Η Ευρώπη αντιμετωπίζει καθημερινές κυβερνοεπιθέσεις και υβριδικές επιθέσεις σε βασικές υπηρεσίες και δημοκρατικούς θεσμούς, οι οποίες πραγματοποιούνται από εξελιγμένες κρατικές και εγκληματικές ομάδες. Η Ευρωπαϊκή Επιτροπή πρότεινε σήμερα μια νέα δέσμη μέτρων για την κυβερνοασφάλεια με σκοπό την περαιτέρω ενίσχυση της ανθεκτικότητας και των ικανοτήτων της ΕΕ στον τομέα της κυβερνοασφάλειας έναντι αυτών των αυξανόμενων απειλών.

Η δέσμη περιλαμβάνει πρόταση για αναθεωρημένη πράξη για την κυβερνοασφάλεια, η οποία ενισχύει την ασφάλεια των αλυσίδων εφοδιασμού της ΕΕ με τεχνολογίες πληροφοριών και επικοινωνιών (ΤΠΕ). Διασφαλίζει ότι τα προϊόντα που φθάνουν στους πολίτες της ΕΕ είναι εκ σχεδιασμού ασφαλή στον κυβερνοχώρο μέσω απλούστερης διαδικασίας πιστοποίησης. Διευκολύνει επίσης τη συμμόρφωση με τους υφιστάμενους κανόνες της ΕΕ για την κυβερνοασφάλεια και ενισχύει τον Οργανισμό της ΕΕ για την Κυβερνοασφάλεια (ENISA) όσον αφορά τη στήριξη των κρατών μελών και της ΕΕ στη διαχείριση απειλών κατά της κυβερνοασφάλειας.

Ενίσχυση της ασφάλειας των αλυσίδων εφοδιασμού ΤΠΕ στην ΕΕ

Η νέα πράξη για την κυβερνοασφάλεια αποσκοπεί στη μείωση των κινδύνων στην αλυσίδα εφοδιασμού ΤΠΕ της ΕΕ από προμηθευτές τρίτων χωρών με ανησυχίες για την κυβερνοασφάλεια. Καθορίζει ένα αξιόπιστο πλαίσιο ασφάλειας της αλυσίδας εφοδιασμού ΤΠΕ που βασίζεται σε εναρμονισμένη, αναλογική και βασιζόμενη στον κίνδυνο προσέγγιση. Αυτό θα επιτρέψει στην ΕΕ και στα κράτη μέλη να προσδιορίσουν και να μετριάσουν από κοινού τους κινδύνους στους 18 κρίσιμους τομείς της ΕΕ, λαμβάνοντας επίσης υπόψη τις οικονομικές επιπτώσεις και τον εφοδιασμό της αγοράς.

Τα πρόσφατα περιστατικά κυβερνοασφάλειας ανέδειξαν τους σημαντικούς κινδύνους που ενέχουν τα τρωτά σημεία στις αλυσίδες εφοδιασμού ΤΠΕ, τα οποία είναι απαραίτητα για τη λειτουργία κρίσιμων υπηρεσιών και υποδομών. Στο σημερινό γεωπολιτικό τοπίο, η ασφάλεια της αλυσίδας εφοδιασμού δεν αφορά πλέον μόνο την τεχνική ασφάλεια των προϊόντων ή των υπηρεσιών, αλλά και τους κινδύνους που σχετίζονται με έναν προμηθευτή, ιδίως τις εξαρτήσεις και τις εξωτερικές παρεμβάσεις.

Η πράξη για την κυβερνοασφάλεια θα καταστήσει δυνατή την υποχρεωτική ελαχιστοποίηση των κινδύνων των ευρωπαϊκών δικτύων κινητών τηλεπικοινωνιών από προμηθευτές τρίτων χωρών υψηλού κινδύνου, με βάση τις εργασίες που έχουν ήδη πραγματοποιηθεί στο πλαίσιο της εργαλειοθήκης για την ασφάλεια των δικτύων 5G.

Απλούστευση και ενίσχυση του ευρωπαϊκού πλαισίου πιστοποίησης της κυβερνοασφάλειας

Η αναθεωρημένη πράξη για την κυβερνοασφάλεια θα διασφαλίσει ότι τα προϊόντα και οι υπηρεσίες που φθάνουν στους καταναλωτές της ΕΕ υποβάλλονται σε δοκιμές ασφάλειας με αποτελεσματικότερο τρόπο. Αυτό θα γίνει μέσω ενός ανανεωμένου ευρωπαϊκού πλαισίου πιστοποίησης της κυβερνοασφάλειας (ECCF). Το ECCF θα προσφέρει μεγαλύτερη σαφήνεια και απλούστερες διαδικασίες, επιτρέποντας την ανάπτυξη συστημάτων πιστοποίησης εντός 12 μηνών εξ ορισμού. Θα εισαγάγει επίσης πιο ευέλικτη και διαφανή διακυβέρνηση για την καλύτερη συμμετοχή των ενδιαφερόμενων μερών μέσω της ενημέρωσης του κοινού και της διαβούλευσης.

