Ευρωπαϊκή Επιτροπή. Στρατηγική για την Κυβερνοασφάλεια (NIS 2 και Cyber Resilience Act)

Η Ευρωπαϊκή Ένωση εργάζεται σε διάφορα μέτωπα για την προώθηση της ανθεκτικότητας στον κυβερνοχώρο, τη διαφύλαξη της επικοινωνίας και των δεδομένων μας και τη διατήρηση της διαδικτυακής κοινωνίας και οικονομίας.

Στρατηγική για την κυβερνοασφάλεια

Η Ευρωπαϊκή Επιτροπή και η Ύπατη Εκπρόσωπος της Ένωσης για Θέματα Εξωτερικής Πολιτικής και Πολιτικής Ασφαλείας παρουσίασαν μια νέα στρατηγική της ΕΕ για την ασφάλεια στον κυβερνοχώρο στα τέλη του 2020.

Η στρατηγική καλύπτει την ασφάλεια βασικών υπηρεσιών, όπως τα νοσοκομεία, τα ενεργειακά δίκτυα και οι σιδηρόδρομοι. Καλύπτει επίσης την ασφάλεια του συνεχώς αυξανόμενου αριθμού συνδεδεμένων αντικειμένων στα σπίτια, τα γραφεία και τα εργοστάσιά μας.

Η στρατηγική επικεντρώνεται στην οικοδόμηση συλλογικών ικανοτήτων για την αντιμετώπιση σημαντικών κυβερνοεπιθέσεων και τη συνεργασία με εταίρους σε όλο τον κόσμο για τη διασφάλιση της διεθνούς ασφάλειας και σταθερότητας στον κυβερνοχώρο. Περιγράφει τον τρόπο με τον οποίο μια Κοινή Κυβερνομονάδα μπορεί να διασφαλίσει την αποτελεσματικότερη αντιμετώπιση των κυβερνοαπειλών χρησιμοποιώντας τους συλλογικούς πόρους και την εμπειρογνωσία που διαθέτουν η ΕΕ και τα κράτη μέλη. 

Νομοθεσία και πιστοποίηση

Οδηγία σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση (οδηγία NIS2)

Οι απειλές για την ασφάλεια στον κυβερνοχώρο είναι σχεδόν πάντα διασυνοριακές και μια κυβερνοεπίθεση στις κρίσιμες εγκαταστάσεις μιας χώρας μπορεί να επηρεάσει την ΕΕ στο σύνολό της. Οι χώρες της ΕΕ πρέπει να διαθέτουν ισχυρούς κυβερνητικούς φορείς που εποπτεύουν την ασφάλεια στον κυβερνοχώρο στη χώρα τους και οι οποίοι συνεργάζονται με τους ομολόγους τους σε άλλα κράτη μέλη μέσω της ανταλλαγής πληροφοριών. Αυτό είναι ιδιαίτερα σημαντικό για τους τομείς που είναι κρίσιμοι για τις κοινωνίες μας.

Η οδηγία για την ασφάλεια των συστημάτων δικτύου και πληροφοριών (οδηγία NIS), την οποία έχουν πλέον εφαρμόσει όλες οι χώρες, διασφαλίζει τη δημιουργία και τη συνεργασία των εν λόγω κυβερνητικών φορέων. Η εν λόγω οδηγία επανεξετάστηκε στα τέλη του 2020.

Ως αποτέλεσμα της διαδικασίας επανεξέτασης, η πρόταση οδηγίας σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση (οδηγία NIS2) υποβλήθηκε από την Επιτροπή στις 16 Δεκεμβρίου 2020.

Η οδηγία δημοσιεύθηκε στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης τον Δεκέμβριο του 2022 και τέθηκε σε ισχύ στις 16 Ιανουαρίου 2023. Τα κράτη μέλη θα έχουν στη διάθεσή τους 21 μήνες από την έναρξη ισχύος της οδηγίας για να ενσωματώσουν τις διατάξεις στο εθνικό τους δίκαιο (πραγματική ημερομηνία: 18 Οκτωβρίου 2024).

