Kibernetička sigurnost EU-a: strategije i ključne politike

Strategija EU-a za kibernetičku sigurnost

U listopadu 2020. čelnici i čelnice EU-a pozvali su države članice da:

• zaštite EU od kibernetičkih prijetnji
• zajamče sigurno komunikacijsko okružje, među ostalim kvantnim šifriranjem
• osiguraju pristup podacima za potrebe pravosuđa i izvršavanja zakonodavstva.

To je potrebno jer snažniji kibernetičkosigurnosni odgovor za izgradnju otvorenog i sigurnog kibernetičkog prostora može doprinijeti povećanju povjerenja građana i građanki u digitalne alate i usluge. Kibernetička sigurnost štiti mrežne i informacijske sustave, korisnike takvih sustava i druge osobe na koje kibernetičke prijetnje utječu.

• Izvanredni sastanak Europskog vijeća, 1. i 2. listopada 2020.

U prosincu 2020. Europska komisija i Europska služba za vanjsko djelovanje (ESVD) predstavile su novu strategiju EU-a za kibernetičku sigurnost. Njome se nastoji ojačati otpornost Europe na kibernetičke prijetnje te osigurati da svi građani i građanke te poduzeća u potpunosti iskorištavaju pouzdane i vjerodostojne usluge i digitalne alate.

• Strategija EU-a za kibernetičku sigurnost (Europska služba za vanjsko djelovanje)

Vijeće je 22. ožujka 2021. usvojilo zaključke o strategiji za kibernetičku sigurnost, naglašavajući da je kibernetička sigurnost ključna za izgradnju otporne, zelene i digitalne Europe. Ministri i ministrice EU-a utvrdili su da je njezin ključni cilj postizanje strateške autonomije uz očuvanje otvorenoga gospodarstva. Time je obuhvaćeno jačanje sposobnosti donošenja autonomnih odluka u području kibernetičke sigurnosti, uz istodobno jačanje digitalnog vodstva EU-a i njegovih strateških kapaciteta.

• Vijeće usvojilo zaključke o strategiji EU-a za kibersigurnost (priopćenje za medije, 22. ožujka 2021.)

Ključne politike EU-a u području kibernetičke sigurnosti

Plan za kibernetičku sigurnost

Vijeće je 6. lipnja 2025. donijelo Plan EU-a za upravljanje kibernetičkim krizama.

Plan pruža sveobuhvatan i detaljan okvir za upravljanje kibernetičkim krizama na razini EU-a te se nadovezuje na Plan za kibernetičku sigurnost iz 2017.

Cilj je Plana za kibernetičku sigurnost:

• osigurati djelotvoran i učinkovit odgovor na kibernetičke incidente velikih razmjera
• poticati strukturiraniju suradnju između civilnih i vojnih aktera
• objasniti što je kibernetička kriza i što aktivira mehanizam za odgovor na kibernetičke krize.

• EU donio plan za bolje upravljanje europskim kibernetičkim krizama i incidentima (priopćenje za medije, 6. lipnja 2025.)

Akt EU-a o kibernetičkoj solidarnosti

Vijeće je 2. prosinca 2024. donijelo Akt o kibernetičkoj solidarnosti. Tom uredbom utvrđuju se kapaciteti na razini EU-a kako bi Europa postala otpornija i reaktivnija na kibernetičke prijetnje, uz istodobno jačanje mehanizama suradnje.

Novim se pravilima:

• uspostavlja sustav uzbunjivanja u području kibernetičke sigurnosti – paneuropska infrastruktura sastavljena od nacionalnih i prekograničnih kibernetičkih centara zaduženih za potporu otkrivanju kibernetičkih prijetnji i incidenata
• osigurava uspostava mehanizma za izvanredne situacije u području kibernetičke sigurnosti kako bi se ojačalo pripravnost i zaštitu kritičnih subjekata i ključnih usluga, kao što su bolnice i javne komunalne službe
• jačaju solidarnost na razini EU-a, usklađeno upravljanje krizama i kapaciteti za odgovor na krize u državama članicama
• doprinosi jamčenju sigurnog i zaštićenog digitalnog okružja za građane i poduzeća.

Akt o kibernetičkoj solidarnosti stupio je na snagu 4. veljače 2025.

• Paket o kibernetičkoj sigurnosti: Vijeće donijelo nove zakonodavne akte za jačanje kapaciteta u području kibernetičke sigurnosti u EU-u (priopćenje za medije, 2. prosinca 2024.)

