Les preguntes que cal fer-se sobre l'actual i futura ciberseguretat europea
Què s'ha fet des que es va llançar el segon Marco de Polítiques de Defensa Cibernètica en 2018?
La Comunicació Conjunta es basa en el Marc de Polítiques de Ciberdefensa (CDPF) establert en 2014 i actualitzat en 2018, així com en l'Estratègia de Ciberseguretat 2020. Han permès preparar el terreny per a moltes accions proposades en aquesta política.
En el marc del Marc de Política de Ciberdefensa, s'han aconseguit avanços a les sis àrees prioritàries: recolzar el desenvolupament de les capacitats de ciberdefensa dels Estats membres, millorar la protecció dels sistemes de comunicació i informació de la Política Comuna de Seguretat i Defensa (PCSD) utilitzats per les entitats de la UE, la promoció de la cooperació civil-militar, el desenvolupament de la recerca i la tecnologia, la millora de l'educació, la formació i les oportunitats d'exercici i la millora de la cooperació amb els socis internacionals pertinents.
Què farà la UE per intensificar la cooperació dins de la comunitat de defensa?
L'objectiu principal d'aquesta Política és enfortir la comunitat de ciberdefensa.
Per a això, la Comunicació Conjunta proposa establir les estructures necessàries per a l'intercanvi d'informació i la cooperació entre diferents actors militars. Això inclou una proposta per crear un Centre de Coordinació de Ciberdefensa de la UE (EUCDCC) per recolzar una major consciència situacional dins de la comunitat de defensa. Això es basarà en el projecte PESCO actualment en curs sobre el Centre de Coordinació del Domini d'Informació i Cibernètica (CIDCC). El Centre ha de convertir-se en el node central per recopilar, analitzar, avaluar i finalment distribuir informació relacionada amb la ciberdefensa per a les missions i operacions de la PCSD, així com per a les parts interessades en el marc de la PCSD, inclosos els Estats membres i les institucions, organismes i agències de la UE que ho sol·licitin.
A més, l'Agència Europea de Defensa establirà i recolzarà una xarxa operativa per a Equips Militars de Resposta a Emergències Informàtiques – MICNET . Fomentarà una resposta més sòlida i coordinada a les ciberamenazas que afecten als sistemes de defensa de la UE, inclosos els utilitzats en les missions i operacions militars de la PCSD.
Per consolidar la xarxa de cibercomandantes de la UE i millorar la confiança, així com per permetre intercanvis d'informació a nivell estratègic sobre incidents cibernètics importants, la nova política proposa desenvolupar i enfortir la Conferència de cibercomandantes de la UE .
Finalment, l'Agència Europea de Defensa desenvoluparà un nou projecte marc CyDef-X per recolzar els exercicis de ciberdefensa de la UE. Aquest projecte també podria servir per incloure exercicis per provar l'assistència mútua en virtut de l'article 42, apartat 7, del TUE.
Què farà la UE per millorar la cooperació entre les autoritats de defensa i les xarxes civils?
Com tot està interconnectat, les línies entre les dimensions civil i militar del ciberespai es desdibuixen. Això es veu especialment en relació amb els ciberatacs a infraestructures crítiques, que afecten a ambdues comunitats. Per tant, la cooperació entre les comunitats cibernètiques civils, diplomàtiques i policials i els seus homòlegs de defensa aportarà un gran valor afegit a tots els actors interessats. Per tant, és crucial permetre aquesta col·laboració en proporcionar mitjans adequats i assegurances per a l'intercanvi d'informació i participar en exercicis i altres activitats que generin confiança i comprensió mútua.
Una vegada que una xarxa operativa per a equips militars de resposta a emergències informàtiques, milCERT (MICNET) aconsegueixi un nivell de maduresa suficient, la UE explorarà opcions de col·laboració amb la xarxa de equips de resposta a incidents de seguretat informàtica (CSIRT) , que reuneix als CSIRT nacionals i la xarxa d'equips d'emergència informàtica. Equip de Resposta d'EUIBAs (CERT-EU).
Per permetre una gestió més eficient de les crisis cibernètiques, la Conferència de Comandants Cibernètics de la UE col·laboraria amb la Xarxa d'Organitzacions d'Enllaç de Crisis Cibernètiques de la UE (CYCLONe) , que reuneix als Estats membres i la Comissió per recolzar la coordinació i gestió d'incidents de ciberseguretat a gran escala en la UE. . Aquest compromís combinarà l'experiència militar i la consciència situacional civil a nivell estratègic i operatiu.
