As preguntas que cabe facerse sobre a actual e futura ciberseguridade europea
Que se fixo desde que se lanzou o segundo Marco de Políticas de Defensa Cibernética en 2018?
A Comunicación Conxunta baséase no Marco de Políticas de Ciberdefensa (CDPF) establecido en 2014 e actualizado en 2018, así como na Estratexia de Ciberseguridade 2020. Permitiron preparar o terreo para moitas accións propostas nesta política.
No marco do Marco de Política de Ciberdefensa, lográronse avances no seis áreas prioritarias: apoiar o desenvolvemento das capacidades de ciberdefensa dos Estados membros, mellorar a protección dos sistemas de comunicación e información da Política Común de Seguridade e Defensa (PCSD) utilizados polas entidades da UE, a promoción da cooperación civil-militar, o desenvolvemento da investigación e a tecnoloxía, a mellora da educación, a formación e as oportunidades de exercicio e a mellora da cooperación cos socios internacionais pertinentes.
Que fará a UE para intensificar a cooperación dentro da comunidade de defensa?
O obxectivo principal desta Política é fortalecer a comunidade de ciberdefensa.
Para iso, a Comunicación Conxunta propón establecer as estruturas necesarias para o intercambio de información e a cooperación entre diferentes actores militares. Isto inclúe unha proposta para crear un Centro de Coordinación de Ciberdefensa da UE (EUCDCC) para apoiar unha maior conciencia situacional dentro da comunidade de defensa. Isto basearase no proxecto PESCO actualmente en curso sobre o Centro de Coordinación do Dominio de Información e Cibernética (CIDCC). O Centro debe converterse no nodo central para recompilar, analizar, avaliar e finalmente distribuír información relacionada coa ciberdefensa para as misións e operacións da PCSD, así como para as partes interesadas no marco da PCSD, incluídos os Estados membros e as institucións, organismos e axencias da UE que o soliciten.
Ademais, a Axencia Europea de Defensa establecerá e apoiará unha rede operativa para Equipos Militares de Resposta a Emerxencias Informáticas – MICNET . Fomentará unha resposta máis sólida e coordinada ás ciberamenazas que afectan os sistemas de defensa da UE, incluídos os utilizados nas misións e operacións militares da PCSD.
Para consolidar a rede de cibercomandantes da UE e mellorar a confianza, así como para permitir intercambios de información a nivel estratéxico sobre incidentes cibernéticos importantes, a nova política propón desenvolver e fortalecer a Conferencia de cibercomandantes da UE .
Finalmente, a Axencia Europea de Defensa desenvolverá un novo proxecto marco CyDef-X para apoiar os exercicios de ciberdefensa da UE. Este proxecto tamén podería servir para incluír exercicios para probar a asistencia mutua en virtude do artigo 42, apartado 7, do TUE.
Que fará a UE para mellorar a cooperación entre as autoridades de defensa e as redes civís?
Como todo está interconectado, as liñas entre as dimensións civil e militar do ciberespazo esvaécense. Isto vese especialmente en relación cos ciberataques a infraestruturas críticas, que afectan a ambas as comunidades. Por tanto, a cooperación entre as comunidades cibernéticas civís, diplomáticas e policiais e os seus homólogos de defensa achegará un gran valor engadido a todos os actores interesados. Por tanto, é crucial permitir dita colaboración ao proporcionar medios adecuados e seguros para o intercambio de información e participar en exercicios e outras actividades que xeren confianza e comprensión mutua.
Unha vez que unha rede operativa para equipos militares de resposta a emerxencias informáticas, milCERT (MICNET) alcance un nivel de madurez suficiente, a UE explorará opcións de colaboración coa rede de equipos de resposta a incidentes de seguridade informática (CSIRT) , que reúne aos CSIRT nacionais e a rede de equipos de emerxencia informática. Equipo de Resposta de EUIBAs (CERT-EU).
Para permitir unha xestión máis eficiente das crises cibernéticas, a Conferencia de Comandantes Cibernéticos da UE colaboraría con a Rede de Organizacións de Ligazón de Crise Cibernéticas da UE (CYCLONe) , que reúne aos Estados membros e a Comisión para apoiar a coordinación e xestión de incidentes de ciberseguridade a gran escala na UE. . Este compromiso combinará a experiencia militar e a conciencia situacional civil a nivel estratéxico e operativo.