Οδηγία NIS2

Η οδηγία NIS2 είναι η νομοθεσία για την ασφάλεια στον κυβερνοχώρο σε επίπεδο ΕΕ. Προβλέπει νομικά μέτρα για την ενίσχυση του συνολικού επιπέδου κυβερνοασφάλειας στην ΕΕ. 

Οι κανόνες της ΕΕ για την κυβερνοασφάλεια που θεσπίστηκαν το 2016 επικαιροποιήθηκαν με την οδηγία NIS2 που τέθηκε σε ισχύ το 2023. Εκσυγχρονίζει το υφιστάμενο νομικό πλαίσιο ώστε να συμβαδίζει με την αυξημένη ψηφιοποίηση και ένα εξελισσόμενο τοπίο απειλών στον κυβερνοχώρο. Με την επέκταση του πεδίου εφαρμογής των κανόνων κυβερνοασφάλειας σε νέους τομείς και οντότητες, βελτιώνει περαιτέρω την ανθεκτικότητα και τις ικανότητες αντιμετώπισης συμβάντων των δημόσιων και ιδιωτικών οντοτήτων, των αρμόδιων αρχών και της ΕΕ στο σύνολό της. 

Η οδηγία σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση (οδηγία NIS2) προβλέπει νομικά μέτρα για την ενίσχυση του συνολικού επιπέδου κυβερνοασφάλειας στην ΕΕ, διασφαλίζοντας: 

  • Την ετοιμότητα των κρατών μελών, απαιτώντας να είναι κατάλληλα εξοπλισμένα. Για παράδειγμα, με ομάδα αντιμετώπισης συμβάντων ασφάλειας υπολογιστών (CSIRT) και αρμόδια εθνική αρχή συστημάτων δικτύου και πληροφοριών (NIS),
  • Τη συνεργασία μεταξύ όλων των κρατών μελών, με τη σύσταση ομάδας συνεργασίας για τη στήριξη και τη διευκόλυνση της στρατηγικής συνεργασίας και της ανταλλαγής πληροφοριών μεταξύ των κρατών μελών.
  • Μια νοοτροπία ασφάλειας σε όλους τους τομείς που είναι ζωτικής σημασίας για την οικονομία και την κοινωνία μας και βασίζονται σε μεγάλο βαθμό στις ΤΠΕ, όπως η ενέργεια, οι μεταφορές, το νερό, οι τράπεζες, οι υποδομές των χρηματοπιστωτικών αγορών, η υγειονομική περίθαλψη και οι ψηφιακές υποδομές.

Οι επιχειρήσεις που προσδιορίζονται από τα κράτη μέλη ως φορείς εκμετάλλευσης βασικών υπηρεσιών στους ανωτέρω τομείς θα πρέπει να λαμβάνουν τα κατάλληλα μέτρα ασφαλείας και να ενημερώνουν τις αρμόδιες εθνικές αρχές για σοβαρά περιστατικά. Οι βασικοί πάροχοι ψηφιακών υπηρεσιών, όπως οι μηχανές αναζήτησης, οι υπηρεσίες υπολογιστικού νέφους και οι επιγραμμικές αγορές, θα πρέπει να συμμορφώνονται με τις απαιτήσεις ασφάλειας και κοινοποίησης δυνάμει της οδηγίας. 

ENISA — Οργανισμός της ΕΕ για την ασφάλεια στον κυβερνοχώρο

Ο ENISA (Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια) είναι ο οργανισμός της ΕΕ που ασχολείται με την ασφάλεια στον κυβερνοχώρο. Παρέχει στήριξη στα κράτη μέλη, στα θεσμικά όργανα της ΕΕ και στις επιχειρήσεις σε βασικούς τομείς, συμπεριλαμβανομένης της εφαρμογής της οδηγίας NIS.

Ο νόμος για την ανθεκτικότητα στον κυβερνοχώρο (Cyber Resilience Act)

Η πρόταση κανονισμού σχετικά με τις απαιτήσεις κυβερνοασφάλειας για προϊόντα με ψηφιακά στοιχεία, γνωστή ως πράξη για την ανθεκτικότητα στον κυβερνοχώρο, ενισχύει τους κανόνες κυβερνοασφάλειας για τη διασφάλιση ασφαλέστερου υλισμικού και προϊόντων λογισμικού.