Τα συστήματα πιστοποίησης, τα οποία διαχειρίζεται ο ENISA, θα καταστούν ένα πρακτικό, εθελοντικό εργαλείο για τις επιχειρήσεις. Θα επιτρέψουν στις επιχειρήσεις να αποδείξουν τη συμμόρφωσή τους με τη νομοθεσία της ΕΕ, μειώνοντας τον φόρτο και το κόστος. Πέρα από τα προϊόντα, τις υπηρεσίες, τις διαδικασίες και τις διαχειριζόμενες υπηρεσίες ασφάλειας ΤΠΕ, οι εταιρείες και οι οργανισμοί θα είναι σε θέση να πιστοποιούν τη στάση τους στον κυβερνοχώρο για την κάλυψη των αναγκών της αγοράς. Τελικά, το ανανεωμένο ECCF θα αποτελέσει ανταγωνιστικό πλεονέκτημα για τις επιχειρήσεις της ΕΕ. Για τους πολίτες, τις επιχειρήσεις και τις δημόσιες αρχές της ΕΕ, θα εξασφαλίσει υψηλό επίπεδο ασφάλειας και εμπιστοσύνης στις πολύπλοκες αλυσίδες εφοδιασμού ΤΠΕ.

Διευκόλυνση της συμμόρφωσης με τους κανόνες κυβερνοασφάλειας

Η δέσμη μέτρων θεσπίζει μέτρα για την απλούστευση της συμμόρφωσης με τους κανόνες της ΕΕ για την κυβερνοασφάλεια και τις απαιτήσεις διαχείρισης κινδύνου για τις εταιρείες που δραστηριοποιούνται στην ΕΕ, συμπληρώνοντας το ενιαίο σημείο εισόδου για την αναφορά περιστατικών που προτείνεται στο ψηφιακό σύστημα Omnibus. Οι στοχευμένες τροποποιήσεις της οδηγίας NIS2 αποσκοπούν στην αύξηση της νομικής σαφήνειας. Θα διευκολύνουν τη συμμόρφωση για 28.700 εταιρείες, συμπεριλαμβανομένων 6.200 πολύ μικρών και μικρών επιχειρήσεων. Θα εισαγάγουν επίσης μια νέα κατηγορία μικρών επιχειρήσεων μεσαίας κεφαλαιοποίησης για τη μείωση του κόστους συμμόρφωσης για 22 500 εταιρείες. Οι τροποποιήσεις θα απλουστεύσουν τους κανόνες δικαιοδοσίας, θα εξορθολογίσουν τη συλλογή δεδομένων σχετικά με επιθέσεις λυτρισμικού και θα διευκολύνουν την εποπτεία των διασυνοριακών οντοτήτων με ενισχυμένο συντονιστικό ρόλο του ENISA.

Ενδυνάμωση του ENISA για την ενίσχυση της ανθεκτικότητας της Ευρώπης στον τομέα της κυβερνοασφάλειας

Από την έκδοση της πρώτης πράξης για την κυβερνοασφάλεια το 2019, ο ENISA έχει εξελιχθεί σε ακρογωνιαίο λίθο του οικοσυστήματος κυβερνοασφάλειας της ΕΕ. Η αναθεωρημένη πράξη για την κυβερνοασφάλεια που παρουσιάστηκε σήμερα επιτρέπει στον ENISA να βοηθήσει την ΕΕ και τα κράτη μέλη της να κατανοήσουν τις κοινές απειλές. Τους δίνει επίσης τη δυνατότητα να προετοιμάζονται και να αντιμετωπίζουν κυβερνοπεριστατικά.

Ο οργανισμός θα στηρίξει περαιτέρω τις εταιρείες και τα ενδιαφερόμενα μέρη που δραστηριοποιούνται στην ΕΕ, εκδίδοντας έγκαιρες προειδοποιήσεις για κυβερνοαπειλές και περιστατικά. Σε συνεργασία με την Ευρωπόλ και τις ομάδες αντιμετώπισης περιστατικών ασφάλειας υπολογιστών , θα στηρίζει τις εταιρείες στην αντιμετώπιση επιθέσεων λυτρισμικού και στην ανάκαμψή τους από αυτές. Ο ENISA θα αναπτύξει επίσης μια ενωσιακή προσέγγιση για την παροχή καλύτερων υπηρεσιών διαχείρισης τρωτών σημείων στα ενδιαφερόμενα μέρη. Θα λειτουργεί το ενιαίο σημείο εισόδου για την αναφορά συμβάντων που προτείνεται στο ψηφιακό σύστημα Omnibus.

Ο ENISA θα συνεχίσει να διαδραματίζει καίριο ρόλο στην περαιτέρω ανάπτυξη ειδικευμένου εργατικού δυναμικού στον τομέα της κυβερνοασφάλειας στην Ευρώπη. Αυτό θα επιτευχθεί με την πιλοτική εφαρμογή της Ακαδημίας Δεξιοτήτων Κυβερνοασφάλειας και τη θέσπιση συστημάτων πιστοποίησης δεξιοτήτων κυβερνοασφάλειας σε επίπεδο ΕΕ.

Επόμενα βήματα

Η πράξη για την κυβερνοασφάλεια θα τεθεί σε εφαρμογή αμέσως μετά την έγκρισή της από το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο της ΕΕ. Οι συνοδευτικές τροποποιήσεις της οδηγίας NIS2 θα υποβληθούν επίσης προς έγκριση. Μόλις εγκριθεί, τα κράτη μέλη θα έχουν στη διάθεσή τους ένα έτος για να μεταφέρουν την οδηγία στο εθνικό τους δίκαιο και να κοινοποιήσουν τα σχετικά κείμενα στην Επιτροπή.

Πηγή: ec.europa.eu

Photo by Jefferson Santos on Unsplash