Ny EU-sikkerhetsstrategi og nye regler for å gjøre fysiske og digitale kritiske enheter mer motstandsdyktige

I dag (16. desember) presenterer kommisjonen og Unionens høye representant for utenrikssaker og sikkerhetspolitikk en ny EU-sikkerhetsstrategi. Som en nøkkelkomponent i Shaping Europas digitale fremtid, gjenopprettingsplanen for Europa og EUs sikkerhetsunionstrategi, vil strategien styrke Europas kollektive motstandsdyktighet mot cybertrusler og bidra til å sikre at alle borgere og bedrifter kan dra full nytte av pålitelige og pålitelige tjenester og digitale verktøy. Enten det er de tilkoblede enhetene, strømnettet eller bankene, flyene, offentlige administrasjoner og sykehus som europeere bruker eller ofte, fortjener de å gjøre det med forsikring om at de vil være skjermet mot cybertrusler.

Den nye strategien for cybersikkerhet gjør det også mulig for EU å øke ledelsen om internasjonale normer og standarder i cyberspace, og styrke samarbeidet med partnere over hele verden for å fremme et globalt, åpent, stabilt og trygt cyberspace, basert på rettsstaten, menneskerettigheter , grunnleggende friheter og demokratiske verdier. Videre kommer kommisjonen med forslag for å adressere både cyber og fysisk motstandskraft hos kritiske enheter og nettverk: et direktiv om tiltak for høyt felles nivå av cybersikkerhet i hele Unionen (revidert NIS-direktiv eller 'NIS 2'), og et nytt direktiv om motstandskraft hos kritiske enheter.

De dekker et bredt spekter av sektorer og tar sikte på å adressere nåværende og fremtidig risiko på nett og offline, fra nettangrep til kriminalitet eller naturkatastrofer, på en sammenhengende og komplementær måte. Tillit og sikkerhet i hjertet av EUs digitale tiår Den nye strategien for cybersikkerhet tar sikte på å beskytte et globalt og åpent internett, samtidig som det tilbys garantier, ikke bare for å sikre sikkerhet, men også for å beskytte europeiske verdier og de grunnleggende rettighetene til alle.

Basert på prestasjonene de siste månedene og årene, inneholder den konkrete forslag til regulerings-, investerings- og politiske initiativer innen tre områder av EU-tiltak: 1. Motstandsdyktighet, teknologisk suverenitet og lederskap
Under denne handlingsstrengen foreslår kommisjonen å reformere reglene for sikkerheten til nettverk og informasjonssystemer, i henhold til et direktiv om tiltak for høyt felles nivå av cybersikkerhet i hele Unionen (revidert NIS-direktiv eller "NIS 2"), for å øke nivået på nettmotstandsdyktighet i kritisk offentlig og privat sektor: sykehus, energinett, jernbane, men også datasentre, offentlige administrasjoner, forskningslaboratorier og produksjon av kritisk medisinsk utstyr og medisiner, samt annen kritisk infrastruktur og tjenester, må forbli ugjennomtrengelig , i et stadig raskere og mer komplekst trusselmiljø. Kommisjonen foreslår også å starte et nettverk av sikkerhetsoperasjonssentre over hele EU, drevet av kunstig intelligens (AI), som vil utgjøre et reelt '' cybersecurity shield '' for EU, som er i stand til å oppdage tegn på en cyberangrep tidlig nok og for å muliggjøre proaktiv handling før skader oppstår. Ytterligere tiltak vil omfatte dedikert støtte til små og mellomstore bedrifter (SMB), under Digital Innovation Hubs, samt økt innsats for å kvalifisere arbeidsstyrken, tiltrekke og beholde det beste talentet for cybersikkerhet og investere i forskning og innovasjon som er åpen, konkurransedyktig og basert på fortreffelighet.
2. Bygge operativ kapasitet for å forhindre, avskrekke og svare
Kommisjonen forbereder, gjennom en progressiv og inkluderende prosess med medlemsstatene, en ny felles cyberenhet for å styrke samarbeidet mellom EU-organer og medlemsmyndigheter som er ansvarlige for å forebygge, avskrekke og svare på cyberangrep, inkludert sivile, rettshåndhevelse, diplomatiske og cyberforsvarssamfunn. Den høye representanten legger fram forslag for å styrke EU Cyber ​​Diplomacy Toolbox for å forhindre, motvirke, avskrekke og reagere effektivt mot ondsinnede cyberaktiviteter, særlig de som påvirker vår kritiske infrastruktur, forsyningskjeder, demokratiske institusjoner og prosesser. EU vil også sikte på å styrke samarbeidet om cyberforsvar ytterligere og utvikle toppmoderne cyberforsvarskapasiteter, bygge videre på arbeidet til Det europeiske forsvarsbyrået og oppmuntre Mmmber-stater til å benytte seg av det permanente strukturerte samarbeidet og det europeiske forsvaret. Fond.
3. Fremme et globalt og åpent nettrom gjennom økt samarbeid
EU vil styrke arbeidet med internasjonale partnere for å styrke den regelbaserte globale ordenen, fremme internasjonal sikkerhet og stabilitet i cyberspace og beskytte menneskerettigheter og grunnleggende friheter online. Den vil fremme internasjonale normer og standarder som gjenspeiler disse EUs kjerneverdier, ved å samarbeide med sine internasjonale partnere i FN og andre relevante fora. EU vil styrke sin EU Cyber ​​Diplomacy Toolbox ytterligere, og øke cyberkapasitetsbyggingsarbeidet til tredjeland ved å utvikle en EU-dagsorden for utvikling av cyberkapasitet. Cyberdialoger med tredjestater, regionale og internasjonale organisasjoner så vel som multistakeholder-samfunnet vil bli intensivert.

