Η Ευρώπη αντιμετωπίζει καθημερινά κυβερνοεπιθέσεις και υβριδικές απειλές σε βασικές υπηρεσίες και δημοκρατικούς θεσμούς, οι οποίες πραγματοποιούνται από εξελιγμένες κρατικούς και εγκληματικούς φορείς. Η Ευρωπαϊκή Επιτροπή πρότεινε σήμερα ένα νέο πακέτο μέτρων για την ασφάλεια στον κυβερνοχώρο, με στόχο την περαιτέρω ενίσχυση της ανθεκτικότητας και των ικανοτήτων της ΕΕ στον τομέα της ασφάλειας στον κυβερνοχώρο ενόψει των αυξανόμενων απειλών.
Το πακέτο περιλαμβάνει πρόταση για αναθεώρηση του νόμου για την κυβερνοασφάλεια, ενισχύοντας την ασφάλεια των αλυσίδων εφοδιασμού τεχνολογιών πληροφοριών και επικοινωνιών (ΤΠΕ) της ΕΕ. Διασφαλίζει επίσης ότι τα προϊόντα που φτάνουν στους πολίτες της ΕΕ είναι από τη σχεδίασή τους ασφαλή στον κυβερνοχώρο, μέσω μιας απλούστερης διαδικασίας πιστοποίησης. Διευκολύνει επίσης τη συμμόρφωση με τους υφιστάμενους κανόνες της ΕΕ για την κυβερνοασφάλεια και ενισχύει τον Οργανισμό της ΕΕ για την Κυβερνοασφάλεια (ENISA) στην υποστήριξη των κρατών μελών και της ΕΕ στη διαχείριση των απειλών για την κυβερνοασφάλεια.
Ενίσχυση της ασφάλειας των αλυσίδων εφοδιασμού ΤΠΕ στην ΕΕ
Ο νέος νόμος για την κυβερνοασφάλεια αποσκοπεί στη μείωση των κινδύνων στην αλυσίδα εφοδιασμού ΤΠΕ της ΕΕ από προμηθευτές τρίτων χωρών με προβλήματα κυβερνοασφάλειας. Καθορίζει ένα αξιόπιστο πλαίσιο ασφάλειας της αλυσίδας εφοδιασμού ΤΠΕ που βασίζεται σε μια εναρμονισμένη, αναλογική και βασισμένη στον κίνδυνο προσέγγιση. Αυτό θα επιτρέψει στην ΕΕ και στα κράτη μέλη να προσδιορίσουν από κοινού και να μετριάσουν τους κινδύνους στους 18 κρίσιμους τομείς της ΕΕ, λαμβάνοντας επίσης υπόψη τις οικονομικές επιπτώσεις και την προσφορά στην αγορά.
Τα πρόσφατα περιστατικά στον τομέα της κυβερνοασφάλειας έχουν αναδείξει τους σημαντικούς κινδύνους που ενέχουν οι ευπάθειες στις αλυσίδες εφοδιασμού, οι οποίες είναι απαραίτητες για τη λειτουργία κρίσιμων υπηρεσιών και υποδομών. Στο σημερινό γεωπολιτικό περιβάλλον, η ασφάλεια της αλυσίδας εφοδιασμού δεν αφορά πλέον μόνο την τεχνική ασφάλεια των προϊόντων ή των υπηρεσιών, αλλά και τους κινδύνους που συνδέονται με έναν προμηθευτή, ιδίως τις εξαρτήσεις και τις ξένες παρεμβάσεις.
Ο νόμος για την κυβερνοασφάλεια θα επιτρέψει την υποχρεωτική μείωση των κινδύνων των ευρωπαϊκών δικτύων κινητών τηλεπικοινωνιών από προμηθευτές τρίτων χωρών υψηλού κινδύνου, με βάση το έργο που έχει ήδη πραγματοποιηθεί στο πλαίσιο του 5G.
Απλοποίηση και βελτίωση του ευρωπαϊκού πλαισίου πιστοποίησης κυβερνοασφάλειας
Ο αναθεωρημένος νόμος για την κυβερνοασφάλεια θα διασφαλίσει ότι τα προϊόντα και οι υπηρεσίες που διατίθενται στους καταναλωτές της ΕΕ θα υποβάλλονται σε δοκιμές ασφάλειας με πιο αποτελεσματικό τρόπο. Αυτό θα επιτευχθεί μέσω ενός ανανεωμένου ευρωπαϊκού πλαισίου πιστοποίησης της κυβερνοασφάλειας (ECCF). Το πλαίσιο αυτό θα προσφέρει μεγαλύτερη σαφήνεια και απλούστερες διαδικασίες, επιτρέποντας την ανάπτυξη συστημάτων πιστοποίησης εντός 12 μηνών ως προεπιλογή. Θα εισαγάγει επίσης πιο ευέλικτη και διαφανή διακυβέρνηση, ώστε να εμπλέκονται καλύτερα τα ενδιαφερόμενα μέρη μέσω της ενημέρωσης και της διαβούλευσης του κοινού.
