Noua strategie de securitate cibernetică a UE și noi norme menite să sporească reziliența entităților fizice și digitale critice
Astăzi, 16 decembrie, Comisia și Înaltul Reprezentant al Uniunii pentru afaceri externe și politica de securitate prezintă o nouă strategie de securitate cibernetică a UE. Strategia este o componentă-cheie a conturării viitorului digital al Europei, a planului de redresare pentru Europa și a Strategiei UE privind o uniune a securității; în această calitate, strategia va consolida reziliența colectivă a Europei la amenințările cibernetice și va contribui la asigurarea faptului că toți cetățenii și toate întreprinderile pot beneficia pe deplin de servicii și instrumente digitale de încredere și fiabile. Indiferent de dispozitivele conectate, rețeaua energetică sau băncile, avioanele, administrațiile publice și spitalele pe care europenii le utilizează sau le frecventează, aceștia merită să o facă în deplină siguranță că vor fi protejați de amenințările cibernetice.
Noua strategie de securitate cibernetică îi permite, de asemenea, Uniunii Europene să se afirme ca lider în materie de norme și standarde internaționale în spațiul cibernetic și să consolideze cooperarea cu partenerii din întreaga lume pentru a promova un spațiu cibernetic mondial, deschis, stabil și sigur, bazat pe statul de drept, drepturile omului, libertățile fundamentale și valorile democratice.
În plus, Comisia prezintă propuneri pentru a aborda reziliența cibernetică și fizică a entităților și a rețelelor critice: o Directivă privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune (Directiva NIS revizuită sau „NIS 2”) și o nouă Directivă privind reziliența entităților critice. Propunerile acoperă o gamă largă de sectoare și vizează abordarea, într-un mod coerent și complementar, a riscurilor actuale și viitoare din mediul online și offline, de la atacuri cibernetice la criminalitate sau dezastre naturale.
Încrederea și securitatea sunt elementele centrale ale Deceniului digital al UE
Noua strategie de securitate cibernetică urmărește să asigure un internet mondial și deschis și prevede totodată garanții menite nu numai să asigure securitatea, ci și să protejeze valorile europene și drepturile fundamentale ale tuturor. Pe baza realizărilor din lunile recente și din ultimii ani, strategia cuprinde propuneri concrete de inițiative în materie de reglementare, de investiții și de politică în trei domenii de acțiune ale UE.
- Reziliență, suveranitate tehnologică și poziția de lider
În cadrul acestei componente, Comisia propune reformarea normelor privind securitatea rețelelor și a sistemelor informatice în cadrul unei Directive privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune (Directiva NIS revizuită sau „NIS 2”), cu scopul de a întări reziliența cibernetică a sectoarelor publice și private critice: spitalele, rețelele energetice, căile ferate, dar și centrele de date, administrațiile publice, laboratoarele de cercetare și centrele care fabrică dispozitive medicale și medicamente critice, precum și alte infrastructuri și servicii critice trebuie să rămână impermeabile într-un mediu în care amenințările sunt din ce în ce mai complexe și evoluează rapid.
Comisia propune, de asemenea, lansarea la nivelul întregii UE a unei rețele de centre de operațiuni de securitate, bazată pe inteligența artificială (IA), care să constituie un adevărat „scut de securitate cibernetică” pentru UE, capabil să detecteze semnele unui atac cibernetic suficient de devreme și să permită luarea de acțiuni proactive înainte de producerea unor daune. Alte măsuri vizează acordarea unui sprijin specific întreprinderilor mici și mijlocii (IMM-uri) în cadrul centrelor de inovare digitală, depunerea unor eforturi sporite de perfecționare a competențelor forței de muncă, de atragere și de menținere a persoanelor celor mai talentate în materie de securitate cibernetică, precum și realizarea de investiții în cercetare și inovare deschise, competitive și bazate pe excelență.
