Cybersikkerhed i EU — Kommissionen foreslår en fælles cyberenhed, der skal forbedre reaktionen på omfattende cyberhændelser

Foto: Pixabay

Kommissionen præsenterer i dag en vision om at opbygge en ny fælles cyberenhed, der skal tackle det stigende antal alvorlige cyberhændelser, der berører offentlige tjenester, samt livet for virksomheder og borgere i hele Den Europæiske Union. Avancerede og koordinerede reaktioner inden for cybersikkerhed er blevet stadig mere nødvendige, efterhånden som cyberangreb vokser i antal, omfang og konsekvenser, hvilket har stor indvirkning på vores sikkerhed. Alle relevante aktører i EU skal være parate til at reagere kollektivt og udveksle relevante oplysninger efter et “need to share”-princip snarere end et “need to know”-princip.

Den i dag foreslåede fælles cyberenhed, som kommissionsformand Ursula von der Leyen beskrev i sine politiske retningslinjer, har til formål at samle de ressourcer og den ekspertise, der er til rådighed for EU og dets medlemsstater, med henblik på effektivt at forebygge, afskrække fra og reagere på omfattende cyberhændelser og -kriser. Cybersikkerhedsfællesskaber, herunder civile, retshåndhævende, diplomatiske og cyberforsvarsfællesskaber samt partnere i den private sektor, opererer alt for ofte separat. Med den fælles cyberenhed får de en virtuel og fysisk samarbejdsplatform, hvor relevante EU-institutioner, -organer og -agenturer sammen med medlemsstaterne gradvist opbygger en europæisk platform for solidaritet og bistand til bekæmpelse af omfattende cyberangreb.

Henstillingen om oprettelse af en fælles cyberenhed er et vigtigt skridt hen imod fuldførelsen af den europæiske ramme for håndtering af cybersikkerhedskriser. Den er et konkret resultat af EU’s strategi for cybersikkerhed og strategien for EU’s sikkerhedsunion, der bidrager til en sikker digital økonomi og et sikkert digitalt samfund.

Som led i denne pakke aflægger Kommissionen i dag rapport om de fremskridt, der er gjort inden for rammerne af strategien for sikkerhedsunionen i de seneste måneder. Desuden har Kommissionen og Unionens højtstående repræsentant for udenrigsanliggender og sikkerhedspolitik fremlagt den første gennemførelsesrapport under strategien for cybersikkerhed som ønsket af Det Europæiske Råd, samtidig med at de har offentliggjort den femte statusrapport om gennemførelsen af den fælles ramme for imødegåelse af hybride trusler fra 2016 og den fælles meddelelse fra 2018 om øget modstandsdygtighed og styrkelse af kapaciteten til at imødegå hybride trusler. Endelig har Kommissionen truffet afgørelse om oprettelse af hovedkontoret for Den Europæiske Unions Agentur for Cybersikkerhed (ENISA) i Bruxelles i overensstemmelse med forordningen om cybersikkerhed.

En ny fælles cyberenhed, der skal forebygge og reagere på omfattende cyberhændelser

Den fælles cyberenhed vil fungere som en platform, der skal sikre en koordineret EU-reaktion på omfattende cyberhændelser og -kriser samt yde bistand til at komme sig efter disse angreb. I dag har EU og dets medlemsstater mange enheder, der er involveret på forskellige områder og sektorer. Selv om sektorerne kan være specifikke, er truslerne de samme — derfor er der behov for koordinering, udveksling af viden og endda forudgående varsling.

Deltagerne vil blive bedt om at stille operationelle ressourcer til rådighed for gensidig bistand inden for den fælles cyberenhed (se de foreslåede deltagere her). Den fælles cyberenhed vil give dem mulighed for at udveksle bedste praksis samt oplysninger i realtid om trusler, der kan opstå på deres respektive områder. Den vil også bl.a. arbejde på operationelt og teknisk plan for at gennemføre EU’s hændelses- og kriseberedskabsplan for cybersikkerhed på grundlag af nationale planer, oprette og mobilisere EU-beredskabshold for cybersikkerhed, lette vedtagelsen af protokoller for gensidig bistand blandt deltagerne, samt etablere national og grænseoverskridende overvågnings- og detektionskapacitet, herunder sikkerhedsoperationscentre.

EU’s cybersikkerhedsøkosystem er bredt og varieret, og gennem den fælles cyberenhed vil der være et fælles rum for samarbejde på tværs af forskellige fællesskaber og områder, hvilket vil gøre det muligt for de eksisterende netværk at udnytte deres fulde potentiale. Den bygger på det arbejde, der blev indledt i 2017 med henstillingen om en koordineret reaktion på hændelser og kriser — også kaldet planen.