Τα συστήματα πιστοποίησης, τα οποία διαχειρίζεται η ENISA, θα καταστούν ένα πρακτικό, εθελοντικό εργαλείο για τις επιχειρήσεις. Θα επιτρέψουν στις επιχειρήσεις να αποδείξουν τη συμμόρφωσή τους με τη νομοθεσία της ΕΕ, μειώνοντας τον φόρτο και το κόστος. Πέραν των προϊόντων, των υπηρεσιών, των διαδικασιών και των διαχειριζόμενων υπηρεσιών ασφάλειας ΤΠΕ, οι εταιρείες και οι οργανισμοί θα μπορούν να πιστοποιούν την κυβερνοασφάλειά τους, ώστε να ανταποκρίνονται στις ανάγκες της αγοράς. Τέλος, το ανανεωμένο ECCF θα αποτελέσει ανταγωνιστικό πλεονέκτημα για τις επιχειρήσεις της ΕΕ. Για τους πολίτες, τις επιχειρήσεις και τις δημόσιες αρχές της ΕΕ, θα εξασφαλίσει υψηλό επίπεδο ασφάλειας και εμπιστοσύνης στις πολύπλοκες αλυσίδες εφοδιασμού ΤΠΕ.
Ενίσχυση της ENISA για την προώθηση της ανθεκτικότητας της Ευρώπης στον τομέα της κυβερνοασφάλειας
Από την έγκριση του πρώτου νόμου για την κυβερνοασφάλεια το 2019, η ENISA έχει αναδειχθεί σε ακρογωνιαίο λίθο του οικοσυστήματος κυβερνοασφάλειας της ΕΕ. Ο αναθεωρημένος νόμος για την κυβερνοασφάλεια που παρουσιάστηκε σήμερα επιτρέπει στην ENISA να βοηθήσει την ΕΕ και τα κράτη μέλη της να κατανοήσουν τις κοινές απειλές. Τους επιτρέπει επίσης να προετοιμαστούν και να ανταποκριθούν σε συμβάντα στον κυβερνοχώρο.
Ο οργανισμός θα συνεχίσει να υποστηρίζει τις εταιρείες και τους ενδιαφερόμενους φορείς που δραστηριοποιούνται στην ΕΕ, εκδίδοντας έγκαιρες προειδοποιήσεις για απειλές και συμβάντα στον κυβερνοχώρο. Σε συνεργασία με την Europol και τις ομάδες αντιμετώπισης συμβάντων ασφάλειας υπολογιστών, θα υποστηρίζει τις εταιρείες στην αντιμετώπιση και την αποκατάσταση ζημιών από κυβερνοεπιθέσεις. Η ENISA θα αναπτύξει επίσης μια προσέγγιση της Ένωσης για την παροχή καλύτερων υπηρεσιών διαχείρισης τρωτών σημείων στους ενδιαφερόμενους φορείς. Θα λειτουργεί ως ενιαίο σημείο εισόδου για την αναφορά συμβάντων που προτείνεται στο ψηφιακό omnibus.
Η ENISA θα συνεχίσει να διαδραματίζει βασικό ρόλο στην περαιτέρω ανάπτυξη ενός εξειδικευμένου εργατικού δυναμικού στον τομέα της κυβερνοασφάλειας στην Ευρώπη. Για τον σκοπό αυτό, θα δοκιμάσει πιλοτικά την Ακαδημία Δεξιοτήτων Κυβερνοασφάλειας και θα θεσπίσει συστήματα πιστοποίησης δεξιοτήτων στον τομέα της κυβερνοασφάλειας σε επίπεδο ΕΕ.
Επόμενα βήματα
Ο νόμος για την κυβερνοασφάλεια θα τεθεί σε εφαρμογή αμέσως μετά την έγκρισή του από το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο της ΕΕ. Οι συνοδευτικές τροποποιήσεις της οδηγίας NIS2 θα υποβληθούν επίσης προς έγκριση. Μετά την έγκρισή τους, τα κράτη μέλη θα έχουν διορία ένα έτος για να μεταφέρουν την οδηγία στο εθνικό δίκαιο και να κοινοποιήσουν τα σχετικά κείμενα στην Επιτροπή.