Η πρόταση κανονισμού σχετικά με τις απαιτήσεις κυβερνοασφάλειας για προϊόντα με ψηφιακά στοιχεία, γνωστή ως πράξη για την κυβερνοανθεκτικότητα, ενισχύει τους κανόνες κυβερνοασφάλειας για τη διασφάλιση ασφαλέστερων προϊόντων υλισμικού και λογισμικού. 

Τα προϊόντα υλισμικού και λογισμικού υπόκεινται όλο και περισσότερο σε επιτυχείς κυβερνοεπιθέσεις, με αποτέλεσμα το εκτιμώμενο παγκόσμιο ετήσιο κόστος του εγκλήματος στον κυβερνοχώρο να ανέρχεται σε 5.5 τρισεκατομμύρια EUR έως το 2021. 

Τα προϊόντα αυτά αντιμετωπίζουν δύο σημαντικά προβλήματα που αυξάνουν το κόστος για τους χρήστες και την κοινωνία: 

  • Χαμηλό επίπεδο κυβερνοασφάλειας, που αντικατοπτρίζεται από τα ευρέως διαδεδομένα τρωτά σημεία και την ανεπαρκή και ασυνεπή παροχή ενημερώσεων ασφαλείας για την αντιμετώπισή τους, και
  • Ανεπαρκής κατανόηση και πρόσβαση των χρηστών σε πληροφορίες, με αποτέλεσμα να εμποδίζονται να επιλέγουν προϊόντα με επαρκείς ιδιότητες κυβερνοασφάλειας ή να τα χρησιμοποιούν με ασφαλή τρόπο.

Ενώ η ισχύουσα νομοθεσία για την εσωτερική αγορά εφαρμόζεται σε ορισμένα προϊόντα με ψηφιακά στοιχεία, τα περισσότερα από τα προϊόντα υλισμικού και λογισμικού δεν καλύπτονται επί του παρόντος από καμία νομοθεσία της ΕΕ που να αντιμετωπίζει την κυβερνοασφάλεια τους. Ειδικότερα, το ισχύον νομικό πλαίσιο της ΕΕ δεν αντιμετωπίζει την κυβερνοασφάλεια του μη ενσωματωμένου λογισμικού, ακόμη και αν οι επιθέσεις στον κυβερνοχώρο στοχεύουν όλο και περισσότερο σε τρωτά σημεία των εν λόγω προϊόντων, προκαλώντας σημαντικό κοινωνικό και οικονομικό κόστος. 

Προσδιορίστηκαν δύο κύριοι στόχοι για τη διασφάλιση της εύρυθμης λειτουργίας της εσωτερικής αγοράς:  

  • Δημιουργία συνθηκών για την ανάπτυξη ασφαλών προϊόντων με ψηφιακά στοιχεία, διασφαλίζοντας ότι τα προϊόντα υλισμικού και λογισμικού διατίθενται στην αγορά με λιγότερα τρωτά σημεία και διασφαλίζουν ότι οι κατασκευαστές λαμβάνουν σοβαρά υπόψη την ασφάλεια καθ’ όλη τη διάρκεια του κύκλου ζωής ενός προϊόντος· και
  • Δημιουργία συνθηκών που θα επιτρέπουν στους χρήστες να λαμβάνουν υπόψη την κυβερνοασφάλεια κατά την επιλογή και τη χρήση προϊόντων με ψηφιακά στοιχεία.

Καθορίστηκαν τέσσερις ειδικοί στόχοι: 

  • Να διασφαλίσει ότι οι κατασκευαστές βελτιώνουν την ασφάλεια των προϊόντων με ψηφιακά στοιχεία από τη φάση σχεδιασμού και ανάπτυξης και καθ’ όλη τη διάρκεια του κύκλου ζωής·
  • Να διασφαλίσει ένα συνεκτικό πλαίσιο κυβερνοασφάλειας, το οποίο διευκολύνει τη συμμόρφωση των παραγωγών υλισμικού και λογισμικού·
  • Να ενισχύσει τη διαφάνεια των ιδιοτήτων ασφάλειας των προϊόντων με ψηφιακά στοιχεία, και
  • Να δοθεί η δυνατότητα στις επιχειρήσεις και τους καταναλωτές να χρησιμοποιούν με ασφάλεια προϊόντα με ψηφιακά στοιχεία.

