accesskey_mod_content

La política de la UE en matèria de ciberdefensa

  • Escoltar
  • Imprimir PDF
  • Compartir

"Notícia disponible únicament amb finalitats històriques i d'hemeroteca. La informació i enllaços mostrats es corresponen amb els quals estaven operatius a la data de la seva publicació. No es garanteix que continuïn actius actualment".

11 novembre 2022

Per protegir a les seves forces armades, als ciutadans, així com a les operacions i missions de gestió de crisis civils i militars de la UE, la UE ha d'impulsar la cooperació i les inversions en defensa cibernètica

El domini cibernètic és cada vegada més qüestionat i el nombre de ciberatacs contra la UE i els seus Estats membres segueix creixent. L'atac rus a la xarxa de satèl·lits CA-SAT, que va interrompre la comunicació entre diverses autoritats públiques i les forces armades ucraïneses, és un exemple de quant confien els actors civils i de defensa en la mateixa infraestructura crítica. Esto reforça la necessitat d'assegurar aquesta infraestructura crítica.  

La necessitat d'una revisió del marc de la política de ciberdefensa de la UE es va assenyalar en l'Estratègia de  Ciberseguretat de la UE de 2020(Obre en nova finestra)  . A més, la presidenta von der Leyen va demanar el desenvolupament d'una política europea de ciberdefensa en el seu discurs sobre l'estat de la Unió de 2021. La  brúixola estratègica per a la seguretat i la defensa(Obre en nova finestra)  aprovada pel Consell al març d'aquest any requeria una política de defensa cibernètica de la UE per 2022. En maig, en les conclusions del Consell sobre el desenvolupament de la postura cibernètica de la Unió Europea, els Estats membres van convidar a l'Alt Representant juntament amb a la Comissió a presentar una proposta ambiciosa per a una Política de Ciberdefensa de la UE en 2022. 

Què es proposa fer la Política de Ciberdefensa de la UE? 

La política de la UE sobre defensa cibernètica es basa en quatre pilars que cobreixen una àmplia gamma d'iniciatives que ajudaran a la UE i als Estats membres a ser més capaços de detectar, dissuadir i defensar-se dels atacs cibernètics. Una millor i més forta cooperació entre els actors militars i civils és el fil comú que travessa els següents pilars:

Actuació conjunta per enfortir la ciberdefensa europea

La UE reforçarà els seus mecanismes de coordinació entre els actors de la defensa cibernètica nacionals i de la UE, per augmentar l'intercanvi d'informació i la cooperació, i recolzar encara més les missions i operacions militars de la Política Comuna de Seguretat i Defensa (PCSD). A aquest efecte, la UE:  

  1. crear un Centre de Coordinació de Ciberdefensa de la UE (EUCDCC) per recolzar una major consciència situacional dins de la comunitat de defensa; 
  1. establir una xarxa operativa per milCERTs (Equips Militars de Resposta a Emergencias Informáticas); 
  1. desenvolupar i enfortir la Conferència de Comandants Cibernètics de la UE ; 
  1. desenvolupar un nou projecte marc CyDef-X per recolzar els exercicis de ciberdefensa de la UE ;
  1. desenvolupar encara més l'intercanvi d'informació entre la comunitat de defensa cibernètica i les altres comunitats cibernètiques;
  2. enfortir les capacitats comunes de detecció, coneixement de la situació i resposta de la UE a través de la infraestructura civil de la UE dels Centres d'Operacions de Seguretat (SOC) ;
  3. establir un mecanisme per construir gradualment una reserva cibernètica a nivell de la UE amb serveis de proveïdors privats de confiança. 

Assegurar l'ecosistema de defensa

Incluso los componentes de software no críticos se pueden utilizar para llevar a cabo ciberataques a empresas o gobiernos, incluso en el sector de la defensa. Esto requiere más trabajo en la estandarización y certificación de la seguridad cibernética para proteger los dominios militares y civiles. A tal efecto, la UE: 

  1. proporcionar una plataforma per recolzar als Estats membres en el desenvolupament de recomanacions jurídicament no vinculants per a la comunitat de defensa ; 
  1. desenvolupar recomanacions sobre els requisits d'interoperabilitat de ciberdefensa de la UE ; 
  1. desenvolupar escenaris de risc per a la infraestructura crítica d'importància per a la comunicació militar i la mobilitat per apuntar a les accions de preparació, fins i tot a través de proves de penetració; 
  1. fomentar la cooperació entre els organismes de normalització civils i militars per al desenvolupament de normes harmonitzades per a productes de doble ús. 

