Comisia Europeana si Inaltul Reprezentant al Uniunii pentru afaceri externe si politica de securitate au prezentat ieri noua strategie de securitate cibernetica a UE. Strategia este o componenta-cheie a conturarii viitorului digital al Europei, a planului de redresare pentru Europa si a Strategiei UE privind o uniune a securitatii; in aceasta calitate, strategia va consolida rezilienta colectiva a Europei la amenintarile cibernetice si va contribui la asigurarea faptului ca toti cetatenii si toate intreprinderile pot beneficia pe deplin de servicii si instrumente digitale de incredere si fiabile. Indiferent de dispozitivele conectate, reteaua energetica sau bancile, avioanele, administratiile publice si spitalele pe care europenii le utilizeaza sau le frecventeaza, acestia merita sa o faca in deplina siguranta ca vor fi protejati de amenintarile cibernetice.
Noua strategie de securitate cibernetica ii permite, de asemenea, Uniunii Europene sa se afirme ca lider in materie de norme si standarde internationale in spatiul cibernetic si sa consolideze cooperarea cu partenerii din intreaga lume pentru a promova un spatiu cibernetic mondial, deschis, stabil si sigur, bazat pe statul de drept, drepturile omului, libertatile fundamentale si valorile democratice.
In plus, Comisia prezinta propuneri pentru a aborda rezilienta cibernetica si fizica a entitatilor si a retelelor critice: o Directiva privind masuri pentru un nivel comun ridicat de securitate cibernetica in Uniune (Directiva NIS revizuita sau „NIS 2”) si o noua Directiva privind rezilienta entitatilor. Propunerile acopera o gama larga de sectoare si vizeaza abordarea, intr-un mod coerent si complementar, a riscurilor actuale si viitoare din mediul online si offline, de la atacuri cibernetice la criminalitate sau dezastre naturale.
Increderea si securitatea sunt elementele centrale ale Deceniului digital al UE
Noua strategie de securitate cibernetica urmareste sa asigure un internet mondial si deschis si prevede totodata garantii menite nu numai sa asigure securitatea, ci si sa protejeze valorile europene si drepturile fundamentale ale tuturor. Pe baza realizarilor din lunile recente si din ultimii ani, strategia cuprinde propuneri concrete de initiative in materie de reglementare, de investitii si de politica in trei domenii de actiune ale UE.
Rezilienta, suveranitate tehnologica si pozitia de lider
In cadrul acestei componente, Comisia propune reformarea normelor privind securitatea retelelor si a sistemelor informatice in cadrul unei Directive privind masuri pentru un nivel comun ridicat de securitate cibernetica in Uniune (Directiva NIS revizuita sau „NIS 2”), cu scopul de a intari rezilienta cibernetica a sectoarelor publice si private critice: spitalele, retelele energetice, caile ferate, dar si centrele de date, administratiile publice, laboratoarele de cercetare si centrele care fabrica dispozitive medicale si medicamente critice, precum si alte infrastructuri si servicii critice trebuie sa ramana impermeabile intr-un mediu in care amenintarile sunt din ce in ce mai complexe si evolueaza rapid.
Comisia propune, de asemenea, lansarea la nivelul intregii UE a unei retele de centre de operatiuni de securitate, bazata pe inteligenta artificiala (IA), care sa constituie un adevarat „scut de securitate cibernetica” pentru UE, capabil sa detecteze semnele unui atac cibernetic suficient de devreme si sa permita luarea de actiuni proactive inainte de producerea unor daune. Alte masuri vizeaza acordarea unui sprijin specific intreprinderilor mici si mijlocii (IMM-uri) in cadrul centrelor de inovare digitala, depunerea unor eforturi sporite de perfectionare a competentelor fortei de munca, de atragere si de mentinere a persoanelor celor mai talentate in materie de securitate cibernetica, precum si realizarea de investitii in cercetare si inovare deschise, competitive si bazate pe excelenta.
