Kibernetska varnost EU: strategija in ključne politike

Strategija EU za kibernetsko varnost

Voditelji in voditeljice EU so oktobra 2020 države članice pozvali, naj:

• zaščitijo EU pred kibernetskimi grožnjami
• zagotovijo varno komunikacijsko okolje, tudi s kvantnim šifriranjem
• zagotovijo dostop do podatkov za sodne namene in namene kazenskega pregona

Z odločnejšim ukrepanjem na področju kibernetske varnosti z namenom vzpostavitve odprtega in varnega kibernetskega prostora se lahko tako poveča zaupanje državljanov in državljank v digitalna orodja in storitve. V okviru kibernetske varnosti se ščitijo omrežja in informacijski sistemi, uporabniki takih sistemov in druge osebe, na katere vplivajo kibernetske grožnje.

• Izredno zasedanje Evropskega sveta, 1. in 2. oktober 2020

Evropska komisija in Evropska služba za zunanje delovanje (ESZD) sta decembra 2020 predstavili novo strategijo EU za kibernetsko varnost. Njen cilj je okrepiti odpornost Evrope proti kibernetskim grožnjam ter zagotoviti, da vsi državljani in državljanke ter podjetja v celoti uživajo koristi, ki jih nudijo zaupanja vredne in zanesljive storitve ter digitalna orodja.

• Strategija EU za kibernetsko varnost (Evropska služba za zunanje delovanje)

Svet je 22. marca 2021 sprejel sklepe o strategiji za kibernetsko varnost, v katerih je poudaril, da je kibernetska varnost bistvena za izgradnjo odporne, zelene in digitalne Evrope. Ministri in ministrice EU so kot ključni cilj določili doseganje strateške avtonomije ob hkratnem ohranjanju odprtega gospodarstva. To vključuje krepitev sposobnosti sprejemanja samostojnih odločitev na področju kibernetske varnosti, hkrati pa krepitev vodilne vloge EU na digitalnem področju in njenih strateških zmogljivosti.

• Svet sprejel sklepe o strategiji EU za kibernetsko varnost (sporočilo za javnost, 22. marec 2021)

Ključne politike EU na področju kibernetske varnosti

Kibernetski načrt

Svet je 6. junija 2025 sprejel načrt EU za obvladovanje kibernetskih kriz.

Načrt, ki sicer temelji na načrtu za kibernetsko varnost iz leta 2017, zagotavlja celovit in podroben okvir za obvladovanje kibernetskih kriz na ravni EU.

Namen načrta je:

• zagotoviti uspešen in učinkovit odziv na velike kibernetske incidente
• spodbujati bolj strukturirano sodelovanje med civilnimi in vojaškimi akterji
• pojasniti, kaj kibernetska kriza je in kaj sproži mehanizem za kibernetsko krizo

• EU sprejela načrt za boljše obvladovanje evropskih kibernetskih kriz in incidentov (sporočilo za javnost, 6. junij 2025)

Akt EU o kibernetski solidarnosti

Svet je 2. decembra 2024 sprejel akt o kibernetski solidarnosti. Ta uredba vzpostavlja zmogljivosti EU za povečanje odpornosti in odzivnosti Evrope na kibernetske grožnje, hkrati pa krepi mehanizme sodelovanja.

Z novimi pravili:

• se vzpostavlja sistem opozarjanja na področju kibernetske varnosti, ki je vseevropska infrastruktura, sestavljena iz nacionalnih in čezmejnih kibernetskih vozlišč, pristojnih za podporo odkrivanju kibernetskih groženj in incidentov
• se zagotavlja vzpostavitev mehanizma za izredne razmere na področju kibernetske varnosti, da bi okrepili pripravljenost in zaščito kritičnih subjektov in bistvenih storitev, kot so bolnišnice in javne službe
• se krepijo solidarnost na ravni EU, usklajeno krizno upravljanje in zmogljivosti odzivanja med državami članicami
• se prispeva k zagotavljanju varnega in zanesljivega digitalnega okolja za državljane in podjetja

Akt o kibernetski solidarnosti je začel veljati 4. februarja 2025.