Mentre que el Centre de Coordinació de Ciberdefensa de la UE (EUCDCC) ha d'actuar com el node central per recopilar, analitzar, avaluar i, finalment, distribuir informació relacionada amb la ciberdefensa, en particular per a les missions i operacions militars de la PCSD, també podria vincular-se amb el Ciberdefensa interinstitucional. Crisi Task Force , que es va crear per garantir una presa de decisions informada i una resposta coordinada de l'EUIBA a les grans cibercrisis a nivell estratègic i operatiu. L'EUCDCC també pot intercanviar informació rellevant amb un centre d'anàlisi i situació cibernètica que s'està creant en la Comissió amb el suport de l'Agència de Ciberseguretat de la Unió Europea (ENISA) i CERT-EU per proporcionar anàlisi i un suport de gestió de crisi més eficaç.
Per abordar la falta d'eines i plataformes de comunicació segura/segura interoperables o compartides comunament entre els Estats membres i les EUIBA rellevants, la Comissió i les institucions rellevants estan duent a terme actualment un mapatge de les eines existents per a la comunicació segura/segura en el camp cibernètic. Sobre la base d'aquest mapatge, la Comissió presentarà les seves recomanacions al Consell a la fi de 2022 per acordar noves accions.
De què es tracta la Iniciativa de Solidaritat Cibernètica de la UE?
La Comissió prepararà una iniciativa de solidaritat cibernètica de la UE per enfortir la detecció comuna de la UE de ciberamenazas i incidents i la consciència situacional, així com les capacitats de preparació i resposta .
Quant a la detecció i consciència situacional , en les properes setmanes s'engegarà una iniciativa per promoure el desplegament d'una infraestructura de la UE de Centres d'Operacions de Seguretat (SOC) basada en una primera fase, que després s'ampliaria i desplegaria a major escala. En última instància, estaria compost per diverses plataformes SOC de diversos països, cadascuna de les quals agruparia als SOC nacionals, amb el suport del Programa Europa Digital (a. c. s.). per complementar el finançament nacional. Els canvis legislatius a l'a. c. s. permetrien un suport financer a més llarg termini per a l'adquisició conjunta d'eines i infraestructura ultraseguras de propera generació. Això permetria que la infraestructura prevista de SOC de la UE millori les capacitats de detecció col·lectiva mitjançant l'ús de l'última intel·ligència artificial (IA) i anàlisi de dades. Aquesta generació d'intel·ligència procesable sobre amenaces cibernètiques permetria alertes oportunes a les autoritats i entitats rellevants perquè puguin detectar i respondre de manera efectiva a incidents importants. L'escala i l'abast de la infraestructura dependran del finançament global que pugui desplegar-se a nivell nacional i per part de la Unió, subjecta al pressupost disponible en el marc financer plurianual.
La Iniciativa de Solidaritat Cibernètica de la UE també tindrà com a objectiu enfortir les accions de preparació i resposta en tota la UE. Això inclouria la prova de vulnerabilitats potencials d'entitats essencials que operen infraestructures crítiques basades en avaluacions de risc de la UE (basades en accions ja iniciades juntament amb ENISA) , així com accions de resposta a incidents per mitigar l'impacte d'incidents greus, per recolzar la recuperació immediata i/o restablir el funcionament dels serveis essencials.
La iniciativa de solidaritat cibernètica de la UE podria recolzar la creació gradual d'una reserva cibernètica a nivell de la UE amb serveis de proveïdors privats de confiança.que estaria preparat per intervenir a petició dels Estats membres en casos d'incidents transfronterers significatius. Les funcions i responsabilitats han d'estar clarament identificades i completament coordinades amb els organismes existents per garantir que el suport de la reserva cibernètica a nivell de la UE es brindi on sigui necessari i complementi altres possibles formes d'assistència. Si ben l'abast de l'acció i l'assignació de costos d'intervencions específiques dependrien del finançament de la UE disponible, la UE també agregaria valor en garantir la disponibilitat i preparació d'aquesta reserva a nivell de la UE. Per garantir un alt nivell de confiança, la Comissió també considerarà les opcions de recolzar el desenvolupament d'esquemes de certificació de ciberseguretat per a tals empreses privades de ciberseguretat.
Com es connecta la nova política de ciberdefensa de la UE amb el treball recent sobre la protecció d'infraestructures crítiques?
