Η νέα στρατηγική της ΕΕ για την κυβερνοασφάλεια – Οι βασικοί πυλώνες
«Η ασφάλεια στον κυβερνοχώρο είναι κεντρικό μέρος της Ένωσης Ασφαλείας» τόνισε ο Αντιπρόεδρος της Ευρωπαϊκής Επιτροπής Μαργαρίτης Σχοινάς κατά την παρουσίαση της νέας στρατηγικής της ΕΕ για την ασφάλεια στον κυβερνοχώρο. Συμπλήρωσε ότι «δεν υπάρχει πλέον διάκριση μεταξύ διαδικτυακών και απειλών εκτός δικτύου. Το ψηφιακό και το φυσικό είναι πλέον άρρηκτα συνδεδεμένα» και υπογράμμισε ότι «η σημερινή δέσμη μέτρων δείχνει ότι η ΕΕ είναι έτοιμη να χρησιμοποιήσει όλους τους πόρους και την τεχνογνωσία της για να προετοιμαστεί και να ανταποκριθεί σε φυσικές και κυβερνοαπειλές με το ίδιο επίπεδο αποφασιστικότητας».
Eπιπροσθέτως, ο κ. Σχοινάς τόνισε ότι «η στρατηγική της ΕΕ θα στρώσει το δρόμο για καλύτερη ασφάλεια για όλους στην ΕΕ, θα λειτουργήσει ως ασπίδα, η οποία θα μας προστατεύει απέναντι στην αναπτυσσόμενη απειλή στον κυβερνοχώρο».
Ως βασική συνιστώσα της διαμόρφωσης του ψηφιακού μέλλοντος της Ευρώπης, του σχεδίου αποκατάστασης για την Ευρώπη και της στρατηγικής της ΕΕ για την ασφάλεια, η στρατηγική θα ενισχύσει τη συλλογική ανθεκτικότητα της Ευρώπης έναντι των απειλών στον κυβερνοχώρο και θα βοηθήσει να διασφαλιστεί ότι όλοι οι πολίτες και οι επιχειρήσεις μπορούν να επωφεληθούν πλήρως από αξιόπιστες υπηρεσίες και ψηφιακά εργαλεία. Είτε πρόκειται για τις συνδεδεμένες συσκευές, το ηλεκτρικό δίκτυο, είτε τις τράπεζες, τα αεροπλάνα, τις δημόσιες διοικήσεις και τα νοσοκομεία που χρησιμοποιούν ή συχνάζουν οι Ευρωπαίοι, αξίζουν να το πράξουν με τη διαβεβαίωση ότι θα προστατευτούν από απειλές στον κυβερνοχώρο.
Η νέα στρατηγική για την ασφάλεια στον κυβερνοχώρο επιτρέπει επίσης στην ΕΕ να εντείνει την ηγεσία της σε διεθνείς κανόνες και πρότυπα στον κυβερνοχώρο και να ενισχύσει τη συνεργασία με εταίρους σε όλο τον κόσμο για την προώθηση ενός παγκόσμιου, ανοικτού, σταθερού και ασφαλούς κυβερνοχώρου, που βασίζεται στο κράτος δικαίου, τα ανθρώπινα δικαιώματα, τις θεμελιώδεις ελευθερίες και δημοκρατικές αξίες.
Επιπλέον, η Επιτροπή υποβάλλει προτάσεις για την αντιμετώπιση τόσο της κυβερνητικής όσο και της φυσικής ανθεκτικότητας των κρίσιμων οντοτήτων και των δικτύων: οδηγία για μέτρα για υψηλό κοινό επίπεδο ασφάλειας στον κυβερνοχώρο σε ολόκληρη την Ένωση και μια νέα οδηγία για την ανθεκτικότητα των κρίσιμων οντοτήτων. Καλύπτουν ένα ευρύ φάσμα τομέων και στοχεύουν στην αντιμετώπιση τρεχόντων και μελλοντικών διαδικτυακών και κινδύνων εκτός σύνδεσης, από κυβερνοεπιθέσεις έως εγκλήματα ή φυσικές καταστροφές, με συνεκτικό και συμπληρωματικό τρόπο.