EU vil også danne et EU Cyber ​​Diplomacy Network rundt om i verden for å fremme sin visjon om cyberspace. EU er forpliktet til å støtte den nye cybersecurity-strategien med et enestående investeringsnivå i EUs digitale overgang de neste sju årene gjennom det neste langsiktige EU-budsjettet, spesielt Digital Europe-programmet og Horizon Europe, samt Recovery Plan for Europa. Medlemsstatene oppfordres derfor til å benytte seg av EUs gjenopprettings- og motstandsdyktighetsfasilitet for å øke cybersikkerheten og matche investeringer på EU-nivå.

Målet er å nå opp til € 4.5 milliarder i kombinerte investeringer fra EU, medlemslandene og industrien, spesielt under Cybersecurity Competence Center og Network of Coordination Centers, og å sikre at en stor del kommer til SMB. Kommisjonen tar også sikte på å styrke EUs industrielle og teknologiske kapasitet innen cybersikkerhet, blant annet gjennom prosjekter støttet av EU og nasjonale budsjetter. EU har den unike muligheten til å samle eiendelene sine for å styrke sin strategiske autonomi og drive sitt lederskap innen cybersikkerhet på tvers av den digitale forsyningskjeden (inkludert data og sky, neste generasjons prosessorteknologier, ultra-sikker tilkobling og 6G-nettverk), i tråd med sine verdier og prioriteringer.

Cyber ​​og fysisk motstandsdyktighet i nettverk, informasjonssystemer og kritiske enheter Eksisterende tiltak på EU-nivå rettet mot å beskytte viktige tjenester og infrastrukturer mot både cyber- og fysisk risiko, må oppdateres. Cybersikkerhetsrisiko fortsetter å utvikle seg med økende digitalisering og samtrafikk. Fysiske risikoer har også blitt mer komplekse siden vedtakelsen av EU-reglene for 2008 om kritisk infrastruktur, som for tiden bare dekker energi og transportsektoren. Revisjonene tar sikte på å oppdatere reglene som følger logikken i EUs sikkerhetsunionstrategi, overvinne den falske dikotomien mellom online og offline og bryte ned silotilnærmingen.

Annonse

For å svare på de økende truslene på grunn av digitalisering og samtrafikk, vil det foreslåtte direktivet om tiltak for høyt felles nivå av cybersikkerhet i hele Unionen (revidert NIS-direktiv eller 'NIS 2') dekke mellomstore og store enheter fra flere sektorer basert på deres kritikk for økonomien og samfunnet. NIS 2 styrker sikkerhetskravene som pålegges selskapene, adresserer sikkerheten i forsyningskjeder og leverandørforhold, strømlinjeformer rapporteringsforpliktelsene, innfører strengere tilsynstiltak for nasjonale myndigheter, strengere håndhevingskrav og har som mål å harmonisere sanksjonsregimer på tvers av medlemsstatene. NIS 2-forslaget vil bidra til å øke informasjonsdeling og samarbeid om cyberkrishåndtering på nasjonalt nivå og EU-nivå. Det foreslåtte direktivet om motstandsdyktighet mot kritiske enheter (CER) utvider både omfanget og dybden av det europeiske direktivet om kritisk infrastruktur fra 2008. Ti sektorer er nå dekket: energi, transport, bankvirksomhet, finansmarkedsinfrastruktur, helse, drikkevann, spillvann, digital infrastruktur, offentlig administrasjon og rom. I henhold til direktivforslaget vil medlemslandene vedta en nasjonal strategi for å sikre motstandsdyktigheten til kritiske enheter og foreta regelmessige risikovurderinger. Disse vurderingene vil også bidra til å identifisere en mindre delmengde av kritiske enheter som vil være underlagt forpliktelser ment å øke deres motstandsdyktighet i møte med ikke-cyberrisiko, inkludert risikovurderinger fra enheter, vedtak av tekniske og organisatoriske tiltak og varsling av hendelser.