Consolidarea capacitatii operationale de prevenire, descurajare si raspuns
Comisia pregateste, printr-un proces progresiv si incluziv cu statele membre, crearea unei noi unitati comune de securitate cibernetica; aceasta va consolida cooperarea dintre organismele UE si autoritatile statelor membre responsabile de prevenirea si descurajarea atacurilor cibernetice si de raspunsul la acestea, inclusiv comunitatea civila, autoritatile de aplicare a legii, mediul diplomatic si entitatile de aparare cibernetica. Inaltul Reprezentant prezinta propuneri de consolidare a setului UE de instrumente pentru diplomatia cibernetica pentru prevenirea, descurajarea si infranarea activitatilor cibernetice rauvoitoare, precum si pentru raspunsul la acestea; sunt vizate in special activitatile cibernetice rauvoitoare care ne afecteaza infrastructura critica, lanturile de aprovizionare, institutiile si procesele democratice. UE va depune totodata eforturi pentru a consolida in continuare cooperarea in domeniul apararii cibernetice si a dezvolta capabilitati de aparare cibernetica de ultima generatie; pentru aceasta, Uniunea se va baza pe activitatea Agentiei Europene de Aparare si va incuraja statele membre sa utilizeze pe deplin cooperarea structurata permanenta si Fondul european de aparare.
Promovarea unui spatiu cibernetic mondial si deschis printr-o cooperare sporita
UE isi va intensifica colaborarea cu partenerii internationali pentru a consolida ordinea internationala bazata pe norme, pentru a promova securitatea si stabilitatea internationala in spatiul cibernetic si pentru a proteja drepturile omului si libertatile fundamentale online. UE va promova normele si standardele internationale care reflecta aceste valori fundamentale ale UE, in colaborare cu partenerii sai internationali in cadrul Organizatiei Natiunilor Unite si al altor foruri relevante. UE isi va imbunatati in continuare setul de instrumente privind diplomatia cibernetica si isi va intensifica eforturile pentru a consolida capacitatile cibernetice in tarile terte prin elaborarea unei agende a UE privind consolidarea capacitatilor cibernetice externe. Dialogurile cibernetice cu tarile terte, cu organizatiile regionale si internationale, precum si cu comunitatea multiparticipativa vor fi intensificate. UE va infiinta, de asemenea, o retea a UE de diplomatie cibernetica in intreaga lume, pentru a-si promova viziunea privind spatiul cibernetic.
UE se angajeaza sa sprijine noua strategie de securitate cibernetica prin investitii fara precedent in tranzitia digitala a UE in urmatorii sapte ani, cu ajutorul urmatorului buget pe termen lung al UE, in special prin programul Europa digitala si Orizont Europa, precum si prin Planul de redresare pentru Europa. Statele membre sunt asadar incurajate sa utilizeze pe deplin mecanismul UE de redresare si rezilienta pentru a spori securitatea cibernetica si pentru a reflecta nivelul investitiilor UE. Obiectivul este de a se ajunge la investitii combinate in valoare de pana la 4,5 miliarde euro din partea UE, a statelor membre si a sectorului, in special in cadrul Centrului de competente in materie de securitate cibernetica si al Retelei de centre de coordonare, si de a se asigura ca IMM-urile beneficiaza de o mare parte a acestor investitii.
Comisia urmareste, de asemenea, sa consolideze capacitatile industriale si tehnologice ale UE in materie de securitate cibernetica, inclusiv prin proiecte sprijinite in comun cu fonduri din bugetul UE si din bugetele nationale. UE are ocazia unica de a-si pune in comun resursele pentru a-si consolida autonomia strategica si pozitia de lider in materie de securitate cibernetica de-a lungul lantului de aprovizionare digital (inclusiv date si cloud, tehnologii pe baza de procesoare de noua generatie, conectivitate extrem de sigura si retele 6G), in conformitate cu valorile si prioritatile sale.
Rezilienta cibernetica si fizica a retelelor, a sistemelor informatice si a entitatilor critice
Masurile existente la nivelul UE menite sa protejeze serviciile si infrastructurile esentiale impotriva riscurilor cibernetice si fizice trebuie actualizate. Riscurile in materie de securitate cibernetica continua sa evolueze odata cu cresterea nivelului de digitalizare si interconectare. Riscurile fizice au devenit, de asemenea, mai complexe de la adoptarea normelor UE din 2008 privind infrastructura critica, norme care acopera in prezent doar sectoarele energiei si transporturilor. Revizuirile vizeaza actualizarea normelor pentru a urma logica strategiei UE privind uniunea securitatii, depasirea falsei dihotomii intre mediul online si mediul offline si eliminarea abordarii compartimentate.
