Kybernetická bezpečnost - posílení kapacit EU v zájmu účinné operativní spolupráce, solidarity a odolnosti

Komise dnes přijala návrh aktu EU o kybernetické solidaritě, který má posílit kybernetickobezpečnostní kapacitu EU. Aktem se má zefektivnit odhalování kybernetických bezpečnostních hrozeb a incidentů, rozšířit povědomí o této problematice, posílit připravenost kritických subjektů a podpořit solidarita, koordinované řešení krizí a rozvoj schopnosti reakce ve všech členských státech. V aktu se stanoví, jaké schopnosti bude EU rozvíjet, aby se zajistila větší odolnost a reakceschopnost Evropy vůči kybernetickým hrozbám, a zároveň se posiluje stávající mechanismus spolupráce. Na základě aktu se má přispět k zajištění bezpečného a zabezpečeného digitálního prostředí pro občany a podniky a k ochraně kritických subjektů a základních služeb, jako jsou nemocnice a veřejné služby.

V rámci Evropského roku dovedností 2023 Komise rovněž představila projekt Akademie dovedností v oblasti kybernetické bezpečnosti s cílem zaujmout koordinovanější přístup při řešení nedostatku odborníků v této oblasti, což je podmínkou vyšší odolnosti Evropy vůči těmto hrozbám. Díky Akademii se propojí různé stávající iniciativy zaměřené na podporu dovedností v této oblasti a zpřístupní se na online platformě, čímž se zvýší jejich viditelnost a postupně dojde k rozšíření řad kvalifikovaných odborníků v tomto sektoru v EU.

ProstřednictvímEvropské bezpečnostní unie je EU odhodlána zajistit ochranu všech evropských občanů a podniků online i offline a dále podporovat rozvoj otevřeného, bezpečného a stabilního kyberprostoru. Rostoucí počet kybernetických bezpečnostních incidentů, jejich četnost a dopad představují však i nadále závažnou hrozbu jak pro fungování sítí a informačních systémů, tak pro jednotný evropský trh. Situace se dále zhoršila v důsledku vojenské agrese Ruska vůči Ukrajině, kterou doprovází činnost množství na stát napojených zločineckých a hacktivistických aktérů, jež se do současného geopolitického napětí zapojují.

Na základě stávajícího silného strategického, politického a legislativního rámce mají navrhovaný akt EU o kybernetické solidaritě a Akademie dovedností v oblasti kybernetické bezpečnosti přispět k efektivnějšímu odhalování kybernetických hrozeb a ke zvýšení odolnosti a připravenosti unijního ekosystému kybernetické bezpečnosti, a to na všech úrovních.

Akt EU o kybernetické solidaritě

Na základě tohoto aktu se má posílit solidarita na úrovni Unie a zefektivnit odhalování významných nebo rozsáhlých kybernetických bezpečnostních incidentů, příprava na ně i následná reakce. Bude totiž vytvořen evropský štít pro kybernetickou bezpečnost a komplexní mechanismus pro mimořádné případy kybernetické hrozby.

Aby bylo možné případy závažných kybernetických hrozeb rychle a efektivně odhalovat, navrhuje Komise zřídit evropský kybernetický štít, tedy evropskou infrastrukturu národních a přeshraničních bezpečnostních operačních středisek (SOC) v celé EU.Jedná se o subjekty, jejichž úkolem je odhalovat kybernetické hrozby a reagovat na ně. Operační střediska k tomu budou využívat nejmodernější technologie, jako je umělá inteligence a pokročilá analýza dat, s cílem přeshraniční kybernetické hrozby a incidenty včas odhalit a varovat ostatní. Orgány a příslušné subjekty pak budou schopny reagovat na závažné incidenty účinněji a účelněji.

Střediska by mohla být zprovozněna počátkem roku 2024. V přípravné fázi evropského kybernetického štítu vybrala Komise v dubnu 2023 v rámci programu Digitální Evropa tři konsorcia přeshraničních bezpečnostních operačních středisek (SOC), která sdružují veřejné subjekty ze 17 členských států a Islandu.

Aktem EU o kybernetické solidaritě se má rovněž zřídit mechanismus pro mimořádné případy kybernetické hrozby, jehož cílem je zvýšit připravenost a posílit schopnost reakce na takové incidenty v EU.Mechanismus bude podporovat:

Opatření v oblasti připravenosti, včetně provádění testů zranitelnosti na subjektech ve vysoce kritických odvětvích (zdravotní péče, doprava, energetika atd.), a to na základě běžných rizikových scénářů a metodik.
Vytvoření nové rezervy EU pro kybernetickou bezpečnost sestávající z týmů pro reakce na bezpečnostní incidenty zajišťovaných důvěryhodnými, předem sjednanými poskytovateli, kteří v případě závažného nebo rozsáhlého kybernetického bezpečnostního incidentu budou připraveni na žádost členského státu nebo orgánů, institucí a jiných subjektů Unie zasáhnout.
Poskytování finanční podpory na vzájemnou pomoc v případě, že by členský stát mohl nabídnout podporu jinému členskému státu.

