Nova strategija za kibersigurnost Uniji omogućuje i da učvrsti svoje vodstvo u području međunarodnih normi i standarda u kiberprostoru te ojača suradnju s partnerima diljem svijeta u cilju promicanja globalnog, otvorenog, stabilnog i sigurnog kiberprostora koji se temelji na vladavini prava, ljudskim pravima, temeljnim slobodama i demokratskim vrijednostima.
Nadalje, Komisija iznosi prijedloge za rješavanje pitanja kiberotpornosti i fizičke otpornosti ključnih subjekata i mreža: Direktiva o mjerama za visoku zajedničku razinu kibersigurnosti u cijeloj Uniji (revidirana Direktiva NIS ili „NIS 2”) i nova Direktiva o otpornosti ključnih subjekata. Te direktive obuhvaćaju brojne sektore, a cilj im je usklađeno i komplementarno rješavanje postojećih i budućih rizika na internetu i izvan njega, od kibernapada do kriminala ili prirodnih katastrofa.
Povjerenje i sigurnost u središtu digitalnog desetljeća EU-a
Novom strategijom za kibersigurnost nastoji se zaštititi globalni i otvoreni internet te istodobno ponuditi zaštitne mjere kako bi se zajamčila sigurnost, ali i zaštitile europske vrijednosti i temeljna prava svih građana. Nadovezujući se na postignuća iz proteklih mjeseci i godina, ta strategija sadržava konkretne prijedloge za regulatorne, ulagačke i političke inicijative u trima područjima djelovanja EU-a:
1. Otpornost, tehnološka suverenost i vodstvo
U okviru tog područja djelovanja Komisija predlaže reformu pravilâ o sigurnosti mrežnih i informacijskih sustava na temelju Direktive o mjerama za visoku zajedničku razinu kibersigurnosti u cijeloj Uniji (revidirana Direktiva NIS ili „NIS 2”) kako bi se povećala razina kiberotpornosti ključnih javnih i privatnih sektora: bolnice, energetske mreže, željeznice, ali i podatkovni centri, javne uprave, istraživački laboratoriji i proizvodnja ključnih medicinskih proizvoda i lijekova te ostala ključna infrastruktura i usluge moraju ostati nepropusni u prijetećem okruženju koje se sve brže mijenja i sve je složenije.
Komisija također preporučuje izgradnju mreže centara za sigurnosne operacije diljem EU-a uz potporu umjetne inteligencije kao pravog EU-ovog „kibersigurnosnog štita”, koji će moći dovoljno rano uočiti naznake kibernapada i omogućiti proaktivno djelovanje prije nastanka štete. Dodatne mjere uključivat će namjensku potporu malim i srednjim poduzećima (MSP-ovi) u okviru digitalnoinovacijskih centara te povećane napore za usavršavanje radne snage, privlačenje i zadržavanje najnadarenijih kandidata u području kibersigurnosti te ulaganja u otvorena i konkurentna istraživanja i inovacije koji se temelje na izvrsnosti.
2. Izgradnja operativnih kapaciteta za sprečavanje, odvraćanje i odgovor
Komisija u okviru progresivnog i uključivog procesa s državama članicama priprema novu zajedničku jedinicu za kibersigurnost radi jačanja suradnje između tijela EU-a i tijela država članica odgovornih za sprečavanje kibernapada, odvraćanje od njih i odgovaranje na njih, uključujući civilne, diplomatske i kiberobrambene zajednice te zajednice za izvršavanje zakonodavstva Visoki predstavnik iznosi prijedloge za jačanje alata EU-a za kiberdiplomaciju kako bi se spriječile, obeshrabrile i odvratile zlonamjerne kiberaktivnosti te djelotvorno odgovorilo na njih, posebno one koje utječu na našu ključnu infrastrukturu, lance opskrbe, demokratske institucije i procese. Unija će također nastojati dodatno poboljšati suradnju u području kiberobrane i razviti najsuvremenije kapacitete za kiberobranu, nadovezujući se na rad Europske obrambene agencije i potičući države članice da u potpunosti iskoriste stalnu strukturiranu suradnju i Europski fond za obranu.