Pentru a raspunde amenintarilor tot mai mari generate de digitalizare si interconectare, propunerea de Directiva privind masuri pentru un nivel comun ridicat de securitate cibernetica in Uniune (Directiva NIS revizuita sau „NIS 2”) va include in domeniul sau de aplicare entitatile mijlocii si mari din mai multe sectoare, in functie de caracterul lor critic pentru economie si societate. NIS 2 consolideaza cerintele de securitate impuse intreprinderilor, abordeaza securitatea lanturilor de aprovizionare si relatiile cu furnizorii, simplifica obligatiile de raportare, introduce masuri de supraveghere mai stricte pentru autoritatile nationale si cerinte mai stricte de asigurare a respectarii legii, urmarind totodata armonizarea regimurilor de sanctiuni in toate statele membre. Propunerea NIS 2 va contribui la intensificarea schimbului de informatii si a cooperarii privind gestionarea crizelor cibernetice la nivel national si la nivelul UE.
Propunerea de Directiva privind rezilienta entitatilor critice extinde si aprofundeaza domeniul de aplicare al Directivei din 2008 privind infrastructurile critice europene. In prezent sunt vizate zece sectoare: energia, transporturile, activitatea bancara, infrastructurile pietei financiare, sanatatea, apa potabila, apa reziduala, infrastructura digitala, administratia publica si spatiul. In temeiul directivei propuse, fiecare stat membru ar urma sa adopte o strategie nationala pentru a asigura rezilienta entitatilor critice si ar efectua evaluari periodice ale riscurilor. Aceste evaluari ar contribui, de asemenea, la identificarea unui subset mai mic de entitati critice care ar fi supuse unor obligatii menite sa le consolideze rezilienta in fata riscurilor non-cibernetice; printre obligatii se numara evaluarea riscurilor la nivel de entitate, luarea de masuri tehnice si organizatorice si notificarea incidentelor. La randul sau, Comisia ar urma sa ofere sprijin complementar statelor membre si entitatilor critice, de exemplu elaborand o imagine de ansamblu la nivelul Uniunii a riscurilor transfrontaliere si transsectoriale, precum si bune practici, metodologii, activitati de formare transfrontaliera si exercitii pentru testarea rezilientei entitatilor critice.
Asigurarea functionarii retelelor de generatie urmatoare: tehnologia 5G si tehnologii viitoare
In cadrul noii strategii de securitate cibernetica, statele membre, cu sprijinul Comisiei si al ENISA (Agentia Uniunii Europene pentru Securitate Cibernetica), sunt incurajate sa finalizeze implementarea setului de instrumente al UE in materie de 5G, care ofera o abordare cuprinzatoare si obiectiva bazata pe riscuri pentru securitatea retelelor 5G si a generatiilor viitoare de retele.
Potrivit unui raport referitor la impactul Recomandarii Comisiei privind securitatea cibernetica a retelelor 5G si la stadiul implementarii setului de instrumente al UE cuprinzand masuri de atenuare, de la raportul din iulie 2020 privind progresele inregistrate, majoritatea statelor membre se afla deja pe calea cea buna in ceea ce priveste implementarea masurilor recomandate. Acestea ar trebui acum sa vizeze finalizarea implementarii pana in al doilea trimestru al anului 2021 si sa se asigure ca riscurile identificate sunt atenuate in mod corespunzator, in mod coordonat, in special in vederea reducerii la minimum a expunerii la furnizorii cu grad ridicat de risc si a evitarii dependentei de acesti furnizori. De asemenea, Comisia stabileste astazi principalele obiective si actiuni menite sa continue activitatea coordonata la nivelul UE.
"Europa se angajeaza pe calea transformarii digitale a societatii si a economiei. Trebuie deci sa o sprijinim cu niveluri de investitii fara precedent. Transformarea digitala se accelereaza, dar ea va avea succes numai daca cetatenii si intreprinderile sunt convinsi ca produsele si serviciile conectate, pe care se bazeaza, sunt sigure", a declarat Margrethe Vestager, vicepresedinta executiva pentru o Europa pregatita pentru era digitala.