• Sveženj o kibernetski varnosti: Svet sprejel nove zakone za okrepitev zmogljivosti kibernetske varnosti v EU (sporočilo za javnost, 2. december 2024)

Akt EU o kibernetski varnosti

Svet je aprila 2019 sprejel akt EU o kibernetski varnosti in z njim uvedel:

• certifikacijsko shemo na ravni EU
• stalen in močnejši mandat Agencije EU za kibernetsko varnost (ENISA)

evropske certifikacijske sheme

Pred tem so države članice EU uporabljale različne certifikacijske sheme za proizvode informacijske in komunikacijske tehnologije, kar je povzročalo razdrobljenost trga in regulativne ovire. EU je z aktom o kibernetski varnosti uvedla enoten evropski certifikacijski okvir
,
ki:

• gradi zaupanje
• povečuje rast trga kibernetske varnosti
• olajšuje trgovino po vsej EU

Okvir zagotavlja celovit sklop pravil, tehničnih zahtev, standardov in postopkov.

EU je decembra 2024 sprejela ciljno usmerjeno spremembo akta o kibernetski varnosti, da bi omogočila vzpostavitev certifikacijskih shem EU za „upravljane varnostne storitve“, kot so ravnanje v zvezi z incidenti, penetracijsko testiranje, revizije varnosti in svetovanje v zvezi s tehnično podporo.

Agencija EU za kibernetsko varnost

Agencija EU za kibernetsko varnost (ENISA) s sedežem v Atenah v Grčiji si prizadeva za visoko skupno raven kibernetske varnosti po vsej EU. Državam članicam, institucijam EU in drugim deležnikom pomaga pri izboljšanju kibernetske varnosti in v boju proti kibernetskim napadom.

ENISA je bila ustanovljena leta 2004, z aktom EU o kibernetski varnosti pa je bila še okrepljena, saj je dobila stalen mandat, več sredstev in širšo vlogo.

Svet je decembra 2024 odobril sklepe, ki vsebujejo vrsto priporočil in predlogov za močnejšo agencijo EU za kibernetsko varnost.

• Sveženj o kibernetski varnosti: Svet sprejel nove zakone za okrepitev zmogljivosti kibernetske varnosti v EU (sporočilo za javnost, 2. december 2024)
• ENISA: Svet odobril sklepe za krepitev Agencije EU za kibernetsko varnost (sporočilo za javnost, 6. december 2024)
• Agencija Evropske unije za kibernetsko varnost (ENISA)

Akt o kibernetski odpornosti

Akt o kibernetski odpornosti, ki ga je Svet sprejel 10. oktobra 2024, določa zahteve glede kibernetske varnosti za izdelke z digitalnimi elementi, povezanimi z internetom ali drugimi napravami. S tem se zagotavlja, da so povezani izdelki, na primer domače kamere, hladilniki, televizorji in igrače, varni, preden se dajo na trg in v njihovem celotnem življenjskem ciklu.

Zakon izboljšuje tudi preglednost za potrošnike, saj posameznikom omogoča dostop do informacij o kibernetski varnosti izdelkov, ki jih kupujejo in uporabljajo.

• Akt o kibernetski odpornosti: Svet sprejel nov zakonodajni akt o varnostnih zahtevah za digitalne izdelke

Direktiva o omrežjih in informacijskih sistemih

Direktiva o varnosti omrežij in informacijskih sistemov (NIS) je bila prvi evropski zakonodajni akt, katerega cilj je bila okrepitev sodelovanja med državami članicami pri vprašanju kibernetske varnosti. Uvedena je bila leta 2016, v njej pa so bile določene varnostne obveznosti izvajalcev bistvenih storitev (v kritičnih sektorjih, kot so energetika, promet, zdravje in finance) in ponudnikov digitalnih storitev (spletne tržnice, iskalniki in storitve v oblaku).

EU je leta 2022 sprejela revidirano direktivo o varnosti omrežij in informacijskih sistemov (NIS2), ki je nadomestila direktivo iz leta 2016. Nova pravila zagotavljajo visoko skupno raven kibernetske varnosti v Uniji kot odziv na spreminjajoče se grožnje in upoštevajo digitalno preobrazbo, ki jo je pandemija COVID-19 pospešila.

Direktiva NIS2:

• določa nova minimalna pravila za regulativni okvir
• določa mehanizme za učinkovito sodelovanje med zadevnimi organi v vsaki državi članici EU
• posodablja seznam sektorjev in dejavnosti, za katere veljajo obveznosti glede kibernetske varnosti
• obravnava kibernetske incidente (v povezavi s splošno uredbo o varstvu podatkov)

Države članice so morale do oktobra 2024 v celoti prenesti in izvajati NIS2.