Akt EU-a o kibersigurnosti

Vijeće je u travnju 2019. donijelo Akt EU-a o kibersigurnosti kojim je uvedeno sljedeće:

• program certifikacije na razini EU-a
• trajni i snažniji mandat Agencije EU-a za kibersigurnost (ENISA).

Europski programi certifikacije

Države članice EU-a prije su upotrebljavale različite programe kibernetičkosigurnosne certifikacije za proizvode informacijskih i komunikacijskih tehnologija (IKT), što je dovelo do fragmentacije tržišta i regulatornih prepreka. S pomoću Akta o kibersigurnosti EU je uveo jedinstveni certifikacijski okvir na razini EU-a kojim se želi:

• izgraditi povjerenje
• povećati rast tržišta kibernetičke sigurnosti
• olakšati trgovina diljem EU-a.

Tim okvirom osigurat će se sveobuhvatan skup pravila, tehničkih zahtjeva, normi i postupaka.

EU je u prosincu 2024. donio ciljanu izmjenu Akta o kibersigurnosti kako bi se omogućila uspostava EU-ovih programa certifikacije za „upravljane sigurnosne usluge”, kao što su upravljanje incidentima, penetracijsko testiranje, revizije sigurnosti i savjetovanje povezano s tehničkom potporom.

Agencija EU-a za kibersigurnost

Agencija EU-a za kibersigurnost (ENISA), sa sjedištem u Ateni (Grčka), radi na postizanju visoke zajedničke razine kibernetičke sigurnosti diljem EU-a. Podupire države članice, institucije EU-a i druge dionike u poboljšanju kibernetičke sigurnosti i borbi protiv kibernetičkih napada.

ENISA je osnovana 2004. i ojačana je Aktom EU-a o kibersigurnosti, kojim su joj dodijeljeni stalni mandat, više resursa i proširena uloga.

Vijeće je u prosincu 2024. odobrilo zaključke koji sadržavaju niz preporuka i prijedloga za jačanje Agencije EU-a za kibersigurnost.

• Paket o kibernetičkoj sigurnosti: Vijeće donijelo nove zakonodavne akte za jačanje kapaciteta u području kibernetičke sigurnosti u EU-u (priopćenje za medije, 2. prosinca 2024.)
• ENISA: Vijeće odobrilo zaključke o jačanju Agencije EU-a za kibersigurnost (priopćenje za medije, 6. prosinca 2024.)
• Agencija Europske unije za kibersigurnost (ENISA)

Akt EU-a o kibernetičkoj otpornosti

Aktom o kibernetičkoj otpornosti, koji je Vijeće donijelo 10. listopada 2024., utvrđuju se kibernetičkosigurnosni zahtjevi za proizvode s digitalnim elementima povezane s internetom ili drugim uređajima. Time se osigurava da su proizvodi kao što su povezane kućne kamere, hladnjaci, televizori i igračke sigurni prije stavljanja na tržište i tijekom cijelog životnog ciklusa.

Tim se zakonodavnim aktom poboljšava i transparentnost za potrošače tako što im se daje pristup informacijama o kibernetičkoj sigurnosti proizvoda koje kupuju i upotrebljavaju.

• Akt o kibernetičkoj otpornosti: Vijeće donijelo novi akt o sigurnosnim zahtjevima za digitalne proizvode

Direktiva o mrežnim i informacijskim sustavima

Direktiva o sigurnosti mrežnih i informacijskih sustava (NIS) bila je prvi zakonodavni akt na razini EU-a čija je svrha jačanje suradnje država članica u pogledu kibernetičke sigurnosti. Direktivom uvedenom 2016. utvrđene su sigurnosne obveze za operatere ključnih usluga (u najvažnijim sektorima poput energetike, prometa, zdravstva i financija) te za pružatelje digitalnih usluga (internetska tržišta, tražilice i usluge računalstva u oblaku).

EU je 2022. donio revidiranu direktivu o sigurnosti mrežnih i informacijskih sustava (NIS 2), koja je zamijenila direktivu iz 2016. Novim pravilima osigurava se visoka zajednička razina kibernetičke sigurnosti u cijeloj Uniji kao odgovor na rastuće prijetnje i uzima u obzir digitalna transformacija, koju je pandemija bolesti COVID-19 ubrzala.

Direktivom NIS 2:

• utvrđuju se nova minimalna pravila za regulatorni okvir
• utvrđuju se mehanizmi za učinkovitu suradnju među relevantnim tijelima u svakoj državi članici EU-a
• ažurira se popis sektora i djelatnosti koji podliježu kibernetičkosigurnosnim obvezama.
• upravlja se kibernetičkosigurnosnim incidentima (poveznica na Opću uredbu o zaštiti podataka).

