Šodien Komisija ierosināja jaunus noteikumus, lai ieviestu kopīgus kiberdrošības un informācijas drošības pasākumus visās ES iestādēs, struktūrās, birojos un aģentūrās. Priekšlikuma mērķis ir stiprināt to noturību un spējas reaģēt uz kiberdraudiem un incidentiem, kā arī nodrošināt noturīgu un drošu ES publisko pārvaldi, ņemot vērā ļaunprātīgu kiberdarbību pieaugumu visā pasaulē.
Par budžetu un administrāciju atbildīgais Komisijas loceklis Johanness Hāns:
Savienotā vidē viens kiberdrošības incidents var ietekmēt visu organizāciju. Tāpēc ir ļoti svarīgi veidot stingru aizsardzību pret kiberdraudiem un incidentiem, kas var traucēt mūsu spējām rīkoties. Šodien ierosinātās regulas ir pagrieziena punkts ES kiberdrošības un informācijas drošības jomā. To pamatā ir pastiprināta sadarbība un savstarpējs atbalsts starp ES iestādēm, struktūrām, birojiem un aģentūrām, kā arī koordinēta gatavība un reaģēšana. Tas ir īsts ES kopdarbs.
Saistībā ar Covid-19 pandēmiju un milstošajām ģeopolitiskajām problēmām ir nepieciešama kopīga pieeja kiberdrošībai un informācijas drošībai. Ar tādu domu Komisija ir ierosinājusi Kiberdrošības regulu un Informācijas drošības regulu. Nosakot kopīgas prioritātes un satvarus, šie noteikumi vēl vairāk stiprinās iestāžu sadarbību, minimalizēs risku un vēl vairāk stiprinās ES drošības kultūru.
Kiberdrošības regula
Ar ierosināto Kiberdrošības regulu tiks izveidots satvars pārvaldei, riska pārvaldībai un kontrolei kiberdrošības jomā. Rezultātā tiks izveidota jauna starpiestāžu Kiberdrošības padome, uzlabotas kiberdrošības spējas un veicināta brieduma regulāra novērtēšana un labāka kiberhigiēna. Tā arī paplašinās ES iestāžu, struktūru, biroju un aģentūru datorapdraudējumu reaģēšanas vienības (CERT-EU) pilnvaras, kas tai ir kā draudu izlūkošanas, informācijas apmaiņas un incidentu reaģēšanas koordinācijas centram, centrālai padomdevējai struktūrai un pakalpojumu sniedzējam.
Kiberdrošības regulas priekšlikuma galvenie elementi:
- stiprināt CERT-EU pilnvaras un nodrošināt to izpildei vajadzīgos resursus;
- pieprasīt no visām ES iestādēm, struktūrām, birojiem un aģentūrām:
- izveidot pārvaldes, riska pārvaldības un kontroles satvaru kiberdrošības jomā,
- īstenot kiberdrošības pasākumu pamatscenāriju identificētajam riskam,
- veikt regulārus brieduma novērtējumus,
- ieviest kiberdrošības uzlabošanas plānu, ko apstiprinājusi vienības vadība,
- bez liekas kavēšanās informāciju par incidentiem kopīgot ar CERT-EU;
- izveidot jaunu starpiestāžu Kiberdrošības padomi, kas virzītu un uzraudzītu regulas īstenošanu un CERT-EU;
- pārdēvēt CERT-EU no “Datorapdraudējumu reaģēšanas vienības” par “Kiberdrošības centru” atbilstoši norisēm dalībvalstīs un pasaulē, bet saglabāt īso nosaukumu “CERT-EU” nosaukuma pazīšanai.
Informācijas drošības regula
Ar ierosināto Informācijas drošības regulu tiks izveidots informācijas drošības noteikumu un standartu minimums visām ES iestādēm, struktūrām, birojiem un aģentūrām, lai nodrošinātu pastiprinātu un konsekventu aizsardzību pret augošajiem draudiem to informācijai. Jaunie noteikumi nodrošinās stabilu pamatu drošai informācijas apmaiņai starp ES iestādēm, struktūrām, birojiem un aģentūrām un ar dalībvalstīm, pamatojoties uz standartizētu praksi un pasākumiem informācijas plūsmu aizsardzībai.
Informācijas drošības regulas priekšlikuma galvenie elementi:
- izveidot efektīvu pārvaldi, kas veicinātu sadarbību starp visām ES iestādēm, struktūrām, birojiem un aģentūrām, proti, starpiestāžu informācijas drošības koordinācijas grupu;
- izveidot vienotu pieeju informācijas kategorizēšanai pēc konfidencialitātes līmeņa;
- modernizēt informācijas drošības politiku, pilnībā ietverot digitālo pārveidi un tāldarbu;
- racionalizēt pašreizējo praksi un panākt lielāku savietojamību starp attiecīgajām sistēmām un ierīcēm.
Konteksts
Eiropas Savienības Padome 2021. gada marta rezolūcijā uzsvēra, cik svarīgs būtu stabils un konsekvents drošības satvars, kas aizsargātu visu ES personālu, datus, sakaru tīklus, informācijas sistēmas un lēmumu pieņemšanas procesus. To var panākt, tikai uzlabojot ES iestāžu, struktūru, biroju un aģentūru noturību un drošības kultūru.
Sekojot ES Drošības savienības stratēģijai un ES Kiberdrošības stratēģijai, šodien ierosinātā Kiberdrošības regula nodrošinās saskanīgumu ar pastāvošo ES kiberdrošības politiku, atbilstīgi spēkā esošajiem ES tiesību aktiem:
- Direktīvai par tīklu un informācijas sistēmu drošību (TID direktīvu) un gaidāmajai direktīvai par pasākumiem nolūkā panākt vienādi augsta līmeņa kiberdrošību visā Savienībā (“TID 2 direktīvu”), ko Komisija ierosināja 2020. gada decembrī;
- Kiberdrošības aktam;
- Komisijas Ieteikumam par kopīgas kibervienības izveidi;
- Komisijas Ieteikumam par koordinētu ES reaģēšanu uz plašapmēra kiberdrošības incidentiem un krīzēm.
Tā kā aug sensitīvas neklasificētas un ES klasificētas informācijas apjoms, ko apstrādā ES iestādes, struktūras, biroji un aģentūras, ierosinātās Informācijas drošības regulas mērķis ir palielināt informācijas aizsardzību, racionalizējot Savienības iestāžu, struktūru, biroju un aģentūru atšķirīgo tiesisko regulējumu šajā jomā. Priekšlikums ir saskaņā ar:
- ES Drošības savienības stratēģiju, kas ietver vispusēju ES apņemšanos papildināt dalībvalstu centienus visās drošības jomās;
- Eiropadomes 2019. gada jūnijā pieņemtās Stratēģiskās programmas 2019.–2024. gadam galveno iezīmi, kuras mērķis ir aizsargāt sabiedrību no augošajiem draudiem, kas vērsti pret informāciju, ar kuru strādā ES iestādes, struktūras un aģentūras;
- Vispārējo lietu padomes 2019. gada decembra secinājumiem, kur ES iestādes, struktūras un aģentūras tiek aicinātas ar dalībvalstu atbalstu izstrādāt un īstenot vispārēju pasākumu kopumu, lai nodrošinātu savu drošību.
Sīkākai uzziņai:
priekšlikums “Eiropas Parlamenta un Padomes Regula par informācijas drošību Savienības iestādēs, struktūrās, birojos un aģentūrās”.
Sīkāka informācija
- Publikācijas datums
- 2022. gada 22. marts
- Autors
- Pārstāvniecība Latvijā