Η νέα στρατηγική για την ασφάλεια στον κυβερνοχώρο στοχεύει στη διαφύλαξη ενός παγκόσμιου και ανοικτού Διαδικτύου, ενώ ταυτόχρονα προσφέρει διασφαλίσεις, όχι μόνο για την ασφάλεια αλλά και για την προστασία των ευρωπαϊκών αξιών και των θεμελιωδών δικαιωμάτων όλων. Με βάση τα επιτεύγματα των τελευταίων μηνών και ετών, περιέχει συγκεκριμένες προτάσεις για ρυθμιστικές, επενδυτικές και πολιτικές πρωτοβουλίες, σε τρεις τομείς δράσης της ΕΕ:
1. Ανθεκτικότητα, τεχνολογική κυριαρχία και ηγεσία
Βάσει αυτού του σκέλους δράσης, η Επιτροπή προτείνει τη μεταρρύθμιση των κανόνων για την ασφάλεια των δικτύων και των συστημάτων πληροφοριών, βάσει μιας οδηγίας για μέτρα υψηλού κοινού επιπέδου ασφάλειας στον κυβερνοχώρο σε ολόκληρη την Ένωση (αναθεωρημένη οδηγία ΝΑΚ ή «ΝΑΚ 2»), προκειμένου να αυξηθεί το επίπεδο ανθεκτικότητας στον κυβερνοχώρο των κρίσιμων δημόσιων και ιδιωτικών τομέων: νοσοκομεία, ενεργειακά δίκτυα, σιδηρόδρομοι, αλλά και κέντρα δεδομένων, δημόσιες διοικήσεις, ερευνητικά εργαστήρια και κατασκευή κρίσιμων ιατρικών συσκευών και φαρμάκων, καθώς και άλλων κρίσιμων υποδομών και υπηρεσιών, πρέπει να παραμείνει αδιαπέραστο, σε ένα όλο και πιο γρήγορα κινούμενο και περίπλοκο περιβάλλον απειλών.
Η Επιτροπή προτείνει επίσης να ξεκινήσει ένα δίκτυο Κέντρων Επιχειρήσεων Ασφαλείας σε ολόκληρη την ΕΕ, το οποίο θα λειτουργεί με τεχνητή νοημοσύνη (AI), το οποίο θα αποτελέσει μια πραγματική «ασπίδα ασφάλειας στον κυβερνοχώρο» για την ΕΕ, ικανή να εντοπίσει σημάδια επίθεσης στον κυβερνοχώρο αρκετά νωρίς και να επιτρέψει την ενεργό δράση, πριν συμβεί ζημιά. Πρόσθετα μέτρα θα περιλαμβάνουν αποκλειστική υποστήριξη σε μικρές και μεσαίες επιχειρήσεις (ΜΜΕ), στο πλαίσιο των κόμβων ψηφιακής καινοτομίας, καθώς και αυξημένες προσπάθειες για την αναβάθμιση του εργατικού δυναμικού, την προσέλκυση και διατήρηση του καλύτερου ταλέντου στον κυβερνοασφάλεια και την επένδυση σε ανοιχτή έρευνα και καινοτομία, ανταγωνιστική και βασισμένη στην αριστεία.
2. Δημιουργία επιχειρησιακής ικανότητας για πρόληψη, αποτροπή και αντίδραση
Η Επιτροπή προετοιμάζει, μέσω μιας προοδευτικής και χωρίς αποκλεισμούς διαδικασίας με τα κράτη μέλη, μια νέα κοινή μονάδα κυβερνοχώρου, για την ενίσχυση της συνεργασίας μεταξύ των οργάνων της ΕΕ και των αρχών των κρατών μελών που είναι υπεύθυνες για την πρόληψη, την αποτροπή και την αντιμετώπιση των κυβερνοεπιθέσεων, συμπεριλαμβανομένων των πολιτικών, της επιβολής του νόμου, διπλωματικές και κυβερνοαμυντικές κοινότητες. Ο Ύπατος Εκπρόσωπος υποβάλλει προτάσεις για την ενίσχυση της εργαλειοθήκης της Cyber Diplomacy της ΕΕ για την πρόληψη, την αποθάρρυνση, την αποτροπή και την αποτελεσματική ανταπόκριση σε κακόβουλες δραστηριότητες στον κυβερνοχώρο, ιδίως εκείνες που επηρεάζουν τις κρίσιμες υποδομές, τις αλυσίδες εφοδιασμού, τους δημοκρατικούς θεσμούς και τις διαδικασίες μας. Η ΕΕ θα επιδιώξει επίσης να ενισχύσει περαιτέρω τη συνεργασία στον κυβερνοάμυνα και να αναπτύξει υπερσύγχρονες δυνατότητες στον κυβερνοάμυνα, αξιοποιώντας το έργο του Ευρωπαϊκού Οργανισμού Άμυνας και ενθαρρύνοντας τα κράτη μέλη να κάνουν πλήρη χρήση της Μόνιμης Διαρθρωμένης Συνεργασίας και της Ευρωπαϊκής Άμυνας Κεφάλαιο.