Invertir en capacitats de defensa cibernètica

Los Estats membres han d'augmentar significativament les inversions en capacitats modernes de ciberdefensa militar de manera col·laborativa, utilitzant les plataformes de cooperació i els mecanismes de finançament disponibles a nivell de la UE, com PESCO i el Fons Europeu de Defensa. Per fer front a aquests desafiaments, la UE:  

  1. actualitzar les prioritats per al desenvolupament de capacitats de ciberdefensa i seguir recolzant als Estats membres en el desenvolupament de les seves capacitats de ciberdefensa en cooperació;
  2. desenvolupar un full de ruta de cibertecnología de la UE per reduir la dependència de tecnologies crítiques utilitzant tots els instruments de la UE;  
  3. desarrollar una evaluación estratégica de tecnologías disruptivas emergentes (EDT, por sus siglas en inglés) para apoyar las decisiones de inversión estratégica a largo plazo de los Estados miembros;  
  4. explorar amb els Estats membres la possibilitat de desenvolupar un conjunt de compromisos voluntaris per al desenvolupament de capacitats nacionals de ciberdefensa; 
  5. desenvolupar entrenaments i exercicis de ciberdefensa de la UE, fins i tot a través de la plataforma ESDC Cyber ​​Education, Training, Exercises and Evaluation (ETEE) ; 
  6. establir una Acadèmia d'Habilitats/Habilitats Cibernètiques de la UE, considerant les necessitats d'habilitats/habilitats específiques per a diferents perfils professionals i sectors d'activitat, inclosa la força laboral de defensa. 

Associar-se per afrontar desafiaments comuns

Sobre la base de la seguretat i la defensa existents, així com dels diàlegs cibernètics amb els països socis, la UE tractarà d'establir associacions a mesura a l'àrea de la ciberdefensa. En aquest sentit, la UE: 

  1. reforçar la cooperació UE-OTAN en l'àmbit de la formació, els exercicis, l'educació, la conscienciació situacional, la normalització i la certificació en matèria de ciberdefensa; 
  1. incloure la ciberdefensa en els diàlegs sobre ciberseguretat i defensa liderats per la UE amb socis clau ; 
  1. recolzar als socis en el desenvolupament de capacitats de defensa cibernètica , fins i tot a través del Fons Europeu per a la Pau (EPF). 

Les preguntes que cal fer-se sobre l'actual i futura ciberseguretat europea

Què s'ha fet des que es va llançar el segon Marco de Polítiques de Defensa Cibernètica en 2018? 

La Comunicació Conjunta es basa en el Marc de Polítiques de Ciberdefensa (CDPF) establert en 2014 i actualitzat en 2018, així com en l'Estratègia de Ciberseguretat 2020. Han permès preparar el terreny per a moltes accions proposades en aquesta política. 

En el marc del Marco de Política de Ciberdefensa, s'han aconseguit avanços a les sis àrees prioritàries: recolzar el desenvolupament de les capacitats de ciberdefensa dels Estats membres, millorar la protecció dels sistemes de comunicació i informació de la Política Comuna de Seguretat i Defensa (PCSD) utilitzats per les entitats de la UE, la promoció de la cooperació civil-militar, el desenvolupament de la recerca i la tecnologia, la millora de l'educació, la formació i les oportunitats d'exercici i la millora de la cooperació amb els socis internacionals pertinents.

Què farà la UE per intensificar la cooperació dins de la comunitat de defensa?

L'objectiu principal d'aquesta Política és enfortir la comunitat de ciberdefensa. 