Mentres que o Centro de Coordinación de Ciberdefensa da UE (EUCDCC) debe actuar como o nodo central para recompilar, analizar, avaliar e, finalmente, distribuír información relacionada coa ciberdefensa, en particular para as misións e operacións militares da PCSD, tamén podería vincularse con o Ciberdefensa interinstitucional. Crise Task Force , que se creou para garantir unha toma de decisións informada e unha resposta coordinada da EUIBA ás grandes cibercrisis a nivel estratéxico e operativo. O EUCDCC tamén pode intercambiar información relevante con un centro de análise e situación cibernética que se está creando na Comisión co apoio da Axencia de Ciberseguridade da Unión Europea (ENISA) e CERT-EU para proporcionar análise e un apoio de xestión de crise máis eficaz.
Para abordar a falta de ferramentas e plataformas de comunicación segura interoperables ou compartidas comunmente entre os Estados membros e as EUIBA relevantes, a Comisión e as institucións relevantes están a levar a cabo actualmente un mapeo das ferramentas existentes para a comunicación segura no campo cibernético. Sobre a base deste mapeo, a Comisión presentará as súas recomendacións ao Consello a finais de 2022 para acordar novas accións.
De que se trata a Iniciativa de Solidariedade Cibernética da UE?
A Comisión preparará unha iniciativa de solidariedade cibernética da UE para fortalecer a detección común da UE de ciberamenazas e incidentes e a conciencia situacional, así como as capacidades de preparación e resposta .
Canto a a detección e conciencia situacional , nas próximas semanas porase en marcha unha iniciativa para promover o despregamento dunha infraestrutura da UE de Centros de Operacións de Seguridade (SOC) baseada nunha primeira fase, que logo se ampliaría e despregaría a maior escala. En última instancia, estaría composto por varias plataformas SOC de varios países, cada unha das cales agruparía aos SOC nacionais, co apoio do Programa Europa Dixital (DEP). para complementar o financiamento nacional. Os cambios lexislativos ao DEP permitirían un apoio financeiro a máis longo prazo para a adquisición conxunta de ferramentas e infraestrutura ultraseguras de próxima xeración. Isto permitiría que a infraestrutura prevista de SOC da UE mellore as capacidades de detección colectiva mediante o uso da última intelixencia artificial (IA) e análise de datos. Esta xeración de intelixencia procesable sobre ameazas cibernéticas permitiría alertas oportunas ás autoridades e entidades relevantes para que poidan detectar e responder de maneira efectiva a incidentes importantes. A escala e o alcance da infraestrutura dependerán do financiamento global que poida despregarse a nivel nacional e por parte da Unión, suxeita ao orzamento dispoñible no marco financeiro plurianual.
A Iniciativa de Solidariedade Cibernética da UE tamén terá como obxectivo fortalecer as accións de preparación e resposta en toda a UE. Isto incluiría a proba de vulnerabilidades potenciais de entidades esenciais que operan infraestruturas críticas baseadas en avaliacións de risco da UE (baseadas en accións xa iniciadas xunto con ENISA) , así como accións de resposta a incidentes para mitigar o impacto de incidentes graves, para apoiar a recuperación inmediata e/ou restablecer o funcionamento dos servizos esenciais.
A iniciativa de solidariedade cibernética da UE podería apoiar a creación gradual dunha reserva cibernética a nivel da UE con servizos de provedores privados de confianza.que estaría preparado para intervir a pedimento dos Estados membros en casos de incidentes transfronteirizos significativos. As funcións e responsabilidades deben estar claramente identificadas e completamente coordinadas cos organismos existentes para garantir que o apoio da reserva cibernética a nivel da UE bríndese onde sexa necesario e complemente outras posibles formas de asistencia. Aínda que o alcance da acción e a asignación de custos de intervencións específicas dependerían do financiamento da UE dispoñible, a UE tamén agregaría valor ao garantir a dispoñibilidade e preparación do dita reserva a nivel da UE. Para garantir un alto nivel de confianza, a Comisión tamén considerará as opcións de apoiar o desenvolvemento de esquemas de certificación de ciberseguridade para tales empresas privadas de ciberseguridade.
Como se conecta a nova política de ciberdefensa da UE co traballo recente sobre a protección de infraestruturas críticas?