3. Προώθηση ενός παγκόσμιου και ανοικτού κυβερνοχώρου μέσω αυξημένης συνεργασίας
Η ΕΕ θα εντείνει τη συνεργασία με διεθνείς εταίρους για την ενίσχυση της παγκόσμιας τάξης που βασίζεται στους κανόνες, την προώθηση της διεθνούς ασφάλειας και σταθερότητας στον κυβερνοχώρο και την προστασία των ανθρωπίνων δικαιωμάτων και των θεμελιωδών ελευθεριών στο Διαδίκτυο. Θα προωθήσει τους διεθνείς κανόνες και πρότυπα που αντικατοπτρίζουν αυτές τις βασικές αξίες της ΕΕ, συνεργαζόμενοι με τους διεθνείς εταίρους του στα Ηνωμένα Έθνη και άλλα σχετικά φόρουμ. Η ΕΕ θα ενισχύσει περαιτέρω την εργαλειοθήκη της Cyber Diplomacy Toolbox της ΕΕ και θα αυξήσει τις προσπάθειές της για την ανάπτυξη ικανοτήτων στον κυβερνοχώρο αναπτύσσοντας ένα θεματολόγιο για την ανάπτυξη εξωτερικών κυβερνητικών ικανοτήτων της ΕΕ. Θα εντατικοποιηθούν οι διάλογοι στον κυβερνοχώρο με τρίτες χώρες, περιφερειακούς και διεθνείς οργανισμούς καθώς και με την κοινότητα πολλών ενδιαφερομένων. Η ΕΕ θα δημιουργήσει επίσης ένα δίκτυο διπλωματίας στον κυβερνοχώρο της ΕΕ σε όλο τον κόσμο για να προωθήσει το όραμά του στον κυβερνοχώρο.
Η ΕΕ έχει δεσμευτεί να υποστηρίξει τη νέα στρατηγική για την ασφάλεια στον κυβερνοχώρο με ένα άνευ προηγουμένου επίπεδο επενδύσεων στην ψηφιακή μετάβαση της ΕΕ κατά τα επόμενα επτά χρόνια, μέσω του επόμενου μακροπρόθεσμου προϋπολογισμού της ΕΕ, ιδίως του προγράμματος «Ψηφιακή Ευρώπη» και του «Ορίζοντας Ευρώπη», καθώς και της ανάκαμψης. Σχέδιο για την Ευρώπη. Τα κράτη μέλη ενθαρρύνονται επομένως να κάνουν πλήρη χρήση του μηχανισμού αποκατάστασης και ανθεκτικότητας της ΕΕ για την ενίσχυση της ασφάλειας στον κυβερνοχώρο και την αντιστοίχιση των επενδύσεων σε επίπεδο ΕΕ. Ο στόχος είναι να συγκεντρωθούν έως και 4,5 δισεκατομμύρια ευρώ συνδυασμένων επενδύσεων από την ΕΕ, τα κράτη μέλη και τον κλάδο, ιδίως στο πλαίσιο του Κέντρου Ικανότητας και του Δικτύου των Κέντρων Συντονισμού για την Ασφάλεια στον κυβερνοχώρο, και να εξασφαλιστεί ότι ένα μεγάλο μέρος θα φτάσει στις ΜΜΕ.
Η Επιτροπή στοχεύει επίσης στην ενίσχυση των βιομηχανικών και τεχνολογικών ικανοτήτων της ΕΕ στον τομέα της ασφάλειας στον κυβερνοχώρο, μεταξύ άλλων μέσω έργων που υποστηρίζονται από κοινού από κοινοτικούς και εθνικούς προϋπολογισμούς. Η ΕΕ έχει τη μοναδική ευκαιρία να συγκεντρώσει τα περιουσιακά της στοιχεία για να ενισχύσει τη στρατηγική της αυτονομία και να προωθήσει την ηγετική της θέση στην κυβερνοασφάλεια σε ολόκληρη την ψηφιακή αλυσίδα εφοδιασμού (συμπεριλαμβανομένων δεδομένων και cloud, τεχνολογίες επεξεργαστών επόμενης γενιάς, εξαιρετικά ασφαλή συνδεσιμότητα και δίκτυα 6G), σύμφωνα με την αξίες και προτεραιότητες.