Νόμος για την ασφάλεια στον κυβερνοχώρο

Η πράξη για την ασφάλεια στον κυβερνοχώρο ενισχύει τον ρόλο του ENISA. Ο οργανισμός έχει πλέον μόνιμη εντολή και είναι εξουσιοδοτημένος να συμβάλλει στην ενίσχυση τόσο της επιχειρησιακής συνεργασίας όσο και της διαχείρισης κρίσεων σε ολόκληρη την ΕΕ. Διαθέτει επίσης περισσότερους οικονομικούς και ανθρώπινους πόρους από ό, τι πριν. Στις 18 Απριλίου 2023, η Επιτροπή πρότεινε στοχευμένη τροποποίηση της πράξης της ΕΕ για την ασφάλεια στον κυβερνοχώρο.

Νόμος για την κυβερνοαλληλεγγύη

Στις 18 Απριλίου 2023, η Ευρωπαϊκή Επιτροπή πρότεινε την πράξη της ΕΕ για την αλληλεγγύη στον κυβερνοχώρο, προκειμένου να βελτιωθεί η αντιμετώπιση των κυβερνοαπειλών σε ολόκληρη την ΕΕ. Η πρόταση θα περιλαμβάνει μια ευρωπαϊκή ασπίδα κυβερνοασφάλειας και έναν ολοκληρωμένο μηχανισμό έκτακτης ανάγκης στον κυβερνοχώρο για τη δημιουργία μιας καλύτερης μεθόδου κυβερνοάμυνας.

Πιστοποίηση

Η ψηφιακή μας ζωή μπορεί να λειτουργήσει καλά μόνο εάν υπάρχει εμπιστοσύνη του κοινού στην κυβερνοασφάλεια των προϊόντων και υπηρεσιών ΤΠ. Είναι σημαντικό να μπορούμε να διαπιστώσουμε ότι ένα προϊόν έχει ελεγχθεί και πιστοποιηθεί ότι συμμορφώνεται με υψηλά πρότυπα κυβερνοασφάλειας. Επί του παρόντος υπάρχουν διάφορα συστήματα πιστοποίησης της ασφάλειας για τα προϊόντα ΤΠ σε ολόκληρη την ΕΕ. Η καθιέρωση ενός ενιαίου κοινού συστήματος πιστοποίησης θα ήταν ευκολότερη και σαφέστερη για όλους.

Ως εκ τούτου, η Επιτροπή επεξεργάζεται ένα πανευρωπαϊκό πλαίσιο πιστοποίησης, με επίκεντρο τον ENISA. Ο νόμος για την ασφάλεια στον κυβερνοχώρο περιγράφει τη διαδικασία για την επίτευξη αυτού του πλαισίου.

Το πλαίσιο πιστοποίησης της κυβερνοασφάλειας της ΕΕ

Το πλαίσιο της ΕΕ για την πιστοποίηση της κυβερνοασφάλειας για τα προϊόντα ΤΠΕ επιτρέπει τη δημιουργία εξατομικευμένων και βασιζόμενων στον κίνδυνο συστημάτων πιστοποίησης της ΕΕ. 

Η πιστοποίηση διαδραματίζει καίριο ρόλο στην αύξηση της εμπιστοσύνης και της ασφάλειας σε σημαντικά προϊόντα και υπηρεσίες για τον ψηφιακό κόσμο. Επί του παρόντος, στην ΕΕ υπάρχουν διάφορα συστήματα πιστοποίησης της ασφάλειας για τα προϊόντα ΤΠΕ. Ωστόσο, χωρίς ένα κοινό πλαίσιο για τα έγκυρα σε επίπεδο ΕΕ πιστοποιητικά κυβερνοασφάλειας, υπάρχει αυξανόμενος κίνδυνος κατακερματισμού και φραγμών μεταξύ των κρατών μελών.