O aumento no número e a sofisticación dos ciberataques dirixidos a infraestruturas militares e civís críticas na UE foi unha das principais razóns polas que a Política da UE sobre Ciberdefensa requiría unha actualización urxente. A interdependencia entre a infraestrutura física e dixital, e a posibilidade de que incidentes significativos de ciberseguridade interrompan ou danen a infraestrutura crítica ilustran que a UE necesita unha estreita cooperación militar e civil no ciberespazo para converterse nun provedor de seguridade máis forte para os seus cidadáns. Este é tamén o núcleo da proposta de Recomendación do Consello sobre un enfoque coordinado da Unión para reforzar a resiliencia das infraestruturas críticas presentada o mes pasado.
Dado que as forzas armadas dependen en gran medida da infraestrutura crítica civil, xa sexa para a mobilidade, as comunicacións ou a enerxía, a nova política da UE sobre ciberdefensa ten como obxectivo permitir que a comunidade de ciberdefensa benefíciese de capacidades máis sólidas de detección e conciencia situacional de civís e militares.
A pedimento do Consello, a Comisión, a Alta Representante e o Grupo de Cooperación NIS
están a desenvolver escenarios de risco para a seguridade da infraestrutura dixital.
Ademais, a Comisión tamén proporá novas accións para fortalecer as accións de preparación e resposta en toda a UE. Isto incluiría a proba de vulnerabilidades potenciais de entidades esenciais que operan infraestrutura crítica en función das avaliacións de risco da UE, a creación gradual dunha reserva cibernética da UE e o desenvolvemento dunha infraestrutura do Centro de Operacións de Seguridade da UE, proporcionando un verdadeiro escudo cibernético para a Unión Europea.
Como se relaciona a política de ciberdefensa da UE co desenvolvemento de capacidades de ciberdefensa?
Apoiar o desenvolvemento das capacidades de ciberdefensa é un elemento crave da política de ciberdefensa da UE. Con este fin, faremos pleno uso do conxunto establecido de instrumentos e iniciativas a nivel da UE. Por exemplo, permitir operacións con capacidade de resposta cibernética é unha das prioridades de desenvolvemento de capacidades da UE de 2018. Todos os esforzos de desenvolvemento de capacidades colaborativas de defensa cibernética realizados no marco da Axencia Europea de Defensa (EDA), dentro da Cooperación Estruturada Permanente (PESCO) e baixo o Fondo Europeo de Defensa (EDF) contribúen á implementación desta prioridade. De maneira similar, o grupo de tecnoloxía de capacidade de ciberdefensa de EDA desenvolveu unha axenda de investigación de ciberdefensa. Sobre esta base, levan adiante proxectos específicos de investigación colaborativa en defensa centrados na cibertecnología.
O desenvolvemento da capacidade de defensa cibernética e as actividades de investigación relacionadas con el non poden verse de forma illada do desenvolvemento e a mellora da seguridade cibernética máis amplos. A Política de Ciberdefensa da UE abarca as medidas e instrumentos existentes e propostos, como o Fondo Europeo de Defensa (EDF) e o Esquema de Innovación da Defensa da UE (EUDIS) no contexto integral dunha Base Industrial e Tecnolóxica de Defensa Europea aberta e inclusiva (EDTIB). Estes ven na contorna sinérgico do dominio cibernético con amplos efectos indirectos e indirectos entre sectores.
A adquisición e operación de capacidade de defensa por parte das forzas armadas nos Estados membros segue sendo a súa responsabilidade, pero a UE pode mellorar e permitir unha cooperación máis eficiente. Este é particularmente o caso dos elementos de capacidade que son de natureza de dobre uso. O ECDP prevé unha folla de ruta de tecnoloxía de defensa cibernética que identificará as vulnerabilidades máis críticas e as accións para mitigalas de maneira coordinada e cooperativa. Isto, á súa vez, conducirá a elementos para accións de desenvolvemento máis eficientes e innovadoras e, ao final, a unha postura de defensa cibernética máis forte.
Que fará a UE para desenvolver unha forza laboral de Ciberdefensa?
No contexto do Ano Europeo das Habilidades 2023, a Comisión lanzará unha iniciativa para unha Cyber Skills Academy . Actuará como unha iniciativa paraugas co obxectivo de incrementar o número de profesionais formados en ciberseguridade. Reunirá as diferentes iniciativas sobre ciberhabilidades e garantirá a coordinación, a integración e unha comunicación común ao redor delas. Organizada ao redor de varios alicerces de acción, como o financiamento, o apoio da comunidade, a formación e a certificación, a participación das partes interesadas e a xeración de coñecementos, a Academia de Habilidades Cibernéticas tamén poderá axudar á forza laboral de ciberdefensa.