3. Unapređivanje globalnog i otvorenog kiberprostora povećanom suradnjom
Unija će pojačati suradnju s međunarodnim partnerima kako bi se osnažio uređeni globalni poredak, promicala međunarodna sigurnost i stabilnost u kiberprostoru te zaštitila ljudska prava i temeljne slobode na internetu. U suradnji s međunarodnim partnerima u Ujedinjenim narodima i ostalim relevantnim forumima unaprijedit će međunarodne norme i standarde koji odražavaju te temeljne Unijine vrijednosti. EU će dodatno ojačati svoje alate za kiberdiplomaciju i povećati napore u izgradnji kiberkapaciteta u trećim zemljama razvojem programa EU-a za izgradnju vanjskih kiberkapaciteta. Intenzivirat će se kiberdijalozi s trećim zemljama, regionalnim i međunarodnim organizacijama te širom zajednicom dionika. Kako bi promicao svoju viziju kiberprostora, EU će diljem svijeta uspostaviti i mrežu EU-a za kiberdiplomaciju.
EU u potpunosti podupire novu strategiju za kibersigurnost dosad nezabilježenom razinom ulaganja u digitalnu tranziciju EU-a sredstvima iz sljedećeg dugoročnog proračuna EU-a tijekom idućih sedam godina, prije svega u okviru programâ Digitalna Europa i Obzor Europa, ali i europskog plana oporavka. Stoga se države članice potiču da u potpunosti iskoriste Mehanizam EU-a za oporavak i otpornost kako bi ojačale kibersigurnost i izjednačile vlastita ulaganja s ulaganjima na razini EU-a. Cilj je ostvariti zajednička ulaganja EU-a, država članica i tog industrijskog sektora u iznosu od 4,5 milijardi eura, prije svega u okviru Centra za stručnost u području kibersigurnosti i Mreže koordinacijskih centara, te osigurati da velik dio sredstava dobiju MSP-ovi.
Komisija također nastoji ojačati industrijske i tehnološke kapacitete EU-a u području kibersigurnosti, među ostalim putem projekata koji se zajednički podupiru iz proračuna EU-a i nacionalnih proračuna. Unija ima jedinstvenu priliku udružiti svoje resurse kako bi povećala svoju stratešku autonomiju i svoj vodeći položaj u području kibersigurnosti proširila na cijeli digitalni lanac opskrbe (uključujući podatke i oblak, procesorske tehnologije sljedeće generacije, ultrasigurnu povezivost i mreže 6G), u skladu sa svojim vrijednostima i prioritetima.
Kiberotpornost i fizička otpornost mreža, informacijskih sustava i ključnih subjekata
Potrebno je ažurirati postojeće mjere na razini EU-a usmjerene na zaštitu ključnih usluga i infrastrukture od kiberprijetnji i fizičkih rizika. Kiberprijetnje se nastavljaju razvijati s obzirom na sve veću digitalizaciju i međusobnu povezanost. I fizički rizici postali su složeniji nakon donošenja pravila EU-a o kritičnoj infrastrukturi iz 2008., koja trenutačno obuhvaćaju samo energetski i prometni sektor. Cilj je revizija ažurirati ta pravila u skladu s logikom strategije EU-a za sigurnosnu uniju kako bi se prevladala lažna dihotomija između događaja na internetu i izvan njega te prekinuo izolacijski pristup.
U cilju odgovora na sve veće prijetnje zbog digitalizacije i međusobne povezanosti, predloženom Direktivom o mjerama za visoku zajedničku razinu kibersigurnosti u cijeloj Uniji (revidirana Direktiva NIS ili „NIS 2”) obuhvatit će se srednje i velike subjekte iz više sektora na temelju njihove ključne važnosti za gospodarstvo i društvo. Direktivom NIS 2 jačaju se sigurnosni zahtjevi koji se propisuju poduzećima, rješava pitanje sigurnosti lanaca opskrbe i odnosa s dobavljačima, pojednostavnjuju se obveze izvješćivanja, uvode strože nadzorne mjere za nacionalna tijela, stroži zahtjevi u pogledu provedbe te se nastoje uskladiti režimi sankcija u državama članicama. Prijedlog direktive NIS 2 pridonijet će povećanju razmjene informacija i suradnje u upravljanju kibernetičkim krizama na nacionalnoj razini i na razini EU-a.
