Νέα στρατηγική της ΕΕ για την κυβερνοασφάλεια και καινούργιοι κανόνες

 Προτάσεις για κανονιστικές και επενδυτικές πρωτοβουλίες, καθώς και για πρωτοβουλίες πολιτικής, σε τρεις τομείς δράσης της Ευρωπαϊκής Ένωσης περιλαμβάνει η νέα στρατηγική για την κυβερνοασφάλεια που ανακοινώθηκε χθες από την Επιτροπή με στόχο να διαφυλάξει ένα παγκόσμιο και ανοικτό διαδίκτυο. Αναλυτικότερα, σύμφωνα μετά κείμενα που έδωσε στη δημοσιότητα:

Ανθεκτικότητα, τεχνολογική κυριαρχία και ηγετική θέση

Στο πλαίσιο αυτού του σκέλους δράσης, η Επιτροπή προτείνει τη μεταρρύθμιση των κανόνων για την ασφάλεια των συστημάτων δικτύου και πληροφοριών, βάσει οδηγίας σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση (αναθεωρημένη οδηγία NIS ή «NIS 2»), προκειμένου να αυξηθεί το επίπεδο κυβερνοανθεκτικότητας των κρίσιμων δημόσιων και ιδιωτικών τομέων: τα νοσοκομεία, τα ενεργειακά δίκτυα, οι σιδηρόδρομοι, αλλά και τα κέντρα δεδομένων, οι δημόσιες διοικήσεις, τα ερευνητικά εργαστήρια και οι εγκαταστάσεις κατασκευής ιατροτεχνολογικών προϊόντων και φαρμάκων ζωτικής σημασίας, καθώς και άλλες υποδομές και υπηρεσίες ζωτικής σημασίας, πρέπει να παραμείνουν αδιαπέραστα, σε ένα όλο και ταχύτερα εξελισσόμενο και πολύπλοκο περιβάλλον απειλών.

Η Επιτροπή προτείνει επίσης τη δημιουργία ενός δικτύου κέντρων επιχειρήσεων ασφάλειας σε ολόκληρη την ΕΕ, τροφοδοτούμενου από την τεχνητή νοημοσύνη (ΤΝ), το οποίο θα αποτελεί πραγματική «ασπίδα κυβερνοασφάλειας» για την ΕΕ, ικανή να εντοπίζει εγκαίρως ενδείξεις κυβερνοεπίθεσης και να καθιστά δυνατή την ανάληψη προορατικής δράσης πριν από την πρόκληση βλάβης. Τα πρόσθετα μέτρα θα περιλαμβάνουν ειδική στήριξη για τις μικρές και μεσαίες επιχειρήσεις (ΜΜΕ), στο πλαίσιο των κόμβων ψηφιακής καινοτομίας, καθώς και αυξημένες προσπάθειες για την αναβάθμιση των δεξιοτήτων του εργατικού δυναμικού, για την προσέλκυση και διατήρηση των καλύτερων ταλέντων στον τομέα της κυβερνοασφάλειας και για επενδύσεις σε έρευνα και καινοτομία που θα είναι ανοικτές, ανταγωνιστικές και βασιζόμενες στην αριστεία.