- Consolidarea capacității operaționale de prevenire, descurajare și răspuns
Comisia pregătește, printr-un proces progresiv și incluziv cu statele membre, crearea unei noi unități comune de securitate cibernetică; aceasta va consolida cooperarea dintre organismele UE și autoritățile statelor membre responsabile de prevenirea și descurajarea atacurilor cibernetice și de răspunsul la acestea, inclusiv comunitatea civilă, autoritățile de aplicare a legii, mediul diplomatic și entitățile de apărare cibernetică. Înaltul Reprezentant prezintă propuneri de consolidare a setului UE de instrumente pentru diplomația cibernetică pentru prevenirea, descurajarea și înfrânarea activităților cibernetice răuvoitoare, precum și pentru răspunsul la acestea; sunt vizate în special activitățile cibernetice răuvoitoare care ne afectează infrastructura critică, lanțurile de aprovizionare, instituțiile și procesele democratice. UE va depune totodată eforturi pentru a consolida în continuare cooperarea în domeniul apărării cibernetice și a dezvolta capabilități de apărare cibernetică de ultimă generație; pentru aceasta, Uniunea se va baza pe activitatea Agenției Europene de Apărare și va încuraja statele membre să utilizeze pe deplin cooperarea structurată permanentă și Fondul european de apărare.
- Promovarea unui spațiu cibernetic mondial și deschis printr-o cooperare sporită
UE își va intensifica colaborarea cu partenerii internaționali pentru a consolida ordinea internațională bazată pe norme, pentru a promova securitatea și stabilitatea internațională în spațiul cibernetic și pentru a proteja drepturile omului și libertățile fundamentale online. UE va promova normele și standardele internaționale care reflectă aceste valori fundamentale ale UE, în colaborare cu partenerii săi internaționali în cadrul Organizației Națiunilor Unite și al altor foruri relevante. UE își va îmbunătăți în continuare setul de instrumente privind diplomația cibernetică și își va intensifica eforturile pentru a consolida capacitățile cibernetice în țările terțe prin elaborarea unei agende a UE privind consolidarea capacităților cibernetice externe. Dialogurile cibernetice cu țările terțe, cu organizațiile regionale și internaționale, precum și cu comunitatea multiparticipativă vor fi intensificate. UE va înființa, de asemenea, o rețea a UE de diplomație cibernetică în întreaga lume, pentru a-și promova viziunea privind spațiul cibernetic.
UE se angajează să sprijine noua strategie de securitate cibernetică prin investiții fără precedent în tranziția digitală a UE în următorii șapte ani, cu ajutorul următorului buget pe termen lung al UE, în special prin programul Europa digitală și Orizont Europa, precum și prin Planul de redresare pentru Europa. Statele membre sunt așadar încurajate să utilizeze pe deplin mecanismul UE de redresare și reziliență pentru a spori securitatea cibernetică și pentru a reflecta nivelul investițiilor UE. Obiectivul este de a se ajunge la investiții combinate în valoare de până la 4,5 miliarde EUR din partea UE, a statelor membre și a sectorului, în special în cadrul Centrului de competențe în materie de securitate cibernetică și al Rețelei de centre de coordonare, și de a se asigura că IMM-urile beneficiază de o mare parte a acestor investiții.
Comisia urmărește, de asemenea, să consolideze capacitățile industriale și tehnologice ale UE în materie de securitate cibernetică, inclusiv prin proiecte sprijinite în comun cu fonduri din bugetul UE și din bugetele naționale. UE are ocazia unică de a-și pune în comun resursele pentru a-și consolida autonomia strategică și poziția de lider în materie de securitate cibernetică de-a lungul lanțului de aprovizionare digital (inclusiv date și cloud, tehnologii pe bază de procesoare de nouă generație, conectivitate extrem de sigură și rețele 6G), în conformitate cu valorile și prioritățile sale.
Reziliența cibernetică și fizică a rețelelor, a sistemelor informatice și a entităților critice
Măsurile existente la nivelul UE menite să protejeze serviciile și infrastructurile esențiale împotriva riscurilor cibernetice și fizice trebuie actualizate. Riscurile în materie de securitate cibernetică continuă să evolueze odată cu creșterea nivelului de digitalizare și interconectare. Riscurile fizice au devenit, de asemenea, mai complexe de la adoptarea normelor UE din 2008 privind infrastructura critică, norme care acoperă în prezent doar sectoarele energiei și transporturilor. Revizuirile vizează actualizarea normelor pentru a urma logica strategiei UE privind uniunea securității, depășirea falsei dihotomii între mediul online și mediul offline și eliminarea abordării compartimentate.
