Kontakt med oss

Virksomhet

EU-organer må øke beredskapen sin for cybersikkerhet

DELE:

Publisert

2 år siden

on

Vi bruker registreringen din for å levere innhold på måter du har samtykket i og for å forbedre vår forståelse av deg. Du kan når som helst melde deg av.

Antall nettangrep mot EU-organer øker kraftig. Nivået
av cybersikkerhetsberedskapen i EU-organer varierer og er det generelt sett ikke
i forhold til de økende truslene. Siden EU-organer er sterkt
sammenkoblet, kan en svakhet hos en utsette andre for sikkerhetstrusler.
Dette er konklusjonen i en spesialrapport fra EU-domstolen
Revisorer som undersøker hvor forberedt EUs styringsenheter er
mot cybertrusler. Revisorene anbefaler at forpliktende cybersikkerhet
regler bør innføres, og mengden ressurser som er tilgjengelig for
Computer Emergency Response Team (CERT-EU) bør økes. De
EU-kommisjonen bør også fremme ytterligere samarbeid mellom EU
organer, sier revisorene, mens CERT-EU og European Union Agency for
Cybersikkerhet bør øke fokuset på de EU-organene som har mindre
erfaring med å administrere cybersikkerhet.*

Betydelige cybersikkerhetshendelser i EU-organer økte mer enn
tidoblet mellom 2018 og 2021; fjernarbeid har økt betraktelig
antall potensielle tilgangspunkter for angripere. Vesentlige hendelser
er vanligvis forårsaket av komplekse nettangrep som vanligvis involverer bruk
av nye metoder og teknologier, og det kan ta uker om ikke måneder før
undersøke og komme seg fra. Et eksempel var nettangrepet på
European Medicines Agency, hvor sensitive data ble lekket og manipulert
å undergrave tilliten til vaksiner.

"*EU-institusjoner, -organer og -byråer er attraktive mål for potensial
angripere, spesielt grupper som er i stand til å henrette svært sofistikerte
stealth-angrep for nettspionasje og andre ondsinnede formål*», sa
Bettina Jakobsen, ECA-medlemmet som ledet tilsynet. “*Slike angrep kan ha
betydelige politiske implikasjoner, skader det generelle omdømmet til EU,
og undergrave tilliten til dets institusjoner. EU må øke innsatsen for å
beskytte sine egne organisasjoner.*»

Hovedfunnet til revisorene var at EU-institusjoner, -organer og
byråer er ikke alltid godt beskyttet mot cybertrusler. Det gjør de ikke
tilnærming cybersikkerhet konsekvent, viktige kontroller og nøkkel
god praksis for cybersikkerhet er ikke alltid på plass, og cybersikkerhet
opplæring gis ikke systematisk. Tildelingen av ressurser til
cybersikkerhet varierer mye, og en rekke EU-organer bruker penger
betydelig mindre enn sammenlignbare jevnaldrende. Selv om forskjeller i
cybersikkerhetsnivåer kan teoretisk rettferdiggjøres av de forskjellige risikoene
profiler for hver organisasjon og de varierende følsomhetsnivåene til
data de håndterer, understreker revisorene at cybersikkerhetssvakheter i en
enkelt EU-organ kan utsette flere andre organisasjoner for cybersikkerhet
trusler (EU-organer er alle knyttet til hverandre, og ofte til offentlige og
private organisasjoner i medlemslandene).

Computer Emergency Response Team (CERT-EU) og EU
Agency for Cybersecurity (ENISA) er EUs to hovedenheter som har i oppgave
gi støtte til cybersikkerhet. Det har de imidlertid ikke klart
gi EU-organer all den støtten de trenger, på grunn av ressursene
begrensninger eller prioritet til andre områder. Informasjonsdeling er
også en mangel, sier revisorene: for eksempel er det ikke alle EU-organer som bærer
ut rettidig rapportering om sårbarheter og betydelig cybersikkerhet
hendelser som har påvirket dem og kan påvirke andre.

Foreløpig er det ingen juridisk ramme for informasjonssikkerhet og
cybersikkerhet i EU-institusjoner, -byråer og -organer. De er ikke underlagt
til den bredeste EU-lovgivningen om cybersikkerhet, NIS-direktivet fra 2016, eller
til den foreslåtte revisjonen, NIS2-direktivet. Det er også nei
omfattende informasjon om beløp brukt av EU-organer på
cybersikkerhet. De felles reglene om informasjonssikkerhet og på
cybersikkerhet for alle EU-organer er inkludert i kommunikasjonen om EU
Sikkerhetsunionsstrategi for perioden 2020-2025, utgitt av
Kommisjonen i juli 2020. I EUs Cybersecurity Strategy for the Digital
Tiår, publisert i desember 2020, forpliktet kommisjonen seg til å foreslå en
forskrift om felles cybersikkerhetsregler for alle EU-organer. Det også
foreslått etablering av et nytt rettslig grunnlag for CERT-EU for å forsterke
dets mandat og finansiering.

e>

Annonse

Del denne artikkelen:

Relaterte temaer:
EU Reporter publiserer artikler fra en rekke eksterne kilder som uttrykker et bredt spekter av synspunkter. Standpunktene i disse artiklene er ikke nødvendigvis EU Reporters.
Annonse

Trender