Ανάπτυξη επιχειρησιακής ικανότητας πρόληψης, αποτροπής και αντιμετώπισης

Η Επιτροπή προετοιμάζει, μέσω προοδευτικής και χωρίς αποκλεισμούς διαδικασίας με τα κράτη μέλη, μια νέα Κοινή Μονάδα Κυβερνοχώρου, με σκοπό την ενίσχυση της συνεργασίας μεταξύ των οργάνων της ΕΕ και των αρχών των κρατών μελών που έχουν την αρμοδιότητα πρόληψης, αποτροπής και αντιμετώπισης κυβερνοεπιθέσεων, συμπεριλαμβανομένων των μη στρατιωτικών και διπλωματικών κοινοτήτων, καθώς και των κοινοτήτων επιβολής του νόμου και κυβερνοάμυνας. Ο ύπατος εκπρόσωπος υποβάλλει προτάσεις για την ενίσχυση της εργαλειοθήκης της ΕΕ για τη διπλωματία στον κυβερνοχώρο με σκοπό την αποτελεσματική πρόληψη, αποθάρρυνση, αποτροπή και αντιμετώπιση κακόβουλων δραστηριοτήτων στον κυβερνοχώρο, ιδίως εκείνων που επηρεάζουν τις υποδομές ζωτικής σημασίας, τις αλυσίδες εφοδιασμού, τους δημοκρατικούς θεσμούς και τις δημοκρατικές διαδικασίες μας. Η ΕΕ θα επιδιώξει επίσης να ενισχύσει περαιτέρω τη συνεργασία στον τομέα της κυβερνοάμυνας και να αναπτύξει σύγχρονες ικανότητες κυβερνοάμυνας, αξιοποιώντας το έργο του Ευρωπαϊκού Οργανισμού Άμυνας και ενθαρρύνοντας τα κράτη μέλη να αξιοποιήσουν πλήρως τη μόνιμη διαρθρωμένη συνεργασία και το Ευρωπαϊκό Ταμείο Άμυνας.

Προώθηση ενός παγκόσμιου και ανοικτού κυβερνοχώρου μέσω αυξημένης συνεργασίας

Η ΕΕ θα εντείνει τη συνεργασία της με τους διεθνείς εταίρους για την ενίσχυση της παγκόσμιας τάξης που βασίζεται σε κανόνες, την προώθηση της διεθνούς ασφάλειας και σταθερότητας στον κυβερνοχώρο, και την προστασία των ανθρωπίνων δικαιωμάτων και των θεμελιωδών ελευθεριών στο διαδίκτυο. Θα προωθήσει διεθνείς κανόνες και πρότυπα που αντικατοπτρίζουν αυτές τις βασικές αξίες της ΕΕ, συνεργαζόμενη με τους διεθνείς εταίρους της στα Ηνωμένα Έθνη και σε άλλα σχετικά φόρουμ. Η ΕΕ θα ενισχύσει περαιτέρω την εργαλειοθήκη της για τη διπλωματία στον κυβερνοχώρο και θα εντείνει τις προσπάθειες ανάπτυξης ικανοτήτων στον κυβερνοχώρο σε τρίτες χώρες με την εκπόνηση ενός θεματολογίου για την ανάπτυξη των εξωτερικών ικανοτήτων της ΕΕ στον κυβερνοχώρο. Θα εντατικοποιηθούν οι κυβερνοδιάλογοι με τρίτες χώρες, περιφερειακούς και διεθνείς οργανισμούς, καθώς και με την πολυσυμμετοχική κοινότητα. Η ΕΕ θα δημιουργήσει επίσης δίκτυο της ΕΕ για τη διπλωματία στον κυβερνοχώρο σε ολόκληρο τον κόσμο για να προωθήσει το όραμά της για τον κυβερνοχώρο.

Η ΕΕ έχει δεσμευτεί να στηρίξει τη νέα στρατηγική για την κυβερνοασφάλεια με πρωτοφανές επίπεδο επενδύσεων στο πλαίσιο της ψηφιακής μετάβασης της ΕΕ κατά την επόμενη επταετία, μέσω του επόμενου μακροπρόθεσμου προϋπολογισμού της ΕΕ, ιδίως του προγράμματος «Ψηφιακή Ευρώπη» και του προγράμματος «Ορίζων Ευρώπη», καθώς και του σχεδίου ανάκαμψης για την Ευρώπη. Ως εκ τούτου, τα κράτη μέλη ενθαρρύνονται να αξιοποιήσουν πλήρως τον Μηχανισμό Ανάκαμψης και Ανθεκτικότητας της ΕΕ για να ενισχύσουν την κυβερνοασφάλεια και να πραγματοποιήσουν ισόποσες επενδύσεις με τις επενδύσεις σε επίπεδο ΕΕ. Στόχος είναι να πραγματοποιηθούν συνδυασμένες επενδύσεις ύψους έως και 4,5 δισ. EUR από την ΕΕ, τα κράτη μέλη και τον κλάδο, ιδίως στο πλαίσιο του Κέντρου Ικανοτήτων Κυβερνοασφάλειας και του Δικτύου Κέντρων Συντονισμού, και να διασφαλιστεί ότι σημαντικό μέρος θα διατεθεί στις ΜΜΕ.

