Comisia Europeană a prezentat miercuri o nouă strategie de securitate cibernetică a UE care ar urma să consacre Uniunea drept ”lider în materie de norme și standarde internaționale în spațiul cibernetic”.
Comisia afirmă că această strategie este o componentă-cheie a conturării viitorului digital al Europei, a planului de redresare pentru Europa.
În plus, Comisia a prezentat propuneri referitoare la reziliența cibernetică și fizică a entităților și a rețelelor critice: o Directivă privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune (Directiva NIS revizuită sau „NIS 2”) și o nouă Directivă privind reziliența entităților critice.
Încrederea și securitatea – elementele centrale ale Deceniului digital al UE
Indiferent de dispozitivele conectate, rețeaua energetică sau băncile, avioanele, administrațiile publice și spitalele pe care europenii le utilizează sau le frecventează, aceștia merită să o facă în deplină siguranță că vor fi protejați de amenințările cibernetice. Acesta este principiul pe care se bazează oficial noua strategie de securitate cibernetocă a UE.
Propunerile lansate miercuri acoperă o gamă largă de sectoare și vizează abordarea, într-un mod coerent și complementar, a riscurilor actuale și viitoare din mediul online și offline, de la atacuri cibernetice la criminalitate sau dezastre naturale.
Noua strategie de securitate cibernetică urmărește să asigure ”un internet mondial și deschis” și prevede totodată ”garanții menite nu numai să asigure securitatea, ci și să protejeze valorile europene și drepturile fundamentale ale tuturor”.
Reziliență, suveranitate tehnologică și poziția de lider
În cadrul acestei componente, Comisia propune reformarea normelor privind securitatea rețelelor și a sistemelor informatice în cadrul unei Directive privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune (Directiva NIS revizuită sau „NIS 2”), cu scopul de a întări reziliența cibernetică a sectoarelor publice și private critice: spitalele, rețelele energetice, căile ferate, dar și centrele de date, administrațiile publice, laboratoarele de cercetare și centrele care fabrică dispozitive medicale și medicamente critice, precum și alte infrastructuri și servicii critice trebuie să rămână impermeabile într-un mediu în care amenințările sunt din ce în ce mai complexe și evoluează rapid.
Comisia propune, de asemenea, lansarea la nivelul întregii UE a unei rețele de centre de operațiuni de securitate, bazată pe inteligența artificială (IA), care să constituie un adevărat „scut de securitate cibernetică” pentru UE, capabil să detecteze semnele unui atac cibernetic suficient de devreme și să permită luarea de acțiuni proactive înainte de producerea unor daune.
Alte măsuri vizează acordarea unui sprijin specific întreprinderilor mici și mijlocii (IMM-uri) în cadrul centrelor de inovare digitală, depunerea unor eforturi sporite de perfecționare a competențelor forței de muncă, de atragere și de menținere a persoanelor celor mai talentate în materie de securitate cibernetică, precum și realizarea de investiții în cercetare și inovare deschise, competitive și bazate pe excelență.
Consolidarea capacității operaționale de prevenire, descurajare și răspuns
Comisia pregătește, printr-un proces progresiv și incluziv cu statele membre, crearea unei noi unități comune de securitate cibernetică; aceasta va consolida cooperarea dintre organismele UE și autoritățile statelor membre responsabile de prevenirea și descurajarea atacurilor cibernetice și de răspunsul la acestea, inclusiv comunitatea civilă, autoritățile de aplicare a legii, mediul diplomatic și entitățile de apărare cibernetică.
UE asigură că va depune eforturi pentru a consolida în continuare cooperarea în domeniul apărării cibernetice și a dezvolta capabilități de apărare cibernetică de ultimă generație; pentru aceasta, Uniunea se va baza pe activitatea Agenției Europene de Apărare și va încuraja statele membre să utilizeze pe deplin cooperarea structurată permanentă și Fondul european de apărare.
Spațiu cibernetic mondial și deschis
UE anunță că își va intensifica colaborarea cu partenerii internaționali pentru a consolida ordinea internațională bazată pe norme, pentru a promova securitatea și stabilitatea internațională în spațiul cibernetic și pentru a proteja drepturile omului și libertățile fundamentale online.
Un alt obiectiv este acela de a promova normele și standardele internaționale care reflectă aceste valori fundamentale ale UE, în colaborare cu partenerii săi internaționali în cadrul Organizației Națiunilor Unite și al altor foruri relevante. UE își va îmbunătăți în continuare setul de instrumente privind diplomația cibernetică și își va intensifica eforturile pentru a consolida capacitățile cibernetice în țările terțe prin elaborarea unei agende a UE privind consolidarea capacităților cibernetice externe.
Dialogurile cibernetice cu țările terțe, cu organizațiile regionale și internaționale, precum și cu comunitatea multiparticipativă vor fi intensificate. UE va înființa, de asemenea, o rețea a UE de diplomație cibernetică în întreaga lume, pentru a-și promova viziunea privind spațiul cibernetic.
Obiectiv: investiții combinate de 4,5 miliarde euro
Statele membre sunt așadar încurajate să utilizeze pe deplin mecanismul UE de redresare și reziliență pentru a spori securitatea cibernetică și pentru a reflecta nivelul investițiilor UE.
Obiectivul este de a se ajunge la investiții combinate în valoare de până la 4,5 miliarde euro din partea UE, a statelor membre și a sectorului, în special în cadrul Centrului de competențe în materie de securitate cibernetică și al Rețelei de centre de coordonare, și de a se asigura că IMM-urile beneficiază de o mare parte a acestor investiții.