• EU sklenila okrepiti kibernetsko varnost in odpornost v Uniji: Svet sprejel novo zakonodajo

Zbirka orodij EU za omrežja 5G

Omrežja 5G so bistvenega pomena ne le za digitalno komunikacijo, temveč tudi za kritične sektorje, kot so energetika, promet, bančništvo in zdravstvo.

Ta omrežja so tudi ključni adut, ki Evropi omogoča, da je konkurenčna na svetovnem trgu, kibernetska varnost Unije pa je bistvena za zagotavljanje njene strateške avtonomije.

EU se je januarja 2020 dogovorila o zbirki orodij, s katerimi naj bi poskusili opredeliti skupni sklop ukrepov za zmanjšanje glavnih kibernetskovarnostnih tveganj omrežij 5G in zagotovili smernice.

• Pomen in varnostna tveganja tehnologije 5G – Svet sprejel sklepe
• Varna omrežja 5G: vprašanja in odgovori o sklopu orodij EU

Financiranje in raziskave

EU ukrepa na več področjih, da bi okrepila kibernetsko odpornost, zaščitila komunikacije in podatke ter našo spletno družbo in gospodarstvo. To vključuje podporo raziskavam in povečanje financiranja za inovacije na področju kibernetske varnosti.

Digitalna Evropa

EU se je v okviru programa Digitalna Evropa za obdobje 2021–2027 zavezala, da bo vložila 1,6 milijarde EUR v zmogljivosti kibernetske varnosti ter široko uvedbo infrastruktur in orodij za kibernetsko varnost po vsej EU, kar bo koristilo upravam, podjetjem in posameznikom.

• Program Digitalna Evropa: Svet dal zeleno luč (sporočilo za javnost, 16. marec 2021)
• Evropa vlaga v digitalno: program Digitalna Evropa (Evropska komisija)

Obzorje Evropa

Ključnega pomena je iskanje inovativnih rešitev, ki nas lahko zaščitijo pred najnovejšimi, najnaprednejšimi kibernetskimi grožnjami. Zato je kibernetska varnost pomemben del okvirnega programa EU za financiranje raziskav in inovacij Obzorje 2020 in njegovega naslednika Obzorje Evropa. EU je maja 2020 namenila 49 milijonov EUR za spodbujanje inovacij na področjih kibernetske varnosti in varstva zasebnosti.

• Obzorje Evropa
• EU dodelila skoraj 49 milijonov EUR za spodbujanje inovacij na področjih kibernetske varnosti in varstva zasebnosti (Evropska komisija, sporočilo za javnost, 20. maj 2020)

Program Digitalno desetletje do leta 2030

Temelj digitalne varnosti je zadostno število strokovnjakov z ustreznimi spretnostmi. Trenutno jih veliko primanjkuje, zato EU dejavno vlaga v razvoj spretnosti na področju kibernetske varnosti.

Program Digitalno desetletje do leta 2030 podpira naložbe na ključnih področjih, kot so visokozmogljivostno računalništvo, skupna podatkovna infrastruktura in storitve, blokovne verige, procesorji z majhno porabo, vseevropska uvedba koridorjev 5G, visokotehnološka partnerstva za digitalna znanja in spretnosti, varna kvantna infrastruktura, mreža centrov za kibernetsko varnost, digitalna javna uprava, zmogljivosti za testiranje in vozlišča za digitalne inovacije.

• Zelena luč Sveta za strokovni center za kibernetsko varnost s sedežem v Bukarešti (sporočilo za javnost, 20. april 2021)
• Evropski kompetenčni center za kibernetsko varnost

Kompetenčni center za kibernetsko varnost

Svet je aprila 2021 sprejel uredbo o ustanovitvi Evropskega industrijskega, tehnološkega in raziskovalnega kompetenčnega centra za kibernetsko varnost s sedežem v Bukarešti v Romuniji, ki ga podpira mreža nacionalnih koordinacijskih centrov.

Namen centra je:

• nadalje izboljšati kibernetsko odpornost
• prispevati k nameščanju najnovejše tehnologije za kibernetsko varnost
• podpirati zagonska podjetja ter MPS na področju kibernetske varnosti
• okrepiti raziskovanje in inovacije na področju kibernetske varnosti
• prispevati k odpravi vrzeli pri spretnostih, povezanih s kibernetsko varnostjo