Το πλαίσιο πιστοποίησης θα παρέχει πανευρωπαϊκά συστήματα πιστοποίησης ως ένα ολοκληρωμένο σύνολο κανόνων, τεχνικών απαιτήσεων, προτύπων και διαδικασιών. Το πλαίσιο θα βασίζεται σε συμφωνία σε επίπεδο ΕΕ για την αξιολόγηση των ιδιοτήτων ασφάλειας ενός συγκεκριμένου προϊόντος ή υπηρεσίας που βασίζεται στις ΤΠΕ. Θα βεβαιώνει ότι τα προϊόντα και οι υπηρεσίες ΤΠΕ που έχουν πιστοποιηθεί σύμφωνα με ένα τέτοιο σύστημα συμμορφώνονται με συγκεκριμένες απαιτήσεις. 

Ειδικότερα, κάθε ευρωπαϊκό σύστημα θα πρέπει να προσδιορίζει: 

  • τις κατηγορίες προϊόντων και υπηρεσιών που καλύπτονται·
  • τις απαιτήσεις κυβερνοασφάλειας, όπως πρότυπα ή τεχνικές προδιαγραφές·
  • το είδος της αξιολόγησης, όπως η αυτοαξιολόγηση ή τρίτο μέρος·
  • το επιδιωκόμενο επίπεδο βεβαιότητας.

Τα επίπεδα διασφάλισης χρησιμοποιούνται για την ενημέρωση των χρηστών σχετικά με τον κίνδυνο κυβερνοασφάλειας ενός προϊόντος και μπορεί να είναι βασικά, σημαντικά ή/και υψηλά. Είναι ανάλογα με το επίπεδο κινδύνου που συνδέεται με την προβλεπόμενη χρήση του προϊόντος, της υπηρεσίας ή της διαδικασίας, όσον αφορά την πιθανότητα και τις επιπτώσεις ενός ατυχήματος. Ένα υψηλό επίπεδο διασφάλισης θα σήμαινε ότι το πιστοποιημένο προϊόν πέρασε τις υψηλότερες δοκιμές ασφαλείας. 

Το πιστοποιητικό που θα προκύψει θα αναγνωρίζεται σε όλα τα κράτη μέλη της ΕΕ, καθιστώντας ευκολότερο για τις επιχειρήσεις να πραγματοποιούν διασυνοριακές συναλλαγές και για τους αγοραστές να κατανοούν τα χαρακτηριστικά ασφαλείας του προϊόντος ή της υπηρεσίας. 

Όσον αφορά την εφαρμογή του πλαισίου πιστοποίησης, οι αρχές των κρατών μελών που συγκεντρώθηκαν στην Ευρωπαϊκή Ομάδα Πιστοποίησης της Κυβερνοασφάλειας (ECCG) έχουν ήδη συναντηθεί αρκετές φορές.

Ομάδα πιστοποίησης της ασφάλειας στον κυβερνοχώρο 

Μετά την έναρξη ισχύος της πράξης για την ασφάλεια στον κυβερνοχώρο το 2019, η Ευρωπαϊκή Επιτροπή δημοσίευσε πρόσκληση υποβολής αιτήσεων για την επιλογή μελών της ομάδας πιστοποίησης της ασφάλειας στον κυβερνοχώρο (SCCG). 

Η SCCG θα είναι υπεύθυνη για την παροχή συμβουλών στην Επιτροπή και τον ENISA σχετικά με στρατηγικά ζητήματα που αφορούν την πιστοποίηση της κυβερνοασφάλειας και θα επικουρεί την Επιτροπή στην προετοιμασία του κυλιόμενου προγράμματος εργασίας της Ένωσης. Πρόκειται για την πρώτη ομάδα εμπειρογνωμόνων ενδιαφερόμενων μερών για την πιστοποίηση της ασφάλειας στον κυβερνοχώρο που δρομολογήθηκε από την Ευρωπαϊκή Επιτροπή.