Бързото нарастване на предизвикателствата в областта на киберсигурността през последните години, като например нарастващите атаки с цел получаване на откуп, принуди България да разработи нови задължителни разпоредби. Тези изисквания имат за цел да подпомогнат борбата с киберпрестъпленията, като повишат нивото на способностите на организациите за киберсигурност.
Спазването на тези разпоредби е необходимо, за да могат организациите да се отчитат за своята задължителна позиция по отношение на сигурността. По-важното е, че организациите трябва да са в крак с постоянно променящия се пейзаж на закона, за да поддържат ефективна стратегия за киберсигурност.
Това изключително важно задължение за постоянно следене на актуализираните закони за киберсигурност и стандарти за информационна сигурност може да бъде трудно и отнемащо време за експертите по киберсигурност. Затова то често се пренебрегва или експертите са принудени да дадат приоритет на новините за местната нормативна уредба.
Въпреки това общите регулации в областта на киберсигурността в Европейския съюзб оказват значително влияние върху организации, компании и институции по целия свят – особено върху тези във финансовата и здравната индустрия. Ето защо е важно да бъдете правилно информирани и актуализирани за най-новото в областта на киберсигурността в ЕС.
Преди да представим нормативната уредба, е изключително важно да разберем кои са важните групи, организации, екипи, институции и сътрудничества между общностите за киберсигурност в ЕС. Това ще ви даде по-добър контекст и ще разберете регламентите на ЕС, разгледани по-долу.
ENISA („Агенция на Европейския съюз за киберсигурност“) оказва подкрепа на държавите – членки на ЕС, предприятията и институциите в сектора на киберсигурността и предоставя решения и подобрения на рамката за киберсигурност на ЕС. Нейната роля е да насърчава и подкрепя държавите членки, предприятията и институциите на ЕС при справянето с кибератаки.
ENISA не трябва да се бърка с организацията, която замени, която се наричаше „Агенция на Европейския съюз за мрежова и информационна сигурност“ и носеше същата абревиатура.
За разлика от своя предшественик, благодарение на Акта за киберсигурност на ЕС ENISA получи постоянен мандат с повече правомощия, повече ресурси и нови отговорности:
Тези нови задачи се основават на ролята на ENISA като секретариат на националната мрежа на CSIRT, която се осигурява и насърчава от Директивата за МИС.
Европейските центрове за обмен на информация и анализ (ISAC) са организации с нестопанска цел, които функционират като центрове за събиране на информация и ресурси, създадени с цел подпомагане на предотвратяването на киберзаплахи.
Центровете на ЕЕ – ISA функционират като организации за двустранен обмен на информация, които предоставят на публичния и частния сектор важни новини, решения и комунални услуги за кибернетичната устойчивост, заедно с методите, които могат да се използват за укрепване на кибернетичната сигурност на енергийната мрежа на ЕС.
Тъй като са тясно обвързани с Европейската комисия и ENISA, те работят съвместно с двете институции за развитието на ISAC както на ниво ЕС, така и на национално ниво, насърчават нови ISAC в нови сектори, както и овластяват нови консорциуми, които са под надзора на Комисията, за да предоставят правна и техническа подкрепа за ISAC.
Създадена през 2016 г., Европейската организация за киберсигурност (ECSO) е сравнително нова, самофинансираща се организация с нестопанска цел от Белгия.
С повече от 250 членове, които принадлежат към индустрията за киберсигурност, тя действа като привилегирован партньор и партньор на Европейската комисия в рамките на договорно публично-частно партньорство за киберсигурност.
ECSO е призната в рамките на европейския институционален пейзаж, има междусекторни партньорства и е федерация на Европейската асоциация за свободна търговия (ЕФТА).
Още по-важно е, че тя обхваща „Хоризонт Европа“ – програма за финансиране на научни изследвания, която играе голяма роля във финансирането на устойчивостта на ЕС в областта на киберсигурността, предвидена с бюджет от 95,5 млрд. евро до 2027 г.
Екипите за реагиране при инциденти с компютърната сигурност („CSIRT“) и екипите за реагиране при компютърни инциденти (или „готовност“) („CERT“) често се използват като взаимозаменяеми, като се справят с инциденти с киберсигурността на място и си сътрудничат с други мрежи на CSIRT, за да осъществяват следните дейности:
Както CERT, така и CSIRT (екипи за реагиране при инциденти в областта на компютърната сигурност) са въведени съгласно Директивата за МИС. Задължително е всяка държава – членка на ЕС, да разполага с CSIRT/CERT отряди, които да осигурят покритие на цифровите комуникации и телекомуникациите на определената държава с киберсигурност.
