Kybernetická bezpečnost v Evropské unii

Digitální transformace přináší obrovské příležitosti a řešení řady výzev, ale zároveň vystavuje hospodářství a společnost kybernetickým hrozbám. EU proto přijímá opatření k řešení výzev v oblasti kybernetické bezpečnosti, a to především co se týče zlepšení kybernetické odolnosti, boje proti kybernetické kriminalitě, podpory kybernetické diplomacie, posílení kybernetické obrany, podpory výzkumu a inovací a ochrany kritické infrastruktury.

Zdravotnictví, energetika, doprava a finance jsou stále závislejší na digitálních technologiích, a proto se také dostávají mezi nejohroženější odvětví. Kybernetické útoky jsou více frekventované a nepředpokládá se snížení jejich počtů v následujících letech.

Největším přelomem pro bezpečnost v kybernetickém prostoru v Evropě se stala migrační krize, teroristické útoky v roce 2015 a následně pandemie covidu-19. Tyto události daly Evropské unii impulzy k zajištění bezpečí a odolnosti v oblasti kybernetického prostoru.

Se vzestupem internetu a digitalizace v roce 2004 vznikla Evropská agentura pro bezpečnost sítí a informací (European Network and Information Security Agency, ENISA). Začala působit 1. září 2005 s cílem přispívat k evropské bezpečnosti v kybernetickém prostoru v rámci spolupráce s členskými státy, institucemi a agenturami.

V následující části si představíme časovou osu vývoje dalších iniciativ a plánů v této oblasti.

Časová osa vývoje iniciativ ke kybernetické bezpečnosti

• 2013

Komise společně s Evropskou službou pro vnější činnost spustila Evropskou strategii kybernetické bezpečnosti. Ta zdůraznila několik priorit, které vedou Unii při jednání a přijímání rozhodnutí v této oblasti.

• 2015

Efektivní boj proti kyberkriminalitě se stal jednou ze tří priorit v rámci Evropské bezpečnostní agendy 2015-2020 přijaté Komisí v dubnu 2015.

• 2016

Ministři spravedlnosti v Radě EU přijali závěry, které stanovily praktická opatření pro zlepšení spolupráce – závěry o zlepšení trestního soudnictví v kyberprostoru[1] a závěry o evropské justiční síti pro boj proti kyberkriminalitě[2].

V srpnu 2016 vstoupila v platnost směrnice o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (NIS)[3].

2017

Na základě interinstitucionální dohody ze dne 20. prosince 2017 byla vytvořena stálá skupina pro reakci na počítačové hrozby (CERT-EU). Cílem je zajistit rychlou reakci Evropské unie na útoky proti jejím orgánům, institucím a agenturám. Skupina úzce spolupracuje i se svými protějšky z NATO.

• 2018

Rada v září zahájila jednání s Evropským parlamentem ohledně Aktu o kybernetické bezpečnosti. Účelem bylo posílit nejen kybernetickou odolnost certifikačního unijního rámce pro služby, produkty a procesy informačních a komunikačních technologií (IKT), ale i status Evropské agentury pro bezpečnost sítí a informací (ENISA).

• 2019

9. dubna Rada schválila Akt o kybernetické bezpečnosti[4], který zřizoval Agenturu EU pro kybernetickou bezpečnost, „nahrazující“ stávající Evropskou agenturu pro bezpečnost sítí a informací (ENISA), a zavedl soustavu celounijních systémů certifikace

• Od května Rada stanovila nový rámec, který umožnil ukládat sankce v oblasti kybernetických útoků, či vnějších hrozeb, které by mohly narušit mírovou situaci v EU a jejích členských státech. 2020

Již na konci roku se začala řešit opatření týkající se 5G sítí – především zmírnění bezpečnostních rizik v souvislosti s jejich používáním. Jedno z opatření bylo zřízení Evropského centra kompetencí pro kybernetickou bezpečnost a síť koordinačních center se sídlem v rumunské Bukurešti.

V polovině roku byly poprvé uvaleny sankce za pokus o kybernetický útok proti Organizaci pro zákaz chemických zbraní, který je veřejnosti známý spíše jako „Operation Cloud Hopper“, „WannaCry“, nebo „NotPetya“. Sankce zahrnovaly zákaz cestování a zmrazení majetku.

Na mimořádném zasedání Evropské rady v říjnu byly veškeré iniciativy pro zlepšení kybernetické bezpečnosti podpořeny a představitelé států vyzvali k dalšímu posílení schopností EU v této oblasti.

V prosinci 2020 navrhla Komise revidovanou směrnici o bezpečnosti sítí a informací (NIS2), která má nahradit směrnici z roku 2016. Nový návrh reagoval na měnící se prostředí hrozeb a zohledňuje digitální transformaci, kterou krize související s pandemií covidu-19 urychlila. V květnu roku 2022 dosáhly Rada a Evropský parlament předběžné dohody o nových opatřeních. Nové právní předpisy:

• zajistí důslednější řízení rizik a incidentů a spolupráci
• rozšíří oblast působnosti pravidel

• 2022

V březnu po vypuknutí války na Ukrajině bylo za francouzského předsednictví Rady přijato nové politické prohlášení, které má za cíl posílení kapacit EU v oblasti kyberbezpečnosti.