Kommisjonen vil på sin side yte supplerende støtte til medlemsland og kritiske enheter, for eksempel ved å utvikle en oversikt på unionsnivå av grenseoverskridende og sektorovergripende risiko, beste praksis, metoder, grenseoverskridende opplæringsaktiviteter og øvelser for å teste motstandskraften til kritiske enheter. Sikre neste generasjon nettverk: 5G og utover Under den nye cybersecurity-strategien, oppfordres medlemslandene, med støtte fra Kommisjonen og ENISA - European Cybersecurity Agency, til å fullføre implementeringen av EU 5G Toolbox, en omfattende og objektiv risiko -basert tilnærming for sikkerheten til 5G og fremtidige generasjoner av nettverk.

I følge en rapport som ble publisert i dag, om virkningen av kommisjonens anbefaling om cybersikkerhet i 5G-nettverk og fremdriften i implementeringen av EUs verktøykasse for avbøtende tiltak, siden fremdriftsrapporten fra juli 2020, er de fleste medlemsstater allerede godt i ferd med å gjennomføre de anbefalte tiltakene. De bør nå sikte på å fullføre implementeringen innen andre kvartal 2021 og sikre at identifiserte risikoer blir tilstrekkelig redusert, på en koordinert måte, spesielt med tanke på å minimere eksponeringen for høyrisiko-leverandører og unngå avhengighet av disse leverandørene. Kommisjonen beskriver også i dag sentrale mål og tiltak som tar sikte på å fortsette det koordinerte arbeidet på EU-nivå.

Et konserndirektør i Europa som passer for den digitale tidsalderen Margrethe Vestager sa: "Europa er forpliktet til den digitale transformasjonen av vårt samfunn og økonomi. Så vi trenger å støtte det med enestående investeringsnivåer. Den digitale transformasjonen akselererer, men kan bare lykkes hvis folk og bedrifter kan stole på at de tilkoblede produktene og tjenestene - som de stoler på - er sikre. "

Den høye representanten Josep Borrell sa: "Internasjonal sikkerhet og stabilitet avhenger mer enn noensinne av et globalt, åpent, stabilt og trygt cyberspace hvor lovstats, menneskerettigheter, friheter og demokrati respekteres. Med dagens strategi tar EU opp for å beskytte sine regjeringer, borgere og bedrifter fra globale cybertrusler, og å gi lederskap i cyberspace, og sørge for at alle kan høste fordelene av Internett og bruk av teknologier. "

Fremme av vår europeiske livsstil Visepresident Margaritis Schinas sa: "Cybersikkerhet er en sentral del av sikkerhetsunionen. Det skilles ikke lenger mellom online og offline trusler. Digital og fysisk er nå uløselig sammenflettet. Dagens sett med tiltak viser at EU er klar til å bruke alle sine ressurser og ekspertise til å forberede seg på og svare på fysiske og cybertrusler med samme besluttsomhet. "

Kommissær for det indre marked, Thierry Breton, sa: "Cybertrusler utvikler seg raskt, de blir stadig mer komplekse og tilpasningsdyktige. For å sikre at våre borgere og infrastrukturer er beskyttet, må vi tenke flere skritt fremover, Europas motstandsdyktige og autonome cybersecurity Shield vil bety at vi kan bruke vårt ekspertise og kunnskap for å oppdage og reagere raskere, begrense potensielle skader og øke vår motstandskraft. Å investere i cybersikkerhet betyr å investere i den sunne fremtiden til våre online miljøer og i vår strategiske autonomi. "

Innenriks kommissær Ylva Johansson sa: "Våre sykehus, avløpsvannsystemer eller transportinfrastruktur er bare like sterke som deres svakeste ledd; forstyrrelser i en del av Unionen risikerer å påvirke tilbudet av viktige tjenester andre steder. For å sikre at den interne funksjonen fungerer som den skal markedet og levebrødene til de som bor i Europa, må vår viktigste infrastruktur være motstandsdyktig mot risikoer som naturkatastrofer, terrorangrep, ulykker og pandemier som den vi opplever i dag. Mitt forslag om kritisk infrastruktur gjør nettopp det. "

Neste trinn

EU-kommisjonen og den høye representanten er forpliktet til å implementere den nye cybersecurity-strategien de neste månedene. De vil jevnlig rapportere om fremgangene og holde Europaparlamentet, EU-rådet og interessenter fullt informert og engasjert i alle relevante tiltak. Det er nå for Europaparlamentet og Rådet å undersøke og vedta det foreslåtte NIS 2-direktivet og direktivet om motstandsdyktighet over kritiske enheter. Når forslagene er enige og følgelig vedtatt, vil medlemslandene da måtte transponere dem innen 18 måneder etter at de trer i kraft.