Isto complementará os esforzos realizados no marco do Colexio Europeo de Seguridade e Defensa (ESDC) para seguir desenvolvendo e organizando, en cooperación coa AED e os Estados membros, actividades e exercicios de formación en ciberdefensa para as institucións da UE, as operacións e misións da PCSD e os Estados membros. funcionarios Tamén se explorará o desenvolvemento adicional da Plataforma de Educación, Capacitación, Exercicios e Avaliación Cibernéticos (ETEE) de ESDC para xerar máis capacidades de capacitación.
Como contribuirá a Axencia Europea de Defensa á implementación da Política de Ciberdefensa?
A Axencia Europea de Defensa (EDA) apoia a identificación de prioridades para o desenvolvemento de capacidades de defensa e a investigación de defensa a nivel da UE, así como a súa implementación a través de proxectos de colaboración específicos. Permitir operacións cibernéticas é unha das 11 prioridades identificadas as prioridades actuais de desenvolvemento de capacidades de defensa da UE. A EDA está a traballar actualmente xunto cos Estados membros para actualizar as prioridades de capacidade de defensa, o que desencadearía proxectos de colaboración adicionais entre os Estados membros. A EDA tamén desenvolveu unha axenda de investigación dedicada á ciberdefensa.
Ademais, a EDA continuará mellorando a cooperación dentro da comunidade de defensa apoiando o desenvolvemento dunha nova rede operativa para os Equipos Militares de Resposta a Emerxencias Informáticas (MICNET) . MICNET fomentará unha resposta máis sólida e coordinada ás ciberamenazas que afectan os sistemas de defensa da UE, incluídos os utilizados nas misións e operacións militares da PCSD. Paralelamente, a Axencia promoverá un maior desenvolvemento de a conferencia de Comandantes Cibernéticos da UE , para garantir o intercambio de información a nivel estratéxico en relación cos principais incidentes cibernéticos que afectan as operacións militares. A Axencia apoiará o desenvolvemento de vínculos entre MICNET e a Conferencia de Comandantes Cibernéticos e as súas contrapartes civís, para mellorar o intercambio de información entre as comunidades cibernéticas.
A Axencia tamén seguirá desenvolvendo os seus exercicios de ciberdefensa, actividades de formación e educación , en particular mediante o establecemento dun novo marco para os exercicios de ciberdefensa a nivel da UE: CyDef-X .
Como intensificará a UE a cooperación cos seus socios en materia de ciberdefensa?
A cooperación cos socios é crucial. Sobre a base dos diálogos cibernéticos e de seguridade e defensa liderados pola UE, a UE tratará de establecer asociacións adaptadas na área da ciberdefensa. Neste sentido, o noso obxectivo será fortalecer aínda máis a cooperación UE-OTAN no campo da formación, a educación, a conciencia situacional e os exercicios de ciberdefensa, aproveitando a cooperación entre a Capacidade de Resposta a Incidentes Informáticos (NIRC) da OTAN e o CERT da UE. A UE tamén comezará a incluír progresivamente temas de ciberdefensa nos diálogos sobre ciberseguridade e defensa dirixidos pola UE.. Isto xa se fixo no diálogo cibernético UE-Ucraína que tivo lugar este setembro (ligazón ao comunicado de prensa). A UE tamén seguirá apoiando aos seus socios, especialmente aos países candidatos á UE, no desenvolvemento de capacidades de ciberdefensa, mesmo, cando cumpra, a través do Fondo Europeo para a Paz (EPF).
Cales son os seguintes pasos?
O Alto Representante, mesmo no papel de Xefe da EDA, e a Comisión piden aos Estados membros que desenvolvan os aspectos relevantes desta Política de Ciberdefensa e poranse en contacto cos Estados membros para definir medidas prácticas para a súa implementación. Podería establecerse un plan de aplicación en cooperación cos Estados membros. Os resultados da implementación da Política de Ciberdefensa da UE contribuirán aos obxectivos xerais tanto da Estratexia de Ciberseguridade da UE como do Compás Estratéxico.
Proporcionarase un informe anual ao Consello para monitorear e avaliar o progreso da implementación da Política de Ciberdefensa. Aléntase aos Estados membros a contribuír cos seus achegues sobre o progreso das medidas de implementación que levan a cabo en formatos nacionais ou de cooperación.