L'augment en el nombre i la sofisticació dels ciberatacs dirigits a infraestructures militars i civils crítiques en la UE va ser una de les principals raons per les quals la Política de la UE sobre Ciberdefensa requeria una actualització urgent. La interdependència entre la infraestructura física i digital, i la possibilitat que incidents significatius de ciberseguretat interrompin o danyin la infraestructura crítica il·lustren que la UE necessita una estreta cooperació militar i civil en el ciberespai per convertir-se en un proveïdor de seguretat més forta per als seus ciutadans. Est és també el nucli de la proposta de Recomanació del Consell sobre un enfocament coordinat de la Unió per reforçar la resiliència de les infraestructures crítiques presentada el mes passat.
Atès que les forces armades depenen en gran manera de la infraestructura crítica civil, ja sigui per a la mobilitat, les comunicacions o l'energia, la nova política de la UE sobre ciberdefensa té com a objectiu permetre que la comunitat de ciberdefensa es beneficiï de capacitats més sòlides de detecció i consciència situacional de civils i militars.
A petició del Consell, la Comissió, l'Alta Representant i el Grup de Cooperació NIS
estan desenvolupant escenaris de risc per a la seguretat de la infraestructura digital.
A més, la Comissió també proposarà noves accions per enfortir les accions de preparació i resposta en tota la UE. Això inclouria la prova de vulnerabilitats potencials d'entitats essencials que operen infraestructura crítica en funció de les avaluacions de risc de la UE, la creació gradual d'una reserva cibernètica de la UE i el desenvolupament d'una infraestructura del Centre d'Operacions de Seguretat de la UE, proporcionant un veritable escut cibernètic per a la Unió Europea.
Com es relaciona la política de ciberdefensa de la UE amb el desenvolupament de capacitats de ciberdefensa?
Recolzar el desenvolupament de les capacitats de ciberdefensa és un element clau de la política de ciberdefensa de la UE. A aquest efecte, farem ple ús del conjunt establert d'instruments i iniciatives a nivell de la UE. Per exemple, permetre operacions amb capacitat de resposta cibernètica és una de les prioritats de desenvolupament de capacitats de la UE de 2018. Tots els esforços de desenvolupament de capacitats col·laboratives de defensa cibernètica realitzats en el marc de l'Agència Europea de Defensa (EDA), dins de la Cooperació Estructurada Permanent (PESCO) i sota el Fons Europeu de Defensa (EDF) contribueixen a la implementació d'aquesta prioritat. De manera similar, el grup de tecnologia de capacitat de ciberdefensa d'EDA ha desenvolupat una agenda de recerca de ciberdefensa. Sobre aquesta base, es porten avanci projectes específics de recerca col·laborativa en defensa centrats en la cibertecnología.
El desenvolupament de la capacitat de defensa cibernètica i les activitats de recerca relacionades amb ell no poden veure's de forma aïllada del desenvolupament i la millora de la seguretat cibernètica més amplis. La Política de Ciberdefensa de la UE abasta les mesures i instruments existents i proposats, com el Fons Europeu de Defensa (EDF) i l'Esquema d'Innovació de la Defensa de la UE (EUDIS) en el context integral d'una Base Industrial i Tecnològica de Defensa Europea oberta i inclusiva (EDTIB). Aquests es veuen en l'entorn sinèrgic del domini cibernètic amb amplis efectes indirectes i indirectes entre sectors.
L'adquisició i operació de capacitat de defensa per part de les forces armades en els Estats membres segueix sent la seva responsabilitat, però la UE pot millorar i permetre una cooperació més eficient. Est és particularment el cas dels elements de capacitat que són de naturalesa de doble ús. L'ECDP preveu un full de ruta de tecnologia de defensa cibernètica que identificarà les vulnerabilitats més crítiques i les accions per mitigar-les de manera coordinada i cooperativa. Això, al seu torn, conduirà a elements per a accions de desenvolupament més eficients i innovadores i, al final, a una postura de defensa cibernètica més forta.
Què farà la UE per desenvolupar una força laboral de Ciberdefensa?
En el context de l'Any Europeu de les Habilitats/Habilitats 2023, la Comissió llançarà una iniciativa per una Cyber Skills Academy . Actuarà com una iniciativa paraigua amb l'objectiu d'incrementar el nombre de professionals formats en ciberseguretat. Reunirà les diferents iniciatives sobre ciberhabilidades i garantirà la coordinació, la integració i una comunicació comuna entorn de/entorn d'elles. Organitzada entorn de/entorn de diversos pilars d'acció, com el finançament, el suport de la comunitat, la formació i la certificació, la participació de les parts interessades i la generació de coneixements, l'Acadèmia d'Habilitats/Habilitats Cibernètiques també podrà ajudar per força laboral de ciberdefensa.