Pentru a răspunde amenințărilor tot mai mari generate de digitalizare și interconectare, propunerea de Directivă privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune (Directiva NIS revizuită sau „NIS 2”) va include în domeniul său de aplicare entitățile mijlocii și mari din mai multe sectoare, în funcție de caracterul lor critic pentru economie și societate. NIS 2 consolidează cerințele de securitate impuse întreprinderilor, abordează securitatea lanțurilor de aprovizionare și relațiile cu furnizorii, simplifică obligațiile de raportare, introduce măsuri de supraveghere mai stricte pentru autoritățile naționale și cerințe mai stricte de asigurare a respectării legii, urmărind totodată armonizarea regimurilor de sancțiuni în toate statele membre. Propunerea NIS 2 va contribui la intensificarea schimbului de informații și a cooperării privind gestionarea crizelor cibernetice la nivel național și la nivelul UE.
Propunerea de Directivă privind reziliența entităților critice extinde și aprofundează domeniul de aplicare al Directivei din 2008 privind infrastructurile critice europene. În prezent sunt vizate zece sectoare: energia, transporturile, activitatea bancară, infrastructurile pieței financiare, sănătatea, apa potabilă, apa reziduală, infrastructura digitală, administrația publică și spațiul. În temeiul directivei propuse, fiecare stat membru ar urma să adopte o strategie națională pentru a asigura reziliența entităților critice și ar efectua evaluări periodice ale riscurilor. Aceste evaluări ar contribui, de asemenea, la identificarea unui subset mai mic de entități critice care ar fi supuse unor obligații menite să le consolideze reziliența în fața riscurilor non-cibernetice; printre obligații se numără evaluarea riscurilor la nivel de entitate, luarea de măsuri tehnice și organizatorice și notificarea incidentelor. La rândul său, Comisia ar urma să ofere sprijin complementar statelor membre și entităților critice, de exemplu elaborând o imagine de ansamblu la nivelul Uniunii a riscurilor transfrontaliere și transsectoriale, precum și bune practici, metodologii, activități de formare transfrontalieră și exerciții pentru testarea rezilienței entităților critice.
Asigurarea funcționării rețelelor de generație următoare: tehnologia 5G și tehnologii viitoare
În cadrul noii strategii de securitate cibernetică, statele membre, cu sprijinul Comisiei și al ENISA (Agenția Uniunii Europene pentru Securitate Cibernetică), sunt încurajate să finalizeze implementarea setului de instrumente al UE în materie de 5G, care oferă o abordare cuprinzătoare și obiectivă bazată pe riscuri pentru securitatea rețelelor 5G și a generațiilor viitoare de rețele.
Potrivit unui raport publicat astăzi referitor la impactul Recomandării Comisiei privind securitatea cibernetică a rețelelor 5G și la stadiul implementării setului de instrumente al UE cuprinzând măsuri de atenuare, de la raportul din iulie 2020 privind progresele înregistrate, majoritatea statelor membre se află deja pe calea cea bună în ceea ce privește implementarea măsurilor recomandate. Acestea ar trebui acum să vizeze finalizarea implementării până în al doilea trimestru al anului 2021 și să se asigure că riscurile identificate sunt atenuate în mod corespunzător, în mod coordonat, în special în vederea reducerii la minimum a expunerii la furnizorii cu grad ridicat de risc și a evitării dependenței de acești furnizori. De asemenea, Comisia stabilește astăzi principalele obiective și acțiuni menite să continue activitatea coordonată la nivelul UE.
Declarațiile membrilor colegiului:
Margrethe Vestager, vicepreședintă executivă pentru o Europă pregătită pentru era digitală, a declarat: „Europa se angajează pe calea transformării digitale a societății și a economiei. Trebuie deci să o sprijinim cu niveluri de investiții fără precedent. Transformarea digitală se accelerează, dar ea va avea succes numai dacă cetățenii și întreprinderile sunt convinși că produsele și serviciile conectate, pe care se bazează, sunt sigure.”
Josep Borrell, Înaltul Reprezentant, a declarat: „Securitatea și stabilitatea internaționale depind mai mult ca niciodată de un spațiu cibernetic global, deschis, stabil și sigur, în care statul de drept, drepturile omului, libertățile și democrația să fie respectate. Strategia de astăzi constituie un demers prin care UE vizează protejarea guvernelor, a cetățenilor și a întreprinderilor sale împotriva amenințărilor cibernetice mondiale și atingerea poziției de lider în spațiul cibernetic și se asigură în același timp că toți cetățenii pot beneficia de avantajele internetului și de utilizarea tehnologiilor.”