Въпреки че не е изцяло предназначен за киберсигурността, Съвместният изследователски център (JRC) на Европейската комисия има ценен и активен принос в тази област.
Например един от основните приноси на JRC към киберсигурността е работата на центъра по разработването на инструменти като Таксономията на киберсигурността. Този полезен терминологичен речник предлага по-добър преглед на областта на киберсигурността в ЕС, включително прозрения, история на атаките и промените, списъци със задачи и др.
От доста време насам ЕС работи активно за укрепване на киберсигурността и опазване на комуникациите и данните в множество области, включително политиката, енергетиката, икономиката, здравеопазването и финансовия сектор. Тези сектори стават все по-зависими от цифровите технологии.
Въпреки това сложните, припокриващи се законодателни системи в тези сектори все още могат да се окажат неефективни за нарастващите проблеми на съвременната киберсигурност в бъдеще. Това, наред с кризата COVID-19 и продължаващия конфликт между Русия и Украйна, породи необходимостта от още по-всеобхватна регулаторна рамка за киберсигурността.
По-долу е представен списък на всички нормативни актове, които ЕС е приел в отговор на тези проблеми, за по-ясен преглед на най-новите актуализации по отношение на киберсигурността.
Списъкът включва:
Нека да разгледаме как ЕС насърчава кибернетичната устойчивост.
Въведен и приет през 2016 г. и влязъл в сила през май 2018 г., Общият регламент относно защитата на данните (GDPR) е един от най-важните и мащабни законодателни актове за организациите, работещи в ЕС.
Основните задачи и задължения на GDPR се отнасят до защитата на личните данни, киберсигурността и управлението на нарушенията. Той има за цел:
Освен това тя има за цел да насърчи администраторите и обработващите лични данни да следват съответните протоколи, да прилагат мерки за защита на личните данни и да гарантират, че данните се събират със съгласие, преди да станат публично достъпни.
GDPR се прилага за всички институции и организации, които обработват лични данни и извършват дейност в ЕС, и за дружествата, които извършват стопанска дейност (продават стоки на) с ЕС. Най-важното е, че разпоредбите на GDPR засягат в голяма степен финансовите институции, които боравят, контролират и обработват големи количества данни.
В края на 2020 г., с цел укрепване на киберсигурността, Европейската комисия и върховният представител на Съюза по въпросите на външните работи и политиката на сигурност от Европейската служба за външна дейност (ЕСВД) представиха и приеха нова стратегия на ЕС за киберсигурност.
Като важна част от оформянето на „цифровото бъдеще“ на Европа, в заключенията в стратегията на ЕС за киберсигурност се подчертава значението на определянето на ключови цели за запазване на отворената икономика, докато страните членки поддържат автономен подход в своите мерки за киберсигурност.
В тази нова стратегия на ЕС се призовава за повишаване на кибернетичната сигурност на основни услуги в Европа като здравеопазването, енергетиката и инфраструктурата, както и на все по-големия брой устройства и мрежи в домовете и имотите.
Стратегията се състои от две ясни законодателни предложения за по-ефективни разпоредби и политики, които са насочени към:
Заедно с Общия регламент относно защитата на данните (ОРЗД) Директивата за сигурността на мрежовите и информационните системи (Директивата за МИС) е най-важният сегмент от несекторното законодателство за финансовия сектор.
От 2022 г. тя вече се прилага от всички държави от ЕС като част от стратегията на ЕС за киберсигурност, предложена от Европейската комисия.
Директивата за МИС е първата в историята на ЕС директива за киберсигурност и устойчивост, която беше направена с цел да се повиши киберсигурността в целия ЕС и да се засили сътрудничеството между държавите – членки на ЕС, по този въпрос.
В Директивата за МИС се определят задачите и задълженията за сигурност на операторите на съществени услуги (ОЕС). Тези директиви са разделени на три важни части:
С цел укрепване на киберсигурността в ЕС, на 16 декември 2020 г. Европейската комисия предложи преработена директива за МИС – NIS2, която действа като нов и по-добър заместител на старата директива за МИС от 2016 г.
Това ново предложение е насочено към укрепване на променящия се пейзаж на киберзаплахите и продължаващата цифрова трансформация, предизвикана от кризата COVID-19.
Директивата NIS2 е насочена към мерките за киберсигурност на високо равнище в целия Европейски съюз. Тя ефективно насърчава правителствените органи в ЕС да контролират киберсигурността в собствената си страна, като същевременно си сътрудничат с други държави членки.
През май 2022 г. Съветът и Европейският парламент постигнаха временно споразумение за новите законодателни мерки за киберсигурност, в което се призовава за по-силно управление на риска и инцидентите и за сътрудничество, като същевременно се разширяват правилата и разпоредбите, които попадат в нейния обхват. Промените бяха приети в края на 2022 г= и бе дадено време на държавите – членки да синхронизират законодателството си до октомври 2024 г.
Като се има предвид, че заплахите за киберсигурността почти винаги са трансгранични, кибератаките срещу критични съоръжения на една държава могат да засегнат целия ЕС.
Въведеният през юни 2019 г. Закон за киберсигурността засилва ролята на ENISA, като предоставя на агенцията постоянен мандат и повече финансови и човешки ресурси.
Актът за киберсигурност обединява киберсигурността на ЕС в единна рамка, чието основно ядро е ENISA. Това означава, че ENISA вече може да допринася за оперативното сътрудничество и управлението на кризи в целия ЕС с общоевропейска схема за сертифициране, която ще
Сертифицирането на киберсигурността е от решаващо значение за поддържането на високи стандарти за киберсигурност на продуктите, услугите и процесите в областта на информационните и комуникационните технологии (ИКТ).
Рамката на ЕС за сертифициране на киберсигурността има единствената цел да установи и поддържа доверие и сигурност в продуктите или услугите за киберсигурност.
Освен това тази рамка има за цел да определи процедурите за схемите на ЕС за сертифициране на киберсигурността, които обхващат тези услуги и продукти, и оказва силно въздействие върху финансовия сектор.
При положение че различните държави – членки на ЕС, използват различни схеми за сертифициране на киберсигурността, това е много трудно, тъй като съществуват регулаторни бариери и фрагментация на пазара.
Благодарение на Закона за киберсигурността и новата европейска рамка за сертифициране на киберсигурността дружествата и организациите, които извършват стопанска дейност в ЕС, могат да се възползват от това, че техните ИКТ продукти се сертифицират само веднъж и се признават в целия ЕС.
В рамките на новите схеми за сертифициране ENISA, Агенцията на ЕС за киберсигурност, получи постоянен мандат с Акта за киберсигурност на ЕС, с по-големи отговорности и допълнително финансиране.
Това означава, че ENISA ще отговаря за управлението на рамката за сертифициране на ЕС и ще информира обществеността за последните новини, свързани със схемите за сертифициране и издадените сертификати.
ENISA е упълномощена също така да насърчава оперативното сътрудничество с всички държави – членки на ЕС, които поискат да се справят с инциденти в областта на киберсигурността и трансгранични кибератаки.
Този мандат се основава на факта, че ENISA понастоящем ефективно функционира като секретариат на националната мрежа на екипите за реагиране при инциденти в областта на компютърната сигурност (CSIRT), създадена с Директивата за сигурността на мрежовите и информационните системи (Директивата за МИС).
След приемането на Акта за киберсигурност, Европейската комисия отправи покана за представяне на кандидатури за сформиране на Група за сертифициране на киберсигурността от заинтересованите страни (SCCG) с избрани членове, като първата експертна група от заинтересовани страни, отговаряща за сертифицирането на киберсигурността. Първото заседание на групата се състоя на 24 юни 2020 г.
Основните задължения на SCCG са да консултира Комисията и ENISA, за да улесни намирането на решения на стратегически въпроси, свързани със сертифицирането на киберсигурността, като същевременно подпомага Комисията при изготвянето на текущата работна програма на Съюза, както е посочено в член 47 от Акта за киберсигурност.
През 2013 г. с прилагането на първата стратегия за киберсигурност на ЕС киберсигурността се превърна в официална, съвсем нова област на политиката на ЕС.
Оттогава насам ЕС въведе много промени по отношение на насоките за киберсигурност и политиките за управление на риска в случай на кибератаки. Нека ги разгледаме по-подробно.
Проектът на Комисията за бързо реагиране при извънредни ситуации съдържа кризисен план за мащабни трансгранични инциденти в областта на киберсигурността.
Основната цел на проекта е да определи целите и начините на сътрудничество между държавите членки и институциите на ЕС в случай на такива инциденти и кризи.