Η Επιτροπή αποσκοπεί επίσης στην ενίσχυση των βιομηχανικών και τεχνολογικών ικανοτήτων της ΕΕ στον τομέα της κυβερνοασφάλειας, μεταξύ άλλων μέσω έργων που υποστηρίζονται από κοινού από τον προϋπολογισμό της ΕΕ και τους εθνικούς προϋπολογισμούς. Η ΕΕ έχει τη μοναδική ευκαιρία να συνδυάσει τους πόρους της για να ενισχύσει τη στρατηγική αυτονομία της και να προωθήσει την ηγετική της θέση στον τομέα της κυβερνοασφάλειας σε ολόκληρη την ψηφιακή αλυσίδα εφοδιασμού (συμπεριλαμβανομένων των δεδομένων και του υπολογιστικού νέφους, των τεχνολογιών επεξεργαστών επόμενης γενιάς, της εξαιρετικά ασφαλούς συνδεσιμότητας και των δικτύων 6G), σύμφωνα με τις αξίες και τις προτεραιότητές της.

Κυβερνοανθεκτικότητα και φυσική ανθεκτικότητα συστημάτων δικτύου και πληροφοριών και κρίσιμων οντοτήτων

Τα υφιστάμενα μέτρα σε επίπεδο ΕΕ που αποσκοπούν στην προστασία των βασικών υπηρεσιών και υποδομών τόσο από κυβερνοκινδύνους όσο και από φυσικούς κινδύνους πρέπει να επικαιροποιηθούν.

Για την αντιμετώπιση των αυξανόμενων απειλών λόγω της ψηφιοποίησης και της διασύνδεσης, η προτεινόμενη οδηγία σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση (αναθεωρημένη οδηγία NIS ή «NIS 2») θα καλύπτει μεσαίες και μεγάλες οντότητες από περισσότερους τομείς με βάση την κρισιμότητά τους για την οικονομία και την κοινωνία. Η NIS 2 ενισχύει τις απαιτήσεις ασφάλειας που επιβάλλονται στις εταιρείες, αντιμετωπίζει τα ζητήματα της ασφάλειας των αλυσίδων εφοδιασμού και των σχέσεων με τους προμηθευτές, εξορθολογίζει τις υποχρεώσεις υποβολής εκθέσεων, εισάγει αυστηρότερα εποπτικά μέτρα για τις εθνικές αρχές και αυστηρότερες απαιτήσεις επιβολής, και αποσκοπεί στην εναρμόνιση των καθεστώτων κυρώσεων σε όλα τα κράτη μέλη. Η πρόταση NIS 2 θα συμβάλει στην αύξηση της ανταλλαγής πληροφοριών και της συνεργασίας για τη διαχείριση κυβερνοκρίσεων σε εθνικό και ενωσιακό επίπεδο.

Η προτεινόμενη οδηγία σχετικά με την ανθεκτικότητα των κρίσιμων οντοτήτων διευρύνει τόσο το πεδίο εφαρμογής όσο και το βάθος της οδηγίας του 2008 για τις ευρωπαϊκές υποδομές ζωτικής σημασίας. Καλύπτονται πλέον δέκα τομείς: ενέργεια, μεταφορές, τράπεζες, υποδομές χρηματοπιστωτικών αγορών, υγεία, πόσιμο νερό, λύματα, ψηφιακή υποδομή, δημόσια διοίκηση και διάστημα. Βάσει της προτεινόμενης οδηγίας, κάθε κράτος μέλος θα εγκρίνει εθνική στρατηγική για να διασφαλιστεί η ανθεκτικότητα των κρίσιμων οντοτήτων και θα διενεργεί τακτικές εκτιμήσεις κινδύνου. Οι εν λόγω εκτιμήσεις θα συμβάλουν επίσης στον προσδιορισμό ενός μικρότερου υποσυνόλου κρίσιμων οντοτήτων οι οποίες θα υπόκεινται σε υποχρεώσεις που θα αποσκοπούν στην ενίσχυση της ανθεκτικότητάς τους έναντι κινδύνων που δεν σχετίζονται με τον κυβερνοχώρο, συμπεριλαμβανομένων των εκτιμήσεων κινδύνου σε επίπεδο οντότητας, της λήψης τεχνικών και οργανωτικών μέτρων και της κοινοποίησης περιστατικών. Η Επιτροπή, με τη σειρά της, θα παρέχει συμπληρωματική στήριξη στα κράτη μέλη και τις κρίσιμες οντότητες, για παράδειγμα με την ανάπτυξη ενωσιακής επισκόπησης των διασυνοριακών και διατομεακών κινδύνων, βέλτιστων πρακτικών, μεθοδολογιών, διασυνοριακών δραστηριοτήτων κατάρτισης και ασκήσεων για τον έλεγχο της ανθεκτικότητας των κρίσιμων οντοτήτων.

