Νέους κανόνες για τη θέσπιση κοινών μέτρων κυβερνοασφάλειας και ασφάλειας των πληροφοριών σε όλα τα θεσμικά και λοιπά όργανα και οργανισμούς της Ένωσης πρότεινε σήμερα η Ευρωπαϊκή Επιτροπή.
Η πρόταση αποσκοπεί στην ενίσχυση της ανθεκτικότητας και των ικανοτήτων αντιμετώπισης κυβερνοαπειλών και περιστατικών, καθώς και στη διασφάλιση μιας ανθεκτικής και ασφαλούς δημόσιας διοίκησης της ΕΕ, εν μέσω αυξανόμενων κακόβουλων δραστηριοτήτων στον κυβερνοχώρο στο παγκόσμιο τοπίο.
Ο Επίτροπος Προϋπολογισμού και Διοίκησης, κ. Γιοχάνες Χαν, δήλωσε: «Σε ένα συνδεδεμένο περιβάλλον, ένα μεμονωμένο περιστατικό κυβερνοασφάλειας μπορεί να επηρεάσει έναν ολόκληρο οργανισμό. Αυτός είναι ο λόγος για τον οποίο είναι σημαντικό να χτίσουμε μια ισχυρή ασπίδα έναντι κυβερνοαπειλών και περιστατικών που θα μπορούσαν να διαταράξουν την ικανότητά μας να δράσουμε. Οι κανονισμοί που προτείνουμε σήμερα αποτελούν ένα ορόσημο στο τοπίο της κυβερνοασφάλειας και ασφάλειας των πληροφοριών στην ΕΕ. Βασίζονται στην ενισχυμένη συνεργασία και την αμοιβαία στήριξη μεταξύ των θεσμικών και λοιπών οργάνων και οργανισμών της ΕΕ, καθώς και στην ετοιμότητα και την αντιμετώπιση υπό κοινό συντονισμό. Πρόκειται για μια πραγματική συλλογική προσπάθεια της ΕΕ.»
Στο πλαίσιο της πανδημίας COVID-19 και των αυξανόμενων γεωπολιτικών προκλήσεων, είναι απαραίτητη μια κοινή προσέγγιση για την κυβερνοασφάλεια και την ασφάλεια των πληροφοριών. Λαμβάνοντας υπόψη τα παραπάνω, η Επιτροπή έχει προτείνει κανονισμό για την κυβερνοασφάλεια, καθώς και κανονισμό για την ασφάλεια των πληροφοριών. Με τον καθορισμό κοινών προτεραιοτήτων και πλαισίων, οι κανόνες αυτοί θα ενισχύσουν περαιτέρω τη διοργανική συνεργασία και τη νοοτροπία ασφάλειας της ΕΕ, αλλά και θα ελαχιστοποιήσουν την έκθεση σε κινδύνους.
Κανονισμός για την κυβερνοασφάλεια
Ο προτεινόμενος κανονισμός για την κυβερνοασφάλεια θα θέσει σε εφαρμογή ένα πλαίσιο για τη διακυβέρνηση, τη διαχείριση και τον έλεγχο κινδύνων στον τομέα της κυβερνοασφάλειας. Θα οδηγήσει στη δημιουργία ενός νέου διοργανικού συμβουλίου κυβερνοασφάλειας (IICB), θα ενισχύσει τις ικανότητες κυβερνοασφάλειας, θα τονώσει τις τακτικές αξιολογήσεις επιπέδου ωριμότητας και θα βελτιώσει την κυβερνοϋγιεινή. Θα επεκτείνει επίσης την εντολή της ομάδας αντιμετώπισης έκτακτων αναγκών στην πληροφορική για τα θεσμικά και λοιπά όργανα και οργανισμούς της ΕΕ (CERT-EE), ως κόμβου συντονισμού για τις πληροφορίες σχετικά με τις κυβερνοαπειλές, την ανταλλαγή πληροφοριών και την αντιμετώπιση περιστατικών, αλλά και ως κεντρικού συμβουλευτικού φορέα και παρόχου υπηρεσιών.