Освен това той показва как настоящите механизми за управление на кризи в ЕС имат предимство в използването на съществуващи структури за киберсигурност с напреднали технически нива на реагиране.
Според проекта съществуват три режима на сътрудничество:
През 2021 г. председателят на Европейската комисия Урсула фон дер Лайен обяви предложение за създаване на общоевропейско съвместно киберзвено.
Това е важна стъпка, която завършва рамката на ЕС за управление на кризи в областта на киберсигурността, Стратегията на ЕС за киберсигурност и Стратегията на ЕС за съюз за сигурност.
Съвместното киберзвено е широка платформа за управление на кризи, която осигурява реакция в целия ЕС при по-мащабни кибератаки и инциденти, като същевременно подпомага държавите членки да се възстановят от такива кибератаки.
Изборите са често срещана мишена за кибератаки. Цифровите технологии са на преден план в изборите в ЕС и се използват за:
Предвид европейските избори през 2019 г. Европейският парламент, държавите членки, Комисията, както и ENISA проведоха тест за киберсигурност в реално време, за да идентифицират, реагират и предотвратят потенциални инциденти в областта на киберсигурността по време на изборния процес и във връзка с цифровото гласуване.
Така че европейските организации прилагат конкретни мерки за справяне с такива потенциални заплахи срещу цифровото гласуване.
Според прогнозите на експертите и нарастващите тенденции, поне до 2024 г. интернет на нещата ще достигне над 22,3 милиарда устройства, свързани в мрежа по целия свят.
Интернет на нещата (IoT) е термин, който обхваща устройства, машини, мрежи и електронни продукти, които могат да бъдат свързани към мрежа (не непременно към интернет).
Европейският съвет отчита значението на нарастващия брой свързани устройства с редица регламенти, отнасящи се до този вид цифрова инфраструктура.
През декември 2020 г. Европейският съвет прие заключения чрез писмена процедура, в които се признава, че все по-големият брой потребителски продукти на интернет на нещата са застрашени от появата на нови рискове за киберсигурността, информационната сигурност и неприкосновеността на личния живот.
Заключенията спомогнаха за определяне на приоритетите и подчертаха значението на:
Навлизането на 5G мрежите, чиито приходи в световен мащаб се оценяват на 225 млрд. евро през 2025 г., открива изцяло ново измерение на заплахите за киберсигурността.
Освен че са от жизненоважно значение за подобряване на цифровата комуникация, 5G мрежите са ценни за критични сектори в ЕС като енергетиката, здравеопазването, транспорта и финансите.
Това означава, че тази нова интернет технология предоставя на нападателите потенциални точки за достъп поради по-малко централизираната архитектура на 5G и зависимостта от по-нов софтуер и повече антени.
Затова през януари 2020 г. ЕС разгърна EU Toolbox; законодателен пакет, който определя възможните мерки за сигурност за 5G мрежите, а целта му е да
С увеличаването на кибератаките, за които бе съобщено по време на блокирането на COVID-19, киберсигурността е един от най-големите приоритети на Европейската комисия.
От 2014 г. насам има много инвестиционни планове и програми за финансиране в подкрепа на научните изследвания и иновациите в областта на киберсигурността.
Споразумението за Плана за възстановяване на Европа, известно още като NextGenerationEU, е инструментът на Европейската комисия за възстановяване, който се отличава с най-големия пакет от стимули за възстановяване на Европа след COVID-19.
Освен в областта на изменението на климата, селското стопанство и биоразнообразието, той включва множество инвестиции в киберсигурността, в т.ч:
Програмата „Цифрова Европа“ (DIGITAL) е една от най-новите инвестиционни програми на ЕС.
В периода 2021-2027 г. ЕС планира да инвестира 7,5 млрд. евро в капацитет за киберсигурност, разгръщане на инфраструктури за киберсигурност и цифрови технологии, които ще помогнат на предприятията, гражданите и публичните администрации.
Програмата „Цифрова Европа“ ще финансира проекти в пет важни сектора:
Друг важен план за финансиране на Европейската комисия е Механизмът за свързване на Европа (МСЕ) – програма за финансиране на инфраструктурни инвестиции, планирана за периода 2014-2020 г.
Тези инвестиции в цифровата инфраструктура имаха за цел да повишат капацитета за киберсигурност и трансграничното сътрудничество в рамките на ЕС и да подкрепят изпълнението на стратегията на ЕС за киберсигурност.
