EU-landene kan ikke vente etter Brussel når det gjelder styrking av cyberoffensive evner

Europeisk cyberforsvar er svakt og sårbart. I denne tiden med geopolitiske spenninger er kontinentets datasystemer utelukkende for hackere og fiendtlige nasjoner. Vi må beskytte oss selv bedre, skriver Antonia-Laura Pup.

Selv om blokken gjorde fremskritt med å styrke noe av infrastrukturen for cyberforsvar, blant annet gjennom den nylige Lov om cyberresiliensEU fortsetter å henge etter Russland, Kina og USA når det gjelder å utvikle robuste offensive cyberkapasiteter. Dette er et enkelt problem å løse. Det betyr bare å løsne reglene slik at EUs medlemsland kan samarbeide lettere. Europa trenger interoperabilitet og flere fellesøvelser mellom land som allerede har denne kapasiteten og har en felles trusselvurdering.

Cyberkonfliktens natur gjør skillet mellom fredstid og krigstid overflødig. Statlige aktører med ugjennomsiktige strategiske agendaer som Russland og Kina, så vel som ikke-statlige aktører som kriminelle grupper og hacktivister, kan utfordre kritisk infrastruktur, samle verdifull etterretning og iverksette forstyrrende angrep samtidig som de holder seg under terskelen for væpnet konflikt. Det betyr at Europa må vurdere sin respons nøye.

Før presidentvalget i 2024, 85,000 XNUMX cyberangrep traff Romanias valgsystemer. Dette fikk det rumenske etterretningsmiljøet til å offentlig bekrefte Nasjonale valgnettsteder ble publisert på russiske nettkriminalitetsplattformer timer før innbyggerne gikk til valgurnene. I 2024 koblet kinesiske hackere seg til det nasjonale etterretningsbyrået MSS målrettet anti-Kina europeiske lovgivere gjennom cyberangrep å samle inn sensitive data.

I gråsonen av cyberdomenet er den defensive og passive holdningen EU har inntatt utilstrekkelig. Uten robuste cyberkapasiteter kan ikke EU true med gjengjeldelse, som er en essensiell del av avskrekking og et nøkkelelement for blokkens troverdighet i sitt forsøk på å bli mer relevant militært.

Europakommisjonen anerkjente dette hastverket i sin Hvitbok for europeisk forsvar, publisert i mars 2025, som tilførte EUs cyberdomene sårt tiltrengt pragmatisme. «Både defensive og offensive cyberkapasiteter er nødvendige for å sikre beskyttelse og manøvreringsfrihet i cyberrommet», het det.

Europeisk sikkerhet kan imidlertid ikke vente på utviklingen av nye støtteordninger eller felles cyberoffensiv kapasitet på tvers av blokken. Problemstillingen er mer grunnleggende. Det mangler til og med en felles forståelse av hva som utgjør en cyberrisiko. For Ungarn, som har utviklet en betydelig partnerskap for digital transformasjon med Huawei, er det mye mindre sannsynlig at deres politiske ledere vil være enige om at Kina er en cyberrisiko.

På samme måte har den slovakiske regjeringen, ledet av Russland-sympatisøren Fico, kan vise seg å være et hinder for EUs forsøk på å gjennomføre offensive operasjoner mot Moskva. Disse to landene alene kunne lett nedlegge veto mot et initiativ for å utvikle en felles cyberoffensiv kapasitet som en del av Den europeiske felles sikkerhets- og forsvarspolitikken, som trenger enstemmighet for sine politiske beslutninger. Uten et felles perspektiv på hva en sikkerhetstrussel er, ville forsøk på EU-omfattende innsats for felles offensive kapasiteter innen cyber bli et tomt prosjekt før det i det hele tatt har startet.

Det er ingen tid å kaste bort på denne politikken. Medlemslandene bør ikke vente på en EU-omfattende felles offensiv kapasitet innen cyber. De bør starte nå, gjennom flere frivillige fellesøvelser blant europeiske allierte og mer interoperabilitet, inkludert EU-kandidatland med erfaring i å gjennomføre offensive cyberoperasjoner, som Ukraina.

For eksempel kunne de se på PESCO (Permanent strukturert samarbeid). Dette rammeverket, som ble etablert i desember 2017 på EU-nivå, er et rammeverk som lar EU-medlemmer som er villige og i stand til det, samarbeide tettere innen sikkerhet og forsvar, uten at det kreves enstemmig samtykke fra andre medlemsstater. Som en frivillig plattform lar det medlemslandene utvikle felles forsvarskapasiteter, investere i felles prosjekter og forbedre den operative beredskapen ved å samarbeide tettere.

Cyberinitiativer er allerede i gang under PESCO. Cyber-hurtigresponsteam (CRRT) ble det første slike prosjektet som nådde full operativ kapasitet i mai 2021. Dette prosjektet samler 8–12 cybersikkerhetseksperter fra de seks deltakende EU-landene (Kroatia, Estland, Litauen, Nederland, Polen og Romania) for å yte bistand i tilfelle cyberhendelser rundt EU-medlemmer, institusjoner og partnerland. EU-kandidatland med erfaring i bekjempelse av cyberoperasjoner kan også bli med i og utvide dette PESCO-prosjektet. Denne bredere alliansen kan deretter utvide fokuset sitt til å omfatte felles offensive cyberøvelser.

PESCO er moden for utvidelse. Medlemslandene bør vurdere å utvide det ved å la EUs søkerland delta i fellesskap, men også ved å utvide omfanget av cyberfokuset til å omfatte offensive kapasiteter og felles cyberoffensive øvelser.

Interoperabilitet må også prioriteres. I dette tilfellet, Informasjonsdelings- og analysesentre (ISAC) har som mål å fremme samarbeid mellom nettsikkerhetsmiljøer i ulike økonomiske sektorer. Utvikling av ISAC-er for cyberoffensive kapabiliteter vil muliggjøre konsultasjoner med flere interessenter og identifisering av støtten bedriftene trenger, blant annet ved å redusere byråkratiet for oppstartsbedrifter som kanskje ønsker å være involvert i utviklingen av offensive cyberkapabiliteter for EU.

EU må styrke sine cyberoffensive evner på en mer smidig måte, gjennom flere felles øvelser, mer interoperabilitet gjennom informasjonsdeling og mindre byråkrati for økonomiske aktører som ønsker å ta på seg denne innsatsen. Å vente på politisk enighet og felles modenhet på blokknivå er imidlertid kontraproduktivt og ville føre til at EU enda lenger henger etter statlige aktører som allerede bruker cyberoffensiven med stor dyktighet. Med pragmatisme må EU gå lenger i å utvikle sin offensive cyberkapasitet, om enn bare ved å samle de som allerede er klare til å gå.

Antonia-Laura Pup er policyforsker ved Young Voices Europe. Hun er Fulbright-student i sikkerhetsstudier ved Georgetown University, hvor hun forsker på Kinas innflytelse i Svartehavsregionen. Hun er opprinnelig fra Romania, og har tidligere vært rådgiver for lederen av forsvarskomiteen i det rumenske parlamentet. Hun har også tidligere jobbet i OECD og Europaparlamentet.

Del denne artikkelen: