Navigation path

Left navigation

Additional tools

Europos Komisijos - Klausimai ir atsakymai

Klausimai ir atsakymai. ES kibernetinis saugumas

Briuselis, 2019 m. birželio 26 d.

Ką ES iki šiol nuveikė, kad sustiprintų kibernetinį saugumą?

ES jau turi įvairių elektroninių ryšių tinklų apsaugos priemonių, pvz., Tinklų ir informacinių sistemų saugumo direktyvą (TIS direktyvą), ES kibernetinio saugumo aktą ir naujas telekomunikacijų taisykles.

Direktyvoje numatyti nauji ES lygmens bendradarbiavimo ir nacionalinių pajėgumų didinimo būdai, o esminių paslaugų operatoriai ir skaitmeninių paslaugų teikėjai įpareigojami sukurti rizikos valdymo metodus ir pranešti apie didelius incidentus nacionalinėms institucijoms.

Kibernetinio saugumo akte pirmą kartą nustatytos visoje ES galiosiančios produktų, procesų ir paslaugų kibernetinio saugumo sertifikavimo taisyklės. Be to, akte įtvirtinamas naujas nuolatinis ES kibernetinio saugumo agentūros (ENISA) įgaliojimas, o kad ji galėtų įgyvendinti savo tikslus, jai suteikiama daugiau išteklių.

Pagal naująsias telekomunikacijų taisykles (Elektroninių ryšių kodeksą), valstybės narės turi užtikrinti, kad būtų išlaikytas viešųjų ryšių tinklų vientisumas ir saugumas ir kad operatoriai imtųsi techninių ir organizacinių priemonių siekdami tinkamai valdyti tinklų ir paslaugų saugumui kylančią riziką. Taip pat nustatyta, kad kompetentingos nacionalinės reguliavimo institucijos turi tam tikrų įgaliojimų, be kita ko, įgaliojimą duoti privalomus nurodymus ir užtikrinti jų laikymąsi. Be to, valstybės narės, siekdamos užtikrinti ryšių konfidencialumo apsaugą, gali bendrojo leidimo siekiantiems veiklos vykdytojams kelti sąlygas dėl viešųjų tinklų apsaugos nuo neteisėto prisijungimo.

Galiausiai 2019 m. gegužės mėn. Taryba nustatė sankcijų režimą, kurį taikydama ES gali nustatyti tikslines ribojamąsias priemones, padedančias atgrasyti nuo kibernetinių išpuolių, keliančių išorės grėsmę ES ir jos valstybėms narėms, ir į juos reaguoti. Naujasis sankcijų režimas yra viena iš ES kibernetinio saugumo diplomatijos priemonių, t. y. jis sudaro sąlygas ES sutartinai reaguoti į kibernetinę kenkimo veiklą ir taip visapusiškai pasinaudoti bendros užsienio ir saugumo politikos priemonėmis. Priemonių pavyzdžiai – vyriausiojo įgaliotinio pareiškimai, diplomatiniai demaršai ir, jei reikia, ribojamosios priemonės.

Kas yra ES kibernetinio saugumo sertifikavimo sistema ir kokie jos pranašumai?

Europos kibernetinio saugumo sertifikavimo schema – išsamus konkretaus produkto, paslaugos ar proceso kibernetinio saugumo savybių vertinimo taisyklių, techninių reikalavimų, standartų ir procedūrų rinkinys, dėl kurio susitarta Europos lygmeniu.

Kibernetinio saugumo sertifikavimas labai svarbus siekiant padidinti tinkamam bendrosios skaitmeninės rinkos veikimui svarbių produktų, paslaugų ir procesų saugumą bei pasitikėjimą jais. Kadangi IRT produktų, paslaugų ir procesų esama labai daug ir jie naudojami labai įvairiai, Europos kibernetinio saugumo sertifikavimo sistema leidžia sukurti pritaikytas rizika grindžiamas ES sertifikavimo schemas.

Konkrečiai, kiekvienoje Europos schemoje būtų nurodyta: a) produktų ir paslaugų, kurioms ji taikoma, kategorijos, b) kibernetinio saugumo reikalavimai, pavyzdžiui, nurodant standartus arba technines specifikacijas, c) vertinimo tipas (pvz., įsivertinimas arba trečiosios šalies vertinimas) ir d) numatomas patikimumo lygis (pvz., bazinis, nemažas ir (arba) aukštas).

