Comisia a propus noi norme pentru a stabili măsuri comune de securitate cibernetică și securitate a informațiilor pentru toate instituțiile, organele, oficiile și agențiile UE. Propunerea urmărește să consolideze reziliența și capacitățile de răspuns ale acestora la amenințările și incidentele cibernetice, precum și să asigure o administrație publică a UE rezilientă și sigură, în contextul intensificării activităților cibernetice răuvoitoare în peisajul mondial.
Comisarul pentru buget și administrație, Johannes Hahn, a declarat: „Într-un mediu conectat, un singur incident de securitate cibernetică poate afecta o întreagă organizație. Acesta este motivul pentru care este esențial să se creeze un scut puternic împotriva amenințărilor și incidentelor cibernetice care ar putea perturba capacitatea noastră de a acționa. Regulamentele pe care le propunem astăzi reprezintă o etapă importantă în peisajul securității cibernetice și al securității informațiilor din UE. Ele se bazează pe o cooperare consolidată și un sprijin reciproc între instituțiile, organele, oficiile și agențiile UE, precum și pe o pregătire și un răspuns coordonate. Acesta este un veritabil efort colectiv al UE.”
În contextul pandemiei de COVID-19 și al provocărilor geopolitice din ce în ce mai mari, este necesară o abordare comună a securității cibernetice și a informațiilor. Având în vedere acest lucru, Comisia a propus un regulament privind securitatea cibernetică și un regulament privind securitatea informațiilor. Prin stabilirea unor priorități și cadre comune, aceste norme vor consolida și mai mult cooperarea interinstituțională, vor reduce la minimum expunerea la riscuri și vor consolida în continuare cultura UE în domeniul securității.
Regulamentul privind securitatea cibernetică
Regulamentul propus privind securitatea cibernetică va institui un cadru de guvernanță, de gestionare a riscurilor și de control în domeniul securității cibernetice. Acest lucru va conduce la crearea unui nou Consiliu interinstituțional pentru securitate cibernetică, va spori capacitățile în materie de securitate cibernetică și va stimula evaluări periodice ale maturității și o mai bună igienă cibernetică. El va extinde, de asemenea, mandatul Centrului de răspuns la incidente de securitate cibernetică pentru instituțiile, organele, oficiile și agențiile UE (CERT-UE), ca centru de informații operative, de schimb de informații și de coordonare a răspunsului la incidente legate de amenințări, ca organism consultativ central și ca furnizor de servicii.
Elemente-cheie ale propunerii de regulament privind securitatea cibernetică:
- Consolidarea mandatului CERT-UE și asigurarea resurselor necesare pentru îndeplinirea acestuia;
- Impunerea unei obligații pentru toate instituțiile, organele, oficiile și agențiile UE de a:
- dispune de un cadru de guvernanță, de gestionare a riscurilor și de control în domeniul securității cibernetice;
- implementa un scenariu de referință al măsurilor de securitate cibernetică care să abordeze riscurile identificate;
- efectua evaluări periodice ale maturității;
- pune în aplicare un plan de îmbunătățire a securității cibernetice a acestora, aprobat de conducerea entității;
- face schimb de informații legate de incidente cu CERT-UE fără întârzieri nejustificate.
- Instituirea unui nou Consiliu interinstituțional pentru securitate cibernetică care să conducă și să monitorizeze punerea în aplicare a regulamentului și să coordoneze CERT-UE;
- Redenumirea CERT-UE, din „Centrul de răspuns la incidente de securitate cibernetică” în „Centrul de securitate cibernetică”, în conformitate cu evoluțiile din statele membre și de la nivel mondial, cu păstrarea însă a denumirii prescurtate „CERT-UE” pentru recunoașterea numelui.
Regulamentul privind securitatea informațiilor
Regulamentul propus privind securitatea informațiilor va crea un set minim de norme și standarde de securitate a informațiilor pentru toate instituțiile, organele, oficiile și agențiile UE, pentru a asigura o protecție sporită și coerentă împotriva amenințărilor în continuă evoluție la adresa informațiilor lor. Aceste noi norme vor oferi un teren stabil pentru un schimb securizat de informații între instituțiile, organele, oficiile și agențiile UE, precum și cu statele membre, pe baza unor practici și măsuri standardizate de protejare a fluxurilor de informații.
Elemente-cheie ale propunerii de regulament privind securitatea informațiilor:
- Instituirea unei guvernanțe eficiente pentru a încuraja cooperarea între toate instituțiile, organele, oficiile și agențiile UE, și anume instituirea unui Grup interinstituțional de coordonare a securității informațiilor;
- Stabilirea unei abordări comune a clasificării informațiilor pe baza nivelului de confidențialitate;
- Modernizarea politicilor de securitate a informațiilor, incluzând pe deplin transformarea digitală și munca la distanță;
- Eficientizarea practicilor actuale și obținerea unei mai mari compatibilități între sistemele și dispozitivele relevante.
Context
În rezoluția sa din martie 2021, Consiliul Uniunii Europene a subliniat importanța unui cadru de securitate solid și coerent pentru protejarea întregului personal, a datelor, a rețelelor de comunicații, a sistemelor informatice și a proceselor decizionale ale UE. Acest lucru poate fi realizat numai printr-o reziliență sporită și printr-o cultură a securității îmbunătățită a instituțiilor, organelor, oficiilor și agențiilor UE.
Urmând Strategiei UE privind o uniune a securității și Strategiei de securitate cibernetică a UE, Regulamentul privind securitatea cibernetică propus astăzi va asigura coerența cu politicile existente ale UE în materie de securitate cibernetică, în deplină aliniere cu legislația europeană actuală:
- Directiva privind securitatea rețelelor și a sistemelor informatice (Directiva NIS) și viitoarea Directivă privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune („NIS 2”) pe care Comisia le-a propus în decembrie 2020;
- Regulamentul privind securitatea cibernetică;
- Recomandarea Comisiei privind înființarea unei unități cibernetice comune;
- Recomandarea Comisiei privind răspunsul coordonat la incidentele și crizele de securitate cibernetică de mare amploare.
Având în vedere volumul tot mai mare de informații sensibile neclasificate și de informații clasificate ale UE gestionate de instituțiile, organele, oficiile și agențiile UE, propunerea de regulament privind securitatea informațiilor urmărește să sporească protecția informațiilor, prin raționalizarea diferitelor cadre juridice ale instituțiilor, organelor, oficiilor și agențiilor Uniunii în domeniu. Propunerea este conformă cu:
- Strategia UE privind o uniune a securității, care include un angajament cuprinzător al UE de a completa eforturile statelor membre în toate domeniile securității;
- Caracteristica esențială a Agendei strategice pentru perioada 2019-2024, adoptată de Consiliul European în iunie 2019, pentru a proteja societățile noastre de amenințările în continuă evoluție care vizează informațiile gestionate de instituțiile, organele și agențiile UE;
- Concluziile Consiliului Afaceri Generale din decembrie 2019 prin care se solicită instituțiilor, organelor și agențiilor UE, sprijinite de statele membre, să elaboreze și să pună în aplicare un set cuprinzător de măsuri pentru a asigura securitatea acestora.