Κυβερνητική και φυσική ανθεκτικότητα δικτύου, πληροφοριακών συστημάτων και κρίσιμων οντοτήτων
Τα υφιστάμενα μέτρα σε επίπεδο ΕΕ που στοχεύουν στην προστασία βασικών υπηρεσιών και υποδομών τόσο από κινδύνους στον κυβερνοχώρο όσο και από φυσικούς κινδύνους πρέπει να επικαιροποιηθούν. Οι κίνδυνοι για την ασφάλεια στον κυβερνοχώρο συνεχίζουν να εξελίσσονται με την αυξανόμενη ψηφιοποίηση και τη διασύνδεση. Οι φυσικοί κίνδυνοι έχουν επίσης γίνει πιο περίπλοκοι μετά την έγκριση των κανόνων της ΕΕ για τις κρίσιμες υποδομές του 2008, οι οποίοι επί του παρόντος καλύπτουν μόνο τους τομείς της ενέργειας και των μεταφορών. Οι αναθεωρήσεις στοχεύουν στην ενημέρωση των κανόνων ακολουθώντας τη λογική της στρατηγικής της Ένωσης για την ασφάλεια της ΕΕ, ξεπερνώντας την ψευδή διχοτομία μεταξύ διαδικτύου και εκτός σύνδεσης και καταργώντας την προσέγγιση σιλό.
Για να ανταποκριθεί στις αυξανόμενες απειλές λόγω της ψηφιοποίησης και της διασύνδεσης, η προτεινόμενη οδηγία για μέτρα υψηλού κοινού επιπέδου ασφάλειας στον κυβερνοχώρο σε ολόκληρη την Ένωση (αναθεωρημένη οδηγία ΝΑΚ ή «ΝΑΚ 2») θα καλύπτει μεσαίες και μεγάλες οντότητες από περισσότερους τομείς με βάση την κριτική τους την οικονομία και την κοινωνία. Το NIS 2 ενισχύει τις απαιτήσεις ασφάλειας που επιβάλλονται στις εταιρείες, αντιμετωπίζει την ασφάλεια των αλυσίδων εφοδιασμού και τις σχέσεις προμηθευτών, απλοποιεί τις υποχρεώσεις υποβολής εκθέσεων, εισάγει αυστηρότερα εποπτικά μέτρα για τις εθνικές αρχές, αυστηρότερες απαιτήσεις επιβολής και στοχεύει στην εναρμόνιση των καθεστώτων κυρώσεων σε όλα τα κράτη μέλη. Η πρόταση NIS 2 θα συμβάλει στην αύξηση της ανταλλαγής πληροφοριών και της συνεργασίας για τη διαχείριση κρίσεων στον κυβερνοχώρο σε εθνικό και κοινοτικό επίπεδο.
Η προτεινόμενη οδηγία για την ανθεκτικότητα των κρίσιμων οντοτήτων (CER) επεκτείνει τόσο το πεδίο εφαρμογής όσο και το βάθος της οδηγίας για την ευρωπαϊκή κρίσιμη υποδομή του 2008. Δέκα τομείς καλύπτονται τώρα: ενέργεια, μεταφορές, τραπεζικές συναλλαγές, υποδομές χρηματοπιστωτικών αγορών, υγεία, πόσιμο νερό, λύματα, ψηφιακές υποδομές, δημόσια διοίκηση και χώρος. Σύμφωνα με την προτεινόμενη οδηγία, τα κράτη μέλη θα υιοθετούσαν καθένα μια εθνική στρατηγική για τη διασφάλιση της ανθεκτικότητας των κρίσιμων οντοτήτων και θα διενεργούσαν τακτικές εκτιμήσεις κινδύνου. Αυτές οι αξιολογήσεις θα βοηθήσουν επίσης στον εντοπισμό ενός μικρότερου υποστρώματος κρίσιμων οντοτήτων που θα υπόκεινται σε υποχρεώσεις που αποσκοπούν στην ενίσχυση της ανθεκτικότητάς τους έναντι κινδύνων εκτός του κυβερνοχώρου, συμπεριλαμβανομένων των εκτιμήσεων κινδύνου σε επίπεδο οντότητας, της λήψης τεχνικών και οργανωτικών μέτρων και της ειδοποίησης συμβάντων. Η Επιτροπή, με τη σειρά της, θα παράσχει συμπληρωματική υποστήριξη στα κράτη μέλη και στις κρίσιμες οντότητες, για παράδειγμα αναπτύσσοντας μια επισκόπηση σε επίπεδο Ένωσης για τους διασυνοριακούς και διατομεακούς κινδύνους, τις βέλτιστες πρακτικές, τις μεθοδολογίες, τις δραστηριότητες διασυνοριακής κατάρτισης και τις ασκήσεις για δοκιμή την ανθεκτικότητα των κρίσιμων οντοτήτων.