Això complementarà els esforços realitzats en el marc del Col·legi Europeu de Seguretat i Defensa (ESDC) per seguir desenvolupant i organitzant, en cooperació amb l'AED i els Estats membres, activitats i exercicis de formació en ciberdefensa per a les institucions de la UE, les operacions i missions de la PCSD i els Estats membres. funcionaris També s'explorarà el desenvolupament addicional de la Plataforma d'Educació, Capacitació, Exercicis i Avaluació Cibernètics (ETEE) d'ESDC per generar més capacitats de capacitació.
Com contribuirà l'Agència Europea de Defensa a la implementació de la Política de Ciberdefensa?
L'Agència Europea de Defensa (EDA) recolza la identificació de prioritats per al desenvolupament de capacitats de defensa i la recerca de defensa a nivell de la UE, així com la seva implementació a través de projectes de col·laboració específics. Permetre operacions cibernètiques és una de les 11 prioritats identificades en les prioritats actuals de desenvolupament de capacitats de defensa de la UE. L'EDA està treballant actualment juntament amb els Estats membres per actualitzar les prioritats de capacitat de defensa, la qual cosa desencadenaria projectes de col·laboració addicionals entre els Estats membres. L'EDA també ha desenvolupat una agenda de recerca dedicada a la ciberdefensa.
A més, l'EDA continuarà millorant la cooperació dins de la comunitat de defensa recolzant el desenvolupament d'una nova xarxa operativa per a els Equips Militars de Resposta a Emergències Informàtiques (MICNET) . MICNET fomentarà una resposta més sòlida i coordinada a les ciberamenazas que afecten als sistemes de defensa de la UE, inclosos els utilitzats en les missions i operacions militars de la PCSD. Paral·lelament, l'Agència promourà un major desenvolupament de la conferència de Comandants Cibernètics de la UE , per garantir l'intercanvi d'informació a nivell estratègic en relació amb els principals incidents cibernètics que afecten a les operacions militars. L'Agència recolzarà el desenvolupament de vincles entre MICNET i la Conferència de Comandants Cibernètics i els seus contrapartes civils, per millorar l'intercanvi d'informació entre les comunitats cibernètiques.
L'Agència també seguirà desenvolupant els seus exercicis de ciberdefensa, activitats de formació i educació , en particular mitjançant l'establiment d'un nou marc per als exercicis de ciberdefensa a nivell de la UE: CyDef-X .
Com intensificarà la UE la cooperació amb els seus socis en matèria de ciberdefensa?
La cooperació amb els socis és crucial. Sobre la base dels diàlegs cibernètics i de seguretat i defensa liderats per la UE, la UE tractarà d'establir associacions adaptades a l'àrea de la ciberdefensa. En aquest sentit, el nostre objectiu serà enfortir encara més la cooperació UE-OTAN en el camp de la formació, l'educació, la consciència situacional i els exercicis de ciberdefensa, aprofitant la cooperació entre la Capacitat de Resposta a Incidents Informàtics (NIRC) de l'OTAN i el CERT de la UE. La UE també començarà a incloure progressivament temes de ciberdefensa en els diàlegs sobre ciberseguretat i defensa dirigits per la UE.. Això ja es va fer en el diàleg cibernètic UE-Ucraïna que va tenir lloc aquest setembre (enllaç al comunicat de premsa). La UE també seguirà recolzant als seus socis, especialment als països candidats a la UE, en el desenvolupament de capacitats de ciberdefensa, fins i tot, quan escaigui, a través del Fons Europeu per a la Pau (EPF).
Quins són els següents passos?
L'Alt Representant, fins i tot en el paper de Cap de l'EDA, i la Comissió demanen als Estats membres que desenvolupin els aspectes rellevants d'aquesta Política de Ciberdefensa i es posaran en contacte amb els Estats membres per definir mesures pràctiques per a la seva implementació. Podria establir-se un pla d'aplicació en cooperació amb els Estats membres. Els resultats de la implementació de la Política de Ciberdefensa de la UE contribuiran als objectius generals tant de l'Estratègia de Ciberseguretat de la UE com de la Brúixola Estratègica.
Es proporcionarà un informe anual al Consell per monitorear i avaluar el progrés de la implementació de la Política de Ciberdefensa. S'encoratja als Estats membres a contribuir amb les seves aportacions sobre el progrés de les mesures d'implementació que es duen a terme en formats nacionals o de cooperació.