Kommissionen foreslår at opbygge den fælles cyberenhed gennem en gradvis og gennemsigtig proces i fire trin i fællesskab med medlemsstaterne og de forskellige enheder, der er aktive på området. Målet er at sikre, at den fælles cyberenhed starter den operationelle fase senest den 30. juni 2022, og at den vil være fuldt etableret et år senere, senest den 30. juni 2023. Den Europæiske Unions Agentur for Cybersikkerhed, ENISA, vil fungere som sekretariat for den forberedende fase, og enheden vil operere tæt på sine kontorer i Bruxelles og kontoret for CERT-EU, IT-Beredskabsenheden for EU’s Institutioner, Organer og Agenturer.

De investeringer, der er nødvendige for at oprette den fælles cyberenhed, vil blive foretaget af Kommissionen, primært gennem programmet for et digitalt Europa. Midlerne skal bruges til at opbygge den fysiske og virtuelle platform, etablere og opretholde sikre kommunikationskanaler samt forbedre detektionskapaciteten. Yderligere bidrag, navnlig til udvikling af medlemsstaternes cyberforsvarskapacitet, kan komme fra Den Europæiske Forsvarsfond.

Sikkerhed for europæere både online og offline

Kommissionen rapporterer i dag om de fremskridt, der er gjort inden for rammerne af strategien for EU’s sikkerhedsunion med hensyn til at beskytte europæernes sikkerhed. Sammen med Unionens højtstående repræsentant for udenrigsanliggender og sikkerhedspolitik fremlægger den også den første gennemførelsesrapport under den nye EU-strategi for cybersikkerhed.

Kommissionen og den højtstående repræsentant fremlagde EU-strategien for cybersikkerhed i december 2020. Dagens rapport gør status over de fremskridt, der er gjort under hvert af de 26 initiativer i strategien, og henviser til Europa-Parlamentets og Rådets nylige godkendelse af forordningen om oprettelse af kompetencecentret og -netværket for cybersikkerhed. Der er gjort gode fremskridt med at styrke den retlige ramme for at sikre de væsentlige tjenesters modstandsdygtighed gennem det foreslåede direktiv om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen (NIS 2-direktivet). Med hensyn til sikkerheden i 5G-kommunikationsnet gør de fleste medlemsstater fremskridt med gennemførelsen af EU-værktøjskassen til 5G-sikkerhed, idet rammerne for passende restriktioner for 5G-leverandører enten allerede er indført eller er tæt på at være parate. Kravene til mobilnetoperatører styrkes gennem gennemførelsen af den europæiske kodeks for elektronisk kommunikation, mens Den Europæiske Unions Agentur for Cybersikkerhed, ENISA, er ved at udarbejde et forslag til en EU-cybersikkerhedscertificering for 5G-net.

Rapporten fremhæver også de fremskridt, som den højtstående repræsentant har gjort med hensyn til at fremme ansvarlig statslig adfærd i cyberspace, navnlig ved at fremme etableringen af et handlingsprogram på FN-plan. Desuden har den højtstående repræsentant indledt revisionen af rammen for cyberforsvarspolitik for at forbedre cyberforsvarssamarbejdet og er i færd med at gennemføre en “erfaringsproces” sammen med medlemsstaterne for at forbedre EU’s cyberdiplomatiske værktøjskasse og identificere muligheder for yderligere at styrke EU’s internationale samarbejde. Desuden fremhæves det i rapporten om de fremskridt, der er gjort med hensyn til imødegåelse af hybride trusler, som Kommissionen og den højtstående repræsentant også har offentliggjort i dag, at siden den fælles ramme for imødegåelse af hybride trusler fra 2016 blev etableret, har EU’s foranstaltninger fremmet øget situationsbevidsthedmodstandsdygtighed i kritiske sektorerpassende respons, samt genopretning efter de stadig stigende hybride trusler, herunder desinformation og cyberangreb, siden covid-19-pandemien begyndte.

Der er også taget vigtige skridt i løbet af de sidste 6 måneder inden for rammerne af strategien for EU’s sikkerhedsunion for at garantere sikkerheden i vores fysiske og digitale miljø. Der er nu indført skelsættende EU-regler, som forpligter onlineplatforme til inden for en time at fjerne terrorrelateret indhold, som medlemsstaternes myndigheder har henvist til. Kommissionen foreslog også retsakten om digitale tjenester, som indeholder harmoniserede regler for fjernelse af ulovlige varer, tjenester eller indhold på nettet samt en ny tilsynsstruktur for meget store onlineplatforme. Forslaget tager også fat på platformenes sårbarhed med hensyn til udbredelsen af skadeligt indhold eller desinformation. Europa-Parlamentet og Rådet for Den Europæiske Union nåede til enighed om midlertidig lovgivning om kommunikationstjenesters frivillige afsløring af seksuelt misbrug af børn online. Der arbejdes også på bedre beskyttelse af det offentlige rum. Dette omfatter et 20 mio. EUR støtteprogram til medlemsstaternes håndtering af den trussel, som droner udgør, og til forbedring af beskyttelsen af religiøse steder og store sportsfaciliteter mod terrortrusler. For bedre at støtte medlemsstaterne i bekæmpelsen af grov kriminalitet og terrorisme foreslog Kommissionen i december 2020 også at opgradere mandatet for Europol, EU’s Agentur for Retshåndhævelsessamarbejde.