Βασικά στοιχεία της πρότασης κανονισμού για την ασφάλεια στον κυβερνοχώρο:
-Ενίσχυση της εντολής της CERT-ΕΕ και παροχή των πόρων που χρειάζεται για να την εκπληρώσει·
Απαίτηση από όλα τα θεσμικά και λοιπά όργανα και οργανισμούς της Ένωσης:
να διαθέσουν πλαίσιο για τη διακυβέρνηση, τη διαχείριση και τον έλεγχο κινδύνων στον τομέα της κυβερνοασφάλειας·
-να εφαρμόζουν μια βασική δέσμη κανόνων κυβερνοασφάλειας για την αντιμετώπιση των εντοπισθέντων κινδύνων·
-να διενεργούν τακτικές αξιολογήσεις επιπέδου ωριμότητας·
-να θέσουν σε εφαρμογή σχέδιο για τη βελτίωση της κυβερνοασφάλειας τους, το οποίο εγκρίνεται από την ηγεσία της οντότητας·
-να ανταλλάσσουν πληροφορίες σχετικά με περιστατικά με την CERT-ΕΕ χωρίς αδικαιολόγητη καθυστέρηση.
-Σύσταση ενός νέου διοργανικού συμβουλίου κυβερνοασφάλειας για την καθοδήγηση και την παρακολούθηση της εφαρμογής του κανονισμού και την καθοδήγηση της CERT-ΕΕ·
-Μετονομασία της CERT-ΕΕ από «ομάδα αντιμετώπισης έκτακτων αναγκών στην πληροφορική» σε «Κέντρο Κυβερνοασφάλειας», σύμφωνα με τις εξελίξεις στα κράτη μέλη και παγκοσμίως, αλλά διατήρηση της σύντομης ονομασίας «CERT-ΕΕ» λόγω της αναγνώρισης της ονομασίας.
Κανονισμός για την ασφάλεια των πληροφοριών
Ο προτεινόμενος κανονισμός για την ασφάλεια των πληροφοριών θα δημιουργήσει ένα ελάχιστο σύνολο κανόνων ασφάλειας πληροφοριών και προτύπων για όλα τα θεσμικά και λοιπά όργανα και οργανισμούς της Ένωσης, ώστε να διασφαλιστεί η ενισχυμένη και συνεπής προστασία από τις εξελισσόμενες απειλές κατά των πληροφοριών τους. Οι νέοι αυτοί κανόνες θα αποτελέσουν σταθερό έδαφος για την ασφαλή ανταλλαγή πληροφοριών μεταξύ των θεσμικών και λοιπών οργάνων και οργανισμών της Ένωσης, καθώς και με τα κράτη μέλη, βασιζόμενοι σε τυποποιημένες πρακτικές και μέτρα για την προστασία των ροών πληροφοριών.
Βασικά στοιχεία της πρότασης κανονισμού για την ασφάλεια των πληροφοριών:
-Δημιουργία αποδοτικής διακυβέρνησης για την προώθηση της συνεργασίας μεταξύ όλων των θεσμικών και λοιπών οργάνων και οργανισμών της Ένωσης, ήτοι μιας διοργανικής συντονιστικής ---ομάδας για την ασφάλεια των πληροφοριών·
-Καθιέρωση κοινής προσέγγισης για την κατηγοριοποίηση των πληροφοριών με βάση το επίπεδο εμπιστευτικότητας·
-Εκσυγχρονισμός των πολιτικών για την ασφάλεια των πληροφοριών, συμπεριλαμβανομένων πλήρως του ψηφιακού μετασχηματισμού και της εξ αποστάσεως εργασίας·
-Εξορθολογισμό των τρεχουσών πρακτικών και επίτευξη μεγαλύτερης συμβατότητας μεταξύ των σχετικών συστημάτων και συσκευών.