Navrhovaným nařízením by se navíc zavedl mechanismus pro přezkum kybernetických bezpečnostních incidentů. Ten má posílit odolnost Unie tím, že bude provádět přezkum a posouzení proběhlých významných nebo rozsáhlých kybernetických bezpečnostních incidentů. Na základě získaných poznatků se následně může vydat doporučení, jak kybernetickou bezpečnost Unie optimalizovat.

Celkový rozpočet na veškerá opatření v rámci aktu EU o kybernetické solidaritě činí 1,1 miliardy eur, z čehož přibližně dvě třetiny půjdouz programu EU s názvem Digitální Evropa.

Akademie dovedností EU v oblasti kybernetické bezpečnosti

Akademie dovedností EU v oblasti kybernetické bezpečnosti propojí soukromé a veřejné iniciativy zaměřené na rozvoj dovedností v oblasti kybernetické bezpečnosti na evropské a vnitrostátní úrovni, zviditelní je a pomůže překlenout nedostatek odborníků v této oblasti.

Zpočátku bude fungovat pouze online, a to na platformě Komise pro digitální dovednosti a pracovní místa. Občané, kteří mají o kariéru v oblasti kybernetické bezpečnosti zájem, zde budou moci najít informace o možnostech financování, odborné přípravy a certifikace z celé EU – vše na jednom místě a online. Zainteresované strany se budou rovněž moci zavázat k tomu, že budou podporovat zlepšování dovedností v oblasti kybernetické bezpečnosti v EU, a to konkrétními kroky z vlastní iniciativy, například nabídkou odborné přípravy a certifikace v oblasti kybernetické bezpečnosti.

Akademie se bude postupně vyvíjet tak, aby v jejím rámci fungoval společný prostor pro akademickou obec, poskytovatele odborné přípravy a subjekty z daného sektoru. Díky tomu budou moci lépe koordinovat vzdělávací programy, odbornou přípravu, financování a sledovat vývoj trhu práce v oblasti kybernetické bezpečnosti.

Certifikační systémy pro řízené bezpečnostní služby

Komise dnes rovněž navrhla cílenou změnuaktu o kybernetické bezpečnosti s cílem umožnit budoucí schválení evropských systémů certifikace pro „řízené bezpečnostní služby“. Jedná se o vysoce kritické a citlivé služby zajišťované poskytovateli služeb kybernetické bezpečnosti, jako je reakce na incidenty, penetrační testování, bezpečnostní audity a poradenství, jež mají za cíl pomoci podnikům a jiným organizacím takovýmto incidentům předcházet, odhalovat je, reagovat na ně nebo se z nich případně zotavit.

Certifikace má naprosto zásadní význam a může sehrát důležitou úlohu v souvislosti s rezervou EU pro kybernetickou bezpečnost a směrnicí o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii (směrnicí NIS 2), což rovněž usnadňuje přeshraniční poskytování těchto služeb.

Další kroky

Navrhované nařízení o aktu EU o kybernetické solidaritě jakož i cílenou změnu aktu o kybernetické bezpečnosti nyní posoudí Evropský parlament a Rada.

Evropské centrum kompetencí pro kybernetickou bezpečnost uspořádá s vybranými přeshraničními bezpečnostními operačními středisky společné zadávání veřejných zakázek na nástroje a infrastruktury s cílem vybudovat kapacity pro odhalování kybernetických bezpečnostních incidentů.

Agentura EU pro kybernetickou bezpečnost (ENISA) a Evropské centrum kompetencí pro kybernetickou bezpečnost budou nadále pracovat na rozvoji kybernetickobezpečnostních dovedností a přispívat k fungování Akademie dovedností v oblasti kybernetické bezpečnosti, a to v souladu se svým příslušným mandátem a v úzké spolupráci s Komisí a členskými státy.

Podle návrhu Komise by Akademie mohla mít podobu konsorcia evropské digitální infrastruktury (EDIC), což je nový právní rámec pro provádění projektů, jichž se účastní více zemí. Tato možnost bude nyní projednána s členskými státy.

Je rovněž nezbytné zajistit, aby odborníci absolvovali požadovanou kvalitní odbornou přípravu. V této souvislosti vypracuje agentura ENISA pilotní projekt, v jehož rámci prozkoumá vytvoření evropského atestačního systému pro dovednosti v oblasti kybernetické bezpečnosti.

Souvislosti

Navrhovaným aktem EU o kybernetické solidaritě reaguje Komise na výzvu členských států k posílení kybernetické odolnosti EU a plní svůj závazek vyjádřený v nedávném společném sdělení o politice EU v oblasti kybernetické obrany v zájmu přípravy iniciativy EU v oblasti kybernetické solidarity.

Akt EU o kybernetické solidaritě a Akademie dovedností v oblasti kybernetické bezpečnosti vycházejí ze Strategie kybernetické bezpečnosti EU a z unijního legislativního rámce, jejichž cílem je posílit kolektivní odolnost Unie vůči rostoucím hrozbám v oblasti kybernetické bezpečnosti. Legislativní rámec zahrnuje směrnici o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii (NIS 2) a akt o kybernetické bezpečnosti.