Margaritis Schinas, vicepreședintele pentru promovarea modului nostru de viață european, a declarat: „Securitatea cibernetică este o parte centrală a uniunii securității. Nu mai există distincții între amenințările online și cele offline. Mediul digital și cel fizic sunt acum indisolubil legate între ele. Setul de măsuri de astăzi arată că UE este pregătită să își utilizeze toate resursele și cunoștințele de specialitate cu scopul de a se pregăti pentru amenințările fizice și cibernetice și de a răspunde acestora cu aceeași hotărâre.”
Thierry Breton, comisarul pentru piața internă, a afirmat: „Amenințările cibernetice evoluează rapid și sunt din ce în ce mai complexe și adaptabile. Pentru a asigura protecția cetățenilor și a infrastructurilor, trebuie să gândim în perspectivă. Scutul de securitate cibernetică al Europei, un dispozitiv rezilient și autonom, ne va permite să ne utilizăm calificările și cunoștințele pentru a detecta amenințările și a reacționa mai rapid la acestea, pentru a limita eventualele daune și pentru a ne spori reziliența. Investițiile în securitatea cibernetică sunt investiții în sănătatea viitoare a mediilor noastre online și în autonomia noastră strategică.”
Ylva Johansson, comisarul pentru afaceri interne, a declarat: „Spitalele, sistemele de ape reziduale sau infrastructura de transport nu pot fi puternice dacă au chiar și o singură verigă slabă; perturbările survenite într-o parte a Uniunii riscă să afecteze furnizarea de servicii esențiale în altă parte. Pentru a asigura buna funcționare a pieței interne și mijloacele de subzistență ale celor care trăiesc în Europa, infrastructura noastră esențială trebuie să fie rezistentă la riscuri cum ar fi dezastrele naturale, atacurile teroriste sau accidentele și la pandemii precum cea cu care ne confruntăm în prezent. Propunerea mea privind infrastructura critică vizează tocmai acest obiectiv.”
Etapele următoare
Comisia Europeană și Înaltul Reprezentant s-au angajat să implementeze noua strategie de securitate cibernetică în lunile următoare. Aceștia vor prezenta periodic rapoarte privind progresele înregistrate și vor asigura informarea deplină a Parlamentului European, a Consiliului Uniunii Europene și a părților interesate, precum și implicarea acestora în toate acțiunile relevante.
În prezent, este de competența Parlamentului European și a Consiliului să examineze și să adopte propunerea de Directivă NIS 2 și Directiva privind reziliența entităților critice. Odată ce propunerile vor fi aprobate și adoptate în consecință, statele membre vor trebui să le transpună în termen de 18 luni de la intrarea lor în vigoare.
Comisia va revizui periodic Directiva NIS 2 și Directiva privind reziliența entităților critice și va raporta cu privire la funcționarea acestora.
Context
Securitatea cibernetică este una dintre principalele priorități ale Comisiei și una dintre pietrele de temelie ale Europei digitale și conectate. Creșterea numărului de atacuri cibernetice în timpul crizei provocate de coronavirus a demonstrat cât de importantă este protejarea spitalelor, a centrelor de cercetare și a altor infrastructuri. Sunt necesare acțiuni ferme în acest domeniu pentru a orienta economia și societatea UE către viitor.
Noua strategie de securitate cibernetică propune integrarea securității cibernetice în fiecare element al lanțului de aprovizionare și corelarea într-o mai mare măsură a activităților și a resurselor UE în cadrul celor patru comunități ale securității cibernetice – piața internă, asigurarea respectării legii, sectorul diplomației și cel al apărării. Aceasta are ca punct de plecare abordarea UE privind conturarea viitorului digital al Europei și Strategia UE privind o uniune a securității și se bazează pe o serie de acte legislative, acțiuni și inițiative pe care UE le-a pus în aplicare pentru a consolida capacitățile în materie de securitate cibernetică și pentru a asigura o Europă mai rezilientă din punct de vedere cibernetic. Printre acestea se numără Strategia de securitate cibernetică din 2013, revizuită în 2017, și Agenda europeană a Comisiei privind securitatea pentru perioada 2015-2020. Noua strategie recunoaște, de asemenea, interconectarea din ce în ce mai mare dintre securitatea internă și cea externă, în special prin intermediul politicii externe și de securitate comune.
Primul act legislativ european privind securitatea cibernetică, Directiva NIS, care a intrat în vigoare în 2016, a contribuit la atingerea unui nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în întreaga UE. Ca parte a obiectivului său cheie de politică – o Europă pregătită pentru era digitală – Comisia a anunțat revizuirea Directivei NIS în luna februarie a acestui an. Regulamentul privind securitatea cibernetică, care este în vigoare din 2019, a dotat Europa cu un cadru de certificare a securității cibernetice a produselor, serviciilor și proceselor și a consolidat mandatul Agenției Uniunii Europene pentru Securitate Cibernetică (ENISA).
În ceea ce privește securitatea cibernetică a rețelelor 5G, statele membre, cu sprijinul Comisiei și al ENISA, au stabilit, împreună cu setul de instrumente al UE în materie de 5G, adoptat în ianuarie 2020, o abordare cuprinzătoare și obiectivă, bazată pe riscuri. În urma revizuirii de către Comisie a Recomandării sale din martie 2019 privind securitatea cibernetică a rețelelor 5G, s-a constatat că majoritatea statelor membre au înregistrat progrese în ceea ce privește implementarea setului de instrumente.
Pornind de la Strategia de securitate cibernetică a UE din 2013, UE a elaborat o politică cibernetică coerentă și holistică pe plan internațional. Colaborând cu partenerii săi la nivel bilateral, regional și internațional, UE a promovat un spațiu cibernetic global, deschis, stabil și sigur, ghidat de valorile fundamentale ale UE și întemeiat pe statul de drept. UE a sprijinit țările terțe în efortul acestora de a-și spori reziliența cibernetică și capacitatea de a combate criminalitatea informatică și a utilizat setul său de instrumente pentru diplomația cibernetică din 2017 pentru a contribui și mai mult la securitatea și stabilitatea internațională în spațiul cibernetic, inclusiv prin aplicarea pentru prima dată a regimului său de sancțiuni cibernetice din 2019 și prin listarea a 8 persoane și a 4 entități și organisme. UE a înregistrat progrese semnificative și în ceea ce privește cooperarea în domeniul apărării cibernetice, inclusiv la nivelul capabilităților de apărare cibernetică, în special prin intermediul cadrului său de politici pentru apărarea cibernetică, precum și în contextul cooperării structurate permanente și al activității Agenției Europene de Apărare.
Securitatea cibernetică este o prioritate reflectată și în următorul buget pe termen lung al UE (2021-2027). În cadrul programului Europa digitală, UE va sprijini cercetarea, inovarea și infrastructura în materie de securitate cibernetică, apărarea cibernetică și industria securității cibernetice din UE. În plus, în răspunsul la criza provocată de coronavirus, care a cunoscut o intensificare a atacurilor cibernetice în timpul restricțiilor de deplasare a persoanelor, în cadrul Planului de redresare pentru Europa au fost prevăzute investiții suplimentare pentru consolidarea securității cibernetice.
UE a recunoscut de mult timp necesitatea de a asigura reziliența infrastructurilor critice care furnizează servicii esențiale pentru buna funcționare a pieței interne și pentru viața și mijloacele de subzistență ale cetățenilor europeni. Din acest motiv, UE a instituit în 2006 programul european privind protecția infrastructurilor critice (PEPIC) și a adoptat în 2008 Directiva privind infrastructura critică europeană (ICE), care se aplică sectoarelor energiei și transporturilor. Aceste măsuri au fost completate în anii următori de diverse măsuri sectoriale și transsectoriale privind aspecte specifice, cum ar fi imunizarea la schimbările climatice, protecția civilă sau investițiile străine directe.
Informații suplimentare
Fișă informativă privind noua strategie de securitate cibernetică a UE
Fișă informativă referitoare la propunerea de Directivă privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune (Directiva NIS revizuită)
Fișă informativă privind securitatea cibernetică: Acțiunea externă a UE
Întrebări și răspunsuri: Noua strategie de securitate cibernetică a UE și noi norme menite să sporească reziliența entităților fizice și digitale critice
Propunerea de directivă privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune (Directiva NIS revizuită sau „NIS 2”)
Propunerea de Directivă privind reziliența entităților critice (a se vedea și Anexa 1 la propunere, precum și evaluarea impactului și rezumatul acesteia)
O uniune europeană a securității
Rezultatele consultărilor deschise privind NIS
Evaluarea impactului Directivei NIS revizuite („NIS 2”)