezanosti, predloženom Direktivom o mjerama za visoku zajedničku razinu kibersigurnosti u cijeloj Uniji (revidirana Direktiva NIS ili “NIS 2”) obuhvatit će se srednje i velike subjekte iz više sektora na temelju njihove ključne važnosti za gospodarstvo i društvo.
Direktivom NIS 2 jačaju se sigurnosni zahtjevi koji se propisuju poduzećima, rješava pitanje sigurnosti lanaca opskrbe i odnosa s dobavljačima, pojednostavnjuju se obveze izvješćivanja, uvode strože nadzorne mjere za nacionalna tijela, stroži zahtjevi u pogledu provedbe te se nastoje uskladiti režimi sankcija u državama članicama. Prijedlog direktive NIS 2 pridonijet će povećanju razmjene informacija i suradnje u upravljanju kibernetičkim krizama na nacionalnoj razini i na razini EU-a.
Otpornost ključnih subjekata
Predloženom Direktivom o otpornosti ključnih subjekata proširuju se i područje primjene i dubina Direktive o europskoj kritičnoj infrastrukturi iz 2008. Trenutačno je obuhvaćeno deset sektora: energetika, promet, bankarstvo, infrastruktura financijskih tržišta, zdravstvo, pitka voda, otpadne vode, digitalna infrastruktura, javna uprava i svemir.
Prema predloženoj direktivi, svaka država članica donijela bi svoju nacionalnu strategiju za osiguravanje otpornosti ključnih subjekata i provodila redovite procjene rizika. Te bi procjene pridonijele i utvrđivanju manjeg podskupa ključnih subjekata koji bi podlijegali obvezama usmjerenima na jačanje njihove otpornosti na nekibernetičke rizike, uključujući procjene rizika na razini subjekta, poduzimanje tehničkih i organizacijskih mjera te prijavljivanje incidenata.
Komisija bi, pak, državama članicama i ključnim subjektima pružila dodatnu potporu, primjerice izradom pregleda na razini Unije u pogledu prekograničnih i međusektorskih rizika, najbolje prakse, metodologija, prekograničnih aktivnosti osposobljavanja i vježbi za ispitivanje otpornosti ključnih subjekata.
Osiguravanje sljedeće generacije mreža
Kad je riječ o kibersigurnosti 5G mreža, države članice su, uz potporu Komisije i Europske agencije za kibernetičku sigurnost (ENISA), paketom instrumenata donesenim u siječnju 2020., uspostavile sveobuhvatan i objektivan pristup utemeljen na riziku. Komisija je preispitivanjem svoje Preporuke o kibersigurnosti 5G mreža iz ožujka 2019. utvrdila da je većina država članica ostvarila napredak u provedbi paketa instrumenata. U skladu s novom strategijom za kibersigurnost države članice potiču se da uz potporu Komisije i ENISA-e dovrše provedbu paketa instrumenata EU-a za 5G.
Prema objavljenom izvješću o učinku Preporuke Komisije o kibersigurnosti 5G mreža i napretku u provedbi paketa mjera EU-a za ublažavanje rizika ostvarenom od izvješća o napretku iz srpnja 2020., većina država članica dobro napreduje u provedbi preporučenih mjera. Tu bi provedbu trebalo dovršiti do drugog tromjesečja 2021. i osigurati da se utvrđeni rizici primjereno i koordinirano ublaže, posebno kako bi se izloženost visokorizičnim dobavljačima svela na najmanju moguću mjeru i izbjegla ovisnost o njima. Komisija će danas utvrditi i ključne ciljeve i mjere usmjerene na nastavak koordiniranog rada na razini Unije.
Daljnji koraci
Europska komisija i visoki predstavnik odlučni su u namjeri da novu strategiju za kibersigurnost provedu tijekom sljedećih mjeseci. Redovito će izvješćivati o postignutom napretku, o svemu informirati Europski parlament, Vijeće Europske unije i dionike te će ih uključiti u sve relevantne mjere.
Europski parlament i Vijeće sada trebaju ispitati i donijeti predloženu Direktivu NIS 2 i Direktivu o otpornosti ključnih subjekata. Nakon što se prijedlozi dogovore i donesu, države članice morat će ih prenijeti u svoje zakonodavstvo u roku od 18 mjeseci od njihova stupanja na snagu.
Komisija će povremeno preispitivati Direktivu NIS 2 i Direktivu o otpornosti ključnih subjekata te izvješćivati o njihovu učinku.