Европейската комисия предложи нови правила за установяване на общи мерки за киберсигурност и информационна сигурност в институциите, органите, службите и агенциите на ЕС. Предложението има за цел да укрепи тяхната устойчивост и капацитет за реагиране срещу киберзаплахи и киберинциденти, както и да гарантира устойчива и сигурна публична администрация на ЕС в условията на засилване на злонамерените действия в киберпространството в световен мащаб.
Комисарят по въпросите на бюджета и администрацията Йоханес Хан заяви: „В една свързана среда един-единствен инцидент в областта на киберсигурността може да засегне цялата организация. Ето защо е от решаващо значение да изградим силна защита срещу киберзаплахи и киберинциденти, които биха могли да нарушат способността ни за действие. Регламентите, които предлагаме, представляват крайъгълен камък в областта на киберсигурността и информационната сигурност в ЕС. Те се основават на засилено сътрудничество и взаимна подкрепа между институциите, органите, службите и агенциите на ЕС, както и на координирана готовност и реакция. Това е истинско колективно начинание на ЕС.“
В контекста на пандемията от COVID-19 и нарастващите геополитически предизвикателства е задължително да се възприеме съвместен подход към киберсигурността и информационната сигурност. С оглед на това Комисията предложи регламент относно киберсигурността и регламент относно информационната сигурност. Чрез определянето на общи приоритети и рамки тези правила допълнително ще засилят междуинституционалното сътрудничество, ще сведат до минимум излагането на риск и ще укрепят допълнително културата на сигурност в ЕС.
Регламент относно киберсигурността
С предложения регламент относно киберсигурността ще се въведе рамка за ръководство, управление и контрол на риска в областта на киберсигурността. Това ще доведе до създаването на нов междуинституционален съвет по киберсигурност, ще повиши капацитета в областта на киберсигурността и ще стимулира редовните оценки на зрелостта и по-добрата киберхигиена. Също така ще бъде разширен мандатът на екипа за незабавно реагиране при компютърни инциденти за институциите, органите, службите и агенциите на ЕС (CERT-EU) като център за обмен на разузнавателна информация за заплахи и координиране на реакцията при инциденти, централен консултативен орган и доставчик на услуги.
Основни елементи на предложението за регламент относно киберсигурността:
- Укрепване на мандата на CERT-EU и предоставяне на ресурсите, необходими за неговото изпълнение.
- Изискване към институциите, органите, службите и агенциите на ЕС да:
разполагат с рамка за ръководство, управление и контрол на риска в областта на киберсигурността;
прилагат базов набор от мерки за киберсигурност, насочен към преодоляване на установените рискове;
извършват редовни оценки на зрелостта;
въведат план за подобряване на своята киберсигурност, одобрен от ръководството на субекта;
обменят със CERT-EU без ненужно забавяне информация относно инциденти.
- Създаване на нов междуинституционален съвет по киберсигурност, който да ръководи и наблюдава прилагането на регламента и да направлява CERT-EU.
- Преименуване на CERT-EU от „Екип за незабавно реагиране при компютърни инциденти“ на „Център за киберсигурност“ в съответствие с развитието в държавите членки и в световен мащаб, като при това краткото име „CERT-EU“ се запазва с цел по-лесно разпознаване.
Регламент относно информационната сигурност
Предложеният регламент относно информационната сигурност ще създаде минимален набор от правила и стандарти за информационна сигурност за всички институции, органи, служби и агенции на ЕС, за да се гарантира засилена и последователна защита срещу променящите се заплахи за тяхната информация. Тези нови правила ще осигурят стабилна основа за сигурен обмен на информация между институциите, органите, службите и агенциите на ЕС и с държавите членки въз основа на стандартизирани практики и мерки за защита на информационните потоци.
Основни елементи на предложението за регламент относно информационната сигурност:
- Създаване на ефективно управление за насърчаване на сътрудничеството между всички институции, органи, служби и агенции на ЕС, а именно междуинституционална координационна група за информационна сигурност;
- Установяване на общ подход към категоризацията на информацията въз основа на нивото на поверителност;
- Модернизиране на политиките за информационна сигурност така, че да се включат изцяло цифровата трансформация и дистанционната работа;
- Рационализиране на настоящите практики и постигане на по-голяма съвместимост между съответните системи и устройства.
В резолюцията си от март 2021 г. Съветът на Европейския съюз подчерта значението на една стабилна и последователна рамка за сигурност за защита на целия персонал, данните, съобщителните мрежи, информационните системи и процесите на вземане на решения на ЕС. Това може да се постигне единствено чрез повишаване на устойчивостта и подобряване на културата на сигурност в институциите, органите, службите и агенциите на ЕС. Като се има предвид непрекъснато нарастващият обем чувствителна некласифицирана информация и класифицирана информация на ЕС, с която работят институциите, органите, службите и агенциите на ЕС, предложеният регламент относно информационната сигурност има за цел да повиши защитата на информацията чрез рационализиране на различните правни рамки на институциите, органите, службите и агенциите на Съюза в тази област.