Josep Borrell, Inaltul Reprezentant, a precizat: "Securitatea si stabilitatea internationale depind mai mult ca niciodata de un spatiu cibernetic global, deschis, stabil si sigur, in care statul de drept, drepturile omului, libertatile si democratia sa fie respectate. Strategia de astazi constituie un demers prin care UE vizeaza protejarea guvernelor, a cetatenilor si a intreprinderilor sale impotriva amenintarilor cibernetice mondiale si atingerea pozitiei de lider in spatiul cibernetic si se asigura in acelasi timp ca toti cetatenii pot beneficia de avantajele internetului si de utilizarea tehnologiilor".
La randul sau, Margaritis Schinas, vicepresedintele pentru promovarea modului de viata european, a adaugat: "Securitatea cibernetica este o parte centrala a uniunii securitatii. Nu mai exista distinctii intre amenintarile online si cele offline. Mediul digital si cel fizic sunt acum indisolubil legate intre ele. Setul de masuri de astazi arata ca UE este pregatita sa isi utilizeze toate resursele si cunostintele de specialitate cu scopul de a se pregati pentru amenintarile fizice si cibernetice si de a raspunde acestora cu aceeasi hotarare".
"Amenintarile cibernetice evolueaza rapid si sunt din ce in ce mai complexe si adaptabile. Pentru a asigura protectia cetatenilor si a infrastructurilor, trebuie sa gandim in perspectiva. Scutul de securitate cibernetica al Europei, un dispozitiv rezilient si autonom, ne va permite sa ne utilizam calificarile si cunostintele pentru a detecta amenintarile si a reactiona mai rapid la acestea, pentru a limita eventualele daune si pentru a ne spori rezilienta. Investitiile in securitatea cibernetica sunt investitii in sanatatea viitoare a mediilor noastre online si in autonomia noastra strategica", a subliniat si Thierry Breton, comisarul pentru piata interna.
"Spitalele, sistemele de ape reziduale sau infrastructura de transport nu pot fi puternice daca au chiar si o singura veriga slaba; perturbarile survenite intr-o parte a Uniunii risca sa afecteze furnizarea de servicii esentiale in alta parte. Pentru a asigura buna functionare a pietei interne si mijloacele de subzistenta ale celor care traiesc in Europa, infrastructura noastra esentiala trebuie sa fie rezistenta la riscuri cum ar fi dezastrele naturale, atacurile teroriste sau accidentele si la pandemii precum cea cu care ne confruntam in prezent. Propunerea mea privind infrastructura critica vizeaza tocmai acest obiectiv", a adaugat Ylva Johansson, comisarul pentru afaceri interne.
Etapele urmatoare
Comisia Europeana si Inaltul Reprezentant s-au angajat sa implementeze noua strategie de securitate cibernetica in lunile urmatoare. Acestia vor prezenta periodic rapoarte privind progresele inregistrate si vor asigura informarea deplina a Parlamentului European, a Consiliului Uniunii Europene si a partilor interesate, precum si implicarea acestora in toate actiunile relevante.
In prezent, este de competenta Parlamentului European si a Consiliului sa examineze si sa adopte propunerea de Directiva NIS 2 si Directiva privind rezilienta entitatilor critice. Odata ce propunerile vor fi aprobate si adoptate in consecinta, statele membre vor trebui sa le transpuna in termen de 18 luni de la intrarea lor in vigoare.
Comisia va revizui periodic Directiva NIS 2 si Directiva privind rezilienta entitatilor critice si va raporta cu privire la functionarea acestora.
***
Securitatea cibernetica este una dintre principalele prioritati ale Comisiei si una dintre pietrele de temelie ale Europei digitale si conectate. Cresterea numarului de atacuri cibernetice in timpul crizei provocate de coronavirus a demonstrat cat de importanta este protejarea spitalelor, a centrelor de cercetare si a altor infrastructuri. Sunt necesare actiuni ferme in acest domeniu pentru a orienta economia si societatea UE catre viitor.
Noua strategie de securitate cibernetica propune integrarea securitatii cibernetice in fiecare element al lantului de aprovizionare si corelarea intr-o mai mare masura a activitatilor si a resurselor UE in cadrul celor patru comunitati ale securitatii cibernetice - piata interna, asigurarea respectarii legii, sectorul diplomatiei si cel al apararii.