Ιστορικό πλαίσιο
Στο ψήφισμά του τον Μάρτιο του 2021, το Συμβούλιο της Ευρωπαϊκής Ένωσης τόνισε τη σημασία ενός στέρεου και συνεκτικού πλαισίου ασφάλειας για την προστασία όλου του προσωπικού, των δεδομένων, των δικτύων επικοινωνιών, των συστημάτων πληροφοριών και των διαδικασιών λήψης αποφάσεων της ΕΕ. Αυτό μπορεί να επιτευχθεί μόνο μέσω της ενίσχυσης της ανθεκτικότητας και της βελτίωσης της νοοτροπίας ασφάλειας των θεσμικών και λοιπών οργάνων και οργανισμών της Ένωσης. Ακολουθώντας τη στρατηγική της ΕΕ για την Ένωση Ασφάλειας και τη στρατηγική της ΕΕ για την κυβερνοασφάλεια, ο κανονισμός για την κυβερνοασφάλεια που προτάθηκε σήμερα θα διασφαλίσει τη συνέπεια με τις ισχύουσες πολιτικές κυβερνοασφάλειας, σε πλήρη ευθυγράμμιση με την τρέχουσα ευρωπαϊκή νομοθεσία:
-Την οδηγία για την ασφάλεια συστημάτων δικτύου και πληροφοριών (οδηγία NIS) και τη μελλοντική οδηγία σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση (NIS 2) που πρότεινε η Επιτροπή τον Δεκέμβριο του 2020·
-την πράξη για την κυβερνοασφάλεια·
- Τη σύσταση της Επιτροπής για τη δημιουργία Κοινής Κυβερνομονάδας·
- Τη σύσταση της Επιτροπής για τη συντονισμένη αντιμετώπιση περιστατικών και κρίσεων μεγάλης κλίμακας στον κυβερνοχώρο.
Λαμβάνοντας υπόψη τις διαρκώς αυξανόμενες ποσότητες ευαίσθητων μη διαβαθμισμένων και διαβαθμισμένων πληροφοριών της ΕΕ, τις οποίες χειρίζονται τα θεσμικά και λοιπά όργανα και οργανισμοί της Ένωσης, ο προτεινόμενος κανονισμός για την ασφάλεια των πληροφοριών αποσκοπεί στην αύξηση της προστασίας των πληροφοριών, μέσω του εξορθολογισμού των διαφόρων νομικών πλαισίων των θεσμικών και λοιπών οργάνων και οργανισμών της Ένωσης στον τομέα αυτό. Η πρόταση είναι σύμφωνη με:
-Τη στρατηγική της ΕΕ για την Ένωση Ασφάλειας, η οποία περιλαμβάνει συνολική δέσμευση της ΕΕ να συμπληρώσει τις προσπάθειες των κρατών μελών σε όλους τους τομείς της ασφάλειας·
-Το βασικό χαρακτηριστικό του στρατηγικού θεματολογίου για την περίοδο 2019-2024, που εγκρίθηκε από το Ευρωπαϊκό Συμβούλιο τον Ιούνιο του 2019, για την προστασία των κοινωνιών μας από τις διαρκώς εξελισσόμενες απειλές που στοχεύουν στις πληροφορίες που χειρίζονται τα θεσμικά και λοιπά όργανα και οργανισμοί της Ένωσης·
-Τα συμπεράσματα του Συμβουλίου Γενικών Υποθέσεων του Δεκεμβρίου 2019, με τα οποία καλούνται τα θεσμικά και λοιπά όργανα και οργανισμοί της Ένωσης, με την υποστήριξη των κρατών μελών, να αναπτύξουν και να εφαρμόσουν μια ολοκληρωμένη δέσμη μέτρων για να εγγυηθούν την ασφάλειά τους.