Predloženom Direktivom o otpornosti ključnih subjekata proširuju se i područje primjene i dubina Direktive o europskoj kritičnoj infrastrukturi iz 2008. Trenutačno je obuhvaćeno deset sektora: energetika, promet, bankarstvo, infrastruktura financijskih tržišta, zdravstvo, pitka voda, otpadne vode, digitalna infrastruktura, javna uprava i svemir. Prema predloženoj direktivi, svaka država članica donijela bi svoju nacionalnu strategiju za osiguravanje otpornosti ključnih subjekata i provodila redovite procjene rizika. Te bi procjene pridonijele i utvrđivanju manjeg podskupa ključnih subjekata koji bi podlijegali obvezama usmjerenima na jačanje njihove otpornosti na nekibernetičke rizike, uključujući procjene rizika na razini subjekta, poduzimanje tehničkih i organizacijskih mjera te prijavljivanje incidenata. Komisija bi, pak, državama članicama i ključnim subjektima pružila dodatnu potporu, primjerice izradom pregleda na razini Unije u pogledu prekograničnih i međusektorskih rizika, najbolje prakse, metodologija, prekograničnih aktivnosti osposobljavanja i vježbi za ispitivanje otpornosti ključnih subjekata.
Osiguravanje sljedeće generacije mreža: 5G i više
U skladu s novom strategijom za kibersigurnost države članice potiču se da uz potporu Komisije i Europske agencije za kibersigurnost (ENISA) dovrše provedbu paketa instrumenata EU-a za 5G, sveobuhvatnog i objektivnog pristupa temeljenog na riziku za sigurnost 5G i budućih generacija mreža.
Prema danas objavljenom izvješću o učinku Preporuke Komisije o kibersigurnosti 5G mreža i napretku u provedbi paketa mjera EU-a za ublažavanje rizika ostvarenom od izvješća o napretku iz srpnja 2020., većina država članica dobro napreduje u provedbi preporučenih mjera. Tu bi provedbu trebalo dovršiti do drugog tromjesečja 2021. i osigurati da se utvrđeni rizici primjereno i koordinirano ublaže, posebno kako bi se izloženost visokorizičnim dobavljačima svela na najmanju moguću mjeru i izbjegla ovisnost o njima. Komisija će danas utvrditi i ključne ciljeve i mjere usmjerene na nastavak koordiniranog rada na razini Unije.
Izjave članova Kolegija
Izvršna potpredsjednica za Europu spremnu za digitalno doba Margrethe Vestager izjavila je: Europa je predana digitalnoj transformaciji našeg društva i gospodarstva. Stoga je trebamo poduprijeti dosad nezabilježenom razinom ulaganja. Digitalna se transformacija ubrzava, ali uspjet će samo ako građani i poduzeća steknu povjerenje u sigurnost povezanih proizvoda i usluga na koje se oslanjaju.
Visoki predstavnik Josep Borrell izjavio je: Međunarodna sigurnost i stabilnost više nego ikad ovise o globalnom, otvorenom, stabilnom i sigurnom kiberprostoru u kojem se poštuju vladavina prava, ljudska prava, slobode i demokracija. Današnjom strategijom EU pojačava napore kako bi svoje vlade, građane i poduzeća zaštitio od globalnih kiberprijetnji, osigurao vodeći položaj u kiberprostoru te zajamčio da svatko može iskoristiti prednosti interneta i upotrebe tehnologija.
Potpredsjednik za promicanje europskog načina života Margaritis Schinas izjavio je: Kibersigurnost je okosnica sigurnosne unije. Više nema razlike između prijetnji na internetu i izvan njega. Digitalni i fizički aspekti sada su neodvojivo povezani. Današnji skup mjera pokazuje da je EU spreman iskoristiti sve svoje resurse i stručnost kako bi se pripremio i s jednakom razinom odlučnosti odgovorio na fizičke prijetnje i kiberprijetnje.
Povjerenik za unutarnje tržište Thierry Breton izjavio je: Kiberprijetnje se brzo razvijaju i sve su složenije i prilagodljivije. Kako bismo osigurali zaštitu građana i infrastruktura, moramo razmišljati nekoliko koraka unaprijed. Otporan i autonoman europski kibersigurnosni štit omogućit će nam da iskoristimo svoju stručnost i znanje kako bismo otkrili opasnost i brže reagirali, ograničili potencijalne štete i povećali otpornost. Ulaganje u kibersigurnost znači ulaganje u zdravu budućnost naših internetskih okružja i u našu stratešku autonomiju.
Povjerenica za unutarnje poslove Ylva Johansson rekla je: Naše bolnice, sustavi za otpadne vode ili prometna infrastruktura snažni su koliko je snažna njihova najslabija karika; poremećaji u jednom dijelu Unije mogu utjecati na pružanje osnovnih usluga u drugom dijelu. Kako bi se osiguralo neometano funkcioniranje unutarnjeg tržišta i egzistencija europskih građana, naša ključna infrastruktura mora biti otporna na rizike kao što su prirodne katastrofe, teroristički napadi, nesreće i pandemije poput one kroz koju sada prolazimo. Moj prijedlog o ključnoj infrastrukturi upravo to obuhvaća.
Daljnji koraci
Europska komisija i visoki predstavnik odlučni su u namjeri da novu strategiju za kibersigurnost provedu tijekom sljedećih mjeseci. Redovito će izvješćivati o postignutom napretku, o svemu informirati Europski parlament, Vijeće Europske unije i dionike te će ih uključiti u sve relevantne mjere.
Europski parlament i Vijeće sada trebaju ispitati i donijeti predloženu Direktivu NIS 2 i Direktivu o otpornosti ključnih subjekata. Nakon što se prijedlozi dogovore i donesu, države članice morat će ih prenijeti u svoje zakonodavstvo u roku od 18 mjeseci od njihova stupanja na snagu.
Komisija će povremeno preispitivati Direktivu NIS 2 i Direktivu o otpornosti ključnih subjekata te izvješćivati o njihovu učinku.
Kontekst
Kibersigurnost je jedan od glavnih prioriteta Komisije i temelj digitalne i povezane Europe. Sve veći broj kibernapada tijekom krize uzrokovane koronavirusom pokazao je koliko je važno zaštititi bolnice, istraživačke centre i drugu infrastrukturu. U tom području treba odlučno djelovati kako bi gospodarstvo i društvo EU-a bili otporni na buduće promjene.
Novom strategijom za kibersigurnost predlaže se integracija kibersigurnosti u svaki element opskrbnog lanca i daljnje povezivanje aktivnosti i resursa EU-a u četirima zajednicama kibersigurnosti – unutarnjem tržištu, izvršavanju zakonodavstva, diplomaciji i obrani. Strategija se temelji na Komunikaciji Komisije „Izgradnja digitalne budućnosti Europe” i strategiji EU-a za sigurnosnu uniju te na mnogim zakonodavnim aktima, mjerama i inicijativama koje je EU proveo radi jačanja kapaciteta kibersigurnosti i otpornosti Europe na kiberprijetnje. To uključuje strategiju za kibersigurnost iz 2013., koja je revidirana 2017., i Komisijin Europski program sigurnosti za razdoblje 2015. – 2020. U strategiji se uzima u obzir i povezanost unutarnje i vanjske sigurnosti, posebno u okviru zajedničke vanjske i sigurnosne politike.
Direktiva NIS, koja je stupila na snagu 2016., bila je prvi zakonodavni akt o kibersigurnosti na razini EU-a te je pomogla u postizanju zajedničke visoke razine sigurnosti mrežnih i informacijskih sustava u cijeloj Uniji. Komisija je u okviru svojeg ključnog cilja politike da Europa bude „spremna za digitalno doba” najavila reviziju Direktive NIS u veljači ove godine. Aktom EU-a o kibersigurnosti, koji je na snazi od 2019., Europa je dobila okvir za kibersigurnosnu certifikaciju proizvoda, usluga i postupaka te je ojačan mandat Agencije EU-a za kibersigurnost (ENISA).
Kad je riječ o kibersigurnosti 5G mreža, države članice, uz potporu Komisije i ENISA-e, uspostavile su paketom instrumenata EU-a za 5G, donesenim u siječnju 2020., sveobuhvatan i objektivan pristup utemeljen na riziku. Komisija je preispitivanjem svoje Preporuke o kibersigurnosti 5G mreža iz ožujka 2019. utvrdila da je većina država članica ostvarila napredak u provedbi paketa instrumenata.
Počevši sa strategijom EU-a za kibersigurnost iz 2013., Unija je uspjela razviti usklađenu i sveobuhvatnu međunarodnu kiberpolitiku te u suradnji sa svojim partnerima na bilateralnoj, regionalnoj i međunarodnoj razini promiče globalni, otvoren, stabilan i siguran kiberprostor utemeljen na osnovnim vrijednostima EU-a i vladavini prava. EU podupire i treće zemlje u povećanju njihove otpornosti na kiberprijetnje i sposobnosti za borbu protiv kiberkriminaliteta te upotrebljava svoje alate za kiberdiplomaciju iz 2017. kako bi dodatno pridonio međunarodnoj sigurnosti i stabilnosti u kiberprostoru, među ostalim tako što je prvi put primijenio svoj režim kibersankcija iz 2019. te uvrstio na odgovarajući popis osam pojedinaca i četiri subjekta i tijela. EU je ostvario znatan napredak i u suradnji u području kiberobrane i njezinih kapaciteta, posebno putem svojeg okvira za politiku kiberobrane (CDPF), te u kontekstu stalne strukturirane suradnje (PESCO) i rada Europske obrambene agencije.
Kibersigurnost kao prioritet uzeta je u obzir i u sljedećem dugoročnom proračunu EU-a (2021. – 2027.). U okviru programa Digitalna Europa EU će podupirati istraživanje, inovacije i infrastrukturu u području kibersigurnosti te kiberobranu i industriju kibersigurnosti EU-a. Osim toga, kao odgovor na krizu uzrokovanu koronavirusom, u kojoj je za vrijeme mjera ograničenja kretanja došlo do povećanih kibernapada, u okviru europskog plana oporavka osigurana su dodatna sredstva za ulaganja u kibersigurnost.
EU je već dugo svjestan potrebe za osiguravanjem otpornosti ključnih infrastruktura koje pružaju iznimno važne usluge za neometano funkcioniranje unutarnjeg tržišta te živote i egzistenciju europskih građana. Zbog toga je EU 2006. uspostavio Europski program za zaštitu kritične infrastrukture (EPCIP), a 2008. donio Direktivu o europskoj kritičnoj infrastrukturi (ECI), koja se primjenjuje na energetski i prometni sektor. Te su mjere poslije dopunjene raznim sektorskim i međusektorskim mjerama o posebnim aspektima kao što su prilagodba klimatskim promjenama, civilna zaštita ili izravna strana ulaganja.
Više informacija
Informativni članak o novoj strategiji EU-a za kibersigurnost
Informativni članak o Prijedlogu direktive o mjerama za visoku zajedničku razinu kibersigurnosti u cijeloj Uniji (revidirana Direktiva NIS)
Informativni članak o kibersigurnosti: vanjsko djelovanje EU-a
Pitanja i odgovori: Nova strategija EU-a za kibersigurnost i nova pravila za povećanje otpornosti fizičkih i digitalnih ključnih subjekata
Prijedlog direktive o mjerama za visoku zajedničku razinu kibersigurnosti u cijeloj Uniji (revidirana Direktiva NIS ili „NIS 2”)
Prijedlog direktive o otpornosti ključnih subjekata (vidjeti i Prilog 1. Prijedlogu te procjenu učinka i njezin sažetak)
Rezultati otvorenih savjetovanja o Direktivi NIS
Procjena učinka revidirane Direktive NIS („NIS 2”)
Pojedinosti
- Datum objave
- 16. prosinca 2020.
- Autor
- Predstavništvo u Hrvatskoj