Comisia urmărește, de asemenea, să consolideze capacitățile industriale și tehnologice ale UE în materie de securitate cibernetică, inclusiv prin proiecte sprijinite în comun cu fonduri din bugetul UE și din bugetele naționale.
UE are ocazia unică de a-și pune în comun resursele pentru a-și consolida autonomia strategică și poziția de lider în materie de securitate cibernetică de-a lungul lanțului de aprovizionare digital (inclusiv date și cloud, tehnologii pe bază de procesoare de nouă generație, conectivitate extrem de sigură și rețele 6G), în conformitate cu valorile și prioritățile sale.
Reziliență cibernetică și fizică
Măsurile existente la nivelul UE menite să protejeze serviciile și infrastructurile esențiale împotriva riscurilor cibernetice și fizice trebuie actualizate. Riscurile în materie de securitate cibernetică continuă să evolueze odată cu creșterea nivelului de digitalizare și interconectare. Riscurile fizice au devenit, de asemenea, mai complexe de la adoptarea normelor UE din 2008 privind infrastructura critică, norme care acoperă în prezent doar sectoarele energiei și transporturilor.
Revizuirile vizează actualizarea normelor pentru a urma logica strategiei UE privind uniunea securității, depășirea falsei dihotomii între mediul online și mediul offline și eliminarea abordării compartimentate.
Pentru a răspunde amenințărilor tot mai mari generate de digitalizare și interconectare, propunerea de Directivă privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune (Directiva NIS revizuită sau „NIS 2”) va include în domeniul său de aplicare entitățile mijlocii și mari din mai multe sectoare, în funcție de caracterul lor critic pentru economie și societate.
NIS 2 consolidează cerințele de securitate impuse întreprinderilor, abordează securitatea lanțurilor de aprovizionare și relațiile cu furnizorii, simplifică obligațiile de raportare, introduce măsuri de supraveghere mai stricte pentru autoritățile naționale și cerințe mai stricte de asigurare a respectării legii, urmărind totodată armonizarea regimurilor de sancțiuni în toate statele membre. Propunerea NIS 2 va contribui la intensificarea schimbului de informații și a cooperării privind gestionarea crizelor cibernetice la nivel național și la nivelul UE.
Propunerea de Directivă privind reziliența entităților critice extinde și aprofundează Directiva din 2008 privind infrastructurile critice europene.
În prezent sunt vizate zece sectoare:
- energia
- transporturile
- activitatea bancară
- infrastructurile pieței financiare
- sănătatea
- apa potabilă
- apa reziduală
- infrastructura digitală
- administrația publică
- spațiul
În temeiul directivei propuse, fiecare stat membru ar urma să adopte o strategie națională pentru a asigura reziliența entităților critice și ar efectua evaluări periodice ale riscurilor. Aceste evaluări ar contribui, de asemenea, la identificarea unui subset mai mic de entități critice care ar fi supuse unor obligații menite să le consolideze reziliența în fața riscurilor non-cibernetice; printre obligații se numără evaluarea riscurilor la nivel de entitate, luarea de măsuri tehnice și organizatorice și notificarea incidentelor.
La rândul său, Comisia ar urma să ofere sprijin complementar statelor membre și entităților critice, de exemplu elaborând o imagine de ansamblu la nivelul Uniunii a riscurilor transfrontaliere și transsectoriale, precum și bune practici, metodologii, activități de formare transfrontalieră și exerciții pentru testarea rezilienței entităților critice.
Tehnologie 5G și tehnologii viitoare
În cadrul noii strategii de securitate cibernetică, statele membre, cu sprijinul Comisiei și al ENISA (Agenția Uniunii Europene pentru Securitate Cibernetică), sunt încurajate să finalizeze implementarea setului de instrumente al UE în materie de 5G, care oferă o abordare cuprinzătoare și obiectivă bazată pe riscuri pentru securitatea rețelelor 5G și a generațiilor viitoare de rețele.
Potrivit unui raport publicat miercuri referitor la impactul Recomandării Comisiei privind securitatea cibernetică a rețelelor 5G, majoritatea statelor membre se află deja pe calea cea bună în ceea ce privește implementarea măsurilor recomandate.
Acestea ar trebui acum să vizeze finalizarea implementării până în al doilea trimestru al anului 2021 și să se asigure că riscurile identificate sunt atenuate în mod corespunzător, în mod coordonat, în special în vederea reducerii la minimum a expunerii la furnizorii cu grad ridicat de risc și a evitării dependenței de acești furnizori.
Ce urmează
Comisia Europeană și Înaltul Reprezentant s-au angajat să implementeze noua strategie de securitate cibernetică în lunile următoare. Aceștia vor prezenta periodic rapoarte privind progresele înregistrate și vor asigura informarea deplină a Parlamentului European, a Consiliului Uniunii Europene și a părților interesate, precum și implicarea acestora în toate acțiunile relevante.
În prezent, este de competența Parlamentului European și a Consiliului să examineze și să adopte propunerea de Directivă NIS 2 și Directiva privind reziliența entităților critice. Odată ce propunerile vor fi aprobate și adoptate în consecință, statele membre vor trebui să le transpună în termen de 18 luni de la intrarea lor în vigoare.
Comisia va revizui periodic Directiva NIS 2 și Directiva privind reziliența entităților critice și va raporta cu privire la funcționarea acestora.