Noile măsuri își propun să consolideze reziliența și capacitățile de răspuns împotriva amenințărilor și incidentelor cibernetice, pe fundalul creșterii activităților cibernetice rău intenționate în peisajul global. După prezentare, membrii Comisiei pentru industrie, cercetare și energie (ITRE) din Parlamentul European, care au responsabilitatea conducerii procesului de reglementare în Parlamentul European, vor continua analizele în vederea stabilirii noului cadru de guvernanță, management și control al riscurilor cibernetice. Datele actuale arată că instituțiile UE sunt extrem de vulnerabile la acest gen de atacuri, care s-au înmulțit foarte mult.
Regulamentul propus pentru asigurarea securității cibernetice va fi pus în aplicare de un comitet interinstituțional, acesta urmând să conducă și Centrul de răspuns la incidente de securitate cibernetică al Bruxelles-ului (CERT-EU). Elementele-cheie ale propunerii de regulament includ:
- Consolidarea mandatului CERT-EU și furnizarea resurselor de care are nevoie pentru a-l îndeplini;
- Adoptarea unui cadru de management al riscului și control în domeniul securității cibernetice;
- Implementarea unei baze de măsuri de securitate cibernetică în măsură să abordeze riscurile identificate;
- Efectuarea periodică a unor evaluări privind efectul măsurilor de răspuns la atacurile cibernetice;
- Stabilirea unei abordări comune a clasificării informațiilor pe baza nivelului de confidențialitate;
- Modernizarea politicilor de securitate a informațiilor, incluzând pe deplin transformarea digitală și munca la distanță;
- Raționalizarea practicilor actuale și obținerea unei mai mari compatibilități între sistemele și dispozitivele relevante.
Regulamentul de securitate a informațiilor va crea un set minim de reguli și standarde de securitate, pentru a asigura o protecție sporită și consecventă împotriva amenințărilor în evoluție la adresa instituțiilor UE.
Apar ofițerii de cybersecurity
Pentru a permite CERT-EU să coordoneze gestionarea vulnerabilităților și răspunsul la incident, centrul va putea să solicite tuturor organismelor comunitare să-i transmită informații considerate relevante despre sistemele lor informatice. De asemenea, toate instituțiile UE vor trebui să notifice CERT-EU, în maximum 24 de ore de la identificarea lor, orice incidente de securitate cibernetică. Fiecare organism UE își va crea propriul sistem de gestionare a riscului cibernetic și va avea obligația de a desemna un ofițer de cybersecurity care va gestiona această problematică.
14,05 milioane de euro va fi bugetul CERT-EU în 2024, după perioada de tranziție necesară implementării regulamentului de protecție cibernetică pe care îl pregătește Uniunea Europeană
Instituțiile UE sunt în ofsaid
În prezent, instituțiile, organele și agenții din cadrul UE nu sunt pregătite să facă față întețirii atacurilor cibernetice. Un raport recent al Curții Europene de Conturi arăta că având în vedere că aceste autorități comunitare sunt puternic interconectate, punctele slabe ale uneia le pot expune pe celelalte la amenințări de securitate. Mai mult, analiza a constatat că nivelul de pregătire al lor nu este proporțional cu amenințările și că infrastructura organizațională a UE are niveluri foarte variabile de maturitate în materie de securitate cibernetică. În aceste condiții, Curtea recomanda îmbunătățirea nivelului de pregătire, propunând introducerea unor norme obligatorii în materie de securitate cibernetică și creșterea resurselor aflate la dispoziția CERT-EU.
În prima jumătate a anului 2021 au fost înregistrate incidente de securitate cibernetică semnificativ mai multe decât s-au înregistrat în tot anul 2020.
Amenințări există, planuri de securitate nu
Curtea Europeană de Conturi a identificat deficiențe în guvernanța securității informatice în numeroase IOAUE. Astfel, doar 58% dintre acestea (38 din 65) au o strategie de securitate informatică sau cel puțin un plan în materie care să fi fost aprobat. O defalcare pe tipuri de instituții, organe și agenții arată că procentele cele mai scăzute corespund misiunilor civile și agențiilor descentralizate, arată raportul. De asemenea, un sondaj realizat de inspectorii Curții, citat în cadrul raportului, a arătat că 60% dintre IOAUE nu desemnaseră un responsabil pentru securitatea sistemelor informatice (CISO) independent sau un rol echivalent. Chiar și în cazurile în care au fost numiți CISO (sau echivalenți), rolurile acestora diferă foarte mult prin natura lor - iar funcțiile lor sunt înțelese în mod diferit, de la o IOAUE la alta.
Atacurile cibernetice, în creștere
Numărul incidentelor cibernetice este în creștere, o tendință deosebit de îngrijorătoare fiind creșterea dramatică a numărului de incidente semnificative care afectează IOAUE. Anul trecut a fost unul record din acest punct de vedere, înregistrându-se o creștere importantă a incidentele semnificative. De regulă, acestea implică utilizarea de noi metode și tehnologii, iar pentru investigarea și redresarea în urma lor poate fi nevoie de săptămâni sau chiar de luni întregi. Numărul incidentelor semnificative a crescut de peste zece ori între 2018 și 2021. Numai în ultimii doi ani, cel puțin 22 de IOAUE au fost victime ale unor incidente semnificative. Un exemplu recent este atacul cibernetic asupra Agenției Europene pentru Medicamente, soldat cu divulgarea unor date sensibile și manipularea acestora într-un mod menit să submineze încrederea în vaccinuri. „IOAUE nu dispun în prezent de un cadru juridic pentru securitatea informațiilor și securitatea cibernetică. Ele nu fac obiectul celui mai cuprinzător act legislativ al UE privind securitatea cibernetică, și anume Directiva NIS/ 201612, și nici al propunerii de revizuire a acesteia, Directiva NIS213. De asemenea, nu există informații complete cu privire la sumele cheltuite de IOAUE pentru securitatea cibernetică”, arăta raportul Curții Europene de Conturi.