Per a això, la Comunicació Conjunta proposa establir les estructures necessàries per a l'intercanvi d'informació i la cooperació entre diferents actors militars. Esto inclou una proposta per crear un Centre de Coordinació de Ciberdefensa de la UE (EUCDCC) per recolzar una major consciència situacional dins de la comunitat de defensa. Esto es basarà en el projecte PESCO actualment en curs sobre el Centre de Coordinació del Domini d'Informació i Cibernètica (CIDCC). El Centre ha de convertir-se en el node central per recopilar, analitzar, avaluar i finalment distribuir informació relacionada amb la ciberdefensa per a les missions i operacions de la PCSD, així com per a les parts interessades en el marc de la PCSD, inclosos els Estats membres i les institucions, organismes i agències de la UE que ho sol·licitin.

A més, l'Agència Europea de Defensa establirà i recolzarà una xarxa operativa per a Equips Militars de Resposta a Emergencias Informáticas – MICNET . Fomentará una resposta més sòlida i coordinada a les ciberamenazas que afecten als sistemes de defensa de la UE, inclosos els utilitzats en les missions i operacions militars de la PCSD.

Per consolidar la xarxa de cibercomandantes de la UE i millorar la confiança, així com per permetre intercanvis d'informació a nivell estratègic sobre incidents cibernètics importants, la nova política proposa desenvolupar i enfortir la Conferència de cibercomandantes de la UE .

Finalment, l'Agència Europea de Defensa desenvoluparà un nou projecte marc CyDef-X per recolzar els exercicis de ciberdefensa de la UE. Aquest projecte també podria servir per incloure exercicis per provar l'assistència mútua en virtut de l'article 42, apartat 7, del TUE.   

Què farà la UE per millorar la cooperació entre les autoritats de defensa i les xarxes civils? 

Com tot està interconnectat, les línies entre les dimensions civil i militar del ciberespai es desdibuixen. Esto es veu especialment en relació amb els ciberatacs a infraestructures crítiques, que afecten a ambdues comunitats. Por lo tanto, la cooperació entre les comunitats cibernètiques civils, diplomàtiques i policials i els seus homòlegs de defensa aportarà un gran valor afegit a tots els actors interessats. Per tant, és crucial permetre aquesta col·laboració en proporcionar mitjans adequats i assegurances per a l'intercanvi d'informació i participar en exercicis i altres activitats que generin confiança i comprensió mútua.  

Una vegada que una xarxa operativa per a equips militars de resposta a emergències informàtiques, milCERT (MICNET) aconsegueixi un nivell de maduresa suficient, la UE explorarà opcions de col·laboració amb la xarxa de equips de resposta a incidents de seguretat informàtica (CSIRT) , que reuneix als CSIRT nacionals i la xarxa d'equips d'emergència informàtica. Equip de Resposta d'EUIBAs (CERT-EU). 

Per permetre una gestió més eficient de les crisis cibernètiques, la Conferència de Comandants Cibernètics de la UE col·laboraria amb la Xarxa d'Organitzacions d'Enllaç de Crisis Cibernètiques de la UE (CYCLONe) , que reuneix als Estats membres i la Comissió per recolzar la coordinació i gestió d'incidents de ciberseguretat a gran escala en la UE. . Aquest compromís combinarà l'experiència militar i la consciència situacional civil a nivell estratègic i operatiu. 

Mentre que el Centre de Coordinació de Ciberdefensa de la UE (EUCDCC) ha d'actuar com el node central per recopilar, analitzar, avaluar i, finalment, distribuir informació relacionada amb la ciberdefensa, en particular per a les missions i operacions militars de la PCSD, també podria vincular-se amb el Ciberdefensa interinstitucional. Crisis Task Force , que es va crear per garantir una presa de decisions informada i una resposta coordinada de l'EUIBA a les grans cibercrisis a nivell estratègic i operatiu. El EUCDCC també pot intercanviar informació rellevant amb un centre d'anàlisi i situació cibernètica que s'està creant en la Comissió amb el suport de l'Agència de Ciberseguretat de la Unió Europea (ENISA) i CERT-EU per proporcionar anàlisi i un suport de gestió de crisi més eficaç.  

Per abordar la falta d'eines i plataformes de comunicació segura/segura interoperables o compartides comunament entre els Estats membres i les EUIBA rellevants, la Comissió i les institucions rellevants estan duent a terme actualment un mapatge de les eines existents per a la comunicació segura/segura en el camp cibernètic. Sobre la base d'aquest mapatge, la Comissió presentarà les seves recomanacions al Consell a la fi de 2022 per acordar noves accions.  

De què es tracta la Iniciativa de Solidaritat Cibernètica de la UE? 

La Comissió prepararà una iniciativa de solidaritat cibernètica de la UE per enfortir la detecció comuna de la UE de ciberamenazas i incidents i la consciència situacional, així com les capacitats de preparació i resposta .  

Quant a la detecció i consciència situacional , en les properes setmanes s'engegarà una iniciativa per promoure el desplegament d'una infraestructura de la UE de Centres d'Operacions de Seguretat (SOC) basada en una primera fase, que després s'ampliaria i desplegaria a major escala. En última instància, estaria compost per diverses plataformes SOC de diversos països, cadascuna de les quals agruparia als SOC nacionals, amb el suport del Programa Europa Digital (a. c. s.). per complementar el finançament nacional. Els canvis legislatius a l'a. c. s. permetrien un suport financer a més llarg termini per a l'adquisició conjunta d'eines i infraestructura ultraseguras de propera generació. Esto permetria que la infraestructura prevista de SOC de la UE millori les capacitats de detecció col·lectiva mitjançant l'ús de l'última intel·ligència artificial (IA) i anàlisi de dades. Aquesta generació d'intel·ligència procesable sobre amenaces cibernètiques permetria alertes oportunes a les autoritats i entitats rellevants perquè puguin detectar i respondre de manera efectiva a incidents importants. L'escala i l'abast de la infraestructura dependran del finançament global que pugui desplegar-se a nivell nacional i per part de la Unió, subjecta al pressupost disponible en el marc financer plurianual. 

La Iniciativa de Solidaritat Cibernètica de la UE també tindrà com a objectiu enfortir les accions de preparació i resposta en tota la UE. Esto inclouria la prova de vulnerabilitats potencials d'entitats essencials que operen infraestructures crítiques basades en avaluacions de risc de la UE (basades en accions ja iniciades juntament amb ENISA) , així com accions de resposta a incidents per mitigar l'impacte d'incidents greus, per recolzar la recuperació immediata i/o restablir el funcionament dels serveis essencials.  

La iniciativa de solidaritat cibernètica de la UE podria recolzar la creació gradual d'una reserva cibernètica a nivell de la UE amb serveis de proveïdors privats de confiança.que estaria preparat per intervenir a petició dels Estats membres en casos d'incidents transfronterers significatius. Les funcions i responsabilitats han d'estar clarament identificades i completament coordinades amb els organismes existents per garantir que el suport de la reserva cibernètica a nivell de la UE es brindi on sigui necessari i complementi altres possibles formes d'assistència. Si ben l'abast de l'acció i l'assignació de costos d'intervencions específiques dependrien del finançament de la UE disponible, la UE també agregaria valor en garantir la disponibilitat i preparació d'aquesta reserva a nivell de la UE. Per garantir un alt nivell de confiança, la Comissió també considerarà les opcions de recolzar el desenvolupament d'esquemes de certificació de ciberseguretat per a tals empreses privades de ciberseguretat.  

Com es connecta la nova política de ciberdefensa de la UE amb el treball recent sobre la protecció d'infraestructures crítiques? 

L'augment en el nombre i la sofisticació dels ciberatacs dirigits a infraestructures militars i civils crítiques en la UE va ser una de les principals raons per les quals la Política de la UE sobre Ciberdefensa requeria una actualització urgent. La interdependència entre la infraestructura física i digital, i la possibilitat que incidents significatius de ciberseguretat interrompin o danyin la infraestructura crítica il·lustren que la UE necessita una estreta cooperació militar i civil en el ciberespai per convertir-se en un proveïdor de seguretat més forta per als seus ciutadans. Est és també el nucli de la proposta de Recomanació del Consell sobre un enfocament coordinat de la Unió per reforçar la resiliència de les infraestructures crítiques presentada el mes passat.  

Atès que les forces armades depenen en gran manera de la infraestructura crítica civil, ja sigui per a la mobilitat, les comunicacions o l'energia, la nova política de la UE sobre ciberdefensa té com a objectiu permetre que la comunitat de ciberdefensa es beneficiï de capacitats més sòlides de detecció i consciència situacional de civils i militars.  

A petició del Consell, la Comissió, l'Alta Representant i el  Grup de Cooperació NIS(Obre en nova finestra)  estan desenvolupant escenaris de risc per a la seguretat de la infraestructura digital. 

A més, la Comissió també proposarà noves accions per enfortir les accions de preparació i resposta en tota la UE. Esto inclouria la prova de vulnerabilitats potencials d'entitats essencials que operen infraestructura crítica en funció de les avaluacions de risc de la UE, la creació gradual d'una reserva cibernètica de la UE i el desenvolupament d'una infraestructura del Centre d'Operacions de Seguretat de la UE, proporcionant un veritable escut cibernètic per a la Unió Europea. 

Com es relaciona la política de ciberdefensa de la UE amb el desenvolupament de capacitats de ciberdefensa? 

Recolzar el desenvolupament de les capacitats de ciberdefensa és un element clau de la política de ciberdefensa de la UE. A aquest efecte, farem ple ús del conjunt establert d'instruments i iniciatives a nivell de la UE. Per exemple, permetre operacions amb capacitat de resposta cibernètica és una de les prioritats de desenvolupament de capacitats de la UE de 2018. Tots els esforços de desenvolupament de capacitats col·laboratives de defensa cibernètica realitzats en el marc de l'Agència Europea de Defensa (EDA), dins de la Cooperació Estructurada Permanent (PESCO) i sota el Fons Europeu de Defensa (EDF) contribueixen a la implementació d'aquesta prioritat. De manera similar, el grup de tecnologia de capacitat de ciberdefensa d'EDA ha desenvolupat una agenda de recerca de ciberdefensa. Sobre aquesta base, es porten avanci projectes específics de recerca col·laborativa en defensa centrats en la cibertecnología.

El desenvolupament de la capacitat de defensa cibernètica i les activitats de recerca relacionades amb ell no poden veure's de forma aïllada del desenvolupament i la millora de la seguretat cibernètica més amplis. La Política de Ciberdefensa de la UE abasta les mesures i instruments existents i proposats, com el Fons Europeu de Defensa (EDF) i l'Esquema d'Innovació de la Defensa de la UE (EUDIS) en el context integral d'una Base Industrial i Tecnològica de Defensa Europea oberta i inclusiva (EDTIB). Estos es veuen en l'entorn sinèrgic del domini cibernètic amb amplis efectes indirectes i indirectes entre sectors. 

L'adquisició i operació de capacitat de defensa per part de les forces armades en els Estats membres segueix sent la seva responsabilitat, però la UE pot millorar i permetre una cooperació més eficient. Est és particularment el cas dels elements de capacitat que són de naturalesa de doble ús. L'ECDP preveu un full de ruta de tecnologia de defensa cibernètica que identificarà les vulnerabilitats més crítiques i les accions per mitigar-les de manera coordinada i cooperativa. Esto, al seu torn, conduirà a elements per a accions de desenvolupament més eficients i innovadores i, al final, a una postura de defensa cibernètica més forta.  

Què farà la UE per desenvolupar una força laboral de Ciberdefensa? 

En el context de l'Any Europeu de les Habilitats/Habilitats 2023, la Comissió llançarà una iniciativa per una Cyber ​​Skills Academy . Actuará com una iniciativa paraigua amb l'objectiu d'incrementar el nombre de professionals formats en ciberseguretat. Reunirá les diferents iniciatives sobre ciberhabilidades i garantirà la coordinació, la integració i una comunicació comuna entorn de/entorn d'elles. Organitzada entorn de/entorn de diversos pilars d'acció, com el finançament, el suport de la comunitat, la formació i la certificació, la participació de les parts interessades i la generació de coneixements, l'Acadèmia d'Habilitats/Habilitats Cibernètiques també podrà ajudar per força laboral de ciberdefensa.

Esto complementarà els esforços realitzats en el marc del Col·legi Europeu de Seguretat i Defensa (ESDC) per seguir desenvolupant i organitzant, en cooperació amb l'AED i els Estats membres, activitats i exercicis de formació en ciberdefensa per a les institucions de la UE, les operacions i missions de la PCSD i els Estats membres. funcionaris También s'explorarà el desenvolupament addicional de la Plataforma d'Educació, Capacitació, Ejercicios i Evaluación Cibernéticos (ETEE) d'ESDC per generar més capacitats de capacitació.

Com contribuirà l'Agència Europea de Defensa a la implementació de la Política de Ciberdefensa? 

L'Agència Europea de Defensa (EDA) recolza la identificació de prioritats per al desenvolupament de capacitats de defensa i la recerca de defensa a nivell de la UE, així com la seva implementació a través de projectes de col·laboració específics. Permitir operacions cibernètiques és una de les 11 prioritats identificades en les prioritats actuals de desenvolupament de capacitats de defensa de la UE. L'EDA està treballant actualment juntament amb els Estats membres per actualitzar les prioritats de capacitat de defensa, la qual cosa desencadenaria projectes de col·laboració addicionals entre els Estats membres. L'EDA també ha desenvolupat una agenda de recerca dedicada a la ciberdefensa.

A més, l'EDA continuarà millorant la cooperació dins de la comunitat de defensa recolzant el desenvolupament d'una nova xarxa operativa per a els Equips Militars de Resposta a Emergencias Informáticas (MICNET) . MICNET fomentarà una resposta més sòlida i coordinada a les ciberamenazas que afecten als sistemes de defensa de la UE, inclosos els utilitzats en les missions i operacions militars de la PCSD. Paral·lelament, l'Agència promourà un major desenvolupament de la conferència de Comandants Cibernètics de la UE , per garantir l'intercanvi d'informació a nivell estratègic en relació amb els principals incidents cibernètics que afecten a les operacions militars. L'Agència recolzarà el desenvolupament de vincles entre MICNET i la Conferència de Comandants Cibernètics i els seus contrapartes civils, per millorar l'intercanvi d'informació entre les comunitats cibernètiques. 

L'Agència també seguirà desenvolupant els seus exercicis de ciberdefensa, activitats de formació i educació , en particular mitjançant l'establiment d'un nou marc per als exercicis de ciberdefensa a nivell de la UE: CyDef-X . 

Com intensificarà la UE la cooperació amb els seus socis en matèria de ciberdefensa?  

La cooperació amb els socis és crucial. Sobre la base dels diàlegs cibernètics i de seguretat i defensa liderats per la UE, la UE tractarà d'establir associacions adaptades a l'àrea de la ciberdefensa. En aquest sentit, el nostre objectiu serà enfortir encara més la cooperació UE-OTAN en el camp de la formació, l'educació, la consciència situacional i els exercicis de ciberdefensa, aprofitant la cooperació entre la Capacitat de Resposta a Incidentes Informáticos (NIRC) de l'OTAN i el CERT de la UE. La UE també començarà a incloure progressivament temes de ciberdefensa en els diàlegs sobre ciberseguretat i defensa dirigits per la UE.. Això ja es va fer en el diàleg cibernètic UE-Ucraïna que va tenir lloc aquest setembre (enllaç al comunicat de premsa). La UE també seguirà recolzant als seus socis, especialment als països candidats a la UE, en el desenvolupament de capacitats de ciberdefensa, fins i tot, quan escaigui, a través del Fons Europeu per a la Pau (EPF). 

Quins són els següents passos? 

L'Alt Representant, fins i tot en el paper de Cap de l'EDA, i la Comissió demanen als Estats membres que desenvolupin els aspectes rellevants d'aquesta Política de Ciberdefensa i es posaran en contacte amb els Estats membres per definir mesures pràctiques per a la seva implementació. Podría establir-se un pla d'aplicació en cooperació amb els Estats membres. Els resultats de la implementació de la Política de Ciberdefensa de la UE contribuiran als objectius generals tant de l'Estratègia de Ciberseguretat de la UE com de la Brúixola Estratègica.  

Se proporcionarà un informe anual al Consell per monitorear i avaluar el progrés de la implementació de la Política de Ciberdefensa. S'encoratja als Estats membres a contribuir amb les seves aportacions sobre el progrés de les mesures d'implementació que es duen a terme en formats nacionals o de cooperació. 

Més informació imprescindible

Per completar l'anteriorment exposat, recomanem la consulta dels següents documents i llocs web.

Font original de la notícia(Obre en nova finestra)

  • Seguretat i Protecció de Dades