Kommisjonen vil regelmessig gjennomgå NIS 2-direktivet og direktivet om motstandsdyktighet over kritiske enheter og rapportere om deres funksjon. Bakgrunn Cybersikkerhet er en av kommisjonens viktigste prioriteringer og en hjørnestein i det digitale og sammenhengende Europa. En økning av nettangrep under koronaviruskrisen har vist hvor viktig det er å beskytte sykehus, forskningssentre og annen infrastruktur. Det er behov for sterke tiltak i området for å framtidssikre EUs økonomi og samfunn. Den nye cybersikkerhetsstrategien foreslår å integrere cybersikkerhet i alle deler av forsyningskjeden og bringe EUs aktiviteter og ressurser videre sammen over de fire samfunnene av cybersikkerhet - indre marked, rettshåndhevelse, diplomati og forsvar.

Den bygger på EUs 'Shaping Europe's Digital Future og EUs sikkerhetsunionstrategi, og lener seg på en rekke lovgivningsakter, tiltak og initiativer EU har iverksatt for å styrke kapasiteten til cybersikkerhet og sikre et mer nettbestandig Europa. Dette inkluderer Cybersecurity-strategien fra 2013, gjennomgått i 2017, og kommisjonens europeiske agenda for sikkerhet 2015-2020. Den anerkjenner også den økende sammenhengen mellom intern og ekstern sikkerhet, særlig gjennom den felles utenriks- og sikkerhetspolitikken. Den første EU-brede loven om cybersikkerhet, NIS-direktivet, som trådte i kraft i 2016, bidro til å oppnå et felles høyt sikkerhetsnivå for nettverk og informasjonssystemer i hele EU. Som en del av sitt viktigste politiske mål om å gjøre Europa egnet for den digitale tidsalderen, kunngjorde kommisjonen revisjonen av NIS-direktivet i februar i år.

EUs cybersecurity Act som har vært i kraft siden 2019 utstyrte Europa med et rammeverk for cybersecurity-sertifisering av produkter, tjenester og prosesser og forsterket mandatet til EU Agency for Cybersecurity (ENISA). Når det gjelder cybersikkerhet i 5G-nettverk, har medlemsstatene, med støtte fra Kommisjonen og ENISA, etablert en omfattende og objektiv risikobasert tilnærming med EU 5G Toolbox vedtatt i januar 2020. Kommisjonens gjennomgang av sin anbefaling fra mars 2019 om cybersikkerhet til 5G-nettverk viste at de fleste medlemsland har gjort fremskritt i implementeringen av verktøykassen. Fra og med EUs cybersikkerhetsstrategi fra 2013 har EU utviklet en sammenhengende og helhetlig internasjonal cyberpolitikk.

I samarbeid med sine partnere på bilateralt, regionalt og internasjonalt nivå har EU fremmet et globalt, åpent, stabilt og sikkert cyberspace styrt av EUs kjerneverdier og forankret i rettsstaten. EU har støttet tredjestater i å øke deres cyberresiliens og evne til å takle nettkriminalitet, og har brukt sin EU-nettverksboks for cyberdiplomati for ytterligere å bidra til internasjonal sikkerhet og stabilitet i cyberspace, blant annet ved å søke for første gang sitt cybersanksjonsregime for 2017 og oppføring 2019 personer og 8 enheter og organer. EU har gjort betydelige fremskritt også på nettforsvarssamarbeid, inkludert når det gjelder kapasitet til cyberforsvar, særlig innenfor rammen av Cyber ​​Defense Policy Framework (CDPF), så vel som i sammenheng med det permanente strukturerte samarbeidet (PESCO) og arbeidet av det europeiske forsvarsbyrået. Cybersikkerhet er en prioritering som også gjenspeiles i EUs neste langsiktige budsjett (4-2021).

Under Digital Europe-programmet vil EU støtte cybersikkerhetsforskning, innovasjon og infrastruktur, cyberforsvar og EUs cybersikkerhetsindustri. I tillegg, i sitt svar på Coronavirus-krisen, som økte nettangrep under låsingen, sikres ytterligere investeringer i cybersikkerhet under Recovery Plan for Europe. EU har lenge erkjent behovet for å sikre motstandsdyktigheten til kritisk infrastruktur som tilbyr tjenester som er avgjørende for at det indre markedet skal kunne fungere greit og de europeiske borgernes liv og levebrød. Av denne grunn etablerte EU det europeiske programmet for beskyttelse av kritisk infrastruktur (EPCIP) i 2006 og vedtok European Critical Infrastructure (ECI) Directive i 2008, som gjelder energi- og transportsektoren. Disse tiltakene ble komplementert i senere år med ulike sektor- og sektorovergripende tiltak om spesifikke aspekter som klimasikring, sivil beskyttelse eller utenlandske direkteinvesteringer.

Del denne artikkelen: