Днес (16 декември) Комисията и върховният представител на Съюза по въпросите на външните работи и политиката на сигурност представят нова стратегия на ЕС за киберсигурност. Като ключов компонент на „Формиране на европейското цифрово бъдеще“, „План за възстановяване за Европа“ и стратегията на Съюза за сигурност на ЕС, стратегията ще укрепи колективната устойчивост на Европа срещу кибер заплахите и ще помогне да се гарантира, че всички граждани и бизнес могат да се възползват напълно от надеждни и надеждни услуги и цифрови инструменти. Независимо дали става въпрос за свързаните устройства, електрическата мрежа или банките, самолетите, публичните администрации и болниците, които европейците използват или често използват, те заслужават да го направят с уверението, че ще бъдат защитени от кибер заплахи.

Новата стратегия за киберсигурност също така позволява на ЕС да засили лидерството по отношение на международните норми и стандарти в киберпространството и да засили сътрудничеството с партньори по света за насърчаване на глобално, отворено, стабилно и сигурно киберпространство, основано на върховенството на закона, правата на човека , основни свободи и демократични ценности. Освен това Комисията прави предложения за справяне както с кибер, така и с физическа устойчивост на критични обекти и мрежи: директива относно мерките за високо общо ниво на киберсигурност в целия Съюз (ревизирана директива за НИС или „НИС 2“) и нова директива за устойчивост на критични обекти.

Те обхващат широк кръг от сектори и имат за цел да отговорят на настоящите и бъдещите онлайн и офлайн рискове, от кибератаки до престъпления или природни бедствия, по последователен и допълващ се начин. Доверието и сигурността в основата на цифровото десетилетие на ЕС Новата стратегия за киберсигурност има за цел да защити глобален и отворен Интернет, като същевременно предлага предпазни мерки не само за гарантиране на сигурността, но и за защита на европейските ценности и основните права на всеки.

Въз основа на постиженията от последните месеци и години, той съдържа конкретни предложения за регулаторни, инвестиционни и политически инициативи в три области на действие на ЕС: 1. Устойчивост, технологичен суверенитет и лидерство
Съгласно тази насока на действие Комисията предлага да се реформират правилата за сигурността на мрежовите и информационните системи съгласно Директива относно мерките за високо общо ниво на киберсигурност в целия Съюз (преработена Директива за НИС или „НИС 2“), за да се увеличи нивото на кибер устойчивост на критичния публичен и частен сектор: болници, енергийни мрежи, железопътни линии, но също така и центрове за данни, публични администрации, изследователски лаборатории и производство на критични медицински изделия и лекарства, както и друга критична инфраструктура и услуги, трябва да останат непропускливи , във все по-бързо движеща се и сложна среда на заплаха. Комисията също така предлага да се стартира мрежа от центрове за оперативна сигурност в ЕС, задвижвани от изкуствен интелект (AI), която ще представлява истински „щит за киберсигурност“ за ЕС, способна да открива признаци на кибератака достатъчно рано и да дава възможност за активна действие, преди да настъпи повреда. Допълнителните мерки ще включват специална подкрепа за малкия и среден бизнес (МСП) в рамките на центровете за цифрови иновации, както и увеличени усилия за повишаване на квалификацията на работната сила, привличане и задържане на най-добрите таланти за киберсигурност и инвестиране в отворени научни изследвания и иновации, конкурентни и базирани на върхови постижения.
2. Изграждане на оперативен капацитет за предотвратяване, възпиране и реагиране
Комисията подготвя чрез прогресивен и приобщаващ процес с държавите-членки ново Съвместно кибер звено за укрепване на сътрудничеството между органите на ЕС и органите на държавите-членки, отговорни за предотвратяването, възпирането и реагирането на кибератаките, включително граждански, правоприлагащи органи, дипломатически и киберзащитни общности. Върховният представител предлага предложения за укрепване на инструментариума на ЕС за кибердипломация, за да се предотвратят, обезсърчат, възпират и отговорят ефективно срещу злонамерени кибер дейности, особено тези, които засягат критичната ни инфраструктура, веригите за доставки, демократичните институции и процеси. ЕС ще се стреми също така да засили допълнително сътрудничеството в областта на кибернетичната отбрана и да развие модерни способности за кибер отбрана, като надгражда работата на Европейската агенция по отбрана и насърчава държавите-членки да използват пълноценно постоянното структурирано сътрудничество и Европейската отбрана Фонд.
3. Подобряване на глобалното и отворено киберпространство чрез засилено сътрудничество
ЕС ще засили работата с международни партньори за укрепване на глобалния ред, основан на правила, насърчаване на международната сигурност и стабилност в киберпространството и защита на правата на човека и основните свободи онлайн. Той ще подобри международните норми и стандарти, които отразяват тези основни ценности на ЕС, като работи с международните си партньори в ООН и други съответни форуми. ЕС допълнително ще укрепи своя набор от инструменти за кибердипломация на ЕС и ще увеличи усилията за изграждане на кибер капацитет на трети страни чрез разработване на Програма за външно изграждане на кибер капацитет на ЕС. Кибер диалозите с трети държави, регионални и международни организации, както и общността на много заинтересовани страни ще бъдат засилени.

ЕС също така ще формира мрежа на ЕС за кибердипломация по целия свят, за да популяризира своята визия за киберпространството. ЕС се ангажира да подкрепи новата стратегия за киберсигурност с безпрецедентно ниво на инвестиции в цифровия преход на ЕС през следващите седем години, през следващия дългосрочен бюджет на ЕС, по-специално Програмата за цифрова Европа и Хоризонт Европа, както и Възстановяването План за Европа. По този начин държавите-членки се насърчават да използват пълноценно Механизма за възстановяване и устойчивост на ЕС, за да засилят киберсигурността и да съответстват на инвестициите на ниво ЕС.

Целта е да се достигнат до 4.5 милиарда евро комбинирани инвестиции от ЕС, държавите-членки и индустрията, по-специално в рамките на Центъра за компетентност по киберсигурност и Мрежата на координационните центрове, и да се гарантира, че голяма част от тях ще достигнат до МСП. Комисията също така цели засилване на индустриалния и технологичния капацитет на ЕС в областта на киберсигурността, включително чрез проекти, подкрепяни съвместно от бюджетите на ЕС и националните бюджети. ЕС има уникалната възможност да обедини активите си, за да подобри стратегическата си автономия и да засили своето лидерство в киберсигурността по цялата дигитална верига на доставки (включително данни и облак, процесорни технологии от следващо поколение, ултрасигурна свързаност и 6G мрежи), в съответствие с неговите ценности и приоритети.

Кибер и физическа устойчивост на мрежата, информационните системи и критичните субекти Съществуващите мерки на ниво ЕС, насочени към защита на ключови услуги и инфраструктури от кибер и физически рискове, трябва да бъдат актуализирани. Рисковете за киберсигурност продължават да се развиват с нарастваща дигитализация и взаимосвързаност. Физическите рискове също са станали по-сложни след приемането на правилата на ЕС за критичната инфраструктура от 2008 г., които в момента покриват само енергийния и транспортния сектор. Ревизиите имат за цел да актуализират правилата, следвайки логиката на стратегията на Съюза за сигурност на ЕС, да преодолеят фалшивата дихотомия между онлайн и офлайн и да разбият силозния подход.

За да отговори на нарастващите заплахи, дължащи се на цифровизацията и взаимосвързаността, предложената директива относно мерките за високо общо ниво на киберсигурност в целия Съюз (ревизирана директива за НИС или „НИС 2“) ще обхване средни и големи предприятия от повече сектори въз основа на тяхната критичност за икономиката и обществото. NIS 2 засилва изискванията за сигурност, наложени на компаниите, адресира сигурността на веригите за доставки и взаимоотношенията с доставчиците, рационализира задълженията за докладване, въвежда по-строги надзорни мерки за националните органи, по-строги изисквания за прилагане и има за цел хармонизиране на санкционните режими в държавите-членки. Предложението за NIS 2 ще спомогне за увеличаване на обмена на информация и сътрудничеството в управлението на киберкризисите на национално ниво и на ниво ЕС. Предложената директива за устойчивост на критичните субекти (CER) разширява както обхвата, така и дълбочината на Европейската директива за критичната инфраструктура от 2008 г. Сега са обхванати десет сектора: енергетика, транспорт, банково дело, инфраструктура на финансовия пазар, здравеопазване, питейна вода, отпадъчни води, цифрова инфраструктура, публична администрация и космос. Съгласно предложената директива всяка държава-членка ще приеме национална стратегия за осигуряване на устойчивост на критични субекти и ще извършва редовни оценки на риска. Тези оценки също биха помогнали за идентифицирането на по-малка подгрупа от критични субекти, които биха били обект на задължения, предназначени да повишат тяхната устойчивост при некибернетични рискове, включително оценки на нивото на предприятието, предприемане на технически и организационни мерки и уведомяване за инциденти.

Комисията от своя страна ще предостави допълнителна подкрепа на държавите-членки и критичните субекти, например чрез разработване на общ преглед на трансграничните и междусекторните рискове, най-добрите практики, методологии, трансграничните дейности за обучение и упражнения за тестване устойчивостта на критичните обекти. Осигуряване на следващото поколение мрежи: 5G и по-нататък Съгласно новата Стратегия за киберсигурност, държавите-членки, с подкрепата на Комисията и ENISA - Европейската агенция за киберсигурност, се насърчават да завършат изпълнението на EU 5G Toolbox, цялостен и обективен риск базиран подход за сигурността на 5G и бъдещите поколения мрежи.

Според публикуван днес доклад за въздействието на Препоръката на Комисията относно киберсигурността на 5G мрежите и напредъка в прилагането на инструментариума на ЕС за смекчаващи мерки, тъй като от доклада за напредъка от юли 2020 г. повечето държави-членки вече са на път да изпълнят препоръчаните мерки. Сега те трябва да се стремят да завършат прилагането им до второто тримесечие на 2021 г. и да гарантират, че идентифицираните рискове са адекватно смекчени, координирано, особено с оглед минимизиране на излагането на високорискови доставчици и избягване на зависимост от тези доставчици. Днес Комисията също така излага ключови цели и действия, насочени към продължаване на координираната работа на равнище ЕС.

Изпълнителният вицепрезидент на „Европа, годна за цифровата епоха“ Маргрет Вестагер заяви: „Европа се ангажира с дигиталната трансформация на нашето общество и икономика. Затова трябва да я подкрепим с безпрецедентни нива на инвестиции. Цифровата трансформация се ускорява, но може само да успее ако хората и фирмите могат да се доверят, че свързаните продукти и услуги - на които разчитат - са сигурни. "

Върховният представител Жозеп Борел заяви: "Международната сигурност и стабилност зависят повече от всякога от глобално, отворено, стабилно и сигурно киберпространство, където се спазват върховенството на закона, правата на човека, свободите и демокрацията. С днешната стратегия ЕС засилва защитата си нейните правителства, граждани и бизнес от глобални кибер заплахи и да осигури лидерство в киберпространството, като гарантира, че всеки може да се възползва от предимствата на интернет и използването на технологии. "

Промотирайки нашия европейски начин на живот, вицепрезидентът Маргаритис Шинас заяви: "Киберсигурността е централна част от Съюза за сигурност. Вече няма разлика между онлайн и офлайн заплахите. Цифровите и физическите вече са неразривно преплетени. Днешният набор от мерки показва, че ЕС е готов да използва всичките си ресурси и опит, за да се подготви и да отговори на физически и кибер заплахи със същото ниво на решителност. "

Комисарят по вътрешния пазар Тиери Бретън каза: "Кибер заплахите се развиват бързо, те стават все по-сложни и приспособими. За да сме сигурни, че нашите граждани и инфраструктури са защитени, трябва да помислим няколко стъпки напред, устойчивият и автономен щит на Киберсигурност в Европа ще означава, че можем да използваме нашите експертиза и знания за по-бързо откриване и реагиране, ограничаване на потенциални щети и повишаване на нашата устойчивост. Инвестирането в киберсигурност означава инвестиране в здравословното бъдеще на нашата онлайн среда и в стратегическата ни автономия. "

Комисарят по вътрешните работи Илва Йохансон заяви: "Нашите болници, системи за отпадъчни води или транспортна инфраструктура са толкова силни, колкото най-слабите им връзки; прекъсванията в една част от Съюза рискуват да окажат влияние върху предоставянето на основни услуги другаде. За да се осигури гладкото функциониране на вътрешните пазара и поминъка на живеещите в Европа, нашата ключова инфраструктура трябва да бъде устойчива на рискове като природни бедствия, терористични атаки, аварии и пандемии като тази, която изпитваме днес. Моето предложение за критична инфраструктура прави точно това. "

Следващи стъпки

Европейската комисия и върховният представител се ангажират да прилагат новата стратегия за киберсигурност през следващите месеци. Те редовно ще докладват за постигнатия напредък и ще информират изцяло Европейския парламент, Съвета на Европейския съюз и заинтересованите страни във всички съответни действия. Сега Европейският парламент и Съветът трябва да разгледат и приемат предложената директива NIS 2 и директивата за устойчивост на критичните субекти. След като предложенията бъдат съгласувани и впоследствие приети, държавите-членки ще трябва да ги транспонират в рамките на 18 месеца от влизането им в сила.

Комисията периодично ще преглежда директивата NIS 2 и директивата за устойчивост на критичните субекти и ще докладва за тяхното функциониране. Предистория Киберсигурността е един от основните приоритети на Комисията и крайъгълен камък на цифровата и свързана Европа. Увеличението на кибератаките по време на коронавирусната криза показа колко е важно да се защитят болниците, изследователските центрове и друга инфраструктура. Необходими са силни действия в тази област, за да бъде доказана икономиката и обществото на ЕС в бъдеще. Новата стратегия за киберсигурност предлага да се интегрира киберсигурността във всеки елемент от веригата за доставки и да се обединят допълнително дейностите и ресурсите на ЕС в четирите общности на киберсигурността - вътрешен пазар, правоприлагане, дипломация и отбрана.

Той се основава на „Формирането на европейското цифрово бъдеще на ЕС“ и стратегията на Съюза за сигурност на ЕС и се опира на редица законодателни актове, действия и инициативи, прилагани от ЕС за укрепване на капацитета за киберсигурност и осигуряване на по-устойчива на кибер Европа. Това включва стратегията за киберсигурност от 2013 г., прегледана през 2017 г., и Европейската програма на Комисията за сигурност 2015-2020. Той също така признава нарастващата взаимовръзка между вътрешната и външната сигурност, по-специално чрез Общата външна политика и политика на сигурност. Първият общоевропейски закон за киберсигурността, Директивата за НИС, който влезе в сила през 2016 г., спомогна за постигане на общо високо ниво на сигурност на мрежовите и информационните системи в целия ЕС. Като част от основната си цел на политиката да направи Европа годна за цифровата ера, Комисията обяви преразглеждането на Директивата за мрежовите мрежи през февруари тази година.

Законът за киберсигурност на ЕС, който е в сила от 2019 г., снабди Европа с рамка за сертифициране на продукти, услуги и процеси за киберсигурност и засили мандата на Агенцията на ЕС за киберсигурност (ENISA). Що се отнася до киберсигурността на 5G мрежи, държавите-членки, с подкрепата на Комисията и ENISA, установиха, с EU 5G Toolbox, приет през януари 2020 г., цялостен и обективен подход, основан на риска. Прегледът на препоръката на Комисията от март 2019 г. относно киберсигурността на 5G мрежите установи, че повечето държави-членки са постигнали напредък в прилагането на инструментариума. Като се започне от стратегията на ЕС за киберсигурност от 2013 г., ЕС разработи последователна и цялостна международна киберполитика.

Работейки със своите партньори на двустранно, регионално и международно ниво, ЕС популяризира глобално, отворено, стабилно и сигурно киберпространство, ръководено от основните ценности на ЕС и основано на върховенството на закона. ЕС подкрепи трети държави в повишаването на тяхната кибер устойчивост и способността им да се справят с киберпрестъпността и използва своя набор от инструменти за кибердипломация на ЕС от 2017 г., за да допринесе допълнително за международната сигурност и стабилност в киберпространството, включително като за първи път прилага своя режим за кибер санкции от 2019 г. и изброявайки 8 лица и 4 образувания и органи. ЕС постигна значителен напредък и по отношение на сътрудничеството в областта на кибернетичната отбрана, включително по отношение на способностите за кибер отбрана, по-специално в рамките на своята рамка на политиката за киберзащита (CDPF), както и в контекста на постоянното структурирано сътрудничество (PESCO) и работата на Европейската агенция по отбрана. Киберсигурността е приоритет, отразен и в следващия дългосрочен бюджет на ЕС (2021-2027).

В рамките на програмата „Цифрова Европа“ ЕС ще подкрепя научните изследвания в областта на киберсигурността, иновациите и инфраструктурата, киберзащитата и индустрията на киберсигурността на ЕС. В допълнение, в отговора си на коронавирусната криза, при която се наблюдават увеличени кибератаки по време на блокирането, се осигуряват допълнителни инвестиции в киберсигурността по плана за възстановяване на Европа. ЕС отдавна е признал необходимостта да се гарантира устойчивостта на критичните инфраструктури, предоставящи услуги, които са от съществено значение за безпроблемното функциониране на вътрешния пазар и живота и поминъка на европейските граждани. Поради тази причина ЕС създаде Европейската програма за защита на критичната инфраструктура (EPCIP) през 2006 г. и прие Директивата за европейската критична инфраструктура (ECI) през 2008 г., която се прилага за енергийния и транспортния сектор. Тези мерки бяха допълнени през по-късните години от различни секторни и междусекторни мерки по специфични аспекти като устойчивост на климата, гражданска защита или преки чуждестранни инвестиции.

Днес (15 декември) Комисията предложи амбициозна реформа на цифровото пространство, изчерпателен набор от нови правила за всички цифрови услуги, включително социални медии, онлайн пазари и други онлайн платформи, които работят в Европейския съюз: цифровите услуги Закон и Закон за цифровите пазари.