Програмата за финансиране подкрепя и следните екипи за реагиране при инциденти в областта на киберсигурността:
Макар и да не е пряко свързана с реформите в областта на киберсигурността в ЕС, друга подобна програма за финансиране е InvestEU. InvestEU използва публично финансиране, за да осигури инвестиции за частния сектор на ЕС, който подкрепя важни вериги в областта на киберсигурността.
Един от най-важните проекти на ЕС за финансиране на научни изследвания за иновативни решения в областта на киберзащитата е рамковата програма за финансиране „Хоризонт Европа“ и нейният предшественик „Хоризонт 2020“, които се осъществяват от Европейската комисия и Европейската организация за киберсигурност (ECSO).
По „Хоризонт 2020“ се работи от 2016 г. насам като договорно публично-частно партньорство (дПП) за киберсигурност, чиито членове са набрани от кибернетичната индустрия, академичните среди и публичните администрации.
През май 2020 г. ЕС и Комисията съфинансираха близо 50 млн. евро за този проект, за да се стимулират научните изследвания за готовност и иновации в областта на киберсигурността.
Тази програма е планирана да е в сила от 2021 до 2027 г. и има следните цели:
Програма „Хоризонт 2020“ улеснява сътрудничеството между държавите, има за цел постигането на целите на ООН за устойчиво развитие, справяне с изменението на климата, както и засилване на конкурентоспособността и икономическия растеж на ЕС.
През декември 2020 г. Европейският съвет и Европейският парламент постигнаха съгласие по предложението за създаване на Европейски център за индустриална, технологична и изследователска компетентност в областта на киберсигурността.
Този център има за цел да събере експерти, организации и екипи, необходими за разработването и внедряването на технологии за киберсигурност в различните държави.
С участието на повече от 170 партньори целта му е да си сътрудничи с промишлеността и с академичните общности, за да могат те да се споразумеят за обща програма за инвестиционни приоритети в областта на киберсигурността чрез програмите „Хоризонт Европа“ и „Цифрова Европа“.
Европейският съвет прие регламента за създаване на центъра и мрежата през април 2021 г., а Букурещ беше избран от държавите – членки на ЕС, за седалище на новия център.
Подкрепен от множество национални координационни центрове, този нов център за компетентност се очаква да:
Освен това Европейската комисия разработи цялостна платформа, наречена Атлас на киберсигурността. Това е платформа за управление на знания с възможност за картографиране, предназначена да осигури по-добър преглед на инцидентите в областта на киберсигурността и категоризирането на зловредния софтуер и да стимулира сътрудничеството между експертите по киберсигурност като част от програмите за цифрова стратегия.
За да се защити от киберпрестъпници извън границите си, ЕС полага усилия за подобряване на кибердипломацията, актуализиране на ограничителните мерки и налагане на санкции срещу кибератаки.
От декември 2020 г. насам Комисията, в сътрудничество с Европейската служба за външна дейност (ЕСВД) и държавите – членки на ЕС, работи по прилагането на съвместен дипломатически отговор на злонамерени кибернетични дейности, наричан още „набор от инструменти за кибердипломация“.
Този отговор беше създаден като начин за защита на ЕС срещу киберзаплахи от злонамерена кибердейност на трети държави и има за цел да
През май 2019 г. Европейският съвет създаде рамка, която да позволи налагането на санкции на извършителите на кибератаки и заплахи срещу ЕС или неговите държави членки. Съветът удължи срока на действие на режима на санкции, така че той ще бъде в сила до 18 май 2025 г.
В обхвата на този нов режим санкциите са насочени към онези, които са извършили значително въздействие върху киберсигурността, или по-конкретно към заплахи, които
Този режим на санкции е насочен и към опити за кибератаки, които са причинили потенциално умерени щети, т.е. атаки, които имат потенциално значително въздействие.
За първи път с тази рамка ЕС има възможност да налага санкции на цели, които са непряко замесени и които финансират или подкрепят тези видове атаки. Освен това тези санкции могат да инкриминират други цели, които са свързани с тях.
Освен санкциите ограничителните мерки могат да забранят на дадено лице да влиза в ЕС или да замразят активите на потенциални мишени и образувания.
На 30 юли 2020 г. Съветът наложи първата в историята санкция за кибератаки на шест физически лица и три образувания.
Те са отговорни за (или са участвали в) кибератаки и злонамерени кибернетични дейности срещу държави членки – опита за кибероперация срещу Организацията за забрана на химическото оръжие, операция Cloud-Hopper, както и известните атаки WannaCry и NotPetya.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.