Države članice morale su do listopada 2024. u potpunosti prenijeti i provesti Direktivu NIS 2.

• EU odlučio ojačati kibersigurnost i otpornost širom Unije: Vijeće donijelo novo zakonodavstvo

Paket instrumenata EU-a za mreže 5G

Mreže 5G ključne su ne samo za digitalnu komunikaciju, već i za kritične sektore kao što su energetika, promet, bankarstvo i zdravstvo.

Mreže 5G ujedno su ključno sredstvo koje Europi omogućuje da se natječe na globalnom tržištu, a njihova kibernetička sigurnost presudna je za osiguravanje strateške autonomije Unije.

EU je u siječnju 2020. postigao dogovor o paketu instrumenata kojim bi se utvrdile moguće zajedničke mjere za ublažavanje glavnih kibernetičkosigurnosnih rizika koji proizlaze iz mreža 5G i pružile smjernice.

• Važnost i sigurnosni rizici tehnologije 5G – Vijeće usvojilo zaključke
• Sigurne 5G mreže: pitanja i odgovori o paketu instrumenata EU-a

Financiranje i istraživanja

EU djeluje u nekoliko područja kako bi poboljšao kibernetičku otpornost, zaštitio komunikacije i podatke te učinio sigurnim naše internetsko društvo i gospodarstvo. To uključuje potporu istraživanju i povećanje financijskih sredstava za inovacije u području kibernetičke sigurnosti.

Digitalna Europa

U okviru programa Digitalna Europa za razdoblje od 2021. do 2027. EU se obvezao uložiti 1,6 milijardi eura u kapacitete za kibernetičku sigurnost te široko uvođenje kibernetičkosigurnosnih infrastruktura i alata diljem EU-a za javne uprave, poduzeća i pojedince.

• Vijeće dalo zeleno svjetlo za program Digitalna Europa (priopćenje za medije, 16. ožujka 2021.)
• Europa ulaže u digitalizaciju: program Digitalna Europa (Europska komisija)

Obzor Europa

Ključno je pronaći inovativna rješenja koja nas mogu zaštititi od najnovijih i najnaprednijih kibernetičkih prijetnji. Zbog toga je kibernetička sigurnost važan dio okvirnih programa EU-a za financiranje istraživanja i inovacija kao što su Obzor 2020. i njegov sljednik Obzor Europa. EU je u svibnju 2020. izdvojio 49 milijuna eura za poticanje inovacija u sustavima za kibernetičku sigurnost i privatnost.

• Obzor Europa
• EU dodijelio gotovo 49 milijuna eura za poticanje inovacija u sustavima kibernetičke sigurnosti i privatnosti (priopćenje za medije Europske komisije, 20. svibnja 2020.)

Program za digitalno desetljeće do 2030.

Digitalna sigurnost ovisi o dovoljnom broju stručnjaka s odgovarajućim vještinama. Trenutačno ih nema ni približno dovoljno, pa EU aktivno ulaže u razvoj vještina u području kibernetičke sigurnosti.

Programom za digitalno desetljeće do 2030. podupiru se ulaganja u ključnim područjima kao što su računalstvo visokih performansi, zajednička podatkovna infrastruktura i usluge, lanci blokova, procesori s niskom potrošnjom energije, paneuropsko uvođenje 5G koridora, visokotehnološka partnerstva za digitalne vještine, sigurna kvantna infrastruktura, mreža centara za kibernetičku sigurnost, digitalna javna uprava, objekti za testiranje i centri za digitalne inovacije.

• Vijeće dalo zeleno svjetlo za Stručni centar u području kibernetičke sigurnosti sa sjedištem u Bukureštu (priopćenje za medije, 20. travnja 2021.)
• Europski stručni centar i mreža u području kibernetičke sigurnosti

Stručni centar u području kibernetičke sigurnosti

Vijeće je u travnju 2021. donijelo uredbu o osnivanju Europskog stručnog centra za industriju, tehnologiju i istraživanja u području kibersigurnosti u Bukureštu (Rumunjska), koji podupire mreža nacionalnih koordinacijskih centara.

Cilj je centra:

• dodatno poboljšati kibernetičku otpornost
• doprinijeti uvođenju najnovije tehnologije u području kibernetičke sigurnosti
• poduprijeti start-up poduzeća i MSP-ove u području kibernetičke sigurnosti
• unaprijediti istraživanje i inovacije u području kibernetičke sigurnosti
• doprinijeti rješavanju pitanja manjka vještina u području kibernetičke sigurnosti.