Ασφαλέστερα δίκτυα επόμενης γενιάς: το 5G και πέραν αυτού

Στο πλαίσιο της νέας στρατηγικής της ΕΕ για την κυβερνοασφάλεια, τα κράτη μέλη, με τη στήριξη της Επιτροπής και του ENISA — του Ευρωπαϊκού Οργανισμού για την Κυβερνοασφάλεια, ενθαρρύνονται να ολοκληρώσουν την εφαρμογή της εργαλειοθήκης της ΕΕ για το 5G, μιας ολοκληρωμένης και αντικειμενικής προσέγγισης βάσει κινδύνου, για την ασφάλεια των δικτύων 5G και των μελλοντικών γενεών δικτύων.

Σύμφωνα με έκθεση που δημοσιεύτηκε χθες σχετικά με τον αντίκτυπο της σύστασης της Επιτροπής για την κυβερνοασφάλεια δικτύων 5G και την πρόοδο στην εφαρμογή της εργαλειοθήκης της ΕΕ με μέτρα μετριασμού, μετά την έκθεση προόδου του Ιουλίου του 2020, τα περισσότερα κράτη μέλη βρίσκονται ήδη σε καλό δρόμο όσον αφορά την εφαρμογή των μέτρων που συστήνονται. Στόχος τους τώρα θα πρέπει να είναι να ολοκληρωθεί η εφαρμογή τους έως το δεύτερο τρίμηνο του 2021 και να διασφαλιστεί επαρκής μετριασμός των κινδύνων που έχουν εντοπιστεί, με συντονισμένο τρόπο, ιδίως για να ελαχιστοποιηθεί η έκθεση σε προμηθευτές υψηλού κινδύνου και να αποφευχθεί η εξάρτηση από τους εν λόγω προμηθευτές.

Επόμενα βήματα

Η Ευρωπαϊκή Επιτροπή και ο ύπατος εκπρόσωπος δεσμεύονται να εφαρμόσουν τη νέα στρατηγική για την κυβερνοασφάλεια κατά τους προσεχείς μήνες. Θα υποβάλλουν τακτικά εκθέσεις σχετικά με την πρόοδο που σημειώνεται και θα ενημερώνουν πλήρως το Ευρωπαϊκό Κοινοβούλιο, το Συμβούλιο της Ευρωπαϊκής Ένωσης και τα ενδιαφερόμενα μέρη για όλες τις σχετικές δράσεις, ενώ θα ενθαρρύνεται η συμμετοχή τους σε αυτές.

Εναπόκειται πλέον στο Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο να εξετάσουν και να εγκρίνουν την προτεινόμενη οδηγία NIS 2 και την οδηγία σχετικά με την ανθεκτικότητα των κρίσιμων οντοτήτων. Μόλις επιτευχθεί συμφωνία και εγκριθούν οι προτάσεις, τα κράτη μέλη θα πρέπει να τις μεταφέρουν στο εθνικό τους δίκαιο εντός 18 μηνών από την έναρξη ισχύος τους.

Η Επιτροπή θα επανεξετάζει περιοδικά την οδηγία NIS 2 και την οδηγία σχετικά με την ανθεκτικότητα των κρίσιμων οντοτήτων και θα υποβάλλει εκθέσεις σχετικά με τη λειτουργία τους.