V květnu bylo dosaženo prozatímní dohody mezi Radou a Evropským parlamentem k nařízení o digitální provozní odolnosti (Digital Operational Resilience Act, DORA). Tento akt má zajistit, aby všechny firmy finančního sektoru byly schopny ustát, ale také se zotavit z případných informačních a komunikačních technologických hrozeb.

21. června byly přijaty závěry pro vytvoření hybridních nástrojů EU pro koordinovanou reakci na hybridní hrozby a kampaně.

Strategický kompas

Strategický kompas je první bílou knihou, zabývající se výhradně oblastí obrany a bezpečnosti. Kompas byl přijat na zasedání Evropské rady 24. a 25. března 2022. Jedná se o dokument, na kterém členské státy a instituce pracovaly od roku 2020. Jeho cílem je posílení evropské bezpečnostní a obranné politiky do roku 2030. V dokumentu jsou zohledněny oblasti jako moře a oceány, letecký prostor, vesmírný prostor, kybernetický prostor a informační komunikační technologie.

Strategický kompas zahrnuje všechny části Společné bezpečnostní a obranné politiky (SBOP) a je založen na čtyřech pilířích: reakce, zabezpečení, investice, partnerství. Především v rámci druhého pilíře je věnována pozornost kybernetické bezpečnosti. EU si stanovila za cíl rozvíjet kybernetickou diplomatickou sadu nástrojů (dále toolbox), vytvořit politiku kybernetické obrany EU avytvořithybridní toolbox a reakční skupiny, které budou propojeny různými nástroji pro detekci hybridních hrozeb. Speciální toolbox pro manipulaci a rušení zahraničních informací (Foreign Information Manipulation and Interference Toolbox) má být do tohoto systému také plně integrován.

Role českého předsednictví Rady

Česká republika převzala 1. července v Radě předsednickou štafetu po Francii. Uprostřed rostoucí globální nestability se české předsednictví bude následujících šest měsíců věnovat mimo jiné i posílení evropské a kybernetické bezpečnosti. Předsednictví má za cíl snížit technologickou závislost na třetích zemích, a naopak zvýšit kapacity Unie v oblasti nových technologií.

Mezi podstatné problémy, kterým se Rada v příštích šesti měsících bude věnovat, patří i dezinformace, jež se ukázaly jako značný problém v kontextu ruské agrese na Ukrajině.

České předsednictví chce pozdvihnout diskuzi ohledně dvou plánů, které byly představeny ve Strategickém kompasu – hybridního toolboxu a toolboxu pro manipulaci a rušení zahraničních informací. Jedná se o úzce propojená opatření se základy v již existujících nástrojích, včetně analytických kapacit East StratCom Task Force z Evropské služby pro vnější činnost.

České předsednictví hraje významnou úlohu už z důvodu, že některé cíle ze Strategického kompasu mají být převedeny do praxe ještě tento rok. .

ČR se takto dostává do pozice, kdy během následujících měsíců bude potřeba zkoordinovat politiku Evroské unie a najít kompromisy pro všechny členské státy, aby implementace cílů proběhla bez zádrhelů a ve stanoveném časovém rámci. Během českého předsednictví proběhne vícero akcí, které budou důležitými milníky při integraci a zahájení fungování výše zmíněných toolboxů. Jedním z nejdůležitějších přelomů bude neformální meeting evropských ministrů obrany, který se v Praze uskuteční 29. a 30. srpna. Jedná se o meeting na vysoké úrovni, kde ministři členských států a zástupci evropských institucí a agentur budou mít možnost si nejen vyměnit názory, ale posunout se v oblasti vývoje těchto iniciativ a společné bezpečnostní a obranné politiky.

Mezi další významné akce patří konference v Brně ve dnech 12. až 14. září, kam se sjedou čeští a zahraniční odborníci na kybernetickou bezpečnost. Jedná se o mezinárodní konferenci, která je pořádána za českého předsednictví Masarykovou univerzitou, Vysokým učením technickým v Brně a Ministerstvem vnitra ČR.

Závěr

S rostoucími hrozbami v kybernetickém prostoru jsou potřeba efektivní a rychlé reakce. Evropská unie boj proti hybridním hrozbámřeší dlouhodobě, vypuknutí pandemie covidu-19 a ruská agrese na Ukrajině však ukázaly potřebu evropské iniciativy zintenzivnit.

Česká republika v rámci předsednictví v Radě EU má nyní možnost posunout jednání a implementaci nového Strategického kompasu, momentálně klíčového dokumentu v oblasti obrany a bezpečnosti Evropské unie.

Bezpečná a silná Unie je důležitá priorita českého předsednictví. Výše zmíněná implementace částí Strategického kompasu souvisejících s kybernetickou bezpečností je důležitá nejen pro reputaci ČR mezi členskými státy, ale také pro vyšší bezpečnost Evropy.

---

[1] https://www.consilium.europa.eu/media/24300/cyberspace-en.pdf

[2] https://www.consilium.europa.eu/media/24301/network-en.pdf

[3] Viz. https://eur-lex.europa.eu/legal-content/CS/TXT/HTML/?uri=CELEX:32016L1148&from=EN

[4] Viz. https://eur-lex.europa.eu/eli/reg/2019/881/oj

Autor: Nikola Řezáčová, psáno pro Euroskop

Ilustrační foto: Zdroj Evropská komise