Siekiant nusakyti su kibernetiniu saugumu susijusią riziką, sertifikate gali būti nurodyti trys patikimumo lygiai (bazinis, nemažas, aukštas), atitinkantys incidento tikimybės ir poveikio riziką, susijusią su numatomu produkto, paslaugos ar proceso naudojimu. Pavyzdžiui, aukštas saugumo patikimumo lygis reiškia, kad sertifikuotasis produktas išlaikė didžiausio saugumo bandymus.

Išduotas sertifikatas bus pripažįstamas visose valstybėse narėse – įmonėms bus lengviau prekiauti kitose šalyse, o naudotojams – suprasti produkto ar paslaugos saugumo požymius. Tai leis produktų tiekėjams ir paslaugų teikėjams stipriai konkuruoti visoje ES rinkoje, taigi atsiras geresnių produktų ir ekonomiškesnė pasiūla.

Integruotasis saugumas: sistema taip pat skatina projektuojant ir plėtojant produktus, paslaugas arba procesus dalyvaujančias organizacijas, gamintojus ar tiekėjus įgyvendinti priemones ankstyviausiuose projektavimo ir plėtojimo etapuose. Tai leistų geriausiai apsaugoti tų produktų, paslaugų ir procesų saugumą, kad kibernetiniai išpuoliai nebūtų netikėti ir jų poveikis būtų kuo mažesnis (tai vadinama integruotuoju saugumu).

Kiek įmanoma, Europos sertifikavimo schemos bus grindžiamos tarptautiniais standartais – taip bus siekiama išvengti kliūčių prekybai ar techninės sąveikos problemų.

Kam sertifikavimo sistema bus naudinga ir kuo?

Jei žinosime, kad produktas, sistema ar paslauga atitinka tam tikrus reikalavimus, labiau pasitikėsime naudojamomis skaitmeninėmis priemonėmis. Taigi sertifikavimo sistema bus naudinga:

  • piliečiams ir galutiniams naudotojams (pvz., esminių paslaugų teikėjams) – jie galės priimti informacija pagrįstus sprendimus dėl kasdieniame gyvenime dažnai naudojamų produktų ir paslaugų pirkimo. Pvz., pilietis, kuris svarsto, ar įsigyti išmanųjį televizorių, ir žino apie kibernetinio saugumo riziką, kylančią jungiant išmaniuosius įrenginius prie interneto, galės pasiieškoti informacijos ES kibernetinio saugumo agentūros Europos kibernetinio saugumo sertifikavimo svetainėje ir ten susirasti modelį, kuris buvo sertifikuotas pagal atitinkamus kibernetinio saugumo reikalavimus, taip pat pardavėjo rekomendacijas, kaip saugiai įjungti, konfigūruoti ir valdyti televizorių, ir sužinoti, kiek laiko pardavėjas įsipareigoja teikti kibernetinio saugumo pataisas, jei bus nustatyta naujų pažeidžiamumų;
  • produktų ir paslaugų pardavėjams ir teikėjams (įskaitant mažąsias ir vidutines įmones (MVĮ) ir naujas įmones) – jie sutaupys lėšų ir laiko, nes bus vienintelis Europos sertifikato išdavimo procesas, o sertifikatas galios visose valstybėse narėse, taigi leis jiems veiksmingai konkuruoti visose valstybėse narėse.Be to, IRT produktų ir paslaugų pardavėjai stengsis informuoti pirkėjus, galbūt naudodamiesi specialia su sertifikatu susijusia etikete;
  • valdžios įstaigoms – joms, kaip ir fiziniams bei komerciniams pirkėjams, bus lengviau priimti informacija pagrįstus sprendimus dėl pirkimo.

Tam, kad kibernetinio saugumo sertifikavimas įgytų dar didesnę vertę, sertifikuotųjų produktų, paslaugų arba procesų (įskaitant tuos, kuriems išduota ES atitikties deklaracija) gamintojai, tiekėjai ir teikėjai pateiks konkrečią papildomą informaciją apie kibernetinį saugumą, pvz., gaires, rekomendacijas, kurios padės galutiniams naudotojams saugiai konfigūruoti, įdiegti, pritaikyti, naudoti ir prižiūrėti produktus arba paslaugas, ir kt.

Kuo sistema naudinga MVĮ, ypač startuoliams?