Στο πλαίσιο της νέας στρατηγικής για την ασφάλεια στον κυβερνοχώρο, τα κράτη μέλη, με την υποστήριξη της Επιτροπής και του ENISA – του Ευρωπαϊκού Οργανισμού για την Ασφάλεια στον κυβερνοχώρο, ενθαρρύνονται να ολοκληρώσουν την εφαρμογή της εργαλειοθήκης EU 5G, μια ολοκληρωμένη και αντικειμενική προσέγγιση βάσει κινδύνου για την ασφάλεια του 5G και του μέλλοντος γενιές δικτύων.
Σύμφωνα με έκθεση που δημοσιεύθηκε, σχετικά με τον αντίκτυπο της σύστασης της Επιτροπής για την ασφάλεια στον κυβερνοχώρο των δικτύων 5G και την πρόοδο στην εφαρμογή της εργαλειοθήκης της ΕΕ για μέτρα μετριασμού, από την έκθεση προόδου του Ιουλίου 2020, τα περισσότερα κράτη μέλη βρίσκονται ήδη σε καλό δρόμο για την εφαρμογή τα συνιστώμενα μέτρα. Θα πρέπει τώρα να στοχεύουν στην ολοκλήρωση της εφαρμογής τους έως το δεύτερο τρίμηνο του 2021 και να διασφαλίσουν ότι οι εντοπισμένοι κίνδυνοι μετριάζονται επαρκώς, με συντονισμένο τρόπο, ιδίως με σκοπό την ελαχιστοποίηση του. Η Επιτροπή καθορίζει επίσης σήμερα βασικούς στόχους και δράσεις που αποσκοπούν στη συνέχιση του συντονισμένου έργου σε επίπεδο ΕΕ.
H Εκτελεστική Αντιπρόεδρος της ΕΕ Μαργκρέτε Βεστάγκερ, σημείωσε ότι «η Ευρώπη έχει δεσμευτεί για τον ψηφιακό μετασχηματισμό της κοινωνίας και της οικονομίας μας. Επομένως, πρέπει να το υποστηρίξουμε με πρωτοφανή επίπεδα επενδύσεων» ενώ ο Ύπατος Εκπρόσωπος της ΕΕ Ζοζέπ Μπορέλ σημείωσε ότι «η διεθνής ασφάλεια και σταθερότητα εξαρτάται περισσότερο από ποτέ από έναν παγκόσμιο, ανοιχτό, σταθερό και ασφαλή κυβερνοχώρο όπου γίνεται σεβαστό το κράτος δικαίου, τα ανθρώπινα δικαιώματα, οι ελευθερίες και η δημοκρατία»
Ο Τιερί Μπρετόν Επίτροπος για την Εσωτερική Αγορά επισήμανε ότι «οι απειλές στον κυβερνοχώρο εξελίσσονται γρήγορα, είναι όλο και πιο περίπλοκες και προσαρμόσιμες. Για να διασφαλίσουμε ότι οι πολίτες και οι υποδομές μας προστατεύονται, πρέπει να σκεφτούμε αρκετά βήματα μπροστά».
Η Ευρωπαϊκή Επιτροπή έχει δεσμευτεί να εφαρμόσει τη νέα στρατηγική για την ασφάλεια στον κυβερνοχώρο τους επόμενους μήνες. Θα υποβάλλονται τακτικά εκθέσεις σχετικά με την πρόοδο που σημειώνεται και θα ενημερώνεται πλήρως το Ευρωπαϊκό Κοινοβούλιο, το Συμβούλιο της Ευρωπαϊκής Ένωσης και τα ενδιαφερόμενα μέρη, ενώ θα υπάρχει συμμετοχή σε όλες τις σχετικές δράσεις.