MVĮ ir naujoms įmonėms paprastai sunkiau plėsti veiklą naujose rinkose, kuriose keliami skirtingi reikalavimai. Sistema padės sumažinti tokias patekimo į rinką kliūtis MVĮ ir naujoms įmonėms, nes įmonės sertifikavimo procesą turės pereiti tik vieną kartą, o atitinkamas sertifikatas galios visoje ES. Be to, kadangi tikimasi, kad saugesnių sprendimų paklausa visame pasaulyje augs, sertifikuotus produktus siūlančios įmonės, įskaitant MVĮ, turės konkurencinį pranašumą. Be to, sistema suteikia galimybę įmonėms pačioms patvirtinti mažai rizikingų produktų, procesų ir paslaugų atitiktį saugumo reikalavimams, todėl MVĮ ir naujoms įmonėms ji yra dar patrauklesnė.

Pavyzdžiui, MVĮ, kuriančiai ir parduodančiai IRT taikomąsias programas didesnėms įmonėms, reikalaujančioms tam tikrų garantijų, kad taikomosios programos yra tinkamai saugios ir kad yra sukurtos vadovaujantis geriausiais saugaus programavimo principais. Pateikusi Europos kibernetinio saugumo sertifikatą, MVĮ gali įrodyti ir kad jos produktai saugūs, ir kad jie saugiai sukurti, taigi atitinka klientų reikalavimus ne tik vienoje valstybėje narėje, kaip dažnai yra dabar, bet ir visoje ES.

Ar kibernetinio saugumo sertifikavimas bus privalomas?

Pagal naują sistemą kuriamos schemos yra savanoriškos, t. y. pardavėjai gali patys nuspręsti, ar nori pagal jas sertifikuoti savo produktus. Tiesa, Kibernetinio saugumo akte numatyta, kad Komisija įvertins, kiek veiksmingos ir paplitusios priimtosios Europos kibernetinio saugumo sertifikavimo schemos. Visų pirma bus vertinama, ar atitinkamais ES teisės aktais reikėtų įpareigoti taikyti konkrečią Europos kibernetinio saugumo sertifikavimo schemą siekiant užtikrinti tinkamą IRT produktų, paslaugų ir procesų kibernetinio saugumo lygį ir pagerinti vidaus rinkos veikimą. Be to, esamomis schemomis galima pasinaudoti rengiant kitus nacionalinės arba ES teisės aktus. Tai paprastas būdas apibrėžti būsimus įpareigojimus dėl produktų ar sistemų.

Kaip stiprinama ES kibernetinio saugumo agentūra?

Iki šiol ES kibernetinio saugumo agentūra buvo gavusi laikiną įgaliojimą. Paskutinį kartą jis buvo pratęstas 2013 m. ir turėjo baigti galioti 2020 m. Kibernetinio saugumo aktu agentūrai suteiktas nuolatinis įgaliojimas – tvirtas pagrindas būsimam darbui.

Buvo išplėstos ir sukonkretintos dabartinės ES kibernetinio saugumo agentūros užduotys, pavyzdžiui, prisidėti prie politikos formavimo ir įgyvendinimo ir stiprinti kibernetinius gebėjimus. Numatyta naujų užduočių, kurios ypač svarbios kibernetinio saugumo sertifikavimo srityje.

Naujajame ES kibernetinio saugumo agentūros įgaliojime yra papildomų svarbių užduočių, kurios jau buvo jai patikėtos pagal 2016 m. priimtą TIS direktyvą, pvz., teikti sekretoriato paslaugas reagavimo į kompiuterių saugumo incidentus tarnybų (CSIRT) tinklui, kuriam priklauso nacionalinės ES valstybių narių CSIRT. Tam, kad agentūra galėtų atlikti šias didesnes užduotis, jos darbuotojų skaičius gali išaugti 50 proc. Padvigubinti finansiniai ištekliai – nuo 11 mln. EUR iki 23 mln. EUR per penkerius metus.

Pagrindinės ES kibernetinio saugumo agentūros užduotys gavus naują įgaliojimą:

  • prisidėti prie politikos įgyvendinimo kibernetinio saugumo srityje, ypač TIS direktyvos klausimais, taip pat prie kitų politikos iniciatyvų įvairiuose sektoriuose (pvz., energetikos, transporto, finansų), kuriuose yra kibernetinio saugumo elementų. ES kibernetinio saugumo agentūra taip pat padės valstybėms narėms įgyvendinti konkrečius Sąjungos kibernetinio saugumo politikos ir teisės aspektus, susijusius su duomenų apsauga ir privatumu;
  • stiprinti kibernetinius gebėjimus, pvz., rengti mokymus siekiant pagerinti ES ir nacionalinių valdžios institucijų gebėjimus ir ekspertines žinias, įskaitant reagavimo į incidentus ir su kibernetiniu saugumu susijusių reguliavimo priemonių priežiūros;
  • vykdyti su rinka susijusias užduotis (standartizavimo, kibernetinio saugumo sertifikavimo), pvz., analizuoti svarbias kibernetinio saugumo rinkos tendencijas siekiant geriau suderinti paklausą ir pasiūlą ir remti ES politikos plėtotę IRT standartizacijos ir IRT kibernetinio saugumo sertifikavimo srityse;
  • vykdyti operatyvinį bendradarbiavimą ir valdyti krizes siekiant stiprinti esamus prevencinius operatyvinius pajėgumus ir remti operatyvinį bendradarbiavimą (teikiant CSIRT tinklo sekretoriato paslaugas). ES kibernetinio saugumo agentūra taip pat padės pagalbos paprašiusioms valstybėms narėms reaguoti į incidentus ir padės ES koordinuotai reaguoti į didelio masto tarpvalstybinius kibernetinio saugumo incidentus ir krizes;
  • padėti koordinuotai atskleisti pažeidžiamumo problemas – ES kibernetinio saugumo agentūra padės valstybėms narėms ir Sąjungos institucijoms, agentūroms ir įstaigoms savanoriškai nustatyti spragų atskleidimo taisykles ir jas įgyvendinti. Ji taip pat padės gerinti organizacijų, pažeidžiamų produktų gamintojų ir paslaugų teikėjų ir tokį pažeidžiamumą nustatančių kibernetinio saugumo mokslinių tyrimų bendruomenės narių bendradarbiavimą.

Ką Europos Komisija rekomenduoja siekiant bendro ES požiūrio į 5G tinklų saugumą?

Penktosios kartos (5G) tinklai ateityje taps mūsų visuomenės ir ekonomikos veikimo pamatu daugelyje svarbių sektorių, pvz., energetikos, transporto, bankininkystės, sveikatos priežiūros, taigi būtina spręsti visas problemas, kurios galėtų pažeisti saugumą ir pakirsti pasitikėjimą. 2019 m. kovo mėn. Europos Komisija rekomendavo praktinių veiksmų ir priemonių, kurios padėtų visoje ES užtikrinti aukštą 5G tinklų kibernetinio saugumo lygį, rinkinį. Visų pirma valstybėms narėms rekomenduota iki 2019 m. spalio mėn. užbaigti ES masto rizikos vertinimą ir iki 2019 m. gruodžio mėn. nustatyti galimų rizikos mažinimo priemonių kompleksą. Daugiau informacijos apie rekomendaciją ir tolesnius veiksmus rasite šiame pranešime spaudai ir šiuose klausimuose ir atsakymuose.

Kas toliau?

Europos Komisija pasiūlė per kitą ES biudžeto laikotarpį gerokai padidinti investicijas į kibernetinį saugumą ir pažangias skaitmenines technologijas Europos Sąjungoje. Tam ji pasiūlė Skaitmeninės Europos programą. Ji taip pat pasiūlė naują Europos kibernetinio saugumo kompetencijos centrą ir tinklą, kurie telktų išteklius, su valstybėmis narėmis koordinuotų prioritetus ir įgyvendintų atitinkamus kibernetinio saugumo srities projektus. Pasiūlymu taip pat siekiama sukurti Nacionalinių koordinavimo centrų tinklą ir kibernetinio saugumo kompetencijos bendruomenę, siekiant užtikrinti geresnį esamų ekspertų ir valstybėse narėse veikiančių specialistų struktūrų tarpusavio bendradarbiavimą ir sąveiką. Tai visiškai atitinka pagrindinį tikslą – didinti ES kibernetinio saugumo pramonės konkurencingumą ir paversti kibernetinį saugumą kitų Europos pramonės šakų konkurenciniu pranašumu.

Daugiau informacijos

Brošiūra „Kibernetinio saugumo stiprinimas Europos Sąjungoje“

Informacijos suvestinė „Atsparumas, atgrasymas ir gynyba. Kibernetinio saugumo stiprinimas Europoje“

Pasiūlymas dėl Europos kibernetinio saugumo kompetencijos centro ir tinklo

Saugumo sąjunga. Iki šiol susitarta dėl 15 iš 22 teisėkūros iniciatyvų

Pranešimas spaudai. ES derybininkai susitarė dėl Europos kibernetinio saugumo stiprinimo

Pranešimas spaudai. Europos Komisija teikia rekomendaciją dėl bendro ES požiūrio į 5G tinklų saugumą

QANDA/19/3369

Žiniasklaidai:

Visuomenei: Europe Direct , tel. 00 800 67 89 10 11 e. paštas


Side Bar